Как организации защитить данные от утечек и угроз — Контур

Как организации защитить данные от утечек и угроз

29 июля 2024

Разберемся в действующих законах, регулирующих инфобезопасность, а также рассмотрим свежие изменения в законодательстве. От каких атак защищать компанию и как обезопасить ее от утечки данных?

Фотография Екатерина Шулятьева Екатерина Шулятьева Редактор Контур.Школы, эксперт в области интернет‑маркетинга
Фотография Надежда Запольских Надежда Запольских Менеджер направления «Услуги информационной безопасности» от Контур.Эгида

Новости об атаках на информационные системы фигурируют в СМИ все чаще.

  • Декабрь 2023: группа вымогателей Muliaka атакует российские компании. 
  • Январь 2024: вымогательская группировка LockBit объявила о захвате сотен гигабайт конфиденциальных данных у Subway.
  • Январь-апрель 2024: по данным Kaspersky Security Network количество попыток заражения, с которыми столкнулись предприятия малого и среднего бизнеса, выросло в мире на 5%. 
  • Май 2024: активизировалась преступная группа вымогателей MorLock.

При этом угроза может прийти не только со стороны преступных организаций и хакерских группировок, но и от бывших или действующих сотрудников, разработчиков программ, конкурентов.

Как происходят утечки данных в реальной жизни и как выявлять их на начальном этапе, разобрали на вебинаре «Цифровая нефть. Как и почему утекает информация». 

Задача компании — обезопасить данные и предотвратить нарушение их целостности, конфиденциальности и доступности. 

Роль топ-менеджмента в информационной безопасности

Только топ-менеджмент знает о критичности процессов и может просчитать потенциальные финансовые потери при атаке или утечке данных. В случае серьезной уязвимости руководству придется в срочном порядке принимать решения:

  • нужно ли останавливать скомпрометированные процессы;
  • как общаться с бизнес-партнерами, клиентами и инвесторами;
  • сообщать ли об инциденте в контролирующие органы;
  • общаться с вымогателями или нет;
  • как отвечать на вопросы журналистов;
  • каких сотрудников включать в группу реагирования и как оплачивать сверхурочные;
  • требуется ли возбуждение уголовного дела или достаточно внутренних разбирательств.

Обязанность руководителя — назначить ответственных за управление деятельностью организации в области информационной безопасности и согласовать внутренние нормативные документы. 

Делать точные и верные шаги в случае угрозы помогут заранее прописанные регламенты и карта критичности инцидентов. А для предотвращения угрозы потребуется регулярное обучение основам инфобезопасности всех специалистов компании. 

Обзор действующих законов РФ, регулирующих инфобезопасность

Таких законов немало, и каждый прописывает определенные правила для конкретного направления.

  1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» устанавливает права и обязанности, касающиеся информации и информационной безопасности.
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» описывает правила работы с персональными данными (ПДн).
  3. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» определяет, что относится к коммерческой тайне компаний.
  4. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» дает определение электронной подписи и описывает, как и когда ее можно применять, какой юридической силой она обладает.
  5. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» описывает правила защиты IT-инфраструктуры на предприятиях в сферах, критически важных для государства (здравоохранение, наука, оборона, связь, транспорт, энергетика, банки и др.).

Другие законы и постановления, которые контролируют сферу информационной безопасности, можно посмотреть здесь

Основные регуляторы в сфере информационной безопасности

Роскомнадзор регулирует общие вопросы, касающиеся обработки ПДн. Узнайте, как подготовиться к проверке Роскомнадзора и избежать штрафов.

ФСБ России регулирует применение средств криптографической обработки информации. 

ФСТЭК России регулирует вопросы применения технических средств защиты информации, таких как антивирусы, межсетевые экраны и т.д.

Прокуратура осуществляет надзор за соблюдением законодательства в сфере информационной безопасности, проводит проверки и расследует нарушения, инициирует предписания для их устранения.

