Защита персональной информации: как обезопасить себя и свои данные

С начала 2024 года Роскомнадзором было выявлено 19 утечек персональных данных. Суммарно было слито 510 млн записей!

Потерять ценные данные можно внезапно, например, из-за конфликта с сотрудником или промышленного шпионажа. Давайте разберемся, с какими цифровыми угрозами сталкиваются предприниматели, как защитить свой бизнес и стоит ли пользоваться услугами по защите персональных данных.

Какую информацию нужно защищать

Сначала составьте список конфиденциальных данных, которые важны для вашего бизнеса и не предназначены для посторонних. В него входят:

• Персональные данные клиентов: ФИО, дата рождения, адрес, контакты. Конкуренты могут использовать эти данные для переманивания клиентов, а хакеры – для мошенничества;
• Информация о сотрудниках: паспортные и контактные данные, условия работы, уровень зарплаты. Конкуренты могут попытаться переманить ваших сотрудников, а мошенники – использовать данные для фишинга;
• Договоры с партнерами: условия сотрудничества, стоимость услуг и товаров. Конкуренты могут предложить партнерам более выгодные условия и сорвать ваши сделки;
• Ноу-хау: идеи и разработки, которые делают ваш продукт уникальным. Конкуренты могут скопировать ваши идеи;
• Стратегия развития и маркетинговые данные: конкуренты могут использовать эту информацию для собственного роста.

Этот список может меняться в зависимости от специфики компании.

Чем опасна утечка информации

Утечка информации несет два основных вида рисков для бизнеса:

1. Финансовые риски:
   • Недополученная выгода. Если злоумышленники переманят ваших клиентов или будут использовать ваши стратегии, восстановление процессов и позиций на рынке займет время;
   • Штрафы. Если утекли персональные данные клиентов, подрядчиков или сотрудников, и вы не оповестили об этом Роскомнадзор в течение суток, возможны штрафы: для должностных лиц – от 8 000 до 20 000 рублей, для ИП – от 20 000 до 40 000 рублей, для юрлиц – от 50 000 до 100 000 рублей.
2. Репутационные риски:
   • Потеря доверия клиентов, подрядчиков и партнеров. Например, мошенники могут украсть персональные данные и разослать ложную информацию.

Пример

Представьте, что у Дарьи Косынкиной есть свой бренд авторской одежды. Она сама занимается кастомом футболок, штанов, кофт и т.д. Клиенты довольны ее товарами. Но однажды мошенники крадут базу данных с котактами клиентов, обзванивают их и объявляют распродажу 90%. Люди заказывают товары, деньги списываются, но одежда так и не приходит. Клиенты думают, что их обманула Дарья, и заваливают ее сайт негативными отзывами, а некоторые даже подают в суд.

Способы защитить конфиденциальные данные

Защитить данные не так сложно, как кажется. Важно уметь работать с людьми, документами и внимательно следить за тем, что происходит в компании.

Хранение документов

• Храните печатные документы в сейфах или закрытых ящиках. Бумаги могут лежать на столе только во время работы с ними;
• Особое внимание уделяйте документам с контрагентами или партнерами, если передаете им данные клиентов. Подписывайте соглашения о защите данных и договоры на обработку с обязательными пунктами о конфиденциальности;
• Храните оригиналы фотографий, инфографики, договоров и переписок с дизайнерами и фотографами. Это станет дополнительным доказательством, что вы – правообладатель.

Коллектив

• Назначьте ответственных за хранение персональных данных. Они должны знать все требования и меры для защиты информации;
• Составьте список сотрудников с доступом к персональным данным и проведите для них инструктаж;
• Обучайте сотрудников кибербезопасности и работе с конфиденциальными данными. Объясняйте, чем утечка грозит бизнесу и самим работникам. Например, за случайную утечку данных можно получить штраф или увольнение;
• Расскажите сотрудникам о необходимости избегать подозрительных писем, ссылок и нелицензированных плагинов. Можно обратиться в специализированные сервисы для проведения курсов по кибербезопасности.

Кибербезопасность

• Установите антивирусы на все компьютеры. Вирусы могут повредить данные во всей системе;
• Храните пароли в специальных программах, а не на стикерах или в ежедневниках;
• Заведите корпоративную почту и сетевые папки с доступом только для сотрудников. Избегайте бесплатных облачных сервисов и общедоступных почтовых сервисов для рабочей переписки;
• Обновляйте устройства вовремя. Старую прошивку легче взломать;
• Используйте защищенное Wi-Fi соединение. В общественных местах лучше использовать мобильную сеть для выхода в Интернет.

Оборудование

• Не оставляйте гаджеты без присмотра и блокируйте их, когда уходите. Мошенников могут интересовать документы, переписки, корпоративные адреса и списки контактов;
• Используйте защитный экран для ноутбука, если часто работаете в публичных местах. Он сделает экран невидимым для окружающих.

