Защита персональных данных: как обеспечить безопасность и предотвратить утечку

Компании, которые являются операторами персональных данных (ПДн), должны обеспечить надлежащее хранение и безопасность информации такого характера, поскольку несанкционированное использование и утечка могут обернуться репутационным и финансовым ущербом. Рассказываем, какие сведения относятся к персональным, что им угрожает, как организовать защиту.

Кто такие субъекты персональных данных

Субъектами ПДн называют физических лиц, личность которых можно косвенно или прямо определить с помощью предоставленной ими индивидуальной информации. Операторы персональных данных обязаны запрашивать у них письменное согласие на обработку сведений такого характера. Субъекты ПДн имеют право при наступлении определенных условий отозвать это согласие, запросить у оператора информацию о целях и специфике обработки предоставленных им данных.

Какие данные относятся к персональным с точки зрения законодательства

Персональные данные — любая информация, позволяющая определить конкретного человека. Эта информация может быть общедоступной (опубликованной на просторах интернета, в справочниках, печатных изданиях) либо конфиденциальной. Конфиденциальные сведения известны ограниченному кругу лиц (в том числе операторам обработки ПДн) и подлежат защите.

Персональные данные делятся на четыре типа:

Общие. Как правило, сведения из этой категории не являются секретными и фигурируют в социальных сетях и резюме. К таким данным относятся ФИО, личные и рабочие номера телефонов, домашние адреса, электронная почта, никнеймы в мессенджерах, должность, образование.
Специальные. Информация о частной жизни субъектов, состоянии здоровья, наличии или отсутствии судимости, принадлежности к той или иной религии. Такие данные тоже могут быть в открытом доступе, но чаще люди стремятся сохранять их в тайне.
Биометрические. Такие персональные данные раскрывают индивидуальные физические особенности субъектов. Это рост, вес, цвет глаз, тембр голоса, черты лица, отпечатки пальцев, рисунок радужки глаза и т. д. Некоторые из этих уникальных признаков могут применяться для биометрической аутентификации человека, например, в системах СКУД, используемых для контроля доступа на охраняемые объекты.
Иные. Информация, которая не попала ни в одну из вышеперечисленных категорий, но тоже может помочь идентифицировать личность.

Причины утечки персональных данных

Первая причина — кибератаки на организацию, инициированные внешними злоумышленниками. Чтобы получить доступ к чувствительным сведениям, хакеры взламывают учетные записи сотрудников, внедряют программы-шпионы и вирусы, перехватывают информацию в движении.

Вторая причина — технологические уязвимости, которые возникают из-за неисправности или некорректной работы оборудования, неправильных настроек средств защиты. Компьютеры, на которых хранятся конфиденциальные данные, могут быть украдены, в результате чего информация попадет к третьим лицам.

Третья и самая распространенная причина утечки персональных данных — халатное отношение сотрудников к своим обязанностям. Работники могут пренебрегать выполнением правил политики безопасности, ошибаться при отправке информации по каналам коммуникаций, нарушать регламенты хранения. Нельзя исключать и злоумышленные намерения, которые иногда заставляют сотрудников создавать условия для утечки или похищать важные сведения.

Правовая защита персональных данных, меры ответственности за утечку и разглашение

Существует ФЗ № 152, описывающий категории персональных данных и диктующий необходимость их защищать. За нарушение регламентов работы с такой информацией предусмотрены следующие меры ответственности:

Дисциплинарная. Применяется к нарушителям внутри компании. Например, выговор или увольнение. Действующие законодательные нормы: статьи 81, 90, 192 ТК РФ.
Гражданско-правовая: штрафы, возмещение ущерба пострадавшим. Регулируется статьей 15 ГК РФ, статьей 24 ФЗ № 152.
Административная, наступающая в случае судебного рассмотрения нарушений, связанных с персональными данными. Мера наказания — различные суммы штрафов. Законодательно регулируется КоАП РФ — статьей 13.11.
Уголовная, наступающая в случае серьезных нарушений прав субъектов ПДн. Меры ответственности: штрафы, исправительные работы, ограничение свободы. Регулируется УК РФ — статьи 137, 140, 272.

Организационные меры защиты персональных данных

Организационные меры скорее направлены не на защиту информации, а на профилактику инцидентов. К таким мерам относятся: анализ актуальных угроз, работа с персоналом, разработка политик ИБ и оптимизация бизнес-процессов.

Анализ угроз ПДн

Чтобы выстроить эффективную защиту, необходимо провести анализ угроз ИБ применимо к компании и ее внутренним процессам. Это позволит обнаружить уязвимости информационной инфраструктуры, которые злоумышленники могут использовать в качестве точек входа.

Анализ угроз следует проводить регулярно, особенно после внедрения новых средств защиты и оборудования, расширения штата, изменения специфики рабочих процессов. Важно учитывать и то, что арсенал мошеннических схем и инструментов растет, поэтому без регулярного контроля состояния инфраструктуры не получится достичь высокого уровня информационной безопасности.

Разработка политик защиты персональных данных

Политики защиты — свод правил, регламентирующих порядок сбора, хранения и обработки чувствительных сведений. В них должны быть прописаны методы и средства, которые компания будет использовать для борьбы с кибератаками, утечками и корпоративным мошенничеством.

Также политики должны содержать меры ответственности за нарушение регламентов и перечень лиц, которые будут контролировать соблюдение внутренних правил.

Обучение персонала основам ИБ

Безопасность персональных данных во многом зависит от грамотных действий сотрудников. Персонал должен строго соблюдать правила работы с информацией, прописанные в законодательных документах и внутренних политиках.

