Урок 8. Конфиденциальная информация
Тема 3
Конфиденциальная информация и кибербезопасность
В наше время тотальной цифровизации и ускорения информационных потоков все более значимым становится то, как регулируется обработка нашей личной информации.
Эти и другие вопросы работы с информацией рассматриваются в данной теме. Уроки ведет Герман Сабиров, Руководитель направления правовой защиты данных, IT и интеллектуальной собственности Отдела правового сопровождения IP и технологий Управления правового сопровождения внутрибанковской деятельности Правового департамента Сбера.
Какая информация является конфиденциальной и какие требования предъявляются к ее обработке?
Как обезопасить себя от мошеннических действий или иных правонарушений в информационной сфере?
Какова ответственность за несоблюдение этих требований?
Ознакомьтесь с видеороликом
Сегодня мы поговорим о конфиденциальности информации и о том, зачем она нужна. Процессы обработки информации сопровождают огромное количество повседневных дел – от регистрации в приложении для знакомств до просмотра рекламы. Большинство повседневных операций связаны с генерацией, получением, изменением и передачей различной информации. При этом мы редко задумываемся над тем, кто и как обрабатывает наши данные, кто может их использовать и на этом заработать, какие риски мы несем при невнимательном отношении к информации.
Приведем несколько примеров:
Предположим, вы оставили реальные данные о себе (включая фамилию, имя, отчество, номер телефона, место жительства) в незаслуживающем доверия приложении для заказа еды. Далее случается утечка информации о вас и ваших заказах. После этого вам начинают поступать непрекращающиеся назойливые звонки разного содержания, а любой потенциальный злоумышленник осведомлен о том, где именно вы живете, каков ваш примерный доход, и уже сейчас может планировать кражу вашего имущества. Восстановить нарушенное право на неприкосновенность частной жизни и на защиту персональных данных ❏ будет довольно сложно. С компании вы получите 5 тысяч рублей компенсации морального вреда ❏, а суд оштрафует юридическое лицо всего на 60 тысяч рублей ❏ за утечку всего объема данных по всем пользователям.
Другой пример: якобы представитель «службы безопасности банка» звонит доверчивой жертве и сообщает о том, что кто-то оформил заявку на кредит на имя жертвы и ей необходимо назвать смс-коды, которые поступят во время звонка, для отмены операции. Все необходимые данные по жертве и ее карте злоумышленник уже получил с фишингового ресурса, где жертва сама их и оставила. Жертва называет коды, после чего с ее счета списываются деньги. Часто найти преступника невозможно, как и взыскать средства с банка ❏.
Для того, чтобы знать, какие потенциальные риски несет раскрытие информации, нужно понимать, о какой именно информации идет речь, каковы особенности ее правового режима: права и обязанности субъектов, какова ответственность за нарушение правового режима соответствующего вида информации ❏.
О соотношении и различиях см. подробнее Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». М.: Статут, 2021.
Решение Замоскворецкого районного суда от 08.11.2022 по делу № 02-5887/2022.
Решение Замоскворецкого районного суда от 16.06.2022 по делу № 12-2028/2022
См. например: Определение Шестого кассационного суда общей юрисдикции от 13.04.2022 № 88-7136/2022 по делу N 2-1824/2021.
Терещенко Л.К. Правовой режим информации // Дис… д-ра юрид. наук. М. 2011. С. 16.
Типы информации
В целом всю информацию можно разделить на три типа ❏:
В качестве примеров общедоступной информации можно привести информацию о юридических лицах в Едином государственном реестре юридических лиц ❏, информацию в системе гос. закупок ❏, адреса интернет-страниц ❏.
К информации ограниченного доступа относятся государственная ❏, коммерческая ❏, служебная ❏, адвокатская ❏, банковская ❏, страховая ❏, нотариальная ❏, врачебная ❏, аудиторская ❏, налоговая ❏ и иные виды тайн, а также персональные данные ❏.
Правовые режимы информации могут пересекаться. Так, например, сведения о клиентах банка (их ФИО, номера карт, номера телефонов) могут являться и персональными данными, и информацией, составляющей банковскую, коммерческую тайны. При наличии такого пересечения необходимо соблюдать все требования законов, относящиеся ко всем перечисленным правовым режимам информации, а при возникновении противоречий нужно руководствоваться наиболее рестриктивными, ограничительными положениями закона.
