Для малого бизнеса
+7 (499) 673-37-62

24.05.2024

Работа с персональными данными: использование DAG-системы

Работа с персональными данными: использование DAG-системы

Получить консультацию по Solar DAG

Большинство компаний имеет дело с персональной информацией и начинает работать с ней еще на этапе подбора сотрудников, изучая резюме кандидатов и проводя собеседования. В ходе основной деятельности в компании ведется сбор данных клиентов, партнеров, поставщиков и т. д. Согласно 152-ФЗ, вся эта информация должна надлежащим образом обрабатываться, организованно храниться и подлежать защите от несанкционированного раскрытия. Однако на практике часть сведений теряется в информационных массивах и упускается из виду. Обнаружить и структурировать их поможет система класса DAG (Data Access Governance). Разберемся, какую роль такое решение играет в работе с персональными данными и как использование DAG-системы позволяет снижать риски информационной безопасности.

Что относится к персональным данным

Персональными данными называют информацию, благодаря которой можно идентифицировать конкретное лицо. Это могут быть как общедоступные сведения, так и конфиденциальные, которые не выносятся на всеобщее обозрение и подлежат защите.

Персональные данные делятся на четыре категории в зависимости от характера сведений:

  • Общие. Это ФИО, телефонные номера, адреса электронной почты, место работы и должность, семейный статус, фотографии. Такие сведения не являются секретными и публикуются в социальных сетях, резюме, других общедоступных источниках.
  • Специальные. Это конфиденциальная информация, содержащая подробности личной и общественной жизни конкретного человека. Например, расовую принадлежность, приверженность той или иной религии, наличие судимости, сведения о частной жизни, данные о кредитах и банковских вкладах.
  • Биометрические. В эту категорию попадают данные, раскрывающие физические особенности того или иного лица, используемые для биометрической идентификации. Примеры: узор вен на ладони, отпечатки пальцев, группа крови, голос, генотип, рисунок сетчатки глаза. Более общие сведения: масса тела, цвет кожи и глаз, рост.
  • Иные. В эту категорию входит информация, не охваченная другими классификациями. Например, политические взгляды, членство в различных сообществах, корпоративные сведения (размер заработной платы, количество отпусков и т. д).

Не все понимают разницу между специальными и иными данными, поскольку определения кажутся похожими. Отличие в том, что иные сведения часто меняются и лишь косвенно характеризуют личность.

работа с разными типами персональных данных

Требования законодательства РФ, ответственность за разглашение и утечку персональных данных

Главным документом, на который следует опираться при работе с персональными данными, является ФЗ № 152 от 26 января 2007 года. Он диктует требования, касающиеся обработки, хранения и защиты информации.

За нарушение закона и несоблюдение правил работы с персональной информацией наступают следующие виды ответственности:

  • Дисциплинарная (статьи № 81, 90, 192 ТК РФ) – выговоры, замечания и штрафы работнику, нарушившему правила работы с персональными данными. К этой категории мер ответственности относится и увольнение из организации.
  • Гражданско-правовая (статьи № 15 ГК РФ и 24 152-ФЗ) – возмещение убытков и морального ущерба, если утечка персональной информации привела к серьезным последствиям для пострадавших лиц.
  • Административная (статья № 13.11 КоАП РФ) – ответственность, которая наступает, если дело дошло до суда. Наказание выражается в виде предупреждения или штрафов в разных размерах.
  • Уголовная (статьи № 137, 140, 272 УК РФ) – ответственность, наступающая за разглашение семейной и личной тайны. Выражается в больших штрафах, аресте, лишении свободы, исправительных работах, удержании дохода за определенный период.

Порядок работы с персональными данными внутри организации

К процессам обработки сведений относятся: сбор, запись, хранение, накопление, изменение, удаление, передача информации. Все эти действия должны осуществляться с письменного согласия владельцев персональных данных, которое необходимо получить перед тем, как совершать какие-либо действия.

Какие еще меры следует предпринять каждой организации:

  • Разработать локальный акт, содержащий правила работы с персональной информацией. Что должно быть в документе: порядок сбора, хранения, использования и передачи данных, способы защиты, перечень лиц с правами доступа к информации, меры ответственности за нарушения.
  • Назначить лиц, ответственных за процессы сбора и обработки данных, издать соответствующий приказ. Чаще всего назначают руководителей кадровой службы и подразделения информационной безопасности и ИТ-отдела, заместителей генерального директора.
  • Определить, кто из сотрудников может использовать в работе чужие персональные данные и на каких основаниях. В этом случае необходимо четко регламентировать полномочия этих лиц.
  • Взять с каждого сотрудника, допущенного к работе с персональными данными, обязательство о неразглашении конфиденциальной информации и предупредить о мерах ответственности за нарушения.
  • Обеспечить организованное и безопасное хранение персональной информации, например, в электронном виде в базах данных табличного формата. Чтобы защитить сведения, необходимо использовать сложные пароли, разграничить доступ для сотрудников, эксплуатировать специальные средства обеспечения информационной безопасности.

Очень важно проводить организационную работу – доносить до персонала информацию об актуальных угрозах информационной безопасности, разъяснять правила использования данных и предупреждать о возможных последствиях инцидентов.

Угрозы безопасности персональных данных

Работа с персональными данными сопряжена с угрозами информационной безопасности – факторами, которые приводят к несанкционированному доступу к сведениям и, как следствие, к утечке, удалению, блокировке или модификации информации.

