Большая часть информации в бизнесе и государственных структурах, да и в частной жизни граждан, носит конфиденциальный характер. Утеря, искажение или утечка персональных данных третьим лицам может нанести серьезный репутационный и материальный ущерб владельцу компании или ее клиентам.
Персональные утечки
Многие абоненты хорошо запомнили скандальную историю: два года назад sms-сообщения «МегаФона» стали доступны для публичного просмотра в поисковой системе «Яндекс». Тогда действия оператора нарушили право пользователей на неприкосновенность частной жизни, качество услуг связи и конфиденциальность персональных данных. Как оказалось, на сайте оператора отсутствовал специальный файл, предотвращающий индексирование данных. И вот еще несколько свежих историй. Оператор связи «Ростелеком» в Челябинской области передал персональные данные своих абонентов коллекторскому агентству вместе с правом выбивать долги. Прокуратура области заявила, что тем самым нарушен Федеральный закон №152 «О персональных данных».
В местном отделении Сбербанка России в Зеленограде конфиденциальные документы с личными данными клиентов – от договоров на открытие счетов до личных адресов и сумм вкладов – оказались возле мусорного контейнера у здания банка. В Омской области сотрудник УК «Партнер-Гарант» предоставил третьим лицам копию лицевого счета, содержащего персональные данные жильцов дома, с которыми ранее договор управления был расторгнут. Прокуратура не замедлила вмешаться и наказать виновных. По данным экспертов Минкомсвязи, только в прошлом году регистраторы доменных имен заблокировали работу 97 web-ресурсов из-за того, что администрация распространяла персональные данные российских граждан. В общей сложности Роскомнадзор принял свыше 5 тысяч обращений по вопросам защиты персональных данных. Причем подавляющее большинство жалоб – это некорректная работа банковских учреждений и организаций ЖКХ.
По словам начальника отдела информационной безопасности ЗАО «Калуга Астрал» Николая Мезенцева, источником утечки конфиденциальной информации в 90% случаев являются не злоумышленники, а собственные, в том числе – бывшие, сотрудники и обычные пользователи. Так, одна крупная российская медицинская компания из-за незащищенной пересылки клиентской базы данных получила материальный ущерб в размере 46 млн. долларов. Злонамеренные утечки информации год от года растут. Если в 2006 году в России было зарегистрировано 200 подобных фактов, то в 2011-м - уже 800.
Новое в законодательстве
В мае текущего года в Минюсте РФ зарегистрированы приказы Федеральной службы по техническому и экспертному контролю (ФСТЭК России) № 17 и № 21 от 18 февраля 2013 года «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Документы являются ключевыми для обеспечения защиты персональных данных государственных информационных систем. Приказ определяет состав и содержание организационных и технических мер по обеспечению безопасности передачи данных при их обработке. Изменился и подход к выбору мер и перечней защиты персональных данных. Причем требования по защите информации для госорганов ужесточаются. По мнению экспертов рынка, ФСТЭК в итоге вышел на те же нормы, что прописаны в Евроконвенции: оператор самостоятельно выбирает меры защиты исходя из актуальных угроз, особенной обработки персональных данных, применяемых технологий и адекватности защиты наносимому ущербу.
- Любая бухгалтерия, начисляющая зарплату, – это оператор персональных данных. Предприятия, не уделяющие должного внимания информационной безопасности, вынуждены будут потратить больше средств, чем потребовалось бы для защиты персональных данных. Причем финансовые риски, связанные с утечкой информации, значительно выше тех средств, которые требуются на ее защиту, – считает руководитель проекта «Информационная безопасность», заместитель директора ЗАО «Калуга Астрал» Алексей Кухтинов. – Сейчас в законе о персональных данных и в новых нормативных актах ФСТЭК прописаны очень жесткие требования по техническому обеспечению их сохранности. Поэтому следует не самостоятельно заниматься вопросами защиты информации, а обращаться к проверенным операторам, имеющим соответствующие лицензии ФСБ и ФСТЭК России для проведения комплексного аудита информационной безопасности систем персональных данных.
Доверяйте профессионалам
Компания «Калуга Астрал» успешно реализовала более 1 500 проектных решений в рамках ФЗ-152 «О персональных данных» в государственных и коммерческих структурах. Компания оказывает профессиональные услуги по приведению информационных систем персональных данных в соответствие с требованиями ФЗ № 152 и нормативных документов ФСТЭК и ФСБ России по защите персональных данных: от аудита информационной безопасности до выдачи аттестата соответствия информационной системы персональных данных требованиям по защите информации.
«Калуга Астрал» аттестована Минкомсвязи России в качестве экспертной организации в области защиты персональных данных и может привлекаться регуляторами к проверкам организаций, обрабатывающих персональные данные. «Калуга Астрал» является привилегированным партнером компаний, выпускающих средства защиты информации, в том числе - средства антивирусной защиты, защищенные межсетевые экраны, средства защиты от несанкционированного доступа, средства помехоподавления и др. Этот статус позволяет компании выполнять работы любой сложности и объема по защите персональных данных и конфиденциальной информации.
- Мы поможем компаниям найти правильное решение, учитывая механизмы минимизации затрат на реализацию требований ФЗ-152. Причем «Калуга Астрал» не только владеет всеми необходимыми лицензиями и разрешениями регуляторов, но и имеет свои представительства и филиалы во всех российских регионах, - подчеркивает Алексей Кухтинов.
За утечку персональных данных Правительство РФ предлагает поднять штраф с тысячи рублей до нескольких миллионов. Компании должны сами задуматься, как сделать так, чтобы конфиденциальная информация о клиентах не «сливалась» в Интернет, и, конечно же, доверять профессионалам рынка.