Информация также может быть представлена в форме результатов интеллектуальной деятельности: произведений, компьютерных программ, баз данных, ноу-хау, которые охраняются гражданским законодательством.
Примеры запрещенной к распространению информации: информация о способах изготовления наркотиков, самодельного изготовления взрывчатки, призывы к массовым беспорядкам, осуществлению экстремистской деятельности и некоторые другие виды информации, прямо установленные в Законе об информации ❏.
Общедоступная информация, то есть общеизвестные сведения и иная информация, доступ к которой не ограничен.
Информация ограниченного доступа.
Ст. 5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
3-й тип информации обычно выделяется в рамках другого основания классификации, вместе с тем представляется допустимым привести его здесь для цели упрощения.
Постановление Девятого арбитражного апелляционного суда от 31.05.2018 № 09АП-19687/2018 по делу № А40-119965/17 (дело Картотеки), Письмо ФНС России от 09.09.2019 N ПА-4-6/18073@.
Постановление Одиннадцатого арбитражного апелляционного суда от 18.01.2018 № 11АП-17927/2017 по делу № А65-22193/2017.
Апелляционное определение Московского городского суда от 08.06.2018 по делу № 33-24706/2018.
Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне».
Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
Постановление Правительства РФ от 03.11.1994 № 1233.
Ст. 8 Федерального закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации».
П. 1 ст. 857 ГК РФ, ст. 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности».
Ст. 946 ГК РФ.
Ст. 16 Основ законодательства Российской Федерации о нотариате (утв. ВС РФ 11.02.1993 № 4462-1).
Ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
Ст. 9 Федерального закона от 30.12.2008 № 307-ФЗ «Об аудиторской деятельности».
Ст. 102 НК РФ.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
См. ст.ст. 15.1 – 15.9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Банковская тайна
Для примера рассмотрим правовой режим банковской тайны. В рамках этого режима охраняются 3 категории сведений:
Сведения о клиенте.
Сведения о счетах и вкладах клиента или корреспондента.
А также сведения об операциях по счету клиента ❏.
Ст. 857 ГК РФ, ст. 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности».
Обязанность по сохранению конфиденциальности сведений, составляющих банковскую тайну, несут следующие субъекты: кредитная организация, Банк России, организация, которая осуществляет обязательное страхование вкладов, в том числе работники этих организаций ❏.
Перечень случаев предоставления информации, которая составляет банковскую тайну, ограничен законом с учетом его толкования судами и Банком России. Сведения, составляющие банковскую тайну, могут быть предоставлены клиентам или их представителям, третьим лицам по согласию клиента, а также лицам, прямо указанным в законе. Например, банки (как источники формирования кредитной истории) во исполнение закона представляют соответствующую информацию в бюро кредитных историй ❏.
За незаконное собирание, разглашение или использование таких сведений, лицо может быть привлечено в том числе к гражданско-правовой ❏, дисциплинарной ❏, административной ❏ или уголовной ответственности ❏.
Приведем один известный пример. Работник банка выгрузил на флешку информацию о клиентах, счетах и картах, об операциях по картам клиентов. Далее он передал покупателю данные о части клиентов банка. За указанные действия работник банка получил вознаграждение на Bitcoin-кошелек. Впоследствии за эти действия он был осужден по ч. 3 ст. 183 УК РФ на 2 года 10 месяцев лишения свободы ❏. Этот и множество других кейсов подчеркивают необходимость знать и соблюдать правовые режимы информации ограниченного доступа.
Соблюдение правового режима информации, доступ к которой ограничен законом или ее обладателем, является строго обязательным ❏. Незнание закона не освобождает от ответственности! От незнания или небрежного отношения к данным можете пострадать не только вы и ваши близкие, но и ваша компания, ваши клиенты.
Ст. 857 ГК РФ, ст. 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности».
Ч. 2 ст. 857 ГК РФ, ст. 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности», ст. 5 Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях».
Ст. 15, 151, 857 ГК РФ.
Пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.
Ст. 13.14 КоАП РФ.
Ст. 183 УК РФ.
