Время задуматься о безопасности данных и конфиденциальности клиентов
Независимо от того, в какой отрасли вы работаете, есть вероятность, что вы будете обрабатывать и хранить данные отдельных лиц. Вы можете называть их потребителями, клиентами, пациентами, пользователями службы или членами сообщества, но...
Директор по маркетинговым коммуникациям Semafone Мэнди Паттенден объяснил, почему сейчас важно уделять внимание защите информации и хранению персональных данных. Мы попросили экспертов DIRECTUM прокомментировать его материал. Читайте перевод и комментарии экспертов ниже.
Независимо от того, в какой отрасли вы работаете, есть вероятность, что вы будете обрабатывать и хранить данные отдельных лиц. Вы можете называть их потребителями, клиентами, пациентами, пользователями службы или членами сообщества, но, с большой долей вероятности вы храните их имена, адреса и другие личные данные.
Дешевизна хранения, сделки по слияниям и поглощениям, и общее беспечное отношение к персональным данным привели к увеличению их объемов до неконтролируемых масштабов во многих организациях.
Серия крупных похищений персональных данных, произошедших за последние несколько лет, показали опасность хранения крупных массивов данных. Хотя до этого новое Положение о защите данных Европейского союза (European Union General Data Protection Regulation – EU GDPR) уже обращало внимание представителей бизнеса на необходимость избегать возможных колоссальных финансовых санкций. Если же угроза штрафа и нарушения закона не служат достаточной мотивацией, то беспокойство пользователей, нарастающее после скандалов Cambridge Analytica и Facebook*, должно подтолкнуть вас.
Следить за информацией
Можете ли вы с уверенностью сказать, где хранятся все персональные данные вашей организации? Если нет, вам нужно отслеживать путь информации с момента ее поступления в вашу организацию, указывать конечный пункт назначения и промежуточные остановки. GDPR ЕС предоставляет вашим клиентам «право быть забытым», то есть они могут потребовать полного удаления данных о себе из ваших записей. Если они размещают этот запрос, у вас должна быть возможность немедленно и полностью удалить все экземпляры их данных.
Чем меньше, тем лучше
Одна прекрасная рекомендация GDRP- хранить минимально возможное количество персональных данных. Чем больше информации у вас есть, тем более привлекательны вы становитесь для хакеров и больше вам придется потерять в случае взлома. Наш совет- смиритесь с возможностью кражи и минимизируйте возможный ущерб. Когда хакеры взломают базу в идеале они не смогут найти там ничего ценного. Но если все же персональные данные будут украдены, вам придется обосновать перед Комиссией хранение каждой записи. Если у вас нет достаточных оснований для хранения какой-либо информации, просто избавляйтесь от нее.
Усложняйте жизнь хакерам
Если вам действительно необходимо хранить персональные данные, максимально усложняйте путь мошенникам. Используйте токенизацию (замена уязвимых данных на «подставные» с возможностью восстановления, доступной только владельцу) или псевдонимизацию (обработка персональной информации для исключения возможности установить взаимозависимость данных без привлечения дополнительной информации). и отделяйте уникально идентифицируемые данные, такие как адреса электронной почты и номера телефонов. В таком случае полные записи собираются только в тот момент, когда они непосредственно необходимы для целей конкретной транзакции или запроса. Если требуется долгосрочное хранение данных, например, для последующего анализа, сотрите все, что напрямую связано с конкретным человеком - имена, адреса, e-mail, и замените это новым идентификационным номером. Вы также можете использовать не уникальные данные для этой цели, убедившись, что нет возможности перепроектировать отдельную запись с использованием атрибутов из предыдущих или существующих баз данных. Благодаря этим мерам злоумышленники не смогут раскрыть субъекта персональных данных, даже если смогут их украсть.
Читайте так же Как защитить SaaS |
Обучайте сотрудников
По результата исследования, проведенного HANDD Business Solutions, самым слабым звеном в цепочке защиты информации на предприятиях является персонал. Разумеется, важно доверять своим сотрудникам, но при этом необходимо регулярно выполнять основные процедуры безопасности, такие как смена паролей и поиск фишинговых или направленных точечных фишинговых атак. Руководители должны не только следить за тем, чтобы корпоративные политики безопасности постоянно обновлялась, но и убедиться в том, что вся команда знает, как их применять. В случае нарушения или жалобы, сотрудники ICO будут задавать вопросы, чтобы выяснить, насколько надежны ваши процедуры, поэтому не теряйте контроль над ними ни на секунду.
