На предприятии необходимо ввести политики по работе с серверным оборудованием и контролировать соответствие построенных систем юридическим требованиям. Их перечень зависит от типа данных: для работы с госсектором аппаратному комплексу нужна специальная сертификация.
Сегодня самый эффективный способ для защиты персональных данных — перенести их в облачное хранилище — виртуальные удаленные серверы. Надежный провайдер облачных услуг с международным сертификатом или украинским экспертным заключением позаботится о защите конфиденциальной информации.
В то же время ответственность за порядок обработки персональных данных и соблюдение требований законодательства остается на бизнесе. Поэтому при обращении к провайдерам нужно провести правовую экспертизу их деятельности и внимательно ознакомиться с условиями договора на облачные услуги — условиями защиты информации и ответственности сторон за их нарушение.
Для защиты данных от кибератак, направленных на доступ при их передаче, их нужно зашифровать или закодировать. Для этого существует множество программных средств. Однако при работе с персональными данными или информацией с ограниченным доступом существуют особые требования.
Техническую и криптографическую защиту информации с ограниченным доступом и их государственную экспертизу регулирует целый ряд актов, которые противоречат друг другу и не учитывают реалий технического прогресса.
1) Законы Украины:
2) подзаконные акты:
3) государственные стандарты — ГОСТ 3396.1-96 от 01.07.1997 г. «Защита информации. Техническая защита информации. Порядок проведения работ»
Без привлечения профессиональной правовой помощи сложно разобраться в содержании данных актов. Однако без их выполнения не удастся обезопасить бизнес от кибератак, а еще страшнее — от их последствий.
На сегодня наша команда имеет значительный опыт консультирования и правовой экспертизы по организации киберзащиты, шифрования данных с соблюдением требований действующих нормативно-правовых актов и сотрудничества с провайдерами, которые полностью внедрили их в свою работу.
Важное значение в киберзащите имеет организация внутренних рабочих процессов на предприятии. Ключевой процесс — разработка документации, инструкций и политик, содержащих:
Для разъяснения особенностей работы с персональными данными на предприятии и ответственности за нарушение требований проводятся специальные тренинги для персонала.
Не секрет, что в сфере ИТ персонал, которому предоставляется доступ к работе с персональными данными, преимущественно делится на внешних подрядчиков (ФЛП) и официально оформленных работников. NDA (соглашения о неразглашении конфиденциальной информации), как показывает судебная практика, часто бывает недостаточно. Соответственно, задача юриста — позаботиться о грамотном оформлении обязанностей и требований по неразглашению данных в договорах с внешними подрядчиками и внимательно исследовать должностные инструкции работников.
На этот вопрос следует обратить особое внимание, ведь именно человеческий фактор становится причиной очень многих провалов в защите и утечек информации. Тем более, когда речь идет о людях, ответственных за поддержание безопасности ваших данных.
Теперь понятно, почему для обеспечения киберзащиты в первую очередь необходимо привлечь юриста, а не технического специалиста. Юристы MK Legal Service имеют значительный опыт и навыки в сфере защиты персональных данных, и, чтобы защитить ваш бизнес и персональные данные от кибератак на различных уровнях, мы можем:
Владимир Сальников, адвокат, руководитель практики юридического абонентского сопровождения
Наталья Божко, юрист практики юридического абонентского сопровождения
