Максим Рубан, руководитель направления информационной безопасности платформы корпоративных коммуникаций eXpress, дал комментарий для РИА Новости по вопросам обеспечения безопасности ИТ-инфраструктуры и защиты персональных данных. Публикуем полную версию комментария.
Вероятность утечки зависит от размера информационной инфраструктуры компании и ее вложений в информационную безопасность. Зачастую особый интерес у злоумышленников вызывают большие объемы данных в организациях финансового сектора, оборонно-промышленной отрасли, электронной коммерции и больших IT-компаний.
Чаще всего утечки связаны с непреднамеренными действиями самих пользователей и уязвимостями в информационной структуре организаций, которые могут возникнуть из-за халатности персонала ИТ и ИБ подразделений. Можно выделить два основных типа утечек: через «дырки в инфраструктуре, вторые – через пользователей и фишинговые атаки.
Что касается персональных данных, то любое юрлицо, которое становится оператором обработки персональных данных, должно определить цель обработки данных и обеспечить раздельное хранение различных категорий персональных данных, в том числе несовместимых между собой по целям обработки. Самое главное – чтобы персональные данные не «лежали» в одном месте. Как минимум, их необходимо хранить в разных базах данных и по возможности шифровать.
Рекомендации Роскомнадзора должны соблюдать все. Для этого необходимо внедрить процесс сбора, организации и хранения персональных данных, а затем обеспечить их защиту. Безусловно, это потребует времени для изменения подходов к обеспечению защищенности персональных данных. В первую очередь необходимо определить порядок обработки и закрепить ответственность за персоналом. Вторым этапом предусмотреть ряд организационных и организационно-технических мер по повышению уровня защищенности инфраструктуры.
Необходимо на постоянной основе проводить обучение сотрудников, направить усилия на повышение грамотности в вопросах обеспечения информационной безопасности. Параллельно стоит задуматься о внедрении системы контроля утечки конфиденциальных данных (DLP – система, позволяющая определять потоки информации и информацию в зависимости от определенных ключей). Необходимо минимизировать перечень собираемых и обрабатываемых персональных данных со стороны компании, т.к. объем данных разрастается, а подход по их защите остается прежним. Также важно пересматривать меры по защите персональных данных в зависимости от их массива. Это важный момент, т.к. страшна не сама утечка, а тот ущерб, который может быть нанесен, если злоумышленники воспользуются этими данными. Персональные данные необходимо уничтожать после того, как цели их обработки достигнуты.
Еще одна возможность для предотвращения утечек – использование защищенных корпоративных средств коммуникации. Вся информация в них хранится в зашифрованном виде. В случае, если злоумышленник решит взломать базу данных, то время ее дешифрования займет десятки лет, в связи с чем его интерес к взлому теряется, и он переключает внимание на более легкую «добычу». Использовать российские корпоративные мессенджеры имеет свое преимущество также в связи с тем, что данные хранятся на территории РФ, что является обязательным условием для обработки персональных данных.
Иногда сами пользователи не понимают, для каких целей они предоставляют персональные данные. Они либо не получают эту информацию от оператора персональных данных, либо не уделяют ей должного внимания. Со стороны пользователя самое главное – хранить аутентификационные данные в защищенном месте и производить периодическую смену паролей, не использовать одинаковые пароли для разных видов сервисов.
Оригинал публикации читайте в РИА Новости
