Как наладить информационную безопасность компании и не нарваться на штрафы
Сотрудники — это не только “движущая сила”, но и самая уязвимая часть любой компании. 70% утечек персональных данных (ПДн) происходят по вине сотрудников.
Представьте: вы вложили деньги в киберзащиту и теперь хотите быть уверенными, что бизнес защищен. Но что, если сотрудник, осознанно или по незнанию, станет причиной утечки конфиденциальных данных? Мало того, что это подмочит репутацию компании, так вам еще потом и штраф платить.
Поэтому важно не только инвестировать в технологии, но и обучать сотрудников тому, как правильно обращаться с информацией и минимизировать риски.
Рассмотрим, как превратить сотрудников из слабого звена в сильную часть компании.
Почему обучение сотрудников информационной безопасности – это необходимость, а не выбор
Если сотрудник — бухгалтер, менеджер – любой, кто имеет доступ к данным, откроет фишинговую ссылку или зайдёт на незащищённый ресурс с рабочего компьютера, это чревато проблемами. Вот какие риски возникают:
- Технологические – оборудование, программы или ресурсы, которые используются в компании, могут быть взломаны и скомпрометированы.
- Утечка данных. Фишинговые атаки и случайные ошибки сотрудников могут привести к утечке корпоративных и клиентских данных. Даже единичный сбой может стать причиной утечки сотен тысяч записей сотрудников и клиентов.
- Штрафы. 152-ФЗ и другие нормативные акты требуют внедрения организационных и технических мер защиты информации. Это обязательное требование безопасности. О том, какая ответственность за несоблюдение есть здесь и сейчас – рассказывали тут.
Законопроект об оборотных штрафах за утечки был внесен на рассмотрение в декабре 2023 года, текущая версия уже прошла 2 чтения из трёх.
Вот лишь несколько изменений, которые ждут компании:
– Согласно законопроекту, если не уведомить Роскомнадзор об утечке персональных данных, вашему сотруднику грозит штраф до 800 тысяч рублей, а компании — до 3 миллионов рублей.
– Если слитая информация включает специальные категории персональных данных и биометрические данные, штраф для сотрудников составит от 1,5 до 5 миллионов рублей, а для компании — от 10 до 500 миллионов рублей.
Уже к 2025 году утечка персональных данных может обернуться не только административными штрафами, но и уголовной ответственностью.
5 шагов к информационной безопасности компании
Шаг 1: Определяем сотрудников, работающих с ПДн
То есть тех, кто обрабатывает и хранит ФИО, контактные данные, адреса, медицинские сведения и другую информацию, защищённую ФЗ-152. Важно охватить все отделы, так как ПДн могут обрабатываться не только в отделах кадров, но и в маркетинге, продажах, ИТ и других.
Основные действия:
– Провести внутренний аудит процессов обработки ПДн, выявив все системы и подразделения, где обрабатываются данные.
– Назначить ответственного за защиту персональных данных (например, DPO — Data Protection Officer), который будет координировать обучение сотрудников и контролировать соблюдения правил.
– Определить категории сотрудников, которые будут проходить обучение: операционные сотрудники, ИТ-специалисты, менеджмент.
Шаг 2: Определяем и проводим теоретическую часть обучения — основы работы с ПДн
Каждый сотрудник должен знать основные положения законодательства о защите персональных данных, включая ФЗ-152.
Теоретическая часть обучения должна содержать следующие разделы:
– Определение ПДн по ФЗ-152.
– Примеры ПДн: от ФИО и контактных данных до биометрических данных и финансовой информации.
– Принципы обработки персональных данных: законность, минимизация данных, конфиденциальность, ограничение срока хранения.
– Риски утечек данных и последствия нарушений.
– Примеры реальных инцидентов утечек данных и их последствия.
Шаг 3: Определяем и проводим практическую часть обучения
Например:
– Идентификация персональных данных: анализируем и определяем, где ПДн, на конкретных примерах.
– Классификация и обработка данных: разделение данных на категории, проверка правомерности обработки.
– Выявление и предотвращение рисков: работа со сценариями потенциальных угроз. Например, проведение тестовой фишинговой рассылки. Здесь вам поможет составленная модель угроз.
– Использование защищённых ИСПДн: демонстрация безопасной работы, выполнение заданий в системе.
– Разбор реальных инцидентов.
– Тестирование знаний и навыков: тесты и кейсы для проверки усвоения материала.
Шаг 4: Документируем план обучения и его представление регуляторам
Согласно законодательству, организации обязаны документально подтверждать факт обучения сотрудников, а также иметь план обучения, который можно предоставить Роскомнадзору.
Необходимые шаги:
– Разработать и утвердить план обучения с темами, сроками и списком сотрудников, которые проходят курс.
– Оформить документально факт прохождения обучения (журналы, отчёты о прохождении тестирования).
– Обновлять план обучения в случае изменения законодательства или внутренних политик компании.
Шаг 5: Внедряем регулярные проверки и аудит
Для обеспечения постоянного соблюдения правил работы с ПД, необходимо регулярно проводить проверки на соответствие требованиям ФЗ-152. Это могут быть внутренние аудиты, тесты для сотрудников или независимые внешние проверки.
Важно понимать, что соблюдение ФЗ-152 и защита персональных данных — это не разовая задача, а постоянный процесс, который требует регулярного обучения, мониторинга и совершенствования. Организация должна не только следовать техническим и организационным мерам защиты, но и формировать культуру осведомленности среди сотрудников.
Здесь вы сможете найти полный перечень документов по защите персональных данных в соответствии с ФЗ-152: требования, инструкции и основные положения для соблюдения законодательства.
Здесь и здесь рассказываем, как выбрать технические меры защиты персональных данных.
Вы можете пройти весь путь самостоятельно или, как наши заказчики, доверить решение этой задачи нам. Мы обеспечим выполнение всех требований ФЗ-152, настроим защиту и составим для сотрудников план по обучению ИБ.
Например сеть клиник “Добрый Доктор” прошла весь путь внедрения организационных и технических мер защиты персональных данных вместе с нами, чтобы не просто формально выполнить требования, но и обеспечить реальную защиту. Под руководством наших экспертов по ИБ в компании приступили к обучению сотрудников, понимая, что это основа защиты от внутренних киберрисков.
Закажите аудит соответствия законодательным требованиям по ИБ и подбор оптимальной категории защиты данных. Наши специалисты свяжутся с вами и помогут подготовить необходимые документы.