Утечки персональных данных - SearchInform
+7 (495) 721-84-06
+7 (495) 721-84-06
ОФОРМИТЬ ЗАЯВКУ
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
ОТРАСЛЕВЫЕ РЕШЕНИЯ
Информационная безопасность банков
Банковское мошенничество
Разглашение банковской тайны
Система противодействия мошенничеству в банковской сфере
Виды банковского мошенничества
Мошенничество в сфере кредитования
Мошенничество при оформлении кредита сотрудником банка
Мошенничество с банковскими карточками
Мошенничество с банковскими счетами
Статья 159 УК РФ. Мошенничество в сфере кредитования
Методика расследования мошенничества в сфере кредитования
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
БИЗНЕС-ЗАДАЧИ
Работа с конфиденциальной информацией
Закон о конфиденциальной информации
Классификация конфиденциальной информации
Организация хранения конфиденциальной информации
Защита персональных данных
Реестр операторов персональных данных
Кто является оператором ПДн
Обязанности оператора ПДн
Права оператора ПДн
Федеральный закон о персональных данных
Ответственность за нарушение закона о ПДн
Положение 687 об особенностях обработки ПДн
Кража ПДн: статья 152 УК РФ
Статья 7 ФЗ 152 о ПДн
Статья 9 ФЗ 152 о ПДн
Что является ПДн по закону
Разглашение коммерческой тайны
Разглашение коммерческой тайны после увольнения работника
Передача персональных данных третьим лицам
Согласие на передачу ПДн третьим лицам
Какие персональные данные являются общедоступными
Является ли ФИО ПДн
Является ли фотография ПДн
Защита коммерческой тайны
Вымогательство коммерческого подкупа
Как доказать коммерческий подкуп
Квалифицирующий признаки коммерческого подкупа
Коммерческий подкуп иностранных лиц
Коммерческий подкуп: российская проблема
Коммерческий подкуп:статистика
Мелкий коммерческий подкуп
Отличие взятки от коммерческого подкупа
Предмет коммерческого подкупа
История преступления коммерческого подкупа
Коммерческий подкуп: статья 204 УК РФ
Увольнение за разглашение коммерческой тайны
Увольнение по статье 81 ТК РФ разглашение коммерческой тайны
Уголовная ответственность за коммерческий подкуп
Уголовно-правовая характеристика коммерческого подкупа
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Конкурентная разведка
Противодействие коррупции
Предупреждение мошенничества
КОНТРОЛЬ ДОСТУПА К НЕСТРУКТУРИРОВАННЫМ ДАННЫМ
Контроль документов
Контроль версий документов
Контроль передачи документов
Контроль данных
Внутренний контроль обработки ПДн
Контроль за соответствием обработки ПДн
Правила внутреннего контроля обработки ПДн
Системы контроля качества данных
Контроль управления доступом
Аудит доступа
Дискреционное управление доступом
Доступ к конфиденциальной информации
Система контроля доступа ПО
Система управления доступам к информационным ресурсам
Способы несанкционированного доступа
Средства контроля доступа к информации
Средства контроля и управления доступом
Управление доступом к базе данных
Управление правами доступа
Анализ данных
Анализ действий с данными
Анализ метаданных
Анализ неструктурированных данных
Анализ использования данных
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
ГлавнаяБизнес-задачиЗащита персональных данныхУтечки персональных данных
ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Утечки персональных данных

