Мероприятия защиты информации от подслушивания в финансовой компании

В финансовой компании рекомендуется внедрить в практическую деятельность стандарт о защите персональных данных , который закрепит на уровне локального документа требования к системе защиты, в соответствии с федеральным законодательством. В стандарте также можно выделить, что под личной информацией в области защиты персональных данным понимается различная информация по биометрической системе, записанная в электронном виде или другими способами, которая может быть индивидуально или объединена с другой информацией для 1) идентификации личности конкретного физического лица; или 2) отражения деятельность конкретного физического лица.
Хотя определение личной информации включает только информацию, которая может использоваться для идентификации людей, стандарт может расширить ее до информации, связанной с деятельностью идентифицированных лиц. В стандарте рекомендуется закрепить следующее, что личная информация по биометрическим данным не должна конкретно идентифицировать человека, а должна только отражать деятельность человека и может быть расположена в личной информации этого человека. Например, личная информация идентифицированного человека включает в себя местоположение человека на территории ресторана, историю его звонков и историю просмотров.
Личная конфиденциальная информация в биометрической системе - это личная информация, которая после утечки, незаконного предоставления или неправильного использования может поставить под угрозу личную безопасность и безопасность имущества, а также легко привести к снижению личной репутации, физическому и психическому здоровью или дискриминационному обращению.
Например, идентификационный номер, биометрическая информация, номер банковского счета, записи и содержание сообщений, информация об имуществе, кредитная информация, информация о точном местонахождении, информация о проживании, информация о здоровье, информация о транзакциях, личная информация детей в возрасте до 14 лет (в том числе). Стоит отметить, что веб-файлы cookie явно включены в конфиденциальную личную информацию.
Стандарт должен предусматривать дополнительные специальные меры защиты для конфиденциальной личной информации, включая следующее: явное согласие субъекта информации требуется до сбора конфиденциальной личной информации; конфиденциальная личная информация должна быть зашифрована во время передачи и хранения, а личная биометрическая информация должна подвергаться специальной обработке перед хранением.
Следует принимать специальные меры для доступа и изменения конфиденциальной личной информации, то есть для контроля разрешений, предоставляемых сотрудникам в связи с потребностями бизнеса

. Когда личная конфиденциальная информация передается и передается, контролер личной информации должен уведомить субъекта информации о типе личной конфиденциальной информации, личности получателя данных и возможностях защиты данных, а также получить явное согласие. Когда личная конфиденциальная информация публично раскрывается, контролер данных должен уведомить субъекта информации о раскрытой информации и получить явное согласие. Контролеры личной информации должны проводить проверку биометических данных сотрудников, имеющих разрешение на доступ к большим объемам конфиденциальной личной информации.
В таблице 5. приведены контрмеры.
Таблица 5. – Контрмеры
Название контрмеры Риск до контрмеры Риск после контрмеры Стоимость контрмеры Эффективность
Система резервного копирования, система защиты от несанкционированного доступа 4 2 150 50%
Учет акустических каналов 3 1,5 100 50%
Система антивирусной защиты, межсетевое экранирование всех доступов к линии связи
Организационные меры в виде внедрения стандарта 2 1 50 50%
Новая система видеонаблюдения за сотрудниками 3 2 100 66,67%
Обновление средств защиты, учет носителей информации, закупка оборудования, сертифицированного ФСБ РФ 4 2 100 50%
Закупка новых средств сканирования биометрических данных 8 4 100 50%
Высокий риск считается существенным, и его обработка обязательна. Рекомендовано проводить минимизацию рисков путем перечисленных мероприятий.
На рынке присутствует большое количество предлагаемых технических решений для защиты от подслушивания.
1