Защита персональных данных в сети

Вся информация на в статье на тему: "Защита персональных данных в сети". Полное описание собранное из разных авторитетных источников. Если возникнут вопросы, вы всегда можете обратиться к дежурному консультанту.

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В СЕТИ ИНТЕРНЕТ

магистрант кафедры Конституционного, административного и муниципального права, Юридического факультета, ПГУ им.Т.Г.Шевченко,

В современном мире невозможно обойтись без использования сети «Интернет» и число пользователей сети постоянно увеличивается. Человек, используя «мировую паутину», получает полезную информацию, регистрируется на различных ресурсах сети, при этом он может даже не замечать как используются его персональные данные.

Персональные данные это фамилия, имя, отчество, дата и место рождения, адрес, семейное положение, паспортные данные, профессия, место работы, доходы и другая информация, с помощью которой может быть определена личность пользователя. Не являются персональными данными пароли к аккаунтам, так как они не сообщают никакой информации о человеке.

Обработка персональных данных должна осуществляться с согласия субъекта персональных данных на их обработку. Персональные данные являются конфиденциальными, но с согласия их владельца они могут становиться общедоступными (номер телефона, e-mail), так же как и по его требованию они должны быть убраны из общего доступа. Обеспечение конфиденциальности персональных данных не требуется в случае их обезличивания.

В интернете персональные данные могут потребоваться при регистрации электронной почты, в различных социальных сетях, при пользовании услугами электронной коммерции, персонифицированными государственными услугами (on-line подача заявления на регистрацию транспортного средства), интернет – рекрутинг (размещение резюме на сайтах поиска работы).

Такое использование личных данных как их размещение на корпоративных сайтах компании осуществляется с согласия их владельца.

Поэтому и вопрос об информационной безопасности личных данных в современном мире является очень актуальным. С развитием информационных технологий укрепилась и правовая база, регулирующая деятельность в сфере обработки персональных данных.

В Российской Федерации защита персональных данных граждан, в том числе и при обработке персональных данных с использованием средств автоматизации, основана на Конституции РФ, международных договорах РФ, Федеральном законе № 152 – ФЗ от 27.07.2006 «О персональных данных» и других законодательных и нормативно-правовых актах.

Защита персональных данных должна обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, право на неприкосновенность частной жизни, личной и семейной тайны, конфиденциальность предоставляемой информации, а также не допущение уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также предотвращение случайного доступа к ним и других неправомерных действий.

Комплекс мер по защите персональных данных включает в себя использование шифровальных средств, антивирусной защиты, защиты доступа к информации индивидуальным паролем, анализ защищенности, обнаружение и предотвращение вторжений, управление доступом, регистрацию и учет.

Большинство компаний, работающих в сети Интернет, предоставляют свои услуги клиентам на основе пользовательских соглашений. Пользовательское соглашение должно предусматривать согласие субъекта персональных данных на их обработку по ряду законных оснований, хотя есть компании, пользовательские соглашения которых не предусматривают получение согласия владельца данных.

Принятие пользовательского соглашения по закону представляет собой заключение договора на оказание услуг, на который распространяются нормы Гражданского кодекса установленные для сделок.

Поэтому в случае обработки персональных данных пользователя в целях продвижения товаров и услуг, через прямые контакты с потенциальными потребителями при помощи средств связи, на операторе лежит обязанность получить предварительное согласие владельца личных данных.

Сейчас большинство рекламных компаний используют в сети таргетированную рекламу. Таргетированная реклама — методика анализа данных, при котором маркетологи собирают информационные электронные базы данных о клиентах для создания профилей пользователей, которые будут наиболее восприимчивы к их сообщениям. [3]

Она позволяет накапливать данные о пользователях, набор персональных данных, а именно cookie-файлов (небольшой файл, состоящий из букв и цифр). Механизм работы cookie-файлов состоит в том, что при посещении пользователем определенных сайтов данные cookie загружаются на его устройство, затем отправляются обратно на сайт и отображаются при каждом последующем визите. Cookie-файлы содержат ценную информацию, так как она позволяет признать устройство пользователя, заходящего на сайт и использовать его личные данные.[4]

Обычно в пользовательском соглашении указывается наличие таргетированной рекламы, хотя в них может и не быть никаких данных о cookie-файлах, и если пользователь отключит передачу cookie-файлов, то доступ к серверу может стать невозможным без объяснения со стороны оператора каких-либо причин, а предоставляемая таргетированная реклама однозначно основана на последних данных о посещении пользователем страниц в сети Интернет.

Например, при создании аккаунта на таких серверах как Yandex и Google для защиты своих личных данных, необходимо ознакомиться с политикой конфиденциальности этих компаний, условиями использования.[6,7]

Большое значение имеет решение таких вопросов как автоматическое изменение пользовательского соглашения и сроки хранения обрабатываемой информации. В случае изменения цели или объема обрабатываемой информации необходимо уведомить субъекта персональных данных и получить его повторное согласие, автоматического изменения соглашения быть не должно. Также должны быть указаны сроки хранения обрабатываемой информации, которые не должны быть избыточными, и сроки, по истечению которых, информация о личных данных пользователя будет удалена.

Часто пользователю предоставляется право восстановления удаленного аккаунта, что предполагает хранение информации о пользователе неопределенное время.

Например, компания Google не удаляет личные данные пользователя со всех серверов за установленный период после удаления аккаунта. Данные остаются у компании Google в back-up хранилище, срок хранения данных в котором американская компания не указала ни в одном документе».[3]

Возникает отдельный вопрос о защите персональных данных при пользовании услугами электронной коммерции. Совершая онлайн покупки, важно внимательно изучить сайт на предмет соответствия нормам закона и не стоит привязывать свою банковскую карту к платежной системе сайта.

