Антивирус защита персональных данных
Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.
Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.
Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.
Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:
- Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
- Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
- Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
- Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
- Разработка технического задания на создание системы защиты персональных данных.
- Приобретение средств защиты информации.
- Внедрение системы защиты персональных данных.
- Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.
Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.
Обеспечьте защиту персональных данных в вашей компании
Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.
Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.
В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).
В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.
Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.
Модель угроз безопасности ПДн: пример
Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:
* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.
Основными источниками угроз в данном случае будут выступать:
- внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
- внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.
Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.
Определение уровня защищенности ПДн
В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.
Построение системы защиты персональных данных
В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.
Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:
Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.
ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.
Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.
Выводы
Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.
Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.
Рекомендации по защите персональных данных
Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Антивирус поможет защититься от типовых угроз, но он не спасет от ошибок пользователя.
Антивирус — это программный комплекс, который защищает компьютер или другое устройство от вирусов и внешних воздействий. Эти приложения не просто ищут и уничтожают на жестком диске вирусы, но и анализируют загруженные файлы на предмет угроз, фильтруют почту и предупреждают, если вы заходите на подозрительный сайт.
Большинство программ сейчас распространяются по условно бесплатной модели — без денег вы получите защиту, но с ограничениями. Например, сервис будет искать вирусы, но не защитит от поддельных сайтов. К тому же в бесплатной модели много рекламы.
Антивирус — это не гарантия защиты. Эффективнее разобраться в основах компьютерной и финансовой безопасности и научиться отслеживать опасные ситуации.
Самозащита от мошенников
Рассказываем о приемах, которые помогут не потерять деньгиНужен ли вам антивирус
Если у вас установлена лицензионная версия операционной системы, например Windows 10, то в большинстве случаев антивирус вам не нужен — и вот почему.
В операционную систему уже встроен антивирус Windows Defender — с типовыми опасными программами он справится. Есть защита от нежелательных проникновений и в браузерах — Opera, Chrome и Mozilla предупреждают о поддельных сайтах и автоматических загрузках.
Пользы от антивирусов может быть меньше, чем вреда. Из громких скандалов вспоминаются обвинения «Аваста» в продаже персональных данных. Но другие программы тоже собирают информацию, в том числе историю сайтов и даже названия файлов на жестком диске.
Еще антивирусы могут стать причиной попадания в систему вируса — грубо говоря, хакеры пользуются уязвимостями, которые есть в антивирусах, и передают в ваш компьютер вредоносное ПО. Разработчики такие уязвимости быстро исправляют, но риск получить «заразу» все равно велик. Например, весной 2020 года такую уязвимость нашли в 28 популярных антивирусах.
Как мы подбирали антивирусы для материала
Антивирусов много, и разработчики каждого убеждают, что именно их продукт хороший. Здесь расскажу про антивирусы, которые используют мои знакомые сервисные инженеры и которые пробовал я — а еще эти программы получили высокий рейтинг в исследовательских агентствах.
Kaspersky Total Security
Стоимость: от 1999 Р в год
Пробный период платной версии: 30 дней
Защита: 6/6
Производительность: 6/6
Удобство: 6/6
Бесплатная версия называется Kaspersky Security Cloud Free. Может просканировать компьютер на наличие вирусов, также предупредит, если вы будете скачивать подозрительный файл из интернета. Постоянно напоминает, какие хорошие у компании платные решения, и предлагает на них перейти.
Что в платной версии. У компании несколько платных вариантов. Максимальную защиту обещают в пакете Kaspersky Total Security — за 1999 Р в год можно использовать антивирус на двух устройствах, например на компьютере и смартфоне.
Кроме удаления уже проникнувших в компьютер вирусов и защиты от новых компания предлагает проверку на безопасность сайтов, где вы вводите данные банковской карты.
Еще есть менеджер защитного пространства, где можно хранить пароли, данные карты и копии документов, и функция контроля за активностью в общественных вайфай-сетях — антивирус предупредит, если кто-то попытается похитить ваши данные.
