Защита корпоративных данных
Узнать большеБольшинство компаний имеет дело с персональной информацией и начинает работать с ней еще на этапе подбора сотрудников, изучая резюме кандидатов и проводя собеседования. В ходе основной деятельности в компании ведется сбор данных клиентов, партнеров, поставщиков и т. д. Согласно 152-ФЗ, вся эта информация должна надлежащим образом обрабатываться, организованно храниться и подлежать защите от несанкционированного раскрытия. Однако на практике часть сведений теряется в информационных массивах и упускается из виду. Обнаружить и структурировать их поможет система класса DAG (Data Access Governance). Разберемся, какую роль такое решение играет в работе с персональными данными и как использование DAG-системы позволяет снижать риски информационной безопасности.
Что относится к персональным данным
Персональными данными называют информацию, благодаря которой можно идентифицировать конкретное лицо. Это могут быть как общедоступные сведения, так и конфиденциальные, которые не выносятся на всеобщее обозрение и подлежат защите.
Персональные данные делятся на четыре категории в зависимости от характера сведений:
- Общие. Это ФИО, телефонные номера, адреса электронной почты, место работы и должность, семейный статус, фотографии. Такие сведения не являются секретными и публикуются в социальных сетях, резюме, других общедоступных источниках.
- Специальные. Это конфиденциальная информация, содержащая подробности личной и общественной жизни конкретного человека. Например, расовую принадлежность, приверженность той или иной религии, наличие судимости, сведения о частной жизни, данные о кредитах и банковских вкладах.
- Биометрические. В эту категорию попадают данные, раскрывающие физические особенности того или иного лица, используемые для биометрической идентификации. Примеры: узор вен на ладони, отпечатки пальцев, группа крови, голос, генотип, рисунок сетчатки глаза. Более общие сведения: масса тела, цвет кожи и глаз, рост.
- Иные. В эту категорию входит информация, не охваченная другими классификациями. Например, политические взгляды, членство в различных сообществах, корпоративные сведения (размер заработной платы, количество отпусков и т. д).
Не все понимают разницу между специальными и иными данными, поскольку определения кажутся похожими. Отличие в том, что иные сведения часто меняются и лишь косвенно характеризуют личность.
Требования законодательства РФ, ответственность за разглашение и утечку персональных данных
Главным документом, на который следует опираться при работе с персональными данными, является ФЗ № 152 от 26 января 2007 года. Он диктует требования, касающиеся обработки, хранения и защиты информации.
За нарушение закона и несоблюдение правил работы с персональной информацией наступают следующие виды ответственности:
- Дисциплинарная (статьи № 81, 90, 192 ТК РФ) – выговоры, замечания и штрафы работнику, нарушившему правила работы с персональными данными. К этой категории мер ответственности относится и увольнение из организации.
- Гражданско-правовая (статьи № 15 ГК РФ и 24 152-ФЗ) – возмещение убытков и морального ущерба, если утечка персональной информации привела к серьезным последствиям для пострадавших лиц.
- Административная (статья № 13.11 КоАП РФ) – ответственность, которая наступает, если дело дошло до суда. Наказание выражается в виде предупреждения или штрафов в разных размерах.
- Уголовная (статьи № 137, 140, 272 УК РФ) – ответственность, наступающая за разглашение семейной и личной тайны. Выражается в больших штрафах, аресте, лишении свободы, исправительных работах, удержании дохода за определенный период.
Порядок работы с персональными данными внутри организации
К процессам обработки сведений относятся: сбор, запись, хранение, накопление, изменение, удаление, передача информации. Все эти действия должны осуществляться с письменного согласия владельцев персональных данных, которое необходимо получить перед тем, как совершать какие-либо действия.
Какие еще меры следует предпринять каждой организации:
- Разработать локальный акт, содержащий правила работы с персональной информацией. Что должно быть в документе: порядок сбора, хранения, использования и передачи данных, способы защиты, перечень лиц с правами доступа к информации, меры ответственности за нарушения.
- Назначить лиц, ответственных за процессы сбора и обработки данных, издать соответствующий приказ. Чаще всего назначают руководителей кадровой службы и подразделения информационной безопасности и ИТ-отдела, заместителей генерального директора.
- Определить, кто из сотрудников может использовать в работе чужие персональные данные и на каких основаниях. В этом случае необходимо четко регламентировать полномочия этих лиц.
- Взять с каждого сотрудника, допущенного к работе с персональными данными, обязательство о неразглашении конфиденциальной информации и предупредить о мерах ответственности за нарушения.
