?

Log in

No account? Create an account

Блог компании LETA

Посвящен информационной безопасности

Как поведение сотрудников в интернете влияет на репутацию вашей компании
LETA IT-company
letablog

Как известно, работники – лицо компании. Все, что говорят и делают сотрудники организации, так или иначе ассоциируется и с самой компанией. И если следить за тем, чтобы секретари на ресепшн улыбались и вежливо разговаривали с посетителями, а продавцы соблюдали дресс-код, можно сравнительно эффективно, то контролировать поведение всех ваших сотрудников в сети довольно сложно. При этом необходимо помнить о том, что с появлением Интернета и социальных сетей, позволяющих информации распространяться с огромной скоростью, даже самое незначительное высказывание одного человека может оказаться губительным для репутации компании и привести к миллионным убыткам.

Можно привести массу ярких примеров того, как работники дискредитируют своих работодателей:

8 августа на странице Сбербанка в Facebook и Twitter появилась запись "Народный лайфхак: Если на стене мелом написать "Сбербанк", у стены образуется очередь из 30 пенсионерок. Кто пробовал? Работает?". По результатам расследования уволена эксперт по социальным медиа.

Народый LIfehack

Стюардессы авиакомпании Virgin Airlines обсуждали работу в Facebook и, не стесняясь в выражениях, говорили о клиентах, а попутно сообщили всему миру о том, что в самолетах компании водятся тараканы, а двигатели приходится менять несколько раз в год. Все 13 любительниц посплетничать в сети были уволены, а обсуждение удалено со страниц социальной сети, но история попала в прессу и стала достоянием общественности.

Отличились и российские работники авиатранспорта – в январе "Аэрофлот" сообщил об увольнении Не приличный жестненазванной сотрудницы, которая выложила в социальной сети "ВКонтакте" фото с неприличным жестом в адрес пассажиров. Ранее из компании была уволена другая стюардесса за размещение иронического твита по поводу авиакатастрофы лайнера Sukhoi Superjet-100 в Индонезии.

Надо заметить, что такие происшествия случаются в самых разных организациях – высокопоставленный сотрудник администрации президента США, владелец анонимного блога в Twitter, в котором в течение нескольких лет резко критиковал своих коллег по Белому дому и раскрывал подробности работы администрации Обамы.

Впрочем, возможность дискредитировать работодателя остается у работника даже тогда, когда он не находится на рабочем месте и не обсуждает вопросы, связанные с работой.

Учительница английского языкаУчительница английского языка из американской школы Martin County High School English de Florida, которая на досуге занималась модельным бизнесом, разместила свои фотографии в купальниках в Facebook, после чего руководство приняло решение о ее увольнении.
Судья
В день вынесения приговора местным политическим активистам, организаторам «Стратегии-31» в Бурятии Надежде Низовкиной и Татьяне Стецуре, вынесенного судьей Ириной Левандовской, в сеть попали фотографии судьи провокационного характера. Специальная комиссия нашла в действиях Левандовской нарушение норм судейской этики, и полномочия федерального судьи не были продлены.



Удивительно, но нередко в такую ситуацию попадают даже те сотрудники, которые в силу своих должностных обязанностей должны понимать, как рискованны их поступки. Так, в октябре прошлого года пресс-секретарь Росмолодежи Анна Бирюкова сообщила в твиттере, что за 2000 рублей избежала лишения прав и празднует это событие. После разразившегося скандала она заявила, что это была шутка, однако в результате этого происшествия ей пришлось уволиться.

Анна Бирюкова


А в мае 2013 года пресс-секретарь следственного департамента МВД написала на своей странице в Facebook о том, что ей пришлось дать взятку в размере 5 тыс. руб. инспектору ГИБДД для решения проблем при снятии с учета своего автомобиля. Эта история тоже закончилась увольнением.

Бороться с подобными явлениями, безусловно, сложно,  тем не менее рекомендуется организовать проведение следующих профилактических мероприятий:


  1. Первичный отбор сотрудников должен включать не только просмотр резюме, но и профилей (страничек) в социальных сетях, которые могут сказать о сотруднике больше, чем его анкета. Компания может ввести дополнительный пункт в резюме, который должен содержать ссылки на профили в соцсетях потенциального кандидата.