В заключении хотелось бы отметить, что пользователи сети Интернет могут сами обезопасить свои персональные данные при внимательном изучении сайтов, соглашений об обработке персональных данных, внимательно следить за тем, что и кому отправляется в сообщении, не привязывать свои банковские карты к платежным системам сайтов, не доверять подозрительным сайтам и при выявлении нарушений законодательства обращаться в соответствующие контролирующие органы.

Операторы сайта также должны соблюдать права владельцев личных данных, получая предварительное согласие пользователя на обработку данных необходимо проинформировать в пользовательском соглашении о цели обработки данных, их виде, объеме, сроках хранения, по истечении которых данные будут уничтожены.

Важно отметить и тот факт, что с распространением новых технологий необходимо обеспечить более надежную форму защиты персональных данных как гармонизацией внутреннего законодательства, так и оперативным законодательным реагированием на появление новых угроз.

Источник: http://sibac.info/studconf/science/xxxvii/95576

Памятка: Защити свои персональные данные в Сети

Персональные данные представляют собой информацию о конкретном человеке. Это те данные, которые позволяют нам узнать человека в толпе, идентифицировать и определить как конкретную личность. Таких идентифицирующих данных огромное множество, к ним относятся:

  • фамилия, имя, отчество;
  • дата рождения;
  • место рождения;
  • место жительства;
  • номер телефона;
  • адрес электронной почты;
  • фотография;
  • возраст и пр.

Так, если мы кому-то скажем, свои фамилию, имя, отчество и адрес места жительства, то нас вполне можно будет опознать как конкретное лицо. Но если мы исключим из этого набора данных фамилию или адрес места жительства, то понять, о каком человеке идет речь будет невозможно.

Читайте так же:  Апелляционная жалоба на административное правонарушение образец

Получается, что персональные данные — это не просто ваши фамилия или имя, персональные данные — это набор данных, их совокупность, которые позволяют идентифицировать вас.

В целом можно сказать, что персональные данные – это совокупность данных, которые необходимы и достаточны для идентификации какого-то человека.

Источник: http://ozyorsk.ru/pamyatka-zashhiti-svoi-personalnyie-dannyie-v-seti/

Лайфхак5 способов защитить свои данные в интернете

Как обезопасить себя тем, кто каждый день пользуется интернет-сервисами и приложениями

Вчера стало известно о крупной утечке персональных данных пользователей приложения Uber, которая произошла еще в 2016 году. Она не затронула номера банковских карт, но злоумышленники получили список клиентов сервиса с их номерами телефонов и электронными адресами. The Village узнал у экспертов, чем это может грозить и как горожанам, которые постоянно пользуются разными интернет-сервисами, обезопасить себя от хакерских атак.

Чем опасна кража личных данных

«Утечка личных данных может дать мошенникам возможность совершать действия от лица жертвы, входить в доверие к друзьям/коллегам — либо использовать в других незаконных целях», — говорит технический директор компании Pentestit Лука Сафонов. По его словам, такое преступление можно назвать термином «кража личности».

«Если в руки злоумышленников попали такие данные, как имя пользователя, его номер телефона и электронный адрес, то он с высокой долей вероятности попадает в список потенциальных жертв фишинга — ему будут направляться персонифицированные письма с вредоносным кодом или ссылками на зараженные вирусом ресурсы, например, от лица знакомого или компании, клиентом которой он является», — рассказывает Сергей Хайрук из InfoWatch. Исследования показывают, что пользователи невнимательно относятся к подобным рассылкам — 40 % участников эксперимента открыли подобные письма и перешли по ненадежным ссылкам.

Эти данные также пользуются спросом у спамеров и рекламных агентств. «В отличие от анкет, куда клиенты часто вписывают искаженные или вымышленные контактные данные, в личных кабинетах электронных сервисов пользователи чаще указывают достоверную информацию», — рассказывает Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. Контактные данные могут использоваться и для сбора информации о людях, подбора паролей к их учетным записям на разных сервисах. «Но на практике с такими действиями сталкиваются очень немногие, и всерьез опасаться таких утечек клиентам не стоит», — успокаивает Кузнецов.

Обезопасить себя от действий хакеров можно с помощью правил «цифровой гигиены». Вот главные из них.

Завести специальный мейл

По словам Сергея Хайрука, основная проблема заключается в беспечном отношении пользователей к личным данным. «Зачастую граждане бездумно отдают свой номер телефона или электронный адрес для участия в различных маркетинговых исследованиях или для получения бонусных карт, и трудно предположить, сколько ресурсов хранят эти данные», — говорит он. Эксперт рекомендует не указывать в анкетах тот электронный ящик, который используется для важных задач, и не использовать личный ящик для рабочих переписок.

«Чтобы обезопасить себя от действий преступников, имеет смысл создать отдельную электронную почту для подобных сервисов», — предлагает руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский.

Использовать сложные вопросы и пароли

По словам главы аналитического центра Zecurion Владимира Ульянова, если адрес электронной почты нигде не засвечен, злоумышленник не будет перебирать все на свете комбинации почтовых адресов. Если же есть конкретный мейл, то его можно попытаться взломать. Например, попробовать стандартные пароли. «Как показывает практика, большинство людей использует ограниченный, достаточно примитивный набор. Такие почты взламываются в два счета», — рассказывает он.

Злоумышленники могут попытаться установить доступ к почтовому ящику, ответив на секретные вопросы. Поэтому не стоит использовать вопросы «Назовите девичью фамилию матери» или «Какая кличка у вашей собаки» — ответы на них можно найти в ваших соцсетях. Лучше выбрать что-то нестандартное. «Если вы придумаете пароль из 15 символов в верхнем и нижнем регистре с цифрами и специальными символами, злоумышленники не будут тратить время на ваш аккаунт, взломав сто более легких», — говорит Ульянов. Он напоминает, что не стоит пользоваться одним и тем же паролем для всех аккаунтов. «Все новости магазинов, суперакции и распродажи могут валиться на отдельный ящик, где пароль может быть хоть „1111“. Действительно серьезные сервисы лучше защищать надежными паролями», — советует эксперт.

