Защита данных в ИТ-проектах: как ФТО обеспечивает безопасность и доверие клиентов

Персональные данные: зоны ответственности и подход к работе

При работе с персональными данными важно корректно определить роли сторон. В большинстве проектов именно заказчик является оператором персональных данных – например, в отношении данных своих сотрудников. ФТО, выступая подрядчиком, получает доступ к таким данным исключительно в рамках выполнения проектных задач и действует в пределах согласованной зоны ответственности. Мы официально уведомили Роскомнадзор о статусе оператора персональных данных и внедрили необходимые локально-нормативные акты, регулирующие работу с информацией.

При обработке персональных данных, полученных в ходе исполнения договоров с заказчиками, мы обязуемся соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» и несем установленную законом ответственность за несоблюдение конфиденциальности и безопасности данных. Доступ к персональным данным заказчика получают только те специалисты, которым это необходимо для выполнения задач проекта. Они

В компании назначены ответственные за обработку персональных данных и за информационную безопасность, а сами процессы регулярно проходят внутренние проверки. Это позволяет поддерживать их в актуальном состоянии и своевременно выявлять потенциальные риски.

Таким образом, обработка данных строится на трех базовых принципах:

• доступ только при наличии производственной необходимости
• соблюдение требований законодательства
• защита данных в рамках зоны ответственности подрядчика

Коммерческая информация: договорные гарантии и контроль

Помимо персональных данных, в рамках проектов ФТО работает с конфиденциальной коммерческой информацией клиентов. Наша ответственность по ее защите закрепляется на уровне договора об оказании услуг.

В процессе переговоров о заключении договора или перед подписанием основного договора мы подписываем NDA (соглашение о конфиденциальности) с каждым заказчиком. Мы обязуемся не разглашать ставшие известными нам сведения о клиенте, включая конфиденциальную информацию и коммерческую тайну. В NDA может быть предусмотрена ответственность за разглашение конфиденциальной информации (например, штраф или возмещение убытков, если вина будет доказана). Мы всегда готовы обсуждать отдельные условия NDA и идти на встречу заказчику.

Внутри компании требования конфиденциальности транслируются на уровень сотрудников. Все специалисты, работающие с данными клиентов, подписывают соответствующиесоглашения о неразглашении. За нарушение режима конфиденциальности сотрудник может быть привлечен к дисциплинарной ответственности вплоть до увольнения, а в случаях, предусмотренных законом, — к материальной или гражданско-правовой ответственности. Такой подход позволяет обеспечить не только формальное соблюдение требований, но и реальный контроль за обращением с информацией.

Система информационной безопасности: регламент и практика

В основе всех процессов лежит система информационной безопасности, выстроенная на основании внутреннего Регламента информационной безопасности.
Этот регламент распространяется на все виды информации, с которыми работает компания – от персональных данных до служебной и конфиденциальной информации – и охватывает весь жизненный цикл данных: от получения и обработки до хранения и передачи.
Реализация требований регламента находится в зоне ответственности ИТ-подразделения, которое обеспечивает как техническую, так и организационную составляющую безопасности.
Ключевой принцип, на котором строится система, – это минимально необходимый доступ. Нарушение требований Регламента информационной безопасности влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Управление доступами: контроль на всех уровнях

Практическая реализация принципа минимального доступа начинается с управления учетными записями и правами пользователей.
Доступы предоставляются по согласованию с руководителями и, при необходимости, с заказчиком. При этом каждая учетная запись является уникальной и закрепляется за конкретным пользователем – передача учетных данных запрещена.

В компании действует строгая парольная политика. Для критически важных систем и привилегированных учетных записей применяется многофакторная аутентификация. Она же используется для удаленного доступа к корпоративной инфраструктуре.

Технологическая защита и инфраструктура

Организационные меры дополняются технологическими средствами защиты. В инфраструктуре ФТО используется комплекс решений, который обеспечивает базовый и расширенный уровни безопасности.

Доступ к инфраструктуре клиентов, как правило, организуется с их стороны и в соответствии с их политиками безопасности. При работе с облачными решениями используются как внутренние меры защиты, так и механизмы безопасности, предоставляемые облачными провайдерами.

Мониторинг, аудит и работа с уязвимостями

Поддержание безопасности – это не разовое действие, а непрерывный процесс. В ФТО он включает регулярный аудит и системную работу с уязвимостями.
Внутренние проверки проводятся на регулярной основе, а внешние аудиты – не реже одного раза в год. Дополнительно реализованы процессы мониторинга и выявления потенциальных угроз.
Если выявленные риски затрагивают инфраструктуру клиента, информация передается ответственным лицам, а дальнейшая коммуникация ведется через назначенных представителей со стороны проекта.