Утечка данных стоит дороже, чем их защита: почему вам нужна грамотная ИТ-инфраструктура

Содержание

• Что относится к персональным данным
• О законодательстве
• Ответственность за отсутствие зашиты персональных данных
• Меры, которые обязаны предпринимать операторы данных: 3 направления
• Где начинается безопасность: ИТ-инфраструктура как основа
• Что конкретно нужно защищать — и как?
• Что будет, если не внедрить меры защиты персональных данных?
• Как избежать проблем — подход на уровне архитектуры
• Что делать бизнесу и госсектору, чтобы не попасть в неприятности
• Настоящая защита — это не галочка, а работающая система

Сегодня ни один бизнес, ни одна государственная структура не обходится без обработки персональных данных. Это может быть ФИО клиента, номер его телефона, паспорт, ИНН, адрес электронной почты, банковская информация, медицинские сведения и даже IP-адрес. Все это — данные, которые напрямую или косвенно связаны с конкретным субъектом. А значит, они подлежат защите по 152-ФЗ.

Каждая организация, которая собирает и использует такие сведения, становится оператором персональных данных и обязана соблюдать установленные законом меры информационной безопасности. Без этого — штрафы, блокировки, потери доверия и клиенты, которые больше не вернутся.

Что относится к персональным данным

Это фамилия, имя и отчество, дата и место рождения, паспортные данные, серия и номер СНИЛС, ИНН, номер телефона, адрес электронной почты, номер банковской карты, сведения о медицинских диагнозах, цифровые идентификаторы, геолокация, IP-адрес, фотографии, видеозаписи, голосовые файлы — все это относится к категории персональных данных, так как позволяет прямо или косвенно идентифицировать конкретного человека, то есть субъекта.

Кто отвечает за защиту данных

Ответственность несет оператор, то есть сама организация. Именно она должна доказать, что обработка персональных данных осуществляется в соответствии с законом. Именно она обязана подтвердить наличие мер защиты, предоставить согласия, продемонстрировать работу информационных систем, соответствующих требованиям федеральных органов.

Даже если все делает подрядчик — в суде отвечать будет заказчик. Закон не спрашивает, кто виноват. Он смотрит, кто обработка данных осуществляет.

О законодательстве

В соответствии с требованиями Федерального закона №152-ФЗ, любая организация, которая осуществляет сбор, хранение, систематизацию, использование, передачу, архивирование или уничтожение таких данных, признается оператором персональных данных. Это значит, что организация берет на себя полную юридическую и технологическую ответственность за соблюдение принципов, правил и требований, связанных с обработкой и защитой персональных данных.

В рамках закона оператор обязан:

1. Получать согласие субъекта персональных данных на их обработку;

2. Использовать данные только в четко определенных целях, заранее указанных в политике конфиденциальности;

3. Обеспечивать целостность, актуальность, достоверность и правомерность обработки персональных данных;

4. Принимать меры по защите данных от несанкционированного доступа, случайного уничтожения, модификации, блокирования и утечки информации;

5. Использовать сертифицированные средства защиты информации;

6. Обеспечивать контроль за действиями сотрудников и автоматизированных информационных систем в рамках работы с такими сведениями.

Ответственность за отсутствие зашиты персональных данных

Без внедрения комплекса организационных, технических и правовых мер защиты персональных данных, любая деятельность с такими данными будет противоречить действующему федеральному законодательству, а это автоматически влечет за собой риски привлечения к ответственности. На практике это означает:

• Штрафы со стороны Роскомнадзора за нарушение требований к обработке персональных данных;

• Возможную приостановку деятельности, если будет установлено отсутствие системы информационной безопасности;

• Нарушение прав субъектов персональных данных, что может повлечь за собой иски, требования о компенсациях, претензии от клиентов;

• Репутационные издержки: пользователи все чаще обращают внимание на политику конфиденциальности и практики обработки данных, особенно в свете участившихся случаев утечек;

• Потерю партнерства с компаниями, особенно если они работают в международной среде и требуют соблюдения не только российского ФЗ, но и международных стандартов (например, GDPR).