  2. Необходимо ввести политику поведения в социальных медиа, свод правил для сотрудников, среди которых могут быть следующие: не распространять негативную информацию о компании и ее продуктах/услугах, непристойные фотографии и другую информацию, способную нанести вред репутации компании. Если обсуждение идет в рамках сферы деятельности, в которой работает компании, сотрудникам должны пояснять, что любое высказывание должно публиковаться с пометкой «*является личным мнением автора и может не совпадать с официальной позицией компании».

  3. Возможно введение поощрения сотрудников за положительные отзывы о компании, оставленные в Интернет.

  4. Необходимо оперативно обсуждать с коллегами проблемы, возникшие в компании внутри коллектива, не откладывая в долгий ящик, чтобы накопленный негатив не выплеснулся в сеть.

  5. HR-департамент компании должен следить за тем, как ведут себя сотрудники компании в социальных сетях, это может быть периодическое отслеживание публикаций сотрудников на их страничках. В случае обнаружения необходимо оперативно реагировать и просить сотрудника удалить опубликованное им сообщение.


Специалисты повышенной опасности
LETA IT-company
letablog
Новости продолжают радовать специалистов по ИБ: произошла утечка данных о 42 млн. пользователей,  люди до сих пор  используют простые пароли, переходят по ссылкам, присланным через Skype, не соблюдая элементарных правил безопасности, «открывают» двери к своим данным. И если уж отличились даже правительственные структуры США, то что могут сделать сотрудники вашей компании?

Учиться, учиться, и еще раз учиться! (В.И. Ленин)

Чтобы сесть за руль транспортного средства, сначала вы должны отучиться, пройти практику, сдать экзамены и только потом получить заветную карточку, которая позволит вам стоять в многочасовых пробках. Все эти сложные процедуры придуманы не просто так: вы получаете право управления транспортным средством повышенной опасности, и от вашего умения обращаться с ним зависят жизни людей.

Точно так же обстоит дело с информационной безопасностью – сотрудник, работая в компании, несет ответственность не только за выполнение поставленных ему задач, но и за существование организации: ее прибыльность, репутацию, количество клиентов и другие показатели.

Именно поэтому обучение сотрудников самым простым правилам ИБ не стоит откладывать на потом. Весь инструктаж при приеме на работу сводится к прочтению правил и «галочке» в графе «ознакомлен». Хм… Я тоже ознакомлен с правилами дорожного движения, но никто не выдаёт мне водительское удостоверение.

Подозреваю, что «ознакомленный» таким образом сотрудник будет представлять для компании такую же опасность, как человек без навыков вождения за рулем автомобиля на дороге. Но, несмотря на всю очевидность такого сравнения, большинство компаний по-прежнему вручает все свои секреты в руки людей, которые понятия не имеют о самых простых правилах защиты информации.

Одним из выходов было бы обучение и простое тестирование, например, после прохождения испытательного срока и повторение «экзамена» каждый квартал/полугодие для всех сотрудников компании.

В сети можно найти много бесплатных наглядных материалов, которые помогут Вам самостоятельно составить список правил информационной безопасности, провести обучение и тестирование. Хороший пример таких материалов можно найти на странице нашего проекта «Так Безопасно!»

Те незначительные ресурсы, которые придется потратить на обучение персонала, не сравнятся с ущербом, который вы можете понести в случае утечки. Согласно недавнему исследованию, каждая утечка информации в 2012 году обошлась в среднем в 25 млн. долларов. Интересно, какая часть этой суммы была потеряна из-за того, что сотруднику не объяснили, что не стоит переходить по незнакомым ссылкам?

Сайты знакомств - угроза Вашему бизнесу!
LETA IT-company
letablog

Атака на сайт знакомств Cupid Media привела к утечке данных о 42 млн аккаунтов, включая такую информацию, как имена, адреса электронной почты и незашифрованные пароли. В числе тех, чьи персональные данные попали в руки злоумышленников, оказались тысячи сотрудников правительственных организаций США, американских военных и даже несколько десятков работников Министерства внутренней безопасности.