Приговор Красногорского городского суда Московской области от 08.09.2020 по уголовному делу № 1-222/20 (оставлен в силе в указанной части Определением Московского областного суда от 17.11.2020 по уголовному делу № 22-6909/2020).
П. 1 ч. 3 ст. 6, ч. 2 ст. 9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Урок 9 Персональные данные
Ознакомьтесь с видеороликом
Персональными данными могут быть любые сведения, независимо от формы их представления. Это может быть обычный текст, код, изображение, звук. Источник получения этих данных значения не имеет – данные могут быть собраны от самого субъекта или получены от третьего лица, а также могут появиться в результате использования субъектом технических устройств, путем аналитики или иной переработки исходной информации. Достоверность данных может не иметь значения. Для признания персональными данными возможность достоверно установить фамилию и инициалы человека не так уж значима. Так, покупатель в интернет-магазине может при осуществлении покупок пользоваться псевдонимом или даже просто просматривать интересующие его товары для будущих покупок без регистрации. Для показа ему релевантной рекламы его ФИО значения не имеет, важны идентификаторы его устройств, рекламные идентификаторы, сведения о предыдущих покупках и просмотрах, привязанные к таким идентификаторам.
Важные признаки персональных данных:
Персональные данные – это любая информация, которая относится к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) ❏.
Сведения должны прямо или косвенно относиться к физическому лицу. Это может быть размер заработной платы и премий конкретного лица, оценка его благонадежности, геолокация. Сама по себе информация о «красном автомобиле определенной марки» не является персональными данными, но как только эта информация «присоединяется» к идентификатору физического лица, например, его фамилии, имени, отчеству, она входит в пул персональных данных.
Информация должна обладать идентифицирующим потенциалом. То есть с помощью этой информации можно будет выделить нужное лицо из множества лиц, идентифицировать его (в том числе с привлечением иной доступной информации).
Персональными данными является информация именно о физическом лице, в том числе, зарегистрированном в качестве индивидуального предпринимателя. Юридическое лицо не является субъектом персональных данных.
В качестве примеров персональных данных, можно привести: различные идентификаторы ❏ физического лица (включая ФИО ❏, ИНН ❏, СНИЛС, никнейм, IP-адрес, рекламные идентификаторы), номер мобильного телефона ❏, адрес электронной почты, адрес проживания, информацию о социальном и имущественном положении ❏, доходах физического лица ❏, информацию о трафике абонента ❏, геолокацию, историю браузера, cookie-файлы ❏ (то есть небольшие фрагменты данных о действиях пользователя, которые веб-сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве).
П.1 ст. 3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Постановление Тринадцатого апелляционного арбитражного суда от 01.07.2016 по делу № А56-6698/2016.
Постановление Нижегородского областного суда от 12.05.2015 по делу № 4а-288/2015; Кассационное определение Пермского краевого суда от 01.08.2011 по делу № 33-7668.
Постановление Девятнадцатого арбитражного апелляционного суда от 10.03.2017 № 19АП-126/2017 по делу № А48-4470/2016; Апелляционное определение Санкт-Петербургского городского суда от 11.10.2017 № 33-19446/2017 по делу № 2-2998/2017; Апелляционное определение Новосибирского областного суда от 04.07.2017 по делу № 33-6394/2017.
Решение Черемушкинского районного суда г. Москвы от 18.06.2019 по делу № 12-973/2019. Позиция приводится несмотря на мнение Роскомнадзора и отклоняющуюся практику.
Бачило И.Л. Информационное право: учебник для академического бакалавриата. М.: Издательство Юрайт, 2019. С. 182.
Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681.
Решение Арбитражного суда г. Москвы от 25.05.2016 по делу № А40-51869/2016-145-449.
Письмо Роскомнадзора от 06.10.2020 № 08-58574; Семинар Роскомнадзора от 28.01.2020 (подробнее).
Категории персональных данных
Существуют разные категории персональных данных:
Обычные, простые или иные персональные данные, например: фамилия, имя, отчество, ИНН, номер мобильного телефона.
Специальные категории персональных данных, то есть данные, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья ❏. Это может быть диагноз, рентгеновские снимки, сведения о членстве в религиозной организации.
