Как избежать утечки персональных данных

Безопасность бизнеса / От
База данных

Защита персональных данных (далее – «ПД) – важная составляющая бизнеса, так как за ее утечку законом предусмотрена ответственность.

Кто обеспечивает защиту персональных данных

Согласно ФЗ «О персональных данных» обеспечить защиту таких данных должен оператор. Оператор – это субъект, который собирает, обрабатывает эти сведения в информационной системе (далее – «ИС»). Обычно таким субъектом является фирма, которая ведет базу данных своих работников, клиентов. Оператором также может быть сторонняя компания, которая уполномочена организацией, владеющей такими сведениями.

За невыполнение предусмотренных законом требований к сбору и обработке ПД оператор несет ответственность.

Какие сведения подлежат защите

Чтобы ответить на этот вопрос нужно понять: что такое ПД. Они представляют собой информацию, которая прямо или косвенно относится к физическому лицу, который законом отнесен к субъекту ПД.

Обычно под ней понимают:

  • Место жительства;
  • Номер телефона;
  • Электронную почту;
  • Сведения, указанные в паспорте.

Фамилия, имя и отчество тоже являются такими данными. Утечка такой информации к третьим лицам должна быть исключена.

Оператор вправе обрабатывать персональные данные в следующих случаях:

  • Если носитель таких сведений дал согласие на их обработку. Такое согласие может быть выражено не только в письменной форме. Например, на интернет-сайтах можно поставить отметку о согласии на их обработку.
  • С носителем ПД будет заключен договор. Такая информация должна обрабатываться только в том случае, если относится к заключаемому договору.
  • Если оператор обрабатывает такие сведения в отношении своих работников.
  • Если такая обработка нужна для защиты важных интересов (например, жизни и здоровья).

Угрозы, которым подвергнуты персональные данные

Развитие информационных технологий создает новые угрозы, которым могут быть подвергнуты ПД. Такие угрозы нужно уменьшить или вовсе исключить.

Под такой угрозой принято понимать воздействие на ИС, которое может повлечь неблагоприятные последствия для субъекта ПД. ИС особо уязвима когда программы, которые использует компания, устарели; защитные средства используются не полностью; усложнены требования к сбору и хранению сведений.

Угрозы делятся на объективные и субъективные. К объективным можно отнести:

  • Устаревшее или неисправное оборудование и программное обеспечение, с помощью которого происходит обработка ПД;
  • Невозможность контроля за серверами, где происходит обработка ПД (например, облачных хранилищ).

К субъективным относятся:

  • Неправильное взаимодействие работников с ИС;
  • Незаконное использование ИС уволенным персоналом;
  • Воздействие конкурентов на информационную систему. Например, атака на сервер, которых хранит ПД.

Чтобы избежать угроз нужно определить последствия, которые они могут повлечь. Критерии, с помощью которых можно спрогнозировать последствия, можно выделить следующие:

  • Доступность. Она определяет возможность третьих лиц получить нужные сведения.
  • Критичность. Предполагает степень вреда, которую может принести угроза оборудованию или программному обеспечению.
  • Количество. Этот критерий подразумевает количество потенциальных элементов ИС, которые могут быть подвержены угрозе.

Рассчитывают вероятность воздействия угрозы эксперты, которые могут оценить риски и рекомендовать меры защиты.

Как защитить ПД

Безопасность информационных систем предполагает четыре ступени:

  1. Подразумевает полную защиту данных, в том числе принадлежности к расе, нации, религии, данные из личной жизни.
  2. Обеспечивает безопасность биометрических данных.
  3. Предполагает защиту общедоступных данных, к которым субъект предоставил доступ неопределенному кругу лиц (например, опубликование даты рождения в социальных сетях).
  4. Обеспечивает безопасность сведений, которые не отнесены к предыдущим категориям.

Для защиты ПД нужно предпринять следующие меры:

  • Исключить из помещений, где размещено оборудование, посторонних лиц, в том числе и работников, которым не предоставлен соответствующий уровень доступа.
  • Принять меры по сохранению носителей данных. Например, создавать резервные копии на других носителях, хранить носители в сухих помещениях.
  • Назначить человека, который будет заниматься такой безопасностью. Для этого также можно создать отдельное подразделение.
  • Ограничить доступ к журналу безопасности, а также регистрировать полномочия сотрудников по обращению к такому журналу.

Таким образом, поддержание информационной безопасности позволит компании пресечь утечку ПД третьим лицам. Это позволит организации сохранить репутацию и не быть привлеченной к ответственности.