Утечка персональных данных

Утечки информации — неправомерная передача конфиденциальных сведений (материалов, важных для различных компаний или государства, персональных данных граждан), которая может быть умышленной или случайной.

Любые сведения, находящиеся в компьютере, имеют свою стоимость. Поэтому похищение личных данных владельца компьютера способно нанести ему вред. Имея доступ к логинам и паролям, а также к банковским картам и счетам, злоумышленники крадут деньги граждан, промышленные секреты и тайны предприятий.

Информация утекает в результате бесконтрольного распространения секретов за пределы кабинета, здания, предприятия. Утрата ценных сведений может случиться при неправильном использовании норм и правил политики безопасности. Несоблюдение правил защиты и хранения данных влекут за собой их утечку и распространение в общедоступных местах, таких как сеть «Интернет».

Классификация видов утечки информации

Утечка информации возможна по разным причинам.

  • Умышленные утечки:
    • Инсайдеры и избыточные права. К этому виду относятся случаи, основной причиной которых стали действия сотрудников, имеющих доступ к секретам легально, в силу своих служебных обязанностей. Все варианты инсайда условно можно разделить на две группы: в одном случае сотрудник, не имея доступа к информации, получает ее незаконно, а в другом он обладает официальным доступом к закрытым данным и умышленно выносит их за пределы компании.
    • Кража информации (извне). Проникновение в компьютер с помощью вредоносных программ и похищение информации с целью использования в корыстных интересах. На хакерские атаки приходится 15% от всего объема утечек информации. Вторжение в устройство извне и незаметная установка вредоносных программ позволяют хакерам полностью контролировать систему и получать доступ к закрытым сведениям, вплоть до паролей к банковским счетам и картам. Для этого могут применяться различные программы вроде «троянских коней». Главный атрибут данного вида утечки — активные действия внешних лиц с целью доступа к информации.
    • Взлом программного обеспечения. Приложения, используемые в рабочем процессе или на личном компьютере сотрудника, часто имеют незакрытые уязвимости, которые можно эксплуатировать и получать тем самым различные небезопасные возможности вроде исполнения произвольного кода или повышения привилегий.
    • Вредоносные программы (бекдоры, трояны) нацелены на причинение вреда владельцу устройства, позволяют незаметно проникать в систему и затем искажать или полностью удалять информацию, подменять ее другими, похожими данными.
    • Кражи носителей. Весьма распространенный вариант утечек, который случается в результате преднамеренного хищения устройств с информацией — ноутбуков, смартфонов, планшетов и других съемных носителей данных в виде флешек, жестких дисков.
  • Случайные утечки. К этому виду можно отнести инциденты, которые происходят из-за потери носителей данных (флешек, ноутбуков, смартфонов) или ошибочных действий сотрудников организации. Результатом может быть размещение конфиденциальной информации в интернете. Также не последнюю роль играет человеческий фактор, когда сотрудник по недосмотру открывает доступ к закрытым данным всем желающим.

Анализ риска

Для защиты от утечки конфиденциальной информации используются:

  • системы аутентификации и идентификации,
  • системы криптографической защиты дисковых данных, а также информации, передаваемой по сетям,
  • программные решения для управления ключами шифрования.

Средства аутентификации и идентификации позволяют ограничить доступ к ресурсам сети. Для этого у пользователя запрашивается некая информация, известная только ему, после чего открывается доступ. Для реализации этой возможности используются:

  • биометрия — физиологические особенности людей (отпечатки пальцев, изображение радужной оболочки глаза и так далее);
  • конфиденциальная информация — пароли, ключи и прочее.

Для криптографической защиты информации применяются специальные средства, помогающие маскировать содержимое данных. В результате шифрования преобразовывается каждый символ защищаемых сведений. Суть шифрования сводится к перестановке символов, замене, аналитическим преобразованиям или гаммированию. Распространены комбинированные средства шифрования, когда несколько различных методов используются поочередно.

Утечки персональных данных нередки в работе компаний и государственных органов. Часто они связаны с недобросовестным отношением к их защите. Следствия утечек могут быть и очень серьезными, и незначительными. Защита от них должна стать задачей и операторов, и субъектов персональных данных.