Биометрические персональные данные, то есть сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Такими данными могут быть изображения лица, дактилоскопические данные (отпечатки пальцев), радужная оболочка глаз, даже обычная фотография на пропуске ❏.
Обезличенные персональные данные ❏ – это данные, которые не позволяют определить их принадлежность к конкретному субъекту без использования других данных. Например, когда оператор заменил часть персональных данных на обезличенные идентификаторы, тем не менее, сохранил таблицу соответствия для проведения деобезличивания.
Персональные данные, разрешенные субъектом персональных данных для распространения. Например, когда вы как субъект персональных данных даете отдельное согласие на их распространение, доступ к таким данным будет предоставлен оператором неограниченному кругу лиц.
Персональные данные, включенные в общедоступные источники (справочники, адресные книги) ❏.
Определившись с тем, что такое персональные данные и какие виды персональных данных бывают, необходимо установить, кто и на каких условиях может их обрабатывать, какие права возникают у нас в связи с обработкой персональных данных и как нам их осуществить.
Ч. 1 ст. 10 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Ч. 3 ст. 10 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017.
Ст. 8 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
П.9 ст.3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Лица, осуществляющие обработку персональных данных
По общему правилу с согласия субъекта они могут поручить обработку персональных данных «обработчику». При этом, по общему правилу, ответственность перед субъектом персональных данных за действия обработчика продолжает нести оператор ❏.
За обработку персональных данных отвечают операторы персональных данных. Это лица, которые организуют или осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными ❏.
П.2 ст. 3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Ч. 3, 5 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Правовые основания обработки персональных данных
Каковы условия обработки персональных данных? Чтобы совершать операции с персональными данными, начиная с их сбора и до их уничтожения, у оператора должно быть правовое основание обработки ❏. Причем для каждой категории персональных данных эти основания разные.
Иногда правовые основания также зависят и от целей обработки. Так, например, при обработке в рекламных целях, при звонках или смс-рассылках потребителю с предложением посетить сайт и приобрести товары или услуги, единственным правовым основанием будет выступать предварительное согласие субъекта ❏. Также по общему правилу автоматическое принятие решения об отказе в предоставлении кредита, которое осуществляет алгоритм на основании профиля клиента, без непосредственного участия человека допускается, только если субъект дал письменное согласие ❏.
Основными правовыми основаниями ❏ для обработки обычных персональных данных могут выступать:
Согласие субъекта персональных данных: свободное, конкретное, предметное, информированное, сознательное и однозначное ❏.
Также возможна обработка персональных данных для исполнения договора, если его стороной является субъект персональных данных, а также обработка персональных данных для исполнения обязанностей, возложенных на оператора законом. Например, обработка персональных данных, содержащихся в паспорте, трудовой книжке, военном билете, справке об отсутствии судимости при трудоустройстве ❏.
И наконец, можно обрабатывать персональные данные для осуществления прав и законных интересов оператора или третьих лиц или для достижения общественно значимых целей ❏. Например, обработка персональных данных уполномоченных представителей юридических лиц, содержащихся в доверенностях и в заключаемых ими договорах.
Ч. 1 ст. 5 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Ч. 1 ст. 15 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ, ст. 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе».
П. 1 ч. 1 ст. 6, ч. 1 ст. 9 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
П. 7 ч. 1 ст. 6 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Ч. 1, 4 ст. 9, ст. 16 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Полный перечень правовых оснований обработки иных персональных данных приведен в ч. 1 ст. 6 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Ст. 65 ТК РФ.
Какие права в сфере персональных данных есть у субъекта, то есть у каждого из нас?
Право на получение от оператора информации, которая касается обработки персональных данных ❏.
Право на получение уведомления об обработке, если оператор получил персональные данные не от самого субъекта, за рядом исключений.
Право на уточнение персональных данных.
Право требовать блокирования или уничтожения персональных данных, если данные получены незаконно или не являются необходимыми для цели обработки ❏.
Права субъекта в сфере персональных данных
Право отозвать данное согласие на обработку персональных данных ❏ или право обратиться к оператору с требованием о прекращении обработки персональных данных ❏.
Право обжаловать действия оператора в Роскомнадзор или обратиться за судебной защитой своих прав ❏.