Масштабные утечки информации представляют опасность не только для тех организаций и пользователей, чьи данные попадают в руки злоумышленников. Из-за того, что многие пользователи не соблюдают простейшие правила безопасности и часто применяют один и тот же пароль, риску взлома подвергаются и их аккаунты на других сайтах, включая почтовые порталы и социальные сети. Получив информацию о паролях и адресах, киберпреступники могут атаковать миллионы сайтов по всему миру.

Именно по этой причине после недавней утечки данных из Adobe был закрыт доступ к учетным записям Facebook, в которых использовались совпадавшие пароли. Владельцам таких аккаунтов предлагалось ответить на несколько вопросов, чтобы подтвердить свою личность, а затем сменить пароль.

Для того, чтобы защититься от взлома вследствие подобных происшествий, организации могут применять два способа. Первый – пойти по стопам Facebook, внимательно следить за новостями об утечках, своевременно реагировать на них и проверять попавшие в сеть данные на предмет совпадения адресов и паролей. Второй, представляющийся более эффективным – позаботиться о повышении осведомленности пользователей в вопросах информационной безопасности и, в частности, добиться того, чтобы сотрудники использовали достаточно сложные пароли и не применяли один и тот же пароль для всех случаев жизни.


Инциденты информационной безопасности в России за 3 квартал 2013г.
LETA IT-company
letablog
Инциденты информационной безопасности в России

Скачать исследование

Цель данного обзора – дать общее представление о произошедших за отчетный период утечках данных, DDoS-атаках, взломах сайтов, случаях кибершпионажа, кибермошенничества и других заметных происшествиях в сфере информационной безопасности. Данные об инцидентах взяты из новостных публикаций. Обзор не претендует на полноту охвата и не содержит сведений, полученных из закрытых источников. В нашем обзоре ИБ-инцидентов, произошедших в России в июле-сентябре 2103 года, отмечены 5 случаев утечки данных, 9 случаев взлома, 7 DDoS-атак, 5 эпизодов шпионажа, 7 сообщений о вредоносном программном обеспечении и несколько происшествий, не вошедших в другие разделы.

Содержание исследования

Введение
Уровни опасности инцидентов
Утечки информации
Взломы
DDoS-атаки
Шпионаж
Вредоносное ПО
Другие инциденты
Крупнейшие ИБ-инциденты в мире

Скачать исследование


Доверя, но проверяй!
LETA IT-company
letablog
Сколько бы ни обсуждали темы защиты паролей и утечек информации, сколько бы ни мерились – чей антивирус или dlp-система круче, сколько бы ни спорили, что лучше – во всём этом большом наборе правил, инструкций и программного обеспечения есть одно самое слабое звено – человек!

Будь ваши данные хоть трижды защищены самыми современными системами безопасности, у злоумышленников всегда остается возможность воспользоваться универсальным ключом ко всем вашим замкам – вашей доверчивостью.

Методы и приемы незаконного доступа к информации, основанные на психологии человека, называются социальной инженерией.

Вот некоторые приемы социальной инженерии:

«Помоги ближнему своему» - состоит из 3-ех этапов:

  1. Диверсия – на этом этапе социальный инженер устраивает атаку на ресурсы компании (корпоративная сеть, web-сайт, почта и т.д.), создавая тем самым видимость попытки взлома.

  2. Реклама – на этом этапе “хакер” рекламирует свои услуги как специалиста по информационной безопасности.

  3. «Помощь» – клюнув на удочку, хакер получает доступ к компьютерам компании, и тогда его возможности ограничиваются только его воображением: это и слив информации, и установка реальных программ-шпионов, вирусов и т.п.


В данном приеме пункты 1 и 2 могут изменить порядок, т.е. с вами может познакомиться на какой-нибудь конференции человек, оставить свою визитку и уже потом провести диверсию в надежде на то, что вы обратитесь к нему за помощью.