Пользоваться виртуальной картой

Вячеслав Закоржевский из «Лаборатории Касперского» предлагает для покупок в интернете пользоваться банковской картой с небольшим объемом средств, в том числе виртуальной.

Возможность завести такую через мобильное приложение есть, к примеру, у Тинькофф-банка. Альфа-банк позволяет откладывать деньги на дополнительный счет, доступ к которому нельзя получить по номеру карты.

Не устанавливать на телефон что попало

Не стоит посещать сомнительные ссылки, даже присланные знакомыми, и устанавливать приложения из недоверенных источников, советует Лука Сафонов. При установке и использовании приложений проверяйте то, какие права и информацию они запрашивают. «В случае любой подозрительной просьбы внимательно проверяйте электронную почту написавшего вам сообщение, чтобы удостовериться, действительно ли он тот, за кого себя выдает, не переходите по ссылкам и не открывайте вложения, если вы не уверены, что они адресованы именно вам», — говорит Вячеслав Закоржевский из «Лаборатории Касперского».

Стоит также использовать лицензионные программы и регулярно обновлять их, напоминает руководитель направления «Технологии информационной безопасности» ИТ кластера фонда «Сколково» Антон Иванов. «Установка дополнительных средств защиты информации поможет вам не только создать барьер для мошенников, но и собрать доказательную базу», — говорит он.

Не рассказывать всю правду

Довольно часто для получения бонусной карты или получения доступа к сервису пользователей просят заполнить анкету, но оставлять настоящие персональные данные и вовсе необязательно. «Если вы делаете покупку в интернет-магазине и от вас требуют ввести дату рождения, эти данные могут использовать как для вас — прислать подарок или дать дополнительную скидку, так и против вас, особенно если информация куда-то утечет», — рассказывает Владимир Ульянов из Zecurion. Можно сместить дату рождения на пару дней — и подарок получите, и данные защитите. Можно поменять одну букву в фамилии, если для доставки это некритично.

В подготовке материала участвовала Елена Верещагина

Источник: http://www.the-village.ru/village/business/lifehack/292492-infobezopasnost

Защита персональных данных в интернете

Ваши личные сведения хранятся в интернете и доступны каждому, но их можно взять под контроль.

В данной статье мы расскажем, зачем нужно защищать свои персональные данные в интернете, как собирается эта информация и как свести ее сбор к минимуму.

Речь не о фотографиях личного характера. Публиковать их в сети — не самое разумное решение. Мы говорим о личных сведениях. Рекламодатели и другие лица используют их, чтобы показывать вам таргетированную рекламу. Что гораздо важнее, ими пользуются и киберпреступники. С их помощью они отправляют фишинговые письма, осуществляют кражи личности и занимаются банковским мошенничеством от вашего имени.

Как используются ваши данные и зачем их защищать

К личной и конфиденциальной информации обычно относятся такие сведения, как номера банковских карт, адреса электронной почты, телефонные номера, дата рождения, СНИЛС и прочее. К подобной информации также относят данные о поведении (например, о посещенных сайтах и используемых социальных сетях). Эти сведения говорят им о вас намного больше, чем вы можете представить.

Читайте так же:  Образец ходатайства в суд лишение прав

Это отчасти вызвано растущими возможностями искусственного интеллекта.

ИИ используется на популярных платформах для разработки алгоритмов, определяющих, какие товары могут вас заинтересовать и какую рекламу следует вам показывать. Яркий пример возможностей и точности интеллектуальных алгоритмов показало исследование, проведенное Кембриджским университетом в 2013 году. Оно было посвящено изучению пользователей на основании понравившихся им публикаций в Facebook. Проанализировав всего десять отметок «Нравится» в Facebook, исследователи смогли узнать человека лучше, чем его коллеги. Чем больше таких отметок анализируется, тем более полной становится информация. Изучив 300 понравившихся публикаций, алгоритм уже понимал исследуемого пользователя лучше, чем его партнер или супруг. И с 2013 года алгоритмы постоянно совершенствовались.

Способы сбора данных

Прежде чем рассматривать способы защиты личных данных, нужно понять, как они собираются. Рассмотрим пять основных методов.

1. Файлы cookie

Файлы cookie — это небольшой объем данных, сохраняемый браузером на вашем компьютере при посещении сайтов. Они делятся на два типа: файлы для отдельных сеансов и постоянные файлы. Файлы cookie для сеансов безвредны. Они позволяют нам переходить от одного раздела сайта к другому (например, со страницы продукта на страницу оформления заказа), не выполняя вход заново на каждой странице. Файлы cookie для сеанса действуют только во время текущего посещения и должны автоматически удаляться при выходе из учетной записи на сайте или при закрытии браузера.

Постоянные файлы cookie могут быть как полезны, так и вредны. Все зависит от того, под каким углом на это посмотреть. Они сохраняются на вашем компьютере и остаются на нем. В основном они используются, чтобы отслеживать вашу историю просмотров. Например, если вы выбирали себе смартфон и искали информацию о них в интернете, то вскоре реклама подобной техники будет преследовать вас на всех сайтах. Иногда она может мешать, но может быть и полезной, если такая реклама вас интересует.

2. Создание отпечатка браузера

Когда вы посещаете сайт, его веб-сервер может передать браузеру фрагмент кода JavaScript, который выполняется браузером локально. Этот код JavaScript может собирать данные о характеристиках браузера и операционной системы (например, User agent, список установленных расширений, тип и название браузера, часовой пояс, разрешение экрана, наличие блокировки рекламы, список доступных шрифтов, данные об отрисовке WebGL, оборудовании компьютера и многом другом). Код JavaScript создает хэш собранных данных (мы называем его «отпечатком браузера») и отправляет его на веб-сервер сайта, где он обычно хранится в базе данных вместе с другой информацией.

