Подавляющее большинство организаций малого и среднего бизнеса сегодня работает с персональными данными (ПД) – собирает и хранит сведения о ФИО, датах рождения, номерах телефонов клиентов, а также их местах проживания, образовании и пр. Но с каждым годом нарастают риски утечки конфиденциальных сведений из-за мошеннических действий. Поэтому ужесточаются требования к бизнесу, оговаривающие методы хранения и обработки этих сведений.

Другими словами, компании несут серьезную ответственность за сохранность личных данных рядовых людей, которым они оказывают услуги. Важно знать, как защищать подобную информацию от несанкционированного доступа и чем грозит нарушение соответствующих норм.

Операторы ПД и контроль их деятельности

В законодательстве РФ принципы работы с ПД регулируют законы №№ 99-ФЗ, 149-ФЗ и 152-ФЗ, а также ряд прочих нормативных документов. Например:

  • Постановления Правительства РФ от 15 сентября 2008 г., от 1 ноября 2012 г.;

  • Приказы ФСТЭК №№ 17, 21;

  • Приказ ФСБ РФ № 378.

За исполнением требований следят Роскомнадзор, ФСТЭК и ФСБ. На специальном портале Роскомнадзора публикуется актуальная информация с рекомендациями для бизнеса – ведомство проверяет в первую очередь внутреннюю документацию. ФСТЭК мониторит применение технических средств защиты, сертифицирует ПО и оборудование. А если организация использует криптографию (обычно имеются в виду ЭЦП), ее деятельностью дополнительно занимается ФСБ.

По официальным разъяснениям, ключевые тезисы по охране ПД звучат следующим образом:

  1. К ПД относятся любые сведения о гражданине, по которым можно прямо или косвенно определить его личность. Их делят на 4 категории:

    • данные, которые стандартно можно получить из общедоступных источников (ФИО, семейное положение, должность, email и пр.);

    • фото лица, отпечатки пальцев (объекты биометрии);

    • сведения о здоровье, расовой и религиозной принадлежности, политических взглядах (специальные ПД);

    • прочая информация, позволяющая выявить конкретного человека.

  2. Оператором ПД считается любая компания, которая каким-либо образом обрабатывает их – собирает, использует в работе, хранит.

  3. По закону организация, планирующая работать с ПД, должна:

    • назначить приказом сотрудника, ответственного за эти процессы;

    • разработать и утвердить соответствующую внутреннюю политику;

    • запросить включение в реестр Роскомнадзора;

    • работать согласно официальным требованиям (в том числе своевременно уничтожать данные) с учетом того, что обработка ПД запрещена, если гражданин не дал подтвержденное согласие на это;

    • обеспечивать защиту данных, предотвращая их копирование, блокировку, распространение и неправомерный доступ к ним в целом.

  4. При несоблюдении требований – обычно по итогам утечки сведений – организация может быть признана совершившей административное правонарушение по ст. 13.11 КоАП.

Защита ПД обеспечивается благодаря комплексу организационных и технических мероприятий. Методы защиты подбирают, исходя из того, какая именно клиентская информация будет использоваться и каким нормам должна соответствовать ее защита.

Штрафы за нарушение требований к применению ПД

Согласно последним редакциям КоАП:

  1. Особо серьезным нарушением является несоблюдение правил хранения конфиденциальной клиентской информации на территории России. При первом нарушении оно чревато наложением штрафов – на ИП до 40 000 рублей, на должностных лиц до 200 000 рублей, на юрлиц до 6 млн рублей. При вторичном нарушении санкции ужесточаются.

  2. За то, что ПД не уничтожены согласно требованиям, могут наложить штрафы до 40 000, 20 000 и 90 000 рублей соответственно.

  3. За отсутствие поданного в срок уведомления об обработке ПД ИП и должностные лица платят штраф до 500 рублей, а юрлица – до 5 000 рублей.

  4. За обработку ПД, на которую владелец не дал письменного согласия, следуют штрафы до 40 000 рублей для несущего непосредственную ответственность лица, до 150 000 рублей для юрлиц, а для ИП – до 300 000 рублей (если нарушение повторное).

  5. При утечке данных в зависимости от тяжести наступивших последствий и статуса оператора ПД штрафы максимально составляют 18 млн рублей.

