Аудит персональных данных на предмет наличия их в интернет

Аудит персональных данных на предмет наличия их в интернет

Данная статья расказывает Вам о следующем виде сбора и оценки информации —  аудите персональных данных на предмет наличия их в интернет.

аудит информационной безопасностиПопадание во Всемирную паутину информации, которой там быть не должно – крайне неприятная ситуация для любой компании, вне зависимости от её размеров. Для того, чтобы подобная информация не попала в ненужные руки существует аудит безопасности сайта. Но как выяснить, не попала ли конфиденциальная информация в ненужные руки до того, как были приняты меры по усилению безопасности ресурса.

В этом случае на помощь приходит аудит персональных (компрометирующих) данных на наличие их в сети Интернет.

Данная проверка наличия персональных данных  представляет собой процесс поиска и анализа конфиденциальных сведений при помощи средств конкурентной разведки. При этом, в отличие от промышленного шпионажа, используются только открытые и общедоступные источники информации. Поиск осуществляется на форумах, в социальных сетях и блогах, электронных средствах массовой информации, конференциях, гостевых книгах, досках объявлений, файлообменных серверах.

Поиск персональных данных проводится при помощи специализированного программного обеспечения и интернет-поисковиков (google, yandex, rambler, yahoo! и прочих).

Стандартный аудит наличия персональных данных в сети Интернет состоит из пяти этапов:

1) Соглашение о неразглашении, заключаемое перед началом работ между исполнителем и заказчиком;

2) Разработка регламента проведения работ. Основная задача регламента – определить какая именно информация считается конфиденциальной. Кроме того в регламенте указывается состав рабочих групп со стороны исполнителя и заказчика, задачи поиска, ответственность сторон;

3) Собственно сбор данных в сети Интернет в соответствии с разработанным регламентом;

4) Структурирование и анализ информации.

5) Подготовка отчёта. По результатам аудита заказчик получает отчёт, в котором указывается область поиска, где именно и какая конфиденциальная информация была найдена, предположительный источник утечки, рекомендации по устранению (удалению) найденной конфиденциальной информации из общедоступных источников.

пентест картинка

Таким образом, при выполнении всех рекомендаций, выданных аудитором в отчёте по поиску конфиденциальной информации в интернете, заказчик может не только устранить (удалить) информацию из сети Интернет, но и найти дыры в своей системе информационной безопасности. Однако для лучшей защиты своего ресурса следует не останавливаться на аудите наличия персональных данных, а провести полный анализ уязвимостей.