При условии, что отпечаток уникален для вас или по крайней мере очень небольшой группы пользователей этого сайта, вас можно будет отследить при повторном посещении. Ваши действия также могут отслеживать при переходе между сайтами, использующими один список отпечатков. Так как сайту не нужно создавать и хранить файлы cookie в браузере, отпечатки браузеров также называют cookieless monsters (отсылка к персонажу «Улицы Сезам»). Это означает, что даже если в браузере не разрешено использование файлов cookie, предотвратить отслеживание будет невозможно.

Кроме того, веб-сервер сайта может считывать и анализировать ваш IP-адрес. С помощью VPN-сервиса можно скрыть свой фактический IP-адрес, но это изменит лишь небольшую долю данных, составляющих «отпечаток браузера». Иными словами, ваши действия по-прежнему можно беспрепятственно отслеживать.

3. Вредоносные приложения

Вредоносные (во всяком случае, подозрительные) приложения остаются основным средством для отслеживания персональных данных. Иногда их называют потенциально нежелательными программами (PUP). Эти программы устанавливаются с согласия пользователя, но обычно скрывают часть своих неприятных возможностей. Например, приложение для блокировки всплывающей рекламы может само устанавливать в вашей системе рекламное ПО. Другие приложения могут похищать данные о контактах, отслеживать посещаемые сайты и чаты, даже прослушивать телефонные разговоры.

4. Законный сбор

Есть еще одна категория сайтов, где мы целиком принимаем на себя ответственность за передачу личных сведений, понимая ее необходимость. Отличный пример такой ситуации — подача заявки на трудоустройство. При этом мы добровольно указываем разнообразную личную информацию. Еще один пример — покупка товаров в интернете, когда мы указываем данные банковских карт. То же относится и к бронированию гостиничного номера, особенно если нам приходится раскрывать свои паспортные данные.

5. Кража

Не проходит и недели без новостей об очередной крупной утечке данных. Это стало обычным делом. Ваши персональные данные защищены точно так же, как инфраструктура организации, в которой они хранятся. Тот, кто украл базу данных Управления кадровой службы США в 2015 году, теперь имеет доступ к персональным данным более чем 20 миллионов бывших, текущих и потенциальных сотрудников правительства США. Похититель базы данных гостиничной сети Marriott в 2018 году получил личные сведения сотен миллионов постояльцев, включая данные из нескольких миллионов паспортов.

Сведите к минимуму сбор персональных данных

В современном мире невозможно избежать попадания своих персональных данных в интернет. Но мы можем принять некоторые меры, чтобы свести их сбор к минимуму.

Во-первых, при создании учетных записей в сети следует всегда использовать надежные и уникальные пароли.

Если сайт должным образом хэширует (шифрует) пароль, то в случае кражи данных злоумышленникам будет сложнее его взломать, и пароль окажется для них бесполезным. Кроме того, если на сайте, которым вы пользовались, произошла утечка, следует сразу сменить пароль.

Ограничьте использование файлов cookie и отпечатков.

В обоих случаях используется браузер, поэтому важно, какой именно браузер вы используете. В большинстве браузеров есть настройки, позволяющие управлять файлами cookie. Используйте их, чтобы удалить все сторонние, постоянные и отслеживающие файлы cookie. Остановить создание отпечатков сложнее, поэтому здесь важен выбор браузера. Некоторые компании предоставляют защищенные браузеры, которые стоит рассмотреть как альтернативу. Например, наша компания предлагает Avast Secure Browser, предназначенный специально для обеспечения конфиденциальности и безопасности. Данный браузер не ведет историю поиска и просмотров.

Он предоставляет удобные средства управления, позволяющие скрывать свои личные данные с помощью современной технологии защиты от отслеживания, а также содержит встроенный модуль для блокировки рекламы.

Удалите вредоносные приложения.

В частности, следует избегать потенциально опасных приложений. Главное правило — скачивать программы только из надежных источников, например с сайтов хорошо знакомых вам разработчиков или из официального магазина приложений. Но и это не гарантирует полной защиты от вредоносных приложений. Вам понадобится хороший антивирусный продукт, способный обнаружить и удалить потенциально опасные программы. Например, Avast Free Antivirus.

Не спешите добровольно передавать данные.

Контролировать законный сбор данных практически невозможно. Его стоит рассматривать как сделку. Убедитесь, что условия вас устраивают. Подумайте: настолько ли Facebook важен для вас, чтобы расплатиться своей конфиденциальностью за его услуги? Действительно ли необходимы для трудоустройства сведения, запрашиваемые формой отклика на вакансию в интернете? Если вас не устраивают «условия» соглашения, откажитесь от него или найдите другой способ передачи своих сведений.

Используйте средства защиты на своих устройствах.

Риск кражи данных непосредственно с компьютера или мобильного телефона можно снизить, используя эффективные меры безопасности. Такие средства обеспечения безопасности, как Avast Secure Browser, Avast Mobile Security и антивирусное программное обеспечение, отлично блокируют угрозы.

Читайте так же:  Постановление об установлении юридического факта

Регулярно проверяйте, не стали ли вы жертвой взлома.

Опасаетесь, что ваши данные могли быть украдены из используемых вами веб-сервисов? Повлиять на это практически невозможно. Если вы отправляете свои данные в сеть, рано или поздно они могут быть украдены. Рекомендуем раскрывать как можно меньше личных сведений и регулярно проверять, не затронул ли взлом вашу информацию. Для этого существуют различные средства, такие как Avast Hack Check.

Ключевое правило защиты персональных данных

Помните: стоит оставлять в интернете как можно меньше информации, позволяющей установить вашу личность, чтобы избежать их кражи и несанкционированного использования, а также всегда принимать меры для своей защиты.