На моей памяти был интересный случай, о котором мне рассказали друзья из одного крупного интернет-магазина:  к ним приехали специалисты продавать свои услуги, а через неделю была совершена DDoS-атака на сайт магазина.  Возможно, это было просто совпадение, однако ни о каком сотрудничестве с этими ребятами речи дальше и не шло.

«На вражескую территорию» - физическое проникновение на территорию компании. Вариантов может быть много:

  1. Злоумышленник представляется курьером, новым сотрудником, кандидатом, пришедшим на собеседование.

  2. Расчет на готовность оказать помощь ближнему. Мнимый сотрудник, забывший пропуск, или кто-то, несущий тяжелый груз, просит помочь попасть в зону ограниченного доступа.

  3. Преступник невозмутимо следует за входящим в зону ограниченного доступа сотрудником.

Вот еще один пример из жизни: в соседнем офисе случилась кража – пропала крупная сумма. Сначала служба безопасности пустила внутрь неизвестного курьера, а потом сотрудник другой фирмы по своему пропуску выпустил вежливого мужчину, вышедшего покурить и забывшего пропуск.

«На другом конце провода» – злоумышленник представляется сотрудником техподдержки, банка, иногда даже соседнего отдела и просит выполнить несложный набор действий.

  1. Жертве звонит мнимый специалист IT-отдела, и под разными предлогами (плановая смена пароля, системный сбой, обновление ПО и т.п.) просит сообщить ему пароль для доступа к компьютеру.

  2. Звонит сотрудник банка и, рассказывая сказки о невероятных происшествиях с банковской системой, просит сообщить ему любые данные, которые могут быть использованы для осуществления транзакции (номер карты, CVС-код, PIN-код, код подтверждения и т.п.).

  3. Незнакомый коллега из другого отдела просит прислать ему важные файлы для работы.

В сентябре в Калининграде владелице банковской карты позвонил человек, представившийся сотрудником банка, и сообщил ей о том, что последняя транзакция по карте не прошла и баланс будет обновляться. Для обновления баланса нужно было переслать звонившему шестизначный код, пришедший в сообщении от банка. Жертва выполнила все указания, после чего получила SMS об успешно сделанной покупке. Через некоторое время она обнаружила, что денег на счете нет.

BYOD: все своё ношу с собой?
LETA IT-company
letablog
Компания Samsung опубликовала результаты исследования, согласно которым более чем в половине европейских компаний сотрудникам разрешено использовать личные мобильные устройства в рабочих целях.

Использование компаниями модели BYOD (Bring Your Own Device) не только позволяет им сокращать издержки, но и помогает повысить продуктивность работы сотрудников. Однако важно помнить о том, что риск утечки информации многократно возрастает при использовании сотрудниками компании собственных мобильных устройств в рабочих целях. В сравнении с компьютерами корпоративной сети гаджеты больше подвержены риску взлома и заражения вирусами, а главное – их могут потерять или украсть.

Эту угрозу необходимо осознавать не только производителям мобильных устройств и средств защиты. Руководители компаний, работающих по принципу BYOD, тоже могут значительно снизить риск утечки корпоративной информации, действуя одновременно в двух направлениях.

Первое – забота о защите гаджетов с информацией, утечка которой может нанести ущерб компании. Необходимыми мерами безопасности являются установка защитного ПО и возможность удаленного уничтожения данных. Все мобильные устройства, используемые сотрудниками, должны быть защищены паролем и соответствовать требованиям безопасности, предъявляемым к другим устройствам в корпоративной сети.

Второе, гораздо более важное направление – повышение осведомленности сотрудников в вопросах информационной безопасности. К каким бы изощренным и дорогостоящим средствам защиты ни прибегало руководство компании, работники все равно останутся самой легкоуязвимой целью для злоумышленников. Ошибки и небрежность сотрудников могут стоить компании гораздо дороже, чем отказ оборудования или даже деятельность инсайдеров.

