Комитет МТПП по делам женщин-предпринимателей провел вебинар на тему «Информационная безопасность предпринимателя и персональные данные. Как работать с данными и не допускать штрафов».
«Сегодня информационная безопасность стала популярной темой. Участилось количество атак злоумышленников и данных, которые попадают в их распоряжение. От этого страдают и обычные граждане, и бизнес. Наш сегодняшний вебинар полезен и для тех, и для других», – отметила в начале своего выступления спикер вебинара – заместитель руководителя комитета по делам женщин-предпринимателей МТПП, сооснователь компании «Берлизов.Групп», юрист Ирина Берлизова.
Она представила слушателям подробный план вебинара и перешла к освещению основных угроз информационной безопасности. Спикер рассказала о наиболее распространенных вирусах и вреде, который они могут принести (кража и повреждение данных, корпоративной информации, хранящихся на устройствах) вплоть до уничтожения программных устройств.
«Когда какая компания попадет под пристальный взгляд хакеров, предсказать невозможно», – предупредила спикер. Атаку хакеров могут заказать конкуренты, которые имеются даже у небольших компаний. Их целью не обязательно является кража информации – иногда это замедление работы компьютеров, системные сбои, приводящие к финансовым потерям. Порой злоумышленники обещают прекратить атаки после перевода значительной суммы денег, но, как правило, не выполняют обещанного.
Спикер также рассказала о социальной инженерии – «методах взлома, основанных на психологическом манипулировании людьми». Она подчеркнула, что никто не застрахован ее воздействия и привела пример с просьбой «проголосовать на конкурсе за сына знакомых». Затем Ирина Берлизова познакомила слушателей с альтернативными видами социальной инженерии – звонками «из следственного комитета», письмами по почте, приманками в виде подброшенных телефонов, флешек и т.д. Третий вид угроз – атаки на сетевую инфраструктуру, в результате которых сайты «начинают тормозить или падать». Цель таких атак – не воровство данных, а «перегрузка серверов компании, нанесение ей материального ущерба, истощение ресурсов, приводящее к недоступности услуг». Спикер подробно рассказала про DDos-атаки.
Далее она подробно раскрыла методы и средства защиты информации – антивирусное программное обеспечение, файерволлы, системы предотвращения вторжений (IDS/IPS), шифрование данных.
Затем спикер объяснила, как обезопасить данные с помощью управления доступом к ним (принципы минимальных привилегий, многофакторная аутентификация, управление учетными записями и паролями), приведя соответствующие примеры. Она особо подчеркнула, что пароли недопустимо приклеивать к компьютеру «на желтых стикерах», как делают сотрудники большинства организаций – их необходимо хранить в специальных безопасных приложениях.
Вся работа компании должна выстраиваться в соответствии с принятой в ней и задокументированной политикой информационной безопасности, отметила спикер и рассказала, как следует вести разработку такой документации и внедрять ее, как часто следует проводить аудит и пересмотр этой политики и как должно проходить обучение сотрудников.
Затем Ирина Берлизова объяснила значение слова «конфиденциальность» и то, почему недостаточно и попросту бесполезно вставлять в договор один лишь пункт о соблюдении конфиденциальности. Она рассказала, как именно в договоре должна быть прописана конфиденциальность, чтобы стороны несли за нее реальную ответственность.
Спикер также раскрыла права субъекта персональных данных (на информацию, на право на доступ к своим данным, на уточнение, блокирование и уничтожение данных и т.д.), а также обязанности оператора персональных данных (законная обработка данных, соответствие цели обработки, защита данных и т.д.). Она подробно раскрыла тему обработки персональных данных клиентов и сотрудников организации (сбор и хранение, передача и уничтожение), а также затронула особенности обработки биометрических данных и данных о здоровье.
Спикер напомнила, что Роскомнадзор выписывает штраф за каждый факт нарушения, за каждого субъекта персонально. «Если персональные данные собраны с тысячи субъектов, то в случае утечки штраф придется платить за каждого», – предупредила она, осветив также виды проверок Роскомнадзора и основания для их проведения. Ирина Берлизова детально познакомила слушателей с тем, как должна проходить подготовка к проверке, (по закону такая проверка осуществляется раз в три года).
В заключение вебинара спикер ответила на вопросы слушателей.
Мероприятие проведено при поддержке Правительства Москвы и Департамента экономической политики и развития города Москвы