Следите за нашими новостями в социальных сетях ВКонтакте , Одноклассники , Facebook и Twitter .

Источник: http://blog.avast.com/ru/zaschita-personalnyh-dannyh-v-internete

Защита персональных данных на персональном компьютере

Защита персональных данных
с помощью DLP-системы

Ф едеральное законодательство по вопросам защиты данных при работе на персональных компьютерах коснулось как личной техники, так и оборудования крупных ИТ-компаний. В настоящее время правовая и информативная база в вопросах защиты персональных данных более адаптирована под современные реалии, нежели предыдущие версии нормативных актов. ФЗ «О персональных данных», вступивший в силу в 2010 году, регламентирует действия во всех сферах компьютерной безопасности для персонального пользователя.

Вопросы защиты персональных данных на ПК

По пункту правильности и полноты выполнения нормативов кибербезопасности контроль осуществляет федеральная служба Роскомнадзор. Федеральное законодательство о кибербезопасности наделяет эту структуру исключительными правами в вопросах безопасности контента, находящегося на сайтах российских компаний и юрлиц, работающих в РФ по франшизе. Туда же направляются жалобы граждан.

Подзаконные акты, издаваемые ФСТЭК и ФСБ, также имеют исключительную силу. Согласно с их критериями, разработчикам систем корпоративного секьюрити по факту приходится строить новейшую систему фильтрации и перехвата вирусных угроз. В перечень инструментов входят как антивирусные программы, так и файрвольные решения, программы для разноуровневого шифрования, идентификационные системы, требующие продвинутой аутентификации и прав доступа, различный инструментарий предотвращения утечек данных.

Видео (кликните для воспроизведения).

Перечисленные механизмы расписаны в соответствующем постановлении ФСТЭК о проведении мероприятий касательно электронной безопасности в информационных системах персональных данных. Ниже подробно расписаны необходимые продукты защиты, от чего именно эти программы оберегают каждый отдельный ПК и системы данных в целом.

Основа инструментария по обеспечению защиты персональных данных

Единственный способ предотвратить преступление в сфере кибербезопасности – отсечь потенциального киберпреступника от доступа к персональным данным, полностью исключить его воздействие на СУБД, прикладное ПО, ОС, сетевые устройства (равно на «железном» и программном уровнях). К такому инструментарию относятся:

  • антивирусные пакеты всех возможных типов;
  • межсетевые экраны (они же файрволы);
  • инструменты предотвращения сетевых атак и оповещения о них;
  • сканеры потенциальных уязвимостей.

Антивирусы

На бытовом уровне «защитник» и комплексная антивирусная система, поставляющаяся с Windows 10 «из коробки», справляется с проникновением в систему с целью хищения персональных данных. Если не серфить подозрительные сайты, не запускать под админом сомнительные исполнимые файлы – большинство проблем обойдут стороной среднего пользователя. Но это относится сугубо к домашнему ПК, на котором не хранится коммерчески важный материал.

Ситуации, когда вирус активно ломал компьютеры, в прошлом – современное железо в настоящее время обладает достаточной степенью защиты от таких взломов. Вирусные атаки совершаются путем внедрения различных видов зловредного ПО, направленного исключительно на похищение конфиденциальной информации, включая персональные данные.

Профессиональный сторонний антивирус обязательно имеет на борту сигнатурную защиту, системы продвинутой эвристики, многоуровневую политику доверенности программам, следит за целостностью особо важных данных. Все эти составляющие антивируса очень тормозят работу всей системы, поэтому для хранения важных данных нужно иметь качественное «железо».

Чтобы минимизировать риск хищения персональных данных, необходимо использовать для ПК последнюю версию программного обеспечения, что позволит надеяться на выявление новых вирусов, созданных на базе последних технологий. В случае появления угроз современный антивирус сможет их распознать не только благодаря регулярно обновляемой базе вирусных программ, но и путем использования методов эвристического анализа. Это позволяет выявить подозрительные действия и произведенные раньше атаки, оставшиеся неизвестными. Разработка новых вредоносных программ не прекращается, они совершенствуются, появляются новые, поэтому защита от ранее неизвестных вирусов очень нужна для безопасной работы персонального компьютера.

Чтобы выбрать наиболее подходящую антивирусную программу, нужно изучить актуальные обзоры такого ПО, иных программ, обеспечивающих безопасность ПК. Даже бесплатные программы позволят создать действенную защиту компьютера, если нет готовности использовать платные варианты.

Межсетевые экраны

На профессиональном языке они называются файрволами. Пользователь-одиночка может годами просидеть за стандартным брандмауэром Windows – уровень атак на его компьютер никогда не приближается к реально угрожающему, персональные данные остаются целыми. В отношении корпоративной сети необходим принципиально иной уровень защиты персональных данных. Тут могут понадобиться и профессиональный VPN, и перманентное отслеживание подозрительных активностей на всех сетевых уровнях.

В середине нулевых стали весьма популярными пакеты класса Internet Security. Ими занимался фактически каждый крупный разработчик антивируса (Dr. Web, Avira, AVG, Kaspersky, Symantec, Eset, McAfee).

Независимо от типа, файрвол нужно активировать на шлюзовом маршрутизаторе, чтобы создать «демилитаризованную зону», т. е. свод особо строгих правил для защиты электронной почты и внешних сетевых приложений. Опытный администратор всегда имеет несколько конфигураций файрволов – на самые распространенные нештатные случаи защиты персональных данных на ПК.

Системы предотвращения вторжений

Intrusion Prevention System – в профильной литературе фигурируют как IPS (ни в коем случае не путать с технологией производства матриц телевизоров и компьютерных мониторов!). ИПС нужно инсталлировать в разрыв сети для проверки трафика на признаки подозрительной активности и нейтрализовывать их соответственно назначенной политике безопасности.