Бонусом к пакету дарят Safe Kids — это программа родительского контроля. Если установить ее на телефон, можно ограничивать на устройстве доступ к сайтам с материалами для взрослых.
В бесплатной версии «Касперский» постоянно предлагает докупить новые функции. Так же делают и остальные антивирусыAvast
Стоимость: от 1990 Р в год
Пробный период платной версии: 30 дней
Защита: 6/6
Производительность: 5,5 / 6
Удобство: 6/6
Бесплатная версия называется Avast Free Antivirus. В пакете будет обнаружение вирусов, программ-вымогателей и других угроз в режиме реального времени. Плюс сканирование домашнего вайфая на предмет внешних проникновений.
Минус бесплатной версии — в постоянной навязчивой рекламе коммерческой версии и самовольной установке других программ. Например, при очередном обновлении у меня появился браузер от «Аваста», который сам закрепился во всех основных пунктах меню. Возможно, я просто не увидел мелкую строчку или галочку, где соглашался на установку.
Что в полной версии. За деньги программа будет предупреждать об опасных сайтах, перед запуском проверять установленные приложения на наличие троянов, блокировать попытки сайтов отслеживать ваши действия. Если пользуетесь почтовым клиентом, «Аваст» добавит туда дополнительный фильтр от спама. А еще прервет попытки других программ подключиться к веб-камере.
Еще из необычных функций — безвозвратное удаление конфиденциальных файлов. Пригодится, если ваш жесткий диск кто-то украдет и решит восстановить «удаленную» конфиденциальную информацию.
Сначала читать, потом подписывать
В интерфейсе бесплатной версии постоянно появляются баннеры с завуалированным предложением купить платную версию: например, в подарок предлагают 30-дневный пробникСтоимость: от 990 Р в год
Пробный период платной версии: 30 дней
Бесплатная версия: нет
Защита: 6/6
Производительность: 5,5 / 6
Удобство: 6/6
Что в полной версии. Есть два варианта антивируса. Стартовый пакет на одно устройство, «ESET NOD32 Антивирус», обещает защиту от вирусов и интернет-мошенников — программа будет предупреждать о подозрительных сайтах.
ESET NOD32 Internet Security за 1990 Р можно использовать для трех или пяти любых устройств домашней сети. Кроме базовой защиты этот сервис будет шифровать онлайн-платежи, чтобы их не перехватили. Плюс защищать от внешних подключений веб-камеру и вайфай-сеть. Есть родительский контроль — чтобы ребенок не смог зайти на «взрослые» сайты.
У «Есет» есть «Гарантия антивирусной защиты»: если компьютер заразится вирусом, то компания вернет деньги.
«Есет» предлагает сканировать на угрозы не только файлы на дисках, но и оперативную память с реестром360 Total Security
Стоимость: от 833 Р в год
Пробный период платной версии: нет
Рейтинг: нет
Бесплатная версия. Это полноценная программа, сделанная на основе сразу пяти антивирусных «движков». В бесплатной версии есть активная защита от проникновений, онлайн-проверка открываемых ссылок и файлов из интернета, большое сканирование компьютера на вирусы и сервис блокировки перехвата паролей.
Из минусов — бесплатная версия показывает рекламу, в том числе прерывая сканирование компьютера.
Что в полной версии. Нет рекламы. Эта версия помогает отслеживать актуальные версии драйверов на компьютере и предупреждает, что их нужно обновить. Встроен продвинутый по сравнению с бесплатной версией брандмауэр — это фильтр, который анализирует информацию из интернета, которую скачивает ваш компьютер. Еще есть уничтожитель данных — удалит файлы так, чтобы их невозможно было восстановить на жестком диске.
В антивирусе есть защита от особых атак — когда вирус уже проник в обычные файлы и действует параллельно с полезными процессами. Впрочем, другие антивирусы тоже занимаются этим, просто находя зараженные файлы и помещая их в карантинAVG Internet Security
Стоимость: от 1990 Р в год
Пробный период платной версии: 30 дней
Защита: 6/6
Производительность: 5,5 / 6
Удобство: 6/6
Бесплатная версия защищает от вирусов, вымогателей, троянов и других вредоносных программ. В отличие от многих антивирусов, AVG бесплатно проверяет почтовый клиент: если вам пришлют зашифрованный в почте вирус, программа, вероятно, сможет его распознать и удалить.