Кто может пострадать

Персональные данные – это любая информация о человеке, которая связана с ним, позволяет идентифицировать его в полной мере, получить иные сведения о нем, совершать какие-либо посягательства на тайну его личной жизни или на имущество. В группе риска утраты важной информации при проведении обработки персональных данных оказываются многие люди, среди них:

  • граждане, пользующиеся банковскими картами;
  • граждане, получающие медицинские услуги;
  • владельцы пенсионных накоплений;
  • вкладчики банков;
  • владельцы недвижимости.

Это не исчерпывающий перечень, пострадать от утечки персональных данных могут и многие другие. Поэтому государство выстроило систему защиты персональных данных. В ее основу лег Федеральный закон «О защите персональных данных», систему технических мер регламентируют правительство, ФСТЭК, ФСБ.

Причины утечек

Любая организация, которая в своей деятельности обрабатывает персональные данные, обязана предпринять комплекс организационных и технических мер, направленных на их защиту. Перечень этих мер и способов регламентируется для каждой группы данных. При разработке системы таких технических и административных решений используется модель угроз, в которой учитываются риски двух типов:

  1. внешние;
  2. инсайдерские.

Первый тип угроз, представляющих собой неправомерное проникновение в защищенный информационный периметр организации-оператора, – хакерские атаки, которые в России редко становятся серьезными угрозами для жизни и здоровья граждан. Прекратились появления в Сети баз данных ЦБ РФ, ГИБДД, Пенсионного фонда – информационные системы защищены серьезно, а утечка массива сведений, защищенных средствами криптографической защиты, без возможности персонификации, не несет серьезных рисков. Сократилось и количество внешних атак на сайты банков.

Вторые реализуются наиболее часто. Гражданин предоставляет сведения о себе во множестве случаев в медицинском учреждении, в туристическом агентстве, в котором для оформлении визы он практически полностью раскрывает сведения о своем финансовом статусе. Согласие на обработку персональных данных зачастую не подписывается. Таким образом, паспортные данные, сведения о недвижимости, доходах, операциях по банковской карте оказываются в незащищенном виде в компьютере, на котором может не быть даже антивирусной защиты. В этом случае доступ к ним становится возможным:

  • при прямом проникновении недобросовестного сотрудника агентства в компьютер или к материальным носителям информации;
  • при размещении их в облачных сетях, иногда на множестве серверов, зачастую расположенных не в России. Законодательство требует обязательного хранения персональных данных внутри страны, но эти требования выполняют не все операторы, зачастую даже не знающие о существовании такой обязанности;
  • при хищении ноутбука или портфеля сотрудника компании, в котором находится интересующая злоумышленника информация.

Частые случаи, появляющиеся в судебной практике, в которых штрафуются или наказываются иным образом врачи или сотрудники банковских учреждений, допустившие утечку сведений, например, паспортных данных, говорят о существовании проблемы и ее серьезности.

Последствия утечек

Последствия утечек могут оказаться серьезными и для владельцев данных, и для операторов. Для первой группы существуют многочисленные риски стать жертвой злоумышленников. Они могут пострадать:

  • от разглашения любой информации, имеющей отношение к личности;
  • от шантажа;
  • от неправомерного списания средств с банковской карты;
  • от вмешательства в личную жизнь;
  • от угроз детям, например, в случае публикации в СМИ данных о школах, где они учатся.

Минимальным риском станет неправомерная передача сведений, например, адреса электронной почты, каким-либо компаниям, которые начнут преследовать их обладателя рекламными объявлениями. Но даже это дает возможность возбудить дело и о неправомерной рекламе, и об утечке данных и приведет к штрафам, налагаемым на операторов, если источник утечки или спама удастся достоверно установить.

Операторы, в свою очередь, допустившие утечку персональных данных, понесут ответственность:

  • гражданскую, в виде взыскания в судебном порядке понесенных гражданами убытков и морального вреда;
  • административную, в виде наложения штрафа, приостановления или запрета деятельности, связанной с обработкой персональных данных;
  • уголовную, в случае неправомерного распространения ПДн, причинившего существенный ущерб и передаче информации в правоохранительные органы.