Ч. 1,7 ст. 14 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Ч. 1 ст. 14 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Ч. 2 ст. 9 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Ч. 5.1 ст. 21 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Ч. 1 ст. 14, ч. 1 ст. 17 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
При проведении проверки Роскомнадзор может выдать оператору предписание об устранении правонарушения ❏. За нарушение законодательства о персональных данных виновные могут быть привлечены к административной ответственности по ст. 13.11 КоАП РФ.
Так, в одном из дел микрофинансовая организация была привлечена к ответственности за незаконную обработку контактных данных по ч. 1 ст. 13.11 КоАП РФ в виде штрафа в размере 30 тыс. рублей ❏. В чем заключался кейс? Заемщик оставил в микрофинансовой организации свои контактные данные и данные своего начальника. Когда заемщик не смог выполнить долг, организация позвонила начальнику заемщика, который не был проинформирован об этой ситуации. Таким образом, микрофинансовая организация обработала персональные данные начальника заемщика: его ФИО, номер телефона без согласия и других правовых оснований.
Субъект персональных данных может потребовать возмещения убытков ❏ и компенсации морального вреда ❏. Так, например, если банк передаст в бюро кредитных историй информацию о субъекте в составе запроса для получения кредитного отчета без наличия согласия ❏, субъект персональных данных может получить компенсацию морального вреда – обычно в размере до 10 тыс. рублей ❏.
За разглашение охраняемой законом тайны, включая персональные данные, работодатель может привлечь работника к дисциплинарной ответственности вплоть до увольнения ❏.
Ответственность за нарушение законодательства о персональных данных ❏
Так, в одном кейсе работница офиса банка по просьбе знакомого предоставила ему выписки по банковскому счету клиента, содержащие сведения, составляющие банковскую тайну и персональные данные клиента без каких-либо правовых оснований. После проведения служебной проверки работница была уволена по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ ❏.
Если предоставляемые данные могут быть квалифицированы как сведения о частной жизни лица, составляющие его личную или семейную тайну, то за их незаконное собирание или распространение без согласия лицо может быть привлечено к ответственности по ч. 1 ст. 137 УК РФ ❏.
Наиболее эффективной мерой борьбы с нарушителями правового режима персональных данных в России может являться блокировка интернет-ресурса ❏. Роскомнадзор по решению суда может включить соответствующий сайт в Реестр нарушителей прав субъектов персональных данных. Доступ к такому сайту будет прекращен операторами связи ❏.
Таким образом, получив общие представления о правовом режиме персональных данных, теперь вы сможете отличить персональные данные от не персональных, знаете, каковы ваши права в этой сфере и как вы их можете защитить, а также что грозит тем, кто их не соблюдает.
Не все приведенные ниже негативные последствия являются юридической ответственностью. Заголовок приводится для упрощения.
В настоящем случае рассматриваются не все возможные, а лишь основные составы по видам ответственности.
Ч. 2 ст. 90 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».
Ст. 13.11 КоАП РФ.
Постановление Седьмого кассационного суда общей юрисдикции от 02.12.2020 № 16-4079/2020.
Ч. 2 ст. 17, ст. 15 ГК РФ.
Ч. 2 ст. 17, ч. 2 ст. 24 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ, ст. 151 ГК РФ.
Апелляционное определение Московского городского суда от 26.08.2020 по делу № 33-32184/2020.
Пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.
Решение Первомайского районного суда г. Мурманска от 05.03.2020 по делу № 2-335/2020; Апелляционное определение судебной коллегии по гражданским делам Мурманского областного суда от 17.06.2020 по делу № 2-335/2020; Определение Третьего кассационного суда общей юрисдикции от 23.12.2020 № 88-17608/2020 по делу N 2-335/2020.
Ч. 1 ст. 137 УК РФ. Ответственность за те же деяния, совершенные с использованием своего служебного положения, предусмотрена ч. 2 ст. 137 УК РФ.
Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». М.: Статут, 2021. С. 444.
Ч. 9 ст. 6 Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях».
Ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Урок 10. Кибербезопасность
Ознакомьтесь с видеороликом
Поговорим о кибербезопасности и основных правилах обращения с данными. Для обеспечения конфиденциальности информации, во избежание причинения вреда вам или вашему работодателю, необходимо соблюдать правила обработки и защиты информации, которые предусмотрены в законодательстве и локальных правовых актах.
