Немало компаний в 2022 году столкнулись с хищением персональных данных из-за новых схем хакеров. Чтобы избежать таких проблем и обеспечить информационную безопасность своим сотрудникам и клиентам, компания должна разработать собственную систему защиты, которая позволит снизить риски утечки персональных данных. В статье изложено, как уберечь компанию от информационных мошенников, и что предпринять, если утечка данных уже произошла.
Гарантировать безопасность и конфиденциальность данных своих сотрудников в 2022 году компаниям становится все сложнее. Утечки информации наносят серьезный ущерб бизнесу. Компании несут непредвиденные затраты на ликвидацию последствий потерь, вынужденно участвуют в судебных разбирательствах и выплачивают компенсационные выплаты пострадавшим.
Сегодня целесообразно придерживаться комплексного подхода при разработке системы информационной безопасности компании, чтобы разработать защиту, которая будет учитывать как можно больше способов и технологий хищения информации, которые действуют в цифровом мире.
Персональные данные – это любая информация, непосредственно связанная с человеком, гражданином и доверяемая им третьим лицам. Защиту цифровой безопасность личности должны гарантировать все субъекты правоотношений, которые получают к ним доступ благодаря осуществлению ими государственных функций или предпринимательской деятельности.
Правила по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Федерального закона от 27.07.2006 № 152-ФЗ и требованиях, утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119. На их основе организация может выработать собственную систему защиты личной информации.
Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность личных сведений. При этом угрозой безопасности данных являются факторы, которые создают опасность несанкционированного, в том числе случайного доступа к персональным данным при их обработке в системе. И результатом этого могут стать:
• уничтожение,
• изменение,
• блокирование,
• копирование,
• предоставление,
• распространение,
• иные неправомерные действия с персональными данными.
Такие правила установлены пунктом 6 требований, утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119.
Храните персональные данные граждан РФ только на российских серверах. Для этого серверы должны физически находиться в России (п. 5 ст. 18 закона № 152-ФЗ, пп. 7 п. 4 ст. 16 Закона от 27.07.2006 № 149-ФЗ).
За нарушение требований законодательства о персональных данных компаниям и ее сотрудникам грозит дисциплинарная, административная, гражданская и уголовная ответственность. По решению суда могут внести интернет-ресурсы компании в реестр нарушителей прав субъектов персональных данных, что повлияет на репутацию и лояльность потенциальных клиентов.
Выбор конкретных мер и средств защиты информации осуществляет работодатель в соответствии с нормативно-правовыми актами ФСБ и ФСТЭК. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и согласно нормативным актам упомянутых органов (п. 4, 7 требований, утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119).
В целях защиты персональных данных сотрудников организация должна обеспечить их безопасное хранение. Для этого нужно утвердить локальный акт о работе с персональными данными, определить лицо, ответственное за работу с ними, назначить сотрудников, у которых будет доступ к персональным данным, и взять с них обязательство о неразглашении.
Также для защиты персональных данных вы должны принять ряд технических мер. Конкретный их перечень зависит от того, как хранятся данные: в электронном виде или на бумажном носителе.
В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним. Например, следует хранить документы с персональными данными в сейфе.
Сложнее организовать защиту электронных данных. Для этого потребуется определить, какие типы угроз безопасности персональных данных актуальны для ваших информационных систем и, исходя из этого, подобрать один из четырех уровней защищенности.
Выделяют угрозы 1, 2 и 3-го типа — благодаря им третьи лица могут получить несанкционированный доступ к персональным данным. Как определить тип угрозы, смотрите в пунктах 6, 7 требований к защите персональных данных, которые утвердило Правительство РФ в Постановлении от 01.11.2012 № 1119 (далее — требования № 1119).
Тип угрозы зависит от программного обеспечения, которое используется для обработки и хранения персональных данных. Закон не регламентирует, как оператору установить тип угрозы. Поэтому целесообразно привлечь для этого специалистов по безопасности личной информации.
Когда определили тип угрозы, установите один из четырех уровней защиты. Подробнее о том, какой уровень выбрать, читайте в п. 8–16 требований № 1119. Например, средней компании или владельцу небольшого сайта достаточно обеспечить минимальный — 4-й уровень защиты личной информации.
Кроме того, проверьте, чтобы политика компании в отношении обработки персональных данных соответствовала рекомендациям Роскомнадзора. Выбрать предпочтительный вариант реализации требований и методов по обезличиванию персональных данных, установленных Роскомнадзором, можно с помощью его методических рекомендаций.
Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений пропишите в локальном акте организации, например, в положении о работе с персональными данными сотрудников (ст. 8, 87 ТК, п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Издать ЛНА необходимо до начала обработки персданных, при этом в документе необходимо предусмотреть все существенные моменты.
Укажите в разделе «Общие положения», для чего принимаете этот ЛНА, какие вопросы он регулирует и когда вступает в силу.
Зафиксируйте в разделе о получении и обработке персданных перечень документов и сведений, которые сотрудник должен предоставить о себе. Пропишите сроки, в которые он предоставляет информацию, если изменятся его персональные данные.