- Обеспечить организованное и безопасное хранение персональной информации, например, в электронном виде в базах данных табличного формата. Чтобы защитить сведения, необходимо использовать сложные пароли, разграничить доступ для сотрудников, эксплуатировать специальные средства обеспечения информационной безопасности.
Очень важно проводить организационную работу – доносить до персонала информацию об актуальных угрозах информационной безопасности, разъяснять правила использования данных и предупреждать о возможных последствиях инцидентов.
Угрозы безопасности персональных данных
Работа с персональными данными сопряжена с угрозами информационной безопасности – факторами, которые приводят к несанкционированному доступу к сведениям и, как следствие, к утечке, удалению, блокировке или модификации информации.
Какие угрозы бывают:
- Связанные с намеренными или случайными действиями лиц, у которых есть доступ к персональным данным. Речь идет об офисных и удаленных сотрудниках, а также людях, имеющих отношение к компании (например, специалистах на аутсорсе).
- Связанные с действиями внешних злоумышленников: мошенников, хакеров и т. д. Киберпреступники могут инициировать атаки на информационную инфраструктуру организации с целью похитить персональные и другие корпоративные данные, вывести из строя оборудование и информационные системы.
- Связанные с внедрением вредоносных компонентов на рабочие компьютеры. Например, мошенники часто используют программы-шпионы, перехватчики нажатий на клавиатуру и вирусы, которые могут удалять или видоизменять данные.
- Связанные со сбоями в работе программного обеспечения и оборудования. Такие ситуации могут привести к потере данных, если организация не позаботилась о резервном копировании.
- Связанные с уязвимостями информационной инфраструктуры, например слабой защитой данных. Такие недочеты облегчают злоумышленникам получение доступа к конфиденциальной информации и становятся причиной утечки.
В отдельную группу угроз можно вынести ситуации, которые не зависят от человека и соблюдения принципов работы с персональными данными. Это природные катастрофы и чрезвычайные происшествия локального масштаба, например пожар, наводнение и т. д.
Задача каждой организации – выстроить максимально эффективную защиту информации с учетом актуальных угроз безопасности. Чтобы это сделать, важно понимать, какие данные есть в распоряжении компании, где они хранятся и кто с ними работает. Получить ответы на эти вопросы позволит DAG-система.
Обеспечение безопасности доступа к персональным данным с помощью продукта Solar DAG
Продукт Solar DAG предназначен для работы с неструктурированными данными, в том числе и персональными. Такая информация хранится в разрозненных хранилищах и практически не контролируется, что повышает риск кражи и утечки. Вот пример, как появляются данные этого типа — сотрудник сделал скан договора, содержащего персональные данные клиента, сохранил его на рабочем столе или загрузил в общую папку в облаке. Оттуда информация может легко попасть в руки третьих лиц и быть использована в злонамеренных целях.
Использование DAG-системы направлено на реализацию единого подхода к контролю и управлению, на то, чтобы сфокусировать внимание службы безопасности на защите информации. Какие задачи решает продукт:
- Обнаруживает конфиденциальную информацию в информационных массивах и помогает ее классифицировать. Если говорить конкретно о персональных данных, то решение помогает найти изображения паспортов, договоры, карточки сотрудников и клиентов и т. д.
- Позволяет проводить аудит прав доступа. А именно: отслеживает состояние текущих полномочий, анализирует изменения в правах конкретных сотрудников за заданный период времени, предоставляет детализированную отчетность для офицеров службы безопасности.
- Упрощает процедуру аудита событий доступа. Система Solar DAG журналирует события в файловых системах с целью зафиксировать все операции, которые осуществляются с персональными данными и другой конфиденциальной информацией. Таким образом, удается своевременно обнаружить факты несанкционированного доступа и принять меры.
- Обеспечивает соблюдение политик доступа и работу с персональными данными, фиксируя все события доступа к информации и оповещая о них ответственных лиц.
- Осуществляет контроль политик хранения данных. Система отправляет все вновь созданные файлы и найденные документы на классификацию, после чего данным присваиваются определенные классы и назначаются конечные хранилища.
Сейчас ведется активная работа над интеграцией DAG-решения с другими инструментами управления доступом и обеспечения информационной безопасности. Например, союз с платформой IdM (Identity Management) позволит получать более детальную информацию о полномочиях сотрудников и правах доступа для той или иной учетной записи в информационных системах компании. Интеграция продукта класса PAM (Privileged Access Management) Solar SafeInspect и DAG будет способствовать более эффективному контролю рабочих сессий с участием привилегированных пользователей – сотрудников, которым предоставлены расширенные полномочия для работы с персональными данными и другой конфиденциальной информацией.
