Cистемы защиты персональных данных

• Существующие угрозы
• Что такое система защиты персональных данных
• Уровни защиты
• Основные мероприятия
• Заключение

Существующие угрозы

Утечка данных происходит, когда злоумышленники получают несанкционированный доступ к системам компании и извлекают конфиденциальную информацию. Это может привести к раскрытию миллионов записей (имен, адресов, финансовых данных и других).

Мошенничество — злоумышленники обманным путем получают доступ к конфиденциальной информации или финансовым ресурсам. Методы мошенников часто основаны на принципах социальной инженерии, то есть они используют человеческие слабости, доверчивость или невнимательность, чтобы манипулировать людьми. Самые распространенные из них:

• Фишинг — рассылка поддельных электронных писем, которые выглядят как официальные уведомления от известных компаний или банков.
• Фарминг — перенаправление пользователей на поддельные сайты через взлом DNS или вредоносное ПО. Даже если сотрудник вводит правильный адрес сайта, он может попасть на фальшивую страницу, которая выглядит как настоящая.
• Вишинг — телефонное мошенничество, при котором злоумышленники звонят с поддельных номеров и представляются сотрудниками службы безопасности, банков или ИТ-отдела.
• Претекстинг — создание ложного предлога для получения информации. Мошенник придумывает убедительную историю, чтобы жертва поверила и предоставила конфиденциальные данные.

Например, злоумышленники могут отправить письмо с просьбой обновить информацию об аккаунте, которое будет выглядеть как настоящее. Руководитель компании может получить письмо от якобы партнера с просьбой подтвердить банковские данные для оплаты. Или может поступить звонок с поддельного номера, где звонящий представится сотрудником службы безопасности и потребует сообщить личные данные.

APT-атаки направлены на конкретные компании и определенные типы данных. Эти атаки часто начинаются с фишинга или использования уязвимостей в программном обеспечении для проникновения в систему. Затем используют методы маскировки для незаметности, такие как легитимный трафик или системные инструменты. Закрепившись в системе, злоумышленники получают постоянный доступ и могут постепенно собирать и компрометировать данные, оставаясь незамеченными в течение длительного времени.

Вредоносное ПО может работать без создания файлов на жестком диске, скрываясь в оперативной памяти компьютера, — так называемые бесфайловые атаки. Пока компьютер включен, вирус активен, но после выключения следов заражения на диске нет. Например, вредоносные макросы могут быть встроены в документы Microsoft Office. При открытии файла вирус запускается, но на диске нет признаков его присутствия. Бесфайловые атаки могут быть использованы для кражи паролей и личных данных пользователей.

Компании часто сосредотачиваются на защите от внешних кибератак, однако одними из самых распространенных являются внутренние угрозы, которые исходят от тех, кто уже имеет доступ к корпоративным ресурсам.

• Бывшие сотрудники могут иметь доступ к корпоративной информации, если их учетные записи не были заблокированы.
• Если нынешний сотрудник чем-то недоволен, он может удалить важные файлы или ограничить доступ к ресурсам.
• Конкуренты — они могут использовать инсайдеров, чтобы получить доступ к закрытым данным.
• Международные организации, занимающиеся кибертерроризмом, стремятся получить доступ к конфиденциальной информации и использовать ее для продвижения своих идей или достижения политических целей.
• Инсайдеры — работники компании, которые целенаправленно занимаются хищением информации. Действуют в личных интересах или по указанию других лиц, часто в корыстных целях. Например, инсайдер в отделе кадров может продать личные данные сотрудников.
• Киберпреступники, которые получили доступ к внутренней сети компании, могут использовать его для кражи данных, проведения DDoS-атак или распространения вредоносного ПО.

Что такое система защиты персональных данных

Система защиты персональных данных (СЗПД) — это комплекс мер для обеспечения сохранности и конфиденциальности личных данных граждан. Она включает в себя правила, технические средства и организационные процедуры.

Требования к таким системам устанавливаются Постановлением Правительства РФ № 1119. Этот документ определяет параметры самих систем и необходимые способы защиты персональных сведений, которые находятся в информационных базах данных компании.

Система защиты ПДн:

• призвана предотвратить доступ к персональным сведениям без разрешения;
• должна учитывать современные угрозы безопасности;
• должна быть безопасной и не мешать производственным процессам;
• разрабатываться операторами ПДн.

Важно. Оператор — это организация или человек, которые обрабатывают личную информацию других людей (субъектов). Оператор должен обеспечивать безопасность данных, соблюдать правила их обработки и не допускать незаконного доступа к ним

Уровни защиты

Для обеспечения безопасности личных данных компании используют четыре уровня защиты: УЗ 1, УЗ 2, УЗ 3 и УЗ 4. Каждый из этих уровней подразумевает применение специальных мер безопасности. УЗ 1 представляет собой наивысший класс защиты, а УЗ 4 — самый низкий.