Эти правила зависят от того, какие именно данные защищаются, кем они защищаются и от каких угроз безопасности ❏.
Про то, какие именно данные могут подлежать защите, мы говорили ранее. Очевидно, что к информации, составляющей государственную тайну, будут применяться одни требования защиты, а к конфиденциальной информации, которая не составляет коммерческую тайну, но передается по NDA (соглашению о неразглашении конфиденциальной информации) – совсем другие.
Обычно выделяется три вида угроз информационной безопасности:
Угрозы нарушения конфиденциальности данных, например, утечка персональных данных.
Угрозы нарушения целостности, например, когда нарушители изменяют информацию о балансе виртуальной валюты на счете игрока.
Угроза нарушения доступности информации, например, невозможность получения доступа к сайту в результате DDOS атаки (то есть направления злоумышленниками множества автоматизированных запросов с разных устройств, с целью привести к невозможности ресурса ответить на запросы обычных пользователей) ❏.
Вострецова Е.В. Основы информационной̆ безопасности: учебное пособие для студентов вузов. Екатеринбург: Изд-во Урал. ун-та, 2019. С. 68.
Вострецова Е.В. Основы информационной̆ безопасности: учебное пособие для студентов вузов. Екатеринбург: Изд-во Урал. ун-та, 2019. С. 70-71.
Простые советы по защите персональных данных
Есть правила, которыми должен руководствоваться каждый при обращении со своими персональными данными для обеспечения их защищенности.
Используйте надежные пароли и регулярно меняйте их ❏. Это касается вашего домашнего wi-fi ❏, ваших личных и корпоративных устройств, учетных записей на сайтах или в приложениях. Рекомендации по созданию надежного пароля легко находятся в интернете. Также рекомендуется использовать двухфакторную аутентификацию для наиболее важных ресурсов ❏: корпоративных приложений, социальных сетей и мессенджеров. Двухфакторная аутентификация представляет собой такой метод аутентификации, при котором используются данные двух типов, например, пара логин-пароль и смс-код. Сохраняйте конфиденциальность ваших паролей, кодов доступа и подтверждения операций.
Научитесь распознавать фишинговые рассылки ❏ и сайты. Избегайте перехода на подозрительные сайты и скачивания подозрительных файлов ❏. Если сомневаетесь, не открывайте письмо, не переходите по ссылкам ❏, не передавайте свои персональные данные. Проблемы информационной безопасности обычно кроются не столько в средствах защиты, сколько в людях. Именно человек оказывается зачастую слабым звеном в механизме защиты, так как именно на него направлены различные инструменты социальной инженерии.
Проявляйте осторожность при предоставлении своих данных. Особенно это касается данных банковских карт, логинов/паролей, основных персональных данных: ФИО, номера телефона, адреса ❏. Прежде чем решить, стоит ли предоставлять ваши данные, сначала хорошо подумайте. Основные мошеннические схемы рассчитаны на необдуманные и опрометчивые решения жертв. Задайте себе несколько вопросов. Кто собирает информацию? Уверены ли вы в его личности? Как она будет обрабатываться? Для каких целей? Не является ли она избыточной? Каковы возможные негативные последствия ее предоставления ❏?
Проверяйте настройки конфиденциальности и рекламы в приложениях и на сайтах, в которые вы входите впервые или которые периодически посещаете. Это же относится и к уведомлению об использовании cookies. Мы обычно бездумно соглашаемся на обработку всех cookies во всех целях, в соответствующем окне-уведомлении, не понимая, что для нашей работы на ресурсе достаточно лишь обязательных технических cookies. Откажитесь от того, что вам действительно не нужно ❏. Настройте ограничения видимости ❏. Часто это можно сделать в соответствующем разделе с настройками приложения или сайта ❏. Управление файлами cookies доступно в настройках браузера ❏.
Создайте почту для рассылок. Для ненужных вам рассылок рекламного характера можете использовать отдельный адрес электронной почты ❏.
Устанавливайте приложения только из проверенных источников ❏. При скачивании приложения вашего банка, медицинской организации или иного приложения, доступ к данным которого может нанести вам существенный ущерб, убедитесь в надежности источника ❏.