Особенно остро этот вопрос стоит перед государственными и медицинскими учреждениями, банками, операторами связи, крупными IT-компаниями, торговыми сетями, маркетинговыми агентствами и всеми, кто работает с массивами информационных данных, включающих конфиденциальную информацию.

Важно понимать, что обеспечение безопасности персональных данных — это не разовое действие, а постоянный процесс. Организация обязана не просто внедрить нужные средства, но и регулярно проводить аудит информационных систем, обновлять технические решения, актуализировать локальные нормативные акты, обучать персонал, а также отслеживать изменения в законодательстве.

Информационная безопасность должна быть встроена в архитектуру всей ИТ-инфраструктуры: от серверов и сетей до облачных решений и внутренних порталов. Только при таком подходе можно говорить о реальной защите персональных данных, а не об имитации соблюдения закона.

Иначе — одна уязвимость, один взлом, один утекший документ с данными субъекта, и компания попадает под удар: регуляторов, клиентов, партнеров, общественности. А вернуть утраченное доверие намного сложнее, чем один раз выстроить грамотную, соответствующую требованиям систему защиты персональных данных.

Меры, которые обязаны предпринимать операторы данных: 3 направления

Любая организация, которая по факту работает с персональными данными (а это почти любая компания сегодня), обязана внедрить меры по защите информации в трех направлениях: правовом, организационном и техническом. Это не опция и не «для галочки» — это требование ФЗ №152 и других федеральных законов Российской Федерации, которые касаются обработки персональных данных субъектов.

Если вы оператор, то обязаны не просто «соблюдать формальности», а обеспечить безопасность, доступность, цельность и соответствие обработки данных требованиям закона. И вот как это выглядит на практике:

1. Правовые меры

   Именно с них все начинается. Без четко прописанных внутренних документов, которые отражают цели обработки, процедуры, ответственных, формы согласия, права субъектов персональных данных — вся остальная безопасность просто не будет работать.

   

   Что сюда входит:

   • Политика обработки персональных данных (ее обязаны знать не только юристы, но и те, кто реально обрабатывает информацию);

   • Положения о конфиденциальности, приказы, регламенты;

   • Согласия субъектов на конкретные виды обработки данных (бумажные и электронные);

   • Журналы учета сведений, бумажных носителей, съемных устройств, и т.д.;

   • Четкие инструкции для сотрудников, в том числе — что делать в случае инцидента.

   Главный принцип — все должно быть в соответствии с законом. Не на бумаге, а в реальности. Не «для отчета», а так, чтобы каждый знал: какие данные он обрабатывает, на каких основаниях и в каких целях.

2. Организационные меры

   Даже идеальная документация не спасет, если люди не понимают, как действовать. Поэтому организационный блок — это про контроль, обучение и распределение ответственности.

   Что делается на этом этапе?

   • Назначаются ответственные лица за обработку персональных данных и за обеспечение их безопасности;

   • В компании внедряется система контроля доступа: кто, куда и зачем имеет доступ;

   • Проводятся регулярные проверки соответствия;

   • Сотрудники проходят обучение по информационной безопасности, цифровой гигиене, правилам работы с конфиденциальной информацией;

   • Ведутся логи доступа, журналы входов/выходов, действий в системе — все, что позволяет отследить, кто, когда и с чем работал;

   • Определяется порядок реагирования в случае угроз, утечек или инцидентов.

   

   Без этого сотрудники становятся слабым звеном: пароль «123456», флешка с данными без защиты, ноутбук без шифрования — и вот уже персональные данные где-то на стороне. Организационные меры нужны, чтобы такого не допускать.

3. Технические меры

   Это уже история про средства защиты информации, которые буквально «держат оборону» — причем на всех уровнях: от рабочего места до облака.