Персональные утечки
Многие абоненты хорошо запомнили скандальную историю: два года назад sms-сообщения «МегаФона» стали доступны для публичного просмотра в поисковой системе «Яндекс». Тогда действия оператора нарушили право пользователей на неприкосновенность частной жизни, качество услуг связи и конфиденциальность персональных данных. Как оказалось, на сайте оператора отсутствовал специальный файл, предотвращающий индексирование данных. И вот еще несколько свежих историй. Оператор связи «Ростелеком» в Челябинской области передал персональные данные своих абонентов коллекторскому агентству вместе с правом выбивать долги. Прокуратура области заявила, что тем самым нарушен Федеральный закон №152 «О персональных данных».
В местном отделении Сбербанка России в Зеленограде конфиденциальные документы с личными данными клиентов – от договоров на открытие счетов до личных адресов и сумм вкладов – оказались возле мусорного контейнера у здания банка. В Омской области сотрудник УК «Партнер-Гарант» предоставил третьим лицам копию лицевого счета, содержащего персональные данные жильцов дома, с которыми ранее договор управления был расторгнут. Прокуратура не замедлила вмешаться и наказать виновных. По данным экспертов Минкомсвязи, только в прошлом году регистраторы доменных имен заблокировали работу 97 web-ресурсов из-за того, что администрация распространяла персональные данные российских граждан. В общей сложности Роскомнадзор принял свыше 5 тысяч обращений по вопросам защиты персональных данных. Причем подавляющее большинство жалоб – это некорректная работа банковских учреждений и организаций ЖКХ.
По словам начальника отдела информационной безопасности ЗАО «Калуга Астрал» Николая Мезенцева, источником утечки конфиденциальной информации в 90% случаев являются не злоумышленники, а собственные, в том числе – бывшие, сотрудники и обычные пользователи. Так, одна крупная российская медицинская компания из-за незащищенной пересылки клиентской базы данных получила материальный ущерб в размере 46 млн. долларов. Злонамеренные утечки информации год от года растут. Если в 2006 году в России было зарегистрировано 200 подобных фактов, то в 2011-м - уже 800.
Новое в законодательстве
В мае текущего года в Минюсте РФ зарегистрированы приказы Федеральной службы по техническому и экспертному контролю (ФСТЭК России) № 17 и № 21 от 18 февраля 2013 года «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Документы являются ключевыми для обеспечения защиты персональных данных государственных информационных систем. Приказ определяет состав и содержание организационных и технических мер по обеспечению безопасности передачи данных при их обработке. Изменился и подход к выбору мер и перечней защиты персональных данных. Причем требования по защите информации для госорганов ужесточаются. По мнению экспертов рынка, ФСТЭК в итоге вышел на те же нормы, что прописаны в Евроконвенции: оператор самостоятельно выбирает меры защиты исходя из актуальных угроз, особенной обработки персональных данных, применяемых технологий и адекватности защиты наносимому ущербу.
- Любая бухгалтерия, начисляющая зарплату, – это оператор персональных данных. Предприятия, не уделяющие должного внимания информационной безопасности, вынуждены будут потратить больше средств, чем потребовалось бы для защиты персональных данных. Причем финансовые риски, связанные с утечкой информации, значительно выше тех средств, которые требуются на ее защиту, – считает руководитель проекта «Информационная безопасность», заместитель директора ЗАО «Калуга Астрал» Алексей Кухтинов. – Сейчас в законе о персональных данных и в новых нормативных актах ФСТЭК прописаны очень жесткие требования по техническому обеспечению их сохранности. Поэтому следует не самостоятельно заниматься вопросами защиты информации, а обращаться к проверенным операторам, имеющим соответствующие лицензии ФСБ и ФСТЭК России для проведения комплексного аудита информационной безопасности систем персональных данных.
Доверяйте профессионалам
Компания «Калуга Астрал» успешно реализовала более 1 500 проектных решений в рамках ФЗ-152 «О персональных данных» в государственных и коммерческих структурах. Компания оказывает профессиональные услуги по приведению информационных систем персональных данных в соответствие с требованиями ФЗ № 152 и нормативных документов ФСТЭК и ФСБ России по защите персональных данных: от аудита информационной безопасности до выдачи аттестата соответствия информационной системы персональных данных требованиям по защите информации.
«Калуга Астрал» аттестована Минкомсвязи России в качестве экспертной организации в области защиты персональных данных и может привлекаться регуляторами к проверкам организаций, обрабатывающих персональные данные. «Калуга Астрал» является привилегированным партнером компаний, выпускающих средства защиты информации, в том числе - средства антивирусной защиты, защищенные межсетевые экраны, средства защиты от несанкционированного доступа, средства помехоподавления и др. Этот статус позволяет компании выполнять работы любой сложности и объема по защите персональных данных и конфиденциальной информации.
- Мы поможем компаниям найти правильное решение, учитывая механизмы минимизации затрат на реализацию требований ФЗ-152. Причем «Калуга Астрал» не только владеет всеми необходимыми лицензиями и разрешениями регуляторов, но и имеет свои представительства и филиалы во всех российских регионах, - подчеркивает Алексей Кухтинов.
За утечку персональных данных Правительство РФ предлагает поднять штраф с тысячи рублей до нескольких миллионов. Компании должны сами задуматься, как сделать так, чтобы конфиденциальная информация о клиентах не «сливалась» в Интернет, и, конечно же, доверять профессионалам рынка.