В бесплатной версии AVG предлагает защиту файлов, браузера и почты. От воровства данных банковских карт компьютер будет защищен только за деньгиСравнение антивирусов
| Антивирус | Рейтинг на av-test.org | Цена | Бесплатная версия |
|---|---|---|---|
| Kaspersky Total Security | 6/6 | От 1999 Р в год | Может проанализировать компьютер на наличие вирусов. Предупреждает, если скачиваете подозрительный файл из интернета |
| Avast | 5,8/6 | От 1990 Р в год | Обнаруживает вирусы, программы-вымогатели и другие угрозы в режиме реального времени. Сканирует домашний вайфай на предмет внешних проникновений |
| Eset | 5,8/6 | От 990 Р в год | Нет |
| 360 Total Security | Нет | От 833 Р в год | Защищает от проникновений, проверяет, что вы открываете онлайн. Сканирует компьютер на вирусы и блокирует перехват паролей |
| AVG Internet Security | 5,8/6 | 1990 Р в год | Проверяет на вирусы онлайн и офлайн, следит за входящими письмами |
Илья, вот люто плюсую за дрвеб. Но почему то его нет. Зато есть Аваст. Бесполезный кусок дерьма.
Евгений, ну, не знаю. У меня была проблема на стационаре - не запускалась какая-то программа (уже точно не помню, чуть ли не Офис), причём не помогала даже переустановка. Прогонял и ДрВеб, и КАВ - без результата. Бесплатная версия же Аваста нашла вирус, удалила, работа программы восстановилась.
А вот DrWeb по-моему вообще почти везде игнорится, не только в этом "обзоре":)
Дмитрий, Программа хорошая. Пользуюсь около пяти лет. Но в этом году самовольно, без предупреждения сняли деньги с карты за продление подписки. Я от нее отказался. Не надо лазить по моим карманам без спроса.
Дмитрий, DrWeb порвал уйму компов.Умники утверждают что только те у которых была сомнительная активация.Не берусь спорить но то что ,,докторишка,,для обычного рядового пользователя (а таких подавляющее большинство) не друг а враг это точно.
Илья, не занесли
Я не очень продвинутый в знании антивирусов человек, но когда гуглишь какую-то информацию, чтобы решить проблему с компьютером, в 90% советах есть пункт "отключите антивирус", а это что-то да значит =D
Terri, это можно рассматривать как средство диагностики, а не как решение.
А дальше - разбираться что именно блокирует: firewall, АВ в карантин файл кидает.
И чтобы не говорили: чтож твой хвалёный АВ сам не поймёт что это безопасно?
Ответ: это не проблема разработчиков АВ, а проблема разработчиков твоего софта - провести нормальное тестирование с АВ.
Как правило с крупными разработчиками (дорогой софт) этого не происходит как раз по этой причине. Ну ещё потому что разработчики АВ тестируют свой софт с этими "крупными" софтинами, а с каждой мелкой разбираться.
Защитник Windows + Adguard. Никакие другие антивирусы не нужны
Аваст. При переходе на удалёнку и установке VPN аваст блокировал интернет, пришлось писать в поддержку и отключать какие-то экраны. Насчет вирусов - знаю не понаслышке, что вирусы он не ищет. И это платная версия.
