Концепция мер защиты информации подразумевает обеспечение комплексной защиты данных от их нелегитимного использования. Она включает в себя все аспекты: от организации доступа сотрудников к конфиденциальным данным до используемых технических решений.
Меры обеспечения ИБ подразделяются на три большие группы:
Каждая из них имеет свои сложности как с позиции бизнеса, так и с позиции работы ИБ-специалистов. Остановимся на каждой составляющей подробнее.
Административные меры защиты информации – это уровень управленческих решений. Любая компания попадает на него одним из двух путей:
Важнейшее значение на данном этапе имеет понимание руководства компании относительно того, зачем бизнесу, который уже работает и приносит деньги, информационная безопасность. Если этого понимания нет – велик риск, что организация подойдет к выработке мер защиты формально.
Сергей Морозов
Эксперт-аналитик компании 1984 GROUP
На самом деле, такие случае не то что нередки, они очень часты. Многие считают, что проблема с защитой информации их не коснется, потому по-быстрому забывают о какой-либо защите в принципе, думая, что и так сойдет. Бездумно копируя политику обработки ПД и тд, организации забывают важную вещь — их процессы внутри и снаружи могут отличаться от процессов описанных в скопированном варианте, а потом мы видим всевозможные утечки или утерю данных даже внутри организации (да, бывает и такое).
Что более страшно, это проблемы с законом. Невозможность доказать невиновность в суде по той или иной причине. Например, из-за воровства данных сотрудниками внутри компании или утечки данных клиентов в свободный доступ, что может возложить на компанию огромный репутационный ущерб или же огромные финансовые затраты на борьбу с исками клиентами.
Рассмотрим на примере. В основе организации ИБ любой компании лежат три принципа: доступность, конфиденциальность и целостность. Для бизнеса – это просто слова.
Но их можно адаптировать следующим образом:
Понимание того, что меры обеспечения информационной безопасности, это не требование и не тренд, а жизненная необходимость самой компании – ключ к минимизации сложностей на этом этапе. Но после определения необходимости в защите инфраструктуры возникают другие сложности, связанные со следующим этапом.
После того, как решение о разработке и внедрении мер информационной безопасности принято, возникает необходимость в теоретико-правовой основе, которая состоит из двух компонентов:
Важный аспект, который часто остается на втором плане в рамках организационных мер – это разъяснительная работа с сотрудниками компании. Человеческий фактор в ИБ играет важную роль. По данным «Лаборатории Касперского», количество кибератак с использованием социальной инженерии уже в 2020 году выросло на 147%, и продолжает расти.
Причина этого – низкий уровень «цифровой гигиены» у населения в целом. Об этом говорит тот факт, что Минцифры, совместно с СПбГУТ, «РТК-Солар» и АНО «Диалог Регионы», запустили программу повышения киберграмотности россиян.
Один из частных случаев, с которым сталкиваются безопасники «на местах» – это слабые пароли. И решить ее можно только путем разъяснительной работы, никакие другие методы не будут эффективны.
Например, регламент подразумевает, что пароль пользователя должен состоять минимум из восьми знаков, с использованием цифр и специальных символов. При этом – обновляться раз в месяц.
Сотрудник, которому разъяснены причины, по которым пароль должен быть сложным, а еще лучше – принципы мнемонического запоминания, сможет на основе этих вводных создать сложный пароль. Человек, который всего этого не знает, может ограничиться порядком: january2022!, february2022!, march2022! и тд.
При качественной проработке юридических аспектов и эффективной работе с сотрудниками большинства проблем на этом этапе получится избежать.
Технические меры защиты – это этап интеграции софта и «железа» в бизнес-процессы компании. Для бизнеса он одновременно самый простой и самый трудный:
Евгений Родыгин
Эксперт по информационной безопасности компании Киберпротект
Прежде всего необходима оценка объемов деятельности и целей в области ИБ. Для этого следует обратиться в одну или несколько компаний-интеграторов, оказывающих услуги по полному циклу обеспечения информационной безопасности. Провести консультации по видам деятельности компании, рискам для бизнеса, требованиям законодательства и регуляторов по ИБ. Сформировать цели для компании в области ИБ и запросить коммерческие предложения у компаний-интеграторов с обоснованием необходимости выполнения тех или иных работ и этапов работ.
Как правило, такой подход позволяет осознать и выработать подход к поэтапному формированию деятельности по информационной безопасности компании. Вариантов масса: от реализации ИБ в режиме «всё сами» до специфических гибридных подходов с привлечением внешних сервисов и услуг.
Меры и средства защиты информации на российском рынке представлены в достаточном количестве, даже после ухода иностранных вендоров. В то же время, риск нарваться на некачественного интегратора минимален. Скорее всего, выбор будет стоять между просто хорошей компанией и хорошей, но еще и именитой.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться