MK Legal Service
Юридическая фирма
Отзывы клиентов
Оценок еще нет
Рекомендации коллег
Оценок еще нет
Активность на сайте:
Неактивен

Кибербезопасность: как позаботиться о защите персональных данных компании от атак?

23.10.2020, 16:21

Аналитика от MK Legal Service дает ответы на вопросы, важные для каждого владельца, который стремится охранять безопасность данных своей компании: На что необходимо обратить внимание при переносе персональных данных в облачное хранилище? В чем нюансы регулирования кодирования и шифрования данных? Как подготовить персонал для правильного обращения с персональными данными? Почему для защиты данных бизнеса нужен юрист?

Подготовка серверов и перенос данных в облачное хранилище

На предприятии необходимо ввести политики по работе с серверным оборудованием и контролировать соответствие построенных систем юридическим требованиям. Их перечень зависит от типа данных: для работы с госсектором аппаратному комплексу нужна специальная сертификация.

Сегодня самый эффективный способ для защиты персональных данных — перенести их в облачное хранилище — виртуальные удаленные серверы. Надежный провайдер облачных услуг с международным сертификатом или украинским экспертным заключением позаботится о защите конфиденциальной информации.

В то же время ответственность за порядок обработки персональных данных и соблюдение требований законодательства остается на бизнесе. Поэтому при обращении к провайдерам нужно провести правовую экспертизу их деятельности и внимательно ознакомиться с условиями договора на облачные услуги — условиями защиты информации и ответственности сторон за их нарушение.

 

Организация шифрования и кодирования

Для защиты данных от кибератак, направленных на доступ при их передаче, их нужно зашифровать или закодировать. Для этого существует множество программных средств. Однако при работе с персональными данными или информацией с ограниченным доступом существуют особые требования.

Техническую и криптографическую защиту информации с ограниченным доступом и их государственную экспертизу регулирует целый ряд актов, которые противоречат друг другу и не учитывают реалий технического прогресса.

1) Законы Украины:

  • «Об информации»
  • «О защите персональных данных»
  • «О защите информации в ИТС»
  • «Об основных принципах обеспечения кибербезопасности Украины»
  • «О технических регламентах и ​​оценку соответствия»

2) подзаконные акты:

  • Постановление КМУ от 29.03.2006 г. № 373 «Об утверждении Правил обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах»
  • Приказ Администрации Госспецсвязи Украины от 16.05.2007 г. № 93 «Об утверждении Положения о государственной экспертизе в сфере технической защиты информации»
  • Указ Президента Украины от 22.05.1998 г. № 505/98 «Об утверждении Положения о порядке осуществления криптографической защиты информации в Украине»

3) государственные стандарты — ГОСТ 3396.1-96 от 01.07.1997 г. «Защита информации. Техническая защита информации. Порядок проведения работ»

Без привлечения профессиональной правовой помощи сложно разобраться в содержании данных актов. Однако без их выполнения не удастся обезопасить бизнес от кибератак, а еще страшнее — от их последствий.

На сегодня наша команда имеет значительный опыт консультирования и правовой экспертизы по организации киберзащиты, шифрования данных с соблюдением требований действующих нормативно-правовых актов и сотрудничества с провайдерами, которые полностью внедрили их в свою работу.

 

Инструктаж и подготовка ИТ-персонала

Важное значение в киберзащите имеет организация внутренних рабочих процессов на предприятии. Ключевой процесс — разработка документации, инструкций и политик, содержащих:

  • информацию о данных, которые собираются,
  • цель обработки данных,
  • порядок доступа к данным.

Для разъяснения особенностей работы с персональными данными на предприятии и ответственности за нарушение требований проводятся специальные тренинги для персонала.

Не секрет, что в сфере ИТ персонал, которому предоставляется доступ к работе с персональными данными, преимущественно делится на внешних подрядчиков (ФЛП) и официально оформленных работников. NDA (соглашения о неразглашении конфиденциальной информации), как показывает судебная практика, часто бывает недостаточно. Соответственно, задача юриста — позаботиться о грамотном оформлении обязанностей и требований по неразглашению данных в договорах с внешними подрядчиками и внимательно исследовать должностные инструкции работников.

На этот вопрос следует обратить особое внимание, ведь именно человеческий фактор становится причиной очень многих провалов в защите и утечек информации. Тем более, когда речь идет о людях, ответственных за поддержание безопасности ваших данных.

 

Теперь понятно, почему для обеспечения киберзащиты в первую очередь необходимо привлечь юриста, а не технического специалиста. Юристы MK Legal Service имеют значительный опыт и навыки в сфере защиты персональных данных, и, чтобы защитить ваш бизнес и персональные данные от кибератак на различных уровнях, мы можем:

  • провести анализ чувствительности персональных данных
  • выбрать сферы регулирования и требования к защите
  • провести экспертизу деятельности внешних провайдеров услуг и договоров с ними
  • проконсультировать по вопросам законодательства в сфере технической и криптографической защиты информации
  • разработать внутренние документы предприятия
  • провести аудит договоров и должностных инструкций
  • оказать юридическую поддержку при взаимодействии с органами государственной власти
  • защитить интересы в судах.
     

Владимир Сальников, адвокат, руководитель практики юридического абонентского сопровождения

Наталья Божко, юрист практики юридического абонентского сопровождения