Для малого бизнеса
+7 (499) 673-37-62

24.05.2024

Работа с персональными данными: использование DAG-системы

Работа с персональными данными: использование DAG-системы

Получить консультацию по Solar DAG

Большинство компаний имеет дело с персональной информацией и начинает работать с ней еще на этапе подбора сотрудников, изучая резюме кандидатов и проводя собеседования. В ходе основной деятельности в компании ведется сбор данных клиентов, партнеров, поставщиков и т. д. Согласно 152-ФЗ, вся эта информация должна надлежащим образом обрабатываться, организованно храниться и подлежать защите от несанкционированного раскрытия. Однако на практике часть сведений теряется в информационных массивах и упускается из виду. Обнаружить и структурировать их поможет система класса DAG (Data Access Governance). Разберемся, какую роль такое решение играет в работе с персональными данными и как использование DAG-системы позволяет снижать риски информационной безопасности.

Что относится к персональным данным

Персональными данными называют информацию, благодаря которой можно идентифицировать конкретное лицо. Это могут быть как общедоступные сведения, так и конфиденциальные, которые не выносятся на всеобщее обозрение и подлежат защите.

Персональные данные делятся на четыре категории в зависимости от характера сведений:

  • Общие. Это ФИО, телефонные номера, адреса электронной почты, место работы и должность, семейный статус, фотографии. Такие сведения не являются секретными и публикуются в социальных сетях, резюме, других общедоступных источниках.
  • Специальные. Это конфиденциальная информация, содержащая подробности личной и общественной жизни конкретного человека. Например, расовую принадлежность, приверженность той или иной религии, наличие судимости, сведения о частной жизни, данные о кредитах и банковских вкладах.
  • Биометрические. В эту категорию попадают данные, раскрывающие физические особенности того или иного лица, используемые для биометрической идентификации. Примеры: узор вен на ладони, отпечатки пальцев, группа крови, голос, генотип, рисунок сетчатки глаза. Более общие сведения: масса тела, цвет кожи и глаз, рост.
  • Иные. В эту категорию входит информация, не охваченная другими классификациями. Например, политические взгляды, членство в различных сообществах, корпоративные сведения (размер заработной платы, количество отпусков и т. д).

Не все понимают разницу между специальными и иными данными, поскольку определения кажутся похожими. Отличие в том, что иные сведения часто меняются и лишь косвенно характеризуют личность.

работа с разными типами персональных данных

Требования законодательства РФ, ответственность за разглашение и утечку персональных данных

Главным документом, на который следует опираться при работе с персональными данными, является ФЗ № 152 от 26 января 2007 года. Он диктует требования, касающиеся обработки, хранения и защиты информации.

За нарушение закона и несоблюдение правил работы с персональной информацией наступают следующие виды ответственности:

  • Дисциплинарная (статьи № 81, 90, 192 ТК РФ) – выговоры, замечания и штрафы работнику, нарушившему правила работы с персональными данными. К этой категории мер ответственности относится и увольнение из организации.
  • Гражданско-правовая (статьи № 15 ГК РФ и 24 152-ФЗ) – возмещение убытков и морального ущерба, если утечка персональной информации привела к серьезным последствиям для пострадавших лиц.
  • Административная (статья № 13.11 КоАП РФ) – ответственность, которая наступает, если дело дошло до суда. Наказание выражается в виде предупреждения или штрафов в разных размерах.
  • Уголовная (статьи № 137, 140, 272 УК РФ) – ответственность, наступающая за разглашение семейной и личной тайны. Выражается в больших штрафах, аресте, лишении свободы, исправительных работах, удержании дохода за определенный период.

Порядок работы с персональными данными внутри организации

К процессам обработки сведений относятся: сбор, запись, хранение, накопление, изменение, удаление, передача информации. Все эти действия должны осуществляться с письменного согласия владельцев персональных данных, которое необходимо получить перед тем, как совершать какие-либо действия.

Какие еще меры следует предпринять каждой организации:

  • Разработать локальный акт, содержащий правила работы с персональной информацией. Что должно быть в документе: порядок сбора, хранения, использования и передачи данных, способы защиты, перечень лиц с правами доступа к информации, меры ответственности за нарушения.
  • Назначить лиц, ответственных за процессы сбора и обработки данных, издать соответствующий приказ. Чаще всего назначают руководителей кадровой службы и подразделения информационной безопасности и ИТ-отдела, заместителей генерального директора.
  • Определить, кто из сотрудников может использовать в работе чужие персональные данные и на каких основаниях. В этом случае необходимо четко регламентировать полномочия этих лиц.
  • Взять с каждого сотрудника, допущенного к работе с персональными данными, обязательство о неразглашении конфиденциальной информации и предупредить о мерах ответственности за нарушения.
  • Обеспечить организованное и безопасное хранение персональной информации, например, в электронном виде в базах данных табличного формата. Чтобы защитить сведения, необходимо использовать сложные пароли, разграничить доступ для сотрудников, эксплуатировать специальные средства обеспечения информационной безопасности.

Очень важно проводить организационную работу – доносить до персонала информацию об актуальных угрозах информационной безопасности, разъяснять правила использования данных и предупреждать о возможных последствиях инцидентов.

