Персональные данные – это чрезвычайно важная информация, компрометация которой в современном (цифровом) мире приводит к серьезным, зачастую необратимым последствиям.
Сегодняшняя статья не будет содержать формул, которыми мы обычно бомбардируем читателей.
Основываясь на нашем опыте в сфере распознавания документов, мы опишем простые шаги, которые снизят вероятность кражи ваших личных данных.
iStock/Джулия Макагон Государство и принимаемые им меры по технологизации и цифровизации различных сфер жизни, как ни странно, вынуждают рядового пользователя все чаще «показывать» свой паспорт. Даже билеты на электричку в Москве (не говоря уже об Аэроэкспрессе) можно приобрести через мобильное приложение, только указав серию и номер паспорта (которые, правда, никак не валидируются).
По данным компании Инфовотч , в 2019 году в России в результате утечек более 172 миллиона записи персональных данных и платежной информации.
По сравнению с данными 2018 года количество утечек выросло на 46%, а объем скомпрометированной пользовательской информации увеличился более чем в 6 раз.
Столь стремительный рост преступности в отношении персональных данных обусловлен практически неограниченными возможностями, которые предоставляют злоумышленникам «украденные» ФИО и паспортные данные.
Злоумышленники перевыпустить сим-карты ничего не подозревающих владельцев, получив полный доступ к социальным сетям, государственным услугам и банковским счетам или даже сумев совершать транзакции на продажа недвижимости жертвы утечек данных.
Алгоритм незаконной перевыпуска образа сим-карты взят из статьи https://vc.ru/group-ib/63983-vishing Конечно, все развитые страны мира пытаются бороться с этим видом преступности, выстраивая различные технологические барьеры и ужесточая законодательную базу в отношении обработки персональных данных (Федеральный закон 152-ФЗ в России, Регламент GDPR в Европейском Союзе, Закон HB18-1128 в американском штате Колорадо).
Но такие административные шаги кажутся бесполезными, если нет практических указаний по использованию подобных законов и механизмов для защиты персональных данных.
Мы в Умные двигатели Выпуская программный продукт, абсолютно безопасный в отношении утечки персональных данных, мы постоянно следим за техническими и юридическими аспектами вопроса сохранности персональных данных.
Совместно с профессиональными юристами компании интеллект Мы подготовили пять основных действий, которые вы можете предпринять, чтобы серьёзно снизить риск кражи персональных данных.
1. При использовании онлайн-сервисов используйте только официальные сайты.
Как бы тривиально ни звучал этот совет, на самом деле именно через фишинговые сайты большая часть персональных данных попадает к злоумышленникам.
Попасть на такие фейковые сайты, охотящиеся за личной информацией, очень легко: достаточно ошибиться при наборе адреса веб-ресурса или перейти по случайной ссылке из электронного письма.
Вполне знакомый интерфейс убаюкивает вашу бдительность.
Поэтому, прежде чем вводить какие-либо персональные данные, даже просто свою фамилию, имя и отчество, или адрес электронной почты, дважды проверьте написание URL-адреса в адресной строке.
Также убедитесь, что сайт поддерживает криптографический протокол SSL или TLS (буква S в префиксе адресной строки HTTPS:// будет говорить о том, что передача данных зашифрована).
Пример скриншота фишингового сайта То же самое касается сайтов дистанционного банковского обслуживания, покупки билетов, бронирования отелей и т. д., где часто вводятся как паспортные данные, так и данные банковской карты.
2. Проверить персональные данные оператора.
Убедитесь, что компания, которой вы собираетесь передать свои персональные данные, Реестр операторов, осуществляющих обработку персональных данных .
Каждый законно зарегистрированный оператор персональных данных обязан иметь необходимые технические средства и иметь пакет документов, подтверждающих безопасность персональных данных своих клиентов.
3. Максимально сократите список лиц, обрабатывающих ваши данные.
Разумеется, в соответствии с частью 3 статьи 6 Федерального закона Российской Федерации № 152-ФЗ «О персональных данных» оператор персональных данных имеет право поручить обработку персональных данных другому лицу с его согласия.
субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключенного с этим лицом договора.
Но здесь необходимо учитывать еще один фактор: чем больше таких «других» лиц будет на пути обработки ваших персональных данных, тем больше вероятность их утечки.
По статистике Инфовотч Большинство случаев утечек данных связано с деятельностью рядовых сотрудников, имеющих доступ к персональным данным (в 2019 году в 72,1% случаев виновными в утечках информации были рядовые сотрудники компаний, в 4,6% случаев - высшее руководство организаций).
, в 18,4% - хакеры и неизвестные лица).
Поэтому наш совет: как только вы увидите в «Политике конфиденциальности» или «Соглашении на обработку персональных данных» пункты, связанные с возможностью передачи данных третьим лицам (особенно без точного указания этих третьих лиц), попробуйте не соглашаться на такую обработку персональных данных и не подписывать соглашения, содержащие такие формулировки.