Соблюдая эти правила, вы защитите конфиденциальную информацию о своем бизнесе, сбережете деньги, нервы и репутацию.

Технические меры по защите персональных данных

Помимо действий, описанных ниже, важны и технические меры, которые помогут защитить информацию от угроз:

• Аттестация безопасности информационной системы: система, которая обрабатывает персональные данные, должна пройти аттестацию безопасности и получить соответствующий аттестат;
• Управление доступом включает протоколирование действий с данными и оповещение о несанкционированном доступе с помощью специальных утилит;
• Обеспечение целостности информации: использование операционных систем и систем управления базами данных, сертифицированных ФСТЭК и ФСБ;
• Межсетевой экран: рекомендуется использовать устройства третьего или четвертого уровня в зависимости от категории защищенности оператора персональных данных.
• Анализ защищенности: на рабочих терминалах и серверах, устранение выявленных недостатков и усиление защитных мер с помощью сертифицированных сетевых сканеров.

Документация для оператора персональных данных

Подготовка документов зависит от собранной информации на предыдущих этапах. Вот что точно понадобится:

• Политика компании по обработке персональных данных. Это обязательный документ;
• Форма согласия на обработку ПДн. Возможно, понадобится несколько форм, в зависимости от категорий субъектов данных. Роскомнадзор разработал удобный конструктор для создания этих документов. Подготовленный шаблон можно отправить на проверку и получить рекомендации;
• Положение о неавтоматизированной (или автоматизированной) обработке ПДн;
• Приказы о назначении ответственных лиц. Это касается сотрудников, задействованных в обработке конфиденциальной инфомации.

Возможно, вам также потребуется разработать инструкции для описания процессов и операций, связанных с обработкой данных.

Пример

Вернемся к Дарье. Допустим, что она наняла человека, который занимался поиском покупателей, привлекал потенциальных клиентов, организовывал продажу и доставку товара. Однако Дарья не подписала с ним договор о неразглашении коммерческой тайны. Через некоторое время сотрудник увольняется… и похищает базу данных клиентов Дарьи, чтобы отдать ее конкуренту.

Разработка документации: в чем необходимость

Размер штрафа по 152 ФЗ «О защите персональных данных» с 27 марта 2021 г. увеличен до 500 000 руб.

По статьям 18.1 и 19 закона «О защите персональных данных», операторы данных обязаны обеспечить инструменты их защиты и конфиденциальности.

Некоторая документация, касающаяся персональных данных, должна быть публичной и предоставляться лицам, данные которых подлежат обработке. Внутренние документы компании должны описывать порядок работы с персональными данными, меры безопасности и ответственность за нарушение правил обработки данных.

Шаги для выполнения требований

Оператор данных должен:

1. Назначить ответственных за работу с данными;
2. Утвердить политику по обработке персональных данных, учитывая рекомендации Роспотребнадзора;
3. Утвердить модель безопасности угроз по базовой модели от ФСТЭК;
4. Согласовать инструкцию пользователя системы персональных данных и оповестить ответственных сотрудников;
5. Выпустить приказ о допуске ответственных сотрудников к обработке конфиденциальных данных;
6. Оповестить обладателей персональных данных о процессе их обработки и получить их согласие в письменной или электронной форме;
7. Разработать и утвердить документы об ознакомлении сотрудников с локальными актами по защите данных.

Обязательная документация

Убедитесь, что вся документация соответствует правительственным постановлениям и нормативным актам, регулирующим защиту персональных данных:

• Приказ ФСБ №378 от 10.07.2014 года;
• Приказ ФСТЭК РФ №21 от 18.02.2013 года;
• Утвержденные ФСТЭК методики;
• Постановление Правительства №1119 от 01.11.2012 года.

Эти документы помогут вам создать надежную систему защиты персональных данных в вашей компании.

Почему ГЭНДАЛЬФ?

Мы оказываем услуги по защите персональных данных. Нас выбирают, потому что:

• За нашими плечами 9 лет опыта в защите информационной безопасности;
• Мы обеспечиваем полное соответствие законодательству;
• Мы продаем Лицензии ФСТЭК России и ФСБ России;
• Мы гарантируем выезд специалистов в любой регион России;
• Мы выполняем заказы «под ключ», при этом используем индивидуальный подход;
• Мы создаем индивидуальное коммерческое предложение за 1 день после заявки;
• Мы быстро реагируем на запросы клиентов;
• Нами аттестовано более 300 информационных систем;
• Более 40 клиентов из более 20 организаций успешно прошли проверки контролирующих органов.

Помните: защита информации – это не только безопасность, но и репутация вашего бизнеса.