Все антивирусы из вашего списка полный шлак кроме Касперского! Я могу порекомендовать Malwarebytes Anti-malware
В обзоре не хватает антивируса от Microsoft, встроенного в Windows 10. Он бесплатен, не показывает рекламы и худо-бедно защищает компьютер не хуже, чем AVG или Avast
Constantin, в самом начале же: "Нужен ли вам антивирус
Если у вас установлена лицензионная версия операционной системы, например Windows 10, то в большинстве случаев антивирус вам не нужен — и вот почему. "
Любой антивирус не даёт стопроцентную защиту, плюс ко всему имеет место быть ложное срабатывание. Поэтому лучший антивирус - собственный мозг. Не посещай сайты сомнительного содержания, не открывай письма на тему "вы выиграли миллион", загружай софт и документы с официальных сайтов и будет вам счастье. В случае чего, стандартный антивирус вполне сможет подстраховать. Как альтернатива, упомянутые ранее ОС с ядром Linux. Выбор софта под них поскромнее, но 99.9% потребностей домохозяйки он покроет. Как по мне, прочие коммерческие антивирусы имеют смысл там, где требуется повышенная степень безопасности, аля, банки, но там обычно есть специально обученные люди, которые в этом разбираются больше
Касперский - филиал фсб на вашей пекарне, а другие перечисленные антивирусы - полное говно.
Ставьте Dr. Web.
Впрочем, если вы шевалье, у которого лицензионный вин, офис и все проги, и вы не знаете, что такое торрент, впн и пиратские сайты - действительно, на 90% можно обойтись дефендером.
Wychwood, :)) Филиал ЦРУ, конечно лучше.
T-800, если вы пират (хоть прожжённый, хоть изредка по доброте друга), то антивирус тоже не поможет. А временами ещё и мешает. Тут уже виртуальная машина, отказ от постоянной админки, процесс Эксплорер, блокиратор рекламы, вывод всего и вся из системных папок, разбивание рабочей и пиратской зон, и, как вишенка, прямые руки.
Fcük, ну хз. Ставил python и библиотеки на чистую win10 - вообще никаких проблем. Виртулка на win10 тоже работает без нареканий.
На работе приходится работать с разными версиями linux. Вот где засада: то что работает в одной не работает в другой.
Я лично сижу на MacOS, Linux.
В качестве рабочей машинки Windows + VirtualBox = полет нормальный. Не использовал бы Windows, но есть VPN который исключительно только на Windows нормально работает. Но основная разработка и хождение по сайтам всяким это MacOS, Linux.
У родителей Eset хороший антивирус, давно им пользуюсь, даже как-то роутер в подарок дали).
Артём, попробуйте Parallels под мак. Купил лицензию и ни разу не жалею, приложения под виртуалкой работают так же хорошо, как нативные.
Удивлен, что нет ни слова про Comodo Antivirus. Пользуюсь продуктами Comodo уже лет 5-7. Ни разу не подвел. И есть бесплатная версия
Fcük, вот прям не про винду. Десятка, если нужны права, и с настройками по умолчанию, устанавливает все с одним вопросом в самом начале, далее - только галочки ставь/снимай, да жми "Далее". Да и документация есть вся для всех систем, просто поисковики "запомнили", что вы с мака, вот и подкидывали подходящие статьи. Ну а виртуалка. Вот тут даже не знаю, что можно сделать не так.
После заявлений господина Касперского по поводу введения интернет-паспортов побрезгую ставить его поделие на свои устройства. Даже если это бесплатно будет, не говоря уже о том чтобы деньги ему платить.
Ну а можно потратить не очень много своего времени и повысить компьютерную грамотность, чтобы не пришлось платить создателям антивирусов за собственные ошибки.
Использую windows defender и пока не было никаких проблем, соблюдаю разумные требования веб безопасности
Мозг самый лучший антивирус. У меня вообще нет ни одного ит дефендера то-же и живу.
а что насчет встройки в 10?)
AVG и Avast это один и тот же антивирус с разным интерфейсом.
Автор, не очень даже скрывая свои намерения, прорекламировал Касперского. Только забыл написать, что он: 1) сильно "тормозит" слабые компьютеры, "поджирая" порядка 400 Мбайт ОЗУ, 2) с его помощью какой-то неизвестный "дядя" где-то в недрах системы безопасности государства может заблокировать Ваш компьютер (знаю - сам так делал), 3) вирусы он пропускает на "Ура!", например "скрипт"-вирус (года 3 назад), который, к примеру, ESET и DrWeb не пропустили (знаю, в конторе "обрушились" все до одного компы с Касперским (порядка 1200 штук!) и ни одного с ESET (порядка 300 штук), 4) конфиденциальность Вашей информации на 99% не гарантирована!