Убийцы частной жизни
LETA IT-company
letablog
techmanНу что же дорогой «username», ты живешь в мире hi-tech, в мире социальных сетей. Ты стремишься приобрести себе последние новинки из мира гаджетов – iPhone 5S, Samsung Galaxy, Google Glass (необходимое подчеркнуть). Ты торопишься запостить в instagram  фотографии своих путешествий, котиков, еды. Будущее – вот оно, настало!!! Многим из того, что было придумано фантастами прошлого века, мы пользуемся каждый день, не задумываясь. Это чудо! – и одновременно наше проклятие.

МарионеткаУ тебя нет больше тайн, все твои секреты – достояние общества, государства, спецслужб. Ты всё еще веришь, что у тебя есть своя, только тебе принадлежащая личная жизнь?! ХА!

Всё еще недоумеваешь, откуда у спаммеров твой мобильный телефон и e-mail? Удивляешься, что у любого банка есть твои паспортные данные? Скажи мне твой ID, и я расскажу тебе твою «историю»!

Про пример с поиском информации в соцсетях я уже рассказывал. Сегодня посмотрим на интересные hi-tech новинки 2013 года, которые медленно, но верно убивают нашу личную жизнь.

Touch ID
Купил себе iPhone 5S с функцией Touch ID? Конечно-конечно, она нужна для того, чтобы защитить смартфон от постороннего проникновения. Вот только веришь ли ты заявлениям Apple о том, что биометрические данные будут храниться только в устройстве, а не на серверах компании? После всех скандалов со слежкой АНБ за американскими пользователями ты все еще думаешь, что у спецслужб будут какие-нибудь ограничения на доступ к такой информации?

Google GlassЖдешь появления в продаже Google Glass? Будешь снимать видео/фотоматериалы и «на лету» отправлять их в Сеть 24/7 с перерывами на подзарядку? Все это было бы очень круто, если бы не несколько больших НО: как ты можешь быть уверенным в том, что прошедший рядом пользователь этого гаджета не снял тебя и не отправил медиа-материал с в сеть? Ты всего лишь вышел с симпатичной коллегой на ланч, а вечером дома тебя уже ждет скандал.  И что бы ни говорили представители Google о безопасности, все, что ты увидел через «очки», будет доступно как минимум компании Google и правительственным структурам, а в перспективе – еще и злоумышленникам (все равно ведь устройство рано или поздно взломают).

Выбирай сам, что передать этим прекрасным людям: логины-пароли, коммерческую информацию, номера и пин-коды банковских карт, свое местоположение, всю свою частную жизнь!

Умные часыСбылась мечта! У тебя есть «умные» часы Samsung GALAXY Gear!  Что может быть удобнее – часы сообщат тебе о входящих sms, звонках, e-mail, покажут, кто звонит, помогут ответить или отклонить вызов. Хорошая новинка, скажешь ты? Еще один отличный прибор, чтобы собирать информацию о тебе, скажу я. Обрати внимание на встроенную фото/видеокамеру – это не камера на смартфоне, которая в большинстве случаев находится в кармане или чехле. Эта камера позволит следить за тобой все время, пока ты носишь Samsung GALAXY Gear.

Дорожишь своей личной жизнью?

Включай голову!

При выборе гаджета обращай внимание не только на внешний вид и потрясающие технические характеристики. Всякий раз, покупая что-то новое, задумайся – а что эта штука сможет делать без твоего ведома?


Агенты 007: промышленный шпионаж
LETA IT-company
letablog
shpion2Знаете ли Вы о  том, что заместитель начальника соседнего отдела каждую неделю выпивает с директором по развитию фирмы-конкурента? Что тот, кто заезжает каждый вечер за Вашей новой симпатичной  секретаршей – оперативник ОБЭП? А клининг-менеджер баба Надя, имеющий доступ ко всем кабинетам организации, получает дополнительную зарплату от победителя последних 10 тендеров? Не удивляйтесь, все ваши секреты давно уже раскрыты! Кто-то заполучил их честным путем - в ходе конкурентной разведки, а кто-то недобросовестно – с помощью промышленного шпионажа,  заслав к Вам всех этих «замечательных» людей.