   

   Сюда входят:

   • DLP-системы — чтобы обнаруживать утечку персональных данных (например, если сотрудник решил переслать базу по почте);

   • SIEM и EDR — для обнаружения угроз, мониторинга событий, логирования подозрительной активности;

   • Контроль съемных носителей и печати — чтобы никакие данные не ушли на флешке или бумаге;

   • Системы шифрования и ограничения доступа по ролям;

   • VPN, двухфакторная авторизация, разграничение сетей — все, что исключает несанкционированный доступ;

   • Защищенные информационные системы, которые соответствуют требованиям ФСТЭК и ФСБ;

   • Резервное копирование, отказоустойчивость, автоматическое переключение на бэкап-серверы — на случай ЧП.

Важно: все эти меры не работают поодиночке. Они должны быть внедрены в комплексе. Если поставить только антивирус — это не защита. Если настроить только шифрование — этого тоже мало. Нужна цельная система, выстроенная под специфику вашей компании, с учетом того, какие именно персональные данные вы обрабатываете, в каких информационных системах они находятся, и кто с ними работает.

Только при соблюдении всех трех блоков — правового, организационного и технического — можно говорить о том, что организация действительно заботится о защите субъектов персональных данных и соблюдает требования законодательства Российской Федерации.

Где начинается безопасность: ИТ-инфраструктура как основа

Когда речь заходит о персональных данных, первым делом надо смотреть на ИТ-инфраструктуру. Именно она — основа всего: от обработки информации до ее хранения и защиты. Без нее — никак. Это не просто компьютеры и провода, это вся система, которая обеспечивает безопасность: серверы, сети, операционные системы, средства защиты, облака, ЦОДы, виртуальные платформы, доступы, контроль — все работает вместе.

Каждая такая система должна быть собрана грамотно и без «дыр». Потому что если где-то старый сервер, не обновлена защита, не работает мониторинг или плохо настроен контроль доступа — все, готовьтесь к утечке данных. Это может быть случайный сбой, а может — результат действий злоумышленников. И даже если вы все делаете правильно, но один элемент «провис», вся архитектура перестает защищать — и начинается компрометация.

Вот простой пример: в компании есть CRM-система, где хранятся данные клиентов, в том числе паспортные, телефоны, адреса. Все это — персональные данные, причем часто — конфиденциальная информация. Если нет надежных мер защиты, если доступ к системе можно получить извне или если нет шифрования — эти сведения легко становятся добычей для тех, кому они точно не предназначались.

Что конкретно нужно защищать — и как?

Когда речь заходит о защите персональных данных, многие представляют себе просто файлик с паролем или папку с замком на сервере. Но на деле все гораздо шире. Безопасность данных — это про защиту каждого уровня вашей ИТ-инфраструктуры.

Неважно, где обрабатываются персональные сведения: в офисном компьютере, на облачном сервисе или в центре обработки данных — уязвимость может возникнуть где угодно. А значит, защищать нужно все: от «железа» до облаков.

Иначе утечка — дело времени. А вместе с ней — штрафы, проверка соответствия ФЗ, недоверие клиентов и убытки, которые сложно посчитать сразу.

Разбираемся, какие именно элементы нужно держать под контролем и какие меры по обеспечению безопасности персональных данных стоит внедрить, чтобы не бегать потом по судам и не объясняться с Роскомнадзором.

1. Оборудование

   Это основа любой инфраструктуры. Серверы, рабочие станции, сетевые устройства, точки хранения данных — именно на них лежит весь массив работы по обработке персональных данных. Здесь важно не просто наличие антивируса — это минимум.

   Что действительно имеет значение:

   

   • физическая защита от несанкционированного доступа (закрытые серверные, ограничение прохода и т. д.);

   • логическая защита: контроль учетных записей, изоляция сред, распределение прав доступа, резервирование и отказоустойчивость;

   • обязательное шифрование всех хранилищ, особенно там, где используются персональные данные субъектов и конфиденциальная информация;

   • регулярные проверки, аудит состояния систем и соблюдение норм по защите данных в соответствии с требованиями ФЗ.;

   Если этим пренебречь — одно физическое проникновение в серверную может обернуться полной компрометацией информации.