Комментарий удален пользователем
Борис, ага, отлично помогает. Правда не только против вирусов, но и вообще против всего софта.
Sergey, ну далеко не всего, тут заблуждаетесь. Требования домашнего пользователя покроются с лихвой, для разработчиков в определённых сферах это тоже весьма неплохое решение. Чтобы не быть голословным, под Linux нативно работают основные браузеры, есть видеоплееры, аудиоплееры и вполне дружелюбные, например VLC, из офиса libre office и open office, вроде есть китайский WPS office, кроме того всегда доступны Google документы. Аналог paint - pinta, Photoshop - Gimp и Krita. До Фотошопа они, конечно, не дотягивают, но если вы не профи дизайнер или верстальщик, то вполне хватит. Для 3D моделирования есть Blender, до 3DsMax или Maya не дотянет, но вполне достойный конкурент. Также есть какие-то пакеты для работы со статистикой, некоторые CAD также написаны под эти ОС. С игрушками туго, но в своё время Steam задумался над этим и частично решил вопрос, кроме того всегда есть простенькие игрушки чтобы убить время. С прочим специфическим профессиональным софтом действительно могут быть проблемы, но Linux имеет право на жизнь, в том числе и для обычного пользователя. Кстати, ПО распространяется из единого центра - менеджера приложений (что-то вроде Google play или Apple Store) поэтому в вебе особо и не мелькают версии ПО для Linux
Helg, по моему мнению, ось должна выбираться под задачи, а не задачи должны подгонятся под ось. И лично для меня Windows при таком подходе не имеет альтернатив. Но если кому-то достаточно браузера и аудиоплеера, то никаких проблем конечно, можно ставить что угодно.
Вне зависимости от того, принадлежит ли компания к большому, малому или среднему бизнесу, состоявшаяся это организация или пока еще стартап — вопрос защиты персональных данных актуален для всех. Эта статья посвящена особенностям и средствам такой защиты, а также рекомендациям, которые помогут упростить эту работу и сделать ее более эффективной.
Кто обеспечивает защиту данных?
Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № от 27.07.2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.
Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.
При невыполнении мер защиты оператор несет законодательно установленную ответственность. Наблюдением и проверками компаний в данном случае занимается Роскомнадзор. В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф. С 2019 года его размер повысился до сотен тысяч (для юридических лиц — миллионов) рублей — в соответствии с недавними поправками, внесенными в Кодекс РФ об административных правонарушениях.
Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.
Что защищать и от чего?
Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:
точное место жительства;
адрес электронной почты.
Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.
Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:
если им получено согласие на обработку (необязательно письменное);
планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);
обрабатываются персональные данные своих сотрудников;
в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.
Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.
Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.
Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.
Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:
Политика в отношении персональных данных задокументирована и находится в публичном доступе.
Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).
Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.
Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.
Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка. Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения.
Перечисленные нами условия — это некая база, фундамент, поскольку защита персональных данных основывается не только на соблюдении юридической стороны дела — что, в целом, не так уж и сложно и требует лишь внутренней дисциплины в компании, — но и куда более сложной технической организации.Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их.
Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:
программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;
некоторые процессы системы (в частности, защитные) функционируют не в полную силу;
усложнены условия эксплуатации и хранения информации.
Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):
Объективная. Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.
неисправность технических средств,
слабые антивирусы, отсутствие шлюзов безопасности,
невозможность зрительного контроля за серверами и доступом к ним.
Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.
Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).
Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.
Специалисты компании-оператора должны учитывать все типы угроз. Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):
Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.
Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.
Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т. д.
Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их.
угроза, вызванная небрежностью сотрудников, работающих с информационной системой;
угроза, инициируемая субъектами извне с целью получения личной выгоды.
