Как подготовить компанию к работе с персональными данными клиентов. Чек-лист от админа hoster.by

Что объединяет сотового оператора, интернет-магазин и еще примерно 30% бизнеса? Зафиксированные факты утечки пользовательских данных. Иногда они некритичны. А иногда могут “похоронить” чей-то бизнес.

Специалисты по инфобезопасности hoster.by подготовили для вас 2 чек-листа, чтобы вы могли:

• Качественно повысить уровень безопасности своей инфраструктуры.
• Подготовить ее к появлению в ноябре 2021 года закона “О защите персональных данных».

Шаг 1: Минимизация внутренних и внешних угроз

1. Нарисуйте схему поступления, обработки и хранения данных. Нарисуйте процесс того как “ходят” данные клиентов у вас по компании от момента их получения до момента их хранения и обработки. Выделите потенциально опасные отрезки. Возможно, несмотря на новую систему защиты от взломов, критически важные данные есть на ноутбуке у бухгалтера, который на полставки работает из кафе по публичному wi-fi.

2. Обязательно установите межсетевой экран для фильтрации трафика.

3. Проверьте наличие антивируса на каждом рабочем устройстве.

4. Развивайте культуру цифровой гигиены: сложные и обновляемые пароли, никаких включенных компьютеров в нерабочее время, своевременные обновления.

5. Помните, что безопасность — это процесс, а не продукт. И человек является самым слабым звеном в этом процессе. Напишите четкие регламенты для людей, работающих с персданными. Вплоть до внесения в должностные обязанности и контракты. Только персональная ответственность с понятными последствиями.

6. Введите логирование с фиксацией каждой авторизации в системе или физического доступа к персональным данным.

7. Четкое разграничение прав доступа к данным разного уровня защиты.

8. Введите практику Change Management с документацией всех изменений в вашей информационной системе.

Шаг 2: Подготовка инфраструктуры к закону “О защите персональных данных»

1. Помнить о существовании Указа ОАЦ №66, который уже сегодня регламентирует защиту данных о личной жизни физического лица.

2. Специализированный защищенный хостинг для сайта. Для систем, которые работают с персональными данными разработана инфраструктура 3-фл/3-юл.

3. Профессиональная почта, которая защищена фильтром антиспам и находится в фирменном домене вашей компании. Полный отказ от почты в gmail.com, mail.ru и других бесплатных сервисов для рабочих процессов.

4. Регулярное резервное копирование. В случае использования хостинга от hoster.by этот сервис уже входит в услугу.

5. Замена публичных сервисов (Google docs, Dropbox и т.д.) на лицензионные коммерческие аналоги.

6. Контроль привилегированных учетных записей.

7. Полноценная CRM-система для обработки заказов и ведения клиентской базы.

8. Обязательное назначение ответственного лица. На практике это обычно юрист.

9. Отделите персональные данные от других клиентских данных. Четко определите каналы сбора, способы и продолжительность их хранения. Скорректируйте их и найдите баланс между требованиями бизнеса и законодательства.

10. Откорректируйте форму согласия пользователя на передачу персональной информации. Например, во всплывающем окне на сайте лучше написать «Я принимаю условия», а не «Я ознакомился с условиями».

11. Пересмотрите внутреннюю документацию: от регламентов до трудовых договоров.

12. Регулярно проводите аудит безопасности информационных систем. Важно, чтобы это была сторонняя специализированная организация, а не скрипт, написанный вашими же сотрудниками.

Помните, что специалисты hoster.by всегда окажут бесплатную консультацию и помогут подобрать оптимальные решения по безопасности. Для этого достаточно отправить запрос на info@hoster.by или позвонить по номеру +375 17 239-57-02.