2. Программное обеспечение

   Все, что работает поверх «железа»: от операционных систем до CRM и бухгалтерии — это часть информационной системы, через которую проходят персональные данные.

   Нельзя просто поставить популярную ОС и забыть. Все должно быть:

   • лицензировано

   • обновлено;

   • правильно настроено под вашу модель обработки данных;

   • закрыто от несанкционированного доступа;

   • интегрировано с средствами защиты информации.

   

   Нужны защищенные СУБД, инструменты для контроля доступа, системы учета событий, решения по шифрованию и обезличиванию. Особенно это касается ПО, которое связано с массовым хранением и обработкой сведений субъектов персональных данных.

3. Сетевые компоненты

   Это артерии всей инфраструктуры. Маршрутизаторы, коммутаторы, точки доступа, VPN-шлюзы — именно по ним бегают данные.

   

   Что важно:

   • настройка шифрования трафика — без него данные просто «плывут» в сети, как есть;

   • разграничение сетей: пользовательская, серверная, гостевая — все должно быть изолировано;

   • ведение журналов доступа, мониторинг, обнаружение угроз;

   • управление правами и постоянный аудит сетевой активности;

   • внедрение средств защиты на уровне L3-L7, особенно в организациях, где идет постоянная передача персональных данных субъектов через интернет.

   Сбоит одна точка доступа — и ваш оператор персональных данных становится фигурантом административного дела.

4. Центры обработки данных

   Если вы арендуете стойки или строите собственный ЦОД, то берете на себя ответственность за все: от питания до кондиционирования.

   Нужно следить за:

   • физическим контролем доступа в серверные помещения;

   • стабильностью электроснабжения и наличием ИБП;

   • отказоустойчивостью и возможностью быстрого переключения на резервные ресурсы;

   • противопожарными мерами;

   • сертификацией помещения и процедур — в соответствии с федеральными требованиями по ИБ и защите персональных данных.

   

   ЦОД — это хребет вашей информационной инфраструктуры, и если он даст трещину, сломается все.

5. Облачные сервисы

   Работаете в облаке? Отлично, это удобно. Но не всякое облако подходит под закон.

   

   Важно проверить:

   • кто оператор облака — входит ли он в российскую юрисдикцию, соблюдает ли требования 152-ФЗ;

   • где физически находятся серверы — в пределах Российской Федерации или за ее границами;

   • есть ли у платформы сертификаты соответствия и реализованы ли средства защиты информации;

   • как устроен контроль доступа к виртуальным машинам, хранилищам и приложениям;

   • кто отвечает за инциденты — вы или провайдер?

   Любое использование облачного ресурса должно быть четко описано в документации, включая цели обработки данных, объем согласия субъектов и перечень передаваемой информации.

   Каждый из этих элементов — часть одной большой картины. Выстроить надежную информационную систему, в которой обеспечение защиты персональных данных — не фикция, а рабочий механизм, можно только тогда, когда все учтено: от сетевого трафика до печатающего устройства, от виртуального хранилища до бумажного архива.

Что будет, если не внедрить меры защиты персональных данных?

Проще говоря — начнутся проблемы. И не только с регуляторами, но и с рынком, клиентами, сотрудниками и партнерами.

Если ваша ИТ-инфраструктура не отвечает требованиям ФЗ №152, если отсутствуют меры по обеспечению безопасности, если нет контроля обработки персональных данных, то последствия — это не «может быть», а «вопрос времени».

Вот что действительно ждет:

• Потеря персональных данных клиентов и сотрудников — и это не просто технический сбой, а нарушение закона, прав субъектов, и основа для серьезных исков.

• Нарушение режима согласия — если оператор обрабатывает данные не по назначению, без целей, без согласия, либо передает их третьим лицам без основания — это прямое нарушение ФЗ.

• Судебные иски от пострадавших. Все чаще клиенты и сотрудники знают свои права и готовы их отстаивать — особенно в случае утечки данных или несанкционированного доступа к их конфиденциальной информации.

• Репутационный кризис — если утечка стала публичной (а сегодня это вопрос пары минут), компания моментально теряет доверие. СМИ, соцсети, клиенты, конкуренты — все следят, как вы реагируете. Удержаться на плаву после такого — крайне сложно.

• Расходы на восстановление доверия — антикризисные PR-кампании, извинения, внутренние аудиты, компенсации — все это стоит денег, времени и ресурсов.

• Потеря контрактов и партнеров — особенно если вы работаете с госсектором или крупным бизнесом. Несоответствие требованиям по защите персональных данных — повод для расторжения договора.

• Снижение стоимости компании в глазах инвесторов и покупателей. Без защищенной инфраструктуры актив становится токсичным — его никто не захочет брать в расчет.

И самое главное: даже если вы «отделаетесь» только штрафом, доверие не вернешь штрафом. Люди не хотят оставлять свои данные там, где их не могут защитить. А в эпоху, когда персональные данные — это почти валюта, потеря доверия = потеря бизнеса.

Как избежать проблем — подход на уровне архитектуры

Чтобы система не дала сбой, необходимо:

• Построить ИТ-инфраструктуру с учетом требований информационной безопасности;

• Подобрать сертифицированные средства защиты и внедрить их правильно;

• Обеспечить контроль доступа на всех уровнях: от физического входа в серверную до логинов в админку;

• Назначить ответственных, провести аудит, выстроить процессы обработки данных и получения согласия субъектов;

• Обеспечить непрерывность, резервирование и план восстановления.

Что делать бизнесу и госсектору, чтобы не попасть в неприятности

К моменту, когда возникает инцидент — будь то утечка данных, сбой в информационной системе, отсутствие согласия субъекта или просто проверка от регулятора — что-либо менять уже поздно. Поэтому действовать нужно заранее. Не откладывать «на потом», не надеяться, что «нас не коснется», не перекладывать все на IT-отдел, а выстраивать системную защиту персональных данных с участием всех ключевых подразделений.

Потому что персональные данные — это ответственность всего бизнеса, а не только ИТ.

Как распределить ответственность?

• Генеральному директору важно понимать: если есть нарушения по линии ФСТЭК, ФСБ или ФЗ №152, отвечать придется компании. И даже если виноват подрядчик, не обновили систему или не было уведомления — в конечном итоге последствия ложатся на бизнес, его счета, его клиентов и его репутацию.

• Службе безопасности нужна прозрачная структура: кто, где, что обрабатывает, какие меры защиты применяются, какие данные подлежат контролю, какие средства защиты информации внедрены и как часто они обновляются. Должна быть понятная архитектура, план реагирования на инциденты и контроль за действиями сотрудников. Без этого невозможно обеспечить реальную безопасность данных субъектов.

• ИТ-директору — задача ясна: не разрабатывать все с нуля, а внедрять решения, которые уже прошли проверку временем и сертификацией. Использовать легальные, лицензированные инструменты, грамотно настраивать доступ, обеспечивать резервирование, автоматизировать мониторинг угроз. И главное — действовать не точечно, а выстраивать полноценную, масштабируемую ИТ-инфраструктуру, соответствующую требованиям федерального законодательства Российской Федерации.

Настоящая защита — это не галочка, а работающая система

Если вы обрабатываете персональные данные, вы уже несете ответственность. И все, что не сделано заранее — сыграет против вас. Без проработанной ИТ-инфраструктуры, без комплексной системы информационной безопасности, без выстроенных процессов и задокументированных мер защиты — ваша организация рано или поздно окажется в зоне риска.

