На підприємстві необхідно запровадити політики з роботи із серверним обладнанням та контролювати відповідність побудованих систем юридичним вимогам. Перелік таких вимог залежить від типу даних, які будуть оброблятися. Наприклад, для роботи з державним сектором вашому апаратному комплексу знадобиться спеціальна сертифікація.
Сьогодні найефективнішим способом для захисту персональних даних є перенести їх у хмарне сховище — віртуальні віддалені сервери. Надійний провайдер хмарних послуг з міжнародним сертифікатом чи українським експертним висновком зможе подбати про належний захист конфіденційної інформації.
Водночас відповідальність за порядок обробки персональних даних та дотримання вимог законодавства залишається за бізнесом. Тому при зверненні до провайдерів необхідно провести правову експертизу їхньої діяльності та уважно ознайомитися з умовами договору на хмарні послуги: зокрема, з умовами захисту інформації та відповідальності сторін за їхнє порушення.
Для захисту даних від кібератак, спрямованих на доступ при їх передачі, їх потрібно зашифрувати чи закодувати. Для цього існує безліч програмних засобів. Проте при роботі з персональними даними або інформацією з обмеженим доступом існують особливі вимоги.
Технічний і криптографічний захист інформації з обмеженим доступом та їхню державну експертизу регулює ціла низка нормативних актів, які суперечать один одному й не враховують реалій технічного прогресу:
1) Закони України:
2) підзаконні акти:
3) державні стандарти — ДСТУ 3396.1-96 від 01.07.1997 р. «Захист інформації. Технічний захист інформації. Порядок проведення робіт» тощо.
Без залучення професійної правової допомоги досить складно розібратися в різноманітті нормативних актів, не кажучи про їх зміст. Однак без їх виконання не вдасться убезпечити бізнес від кібератак, а що ще страшніше — від їхніх наслідків.
На сьогодні наша команда має значний досвід консультування та правової експертизи щодо організації кіберзахисту, шифрування даних з дотриманням вимог чинних нормативно-правових актів і співпраці з провайдерами, які повністю впровадили їх у свою роботу.
Важливе значення в кіберзахисті в цілому та захисті персональних даних зокрема має організація внутрішніх робочих процесів на підприємстві. Ключовий процес — розробка документації, інструкцій і політик, що містять:
Для роз’яснення особливостей роботи з персональними даними на підприємстві та відповідальності за порушення вимог проводяться спеціальні тренінги для персоналу.
Не секрет, що у сфері ІТ персонал, якому надається доступ до роботи з персональними даними, переважно ділиться на зовнішніх підрядників (ФОПів) та офіційно оформлених працівників. NDA (угоди про нерозголошення конфіденційної інформації), як свідчить судова практика, часто буває не достатньо. Відповідно, завдання юриста — подбати про грамотне оформлення обов’язків і вимог щодо нерозголошення даних у договорах із зовнішніми підрядниками та уважно дослідити посадові інструкції працівників.
На це питання варто звернути особливу увагу, адже саме людський фактор стає причиною дуже багатьох провалів у захисті та витоків інформації. Тим паче коли мова йде про людей, відповідальних за підтримку безпеки ваших даних.
Тепер зрозуміло, чому для забезпечення кіберзахисту в першу чергу необхідно залучити юриста, а не технічного спеціаліста. Юристи MK Legal Service мають значний досвід та навички у сфері захисту персональних даних, і щоб захистити ваш бізнес і персональні дані від кібератак на різних рівнях, ми можемо:
Володимир Сальников,
адвокат, керівник практики юридичного абонентського супроводу
Наталія Божко,
юрист практики юридичного абонентського супроводу
