С развитием цифровой трансформации и практики применения удаленной работы сотрудников большинство компаний стали хранить свои данные в цифровом формате. Такой подход значительно повышает удобство работы, способствует эффективному взаимодействию и оптимизирует бизнес-процессы. Однако цифровизация также привела к беспрецедентному росту кибератак и утечек данных.
В последние годы в разных странах, регионах и отраслях были введены строгие нормативные акты, регулирующие порядок обработки конфиденциальных данных компаниями. Так 30 ноября 2024 года президент РФ подписал федеральный закон 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (КоАП)», который значительно увеличивает штрафы компаниям за утечку персональных данных пользователей.
Определение конфиденциальных данных
Понятия «конфиденциальные данные», «персональные данные» и «секретные данные» часто употребляются как синонимы. В повседневной речи под конфиденциальными данными подразумевается любая информация, разглашение которой нежелательно. Однако с юридической точки зрения это понятие имеет более точное определение.
Конфиденциальные данные — это особая категория информации, требующая повышенной защиты из-за возможных негативных последствий её утечки. Если такие данные попадают в чужие руки, это может привести к финансовым потерям, личному или репутационному ущербу. Понимание того, что представляет собой конфиденциальная информация, крайне важно для организаций, чтобы обеспечить её надёжную защиту от несанкционированного доступа.
Различие между персональными и конфиденциальными данными
Конфиденциальные данные — это подкатегория персональных данных, доступ к которым ограничивается законом. Например, ФИО, номер мобильного телефона, адрес электронной почты — это персональные данные. Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут: если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является.
А вот информация о проведённых банковских операциях или сведения, характеризующие физические особенности человека — это конфиденциальные данные, поскольку злоумышленники могут использовать их для кражи личности. Таким образом, не все персональные данные являются конфиденциальными.
В России обработка персональных данных регулируется Федеральным законом «О персональных данных» № 152-ФЗ. Согласно этому закону, персональными данными считаются любые сведения, относящиеся к прямо или косвенно определённому физическому лицу. Конфиденциальные персональные данные включают сведения о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни, а также биометрические данные.
Кроме того, организации, работающие с персональными данными, обязаны соблюдать меры защиты и не передавать их третьим лицам без согласия субъекта данных, за исключением случаев, предусмотренных законом.
Виды конфиденциальных данных
Компании, работающие с платежными картами, должны соблюдать стандарт безопасности данных индустрии платежных карт (PCI DSS), который требует строгих мер защиты информации держателей карт.
Персональные данные
Персональные данные — это любая информация, позволяющая идентифицировать конкретное лицо. В России обработка персональных данных регулируется Федеральным законом № 152-ФЗ «О персональных данных». Он обязывает компании обеспечивать безопасность таких данных и соблюдать принципы их обработки.Конфиденциальные данные, как правило, не являются общедоступными и относятся к одной из следующих критически важных категорий:
Финансовые данные
Любая информация, связанная с финансовым положением физического или юридического лица, считается конфиденциальной. К ней относятся:
- Номера банковских счетов;
- Данные кредитных и дебетовых карт;
- Кредитная история;
- Налоговые декларации.
Риски, связанные с конфиденциальными данными
Конфиденциальные данные могут находиться как в структурированном виде (например, в базах данных SQL), так и в неструктурированном виде (например, в файлах на общих дисках и в облачных хранилищах). Движение данных в структурированных системах поддаётся контролю, тогда как в неструктурированных хранилищах данные могут свободно перемещаться, что затрудняет их защиту, что может повлечь за собой риски и штрафы. Например выгрузка файла из базы 1С для военкомата, зарплатная ведомость и другие кадровые документы могут храниться в общем доступе, что является нарушением для оператора обработки персональных данных.
В России действует своя правовая база в сфере защиты данных. Согласно российскому законодательству, обработка персональных данных должна соответствовать принципам законности, конфиденциальности и ограничения целей обработки. Компании, работающие с персональными и конфиденциальными данными, обязаны регистрироваться в Роскомнадзоре и соблюдать меры по защите информации.
Несоблюдение требований закона может привести к штрафам и санкциям. Согласно Кодексу Российской Федерации об административных правонарушениях, нарушение правил обработки персональных данных может повлечь штраф до нескольких миллионов рублей, а в случае утечек данных возможно возбуждение уголовных дел.
Защита конфиденциальных данных
Чтобы избежать штрафов и обеспечить соответствие нормативным требованиям, компании должны контролировать и защищать конфиденциальные данные, независимо от места их хранения. Регулярный аудит и классификация данных позволит разграничить их по уровню важности и конфиденциальности. После этого необходимо вести детальный учёт всех активов, отслеживая их местоположение, доступ и способы использования.
Знание мест хранения данных — это только первый шаг. Важно внедрить механизмы контроля, предотвращающие несанкционированный доступ. Кроме того, необходимо минимизировать объём собираемых данных, удаляя ненужную информацию, поскольку данные, которых у вас нет, не нуждаются в защите.
Как Makves DCAP может помочь защитать конфиденциальные данные
Внедрение надежных методов защиты данных критически важно для того, чтобы избежать серьезных штрафов за нарушение требований регуляторов, дорогостоящих сбоев в работе и долговременного ущерба для репутации и доходов организации.
Решение Makves DCAP помогает организациям обеспечивать максимальную безопасность данных благодаря следующим возможностям:
Аудит файловых хранилищ
Классификация контента в соответствии с требованиями регуляторов: 152-ФЗ, PCI DSS, GDPR и т. д. Определение бизнес-владельцев файлов, наличие копий и похожих файлов, определение неиспользуемых файлов.
Выявление нарушений
Конфиденциальная информация в открытом доступе, наличие нелегитимных копий, наличие прямых либо ненаследуемых прав доступа, определение рисков, подготовка рекомендаций.
Регистрация, хранение и анализ событий
Помощь в проведении расследований инцидентов ИБ и предотвращении рисков, связанных с доступом к данным.
Контроль учетных записей и определение рисков
Выявление пользователей без паролей или с просроченными паролями. Выявление учетных записей, неиспользуемых в течение определенного времени, отслеживание изменений должностных обязанностей сотрудников.