искусственная угроза, созданная при участии человека;
природная, неподконтрольная человеку (чаще всего — стихийные бедствия).
Непосредственная причина угрозы:
человек, разглашающий строго конфиденциальные сведения;
природный фактор (вне зависимости от масштаба);
специализированное вредоносное программное обеспечение, нарушающее работу системы;
удаление данных случайным путем из-за отказа техники.
Момент воздействия угрозы на информационные ресурсы:
в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);
при получении системой новой информации;
независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).
Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.
Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников. Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе.
Построение системы защиты персональных данных
Классификация уровней защиты
Информационная безопасность подразумевает четыре уровня защиты от угроз:
Первый уровень. Наиболее высокий, предполагает полную защиту специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь).
Второй уровень. Предполагает защиту биометрических данных (в том числе фотографии, отпечатки пальцев).
Третий уровень. Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.
Четвертый уровень. Это сборная группа, в которую включают все данные, не упомянутые в предыдущих трех пунктах.
Таким образом, все данные, собранные в информационной базе компании, могут быть четко распределены по уровням защиты.
Обеспечение защиты
Защита информации по уровням в каждом случае состоит из цепочки мер.
Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.
Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.
Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.
Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.
Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе.
Средства защиты информации
Подробный список технических и организационных мер по обеспечению безопасности также определен юридически. К ним относятся процедура идентификации и аутентификации субъектов и объектов доступа, цепочка управления доступом, ограничение программной среды, надежная защита машинных носителей информации, антивирусная защита, предотвращение и обнаружение вторжений, аналитика степени защищенности среды наряду с обеспечением доступности данных и выявлением событий, которые потенциально приведут к сбоям в работе системы. Кроме того, закон обязывает в случае технической невозможности реализации каких-либо мер разрабатывать другие, компенсирующие меры по нейтрализации угроз.
Технические средства защиты также имеют отдельную классификацию и должны выбираться в зависимости от требуемого уровня защиты. Средства определены официальным документом, составленным Федеральной службой по техническому и экспортному контролю (орган исполнительной власти, занимающийся защитой информации). Документ доступен на официальном ресурсе службы. Каждый из классов имеет минимальный набор требований по защите.
Криптографические средства защиты информации
Одним из наиболее действенных способов защиты персональных данных является использование средств криптографии. Если упростить, то речь идет о шифровании текста с помощью цифрового кода.
К криптографическим средствам относятся аппаратные, программные и комбинированные устройства и комплексы, способные реализовывать алгоритмы криптографического преобразования информации.
Они предназначены одновременно для защиты информации при передаче по каналам связи и защиты ее от неразрешенного доступа при обработке и хранении. Логика проста: злоумышленник, который не знает кода, не сможет воспользоваться данными, даже если получит к ним доступ, поскольку не прочтет их. Для него они остануться бессмысленным набором как будто случайных цифр.
Регламент использования криптографических средств определяется Федеральной службой безопасности и документирован в соответствующем приказе.
Рекомендации по защите персональных данных
Как видим, поддержание системы информационной безопасности силами отдельной компании представляется довольно трудоемкой задачей. Далеко не каждый бизнес или государственная компания могут позволить себе штат профильных специалистов. Во многих случаях проще отдать эту задачу на аутсорс, нанять сторонних специалистов, которые помогут подобрать и установить подходящее оборудование, проконсультирую персонал, окажут поддержку с написанием политики конфиденциальности и внутренних регламентов по обращению с засекреченной информацией.
Такое сотрудничество всегда требует большой вовлеченности со стороны руководящего звена компании и всех ее сотрудников. Невнимательность и недостаточно серьезное отношение к соблюдению мер защиты могут закончиться кражей данных, крупными штрафами, судебными разбирательствами и репутационными потерями.
Регулярно проводите оценку эффективности выбранных мер защиты, оперативно вносите коррективы, следите за изменениями в законодательстве. Предупредить угрозу в разы проще (и дешевле), чем бороться с ее последствиями.
Читайте также: