Защита данных банковских карт
Узнать большеНезависимо от масштабов и сферы деятельности, все организации имеют дело с персональной информацией — сведениями о сотрудниках, партнерах, клиентах. Это значит, что для всех актуален вопрос защиты индивидуальных данных, подразумевающей предотвращение любых несанкционированных взаимодействий с информационными активами. Обсудим, как обеспечивается безопасность персональных сведений, какие способы защиты сейчас применяются.
Что такое персональные данные
Персональные (индивидуальные) данные (ПД) — информация, относящаяся к конкретным физическим лицам и указывающая на них. То есть это сведения, по которым однозначно можно идентифицировать субъектов. Такие данные глобально классифицируют на две категории: общедоступные и конфиденциальные. Первые не являются секретными, могут с разрешения владельца публиковаться в интернете, различных справочниках, каталогах. С конфиденциальными сведениями все наоборот — они не должны быть известны широкому кругу лиц и подлежат усиленной защите персональных данных.
Индивидуальные данные можно условно разделить на четыре типа:
- Общие: ФИО, никнеймы в социальных сетях и мессенджерах, семейное положение, домашний адрес, место работы и должность, номер телефона, идентификатор электронной почты, фотографии и т.д. Чаще всего такие сведения являются общедоступными — их можно без проблем найти в резюме, на страницах в соцсетях или визитках, узнать от владельца или его знакомых.
- Специальные — данные, которые раскрывают подробности частной жизни субъекта. Например, наличие проблем с законом или серьезных заболеваний, отношение к религии, нюансы семейной/интимной жизни и т.д. Обнародование таких данных может навредить репутации владельца, поэтому их стараются хранить в тайне.
- Биометрические — информация, характеризующая физические особенности владельца (телосложение, масса тела, рост, цвет кожи, глаз и волос). Также в эту категорию входят физиологические характеристики, по которым можно однозначно идентифицировать человека. Это отпечатки пальцев, рисунок вен ладони и радужной оболочки глаза, голос, черты лица и т.д.
- Иные — данные, характеризующие субъекта и образ его жизни, не попавшие в три перечисленные категории. Часть из них может быть общедоступными, часть — конфиденциальными.
Персональные данные независимо от категории могут обнародоваться и обрабатываться только с письменного согласия их владельца. То есть любая деятельность (сбор, передача, редактирование и т.д) с этими сведениями должна осуществляться в рамках закона.
Законодательство и нормативы в сфере защиты индивидуальных данных
Категории индивидуальных сведений, принципы их обработки и меры контроля соблюдения требований перечислены в ФЗ №152 в редакции от 27 июля 2006 года. Закон так и называется — «О персональных данных».
Согласно ФЗ №152, каждое предприятие обязано создавать «Положение об охране персональных данных сотрудников». Этот внутренний документ регламентирует порядок хранения информации и правила взаимодействия с ней. Также в нем должны быть перечислены категории сведений, которые можно отнести к индивидуальным.
Еще один важный акт — Постановление Правительства РФ №1119 от 1 ноября 2002 года. Этот документ является одним из ключевых в сфере защиты индивидуальных данных. В нем перечислены возможные угрозы, уровни обеспечения безопасности информации, методы контроля за выполнением законодательных требований.
Законодательство предусматривает следующие формы ответственности за утечку ПД:
- Дисциплинарную (статьи №81, 90, 192 ТК РФ): замечания, выговоры, увольнение лиц, виновных в утечке и неправильном обращении с данными.
- Гражданско-правовую (статьи №15 ГК РФ и №24 ФЗ №152): возмещение убытков в случае использования индивидуальных сведений в корыстных целях, компенсация морального ущерба в случае нарушения порядка обращения с данными.
- Уголовную (статьи №137, 140, 272 УК РФ): удержание дохода виновных лиц, штрафы, принудительные работы, ограничение свободы.
- Административную (№ 13.11 КоАП РФ): официальные предупреждения, штрафы.
Что угрожает безопасности персональных данных
В информационной системе могут быть уязвимости, создающие опасность несанкционированного доступа к персональным данным при их обработке. Это может стать причиной уничтожения, изменения, блокирования, копирования, распространения и других неправомерных действий с индивидуальными данными.
В Постановлении Правительства РФ №1119 угрозы в отношении обработки индивидуальных сведений в информационных системах делятся на три типа.
Первый — угрозы, связанные с недокументированными возможностями в системном программном обеспечении, используемом в информационной системе. Второй — риски, спровоцированные наличием «лишних» возможностей, затрагивающих прикладное ПО в системе. Третий тип – прочие угрозы.
Перейдем к конкретике. Защита индивидуальных данных подразумевает минимизацию рисков следующих угроз:
- Кибератаки, направленные на получение несанкционированного доступа к конфиденциальной информации. Яркий пример такой атаки — фишинг.
- Кража персональных данных с целью применения информации в мошеннических целях. Например, зная данные паспорта, дату рождения и ФИО злоумышленники могут оформить на человека микрозайм онлайн через микрофинансовую организацию или прислать владельцу ПД поддельную квитанцию на оплату несуществующего штрафа. Еще одна распространенная схема — под видом работника банка, оперируя номером банковской карты или счета жертвы, получить полные платежные реквизиты и снять все деньги.
- Недобросовестное обращение с данными, например, несоблюдение алгоритмов обработки, несанкционированные редактирование или удаление, передача третьим лицам.