Какие угрозы бывают:

  • Связанные с намеренными или случайными действиями лиц, у которых есть доступ к персональным данным. Речь идет об офисных и удаленных сотрудниках, а также людях, имеющих отношение к компании (например, специалистах на аутсорсе).
  • Связанные с действиями внешних злоумышленников: мошенников, хакеров и т. д. Киберпреступники могут инициировать атаки на информационную инфраструктуру организации с целью похитить персональные и другие корпоративные данные, вывести из строя оборудование и информационные системы.
  • Связанные с внедрением вредоносных компонентов на рабочие компьютеры. Например, мошенники часто используют программы-шпионы, перехватчики нажатий на клавиатуру и вирусы, которые могут удалять или видоизменять данные.
  • Связанные со сбоями в работе программного обеспечения и оборудования. Такие ситуации могут привести к потере данных, если организация не позаботилась о резервном копировании.
  • Связанные с уязвимостями информационной инфраструктуры, например слабой защитой данных. Такие недочеты облегчают злоумышленникам получение доступа к конфиденциальной информации и становятся причиной утечки.

В отдельную группу угроз можно вынести ситуации, которые не зависят от человека и соблюдения принципов работы с персональными данными. Это природные катастрофы и чрезвычайные происшествия локального масштаба, например пожар, наводнение и т. д.

Задача каждой организации – выстроить максимально эффективную защиту информации с учетом актуальных угроз безопасности. Чтобы это сделать, важно понимать, какие данные есть в распоряжении компании, где они хранятся и кто с ними работает. Получить ответы на эти вопросы позволит DAG-система.

угрозы безопасности персональных данных

Обеспечение безопасности доступа к персональным данным с помощью продукта Solar DAG

Продукт Solar DAG предназначен для работы с неструктурированными данными, в том числе и персональными. Такая информация хранится в разрозненных хранилищах и практически не контролируется, что повышает риск кражи и утечки. Вот пример, как появляются данные этого типа — сотрудник сделал скан договора, содержащего персональные данные клиента, сохранил его на рабочем столе или загрузил в общую папку в облаке. Оттуда информация может легко попасть в руки третьих лиц и быть использована в злонамеренных целях. 

Использование DAG-системы направлено на реализацию единого подхода к контролю и управлению, на то, чтобы сфокусировать внимание службы безопасности на защите информации. Какие задачи решает продукт:

  • Обнаруживает конфиденциальную информацию в информационных массивах и помогает ее классифицировать. Если говорить конкретно о персональных данных, то решение помогает найти изображения паспортов, договоры, карточки сотрудников и клиентов и т. д.
  • Позволяет проводить аудит прав доступа. А именно: отслеживает состояние текущих полномочий, анализирует изменения в правах конкретных сотрудников за заданный период времени, предоставляет детализированную отчетность для офицеров службы безопасности.
  • Упрощает процедуру аудита событий доступа. Система Solar DAG журналирует события в файловых системах с целью зафиксировать все операции, которые осуществляются с персональными данными и другой конфиденциальной информацией. Таким образом, удается своевременно обнаружить факты несанкционированного доступа и принять меры.
  • Обеспечивает соблюдение политик доступа и работу с персональными данными, фиксируя все события доступа к информации и оповещая о них ответственных лиц.
  • Осуществляет контроль политик хранения данных. Система отправляет все вновь созданные файлы и найденные документы на классификацию, после чего данным присваиваются определенные классы и назначаются конечные хранилища.

Сейчас ведется активная работа над интеграцией DAG-решения с другими инструментами управления доступом и обеспечения информационной безопасности. Например, союз с платформой IdM (Identity Management) позволит получать более детальную информацию о полномочиях сотрудников и правах доступа для той или иной учетной записи в информационных системах компании. Интеграция продукта класса PAM (Privileged Access Management) Solar SafeInspect и DAG будет способствовать более эффективному контролю рабочих сессий с участием привилегированных пользователей – сотрудников, которым предоставлены расширенные полномочия для работы с персональными данными и другой конфиденциальной информацией.

использование DAG-системы для защиты данных

ЗАКЛЮЧЕНИЕ

Чем эффективнее в компании организована работа с персональными данными, тем ниже риски утечки и других инцидентов ИБ. Привести информацию к единой модели, обеспечить ее целостность, актуальность, надлежащее хранение и безопасность позволит использование DAG-системы от ГК «Солар». Этот высокопроизводительный и удобный в эксплуатации продукт предоставляет продуманные инструменты для аналитики и создания отчетности. Он совместим с российскими операционными системами, регулярно обновляется с учетом передовых технологий, безболезненно внедряется в информационную инфраструктуру.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

DLP и DAG: могут ли эти системы заменять друг друга, в чем схожесть и различия технологий

DLP и DAG: могут ли эти системы заменять друг друга, в чем схожесть и различия технологий

Узнать больше
Групповые политики: реализация с помощью DAG-систем

Групповые политики: реализация с помощью DAG-систем

Узнать больше
Цифровые активы в современном бизнесе: риски и контроль

Цифровые активы в современном бизнесе: риски и контроль

Узнать больше
Стандарт по обеспечению ИБ Банков России (СТО БР ИББС)

Стандарт по обеспечению ИБ Банков России (СТО БР ИББС)

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.