Штрафы и санкции за нарушение норм инфобезопасности в области ПДн

Ответственность за нарушение законодательства РФ в области ПДн предусмотрена ст. 13.11–13.14 КоАП РФ.

Нарушение Физлица Должностные лица Юрлица

Обработка ПДн в случаях, не предусмотренных законодательством РФ

2 000–6 000 руб. 

10 000–20 000 руб. 

60 000–100 000 руб. 

Обработка ПДн без согласия в письменной форме или с нарушением установленных требований

10 000–15 000 руб. 

100 000–300 000 руб. 

300 000–700 000 руб. 

Невыполнение оператором при сборе ПДн обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения ПДн

30 000–50 000 руб. 

100 000–200 000 руб. 

1–6 млн руб. 

За неправомерный доступ к охраняемой законом компьютерной информации по ст. 272 УК РФ предусмотрен штраф до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, исправительные работы до 1 года, ограничение свободы или принудительные работы до 2 лет.

За повторное нарушение предусмотрено более строгое наказание. Больше о санкциях за преступления в сфере компьютерной информации можно узнать в гл. 28 УК РФ (ст. 272-274.2).

Сотрудник АО «РТК», пользуясь служебным положением, нарушил должностную инструкцию и за вознаграждение передал ПДн 10 клиентов компании третьим лицам. Суд постановил назначить наказание в виде штрафа в размере 110 000 руб. (Приговор № 1-151/2024 от 26.01.2024 по делу № 1-151/2024).

Изменения в законодательстве в 2024 году: что важно знать

Прежде всего важно отметить ужесточение требований к защите ПДн по Федеральному закону от 12.12.2023 № 589-ФЗ.

В Госдуму внесли законопроект о переходе критически важных объектов на преимущественное использование российского ПО и радиоэлектронной продукции.

В январе 2024 года Минцифры РФ опубликовало рекомендации по переходу госкорпораций на отечественное ПО для снижения зависимости от иностранных технологий и повышения контроля за обработкой информации в стратегически важных секторах. В настоящий момент документ носит рекомендательный характер.

В декабре 2023 года на рассмотрение Госдумы внесли законопроект, который разрешит Роскомнадзору проводить внеплановые проверки в сфере госконтроля и надзора в сфере связи. Поводом для них может стать утечка ПДн. 

Контур следит за изменениями законодательства. Читайте статьи, чтобы не пропускать важное и грамотно выстраивать работу бизнеса. 

От каких атак защищать компанию

Финансовый сектор чаще сталкивается с фишингом и атаками на банкоматы и платежные системы, а также взломами баз данных с целью кражи ПДн. 

При этом для ретейла свойственны взломы систем онлайн-платежей и атаки на цепочки поставок. А в здравоохранении кибератаки проводят для получения доступа к врачебной тайне и данным пациентов, блокирования рабочих процессов или уничтожения результатов исследований.

Для малого и среднего бизнеса по-прежнему самой распространенной киберугрозой остаются троянцы, имитирующие работу легитимного ПО. Также популярен фишинг, к которому приводит неосторожность сотрудников. Как результат, негативные последствия для инфраструктуры компании и ее репутации среди клиентов.

На вебинаре с экспертом-практиком разобрали кейсы клиентов, которые столкнулись с утечкой данных и проверками контролирующих органов. Смотрите запись и узнайте, как предотвратить подобные ситуации в своей компании.  

Человеческий фактор самый непредсказуемый, следовательно опасный. Корпоративное обучение сотрудников, тренинги по безопасности, эффективная парольная политика снижают риски повреждения сети и утечки данных. 

Важно понимать особенности потенциальных угроз и следить за атаками, которым подвергаются компании в вашей сфере. Это поможет обеспечить информационную безопасность. Помните: лучший инцидент — предотвращенный инцидент.

Как обезопасить организацию от утечки данных

За персональными данными охотятся чаще всего. Разберемся, как компании минимизировать риски. 

