Как подготовить компанию к работе с персональными данными клиентов. Чек-лист от админа hoster.by

Что объединяет сотового оператора, интернет-магазин и еще примерно 30% бизнеса? Зафиксированные факты утечки пользовательских данных. Иногда они некритичны. А иногда могут “похоронить” чей-то бизнес. 

Специалисты по инфобезопасности hoster.by подготовили для вас 2 чек-листа, чтобы вы могли:

1. Качественно повысить уровень безопасности своей инфраструктуры.
2. Подготовить ее к появлению в ноябре 2021 года закона “О защите персональных данных».

Шаг 1: Минимизация внутренних и внешних угроз

1. Нарисуйте схему поступления, обработки и хранения данных. Нарисуйте процесс того как “ходят” данные клиентов у вас по компании от момента их получения до момента их хранения и обработки. Выделите потенциально опасные отрезки. Возможно, несмотря на новую систему защиты от взломов, критически важные данные есть на ноутбуке у бухгалтера, который на полставки работает из кафе по публичному wi-fi.
2. Обязательно установите межсетевой экран для фильтрации трафика. Но если вы клиент hoster.by, то эта опция включена во все виды хостинга.
3. Проверьте наличие антивируса на каждом рабочем устройстве.
4. Развивайте культуру цифровой гигиены: сложные и обновляемые пароли, никаких включенных компьютеров в нерабочее время, своевременные обновления.
5. Помните, что безопасность — это процесс, а не продукт. И человек является самым слабым звеном в этом процессе. Напишите четкие регламенты для людей, работающих с персданными. Вплоть до внесения в должностные обязанности и контракты. Только персональная ответственность с понятными последствиями.
6. Введите логирование с фиксацией каждой авторизации в системе или физического доступа к персональным данным.
7. Четкое разграничение прав доступа к данным разного уровня защиты.
8. Введите практику Change Management с документацией всех изменений в вашей информационной системе.

Шаг 2: Подготовка инфраструктуры к закону “О защите персональных данных»

1. Помнить о существовании Указа ОАЦ №66, который уже сегодня регламентирует защиту данных о личной жизни физического лица. 
2. Специализированный защищенный хостинг для сайта. Для систем, которые работают с персональными данными разработана инфраструктура 3-фл/3-юл.
3. Профессиональная почта, которая защищена фильтром антиспам и находится в фирменном домене вашей компании.  Полный отказ от почты в gmail.com, mail.ru и других бесплатных сервисов для рабочих процессов.
4. Регулярное резервное копирование. В случае использования хостинга от hoster.by этот сервис уже входит в услугу.
5. Замена публичных сервисов (Google docs, Dropbox и т.д.) на лицензионные коммерческие аналоги.
6. Контроль привилегированных учетных записей.
7. Полноценная CRM-система для обработки заказов и ведения клиентской базы.
8. Обязательное назначение ответственного лица. На практике это обычно юрист.
9. Отделите персональные данные от других клиентских данных. Четко определите каналы сбора, способы и продолжительность их хранения. Скорректируйте их и найдите баланс между требованиями бизнеса и законодательства.
10. Откорректируйте форму согласия пользователя на передачу персональной информации. Например, во всплывающем окне на сайте лучше написать «Я принимаю условия», а не «Я ознакомился с условиями».
11. Пересмотрите внутреннюю документацию: от регламентов до трудовых договоров.
12. Регулярно проводите аудит безопасности информационных систем. Важно, чтобы это была сторонняя специализированная организация, а не скрипт, написанный вашими же сотрудниками.

Помните, что специалисты hoster.by всегда окажут бесплатную консультацию и помогут подобрать оптимальные решения по безопасности. Для этого достаточно отправить запрос на info@hoster.by или позвонить по номеру +375 17 239-57-02.

[Подробнее о защищенном хостинге]