Безопасность на всех слоях: как правильно внедрять политику ИБ и пройти любые проверки

Когда дело доходит до информационной безопасности, недостаточно просто установить фаервол и внедрить пароли с помощью СМС. Речь про целостное выстраивание процессов, которые должны заработать на всех направлениях — техническом, юридическом и человеческом. Cyber Media разбирает, с чего начать, на что обратить внимание при внедрении политики ИБ и насколько тщательно нужно готовиться к проверке со стороны регуляторов.

Какие ошибки совершают при создании политики ИБ

Когда дело доходит до написания политики информационной безопасности, ошибки случаются даже у опытных команд. Чаще всего все концентрируется вокруг нескольких типовых провалов:

• Излишне общий подход. Когда правила написаны так расплывчато, что никто толком не понимает, что имеется в виду.
• Недостаточная вовлеченность топ-менеджмента. Когда руководство говорит «это все нужно специалистам по безопасности», правила теряются на всех других уровнях организации.

Эти «скалы» можно обойти, если с самого старта правильно расставить акценты. Все начинается с простой и точной формулировки правил — нужно говорить ясно и однозначно, чтобы каждый сотрудник знал, что делать и когда.

Максим Глущенко

Консультант отдела риск-менеджмента кибербезопасности Infosecurity (ГК Softline)

Одна из главных проблем — создание политики «для галочки». Например, компании часто разрабатывают документы только для получения сертификата ISO 27001 или проверки регулятора. Такой подход превращает политику в набор абстрактных правил, которые не влияют на реальные процессы. Чтобы исправить это, важно интегрировать положения политики в ежедневные операции: внедрить процедуры контроля доступа, настроить инцидент-менеджмент, регулярно обновлять документ с учетом новых угроз и изменений в бизнесе.

Вторая распространенная ошибка — игнорирование специфики компании. Политика, скопированная из шаблонов или у конкурентов, не учитывает отраслевые риски. Например, для банка критична защита финансовых данных, а для IT-стартапа — сохранность интеллектуальной собственности. Чтобы политика стала эффективной, перед ее разработкой необходимо провести анализ бизнес-процессов и угроз, а также добавить разделы, релевантные для конкретной сферы, такие как соблюдение 152-ФЗ для работы с персональными данными.

Третья проблема — чрезмерная детализация. Некоторые компании пытаются описать в политике технические процессы (управление уязвимостями, настройка брандмауэров), что делает документ громоздким и непрактичным. Вместо этого политика должна содержать общие принципы, например, «компания обеспечивает регулярное обновление ПО», а детали — выноситься в отдельные регламенты, стандарты или инструкции.

Правильно выстроенная политика ИБ помогает защищать главные активы компании, сохранив устойчивость даже при новых угрозах. Эти правила должны работать на всех, позволяя людям концентрироваться на задачах, а бизнесу — спокойно расти.

Какие требования должны быть у эффективно выстроенной политики ИБ

Когда политика информационной безопасности написана правильно, с ней проще работать специалистам. Она играет роль точной инструкции, позволяющей людям понимать, что нужно делать и на чем концентрировать внимание.

Дмитрий Овчинников

Архитектор информационной безопасности UserGate

Эффективная политика информационной безопасности должна учить пользователей бережно относиться к использованию информационных систем и корпоративной информации. Сотрудник компании, читая политику ИБ, должен предельно ясно понимать, какая информация является чувствительной и какие действия недопустимы. В политике ИБ должно быть четыре основных пункта:

1. Назначение политики: с описанием зачем она нужна и для чего.
2. Категоризация информации: с понятным описанием того, что важно, а что — нет.
3. Принципы работы с информацией и возможные угрозы. 
4. Политика должна содержать описание типовых действий пользователя, которые он обязан совершить, если есть угроза (мнимая или реальная) безопасности информации.

Здесь я привел самый минимальный набор тех требований, без которых политика не будет выполнять своего назначения. 

Не стоит делать правила слишком расплывчатыми: они должны быть точными и покрывать все, что влияет на информационную безопасность компании. В такой политике следует прописать:

• правила применения паролей, например, минимальная длина и сложность;
• способы контроля прав доступа, например, кто и на чем имеет права администратора;
• правила работы с персональными данными, например, правила передачи и хранения информации.

Виктор Колюжняк

Исполнительный директор UDV.Security, UDV Group

Основные требования к эффективной политике: первое — реалистичность и применимость — политика должна быть выполнимой и адекватной реальной деятельности компании. Слишком жесткие требования политики могут снизить эффективность работы и вызвать сопротивление. Баланс нужен во всем.

Второе требование — актуальность. Внешние и внутренние факторы воздействия на компанию постоянно меняются, поэтому ее пересмотр должен быть не только раз в год, но и при изменениях в окружающей компании среде.