Пример политики конфиденциальности ООО «Яндекс» ( https://yandex.ru/legal/confidential/ ) 4. Всегда проверяйте цель обработки персональных данных.
Если вы вдруг заметили, что в целях обработки персональных данных указаны некоторые общие слова, которые прямо не соответствуют вашему пониманию реальной цели предоставления данных, то категорически откажитесь от предоставления ваших персональных данных.
Здесь твердо действует золотое правило: отношение компании к формированию политики обработки персональных данных наглядно демонстрирует ее отношение к самой обработке персональных данных.
Такие «размытые» цели – верный признак стандартной политики, когда юристы даже не вникают в суть того, почему эта политика создавалась.
Это означает, что никто не будет защищать ваши персональные данные.
5. Избегайте трансграничной передачи персональных данных.
Трансграничная передача персональных данных не запрещается при условии соблюдения требований, установленных статьей 12 Федерального закона № 152-ФЗ.
При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение передаваемых данных на территории иностранного государства.
На практике маловероятно, что вы сможете проверить, были ли уничтожены ваши данные.
В заключение хотелось бы поделиться полезными материалами с читателями, которые отвечают за обеспечение безопасности обработки персональных данных в своих компаниях.
Не забывайте: ответственность за нарушение законодательства в сфере обработки персональных данных предусмотрена ст. 13.11 КоАП РФ, максимальный размер штрафа по которой для юридических лиц достигает 6 миллионов рублей.
Более серьезная ответственность возникает в случае нарушения европейского законодательства в сфере обработки персональных данных (GDPR), где максимальный штраф не ограничен.
Итак, примем к сведению пару юридических заключений:
- Юридическое заключение о порядке обработки персональных данных при подключении к услуге распознавания документов;
- Юридическое заключение о порядке обработки персональных данных с использованием средств терминала (например Смарт-IDReader ).
- Федеральный закон от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных».
- Федеральный закон от 19 декабря 2005 г.
№ 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
- Федеральный закон от 7 мая 2013 г.
№ 99-ФЗ «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите лиц при автоматической обработке Персональные данные» и данные Федерального закона «О персональных данных».
- Федеральный закон от 27 июля 2006 г.
N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральный закон от 6 апреля 2011 г.
№ 63-ФЗ «Об электронной подписи».
- Трудовой кодекс Российской Федерации от 30 декабря 2001 г.
№ 197-ФЗ.
- Общий регламент защиты данных (ЕС) 2016/679 (GDPR)
- Постановление Правительства Российской Федерации от 6 июля 2008 г.
№ 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
- Постановление Правительства Российской Федерации от 15 сентября 2008 г.
№ 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Постановление Правительства Российской Федерации от 1 ноября 2012 г.
№ 1119 «Об утверждении требований по защите персональных данных при их обработке в информационных системах персональных данных».
- Постановление Правительства Российской Федерации от 21 марта 2012 г.
№ 211 «Об утверждении перечня мер, направленных на обеспечение исполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и нормативными правовыми актами, принятыми в в соответствии с ним операторами, являющимися государственными или муниципальными органами»
- Постановление Правительства от 19 августа 2015 года № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г.
№ 996 «Об утверждении требований и методов обезличивания персональных данных».
- Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г.
№ 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСБ России от 10 июля 2014 г.
№ 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием криптографических средств защиты информации, необходимых для выполнения требованиям, установленным Правительством Российской Федерации по защите персональных данных для каждого уровня безопасности».
- Приказ Роскомнадзора от 30 мая 2017 г.
№ 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и внесении изменений в ранее предоставленные сведения».
- Приказ Минкомсвязи России от 14 ноября 2011 г.
№ 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственная функция по осуществлению государственного контроля (надзора) за соблюдением обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г.
№ 274 «Об утверждении перечня иностранных государств, не являющихся участниками Конвенции Совета Европы о защите лиц с помощью автоматизированной обработки данных» персональных данных и обеспечение адекватной защиты прав субъектов персональных данных».
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв.
ФСТ России 15 февраля 2008 г.
).
- Методика выявления современных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв.
Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г.
)
- Разъяснения Роскомнадзора «О вопросах отнесения фото- и видеоизображений, данных отпечатков пальцев и иной информации к биометрическим персональным данным и особенностях их обработки».
- Рекомендации по составлению политики обработки персональных данных (опубликовано на сайте Роскомнадзора).
- Методические рекомендации по применению Приказа Роскомнадзора от 5 сентября 2013 г.
№ 996 «Об утверждении требований и методов обезличивания персональных данных».
- Приказ Роскомнадзора от 22 июля 2015 г.
№ 85 «Об утверждении формы заявления субъектов персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных».
- Приказ Роскомнадзора от 22 июля 2015 г.
№ 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с хостинг-провайдером и Порядка получения доступа к информации, содержащейся в реестр нарушителей прав субъектов персональных данных оператором связи».
-
Практикуйте Кайдзен
19 Oct, 24 -
Приобретения Google С 2001 По 2007 Год
19 Oct, 24 -
Новое Пополнение В Линейке Asa.
19 Oct, 24
