Контакты
Подписка 2024

Защита ПДн – есть или нет

Андрей Слободчиков, 29/10/21

Бороться с нелегальными сайтами, распространяющими утекшие базы данных, нет смысла. В случае прекращения работы одного подобного источника есть вероятность появления еще нескольких, что способствует привлечению внимания пользователей к базе, которую пытаются удалить. Поэтому необходимо создавать комплексную систему защиты и, в случае утечки данных, проводить расследование, в том числе с привлечением правоохранительных органов, а также готовить подробный отчет с причинами и объяснением того, как произошла утечка, и впоследствии публиковать результаты расследования.

Автор: Андрей Слободчиков, эксперт по информационной безопасности “Лиги Цифровой Экономики”

Малый бизнес в зоне риска

Размеры компании не влияют на степень сложности взлома, но зачастую именно малый бизнес меньше внимания уделяет информационной безопасности, так как в первую очередь нацелен на получение прибыли. В крупном бизнесе к информационной безопасности подходят более серьезно. Это связано с тем, что у больших компаний в случае утечек данных возникают репутационные проблемы, которые привлекают повышенное внимание со стороны регуляторов и т.д.

Сейчас затраты на информационную безопасность напрямую связаны с затратами на ИТ-инфраструктуру. Поэтому стоимость системы защиты может сильно варьироваться: это могут быть затраты на сотрудника, который занимается обеспечением безопасности с помощью встроенных механизмов защиты в ИТ-устройствах или использованием Open Source – решений, или же затраты на полноценный отдел и коммерческие ИБ-продукты.

Проблема внедрения систем защиты информации заключается в нехватке грамотных специалистов, которые могут осваивать решения, учитывая бизнес-требования (эффективность, удобство использования, доступность, скорость и т.д.) и требования регуляторов.

В чем заключается проблема?

Основные проблемы защиты персональных данных в России заключаются в том, что нет точного определения информации, которая относится к персональным данным, а также отсутствуют адекватные требования по их защите. В КоАП не предусмотрены штрафы за утечки и невыполнение требований по техническим и организационным мерам защиты персональных данных. Роскомнадзор не осуществляет проверку технической защиты информации и запрашивает определенный перечень документов, которые зачастую создаются по шаблонам с единственной целью – пройти проверку. Организации не заинтересованы в излишних тратах на обеспечение сохранности персональных данных и при проверках используют документы, которые не имеют ничего общего с реальной безопасностью.

Для юридических лиц при сборе избыточных данных предусмотрен штраф в соответствии с ч. 1 ст. 13.11 КоАП РФ. Первичный штраф составляет 60–100 тыс. руб., повторный – 100–300 тыс. У регулятора нет средств, чтобы отслеживать такие сайты, но интернет-пользователи могут сами оповестить Роскомнадзор, когда сталкиваются с нарушениями. Ответственные пользователи, имеющиеся административные и технологические инструменты в совокупности могли бы сформировать эффективную систему борьбы с подобными сайтами.

Европейский стандарт

Для эффективного регулирования необходимо задать определение, которое будет трактоваться однозначно. Нужно ввести административные штрафы в КоАП за утечку персональных данных и за отсутствие адекватных организационно-технических мер по обеспечению их безопасности. Штрафы должны быть соизмеримы со степенью нарушений, как это есть в европейском общем регламенте по защите данных – General Data Protection Regulation (GDPR). Наказание должно зависеть от характера, тяжести, причины и продолжительности нарушения, а также от способа оповещения о нем (непосредственно самой организацией или другими источниками). Одним из успешных примеров регулирования защиты персональных данных является GDPR. В отличие от отечественного аналога – 152-ФЗ в GDPR явно определено, что относится к персональным данным, а также обозначена ответственность за их защиту как для оператора, так и для непосредственного обработчика персональных данных. Таким образом, в GDPR одним из мотиваторов обеспечения сохранности персональных данных являются большие штрафы, в то же время в данном документе предусмотрены четкие требования по обеспечению безопасности, при выполнении которых организации не грозят штрафы.

Что делать пользователям?

Чтобы свести к минимуму риск утечки персональных данных, необходимо минимизировать свой цифровой след в сети. При регистрации на сайтах, в социальных сетях и мессенджерах не публиковать (не указывать) дату рождения, адрес, номер телефона, сведения о родственниках и другую личную информацию. Лучше завести отдельный ящик электронной почты для приватных переписок и отдельный – для регистрации в соцсетях, на форумах, сайтах и т.д.

В случае необходимости передачи личных данных необходимо убедиться в том, что получателем является именно тот, кому предназначена информация. На личных устройствах рекомендуется избегать использования нелицензированного ПО и хотя бы раз в неделю проводить сканирование на наличие вирусов.

Темы:Персональные данные

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных
    Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
    На каких основаниях операторы ПДн привлекаются к ответственности и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?
  • Персональные данные в 2024 году. Чек-лист
    В 2023 г. произошли сотни утечек персональных данных. Ситуация обостряется с каждым годом и требует новых мер реагирования: технических – в виде создания все более совершенных средств защиты информации и организационных – в том числе правовых.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП
  • DLP: маловато будет. Защита персональных данных на протяжении всего жизненного цикла
    Рустэм Хайретдинов, заместитель генерального директора группы компаний “Гарда”
    При защите персональных данных самые мощные аналитические инструменты DLP-систем – контентный анализ и "цифровые отпечатки" недостаточно эффективны.
  • Обзор изменений в законодательстве в марте и апреле 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    В обзоре: защита государственной тайны, отмена административного регламента ФСБ России, Единая биометрическая система, обновление СТО БР БФБО, защита информации при осуществлении переводов денежных средств, дистанционное управление в электроэнергетике, контроль за деятельностью лицензиатов со стороны ФСТЭК России, обращение с документами ДСП, госконтроль за обработкой персональных данных.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать