Работа с персональными данными: использование DAG-системы

Большинство компаний имеет дело с персональной информацией и начинает работать с ней еще на этапе подбора сотрудников, изучая резюме кандидатов и проводя собеседования. В ходе основной деятельности в компании ведется сбор данных клиентов, партнеров, поставщиков и т. д. Согласно 152-ФЗ, вся эта информация должна надлежащим образом обрабатываться, организованно храниться и подлежать защите от несанкционированного раскрытия. Однако на практике часть сведений теряется в информационных массивах и упускается из виду. Обнаружить и структурировать их поможет система класса DAG (Data Access Governance). Разберемся, какую роль такое решение играет в работе с персональными данными и как использование DAG-системы позволяет снижать риски информационной безопасности.

Что относится к персональным данным

Персональными данными называют информацию, благодаря которой можно идентифицировать конкретное лицо. Это могут быть как общедоступные сведения, так и конфиденциальные, которые не выносятся на всеобщее обозрение и подлежат защите.

Персональные данные делятся на четыре категории в зависимости от характера сведений:

• Общие. Это ФИО, телефонные номера, адреса электронной почты, место работы и должность, семейный статус, фотографии. Такие сведения не являются секретными и публикуются в социальных сетях, резюме, других общедоступных источниках.
• Специальные. Это конфиденциальная информация, содержащая подробности личной и общественной жизни конкретного человека. Например, расовую принадлежность, приверженность той или иной религии, наличие судимости, сведения о частной жизни, данные о кредитах и банковских вкладах.
• Биометрические. В эту категорию попадают данные, раскрывающие физические особенности того или иного лица, используемые для биометрической идентификации. Примеры: узор вен на ладони, отпечатки пальцев, группа крови, голос, генотип, рисунок сетчатки глаза. Более общие сведения: масса тела, цвет кожи и глаз, рост.
• Иные. В эту категорию входит информация, не охваченная другими классификациями. Например, политические взгляды, членство в различных сообществах, корпоративные сведения (размер заработной платы, количество отпусков и т. д).

Не все понимают разницу между специальными и иными данными, поскольку определения кажутся похожими. Отличие в том, что иные сведения часто меняются и лишь косвенно характеризуют личность.

Требования законодательства РФ, ответственность за разглашение и утечку персональных данных

Главным документом, на который следует опираться при работе с персональными данными, является ФЗ № 152 от 26 января 2007 года. Он диктует требования, касающиеся обработки, хранения и защиты информации.

За нарушение закона и несоблюдение правил работы с персональной информацией наступают следующие виды ответственности:

• Дисциплинарная (статьи № 81, 90, 192 ТК РФ) – выговоры, замечания и штрафы работнику, нарушившему правила работы с персональными данными. К этой категории мер ответственности относится и увольнение из организации.
• Гражданско-правовая (статьи № 15 ГК РФ и 24 152-ФЗ) – возмещение убытков и морального ущерба, если утечка персональной информации привела к серьезным последствиям для пострадавших лиц.
• Административная (статья № 13.11 КоАП РФ) – ответственность, которая наступает, если дело дошло до суда. Наказание выражается в виде предупреждения или штрафов в разных размерах.
• Уголовная (статьи № 137, 140, 272 УК РФ) – ответственность, наступающая за разглашение семейной и личной тайны. Выражается в больших штрафах, аресте, лишении свободы, исправительных работах, удержании дохода за определенный период.

Порядок работы с персональными данными внутри организации

К процессам обработки сведений относятся: сбор, запись, хранение, накопление, изменение, удаление, передача информации. Все эти действия должны осуществляться с письменного согласия владельцев персональных данных, которое необходимо получить перед тем, как совершать какие-либо действия.

Какие еще меры следует предпринять каждой организации:

• Разработать локальный акт, содержащий правила работы с персональной информацией. Что должно быть в документе: порядок сбора, хранения, использования и передачи данных, способы защиты, перечень лиц с правами доступа к информации, меры ответственности за нарушения.
• Назначить лиц, ответственных за процессы сбора и обработки данных, издать соответствующий приказ. Чаще всего назначают руководителей кадровой службы и подразделения информационной безопасности и ИТ-отдела, заместителей генерального директора.
• Определить, кто из сотрудников может использовать в работе чужие персональные данные и на каких основаниях. В этом случае необходимо четко регламентировать полномочия этих лиц.
• Взять с каждого сотрудника, допущенного к работе с персональными данными, обязательство о неразглашении конфиденциальной информации и предупредить о мерах ответственности за нарушения.
• Обеспечить организованное и безопасное хранение персональной информации, например, в электронном виде в базах данных табличного формата. Чтобы защитить сведения, необходимо использовать сложные пароли, разграничить доступ для сотрудников, эксплуатировать специальные средства обеспечения информационной безопасности.