Пока серьезность исков о возмещении морального вреда, связанного с утечкой конфиденциальной информации, компаниями серьезно не рассматривается. Даже если судом установлен такой факт, размер присужденных сумм редко превышает несколько десятков тысяч рублей даже в столице. В регионе суд скорее откажет в удовлетворении требований, предъявляемых как к банкам, так и к интернет-магазинам. Более серьезными становятся ситуации, когда в спор вмешиваются регуляторы и доводят ситуацию до возбуждения уголовного дела.

Как избежать негативных последствий от утечек данных

Меры по защите информации требуют не только исполнения операторами обязанностей, установленных законом, но и осмотрительности от субъектов персональных данных. От первых потребуется максимально внимательно относиться к соблюдению требований закона, постановлений правительства РФ и нормативных актов ФСТЭК России, которыми определяется необходимый уровень технических средств, призванных защитить персональные данные от утечки. Это такие меры, как:

  • установка межсетевых экранов, затрудняющих проникновение к массивам информации;
  • внедрение системы идентификации и аутентификации сотрудников, имеющих к ним доступ;
  • фиксация в журналах учета всех действий специалистов, осуществляющих обработку данных, позволяющая понять, что конкретно они делали с охраняемыми законом сведениями;
  • установка средств антивирусной защиты;
  • использование средств криптографической защиты для шифрования данных при хранении и передаче;
  • применение способов и мер, которые могут предотвратить утечку данных по физическим каналам, например, путем фотографирования экрана компьютера, снятия звуковой информации, перехвата электромагнитного излучения.

Все эти меры защиты от утечек данных требуют существенных средств, но они внедрены в большинстве государственных учреждений и крупных компаниях. В зоне риска продолжают оставаться небольшие фирмы, чаще работающие на рынке оказания услуг гражданам. Они далеко не всегда попадают в перечень проверок Роскомнадзора, так как не считают необходимым действием регистрацию в качестве операторов. Даже если это будет произведено, создание системы технической защиты информационных баз персональных данных является затратным мероприятием, которое не все могут себе позволить. Именно это требует проявления осмотрительности от граждан при выборе поставщика услуг и взаимодействиях с ним. Среди таких правил:

  • не передавать персональные данные компаниям, не зарегистрированным в качестве операторов;
  • осторожнее относиться к любым платежам в сети Интернет;
  • всегда изучать текст согласия на обработку персональных данных, определяя, какими способами она производится, каковы цели обработки, возможность передачи сведений третьим лицам и в каких случаях.

Соблюдение осторожности и операторами, и гражданами позволит минимизировать риски. Всегда нужно помнить, что полностью возместить материальный и моральный ущерб у гражданина не получится.

Составление отказа от предоставления персональных данных необходимо в случае, когда гражданин не имеет желания давать кому-либо личную информацию.

  • Бланк и образец
  • Бесплатная загрузка
  • Онлайн просмотр
  • Проверено экспертом

ФАЙЛЫ
Скачать пустой бланк отказа от предоставления персональных данных .docСкачать образец отказа от предоставления персональных данных .doc

Что относится к персональным данным

Персональные данные – понятие довольно широкое. В него обязательно включаются сведения из паспорта человека: фамилия, имя, отчество, пол, дата и место рождения, адрес проживания, номера ИНН, СНИЛС.

Кроме того, в персональные данные входит информация о национальной и религиозной принадлежности, семейном положении, здоровье, воинском учете, образовании, получаемых гражданином доходах, затратах, льготах, пособиях и субсидиях.

Сюда же причисляются сведения из трудового договора, дополнительных соглашений к нему, результаты профессиональных собеседований, анкет и тестов, заявления, объяснительные и т.п. документы, касаемые деятельности человека по месту работы.

Куда требуется предоставлять персональные данные

Сегодня передача личных сведений является широко распространенным явлением. Предоставлять персональные данные нужно, например, при устройстве на работу, подаче заявлений в садик, школу, другие учебные заведения, больницы, поликлиники, банковские, кредитные учреждения и т.д.