Это не про «чтобы не оштрафовали». Это про то, чтобы:

• не потерять доверие клиентов;

• не объясняться в суде с пострадавшими;

• не восстанавливать разрушенную репутацию;

• не терять бизнес из-за технической беспечности.

Каждый элемент инфраструктуры — от сервера до точки Wi-Fi — должен быть встроен в единую схему обеспечения безопасности персональных данных. Только так можно говорить о настоящей защите информации, а не формальном соблюдении закона.

Если вы еще не уверены, как это выстраивается в вашей компании — лучше разобраться сейчас, чем после первого инцидента.

Источник - https://gendalf.ru/news/zpdn/utechka-dannykh-stoit-dorozhe-chem-ikh-z/

Статьи по теме

Скликивание рекламы: как от него защититься?

С каждым годом интернет-реклама становится всё популярнее. Далеко не все компании готовы конкурировать честно, поэтому распространённы...

2021-05-26

Интернет-тролли: как с ними бороться и не подмочить репутацию?

Интернет-тролли: как с ними бороться и не подмочить репутацию? Управление репутацией в сети − важная и сложная задача, которая стоит пе...

2020-09-28

Куки-стаффинг: особенности и методы борьбы с ним

Куки-стаффинг представляет собой мошенническую разработку, инструмент, который используется в рамках партнёрского интернет-маркетинг�...

2019-11-05

Вирусы на сайте: особенности поиска и способы лечения

Одной из распространённых проблем, с которой сталкиваются владельцы сайтов, является вирусная атака. Её негативные последствия очевидн...

2017-08-24

Скрытая угроза: веб-атаки 24x7

Обычно про безопасность и защиту сайтов владельцы и вебмастера задумываются слишком поздно, когда уже возникают видимые и очевидные пр�...

2016-06-14

Manul — бесплатный антивирус для вашего сайта

Manul — бесплатный антивирус для вашего сайта Manul легко установить. Ему не нужен доступ к учётным записям администратора. После окончания ...

2015-08-15

Что если плагины безопасности CMS не защищают сайт от взлома?

Для надежной и бесперебойной работы сайту нужно обеспечить комплексную безопасность. В одной связке должны работать WebApplicationFirewall (WAF) и�...

2015-08-04

Защита сайта от взлома и заражения

Взлом сайта – очень неприятная ситуация, угрожающая его работоспособности. От этого не застрахован ни один ресурс в сети. Совершая подо�...

2015-03-02

Крупнейшие киберучения прошли в Европе

Крупнейшие киберучения прошли в Европе Более 200 организаций и 400 специалистов по информационной безопасности из 29 европейских стран �...

2014-11-01

Себестоимость iPad Air 2 — всего 275 долларов

Себестоимость iPad Air 2 — всего 275 долларов Уже давно существует традиция подсчитывать себестоимость самых разных устройств и, соответс...

2014-11-01

10 крутых функций адресной строки Chrome

10 крутых функций адресной строки Chrome Мы часто воспринимаем адресную строку браузера исключительно как место, куда мы вводим URL страни...

2014-11-01

Студентам MIT начали раздавать биткоины

Студентам MIT начали раздавать биткоины С 28 октября любой студент Массачусетского технологического института может получить биткоин�...

2014-11-01

Кейлоггер на FM-волнах

Кейлоггер на FM-волнах Специалисты из университета Бен-Гуриона (Израиль) на хакерской конференции MALCON 2014 показали принципиально новый...

2014-11-01

Мануалы HackingTeam по использованию шпионского ПО

Мануалы HackingTeam по использованию шпионского ПО В рамках проекта The Intercept опубликованы секретные руководства для пользователей шпионск...

2014-11-01

Dell Solutions Forum 2014

Dell Solutions Forum 2014 Форум решений Dell — крупнейшее ежегодное событие для партнеров и заказчиков, которое проходит в рамках мероприятия Dell So...

2014-11-01