
Комплаенс
Узнать больше08.09.2025
Компании, которые являются операторами персональных данных (ПДн), должны обеспечить надлежащее хранение и безопасность информации такого характера, поскольку несанкционированное использование и утечка могут обернуться репутационным и финансовым ущербом. Рассказываем, какие сведения относятся к персональным, что им угрожает, как организовать защиту.
Кто такие субъекты персональных данных
Субъектами ПДн называют физических лиц, личность которых можно косвенно или прямо определить с помощью предоставленной ими индивидуальной информации. Операторы персональных данных обязаны запрашивать у них письменное согласие на обработку сведений такого характера. Субъекты ПДн имеют право при наступлении определенных условий отозвать это согласие, запросить у оператора информацию о целях и специфике обработки предоставленных им данных.
Какие данные относятся к персональным с точки зрения законодательства
Персональные данные — любая информация, позволяющая определить конкретного человека. Эта информация может быть общедоступной (опубликованной на просторах интернета, в справочниках, печатных изданиях) либо конфиденциальной. Конфиденциальные сведения известны ограниченному кругу лиц (в том числе операторам обработки ПДн) и подлежат защите.
Персональные данные делятся на четыре типа:
Причины утечки персональных данных
Первая причина — кибератаки на организацию, инициированные внешними злоумышленниками. Чтобы получить доступ к чувствительным сведениям, хакеры взламывают учетные записи сотрудников, внедряют программы-шпионы и вирусы, перехватывают информацию в движении.
Вторая причина — технологические уязвимости, которые возникают из-за неисправности или некорректной работы оборудования, неправильных настроек средств защиты. Компьютеры, на которых хранятся конфиденциальные данные, могут быть украдены, в результате чего информация попадет к третьим лицам.
Третья и самая распространенная причина утечки персональных данных — халатное отношение сотрудников к своим обязанностям. Работники могут пренебрегать выполнением правил политики безопасности, ошибаться при отправке информации по каналам коммуникаций, нарушать регламенты хранения. Нельзя исключать и злоумышленные намерения, которые иногда заставляют сотрудников создавать условия для утечки или похищать важные сведения.
Правовая защита персональных данных, меры ответственности за утечку и разглашение
Существует ФЗ № 152, описывающий категории персональных данных и диктующий необходимость их защищать. За нарушение регламентов работы с такой информацией предусмотрены следующие меры ответственности:
Организационные меры защиты персональных данных
Организационные меры скорее направлены не на защиту информации, а на профилактику инцидентов. К таким мерам относятся: анализ актуальных угроз, работа с персоналом, разработка политик ИБ и оптимизация бизнес-процессов.
Анализ угроз ПДн
Чтобы выстроить эффективную защиту, необходимо провести анализ угроз ИБ применимо к компании и ее внутренним процессам. Это позволит обнаружить уязвимости информационной инфраструктуры, которые злоумышленники могут использовать в качестве точек входа.
Анализ угроз следует проводить регулярно, особенно после внедрения новых средств защиты и оборудования, расширения штата, изменения специфики рабочих процессов. Важно учитывать и то, что арсенал мошеннических схем и инструментов растет, поэтому без регулярного контроля состояния инфраструктуры не получится достичь высокого уровня информационной безопасности.
Разработка политик защиты персональных данных
Политики защиты — свод правил, регламентирующих порядок сбора, хранения и обработки чувствительных сведений. В них должны быть прописаны методы и средства, которые компания будет использовать для борьбы с кибератаками, утечками и корпоративным мошенничеством.
Также политики должны содержать меры ответственности за нарушение регламентов и перечень лиц, которые будут контролировать соблюдение внутренних правил.
Обучение персонала основам ИБ
Безопасность персональных данных во многом зависит от грамотных действий сотрудников. Персонал должен строго соблюдать правила работы с информацией, прописанные в законодательных документах и внутренних политиках.
Обязательным звеном стратегии защиты данных должно стать обучение сотрудников кибергигиене. В формате тренингов и инструктажей необходимо донести информацию об актуальных угрозах ИБ и их признаках. Например, если сотрудник будет знать о социальной инженерии или фишинге, снизятся риски, что он попадется на мошенническую схему.