Примеры готовых политик
безопасности
СЁРЧИНФОРМ КИБ
ОТРАСЛЕВЫЕ РЕШЕНИЯ
Информационная безопасность банков
Банковское мошенничество
Разглашение банковской тайны
Система противодействия мошенничеству в банковской сфере
Виды банковского мошенничества
Мошенничество в сфере кредитования
Мошенничество при оформлении кредита сотрудником банка
Мошенничество с банковскими карточками
Мошенничество с банковскими счетами
Статья 159 УК РФ. Мошенничество в сфере кредитования
Методика расследования мошенничества в сфере кредитования
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
БИЗНЕС-ЗАДАЧИ
Работа с конфиденциальной информацией
Закон о конфиденциальной информации
Классификация конфиденциальной информации
Организация хранения конфиденциальной информации
Защита персональных данных
Реестр операторов персональных данных
Кто является оператором ПДн
Обязанности оператора ПДн
Права оператора ПДн
Федеральный закон о персональных данных
Ответственность за нарушение закона о ПДн
Положение 687 об особенностях обработки ПДн
Кража ПДн: статья 152 УК РФ
Статья 7 ФЗ 152 о ПДн
Статья 9 ФЗ 152 о ПДн
Что является ПДн по закону
Разглашение коммерческой тайны
Разглашение коммерческой тайны после увольнения работника
Передача персональных данных третьим лицам
Согласие на передачу ПДн третьим лицам
Какие персональные данные являются общедоступными
Является ли ФИО ПДн
Является ли фотография ПДн
Защита коммерческой тайны
Вымогательство коммерческого подкупа
Как доказать коммерческий подкуп
Квалифицирующий признаки коммерческого подкупа
Коммерческий подкуп иностранных лиц
Коммерческий подкуп: российская проблема
Коммерческий подкуп:статистика
Мелкий коммерческий подкуп
Отличие взятки от коммерческого подкупа
Предмет коммерческого подкупа
История преступления коммерческого подкупа
Коммерческий подкуп: статья 204 УК РФ
Увольнение за разглашение коммерческой тайны
Увольнение по статье 81 ТК РФ разглашение коммерческой тайны
Уголовная ответственность за коммерческий подкуп
Уголовно-правовая характеристика коммерческого подкупа
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Конкурентная разведка
Противодействие коррупции
Предупреждение мошенничества
КОНТРОЛЬ ДОСТУПА К НЕСТРУКТУРИРОВАННЫМ ДАННЫМ
Контроль документов
Контроль версий документов
Контроль передачи документов
Контроль данных
Внутренний контроль обработки ПДн
Контроль за соответствием обработки ПДн
Правила внутреннего контроля обработки ПДн
Системы контроля качества данных
Контроль управления доступом
Аудит доступа
Дискреционное управление доступом
Доступ к конфиденциальной информации
Система контроля доступа ПО
Система управления доступам к информационным ресурсам
Способы несанкционированного доступа
Средства контроля доступа к информации
Средства контроля и управления доступом
Управление доступом к базе данных
Управление правами доступа
Анализ данных
Анализ действий с данными
Анализ метаданных
Анализ неструктурированных данных
Анализ использования данных

Информация играет важную роль для частной компании, государственной организации и в жизни обычных людей. Владение чужой информацией позволяет выигрывать в конкурентной борьбе и устранять соперников в бизнесе. В то же время развитие информационных технологий и расширение коммуникативных возможностей способствовали увеличению масштабов распространения данных. Для обычных людей это означает высокий риск утечки персональных данных, что может обернуться моральным и материальным ущербом от несанкционированного распространения личной информации.

Последствия утечки персональных данных

Компании становятся заложниками информационных технологий. Без программных механизмов невозможно вести и развивать бизнес, строить партнерские отношения и выполнять операции с персональными данными. Переход на электронную платформу требует уделять серьезное внимание вопросам информационной безопасности, чтобы избежать утечки персональных данных.

Вмешательство в функционирование информационной системы, будь то хищение, уничтожение или получение несанкционированного доступа, могут стать причиной серьезных убытков. Источники убытков – судебные иски, которые предъявляют пострадавшие от утечки персональных данных, обрабатываемых компанией, а также штрафы, которые надзорные органы вправе накладывать на операторов персональных данных.