Обязательным звеном стратегии защиты данных должно стать обучение сотрудников кибергигиене. В формате тренингов и инструктажей необходимо донести информацию об актуальных угрозах ИБ и их признаках. Например, если сотрудник будет знать о социальной инженерии или фишинге, снизятся риски, что он попадется на мошенническую схему.

Перенастройка бизнес-процессов

Все рабочие процессы в компании должны строиться с фокусом на защите персональных данных и другой чувствительной информации. Это необходимо, чтобы максимально исключить уязвимости и лазейки для недобросовестных сотрудников, желающих обойти механизмы защиты, чтобы совершать несанкционированные действия с конфиденциальными сведениями.

Методы защиты персональных данных

Разберемся, с помощью каких механизмов защиты можно предотвращать утечки персональной информации, бороться с несанкционированным доступом, инсайдерскими угрозами.

Шифрование данных

Под шифрованием понимают обратимое преобразование информации в нечитаемый формат, чтобы при утечке третьи лица не могли прочитать данные и использовать их в своих целях.

Можно использовать симметричное шифрование, при котором для кодирования и декодирования данных применяется один и тот же ключ, или асимметричное шифрование, основанное на паре открытого и закрытого ключей. Поскольку закрытый ключ хранится в секрете, асимметричное шифрование считается более надежным.

Управление доступом к информационным массивам и ресурсам

Чтобы минимизировать риски несанкционированного взаимодействия с персональными данными, необходимо разграничить доступ для пользователей и учетных записей. Удобно делать это с помощью IdM/IGA системы Solar inRights. Она назначает доступ на базе ролевой модели формирования полномочий, позволяет соблюдать принцип наименьших привилегий, управляет жизненным циклом учетных записей в используемых компанией информационных ресурсах.

Защита от вредоносных программ

Чтобы украсть, удалить или модифицировать персональные данные, злоумышленники часто используют программы-шпионы, вирусы, кейлогеры, запоминающие действия с клавиатурой. Антивирусные решения препятствуют попаданию таких компонентов на пользовательские компьютеры — они анализируют входящий трафик, обнаруживают в нем признаки подозрительного ПО и блокируют передачу пакетов.

Проверка трафика, обнаружение и предотвращение вторжений

Проверку трафика выполняет программный или аппаратный межсетевой экран (брандмауэр) — базовое средство сетевой защиты с функцией анализа входящих и исходящих пакетов данных, которое препятствует утечке данных и подозрительной активности со стороны внешних злоумышленников.

Обнаруживать и предотвращать вторжения помогают IPS- и IDS-системы (сейчас чаще используется только аббревиатура IPS) — они проверяют входящий трафик на соответствие сигнатурам угроз, фиксируют аномалии. Их задача — обнаруживать и предотвращать сложные сетевые атаки, которые могли быть пропущены брандмауэром.

Еще эффективнее защищать персональные данные позволяют комплексные решения — NGFW. В портфеле ГК «Солар» есть такой продукт. Он включает базовый межсетевой экран, IPS-систему, антивирус, технологию анализа данных приложений и другие продуманные инструменты для обеспечения ИБ.

Контроль утечек и мониторинг действий сотрудников

Для предотвращения утечек персональных данных и контроля действий сотрудников компании внедряют DLP-системы (Data Leak Prevention). Такие решения позволяют отслеживать перемещение информации по всем основным каналам, выявлять подозрительные действия и своевременно реагировать на инциденты.

Solar Dozor — российская DLP-система корпоративного класса, которая обеспечивает комплексную защиту данных и автоматизацию расследований. Решение реализует персоноцентричный подход: контроль строится не только в отношении каналов передачи информации, но и действий конкретных пользователей.

решения для защиты персональных данных от утечки

Возможности DLP-решения Solar Dozor для защиты персональных данных от утечки

В нашей системе реализованы инструменты для мониторинга движения данных, перехвата конфиденциальной информации, анализа пользовательского поведения и проведения расследований. Рассмотрим ключевые механизмы защиты:

Мониторинг всех каналов передачи данных: корпоративная и веб-почта, мессенджеры, облачные и локальные хранилища, печать, съемные носители, интернет-активность.
Контроль рабочих станций (Windows, Linux, macOS): отслеживание копирования, печати, передачи файлов, подключения устройств, работы с буфером обмена, а также запись экрана и звука.
UBA — модуль поведенческого анализа: выявление аномалий и подозрительных паттернов, например признаков подготовки к увольнению, саботажа или корпоративного мошенничества.
Автоматизация расследований: модуль Dozor Detective позволяет быстро собирать доказательства, анализировать связи между участниками инцидента, формировать отчеты и вести расследования даже по событиям вне цифрового периметра.
Расширенная аналитика персон: формирование досье на сотрудников с таймлайном событий, анализом коммуникаций, рабочих контактов и активности.
OCR — распознавание текста в изображениях: извлечение и анализ персональных данных даже из скриншотов и сканов.
Инвентаризация и контроль данных в покое: сканирование файловых хранилищ, построение карты корпоративной сети, автоматическая блокировка или замена файлов при выявлении нарушений.
Централизованное управление: единый веб-интерфейс для настройки политик, мониторинга событий и управления расследованиями по всей организации, включая филиалы.

ЗАКЛЮЧЕНИЕ

Персональные данные относятся к категории конфиденциальных, поэтому должны охраняться от внешних злоумышленников и инсайдеров. Обеспечить защиту поможет Solar Dozor — надежная DLP-система, воплощающая концепцию People-Centric Security, которая подразумевает фокус на человеке. Наше решение не только защищает данные от утечки, но и выявляет потенциальных нарушителей среди персонала.