Шаг 1. Провести аудит текущего положения дел в сфере инфобезопасности

Для этого нужно:

  • Сделать инвентаризацию сетевого оборудования.
  • Понять, где установлены действующие лицензии на ПО, а где нужно их обновить.
  • Оценить разработанную документацию, при необходимости актуализировать ее. 
  • Изучить внутренний и внешний периметр сети. 

Проводите аудит регулярно, чтобы выявлять слабые места и своевременно прорабатывать их.

Согласно ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ в компании должно быть назначено лицо, ответственное за организацию обработки ПДн. Если меняется ответственный или список обрабатываемых данных, нужно внести корректировки в документы и отправить уведомление в Роскомнадзор

Шаг 2. Разработать и утвердить внутренние документы. Ознакомить с ними всех сотрудников

Компании нужно разработать политику информационной безопасности, положение о коммерческой тайне конфиденциальной информации, приказ о назначении группы реагирования на инциденты информационной безопасности (ГРИИБ), а также журналы доступов. 

Для правильной работы с персданными и успешного прохождения проверок Роскомнадзора нужно создать и утвердить следующие документы:

  • Политика обработки ПДн.
  • Приказ о назначении ответственного за организацию обработки ПДн.
  • Форма уведомления об обработке ПДн, согласия на их обработку, форма отзыва такого согласия, форма согласия на распространение ПДн и уведомления о прекращении обработки.
  • Приказ о приеме на работу с указанием требований по ПДн и др.

После того, как разработана политика работы с персданными, ознакомьте с ней специалистов компании. 

Шаг 3. Установить необходимые средства защиты информации

Определите, какое программное и аппаратное обеспечение подойдет для защиты данных. Установите и интегрируйте его в текущую IT-инфраструктуру, проведите обучение для сотрудников.

Специалисты по информационной безопасности инсценируют фишинг-тесты. Они отправляют коллегам письмо с подозрительными данными, при этом просят заполнить форму или перейти по компрометирующей ссылке. Сохраняйте бдительность, даже если в письме вас призывают к срочным действиям: проверяйте имя и адрес отправителя, обращайте внимание на формат вложений.

Шаг 4. Регулярно контролировать соблюдение установленных мер

Задачи сотрудника, ответственного за инфобезопасность в компании:

  1. Разрабатывать политику информационной безопасности. Рассказывать сотрудникам, как предотвратить атаки и как вести себя в случае инцидента: с кем связаться, как изолировать угрозы и восстановить систему. 
  2. Своевременно обновлять средства технического контроля. Устанавливать ПО для предотвращения утечек данных (DLP, двухфакторная аутентификация).
  3. Моделировать угрозы безопасности приложений и предлагать механизмы защиты.
  4. Анализировать систему информационной безопасности на предмет аномалий: проверять журнал активности, актуализировать права доступа сотрудников к данным. 
  5. Отслеживать новости о киберугрозах и обновлять политики безопасности. 

Как поможет Контур

У Контура есть решения, которые помогут обезопасить бизнес от внешних и внутренних киберугроз. 

Услуги по защите информации от Контур.Безопасности: аудит ИБ, построение систем защиты ИСПДн, проведение пентестов, подготовка к лицензированию ФСБ и ФСТЭК, обследование и категорирование объектов КИИ. 

Подписка Контур.Школы. Выбирайте обучение для себя и коллег, чтобы актуализировать знания по нужной теме. В том, как защитить данные и выстроить работу для соответствия законам, помогут курсы: 

Обеспечьте безопасность сети компании и хранящихся в ней данных. 

Фотография Екатерина Шулятьева Екатерина Шулятьева Редактор Контур.Школы, эксперт в области интернет‑маркетинга
Фотография Надежда Запольских Надежда Запольских Менеджер направления «Услуги информационной безопасности» от Контур.Эгида
Раз в неделю — дайджест материалов, достойных внимания Актуальные материалы раз в неделю
Подписаться
<
Написать комментарий