Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

Защита ПДн – есть или нет

Андрей Слободчиков, 29/10/21

Бороться с нелегальными сайтами, распространяющими утекшие базы данных, нет смысла. В случае прекращения работы одного подобного источника есть вероятность появления еще нескольких, что способствует привлечению внимания пользователей к базе, которую пытаются удалить. Поэтому необходимо создавать комплексную систему защиты и, в случае утечки данных, проводить расследование, в том числе с привлечением правоохранительных органов, а также готовить подробный отчет с причинами и объяснением того, как произошла утечка, и впоследствии публиковать результаты расследования.

Автор: Андрей Слободчиков, эксперт по информационной безопасности “Лиги Цифровой Экономики”

Малый бизнес в зоне риска

Размеры компании не влияют на степень сложности взлома, но зачастую именно малый бизнес меньше внимания уделяет информационной безопасности, так как в первую очередь нацелен на получение прибыли. В крупном бизнесе к информационной безопасности подходят более серьезно. Это связано с тем, что у больших компаний в случае утечек данных возникают репутационные проблемы, которые привлекают повышенное внимание со стороны регуляторов и т.д.

Сейчас затраты на информационную безопасность напрямую связаны с затратами на ИТ-инфраструктуру. Поэтому стоимость системы защиты может сильно варьироваться: это могут быть затраты на сотрудника, который занимается обеспечением безопасности с помощью встроенных механизмов защиты в ИТ-устройствах или использованием Open Source – решений, или же затраты на полноценный отдел и коммерческие ИБ-продукты.

Проблема внедрения систем защиты информации заключается в нехватке грамотных специалистов, которые могут осваивать решения, учитывая бизнес-требования (эффективность, удобство использования, доступность, скорость и т.д.) и требования регуляторов.

В чем заключается проблема?

Основные проблемы защиты персональных данных в России заключаются в том, что нет точного определения информации, которая относится к персональным данным, а также отсутствуют адекватные требования по их защите. В КоАП не предусмотрены штрафы за утечки и невыполнение требований по техническим и организационным мерам защиты персональных данных. Роскомнадзор не осуществляет проверку технической защиты информации и запрашивает определенный перечень документов, которые зачастую создаются по шаблонам с единственной целью – пройти проверку. Организации не заинтересованы в излишних тратах на обеспечение сохранности персональных данных и при проверках используют документы, которые не имеют ничего общего с реальной безопасностью.

Для юридических лиц при сборе избыточных данных предусмотрен штраф в соответствии с ч. 1 ст. 13.11 КоАП РФ. Первичный штраф составляет 60–100 тыс. руб., повторный – 100–300 тыс. У регулятора нет средств, чтобы отслеживать такие сайты, но интернет-пользователи могут сами оповестить Роскомнадзор, когда сталкиваются с нарушениями. Ответственные пользователи, имеющиеся административные и технологические инструменты в совокупности могли бы сформировать эффективную систему борьбы с подобными сайтами.

Европейский стандарт

Для эффективного регулирования необходимо задать определение, которое будет трактоваться однозначно. Нужно ввести административные штрафы в КоАП за утечку персональных данных и за отсутствие адекватных организационно-технических мер по обеспечению их безопасности. Штрафы должны быть соизмеримы со степенью нарушений, как это есть в европейском общем регламенте по защите данных – General Data Protection Regulation (GDPR). Наказание должно зависеть от характера, тяжести, причины и продолжительности нарушения, а также от способа оповещения о нем (непосредственно самой организацией или другими источниками). Одним из успешных примеров регулирования защиты персональных данных является GDPR. В отличие от отечественного аналога – 152-ФЗ в GDPR явно определено, что относится к персональным данным, а также обозначена ответственность за их защиту как для оператора, так и для непосредственного обработчика персональных данных. Таким образом, в GDPR одним из мотиваторов обеспечения сохранности персональных данных являются большие штрафы, в то же время в данном документе предусмотрены четкие требования по обеспечению безопасности, при выполнении которых организации не грозят штрафы.

Что делать пользователям?

Чтобы свести к минимуму риск утечки персональных данных, необходимо минимизировать свой цифровой след в сети. При регистрации на сайтах, в социальных сетях и мессенджерах не публиковать (не указывать) дату рождения, адрес, номер телефона, сведения о родственниках и другую личную информацию. Лучше завести отдельный ящик электронной почты для приватных переписок и отдельный – для регистрации в соцсетях, на форумах, сайтах и т.д.

В случае необходимости передачи личных данных необходимо убедиться в том, что получателем является именно тот, кому предназначена информация. На личных устройствах рекомендуется избегать использования нелицензированного ПО и хотя бы раз в неделю проводить сканирование на наличие вирусов.

Темы:Персональные данные
Внедряем UEBA и DLP-системы
Внедряем UEBA и DLP-системы 5 апреля 2023
Жми, чтобы участвовать

5 апреля 2023
Внедряем UEBA и DLP-системы
Обсуждайте и делитесь опытом

Жми для участия
Статьи по той же темеСтатьи по той же теме

  • Чек-лист взаимодействия операторов персональных данных с ГосСОПКА
    Татьяна Никонорова, ведущий консультант по ИБ компании Innostage
    Поскольку в случае инцидента нужно действовать  быстро, приводим краткий чеклист, которым можно воспользоваться в случае необходимости.
  • DCAP выявляет нарушения в 100% внедрений
    Роман Подкопаев, Генеральный директор компании Makves
    Роман Подкопаев, основатель и генеральный директор компании Makves, о том, почему DCAP-решения являются неотъемлемой частью надежной ИБ-системы любой компании.
  • Персональные данные. Чек-лист на 2022-2023 годы
    Как выполнить требования ФЗ № 152 "О персональных данных"
  • Обзор изменений в законодательстве в сентябре и октябре 2022 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Трансграничная передача ПДн, государства, обеспечивающие их адекватную защиту, центе компетенций по ИБ в промышленности, класс СКЗИ для применения в ГИС.
  • Обзор изменений в законодательстве в июле и августе 2022 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в процессах обработки ПДн с 1.09 и с 1.03, эксплуатация ЗОКИИ, электронная подпись, ЕБС, изменения в УК и КоАП, исполнение указа № 250
  • DCAP и DLP: в чем разница?
    Дмитрий Горлянский, Руководитель направления технического сопровождения продаж “Гарда Технологии”
    Несмотря на некоторую схожесть функциональности, DLP и DCAP являются самостоятельными системами для решения совершенно разных задач

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Внедряем UEBA и DLP-системы
Внедряем UEBA и DLP-системы 5 апреля 2023
Жми, чтобы участвовать

More...
Форум ITSEC 2023: информационная и кибербезопасность России
Форум ITSEC 11-20 апреля 2023: информационная и кибербезопасность России
Жми, чтобы участвовать