Опасность утечки персональных данных возрастет во второй половине 2018 года, когда начнет действовать единая система идентификации личности. В общенациональную базу будут поступать биометрические данные каждого россиянина, который становится банковским клиентом. Опасность утечки биометрических данных чрезвычайно велика. В отличие от номеров платежных карт или паспортных данных биометрическую информацию изменить невозможно.

Наказание за утечку персональных данных

В России за утечку ПД предусмотрены штрафные санкции. Однако размеры штрафов незначительны, поэтому Министерство цифрового развития, связи и массовых коммуникаций попыталось продвинуть законопроект, который расширил бы границы административной ответственности за распространение ПД. В проекте вводились санкции еще по двум составам правонарушения:

  • хранение персональных данных российских граждан в базах за пределами России;
  • несоблюдение требований закона по обеспечению конфиденциальности персональных данных, незаконное раскрытие, предоставление третьим лицам, в том числе и утечки ПД.

Виды правонарушений, которые выделяет действующее законодательство, перечисляются в статье 13.11 КоАП РФ. Нормы статьи применяются к гражданам, должностными, физическим и юридическими лицами, которые выполняют функции операторов персональных данных. Нарушения, за которое предусмотрена ответственность:

  • обработка персональных данных без достаточных оснований или нецелевое использование данных;
  • обработка персональных данных без письменного согласия, оформленного строго по требованиям закона 152-ФЗ;
  • политика требований защиты и обработки ПД не опубликована;
  • субъект не получил информацию о составе персональных данных у оператора;
  • невыполнение законных требований субъекта по уточнению, блокировке, удалению данных;
  • несоблюдение требований безопасного хранения при ручной обработке ПД;
  • невыполнение обязанностей государственными или муниципальными органами по обезличиванию ПД или неправильное обезличивание.

Любое нарушение может привести к утечке персональных данных. Виновным в нарушении грозит административное взыскание – штраф от 1 тыс. до 75 тыс. рублей в зависимости от статуса виновного и типа нарушения.

Мероприятия по защите от утечки данных

Организации, которые работают с персональными данными, должны внедрять обязательные меры для защиты от модификации и разглашения в соответствии с требованиями закона 152-ФЗ. Выполнение норм законодательства отслеживает Роскомнадзор. Сотрудники регулятора уполномочены проверять любые компании по вопросам защиты персональных данных от утечки. В случае выявления недостаточной заботы о защите от утечек ПД служба вправе требовать от оператора в течение трех дней устранить все несоответствия или правильно уничтожить ПД. Чтобы избежать неприятностей, оператору, который выполняет любые действия с персональной информацией, необходимо классифицировать данные и обеспечить полноценную защиту.

Нормы подзаконных актов, изданных ФСТЭК и ФСБ, требуют от операторов выстроить современную эффективную защиту с помощью:

  • внедрения действенных антивирусных решений;
  • установки межсетевых экранов;
  • применения систем предотвращения несанкционированного доступа (вторжения);
  • выстраивания системы идентификации пользователей;
  • установления полноценного контроля доступа, шифрования, защиты ПД.

Возможные способы реализации мероприятий изложены в руководстве ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».

Норматив описывает основные методы создания защиты информационных систем. Кроме того, необходимо, чтобы оператор квалифицировал ПД, определил места безопасного хранения, смоделировал угрозы и составил портрет нарушителей, а затем выбрал способы и средства защиты от утечек, предотвращающие реализацию утечки в соответствии с подготовленным списком.

Документация по защите от утечек ПД в банковской сфере

Особенно важно защищать личную информацию в банковской сфере. Списка обязательной документации для регулирования процессов обработки ПД, актуального в России, законодательство не устанавливает. Поэтому многие финансовые учреждения не могут самостоятельно определить, какими обязательными локальными документами нужно руководствоваться, а какие – отнести к опциональным. Чаще всего защита ПД регулируется Политикой внутренней обработки на основании статьи 18.1 закона 152-ФЗ, Положением о защите ПД сотрудников организации и аналогичным Положением по защите ПД клиентов.