Системы предотвращения вторжений намного превосходят по эффективности шлюзовые антивирусы, поскольку мониторят не только пакеты, но и корректность используемых протоколов. Сам спектр угроз, от которых защищает ИПС, также намного шире. Производят такие системы защиты персональных данных как традиционные производители антивирусов вроде Check Point и McAfee, так и монополисты в сфере роутеров и иной сетевой электроники вроде Juniper и Cisco.

Сканеры уязвимостей

Проверочная программа на недостатки секьюрити как ОС, так и используемого прикладного софта. Бывают в программном исполнении, сравнительно экзотический форм-фактор – отдельное электронное устройство, которое имитирует разнообразные угрозы по отношению к пользовательскому ПК и сетевым протоколам вокруг него. Представителей класса немало: MaxPatrol, IBM ISS, Symantec, McAfee (Vulnerability Manager). Есть и пассивные сканеры сетевого трафика. Собственно, это все потомки пакетов «проверочных вирусов», запускаемых для оценки «профпригодности» свежеустановленного антивируса. Сканеры уязвимости также служат для внутреннего аудита защиты, регламентированного требованиями ФСТЭК.

Как защитить персональную информацию на ПК

Выполнение нижеприведенных шагов позволит защитить персональные данные на ПК максимально эффективно.

Шифрование

Защитить информацию поможет ее шифрование – на жестких дисках, USB-накопителях содержится огромное количество ПДн. Учетные данные, конфиденциальная информация могут стать достоянием сторонних лиц в случае утери этих носителей. Чтобы защитить эти данные, необходимо не только установить надежный пароль, но и зашифровать диски, что закроет к ним доступ, если неизвестен пароль.

Читайте так же:  Образцы досудебных претензий между юр лицами

Корпоративные, максимальные версии Windows 7, Windows Vista содержат в себе инструмент шифрования BitLocker. Другие ОС могут использовать бесплатную TrueCrypt (tryecrypt.org), чтобы зашифровать часть данных или полностью весь диск.

Обладателям ОС Mac OS X можно использовать FileVault. Этот инструмент шифрует папки на рабочих столах. Новая версия Mac OS X шифрует весь рабочий стол Lion.

Сегодня можно приобрести внешние диски, накопители, имеющие встроенные средства шифровки, включая сканирование отпечатков пальцев владельца.

Обновление ПО

Это самый простой способ защиты ПК. Обновлять нужно не только саму операционку, но и иные установленные на компьютере программы. Разработчики постоянно обновляют версии собственных продуктов, улучшают их функционал, исправляют недочеты, закрывают слабые места, через которые возможна утечка данных. Часто обновленные версии содержат новые компоненты и наделяются новыми функциями.

Во многих программах есть специальная функция автообновления, оповещения о появившемся обновлении. Если такое сообщение поступает, нужно немедленно установить предлагаемое обновление. Это позволит снизить риск хищения персональных данных и другой конфиденциальной информации.

Следить за обновлениями поможет довольно популярная программа SUMo.

Защита сети Wi-Fi

Домашнюю сеть Wi-Fi нужно обязательно держать закрытой. Для этого используется пароль. В противном случае посторонние могут легко проникнуть в ПК и воспользоваться любой информацией, включая и конфиденциальную.

Защита – шифрование трафика сети Wi-Fi. Это неудобно, так как приходится при каждом присоединении к сети вводить пароль, но делать это необходимо, чтобы защитить свой ПК от посягательств извне.

У современных маршрутизаторов беспроводной сети применяются три стандарта для шифрования:

Два последних имеют более высокую степень защиты от взломов.

Также можно отключить широковещательную передачу имени сети – SSID. В этом случае получение доступа к ней будет возможным только для тех, кому известно ее имя. Остальные ПК не смогут увидеть эту сеть.

Покупки через Интернет – виртуальные карты банков

Покупая в Интернете что-либо, нужно вводить данные своей банковской карты – это часть персональных данных, которые используются в ПК. Чрезвычайно высок риск для безопасности банковского счета, так как нет никакой гарантии добросовестности продавца, а также системы безопасности сайта, на котором совершается покупка.

Использование виртуального номера банковской карты позволит обезопасить платежи. Это реквизиты карты банка, которые позволяют произвести оплату и предотвратить доступ злоумышленникам к банковскому счету. Среди российских банков виртуальные продукты предлагает Альфа Банк, ВТБ и другие.

Протокол HTTPS для просмотра страниц

Серфинг в Интернете будет не таким опасным, если использовать протокол Hypertext Transfer Protocol Secure (HTTPS). Он шифрует трафик, проходящий между ПК и сайтом, предотвращает утечку данных, снижает возможность взлома, но не является гарантией безопасности ресурса, на который заходит пользователь.

Проверка гиперссылок

Иногда даже проверенные и бывшие надежными сайты могут взламываться. Через механизмы поиска злоумышленники вставляют в верхние строчки страниц зараженные коды («отравляют поисковый механизм»), что делает сайт зараженным вредоносной программой. Использование механизма контроля гиперссылок позволит предотвратить заражение вашего ПК.

Такие бесплатные инструменты контроля (сканеры), как Web of Trust, McAfee SiteAdvisor, LinkScanner, позволят защитить компьютер от возможных рисков.

Пароли

Сложные пароли, которые очень трудно подобрать, могут стать надежной защитой от физического проникновения и использования данных с компьютера. Для каждого аккаунта нужно использовать отдельный пароль. В нем нужно задействовать буквы в разных регистрах, цифры, специальные символы. Программы по управлению паролями Keepass для операционок Windows, Mac OS X, а также 1Password помогут управлять паролями и генерировать новые.

Отказ от использования общественных ПК и беспроводных сетей

Использование общественных ПК несет в себе огромные риски утечки персональной информации, заражения вредоносным ПО, контроля перемещения сети, сбора паролей, распространения вирусов. Общественные сети Wi-Fi могут содержать настройки, делающие их пользователей уязвимыми к утечке ПДн, учетных записей. Желательно избегать использования этих ресурсов, чтобы не стать жертвой хищения персональных данных.