Установите надежный антивирус, даже если вы ни разу не сталкивались с вирусным заражением вашего компьютера ❏.
1.
2.
3.
4.
5.
6.
7.
Регулярно обновляйте ПО. Не откладывайте этот вопрос в долгий ящик. Обновления могут устранять дыры информационной безопасности прошлых версий ❏. Помимо решения проблем безопасности обновления программного обеспечения часто содержат улучшения и новые функции ❏.
Блокируйте устройства, если отходите от них. Желательно не оставлять без присмотра устройства, которые вы используете для входа в наиболее важные приложения ❏.
Закрывайте веб камеру на ноутбуке, если она не используется во избежание получения данных о вас программами слежения или удаленного доступа, которые могли случайно попасть на ваш компьютер ❏.
Делайте резервное копирование – чтобы не потерять личную и рабочую информацию старайтесь регулярно, хотя бы раз в год, осуществлять бэкап. Храните материальные носители резервных копий в надежном месте.
Руководствуйтесь надежными источниками информации. Не делайте опрометчивых выводов и публичных заявлений, основываясь на непроверенных, фейковых новостях и дезинформации ❏.
При онлайн покупках проверяйте как сайт, через который вы осуществляете покупку, так и продавца. Посмотрите отзывы. Если цена на товар занижена, спросите себя, чем это обусловлено? Нежелательно платить за товар переводом по карте, лучше использовать соответствующий инструмент для оплаты на сайте. Помните, вы рискуете не только получить контрафактный товар, но и просто потерять свои деньги ❏.
Проявляйте должную степень внимательности и осмотрительности при использовании социальных сетей. Если друг просит у вас взаймы, то подумайте, действительно ли это он, или его аккаунт был взломан? Не публикуйте лишнюю информацию о себе и по возможности ограничьте доступ к своей странице ❏. При публикации контента в социальных сетях постарайтесь остановиться и подумать, кому доступен такой контент, что будет, если он попадет вашему потенциальному работодателю, малознакомым людям, потенциальным злоумышленникам. Спросите согласия перед публикацией изображений или иных персональных данных третьих лиц ❏.
8.
9.
10.
11.
12.
13.
14.
Относитесь бережно к своим персональным данным. Старайтесь не передавать в мессенджерах информацию по банковским картам, чувствительную информацию о себе, даже если мессенджер обеспечивает шифрование. Вы не знаете, кому именно будут пересланы ваши сообщения и кто получит доступ к вашей информации ❏.
При использовании VPN рекомендуется выбирать платные и наиболее надежные сервисы с учетом их блокирования. Прежде чем устанавливать VPN, почитайте про него в интернете, посмотрите обзоры. Не исключена продажа данных вашего трафика ❏.
Осуществляйте и защищайте свои права в сфере персональных данных. Отзывайте вынужденные или ненужные согласия на обработку персональных данных. Не стесняйтесь обращаться в Роскомнадзор при нарушении ваших прав как субъекта персональных данных.
15.
16.
17.
Подкаст «Не для галочки». Сезон 2. Выпуск 2. Цифровая гигиена: как помочь себе и компании. (подробнее).
Get safe online. Changing wireless passwords/SSIDs / (подробнее).
Подкаст «Не для галочки». Сезон 2. Выпуск 2. Цифровая гигиена: как помочь себе и компании. (подробнее).
Паренти Т., Домет Дж. Кибербезопасность. Что руководителям нужно знать и делать. М.: Манн, Иванов и Фербер, 2021. С. 32-34.
Get safe online. Ratting – Remote Access Trojans / (подробнее).
Online safety. ICO website / (подробнее).
Online safety. ICO website / (подробнее).
Online safety. ICO website / (подробнее).
Social media privacy settings. ICO website / (подробнее).
Online safety. ICO website / (подробнее).
Microtargeting. ICO website / (подробнее).
Cookies. ICO website / (подробнее).
Подкаст «Не для галочки». Сезон 2. Выпуск 2. Цифровая гигиена: как помочь себе и компании / (подробнее).
Например: RuStore, App Store, Google Play.
Get safe online. Viruses-and-spyware / (подробнее).