Угрозы могут исходить как от внешних злоумышленников, так и от сотрудников организации, которые могут действовать намеренно или просто по каким-либо причинам не соблюдать правила работы с информацией. Этот момент обязательно нужно учитывать при выстраивании схемы защиты данных.
Уровни защиты персональных данных
Уровнем защиты (УЗ) информации называют совокупность условий, при соблюдении которых максимально снижаются риски угроз информационной безопасности. При выборе уровня нужно учитывать следующие факторы:
- Форму взаимодействия с информацией, например, организация может обрабатывать данные сотрудников и иных лиц, которые не относятся к штату.
- Количество субъектов, чьи персональные данные обрабатываются организацией.
- Типы актуальных угроз в отношении обработки индивидуальных сведений в информационных системах, о которых мы писали выше.
- Категорию обрабатываемых сведений.
Всего существует четыре уровня защиты, где УЗ-1 наиболее серьезный, УЗ-4 — наименее. Каждая организация самостоятельно выбирает оптимальный, опираясь на требования регуляторов отрасли.
Для наглядности представим сооветствия разных параметров в сводной таблице.
Тип данных |
Категории субъектов |
Количество субъектов |
Типы угроз данным и уровни защиты |
||
1 тип Угрозы в системном ПО |
2 тип Угрозы в прикладном ПО |
3 тип Прочие угрозы |
|||
Общедоступные |
Сотрудники |
Любое |
2 |
3 |
4 |
Иные лица |
100+ |
2 |
3 |
4 |
|
<100 |
2 |
3 |
4 |
||
Биометрические |
Сотрудники |
Любое |
1 |
2 |
3 |
Иные лица |
100+ |
1 |
2 |
3 |
|
<100 |
1 |
2 |
3 |
||
Специальные |
Сотрудники |
Любое |
1 |
2 |
3 |
Иные лица |
100+ |
1 |
1 |
2 |
|
<100 |
1 |
2 |
3 |
||
Иные |
Сотрудники |
Любое |
1 |
3 |
4 |
Иные лица |
100+ |
1 |
2 |
3 |
|
<100 |
1 |
3 |
4 |
Способы защиты индивидуальных данных
Полный состав мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из четырех уровней защищенности указаны в требованиях Приказа ФСТЭК № 21 от 18 февраля 2013 года.
Комплексная система безопасности данных включает следующие способы:
- Организационная работа с персоналом: внедрение регламентов с перечислением мер ответственности за нарушения, обучение основам кибербезопасности и назначение лиц, ответственных за соблюдение политик безопасности.
- Введение многофакторной аутентификации, которая значительно снижает риски входа во внутренние системы под чужими учетными записями.
- Управление правами доступа для защиты данных от несанкционированных действий.
- Защита технических средств обработки индивидуальных данных и помещений, в которых они расположены. Необходимо исключить неправомерный доступ, а также воздействие внешней среды.
- Внедрение криптографических средств защиты информации, позволяющих шифровать данные. Такая мера необходима, чтобы злоумышленникам было сложнее использовать сведения в случае их перехвата.
- Применение технических и программных средств защиты, например, антивирусного ПО, межсетевых экранов, систем предотвращения вторжений, DLP-решений (Data Loss Prevention) для защиты от утечек конфиденциальных сведений.
- Регистрация событий безопасности, мероприятия по предупреждению, выявлению инцидентов и реагированию на них.
Технические и программные средства защиты часто работают в интеграции друг с другом, что позволяет закрывать основные потребности организации в сфере обеспечения безопасности. Некоторые продукты являются многомодульными, то есть они обладают широким набором функций и способны решать несколько разноплановых задач.
Как DLP-продукт Solar Dozor обеспечивает защиту персональных данных
Solar Dozor — отечественное решение для предотвращения утечек данных, не подлежащих разглашению. Система предотвращает неправомерные умышленные или халатные действия сотрудников организации с персональными данными:
- Контролирует наличие идентификаторов в сообщениях и вложениях – распознает в тексте последовательность цифр и букв, однозначно определяющую защищаемые данные: номера банковских карт, паспортные данные, ИНН, СНИЛС и подобн.
- Распознает копии документов по графическим шаблонам, например, сканы паспортов, водительских удостоверений и подобн.
- Отслеживает перемещение документов, содержащих персональные данные, по каналам коммуникации внутри периметра и за пределы организации. Блокирует передачу в случае подозрительных действий и оповещает офицера безопасности.
- Анализирует сетевой трафик, включая веб-почту и облачные хранилища, контролирует переписку в корпоративной почте и мессенджерах, чтобы не допустить утечки конфиденциальных сведений за пределы компании.
- Запрещает запись на съемные носители, копирование в буфер обмена и печать подлежащих разглашению данных.
- Учитывает рабочие и приватные коммуникации сотрудников, чтобы распознавать, кому передается информация.
- Выявляет признаки внутренних нарушителей путем анализа пользовательского поведения с помощью уникальной технологии UBA (User Behavior Analytics), формирует досье на каждого сотрудника.
- Позволяет проводить расследования по инцидентам безопасности, выявлять причастных лиц и собирать доказательную базу.
Solar Dozor — первая отечественная система класса DLP, которая способна противодействовать утечкам данных даже в крупнейших корпорациях, благодаря доказанной высокой производительности и отказоустойчивости. При этом интуитивно понятный интерфейс позволяет начать работу без специального обучения. И еще один существенный плюс — сфокусированность на сотрудниках, что позволяет быстро определять источники угроз и принимать соответствующие меры.