Методы, к которым прибегают конкуренты в ходе промышленного шпионажа – незаконные, к ним можно отнести:

«Откаты» (Взятка)УК РФ Гл. 23, Ст. 204. «Коммерческий подкуп»
Внедрение шпиона УК РФ Гл. 22, Ст. 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»
Принуждение, запугивание - УК РФ Гл. 21, Ст. 163 «Вымогательство»
Слежка, подслушиваниеУК РФ Гл. 19, Ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений»

Сегодняшний пост посвящен «Агентам» которых конкуренты могут завербовать, внедрить самостоятельно, а так же воспользоваться услугами посреднических фирм. «Шпионские игры» – не детские шутки, влекущие за собой как имидживые, так и финансовые потери.

Агенты конкурентов встречаются не только в голливудских детективных фильмах, случаи промышленного шпионажа нередки и в современной России:


Шпионская сеть выявлена на «Уралмашзаводе»
«На заводе «Уралмаш» выявлены факты промышленного шпионажа. В разглашении сведений, составляющих коммерческую тайну, обвиняются сотрудники завода и представители двух фирм. Об это было заявлено в пятницу на брифинге в Управлении ФСБ по Свердловской области

Хлебопека уличили в промышленном шпионаже
«Приговор по необычному уголовному делу вынес суд города Богдановича. Бывшего мастера по хлебопечению местного комбината Наталью Осинцеву признали виновной в промышленном шпионаже. Женщина хотела похитить на родном предприятии... рецепт изготовления булок, за что ее приговорили к выплате штрафа в 13 тысяч рублей.»

Вскрыт факт передачи посторонним лицам конфиденциальной информации о работе одного из предприятий столицы Мордовии.
«В столице Мордовии сотрудниками отдела по борьбе с преступлениями в сфере высоких технологий (Отдела "Р") МВД республики задержана группа лиц, которая незаконно пользовалась конфиденциальной информацией ОАО "Орбита" - одного из крупнейших предприятий города.

Свердловские чекисты поймали россиян, продававших Колумбии промышленные секреты
«В Екатеринбурге осуждены два сотрудника ОАО «Уральский завод гражданской авиации» (УЗГА), которые передавали иностранцам сведения, представляющие коммерческую тайну.»

Работник «Фосагро» осужден за инсайд в пользу иностранных компаний
«Столичная полиция объявила, что начальник отдела продаж одного из российских предприятий по производству минеральных удобрений осужден за разглашение коммерческих тайн, стоивших его компании $2 млн.»

По данным статистики в 9 из 10 компаний были случаи кражи информации, однако огласку получают немногие случаи.

Так, каждый год фиксируется 200-250 происшествий, связанных с незаконным получением или разглашением коммерческой тайны. В действительности число таких преступлений в несколько раз больше.

Отток клиентов, миллионные убытки, потеря репутации – то немногое, что могут оставить после себя предприимчивые «казачки». Есть несколько способов, позволяющих обнаружить и нейтрализовать сотрудников-агентов, а также минимизировать убытки:


  1. Проверка на полиграфе (детектор лжи) – может быть использован при приемке персонала на работу, а также периодической проверки на «вшивость» действующих сотрудников. Данный способ проверки является дорогостоящим, проводится только с письменного разрешения испытуемого.  Современные детекторы лжи довольно сложно обмануть, но для получения достоверных данных необходимо, чтобы тестирование проводил высококвалифицированный специалист.

  2. Наблюдение – самый простой и доступный способ обнаружения недобросовестных сотрудников. Можно использовать системы видеонаблюдения, прослушивать офисные телефоны, а также следить за поведением сотрудников не только на работе, но и при проведении корпоративных мероприятий –как известно, что у трезвого на уме, то у пьяного на языке.

  3. Провокации – если есть серьезные подозрения, что кто-то из сотрудников «сливает» конфиденциальную информацию, можно устроить провокацию. Есть несколько вариантов, в том числе прямая провокация, когда подозреваемому сотруднику подставное лицо делает предложение продать информацию, и намеренное дезинформирование сотрудников с целью подтверждения наличия канала утечки.