Более того, предусмотрена уголовная ответственность (лишение свободы до 5 лет). Также на практике компаниям приходится в принудительном порядке прекращать свою деятельность как оператора ПД, судиться с потерпевшими клиентами и т. д.

С экономической точки зрения защита ПД для малого и среднего бизнеса заметно выгоднее, чем затраты на штрафы и разбирательства по итогам утечки. Тем более что существуют репутационные риски. Лояльность как постоянных, так и потенциальных заказчиков и партнеров по отношению к компании, халатно относящейся к защите их личной информации, закономерно снижается. Негативное отношение общественности и контролирующих организаций также не добавляет популярности предприятию.

Практика в области защиты ПД

В первую очередь малым и средним предприятиям, работающим с персданными физлиц, следует максимально улучшить меры кибербезопасности. Они изначально направлены на защиту всех информационных активов организации, включая финансовые данные, сведения о маркетинговых планах, контрактах, логистических цепочках и т. д. Если эти меры были приняты изначально, расширить их действие на ПД не так сложно.

Основные угрозы, которым подвергаются ПД, – это:

  • фишинг (сообщения с файлами, замаскированными под полезную документацию или программные решения);

  • DDoS-атаки на веб-ресурсы;

  • воздействие вредоносных программ, скачанных с сайтов или принесенных на USB-устройствах;

  • методы социальной инженерии, направленные на получение от сотрудников компании конфиденциальной информации.

Базовая защита данных для бизнеса сегодня включает использование локальных российских, а также адаптированных международных практик. Они применяются в рамках:

  • технологической защиты (фаерволы, CDN, SSL, двухфакторная аутентификация, лицензионное антивирусное и прочее ПО, создание резервных копий файлов, настройки удаленного стирания данных с мобильных устройств);

  • юридической защиты (отслеживание и соблюдение законодательных требований, корректное ведение документооборота);

  • организационных мероприятий (настройка контроля доступа, подписание NDA, шифрование дисков, использование менеджеров паролей, обучения и тренинги для сотрудников).

В комплексную систему защиты, работающую 24/7 и регулярно обновляющуюся, входят не только стандартные, но и продвинутые способы обеспечения безопасности. Рациональнее всего начать их внедрение с оценки рисков – выявить, насколько надежны текущие защитные меры, и определить вероятность реализации угроз. В перечень дополнительных средств защиты может даже входить использование сейфов, замков безопасности для рабочего оборудования, системы пропусков для доступа в те или иные помещения.

Аудит и управленческий учет как средство обеспечения защиты ПД

Нормативы, определяющие подходы к защите ПД, многочисленны и регулярно подвергаются пересмотру. Владельцы компаний, не уверенные в способности штатных сотрудников своевременно отслеживать эти обновления, обращаются к организациям, которые специализируются на информационной защите. Такие организации проводят аудиты имеющихся систем защиты, помогают их совершенствовать или внедрять с нуля (если необходимо).

В ходе аудита:

  • анализируется документация компании на предмет соответствия законодательным требованиям;

  • изучается степень защищенности сети;

  • реализуется моделирование возможных угроз;

  • предоставляются рекомендации по предотвращению критических ситуаций, включая нарушения;

  • опционально проводится установка ПО, включая криптозащиту, настройка систем обнаружения вторжений и пр.

Получить помощь можно от организаций, реализующих внедрение управленческого учета. Это комплекс мероприятий, который направлен на оптимизацию всего производственного процесса в компании – повышение его прозрачности и контролируемости, формирование структурированной системы данных, сокращение расходов и влияния человеческого фактора на процесс. Управленческий учет способствует корректировке оценки эффективности бизнеса, помогает его руководству четко прогнозировать риски и принимать верные стратегические решения в долгосрочной перспективе, разумно контролируя затраты.

Для малых и средних предприятий отлаженный контроль внутренних процессов с соответствием гостребованиям имеет особое значение. По некоторым исследованиям, почти 60% организаций из сферы малого бизнеса в России прекращают свое существование в течение полугода после успешной кибератаки с утечкой ПД. Обеспечение и поддержание безопасности ПД без сомнения относится к мероприятиям, которые стоит выполнять в рамках оптимизации бизнеса с прицелом на его стабилизацию и дальнейшее масштабирование.