Журнал "Information Security/ Информационная безопасность" #6, 2024

54 • СПЕЦПРОЕКТ Константин Саматов: 1. Шифрование данных (баз данных, сегментов баз данных). Если случится утечка, то она будет являться утечкой зашифрованных данных, а не персо- нальных. 2. Обучение персонала основам кибер- гигиены, недостаток которой – основная причина утечек. 3. Выполнение установленных зако- нодательством требований по защите информации с документальным под- тверждением. Это является смягчающим обстоятельством при привлечении к административной ответственности по составам административных правона- рушений, предусматривающим оборот- ные штрафы в качестве наказания. Алексей Мунтян: 1. Повышение осведомленности пер- сонала для предотвращения утечек, а также надлежащего реагирования на утечки. 2. Регулярный пересмотр прав доступа персонала и третьих лиц к базам данных и ИТ-инфраструктуре компании. 3. Привлечение обладателей лицензий ФСТЭК России и ФСБ России для про- ведения работ по защите персональных данных. Денис Лукаш: 1. Минимизация обработки персональ- ных данных. 2. Поддержка руководства и личная ответственность каждого работника при обработке персональных данных. 3. Совершенствование системы управ- ления информационной безопасностью. Ксения Шудрова: 1. Постоянно обучать пользователей методам безопасной работы простыми и понятными словами, показывая на примерах последствия излишней спешки и лени. 2. Провести полную инвентаризацию своих информационных систем для того, чтобы безупречно знать "карту местно- сти" и отказаться от лишних звеньев в цепочке обработки. 3. Минимизировать передачу персо- нальных данных третьим лицам. Нала- дить безопасные каналы передачи как в электронном, так и в бумажном виде. Алексей Мунтян: 1. Бездумное и нецелевое накопление большого массива данных. 2. Оперирование большим количе- ством уникальных идентификаторов субъектов данных. 3. Отсутствие процесса эффективной утилизации персональных данных по окончанию их жизненного цикла. Валерий Нарежный: 1. Допущение повторной утечки дан- ных, если компания ранее привлекалась к ответственности за утечку. 2. Непринятие должных мер по инфор- мационной безопасности либо невоз- можность подтвердить их выполнение. 3. Нарушение требований закона по реа- гированию на утечку при ее выявлении. Ксения Шудрова: 1. Коллективная ответственность за защиту информации. У каждого участка работы должен быть владелец. Если несколько человек отвечают за создание резервной копии, ее не сделал никто. 2. Сложные настройки средств защиты информации, сведения о которых хра- нятся в головах сотрудников. Лучше потратить время на создание подробных технологических карт, чем потом пытать- ся дозвониться до заболевшего адми- нистратора. 3. Пространные инструкции пользова- теля. Используйте памятки и понятные презентации. Денис Лукаш: 1. Отсутствие процессов по удалению персональных данных, не формализо- ванные сроки их хранения. 2. Отсутствие поддержки руководства и понимания ситуации с персональными данными. 3. Отсутствие системы управления информационной безопасностью. Алексей Плешков: 1. Устойчивое ощущение руководите- ля, что у него в компании все хорошо с защитой информации. 2. Представление, что данные компа- нии, включая ПДн клиентов и работни- ков, не интересны злоумышленникам. 3. Доверие и расчет на компетентность контрагентов и подрядчиков в части обеспечения информационной безопас- ности при передаче или при поручении на обработку ПДн. Константин Саматов: 1. Допущение повторной утечки пер- сональных данных, ведь пока оборотные штрафы предусмотрены лишь при "реци- диве". 2. Отсутствие в организации специа- листов по информационной безопасно- сти, занимающихся решением задачи защиты персональных данных. В настоя- щее время такие организации пока еще есть. 3. Игнорирование регулярных аудитов. Очень часто вся работа по защите дан- ных заканчивается на внедрении каких- либо технических средств защиты в рам- ках нормативных требований и разра- ботке комплекта организационно-рас- порядительных документов. Однако изменяющийся ландшафт угроз не про- щает статичную систему защиты, поэто- му необходимо осуществлять ее перио- дический контроль и внесение в нее изменений. Алексей Плешков: Сегодняшних сформулированных и утвержденных в нормативных доку- ментах мер совершенно достаточно для обеспечения защиты ПДн. По статистике регуляторов, к утечкам в организациях приводят такие факторы, как игнориро- вание требований по защите ПДн, Три ошибки, которые увеличат шанс на получение оборотных штрафов Достаточно ли текущих мер для защиты ПДн, или необходимы дополнительные инициативы на государственном уровне?