Отказ от предоставления персональных данных

По большому счету, согласие на предоставление персональных данных требуется только в отношении специальных и биометрических сведений. Если говорить проще, общедоступная информация, т.е. информация из паспорта, ИНН, СНИЛС, может использоваться совершенно свободно, конечно, в рамках закона и без нарушения этических и моральных норм.

А вот если кому-либо понадобились данные, касаемые религии или национальности человека, его здоровья или судимостей, взаимоотношений с работодателями (текущим и бывшими) и т.п. очень личные сведения – их можно получать только с согласия гражданина, оформленного в письменном виде.

В соответствии с законодательством РФ, любой человек имеет полное право отказаться от предоставления подобного рода информации, если считает, что она может привести к ущемлению его прав и интересов или даже вовсе без объяснения причин. Никакого наказания за такой отказ не предусмотрено.

И даже если представитель какого-либо учреждения требует предоставления таких сведений, угрожая отказом в предоставлении необходимых услуг (образовательных, медицинских и т.д.), его действия легко можно обжаловать как на уровне руководства, так и в прокуратуре или суде.

Единственное, что нужно помнить, что при обращении в различные муниципальные и бюджетные структуры, а также при трудоустройстве существует установленный законом перечень документов, а значит и персональных сведений, без которых заключение договоров (гражданско-правовых, трудовых и т.д.) будет просто-напросто невозможно.

Если есть сомнения в том, что работник той или иной организации требует документы сверх установленного законом списка, следует обратиться за разъяснениями к юристам или ознакомиться с соответствующими статьями российского законодательства.

С того момента, как персональные данные попадают во «вторые» руки, вся ответственность за их огласку возлагается на того, кто их получил.

При этом закон в отношении лиц, разгласивших чью-либо личную информацию довольно суров – он предусматривает наказание, начиная от крупного административного штрафа и вплоть до возбуждения уголовных дел.

Как написать отказ

В том случае, если перед вами встала необходимость по составлению отказа от предоставления персональных данных, а вы не знаете, как сделать это правильно и без ошибок, прочитайте расположенные ниже рекомендации и посмотрите пример – на его основе у вас без особых усилий получится сформировать собственный документ.

Прежде всего, дадим общую информацию, которая касается всех подобного рода бумаг. Сейчас единого стандарта такого отказа нет, что фактически обозначает то, что писать его разрешается в свободной форме. Также можно сделать его по типу разработанного и утвержденного внутри учреждения шаблону документа, если конечно, таковой имеет место быть.

Для отказа подойдет как обычный лист бумаги любого удобного формата (предпочтительно А5 или А4) или фирменный бланк (как правило, если такое требование устанавливается внутри компании). Отказ допустимо набирать на компьютере (с обязательным последующим распечатыванием), либо же писать собственноручно – в случае необходимости доказать его подлинность этот фактор будет иметь значение.

Отказ нужно делать в двух одинаковых экземплярах, один из которых следует передать адресату, второй – оставить у себя, предварительно заручившись на нем отметкой о вручении копии представителю учреждения.

Образец отказа от предоставления персональных данных

По своему составу отказ должен отвечать некоторым нормам делопроизводства, а по тексту содержать ряд определенных сведений. К последним можно отнести:

  • должность, ФИО руководителя;
  • наименование организации;
  • ФИО автора отказа;
  • его паспортные и контактные данные (для связи).

Это будет «шапка» документа, которая всегда расположена вверху бланка, слева или справа.

В основной части следует обозначить:

  • свое несогласие с предоставлением персональных данных;
  • обоснование отказа (здесь нужно сослаться на норму закона или Конституции РФ, которые в равной степени дают такое право);
  • если вы были ознакомлены с последствием своего отказа, об этом следует сделать соответствующую отметку;
  • также дать отметку о том, что за вами остается возможность обжаловать возможные санкции в суде.

Остальную информацию можно вносить в зависимости от потребностей и индивидуальных обстоятельств.

Бланк должен быть обязательно датирован и подписан тем, кто его составил – без его автографа он не обретет законного статуса.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *