Журнал "Information Security/ Информационная безопасность" #5, 2022

• 13 Персональные данные www.itsec.ru Неосторожное обращение с инфор- мацией при хранении и обработке – наиболее частая причина появления данных в открытом доступе. По данным Минцифры России, более 70% утечек персональных данных происходят по вине работников, имеющих к ним доступ. При этом результаты нашего опроса, в котором приняло участие почти 4 тыс. человек, говорят, что госслужащие недо- оценивают свою роль в сохранности данных. 44% опрошенных считают, что утечки чаще происходят не по их вине, а из-за неосмотрительности граждан. Отчасти это справедливо. Но в случае с получением госуслуг у людей нет выбора, какую информацию передать государству. Они не могут повлиять на их сохранность. Другая проблема заключается в том, что госслужащие часто до конца не понимают, какие категории информа- ции о человеке подпадают под понятие "персональные данные". Справедливо- сти ради отмечу, что разобраться в этом не всегда просто. ФЗ-152 обозначает, что персональные данные – это любая информация, по которой можно прямо или косвенно определить ее владельца, но конкретного определения не дает. А идентифицировать человека можно не только по ФИО, адресу, телефону, но и по фотографии, информации о состоянии здоровья и даже убежде- ниям. Непонимание рождает риск, что дан- ные останутся в общем доступе или их отправят не тому человеку. В самом плохом сценарии "не тем человеком" окажется мошенник, социальный инже- нер. Даже в идеальной ситуации при наличии комплекса защитного ПО без повышения ИБ-грамотности не обойтись. А значит, нужно обучение. Согласно приказу ФСБ № 282 от 19.06.2019 г. субъект КИИ должен про- водить ИБ-учения как минимум раз в год. Но и другие организации могут ори- ентироваться на такую регулярность, когда речь идет о масштабных ИБ- маневрах (например, серии тренингов). Более рутинные мероприятия, например антифишинговые рассылки, лекции по социнженерии с учетом новых тем и методов, стоит проводить чаще, при- мерно раз в квартал. Мы в компании ежегодно обучаем несколько десятков тысяч человек. Вот минимум того, что, по нашему мнению, должно входить в программу обучения. 1. Правила работы с корпоративной информацией: что такое коммерческая тайна, кому принадлежат корпоративные данные, ответственность за разглашение и т.д. 2. Цифровая гигиена в Интернете – о поведении в соцсетях, использовании публичных сервисов и других ресурсов. 3. Приемы социальной инженерии, которые используют мошенники, – от манипуляций через электронную почту до дипфейков. 4. Правила информационной безопас- ности при удаленной работе и работе в командировках: SSL, VPN и другие аббревиатуры. Организация общения, совещаний, обмена информацией на удаленке. 5. Правила парольной политики и двух- факторной аутентификации: что такое хороший пароль, где его хранить и можно ли запомнить. Почему пароли оказываются более предсказуемыми, чем кажется тому, кто их придумал. Эффективным может быть любой фор- мат: лекции, игры, тренинги, учения. Благодаря современным платформам обучение можно проводить дистанцион- но. Существуют площадки, где можно бесплатно сверстать свой курс, есть даже готовые программы: например, можно создать свою ИБ-игру или квест. Несмотря на обилие инструментов, ИБ-специалисты часто ограничиваются обычным инструктажем с последующим "распишитесь в журнале". В лучшем случае проводится онлайн-курс с финальным тестированием, но без живой обратной связи. Да, это экономит время, но эффективность такого под- хода сомнительна. Поэтому какой бы формат обучения вы ни выбрали, его обязательно следует дополнить хотя бы элементами геймификации и тре- нинга. На учащихся производит впе- чатление, как за минуты взламываются пароли, находится информация в Интер- нете, простота применения подменного номера, создание простейших дипфей- ков и т.д. Конечно, только обучения недоста- точно, оно не убережет от взломов, намеренных сливов и диверсий, поэтому должна быть обеспечена защита и тех- ническими средствами. Это как минимум антивирусы и межсетевые экраны, сред- ства полного сканирования на предмет неправомерного хранения данных (класс решений DCAP), система мониторинга передачи информации по всем сетевым каналам и на внешние устройства хра- нения (DLP), системы контроля активно- сти сотрудников, инструменты рассле- дования. Тем не менее осознанный подход к защите информации в коллективе поз- воляет увеличить эффективность всех других ИБ-мер. Почти все опрошенные госслужащие сообщили нам, что осо- знают опасность и потенциальный вред, который несут утечки владельцам персональных данных. Это значит, что у ИБ-специалиста в госкомпании доста- точно единомышленников. l Почти 100% госслужащих работают с ПДн. Как предотвратить утечку из-за их ошибок? одавляющее большинство госслужащих работает с персональными данными граждан – это тысячи людей, от которых зависит сохранность информации россиян. Защитить данные только с помощью ПО недостаточно. Сотрудники должны становиться единомышленниками ИБ-службы и знать, как не попасться на уловки фишеров и не помочь своими действиями хакерам. Как же сделать это правильно? П Алексей Дрозд, начальник отдела информационной безопасности “СёрчИнформ” Ваше мнение и вопросы присылайте по адресу is@groteck.ru