Организации вправе ориентироваться и еще на один документ – Рекомендации Роскомнадзора, в соответствии с которыми надо создать Политику со всеми необходимыми требованиями по защите ПД.

Для заемщиков и страхователей банку желательно разработать отдельный регламент, где описать основные спорные моменты, руководствуясь опытом работы и реальной судебной практикой.

Особенное внимание не лишним будет уделить внутренней документации, куда следует внести пункты, касающиеся обработки ПД. Дополнительно необходимо принять должностные инструкций для специалистов, которые осуществляют и отвечают за обработку ПД в учреждении.

Документальную базу желательно укрепить и с помощью других документов, включая:

1. Перечень информационных систем, в которых выполняется обработка ПД в финансовом учреждении.

2. Правила доступа в серверные помещения, где выполняется обработка данных, с перечнем сотрудников, у которых есть доступ в указанные помещения.

3. Модель возможных и реальных угроз для ПД во время обработки в информационных системах, где обрабатываются и хранятся данные. Модель угроз разрабатывать сложнее всего, однако наличия и выполнения документа требует 152-ФЗ (пункт 5 части 1 статьи 18.1).

В банке также должны быть изданы приказы и распоряжения, которыми назначаются специалисты, ответственные за процессы обработки ПД в соответствии с уставом.

Выводы

Анализ судебных решений на основании множественных несоответствий в работе компаний, занимающихся обработкой ПД, позволяет обобщить и рекомендовать шаги по совершенствованию процесса обработки, хранения и защиты данных.

1. Организовать полноценный аудит выполняемых в компании процессов по сбору, обработке, распространению, хранению, уничтожению ПД. Это позволит выявить возможные риски утечки. Аудит является действенной формой не только выявления «узких» мест, но и предоставляет возможность:

  • определить виды, разнести по категориям ПД, которые проходят обработку в компании;
  • установить и классифицировать субъектов, ПД которых обрабатываются;
  • разработать или усовершенствовать локальные нормативы, описывающие сбор и обработку ПД;
  • предусмотреть рычаги воздействия и мероприятия технического характера, обеспечивающие необходимые меры для соблюдения конфиденциальности информации и защиты от утечек ПД.

2. Модифицировать (внедрить) внутреннюю документацию по сбору и обработке ПД.

3. Пересмотреть типовые формы договоров, чтобы исключить пункты по обработке ПД.

4. Составить типовые формы согласия сотрудников, клиентов и партнеров, на обработку ПД.

5. Обеспечить сбор только необходимых для работы данных в соответствии с целями, чтобы избежать получения ненужной персональной информации.

6. Предусмотреть письменные формы соглашений с третьими лицами и партнерами, которым передается ПД.

Дополнительной мерой служит создание Политики, которая будет регулироваться взаимодействие с профильными государственными органами. Важно, чтобы создание документов не являлось самоцелью. Необходимо, чтобы заинтересованные и ответственные лица знакомились с каждым пунктом документов, а требования – неукоснительно выполнялись.

Закажите бесплатный 30-дневный триал
Полнофункциональное ПО без ограничений по
пользователям и функциональности
ЗАКАЗАТЬ
Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.
Продукты
КИБ
ProfileCenter
FileAuditor
SIEM
TimeInformer
ИБ-аутсорсинг
DLP в облаке
СёрчИнформ
О компании
Лицензии
Оферта
Партнеры
Клиенты
Учебный центр
Вакансии
Контакты
Оценка условий труда
Новости и пресса
Новости компании
Новости продуктов
Новости учебного центра
Пресса о нас
Блог
Для прессы
Информационная безопасность
Отраслевые решения
Контроль сотрудников
© 2025 ООО «СёрчИнформ»
Условия использования
Лицензирование
Безопасность
Законы
Техническая поддержка
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.
Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:
  • Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
  • Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
  • Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
  • Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
  • Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
  • Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.