Ну и, конечно, поддержка со стороны руководства является обязательным требованием к политике.

Поэтому эффективно выстроенная политика всегда учитывает потребности бизнеса, структуру компании и уровень зрелости процессов. Она концентрируется на главном, позволяя людям эффективно защищать информацию, при этом спокойно заниматься своей работой.

Как вовлечь персонал и превратить правила из препятствий в преимущества

Когда правила информационной безопасности спускают людям «сверху», сотрудники концентрируют внимание на ограничениях, а не на преимуществах. Все кардинально меняется, если вовлечь персонал в процесс и дать ему ощутить свою роль в общей защите.

Начать следует с обучения — нужно просто и ясно объяснить, насколько правила помогут сохранить бизнес, репутацию компании и спокойствие всех работников. Когда люди поймут, что информационная безопасность касается напрямую каждого, правила станут для них средством защиты, а не препятствием.

Лев Палей

Директор по информационной безопасности, Вебмониторэкс

Правила информационной безопасности — это в любом случае ограничения. Вообще, заставлять человека достаточно трудно и малоэффективно. Лучше мотивировать. Для этого необходимо сделать эти правила реально исполнимыми для работников и достаточно простыми. То есть, облегчить путь. А если его все же необходимо усложнить, то это должно быть хотя бы не чрезмерно. Это первая часть.

Вторая — это мотивировать собственным примером. То есть, правила должны выполняться, в том числе и «капитаном корабля», а также всеми его заместителями.

Третья — напоминать об этих правилах и подтверждать наличие контролей по этим правилам. Тут важно не только напоминать само содержание принятых правил, но и не забывать доносить, что будет, если их не соблюдать.

Не помешает внедрить и практические меры вовлечения, например, геймификацию. Рейтинги, звания, поощрения людям, которые отлично справились с тестом на фишинг или вовремя заметили подозрительные действия, помогут превратить правила из скучной обязанности в своего рода командное соревнование. Когда сотрудники получают похвалу и бонус за свою активность, отношение кардинально смещаются с «это препятствие» на «это преимущества для всех».

Как правильно подготовиться к проверке регуляторов

Политика компании в области ИБ призвана не только усилить защиту данных и информации, но и упростить подготовку к проверкам со стороны регуляторов. Когда на подходе аудиторы, главная задача — не паниковать, а тщательно все привести в порядок.

Михаил Спицын

Киберэксперт компании «Газинформсервис»

Как подготовиться к проверке регуляторов? Всегда надо быть к ней готовым. Это ключ к тому, чтобы все документы и процессы соответствовали актуальным требованиям законодательства и стандартов. Убедиться, что все регламенты, инструкции и процедуры по ИБ действительно существуют и соответствуют текущим требованиям (если применимо). Особое внимание — парольная политика, политики по доступу к критичным системам, порядок хранения и шифрования персональных данных.

Начните с главного — проверьте наличие всех необходимых процессов и документации. Аудиторы должны увидеть, что правила существуют не только на бумаге, но и работают на практике. Важно, чтобы вся документация, например, правила применения паролей и контроля прав, былa на месте и соответствовала вашим задачам. Реестр событий информационной безопасности также должен быть заполнен правильно: с подробными датами, действиями и результатами. Эти записи подтверждают, что вы все мониторите и вовремя реагируете на угрозы.

Алексей Осипов

Руководитель направления экспертный аудит, QSA-аудитор Compliance Control

В рамках подготовки к проверкам регуляторов хорошо изучите требования того или иного нормативного документа, проведите внутренний аудит, узнайте свои слабые и сильные стороны. Исправьте все выявленные замечания и подготовьте план действий на случай выявления несоответствий в ходе проверки. Не стоит воспринимать регулятора или стороннего аудитора, как врага, будьте открыты к сотрудничеству, ведь у вас общая цель — повысить общий уровень ИБ.

Чаще всего аудиторы просят подтвердить, что правила внедряются на всех направлениях, персонал с ними ознакомлен и следует им на практике. Их смущает, когда записи событий заполнены с пробелами, меры контроля недостаточно проанализированы, а сотрудники просто не владеют информацией о правилах. Когда все построено правильно, такого просто не бывает, и компания успешно пройдет даже самый тщательный аудит.

Заключение

Грамотно выстроенная политика информационной безопасности — главная опора защиты компании. Она помогает избегать рисков, вовлекает персонал и позволяет спокойно пройти любой аудит.

Не позволяйте правилам стареть на бумаге: регулярно пересматривайте и дорабатывайте политику с учетом новых угроз и задач бизнеса. Внедряйте обучение, проводите внутреннюю геймификацию и сохраняйте документацию в порядке. Эти меры помогут выстроить устойчивую и эффективно работающую систему безопасности.