Очень важно проводить организационную работу – доносить до персонала информацию об актуальных угрозах информационной безопасности, разъяснять правила использования данных и предупреждать о возможных последствиях инцидентов.

Угрозы безопасности персональных данных

Работа с персональными данными сопряжена с угрозами информационной безопасности – факторами, которые приводят к несанкционированному доступу к сведениям и, как следствие, к утечке, удалению, блокировке или модификации информации.

Какие угрозы бывают:

• Связанные с намеренными или случайными действиями лиц, у которых есть доступ к персональным данным. Речь идет об офисных и удаленных сотрудниках, а также людях, имеющих отношение к компании (например, специалистах на аутсорсе).
• Связанные с действиями внешних злоумышленников: мошенников, хакеров и т. д. Киберпреступники могут инициировать атаки на информационную инфраструктуру организации с целью похитить персональные и другие корпоративные данные, вывести из строя оборудование и информационные системы.
• Связанные с внедрением вредоносных компонентов на рабочие компьютеры. Например, мошенники часто используют программы-шпионы, перехватчики нажатий на клавиатуру и вирусы, которые могут удалять или видоизменять данные.
• Связанные со сбоями в работе программного обеспечения и оборудования. Такие ситуации могут привести к потере данных, если организация не позаботилась о резервном копировании.
• Связанные с уязвимостями информационной инфраструктуры, например слабой защитой данных. Такие недочеты облегчают злоумышленникам получение доступа к конфиденциальной информации и становятся причиной утечки.

В отдельную группу угроз можно вынести ситуации, которые не зависят от человека и соблюдения принципов работы с персональными данными. Это природные катастрофы и чрезвычайные происшествия локального масштаба, например пожар, наводнение и т. д.

Задача каждой организации – выстроить максимально эффективную защиту информации с учетом актуальных угроз безопасности. Чтобы это сделать, важно понимать, какие данные есть в распоряжении компании, где они хранятся и кто с ними работает. Получить ответы на эти вопросы позволит DAG-система.

Обеспечение безопасности доступа к персональным данным с помощью продукта Solar DAG

Продукт Solar DAG предназначен для работы с неструктурированными данными, в том числе и персональными. Такая информация хранится в разрозненных хранилищах и практически не контролируется, что повышает риск кражи и утечки. Вот пример, как появляются данные этого типа — сотрудник сделал скан договора, содержащего персональные данные клиента, сохранил его на рабочем столе или загрузил в общую папку в облаке. Оттуда информация может легко попасть в руки третьих лиц и быть использована в злонамеренных целях. 

Использование DAG-системы направлено на реализацию единого подхода к контролю и управлению, на то, чтобы сфокусировать внимание службы безопасности на защите информации. Какие задачи решает продукт:

• Обнаруживает конфиденциальную информацию в информационных массивах и помогает ее классифицировать. Если говорить конкретно о персональных данных, то решение помогает найти изображения паспортов, договоры, карточки сотрудников и клиентов и т. д.
• Позволяет проводить аудит прав доступа. А именно: отслеживает состояние текущих полномочий, анализирует изменения в правах конкретных сотрудников за заданный период времени, предоставляет детализированную отчетность для офицеров службы безопасности.
• Упрощает процедуру аудита событий доступа. Система Solar DAG журналирует события в файловых системах с целью зафиксировать все операции, которые осуществляются с персональными данными и другой конфиденциальной информацией. Таким образом, удается своевременно обнаружить факты несанкционированного доступа и принять меры.
• Обеспечивает соблюдение политик доступа и работу с персональными данными, фиксируя все события доступа к информации и оповещая о них ответственных лиц.
• Осуществляет контроль политик хранения данных. Система отправляет все вновь созданные файлы и найденные документы на классификацию, после чего данным присваиваются определенные классы и назначаются конечные хранилища.

Сейчас ведется активная работа над интеграцией DAG-решения с другими инструментами управления доступом и обеспечения информационной безопасности. Например, союз с платформой IdM (Identity Management) позволит получать более детальную информацию о полномочиях сотрудников и правах доступа для той или иной учетной записи в информационных системах компании. Интеграция продукта класса PAM (Privileged Access Management) Solar SafeInspect и DAG будет способствовать более эффективному контролю рабочих сессий с участием привилегированных пользователей – сотрудников, которым предоставлены расширенные полномочия для работы с персональными данными и другой конфиденциальной информацией.