Ответственные за персональные данные

Почему информационная безопасность бизнеса так волнует регулятора

Участившиеся кибератаки на бизнес нередко приводят к неприятным последствиям для его клиентов. Данные сотен тысяч людей «уплывают» в открытый доступ, после чего ими пытаются — и зачастую успешно — воспользоваться мошенники. Компания, работающая с данными клиентов, становится оператором персональных данных и должна соблюдать особые требования к хранению и обработке данных, чтобы защитить их от несанкционированного доступа.

Всем операторам персональных данных необходимо защищать их и принимать меры для того, чтобы не допустить утечки чувствительных сведений о своих клиентах. Причем утечки происходят не только в результате кибератак: при несоблюдении стандартов причиной может стать банальная невнимательность рядового сотрудника.

Согласно закону № 152-ФЗ «О персональных данных», к персональным данным относится информация, прямо или косвенно относящаяся к определенному физическому лицу. Выделяется четыре категории персональных данных:

• Общие данные: фамилия, имя, отчество, страна и город проживания, дата рождения. То есть те данные, которые мы можем увидеть на развороте паспорта. Для того чтобы использовать такие данные, компания должна получить разрешение — например, галочку в соответствующем пункте на сайте.
• Специальные данные: к ним относятся сведения о состоянии здоровья, национальности, политических взглядах, наличии судимости и прочее. Такую информацию можно получать только с письменного разрешения человека.
• Биометрические данные: отпечатки пальцев, фото лица, запись голоса и прочее. Такие данные используются для определения личности человека, например, в банках — чтобы другое лицо не могло получить доступ к счетам.
• Иные персональные данные: брачный статус, трудовой стаж, номер телефона, адрес электронной почты и прочее — те данные, которые могут меняться со временем.

Основные требования к сбору, хранению и обработке персональных данных определены законом № 152-ФЗ. Также есть ряд приказов ФСТЭК, ФСБ, Роскомнадзора, которые уточняют эти требования и задают порядок взаимодействия операторов с регулятором в случае инцидентов кибербезопасности. «С точки зрения требований они достаточно комплексные и затрагивают самые разные направления кибербезопасности — в частности, использование решений, связанных с защитой информационной инфраструктуры. Утечки персональных данных грозят финансовыми потерями, репутационными потерями, а также штрафами и в перспективе даже уголовной ответственностью», — поясняет директор по маркетингу «Лаборатории Касперского» Джабраил Матиев.

На сегодняшний день существуют ИБ-сервисы и продукты, которые помогают бизнесу безопасно, в соответствии с требованиями регуляторов управлять персональными данными своих клиентов. «Все решения «Лаборатории Касперского» сертифицированы по требованиям безопасности и в том числе могут использоваться для защиты персональных данных организации», — отмечает Джабраил Матиев.

Поскольку у специалистов по ИБ не всегда хватает времени и ресурсов разобраться в непростых требованиях законодательства о защите персональных данных, «Лаборатория Касперского» создала базу знаний о регуляторике в сфере кибербезопасности. Она помогает специалистам компаний разобраться во всех регуляторных хитросплетениях и обеспечить необходимый уровень защиты процессов, связанных с персональными данными.

Компания также предлагает рынку линейку продуктов корпоративной защиты Kaspersky Symphony XDR*, которая эффективно противодействует киберугрозам, вовремя обнаруживает их и реагирует на них, в том числе не допуская утечки персональных данных. Помимо этого, у «Лаборатории Касперского» есть сервисы, которые помогают вовремя и эффективно отреагировать на подобные инциденты, снизить потенциальный ущерб и не допустить повторных событий в будущем.

* Kaspersky Symphony XDR — «Касперски Симфони ИксДиАр».