Online safety. ICO website / (подробнее).
Online safety. ICO website / (подробнее).
Get safe online. Software Updates / (подробнее).
Get safe online. Mobile Banking / (подробнее).
Get safe online. Ratting – Remote Access Trojans / (подробнее).
Get safe online. Misinformation & Fake News / (подробнее).
Get safe online. Counterfeit Goods / (подробнее).
Get safe online. Social Networking Sites / (подробнее)
Online safety. ICO website / (подробнее).
Get safe online. Instant Messaging / (подробнее).
Подкаст «Не для галочки». Сезон 2. Выпуск 2. Цифровая гигиена: как помочь себе и компании / (подробнее).
Смоделируем несколько ситуаций, где могли бы пригодиться эти простые советы.
Представленные простые советы по информационной безопасности являются хорошим базовым инструментом для каждого. Постарайтесь запомнить и соблюдать их в точности. Возможно, они спасут ваши данные в будущем.
Вам пришла рассылка о необходимости смены пароля на сайте вашего любимого интернет-магазина. Вы, не задумываясь перешли по ссылке, сменили пароль, заодно решили прикупить себе что-то к новому сезону. Проходит пару дней, а заказ все не доставляют. Вы пытаетесь проверить детали в приложении, но такого заказа нет. В итоге вы потеряли и деньги, и время потому, что не научились различать фишинговые рассылки и сайты.
Вам поступил срочный звонок на мобильный телефон, и вы отвлеклись. Кто-то из коллег решил пошутить над вами, и вашему начальнику отправилось письмо сомнительного содержания. Начальник шутки не оценил и попросил вас впредь не писать ему таких писем. Все произошло потому, что вы забыли заблокировать устройство.
Человек решил продать автомобиль перед банкротством. Несмотря на заключение сделки по купле-продаже автомобиля с подставным лицом, он фактически продолжил пользоваться им. Это было подтверждено его фотографиями из социальной сети. В итоге конкурсный управляющий успешно оспорил сделку, а покупателя обязали вернуть имущество в конкурсную массу должника ❏. Невнимательное отношение к публикуемому контенту повлекло негативные последствия для банкрота.
Определение ВС РФ от 16.03.2021 № 304-ЭС21-1583.
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
- Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
- Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне».
- Гражданский кодекс Российской Федерации.
- Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». М.: Статут, 2021.
- Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М.: Статут, 2020.
- Савельев А.И. Комментарий к Федеральному закону от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и защите информации» М.: Статут, 2015.
- Дмитрик Н.А. Правовая информатика: Учебник. М.: Инфотропик Медиа, 2022. 172 с.
- Вострецова Е.В. Основы информационной̆ безопасности: учебное пособие для студентов вузов. Екатеринбург: Изд-во Урал. ун-та, 2019.
- Паренти Т., Домет Дж. Кибербезопасность. Что руководителям нужно знать и делать. М.: Манн, Иванов и Фербер, 2021.
- Бачило И.Л. Информационное право: учебник для академического бакалавриата. М.: Издательство Юрайт, 2019.
- Подкаст «Не для галочки».
- Телеграмм-канал «Privacy Advocates».
- Информационный портал о событиях в области защиты информации, интернет права и новых технологиях SecurityLab.ru
Проверьте свои знания в области конфиденциальной информации и кибербезопасности.
Эксперты-разработчики курса:
СберБанк
Елена Лукьянцева,
Исполнительный директор Управления правового сопровождения внутрибанковской деятельности
Герман Сабиров,
Руководитель направления правовой защиты данных, IT и интеллектуальной собственности Отдела правового сопровождения IP и технологий Управления правового сопровождения внутрибанковской деятельности Правового департамента Сбера
Юлия Яшкова,
Главный юрисконсульт Отдела правового сопровождения IP и технологий
Таисия Чиркова,
Руководитель направления Управления правового сопровождения внутрибанковской деятельности
СберУниверситет
Ольга Щербакова,
Руководитель Академии финансов и рисков
Татьяна Старокадомская,
Директор проектов Академии финансов и рисков
Поздравляем!
Вы завершили курс «Правовая грамотность»
Вы завершили курс «Правовая грамотность»
Форма обратной связи
Все поля обязательны для заполнения
Комментарий