• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Угрозы и защита персональных данных фрилансеров

Приветствую дорогой друг! Хочу поделиться на форуме материалом, к которому можно обратиться новичкам во время начала работы в сети Интернет для защиты от угроз.

Информация предоставляется по плану:
  1. Какие виды персональных данных есть.
  2. Чем регламентируется защита информации наемного сотрудника.
  3. Способы защиты:
    административный;
    прикладной;
    системный;
  4. Антивирус.
  5. Кем обеспечивается защита сведений о наемных работниках.
  6. Рекомендации.
  7. Итог.
информационная безопасность пользователя.jpg


На сегодняшний день деятельность организаций без обработки и хранения данных в сети о персонале или контрагентах невозможно представить. При этом мало внимания уделяется защите персональных данных, которые в большинстве случаев представляют большую ценность для определенной категории лиц, а также становятся оружием преступления или применяются в конкурентной борьбе между различными структурами и компаниями. Поэтому такие данные нуждаются в профессиональной защите!

Виды персональной информации

Среди персональных данных отмечают информацию, которую человек предоставляет при устройстве на работу, что позволяет его идентифицировать. Это:
  • ФИО;
  • локация рождения;
  • год рождения;
  • адрес;
  • семейное положение;
  • сведения об образовании;
  • информация об имуществе, доходах и прочие.

персональные данные и их классификация.jpg


Требуются они, когда человек устраивается на работу в компанию, которая ведет обычную деятельность, не используя Интернет.

Персональные данные делятся на четыре группы:
  1. Информация о расовой принадлежности, религиозных убеждениях, здоровье.
  2. Биометрические сведения, характеризующие человека, среди которых отпечатки пальцев и прочее.
  3. Общедоступная информация, предоставляемая самим человеком.
  4. Другие категории информации, не попавшие в предыдущие пункты.
Защита информации

Уровень защищенности сведений - это комплексный показатель, в котором отображаются требования по нейтрализации угроз безопасности информационных систем, хранящих персональную информацию. Такие требования регламентируются постановлением правительства РФ от 1.11.2012 года №119 на основании .
В них указаны три типа угроз:
  • 1-й уровень. Наличие в системном ПО возможностей, которые не обуславливает документация к нему.
  • 2-й уровень. Наличие в прикладном ПО возможностей, которые обусловлены в документации к нему.
  • 3-й уровень. Угрозы не связанные с наличием недокументированных возможностей в прикладном и системном ПО.
Существуют также и эксперты, которые занимаются информационной безопасностью на каждом предприятии. Они сначала определяют уровень актуальных угроз для компании и, в зависимости от этого, выполняют ряд мероприятий по защите.
При этом применяется 3 уровня защиты:
  1. Административный.
  2. Прикладной.
  3. Системный.
В первом случае происходит разграничение ответственности между должностными лицами на основании утвержденных документов. Во втором случае применяются программные методы внутри информационной системы. В третьем случае используются аппаратные и программные методы на уровне ОС и сети Интернет.

Персональные данные по признаку оборота.jpg


Административный уровень

Он обеспечивает безопасность помещений, а также сохранность носителей с информацией. Утверждается документально перечень лиц, которые имеют доступ к таким данным с целью выполнения служебных обязанностей. Обязательно проверяются сертификаты используемых средств защиты на предприятии, а также назначаются отдельные должностные лица в структуру безопасности, которые отвечают за сохранение персональных данных.

Эта информация важна и для фрилансеров, так, при устройстве даже на удаленную работу они предоставляют сведения, которые могут попасть в третьи руки и использоваться в других целях.

Прикладной уровень

В этом случае записывается в базу информация через шифрование с использованием метода md5. Даже если посторонние получают доступ к базе данных с паролями, то открыть информацию по шифру будет невозможно. Ограничивается при этом минимальная длина пароля с целью невозможности подбора данных.

Информационные коммуникации снабжаются средствами защиты подбора паролей, а также на техническом уровне запрещается регистрация нескольких пользователей под одним логином. Права доступа настраиваются уполномоченным администратором системы, и пользователи не имеют прямого доступа к базам. Диапазон ip-адресов, с которых разрешено выходить в сеть, ограничивается, а информация хранится исключительно на серверах, но не на персональном компьютере или других носителях.