Перенастройка бизнес-процессов
Все рабочие процессы в компании должны строиться с фокусом на защите персональных данных и другой чувствительной информации. Это необходимо, чтобы максимально исключить уязвимости и лазейки для недобросовестных сотрудников, желающих обойти механизмы защиты, чтобы совершать несанкционированные действия с конфиденциальными сведениями.
Методы защиты персональных данных
Разберемся, с помощью каких механизмов защиты можно предотвращать утечки персональной информации, бороться с несанкционированным доступом, инсайдерскими угрозами.
Шифрование данных
Под шифрованием понимают обратимое преобразование информации в нечитаемый формат, чтобы при утечке третьи лица не могли прочитать данные и использовать их в своих целях.
Можно использовать симметричное шифрование, при котором для кодирования и декодирования данных применяется один и тот же ключ, или асимметричное шифрование, основанное на паре открытого и закрытого ключей. Поскольку закрытый ключ хранится в секрете, асимметричное шифрование считается более надежным.
Управление доступом к информационным массивам и ресурсам
Чтобы минимизировать риски несанкционированного взаимодействия с персональными данными, необходимо разграничить доступ для пользователей и учетных записей. Удобно делать это с помощью IdM/IGA системы Solar inRights. Она назначает доступ на базе ролевой модели формирования полномочий, позволяет соблюдать принцип наименьших привилегий, управляет жизненным циклом учетных записей в используемых компанией информационных ресурсах.
Защита от вредоносных программ
Чтобы украсть, удалить или модифицировать персональные данные, злоумышленники часто используют программы-шпионы, вирусы, кейлогеры, запоминающие действия с клавиатурой. Антивирусные решения препятствуют попаданию таких компонентов на пользовательские компьютеры — они анализируют входящий трафик, обнаруживают в нем признаки подозрительного ПО и блокируют передачу пакетов.
Проверка трафика, обнаружение и предотвращение вторжений
Проверку трафика выполняет программный или аппаратный межсетевой экран (брандмауэр) — базовое средство сетевой защиты с функцией анализа входящих и исходящих пакетов данных, которое препятствует утечке данных и подозрительной активности со стороны внешних злоумышленников.
Обнаруживать и предотвращать вторжения помогают IPS- и IDS-системы (сейчас чаще используется только аббревиатура IPS) — они проверяют входящий трафик на соответствие сигнатурам угроз, фиксируют аномалии. Их задача — обнаруживать и предотвращать сложные сетевые атаки, которые могли быть пропущены брандмауэром.
Еще эффективнее защищать персональные данные позволяют комплексные решения — NGFW. В портфеле ГК «Солар» есть такой продукт. Он включает базовый межсетевой экран, IPS-систему, антивирус, технологию анализа данных приложений и другие продуманные инструменты для обеспечения ИБ.
Контроль утечек и мониторинг действий сотрудников
Для предотвращения утечек персональных данных и контроля действий сотрудников компании внедряют DLP-системы (Data Leak Prevention). Такие решения позволяют отслеживать перемещение информации по всем основным каналам, выявлять подозрительные действия и своевременно реагировать на инциденты.
Solar Dozor — российская DLP-система корпоративного класса, которая обеспечивает комплексную защиту данных и автоматизацию расследований. Решение реализует персоноцентричный подход: контроль строится не только в отношении каналов передачи информации, но и действий конкретных пользователей.
Возможности DLP-решения Solar Dozor для защиты персональных данных от утечки
В нашей системе реализованы инструменты для мониторинга движения данных, перехвата конфиденциальной информации, анализа пользовательского поведения и проведения расследований. Рассмотрим ключевые механизмы защиты:
ЗАКЛЮЧЕНИЕ
Персональные данные относятся к категории конфиденциальных, поэтому должны охраняться от внешних злоумышленников и инсайдеров. Обеспечить защиту поможет Solar Dozor — надежная DLP-система, воплощающая концепцию People-Centric Security, которая подразумевает фокус на человеке. Наше решение не только защищает данные от утечки, но и выявляет потенциальных нарушителей среди персонала.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.