Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеВ эпоху цифровых технологий, повсеместного интернета персональная информация человека становится ценным ресурсом. Постоянное взаимодействие с другими людьми, виртуальными сообществами, компаниями, оказывающими разного рода услуги приводит к тому, что за каждым человеком тянется заметный информационный след, который может быть использован против его интересов мошенниками. Защита социальных данных становится важной задачей для каждого из нас. Необходимо позаботиться о безопасности и сохранности личной информации, ограничить к ней доступ, предупредить утечки.
Что такое социальные данные, почему они представляют важность?
В категорию социальных данных включены разнообразные сведения, находящиеся в открытых источниках. Большая часть подобной информации представлена в социальных сетях, электронных библиотеках, справочниках, на персональных сайтах и страничках в сети. К типичным примерам социальной информации относятся:
- Местонахождение пользователя
- Язык
- Пол
- Национальность
- Коммуникации
- Биографические сведения
- Интересы и хобби
Социальные данные предоставляются в открытой форме и на добровольной основе их владельцами. Согласно ФЗ № 152 от 27.07.2006 социальные данные относятся, по большей части, к категории общедоступных ПДн, хотя отдельные сведения могут относится и к категории данных ограниченного доступа. Благодаря общедоступности они становятся открытыми для сбора и анализа заинтересованными лицами с целью получения личной выгоды. Несмотря на общедоступность и открытость подобной информации, она также требует защиты в соответствие с законодательством РФ и не может быть использована против воли и интересов владельца в чьих-то корыстных интересах.
Какие требования предъявляются законом при обработке социальных данных оператором?
-
Социальные ПДн могут обрабатываться только с согласия их владельца. Это подразумевает обязательное заключение между оператором и субъектом информации соглашения на использование ПДн либо принятие оферты об обработке ПДн.
-
Обработка социальной информации допустима только в конкретных целях и должна быть прекращена после достижения результата, а сама информация уничтожена или обезличена.
-
Недопустимо объединение нескольких информационных баз, содержащих разные типы ПДн и используемых в разных целях.
-
Обрабатывать социальные сведения людей разрешено оператору только тех категорий, которые соответствуют целевому использованию. Запрещено работать одновременно с полным перечнем данных, если часть из них противоречит целевым задачам.
-
Хранение социальных данных граждан оператором допускается только в сроки, установленные законом. После истечения срока хранения любая персональная информация должна быть уничтожена или обезличена.
Как осуществляется защита социальных персональных данных оператором?
-
Создание подробного и точного перечня информации, которая подлежит повышенному уровню защиты.
-
Заключение с работниками организации соглашения о неразглашении ПДн.
-
Установление и ограничение доступа персонала организации к информации персонального характера.
-
Назначение ответственных лиц, осуществляющих контроль и исполнение защиты в отношении ПДн.
-
Обучение работников нормам и требованиям по защите персональных сведений.
-
Определение и моделирование актуальных угроз информационной безопасности.
-
Разработка и подготовка к эксплуатации защитных систем согласно специфике деятельности оператора.
-
Установка и введение в эксплуатацию средств защиты информации (СЗИ).
-
Внедрение средств защиты для ведения мониторинга и превентивной защиты в информационной системе организации.
Защита социальных данных граждан входит в прямую обязанность оператора. Несмотря на их открытый статус и общедоступность, требования к их защите предъявляются ровно такие же, как и в случае со специальными, биометрическими и другими категориями ПДн. Разница заключается только в уровне защищенности персональных данных, хранящихся и обрабатываемых в общедоступных ИСПДн (информационных системах персональных данных).
В интересах оператора принять дополнительные меры, направленные на мониторинг и контроль персональной информации в организации. В качестве одного из инструментов можно рассматривать DLP-cистемы, например, Solar Dozor. Solar Dozor предотвращает несанкционированную передачу персональных данных, выявляет признаки корпоративного мошенничества, связанного с использованием ПДн, помогает предупредить и расследовать уже случившиеся инциденты безопасности.