Если обойтись без подключения к общественной сети нельзя, не стоит проводить с их использованием банковские операции, регистрироваться на различных сайтах, покупать какие-либо товары и услуги.


Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-na-personalnom-kompyutere/

Защита персональных данных

Защита персональных данных
с помощью DLP-системы

Р ешения для защиты персональных данных в российских компаниях и учреждениях формируются на базе мер организационно-технического характера. Они должны соответствовать нормам правовых актов: Конституции Российской Федерации (статья 24), Федерального закона №152-ФЗ «О персональных данных» и специальным требованиям регуляторов. Функции регуляторов выполняют:

  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор;
  • Федеральная служба по техническому и экспортному контролю – ФСТЭК;
  • Федеральная служба безопасности – ФСБ.

Роскомнадзор следит за исполнением законодательства, касающегося персональных данных в целом, ФСТЭК и ФСБ формируют требования к методологическим, техническим и организационным условиям защищенности информационных систем обработки персональных данных.

Что входит в понятие «персональные данные»?

Определение персональных данных (ПДн) содержится в законе 152-ФЗ .

Ключевой особенностью трактовки является словосочетание «любая информация», то есть закон позволяет буквально все организации записать в «операторы персональных данных». Логика понятна. Устраиваясь, например, на работу человек передает работодателю всю информацию о себе, а заключая, скажем, договор с физическим лицом – получает и обрабатывает ПДн. Госструктуры, банки, интернет-магазины, социальные сети – это всего лишь несколько примеров из обширного списка операторов ПДн.

Санкции за нарушение норм закона в области обработки и защиты персональных данных варьируются от штрафов (с 1 июля 2017 года размеры штрафов выросли ) до административной ответственности, не исключено и уголовное преследование.

Нарушение процедуры обращения с персональными данными угрожает также потерей деловой репутации. Выявление подобных фактов в компания нередко становится поводом для оттока клиентов. Значит, исполнять требования 152-ФЗ и соблюдать предписания регулирующих и контролирующих сферу ПДн структур – жизненная необходимость для каждой компании, которая прямо или опосредованно оперирует персональными данными.

Универсального подхода к исполнению требований всеми организациями, которые подпадают под контроль регуляторов, нет. Согласно законодательству, персональные данные разбиты на четыре категории. Компании формируют систему защиты ПДн в зависимости от категории, соответственно, различаются и требования к оператору.

Наиболее сложный и затратный процесс – внедрение полноценного комплекса обеспечения защищенности информационной системы персональных данных (ИСПДн) , в которой обрабатываются сведения о расе и нации субъекта, вере, здоровье, интимной жизни, политических и философских взглядах. Все перечисленные данные входят в группу специальных ПДн . Защищу сведений из этой категории закон требует обеспечивать особенно тщательно.

Высоки требования закона к обеспечению защищенности и биометрических ПДн : биологических и физиологических характеристик, которые позволяют идентифицировать субъекта данных.

Компания, которая получила письменное согласие клиента на обработку ФИО, даты и места рождения, домашнего адреса, данных о профессии, контактных сведений, становится оператором общедоступных ПДн . Подобные сведения используют, например, для составления телефонных справочников. К защите общедоступных персональных данных законодательство предъявляет минимальные в сравнении с другими категориями требования.

К четвертой категории – иных ПДн – причисляют все сведения, которые нельзя отнести к специальным, биометрическими или специальным, но по которым возможно идентифицировать субъекта данных. Защищать иные ПДн проще, чем биометрические или специальные. Однако требования к безопасности выше, чем в случае систем обработки данных из общедоступной категории.

Читайте так же:  Отец запретил выезд за границу

Согласно постановлению правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», операторы при создании механизмов защиты должны учитывать численность субъектов ПДн. Законодательство делит ИСПДн на такие, в которых обрабатывают данные менее 100 тыс. и более 100 тыс. субъектов.

Обеспечение сохранности персональных данных, обрабатываемых в системе, начинается с определения наиболее вероятных угроз. Независимо от категории, целей обработки и численности субъектов ПДн, система должна гарантировать защиту от неправомерных операций , включая:

копирование и распространение уничтожение и блокировку несанкционированное изменение

В инфраструктуре комплексной защиты ИСПДн необходимо учитывать возможность присутствия внутреннего нарушителя. Ущерб персональным данным способен причинить любой сотрудник, намеренно или по неосторожности.

Модули «СёрчИнформ КИБ» перехватывают информацию, переданную на внешние устройства, по почте и через облачные сервисы, а также следят за операциями с файламикопированием, удалением, изменением имени и содержания.

Меры, которые помогают предотвратить несанкционированный доступ, усилить надежность и отказоустойчивость ИСПДн, сохранить целостность и доступность информации внутри системы, перечислены в 152-ФЗ. Закон предписывает:

1. Определить масштаб информационной системы и категорию ПДн, смоделировать угрозы безопасности.

2. Внедрить организационно-технические механизмы безопасности в соответствии с четырьмя уровнями защищенности. Определение уровней содержится в постановлении правительства №1119 .

3. Использовать средства информационной защиты, возможности которых подтверждены сертификатами соответствия ФСТЭК и/или ФСБ.

4. Провести до начала обработки ПДн комплексный аудит безопасности, включая аудит информационной системы, компонентов защиты, исполнения требований внутренних организационных и методических распоряжений.

5. Внедрить систему учета всех видов носителей информации ограниченного использования, в том числе ПДн.

6. Заложить в информационной системе функции резервирования и восстановления ПДн в случае несанкционированных изменений или уничтожения.

7. Установить регламент доступа сотрудников оператора к персональным данным в ИС. Уровни доступа должны сегментироваться в зависимости от должностных обязанностей.

