В эпоху цифровых технологий, повсеместного интернета персональная информация человека становится ценным ресурсом. Постоянное взаимодействие с другими людьми, виртуальными сообществами, компаниями, оказывающими разного рода услуги приводит к тому, что за каждым человеком тянется заметный информационный след, который может быть использован против его интересов мошенниками. Защита социальных данных становится важной задачей для каждого из нас. Необходимо позаботиться о безопасности и сохранности личной информации, ограничить к ней доступ, предупредить утечки.

что такое социальные данные

Что такое социальные данные, почему они представляют важность?

В категорию социальных данных включены разнообразные сведения, находящиеся в открытых источниках. Большая часть подобной информации представлена в социальных сетях, электронных библиотеках, справочниках, на персональных сайтах и страничках в сети. К типичным примерам социальной информации относятся:

  • Местонахождение пользователя
  • Язык
  • Пол
  • Национальность
  • Коммуникации
  • Биографические сведения
  • Интересы и хобби

Социальные данные предоставляются в открытой форме и на добровольной основе их владельцами. Согласно ФЗ № 152 от 27.07.2006 социальные данные относятся, по большей части, к категории общедоступных ПДн, хотя отдельные сведения могут относится и к категории данных ограниченного доступа. Благодаря общедоступности они становятся открытыми для сбора и анализа заинтересованными лицами с целью получения личной выгоды. Несмотря на общедоступность и открытость подобной информации, она также требует защиты в соответствие с законодательством РФ и не может быть использована против воли и интересов владельца в чьих-то корыстных интересах.

Какие требования предъявляются законом при обработке социальных данных оператором?

  1. Социальные ПДн могут обрабатываться только с согласия их владельца. Это подразумевает обязательное заключение между оператором и субъектом информации соглашения на использование ПДн либо принятие оферты об обработке ПДн.

  2. Обработка социальной информации допустима только в конкретных целях и должна быть прекращена после достижения результата, а сама информация уничтожена или обезличена.

  3. Недопустимо объединение нескольких информационных баз, содержащих разные типы ПДн и используемых в разных целях.

  4. Обрабатывать социальные сведения людей разрешено оператору только тех категорий, которые соответствуют целевому использованию. Запрещено работать одновременно с полным перечнем данных, если часть из них противоречит целевым задачам.

  5. Хранение социальных данных граждан оператором допускается только в сроки, установленные законом. После истечения срока хранения любая персональная информация должна быть уничтожена или обезличена.

Как осуществляется защита социальных персональных данных оператором?

  • Создание подробного и точного перечня информации, которая подлежит повышенному уровню защиты.

  • Заключение с работниками организации соглашения о неразглашении ПДн.

  • Установление и ограничение доступа персонала организации к информации персонального характера.

  • Назначение ответственных лиц, осуществляющих контроль и исполнение защиты в отношении ПДн.

  • Обучение работников нормам и требованиям по защите персональных сведений.

  • Определение и моделирование актуальных угроз информационной безопасности.

  • Разработка и подготовка к эксплуатации защитных систем согласно специфике деятельности оператора.

  • Установка и введение в эксплуатацию средств защиты информации (СЗИ).

  • Внедрение средств защиты для ведения мониторинга и превентивной защиты в информационной системе организации.

Защита социальных данных граждан входит в прямую обязанность оператора. Несмотря на их открытый статус и общедоступность, требования к их защите предъявляются ровно такие же, как и в случае со специальными, биометрическими и другими категориями ПДн. Разница заключается только в уровне защищенности персональных данных, хранящихся и обрабатываемых в общедоступных ИСПДн (информационных системах персональных данных).

В интересах оператора принять дополнительные меры, направленные на мониторинг и контроль персональной информации в организации. В качестве одного из инструментов можно рассматривать DLP-cистемы, например, Solar Dozor. Solar Dozor предотвращает несанкционированную передачу персональных данных, выявляет признаки корпоративного мошенничества, связанного с использованием ПДн, помогает предупредить и расследовать уже случившиеся инциденты безопасности.