MK Legal Service

Кібербезпека: як подбати про захист персональних даних компанії від атак?

Аналітика від MK Legal Service дає відповіді на запитання, важливі для кожного власника, який прагне охороняти безпеку даних своєї компанії: На що необхідно звернути увагу при перенесенні персональних даних у хмарне сховище? У чому нюанси регулювання кодування та шифрування даних? Як підготувати персонал для правильного поводження з персональними даними? Чому для захисту даних бізнесу потрібен юрист?

Підготовка серверів та перенесення даних у хмарне сховище

На підприємстві необхідно запровадити політики з роботи із серверним обладнанням та контролювати відповідність побудованих систем юридичним вимогам. Перелік таких вимог залежить від типу даних, які будуть оброблятися. Наприклад, для роботи з державним сектором вашому апаратному комплексу знадобиться спеціальна сертифікація.


Сьогодні найефективнішим способом для захисту персональних даних є перенести їх у хмарне сховище — віртуальні віддалені сервери. Надійний провайдер хмарних послуг з міжнародним сертифікатом чи українським експертним висновком зможе подбати про належний захист конфіденційної інформації.

Водночас відповідальність за порядок обробки персональних даних та дотримання вимог законодавства залишається за бізнесом. Тому при зверненні до провайдерів необхідно провести правову експертизу їхньої діяльності та уважно ознайомитися з умовами договору на хмарні послуги: зокрема, з умовами захисту інформації та відповідальності сторін за їхнє порушення.

 

Організація шифрування та кодування

Для захисту даних від кібератак, спрямованих на доступ при їх передачі, їх потрібно зашифрувати чи закодувати. Для цього існує безліч програмних засобів. Проте при роботі з персональними даними або інформацією з обмеженим доступом існують особливі вимоги.


Технічний і криптографічний захист інформації з обмеженим доступом та їхню державну експертизу регулює ціла низка нормативних актів, які суперечать один одному й не враховують реалій технічного прогресу:


1) Закони України:


  • «Про інформацію»
  • «Про захист персональних даних»
  • «Про захист інформації в ІТС»
  • «Про основні засади забезпечення кібербезпеки України»
  • «Про технічні регламенти та оцінку відповідності»

2) підзаконні акти:


  • Постанова КМУ від 29.03.2006 р. № 373 «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах»
  • Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16.05.2007 р. № 93 «Про затвердження Положення про державну експертизу в сфері технічного захисту інформації»
  • Указ Президента України від 22.05.1998 р. № 505/98 «Про Положення про порядок здійснення криптографічного захисту інформації в Україні»

3) державні стандарти — ДСТУ 3396.1-96 від 01.07.1997 р. «Захист інформації. Технічний захист інформації. Порядок проведення робіт» тощо.


Без залучення професійної правової допомоги досить складно розібратися в різноманітті нормативних актів, не кажучи про їх зміст. Однак без їх виконання не вдасться убезпечити бізнес від кібератак, а що ще страшніше — від їхніх наслідків.


На сьогодні наша команда має значний досвід консультування та правової експертизи щодо організації кіберзахисту, шифрування даних з дотриманням вимог чинних нормативно-правових актів і співпраці з провайдерами, які повністю впровадили їх у свою роботу.

 

Інструктаж та підготовка ІТ-персоналу

Важливе значення в кіберзахисті в цілому та захисті персональних даних зокрема має організація внутрішніх робочих процесів на підприємстві. Ключовий процес — розробка документації, інструкцій і політик, що містять:


  • інформацію про дані, які збираються,
  • мету обробки даних,
  • порядок доступу до даних.

Для роз’яснення особливостей роботи з персональними даними на підприємстві та відповідальності за порушення вимог проводяться спеціальні тренінги для персоналу.


Не секрет, що у сфері ІТ персонал, якому надається доступ до роботи з персональними даними, переважно ділиться на зовнішніх підрядників (ФОПів) та офіційно оформлених працівників. NDA (угоди про нерозголошення конфіденційної інформації), як свідчить судова практика, часто буває не достатньо. Відповідно, завдання юриста — подбати про грамотне оформлення обов’язків і вимог щодо нерозголошення даних у договорах із зовнішніми підрядниками та уважно дослідити посадові інструкції працівників.


На це питання варто звернути особливу увагу, адже саме людський фактор стає причиною дуже багатьох провалів у захисті та витоків інформації. Тим паче коли мова йде про людей, відповідальних за підтримку безпеки ваших даних.

 

Тепер зрозуміло, чому для забезпечення кіберзахисту в першу чергу необхідно залучити юриста, а не технічного спеціаліста. Юристи MK Legal Service мають значний досвід та навички у сфері захисту персональних даних, і щоб захистити ваш бізнес і персональні дані від кібератак на різних рівнях, ми можемо:


  • провести аналіз чутливості персональних даних,
  • обрати сфери регулювання та вимоги до захисту, 
  • провести експертизу діяльності зовнішніх провайдерів послуг і договорів із ними,
  • проконсультувати з питань законодавства у сфері технічного і криптографічного захисту інформації
  • розробити внутрішніх документів на підприємстві,
  • провести аудит договорів і посадових інструкцій,
  • надати юридичну підтримку при взаємодії з органами державної влади
  • захистити інтереси в судах тощо.

Стаття розміщенна на резурсі Liga:BOOK