Угрозы безопасности персональных данных

Работа с персональными данными сопряжена с угрозами информационной безопасности – факторами, которые приводят к несанкционированному доступу к сведениям и, как следствие, к утечке, удалению, блокировке или модификации информации.

Какие угрозы бывают:

  • Связанные с намеренными или случайными действиями лиц, у которых есть доступ к персональным данным. Речь идет об офисных и удаленных сотрудниках, а также людях, имеющих отношение к компании (например, специалистах на аутсорсе).
  • Связанные с действиями внешних злоумышленников: мошенников, хакеров и т. д. Киберпреступники могут инициировать атаки на информационную инфраструктуру организации с целью похитить персональные и другие корпоративные данные, вывести из строя оборудование и информационные системы.
  • Связанные с внедрением вредоносных компонентов на рабочие компьютеры. Например, мошенники часто используют программы-шпионы, перехватчики нажатий на клавиатуру и вирусы, которые могут удалять или видоизменять данные.
  • Связанные со сбоями в работе программного обеспечения и оборудования. Такие ситуации могут привести к потере данных, если организация не позаботилась о резервном копировании.
  • Связанные с уязвимостями информационной инфраструктуры, например слабой защитой данных. Такие недочеты облегчают злоумышленникам получение доступа к конфиденциальной информации и становятся причиной утечки.

В отдельную группу угроз можно вынести ситуации, которые не зависят от человека и соблюдения принципов работы с персональными данными. Это природные катастрофы и чрезвычайные происшествия локального масштаба, например пожар, наводнение и т. д.

Задача каждой организации – выстроить максимально эффективную защиту информации с учетом актуальных угроз безопасности. Чтобы это сделать, важно понимать, какие данные есть в распоряжении компании, где они хранятся и кто с ними работает. Получить ответы на эти вопросы позволит DAG-система.

угрозы безопасности персональных данных

Обеспечение безопасности доступа к персональным данным с помощью продукта Solar DAG

Продукт Solar DAG предназначен для работы с неструктурированными данными, в том числе и персональными. Такая информация хранится в разрозненных хранилищах и практически не контролируется, что повышает риск кражи и утечки. Вот пример, как появляются данные этого типа — сотрудник сделал скан договора, содержащего персональные данные клиента, сохранил его на рабочем столе или загрузил в общую папку в облаке. Оттуда информация может легко попасть в руки третьих лиц и быть использована в злонамеренных целях. 

Использование DAG-системы направлено на реализацию единого подхода к контролю и управлению, на то, чтобы сфокусировать внимание службы безопасности на защите информации. Какие задачи решает продукт:

  • Обнаруживает конфиденциальную информацию в информационных массивах и помогает ее классифицировать. Если говорить конкретно о персональных данных, то решение помогает найти изображения паспортов, договоры, карточки сотрудников и клиентов и т. д.
  • Позволяет проводить аудит прав доступа. А именно: отслеживает состояние текущих полномочий, анализирует изменения в правах конкретных сотрудников за заданный период времени, предоставляет детализированную отчетность для офицеров службы безопасности.
  • Упрощает процедуру аудита событий доступа. Система Solar DAG журналирует события в файловых системах с целью зафиксировать все операции, которые осуществляются с персональными данными и другой конфиденциальной информацией. Таким образом, удается своевременно обнаружить факты несанкционированного доступа и принять меры.
  • Обеспечивает соблюдение политик доступа и работу с персональными данными, фиксируя все события доступа к информации и оповещая о них ответственных лиц.
  • Осуществляет контроль политик хранения данных. Система отправляет все вновь созданные файлы и найденные документы на классификацию, после чего данным присваиваются определенные классы и назначаются конечные хранилища.

Сейчас ведется активная работа над интеграцией DAG-решения с другими инструментами управления доступом и обеспечения информационной безопасности. Например, союз с платформой IdM (Identity Management) позволит получать более детальную информацию о полномочиях сотрудников и правах доступа для той или иной учетной записи в информационных системах компании. Интеграция продукта класса PAM (Privileged Access Management) Solar SafeInspect и DAG будет способствовать более эффективному контролю рабочих сессий с участием привилегированных пользователей – сотрудников, которым предоставлены расширенные полномочия для работы с персональными данными и другой конфиденциальной информацией.

использование DAG-системы для защиты данных

ЗАКЛЮЧЕНИЕ

Чем эффективнее в компании организована работа с персональными данными, тем ниже риски утечки и других инцидентов ИБ. Привести информацию к единой модели, обеспечить ее целостность, актуальность, надлежащее хранение и безопасность позволит использование DAG-системы от ГК «Солар». Этот высокопроизводительный и удобный в эксплуатации продукт предоставляет продуманные инструменты для аналитики и создания отчетности. Он совместим с российскими операционными системами, регулярно обновляется с учетом передовых технологий, безболезненно внедряется в информационную инфраструктуру.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Приглашение на вебинар «От идеи до первых продаж. Каким был первый год развития Solar DAG»

Приглашение на вебинар «От идеи до первых продаж. Каким был первый год развития Solar DAG»

Узнать больше
DLP и DAG: могут ли эти системы заменять друг друга, в чем схожесть и различия технологий

DLP и DAG: могут ли эти системы заменять друг друга, в чем схожесть и различия технологий

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.