Правила защиты персональных данных: обучение сотрудников компании

Защита информации очень важная составляющая любой компании, которую должны реализовывать все сотрудники.

Каждый день в сеть утекает огромное количество личной информации людей, поэтому защита персональных данных (далее – ПДн), обрабатываемых в организации, является важным звеном в системе защиты информации.

Многочисленные требования со стороны регуляторов указывают на необходимость создания системы защиты персональных данных (далее – СЗПДн). Безусловно, какой идеальной бы с технической точки зрения не была СЗПДн, огромную угрозу несут сами сотрудники компании, поэтому важно проводить обучение сотрудников правилам защиты информации.

Система защиты ПДн в компании

Невозможно составить единое пособие по обучению персонала, так как оно должно основываться на конкретной системе защиты персональных данных, поэтому для начала следует разработать систему защиты, а после обучать сотрудников правильно взаимодействовать с ней.

Поскольку у компаний могут быть разные цели, задачи, размер и бюджет, то и система защиты персональных данных будет отличаться, следовательно обучение для работников тоже будет разным. Можно лишь предложить универсальную схему, которой можно руководствоваться при составлении плана подготовки сотрудников.

Первоначально необходимо понять слабые стороны своей компании и определить возможные сценарии утечки персональных данных.

Для этого потребуется разработать модель угроз безопасности персональных данных, после чего можно разработать саму СЗПДн.

Построение системы защиты персональных данных можно разделить на две части.

1. Первая часть включает в себя составление пакета документов, содержащие в себе правила обработки информации, а также правила взаимодействия работников с информационной системой ПДн (далее – ИСПДн).
2. Вторая часть включает в себя технические средства, с помощью которых осуществляется защиты данных. В компании могут быть различные средства защиты информации и важно обучить сотрудников пользоваться ими. Например, реагировать на предупреждения антивирусных средств или операционной системы.

Необходимо помнить, что существуют разные уровни защищенности и конфиденциальности информации, находящейся в компании, поэтому необходимо организовать учет лиц, которые допущены к работе с персональными данными в ИСПДн.

Иными словами, каждому сотруднику необходимо выделить рабочее место и четко обозначить рабочие права и обязанности. Сделать это можно не только с помощью организационно-распорядительной документации, но и специальными программами для распределения доступа.

Также компании необходимо создать режим обеспечения безопасности помещений, в которых находится информационная система персональных данных, для предотвращения проникновения лиц, которые не имеют права доступа в них, и донести работникам информацию о важности сохранности пропуска и его непередачи.

Лучшим техническим решением для обеспечения безопасности помещения является система контроля управления доступом (СКУД).

Конечно, построение системы защиты персональных данных даже с самыми хорошими и дорогими средствами защиты информации не гарантируют полную защиту данных, так как существует человеческий фактор. В связи с этим необходимо обучать сотрудников компании правилам и методам защиты информации.

Компаниям необходимо иметь пакет документации, которая будет регламентировать сбор, обработку, хранение, удаление и обеспечение безопасности ПДн.

Согласно ФЗ 152 (стать 18, пункт 1.6) все работники, которые работают с персональными данными, должны быть ознакомлены с положениями законодательства РФ о ПДн, а также с документацией копании. Кроме того, данный пункт рекомендует проводить обучение персонала компании в сфере защиты персональных данных.

Важно

Ознакомление должно быть подтверждено подписью сотрудника в соответствующем журнале. Также рекомендуется проводить ознакомление сотрудников с организационно-распорядительной документацией и их обучение непосредственно в день принятия на работу.

Защита персональных данных: основные моменты обучения

Само собой все сотрудники должны быть хорошо ознакомлены со своей должностной инструкцией, в которой прописаны права и обязанности работника. Но также в компании должны быть установлен ряд правил, которым необходимо обучить персонал.

Обучение персонала должно сводиться к их знанию:

• Законодательства РФ в сфере защиты ПДн;
• Организационно-распорядительной документации компании в сфере ПДн;
• Правил по обработке ПДн;
• Правил по изменению и уничтожению ПДн;
• Правил обращения с ИСПД;
• Правил по работе с электронными носителями информации (флешки, диски и т.д.);
• Правил пропускного режима в помещение, в котором происходит обработка ПДн;
• Правил своевременного оповещения ответственных сотрудников об возникновении инцидентов безопасности (если сотрудник заметил что-то странное он должен немедленно сообщить это ответственному);
• Правил техники безопасности на рабочем месте.

Правила защиты ПДн: проверка сотрудников

Проверять знания сотрудников очень важно. Это покажет не только уровень подготовки персонала, но и возможные недочёты в разработанной системе защиты персональных данных.

Проверка может осуществляться в формате электронного или бумажного тестирования с заранее установленными порогами прохождения.

Самым эффективным методом является проверка с помощью социальной инженерии. Она подразумевает под собой согласованную руководством атаку, которая проверит сотрудников на разумность, бдительность и знания в сфере информационной безопасности.

Такая атака может осуществляться в виде:

• Фишингового письма или сайта;
• Подставных звонков сотрудникам или разыгрывание подкупа специалистов;
• Проникновения на территорию заказчика.

Социальная инженерия поможет найти уязвимости в системе защиты и указать на недочеты. Проводить ее самостоятельно достаточно трудно, поэтому лучше обратиться за помощью к специалистам.

При выборе компании, которая предлагает такие услуги, стоит учитывать опыт работы и репутацию для качественного исполнения проверки.

Защита от утечек персональных данных

В заключении отметим, что обучение персонала с последующим проведением проверки знаний значительно снижает риски утечки ПДн.

1. Работники компании должны быть в курсе самых новых угроз безопасности, совершенствовать свои знания и проходить обучение с тестированием не реже 1 раза в год.
2. Также стоит проводить разъяснительные беседы с сотрудниками в случаи возникновения каких-либо инцидентов безопасности.
3. Обеспечение сотрудников необходимой информацией по правилам защиты персональных данных способствует минимизации инцидентов с утечкой данных. Этому способствует свободный доступ к профильной информации. Например, политика конфиденциальности компании должна находится в свободном доступе для каждого сотрудника, работающего с конфиденциальной информацией.