Дело не только в вас
Удостовериться, что вы хорошо защитили и зашифровали данные клиента - это только первый шаг на пути к информационной безопасности. Если в процессе обработки данных задействованы ваши партнеры, вы отвечаете за то, чтобы их меры безопасности были так же надежны, как ваши. В GDPR закрепляется юридическая и моральная обязанность нести ответственность в случае, если кто-то из ваших партнеров допустил нарушение конфиденциальности данных. Всегда выполняйте юридическую экспертизу для партнеров по обработке данных и заключайте с ними договорные соглашения для разъяснения ожиданий каждой из сторон.
Время настало
Рост объемов персональных данных поддерживается инновациями в технологиях начиная с различных устройств и подключенных к ним приложений для слежения за здоровьем и Alexa (дочерняя компания Amazon.com, известная своим сайтом, где собирается статистика о посещаемости других сайтов). В то же время люди более чем когда-либо осведомлены о рисках для сохранения их конфиденциальности, возникающих, когда они дают согласие на обработку их персональных данных. Доверие все сложнее заслужить, поскольку потребители становятся более подозрительными. Для представителей бизнеса не остается другого выхода, кроме как начать серьезно относиться к защите данных.
Перевод: Анна Пушина, DIRECTUM.
Максим Соловьев, специалист по безопасности, SynerdocsВремя задуматься о безопасности настало на самом деле уже давно. Официально с момента вступления в силу Закона РФ «О персональных данных» от 27.07.2006г. №152, а не официально – с момента накопления и обработки таких данных в информационных системах. Например, в сервисе Synerdocs документы/данные передаются по зашифрованному протоколу HTTPS. Да, данный протокол «не приветствуется» Российским законодательством в области защиты информации, но и в природе данный протокол еще ни разу не был взломан. Т.е. тут надо исходить из принципа достаточности мер по защите информации. Если в вашей Модели угроз есть злоумышленник, способный взломать HTTPS, и вероятность такого взлома велика, то да – вам надо позаботиться о дополнительных мерах безопасности – как вариант, шифрование самих данных перед отправкой их контрагенту или построение VPN. Данные меры позволят выполнить требования регуляторов в области информационной безопасности – а это использование средств (программных или технических), прошедших соответствующую проверку (сертификацию). |
Андрей Ардашев, системный архитектор, DirectumRXОбмен данными между сервером и клиентом в обязательном порядке должен шифроваться. В большинстве ECM-систем такой обмен шифруется с использованием SSL и TLS-сертификатов. В случае использования «толстых» клиентов появляется возможность дополнительной шифровать трафик в отличие от систем с веб-доступом. Дополнительная защита может быть реализована с использованием VPN. Защиту от копирования файлов баз данных, файловых хранилищ тел документов, резервных копий можно обеспечить за счет шифрования физических/виртуальных разделов дисков. Безопасность баз данных может быть также обеспечена за счет встроенных возможностей СУБД шифровать данные БД, однако система, которая будет работать с зашифрованной БД, должна поддерживать такой режим работы. Для обеспечения безопасности облачных сервисов можно использовать рекомендации ГОСТ Р Защита информации. Требования по защите информации, обрабатываемой с использованием технологий "Облачных вычислений". Обзор ГОСТа можно почитать в моей статье https://ecm-journal.ru/docs/Analiz-GOST-Trebovanija-po-zashhite-informacii-obrabatyvaemojj-s-ispolzovaniem-tekhnologii-oblachnykh-vychislenijj.aspx |
Источник: Information-age.com
* - организация, признанна экстремистской на территории РФ
Комментарии 3
"https https-у рознь". https (даже вариант http+tls+ГОСТ) не предназначен для защиты данных в полном смысле, а способен обеспечивать лишь одно/двух-стороннюю криптографически аутентифицированную защиту канала связи между tls-клиентом (браузер) и tls-сервером (веб-сервер).
Для защиты ПДн "просто https" не подойдет, т.к. согласно п.3 ч.2 ст.19 152-ФЗ ПДн защищается только "применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации".
Вадим, здравствуйте!
Совершенно верно, https не является средством обеспечения 152-ФЗ. Для защиты ПДн необходимо выполнить ряд регламентированных мер.
Но для защиты передачи данных от перехвата использование HTTPS(TLS) в настоящее время достаточно.
Использование специализированных средств криптографической защиты позволит обеспечить защиту передачи данных в соответствии с 152-ФЗ.
С учетом распространения технологий man-in-the-middle (в антивирусах, DLP, FW и т.п.), достаточно, при условии двустороннего TLS или хотя бы одностороннего TLS+ГОСТ.