Что касается хранения персональных данных, то укажите способы и сроки хранения сведений о сотрудниках, а также меры защиты такой информации. Определите круг лиц, которые имеют доступ к персональным данным сотрудников, порядок такого доступа.
В разделе об использовании персданных опишите, для чего используете такие данные и пределы их использования. Пропишите в разделе о передаче персданных возможность и порядок, в соответствии с которым их нужно передавать по запросам госорганов, иных ведомств и организаций, физлиц.
В разделе о гарантиях конфиденциальности персональных данных гарантируйте сотрудникам сохранность их личной информации, а также определите права сотрудников, если произойдет неправомерное разглашение сведений о них.
Можно вводить иные правила. Например, прописать ответственность за нарушение порядка обработки и защиты персональных данных и указать ответственных.
Скачать образец положения «О защите персональных данных работников» можно по этой ссылке.
Аферисты ежедневно изобретают новые схемы, которые используют для нарушения системы защиты и хищения содержащейся в ней информации. Даже если компания проводит все необходимые мероприятия по цифровой безопасности, остаются человеческий фактор и неучтенные риски.
Чаще всего мошенники используют следующие схемы:
1. Взлом баз данных компаний. Ненадежная, устаревшая защита от угроз или неисправленная программная ошибка в системе, о которой никто и не знал до инцидента — все это может привести к утечке данных. Угрозы безопасности могут также возникать при внедрении в информационную систему вредоносных программ и вирусов.
2. Фишинговые рассылки. Если ваш сотрудник ответил на фишинговое письмо и его аккаунт украли, то с него могут организовать фишинговую рассылку его коллегам.
Расчет у мошенников простой: наверняка хотя бы один из сотни пройдет по ссылке. Как только он это сделает, в компьютер или смартфон внедрится вирус, который будет воровать личные данные. Либо ссылка введет на так называемый фишинговый сайт — полную копию реального сайта. Сотрудника убеждают войти в фальшивый личный кабинет, предлагая посмотреть начисленные бонусы или получить приз, который он якобы выиграл. Результат тот же — кража личных данных.
3. Инсайдерские утечки. Бывают случаи, когда злоумышленники подкупают сотрудника организации и он открывает доступ к данным коллег и клиентов.
Основной интерес хакеров сосредоточен на платежных данных — номерах счетов и карт, которые можно использовать в мошеннических схемах. Меньшим спросом пользуются паспортные данные, телефонные контакты и адреса электронной почты сотрудников.
К наиболее частым причинам утечки данных можно отнести непонимание сотрудниками того, какая информация является конфиденциальной, недостаточность средств управления системой, а также несоблюдение государственных и отраслевых нормативов.
Цифровые угрозы постоянно эволюционируют, появляются новые средства и способы несанкционированного сбора конфиденциальной информации. Чтобы снизить риски утечки данных, следите за регулярным обучением и повышением квалификации специалистов, которые отвечают за бесперебойное функционирование системы информационной безопасности.
В действующем законодательстве нет установленных требований к сбору доказательств в сфере цифровых преступлений. Вероятность раскрытия таких правонарушений зависит от методов, способов и технологии, которые использовали злоумышленники.
Разобраться, кто виноват в утечке персональных данных, можно, только проводя внутреннее расследование инцидента. При этом важно учитывать, что цель проведения расследования не только поиск виновника, но и выявление слабых мест системы защиты, которые были использованы при хищении данных. Правильно проведенное расследование поможет разработать план по предотвращению подобных утечек в дальнейшем.
Как правило, сотрудники службы безопасности компании начинают расследование с поиска и фиксирования фактов проведенных противоправных действий. Далее проводят анализ полученной информации вручную или с помощью средств автоматизации различного уровня.
Общий план расследования утечек обычно проводят в несколько этапов.
1. Сбор информации — накопление источников информации, относящихся к утечке, поиск способов получения исходной информации, в том числе проведение допросов.
2. Исследование — поиск информации об утечке и приведение ее в удобный формат.
3. Анализ — главный этап расследования: на основании собранной информации проводится поиск причин утечки информации и определяются виновные.
4. Представление — оформление проведенного расследования в формат, удобный для ознакомления. Результат расследования должен быть подробным и понятным сообщением об источнике и составе происшествия, с отчетом о принятых мерах и рекомендациями по устранению последствий.
В большинстве случаев на этапе представления расследование, которое проводит служба безопасности, завершается, поскольку последующие управленческие решения, включая решение о подаче документов в суд, принимают руководители.
На практике компании редко обращаются в суд с заявлениями об утечках конфиденциальной информации. Огласка подобных инцидентов, как правило, негативно влияет на имидж компании и порождает дополнительные судебные разбирательства с сотрудниками и клиентами. Кроме этого, собрать весомые доказательства о хищении данных для суда достаточно сложно и дорого.
Поскольку штатные сотрудники, которые отвечают за правовую и техническую защиту персональных данных, вряд ли смогут разобраться со всеми нюансами утечки, скорее всего, придется привлекать специалистов со стороны.