8. Внедрить инструменты аудита и журналирования действий сотрудников с персональными данными.

9. Контролировать исполнение правил безопасности эксплуатации персональных данных и непрерывность работы защитных аппаратно-программных сервисов ИСПДн.

Федеральный закон обозначает общее «защитное поле» персональных данных. Конкретные нормы содержатся в приказе ФСТЭК от 18.02.2013 № 21 . Например:

1. В системе обработки ПДн должна применяться идентификация и аутентификация пользователей, компонентов системы и персональной информации – объектов доступа, защиту которых нужно обеспечивать. Реализация требования предполагает сопоставление уникальных идентификаторов, которые присваиваются объектам и субъектам в ИСПДн. Это значит, необходимо задействовать механизмы авторизации и разграничения прав.

2. Программная среда должна быть ограниченной, что подразумевает наличие фиксированного перечня системного и прикладного ПО. У пользователя должны быть заблокированы полномочия изменять набор системных компонентов и разрешенного ПО. Пользователь вправе запускать и использовать ПО в рамках своей роли. Это обеспечит защиту от случайных действий сотрудников, способных нанести ущерб ИСПДн.

3. Хранение и обработка ПДн на съемных носителях возможна только при отлаженном учете устройстве.

4. Оператор должен обеспечить непрерывный мониторинг безопасности: вести журнал аудита событий, чтобы отследить, что произошло и какие меры были предприняты. Одновременно следует надежно защитить сам журнал аудита от модификации и удаления.

5. Система защиты ПДн должна включать антивирусные программные комплексы. Вредоносное ПО нередко становится причиной утечек конфиденциальной информации и частичного (реже – полного) выхода из строя информационной инфраструктуры.

6. Наряду с антивирусом рекомендуется применять системы обнаружения и предотвращения вторжений. Это позволяет анализировать и выявлять факты неавторизованного доступа на уровне сети или компьютерной системы, попытки превышения полномочий или внедрения вредоносного ПО и предпринимать меры по устранению угроз: информирование офицера безопасности, сброс соединения, блокирование трафика и т.д.

7. Несанкционированное изменение, повреждение информационной системы и ПДн фиксируют также системы обеспечения целостности, которые при использовании в ИСПДн должны иметь функции восстановления поврежденных компонентов и информации.

8. Уровень защищенности ИСПДн подлежит регулярному контролю. Развернутые программные компоненты, аппаратный инструментарий и установленные настройки должны обеспечивать непрерывную и полную защиту процедур обработки и хранения информации, исходя из экспертного класса информационной системы.

Перечень мер, устанавливаемых ФСТЭК для реализации системы безопасности ИСПДн, не исчерпывается несколькими пунктами. В приказе № 21 приводятся требования к инструментам виртуализации, каналам связи, конфигурации ИСПДн, классы средств вычислительной техники, антивирусных систем и другие параметры защиты. Кроме приказа ФСТЭК, при внедрении комплекса защиты ПДн организация – обработчик данных должна руководствоваться приказом ФСБ России от 10.07.2014 № 378.

«СёрчИнформ КИБ» сертифицирована ФСТЭК России. Система соответствует четвертому уровня контроля недекларированных возможностей, которые могут навредить обрабатываемой информации. Это значит, что данные в системе защищены не только от утечек, но и от нарушения целостности, доступности и конфиденциальности.

Разработать и внедрить полный комплекс мероприятий по защите ПДн невозможно без освоения нормативной базы, навыков настройки технических средств и знаний принципов ПО, обеспечивающего информационную безопасность. Это значит, защищать персональные данным силами одного сотрудника, по меньшей мере недальновидно. Единственная ошибка на любом уровне рискует обернуться штрафами от регуляторов и потерей лояльности клиентов.

Сотруднику без ИБ-компетенций под силу разобраться в законодательстве и определить категорию ПДн. Пошаговые инструкции, доступные в Сети, помогут разработать регламент информирования субъектов ПДн о сборе информации и составить уведомление в Роскомнадзор о деятельности компании в качестве оператора ПДн – это стандартные документы. Определить роли, разграничить доступ и зафиксировать, какие сотрудники имеют доступ и какие операции вправе совершать с ПДн – несложная задача для специализированного ПО.

Без привлечения специалиста с профильными знаниями не обойтись на этапе при составлении политики безопасности и определении актуальных угроз. Цикл внедрения программно-технических комплексов от подбора до «боевого» использования ПО и оборудования требует понимания документации ФСТЭК и ФСБ. Специалист должен не только ориентироваться в классах СВТ, антивирусах и межсетевых экранах, но и знать, как гарантировать конфиденциальность и обеспечить безотказность связи для сегментов ИСПДн.

Проблема заключается в том, что даже обладающий нужной квалификацией ИТ- или ИБ-специалист не сможет внедрить и поддерживать в ИСПДн подсистему информационной безопасности без соблюдения ряда условий. Работа со средствами технической защиты – деятельность, лицензируемая ФСТЭК. Значит, перед оператором ПДн встанет задача получить лицензию регулятора.

Крупным организациям целесообразно нанять штат специалистов по информационной безопасности, выполнить условия, чтобы получить лицензию ФСТЭК, а затем самостоятельно создать и поддерживать систему обеспечения защиты персональных данных.

Видео (кликните для воспроизведения).

Небольшим организациям – обработчикам ПДн содержать ИБ-штат экономически невыгодно. Менее затратным, более разумным и быстрым будет вариант привлечь лицензиатов ФСТЭК. Это организации, которые профессионально занимаются защитой информации. Специалисты лицензиатов уже обладают всеми знаниями нормативной и технической базы, имеют опыт создания комплексных систем безопасности, в том числе информационной.

Еще одна возможность защитить ПДн для небольших компанийотдать ИБ-задачи на аутсорсинг внештатным специалистам по безопасности «СёрчИнформ».


Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/
Защита персональных данных в сети
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here