Top.Mail.Ru
Содержание
В начало
Зачем защищать информацию и личные данные
Принципы защиты информации
Виды угроз для информации
Как защитить персональные данные
  • |
  • База знаний
  • |
  • Защищаем персональные данные и информацию: что нужно делать

Защищаем персональные данные и информацию: что нужно делать

Объясняем, какие есть угрозы для информации и как обезопасить бизнес

Персональные данные и ценную информацию сейчас можно считать одним из активов бизнеса. И этот актив нужно беречь. В этой статье разбираемся, почему данные нужно защищать и что делать, чтобы ценная информация не пропала и не ушла в третьи руки.


Зачем защищать информацию и личные данные


Обеспечение безопасности баз данных и защита информации нужны, чтобы снизить риск их утечки. Номера счетов, отчётность, пароли, персональные данные клиентов, номера счетов для оплаты — всё это представляет коммерческую ценность.

Если данные попадут в руки злоумышленников, компания может понести финансовые и репутационные потери, а ещё получить штрафы от государства. Контакты клиентов могут использовать, чтобы взламывать их аккаунты в социальных сетях и в приложениях банков.


Что приводит к утечкам данных? Человеческие ошибки, мошеннические действия, злоупотребление привилегиями, уязвимость носителей информации и другие факторы. Всё это можно и нужно отслеживать и исправлять, чтобы ценная бизнес-информация оставалась в сохранности.


Принципы защиты информации


Для начала разберём три основных принципа защиты информации: конфиденциальность, целостность и доступность.


Конфиденциальность


Тут всё просто: информация, составляющая коммерческую или иную тайну, личная информация и другие подобные сведения должны быть доступны только людям, которые без этих данных не смогут выполнять свои должностные обязанности.


Целостность


Целостность информации подразумевает сохранность данных в том виде, в котором они должны быть, без несогласованных и незаконных изменений. То есть информация должна быть актуальной, полноценной и корректной.


Чтобы информация оставалась таковой, можно разделять должностные полномочия по работе с этой информацией: один человек может её менять, другой подтверждает или отклоняет эти изменения. И нужно вести строгий учёт всех действий.

Доступность


Информация должна быть доступна для использования, но только тем, кто имеет право с ней работать. Число кибератак в России растёт, поэтому обеспечивать постоянный доступ к ценной информации становится всё сложнее, его нужно жёстко регламентировать.

Виды угроз для информации


Для подавляющего большинства компаний независимо от размера и количества клиентов угрозу представляют:

вредоносное программное обеспечение, например, вирусы-шифровальщики;
фишинговые, сетевые, DDoS-атаки;
кражи корпоративного оборудования;
заспамленность корпоративных сервисов;
незаконные действия сотрудников;
ошибки сотрудников, не обученных работе с данными.

Отдельная категория угроз: ненадёжные виртуальные пространства, где хранится ценная информация. Сейчас большинство компаний используют облачные технологии, и выбирать эти сервисы нужно со всей серьёзностью.

У Альфа-Банка в подписке «Альфа-Безопасность» для предпринимателей есть сервис Альфа-Диск. Благодаря этому сервису можно просто, быстро и безопасно передавать конфиденциальные данные, не беспокоясь об их утечке.


Документы, таблицы, презентации и фотографии будут в сохранности, даже если телефон и компьютер сломаются. В хранилище есть 200 МБ для самого важного. На диске конфиденциальные данные защищены паролем — посторонние ничего не увидят. Только владельцу диска решать, кому предоставить доступ к папкам.

Как защитить персональные данные

Есть несколько действий, которые стоит выполнять компаниям в целом и каждому человеку в частности, чтобы сохранять конфиденциальность данных:

Защищать хранилища данных сложными паролями и двухфакторной аутентификацией. Сложный пароль включает в себя буквы разного регистра, знаки препинания, символы вроде @ или # и цифры. Доступ к этим хранилищам нужно чётко регулировать, чтобы туда могли попасть только аккредитованные сотрудники.

Двухфакторная аутентификация — это метод авторизации пользователя в два этапа. Как правило, первый этап — ввод логина и пароля, второй — ввод специального кода, который приходит по СМС или электронной почте. Это более эффективная защита аккаунта от несанкционированного проникновения, чем просто авторизация.

Регулярно обновлять программное обеспечение, использовать лицензионные программы, ограничить работникам возможность скачивать непроверенные приложения на рабочие устройства.

С каждой версией обновления разработчики усиливают защиту, находят и устраняют уязвимости и погрешности в ПО.

Установить на рабочие устройства антивирусы и регулярно запускать проверки. В компании должен быть человек, разбирающийся в этих процессах и контролирующий их.
Содержать данные только в надёжных облачных и физических хранилищах.
Быть осторожными в сети: не делиться личной информацией и паролями в ненадёжных источниках, не открывать вложения и не переходить по ссылкам с незнакомых аккаунтов.
Не оставлять личную и корпоративную технику без присмотра. Всем рекомендуется блокировать корпоративные и личные устройства, ставить на них пароли. Все работники должны знать, что нужно выйти из системы на рабочем компьютере, уходя от него даже ненадолго.
Не авторизовываться в системах с чужих устройств. А если такая необходимость всё же возникла, то по завершении работы убедиться, что вышли из всех аккаунтов и удалили историю своих действий в браузере.
Подключаться только к надёжным Wi-Fi-сетям. В общественных местах интернет не может быть до конца безопасным, но можно подключаться, используя при этом VPN.

Правила работы с информацией и персональными данными нужно доносить до всех сотрудников, проводить с ними обучение, инструктировать перед началом работы и регулярно проверять их знания.