Уровень 4. Важно не пускать посторонних к компьютерам и серверам, где хранятся данные. Все носители информации должны быть в сохранности. Доступ к данным есть только у строго определенного круга сотрудников, и они используют специальные средства защиты.

Уровень 3. Кроме соблюдения вышеуказанных требований компания должна назначить ответственного за информационную безопасность. Он следит за тем, чтобы все правила соблюдались.

Уровень 2. Добавляется ограничение доступа к журналу безопасности, где фиксируются все действия с данными.

Уровень 1. Нужно соблюдать все требования предыдущих уровней. Кроме того, система автоматически записывает в журнал безопасности все действия сотрудников с данными. За безопасность здесь отвечает не один человек, а подразделение, которое занимается этим постоянно.

Какой именно уровень защиты требуется компании, зависит от нескольких важных факторов:

• количества людей, чьи данные обрабатываются;
• насколько важна и секретна эта информация;
• как именно данные собирают, хранят и используют;
• насколько сложная система обработки данных;
• какие угрозы имеются сейчас.

Соблюдение правил защиты личных данных проверяют Роскомнадзор и ФСТЭК. Роскомнадзор проводит плановые и внеплановые проверки, а ФСТЭК устанавливает требования к техническим мерам защиты и тоже может проверять компании.

Основные мероприятия

Система защиты включает в себя комплекс организационных и технических мер, направленных на обеспечение их безопасности. Эти меры позволяют предотвратить утечку, искажение и уничтожение информации.

Организационные меры

Это требования и процедуры, которые определяют, как компания управляет персональными данными и защищает их. Они направлены на создание надежной системы управления безопасностью и повышение осведомленности сотрудников.

• Необходимо создать и ввести в действие политику защиты данных, которая будет определять, как используется, обрабатывается и хранится личная информация. Следует обозначить права и обязанности сотрудников, а также меры ответственности за нарушения установленных правил.
• Нужно утвердить локальные документы, которые будут регулировать все вопросы обработки ПДн в компании, например «Положение о защите персональных данных», приказ о назначении сотрудника, ответственного за обработку данных, и другие.
• Компания должна определить правила доступа на территорию, где обрабатываются персональные данные. При оформлении пропусков нужно учитывать, что даже предоставление фотографии требует согласия на обработку личных сведений.
• Необходимо выявить потенциальные угрозы, которые могут представлять опасность для системы защиты. Для этого нужно проанализировать как внешние, так и внутренние факторы.
• Все сотрудники, имеющие доступ к конфиденциальной информации, должны подписать соглашение о неразглашении коммерческой тайны.
• Регулярное проведение тренингов и обучение персонала правилам обработки данных и безопасным рабочим процедурам помогает сотрудникам осознать важность защиты информации. Это в свою очередь снижает вероятность ошибок, которые могут привести к утечкам или другим проблемам в области безопасности.
• Разделение доступа к информации в зависимости от должностных обязанностей сотрудников и процедуры аутентификации помогают защитить данные от несанкционированного доступа.

Напоминаем, что до начала работы с ПДн оператор обязан уведомить Роскомнадзор. Сделать это можно через специальную форму на сайте ведомства или отправить письмо по почте.

Технические меры

Сложность системы защиты ПДн напрямую зависит от уровня защиты, который должен обеспечить оператор.

• Чтобы защититься от внешних угроз, в организациях используют межсетевые экраны (брандмауэры), системы обнаружения и предотвращения вторжений (IDS/IPS) и антивирусы.
• Для предотвращения несанкционированного доступа со стороны сотрудников применяются системы контроля доступа, многофакторная аутентификация и шифрование данных.
• Блокировочные инструменты защищают оборудование и информацию от нелегального проникновения.
• Системы мониторинга и аналитики помогают отслеживать подозрительные действия и оперативно реагировать на возможные угрозы.
• Чтобы защитить данные от утечки через электромагнитное излучение, используются экранированные кабели, генераторы белого шума и защитные корпуса для оборудования.
• Для защиты от утечки звуковой информации применяются генераторы акустического шума и звукоизоляционные материалы.

Система Staffcop предназначена для мониторинга активности сотрудников, их перемещения по сети, переписки, посещения сайтов и запускаемых приложений. Она помогает выявлять подозрительные действия, такие как:

• копирование файлов с личной информацией на внешние носители;
• отправка конфиденциальных данных по электронной почте на сторонние адреса;
• попытки получить доступ к файлам, к которым сотрудник не имеет прав доступа.

Заключение

Важно понимать, что организационные и технические меры должны применяться в комплексе. Технические меры без правильно организованных процессов и обученного персонала будут неэффективными. И наоборот, хорошо организованные процессы без адекватной технической поддержки не смогут обеспечить надежную защиту данных.