  4. Беседа с сотрудниками в ряде случае может помочь выяснить, кто из работников компании может передавать конфиденциальную информацию конкурентам.

  5. Внедрение технических средств обеспечивающих защиту от утечек информации (Data Loss Prevention)


Бизнес – это война, в которой гибнут не люди, но компании. И выигрывает не тот у кого больше войск, а тот кто сумел сохранить свою военную тайну от разведки противника.

На связи LETA!
LETA IT-company
letablog
Читатели блога и посетители нашего сайта задают нам различные вопросы на тему информационной безопасности. Нередко нам присылают интересные вопросы, ответы на которые могут быть полезны широкому кругу читателей. В связи с этим мы решили ввести в нашем блоге регулярную рубрику «На связи LETA». Спрашивайте - info@leta.ru или форма обратной связи.

Вопрос:
Здравствуйте! Некий негосударственный пенсионный фонд начал рассылать своим клиентам сведения об их пенсионных счетах по СМС: \"Уважаемый Имя Отчество, на ваш счет перечислено 5000 р. Общая сумма пенсионных накоплений составляет ХХХХХ руб.\" Как считаете, разве допустимо рассылать конф.сведения, персональные данные по открытым средствам связи? СМС-рассылка это ведь незащищенный канал связи... С уважением, Андрей.

Отвечаем:
Перечисленные данные (имя, отчество, размер последнего перечисления и общая сумма пенсионных накоплений) – являются обезличенными данными (персональными данными, прошедшими процедуру обезличивания), т.е. при получении доступа к таким данным невозможно определить их принадлежность к конкретному субъекту без использования дополнительной информации.
Передача вышеперечисленных сведений не является передачей персональных данных. Соответственно, допустимо осуществлять такую передачу по открытым (незащищенным) каналам связи.

Требования по защите обезличенных данных отсутствуют в НПА по защите персональных данных.

Вопрос:
Имеет ли право работодатель без моего уведомления и письменного согласия на получение моих персональных данных, направлять запросы третьим лицам о получении моих персональных данных - в учебные заведения, в которых я получала документы об образовании?

Отвечаем:
Направлять запросы третьим лицам без вашего согласия и без уведомления вас о данном факте работодатель не имеет права.
Согласно ст. 86 п. 3 Трудового Кодекса РФ все персональные данные работника следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Также требование предоставить субъекту персональных данных информацию об источнике персональных данных в случае, если они получены не от самого субъекта, указано в ст. 18 ч.3 ФЗ-152 «О персональных данных».

«ТАК БЕЗОПАСНО!» - Простые правила информационной безопасности от LETA!
LETA IT-company
letablog
Не рассказывай свой парольДаже если потратить уйму средств и времени на внедрение самых продвинутых средств защиты данных, у вас не будет никаких гарантий того,что ваша конфиденциальная информация находится в безопасности. Результаты всех исследований в области безопасности данных показывают, что основная причина большинства утечек и ИБ-инцидентов – не атаки извне, а ошибки и небрежность персонала.

tak bezopasno!!!Защита информации начинается с соблюдения нескольких простых правил. И никакие технические решения не помогут, если ваши сотрудники не знают, зачем и от кого нужно защищать данные. Поэтому самым простым и при этом максимально эффективным способом укрепления информационной безопасности компании является повышение осведомленности сотрудников в области ИБ. Но как добиться того, чтобы работники знали хотя бы основополагающие принципы защиты информации?

Компания LETA запускает программу «Так безопасно!», цель которой – помочь каждой российской компании сделать важный шаг к укреплению информационной безопасности. В рамках программы мы будем предлагать ИБ-специалистам удобные инструменты, с помощью которых вы сможете, приложив минимум усилий, объяснить важность защиты информации и дать базовые знания в области ИБ каждому работнику в организации – от рядового сотрудника до руководителя.

Участники программы LETA получат возможность бесплатно загрузить графические изображения и программу для установки обучающих заставок на все компьютеры в организации, а также  получить консультацию специалиста и заказать разработку процедур и политик в области ИБ.

Присоединяйтесь к нам и следите за обновлениями!

Подробности на tb.leta.ru