Системные меры

На этом уровне важно пользоваться сертифицированными экранами и антивирусным ПО, среди которых:
  • Брандмауэр;
  • Firewall;
  • программный и аппаратный комплекс, фильтрующий информацию, поступающую через сетевые пакеты.
Фильтрация производится в соответствии с правилами, а задача межсетевого экрана – обезвредить и предупредить узлы сети от несанкционированного доступа. Основные функции:
  • препятствие получения сведений из подсети;
  • сканирование доступа к службам;
  • контроль доступа к узлам сети;
  • регламентирование доступа к сети;
  • регистрация попыток проникнуть извне;
  • уведомление о подозрительной деятельности.
ИБ сети (1).jpg


Антивирусная защита

Не менее важна защита от вирусов. Такие программы помогают выявить скрытые каналы утечки. Современные антивирусные программы включает в себя такие функции:
  • контроль на уровне приложений;
  • сигнатурная защита;
  • контроль целостности ОС;
  • поведенческий анализ программ.
Защита сведений работников

В п. 7 ст. 86 ТК РФ оговаривается защита данных сотрудников предприятий или компаний и, согласно ей, работодатель сам обеспечивает сохранность информации за свои средства. В зависимости от должности сотрудника, есть особый порядок обращения и хранения информации, который регулируется нормативными актами. Работодатель самостоятельно определяет такой уровень защиты после ознакомления с локальным актом. При этом все работники тоже проходят ознакомления с таким документом на предприятии под роспись.

Владельцу компании запрещается передавать данные третьим лицам без согласия на то сотрудника. Исключение случаи, когда это несет угрозу здоровью или жизни работника и прочих ситуациях, предусмотренных Законами и ТК.

взаимосвязь элементов безопасности (1).jpg


Рекомендации

Исходя из личного опыта, советую:
  • Предоставлять заказчикам для оплаты реквизиты карт для совершения покупок в Интернете, которые создаются в неограниченном количестве через свой кабинет в мобильном банкинге быстро и удобно. Там блокируются, а также заводятся новые карточки за считанные минуты.
  • Если вы работаете в сети, а заказчик требует конкретных данных о месте проживания или семейном положении, а также другую информацию, которая не нужна удалённому работнику, стоит отнестись к таким требованиям настороженно. Лучше попросить заказчика пересмотреть этот вопрос, так как он часто не влияет на качество и результативность удаленной работы.
Фрилансеры сотрудничают с интернет-магазинами, куда тоже требуется предоставлять данные для оплаты. Это электронные кошельки или банковские карты. Как правило, большие интернет-магазины имеют соответствующие средства безопасности, обеспечивающие соответствующий уровень защиты информации, но есть и такие компании, которые ведут в деятельность оффлайн, но при этом имеют в сети ресурс, где выкладывают периодически информацию о своих достижениях и преимуществах сотрудничества с ними.

фрилансер в работе.jpg


При этом они мало уделяют внимания защите персональных сведений. Работать с такими компаниями можно, но ограничиваясь в количестве и качестве предоставляемой информации, учитывая условия, описанные выше.

Итог сказанного

Как видно, защита данных в сети актуальна для предприятий, но также внимательно к этому вопросу необходимо отнестись фрилансерам, оставляя данные:
  • ФИО,
  • карточные счета,
  • место проживания
и прочую контактную информацию работодателям, не имеющим соответствующего уровня защиты безопасности.

Надеюсь, эта статья поможет новичкам удаленной работы начать трудовую деятельность безопасно!
 
Последнее редактирование модератором:

Archi00

Green Team
01.07.2019
19
42
BIT
0
Не совсем понял зачем в этой статье приписан ПП 1119? Если уж рассматривать законодательные документы, то лучше начать с самого верха - ФЗ 152, в котором прописано всё про ПДн (что? где? когда?) и как раз таки идет отсылка на ПП 1119.

По поводу ПП 1119 - неправильно прописаны актуальные угрозы безопасности (рекомендую пересмотреть и подправить). Если ты хотел расписать весь процесс определения УЗ, то надо писать весь процесс, а не выдергивать часть текста из документа. В противном случае, не вижу смысла упоминать ПП 1119.
 
  • Нравится
Реакции: Forington Monrivier

Сергей_2

Green Team
01.08.2020
24
51
BIT
0
Насколько я понимаю, фз 152 от 2006 года, а ПП от 2012. В ФЗ были внесены ранее изменения, но они не коснулись основных аспектов, а лишь дополнили их, потому ссылаюсь на НПА.
По поводу уровней угроз - подкорректировал. Спасибо.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!