Первый совет по стратегии — сделайте механизмы обеспечения безопасности информации на предприятии неотъемлемым элементом системы функционирования предприятия.
Какие компании должны заботиться о своей защите?
В свете последних событий важно задаться вопросом: насколько необходимо обеспечивать защиту данных для различных предприятий? Согласно аналитическим данным экспертов, за последние годы количество кибератак выросло от 4 до 20 раз, варьируясь в зависимости от отрасли и типа атак. Однако следует отметить, что никто не застрахован от подобной угрозы. Поэтому, безусловно, все предприятия должны придавать большое значение защите информации.
Конечно, безопасность данных на предприятии — это в первую очередь забота владельца. Именно команда владельца в лице руководителей и менеджеров предприятия привлекается для обеспечения безопасности.
Регуляторами в сфере информационной безопасности разработано значительное количество нормативных документов, включая требования по защите значимых объектов критической информационной инфраструктуры (187-ФЗ), персональных данных (152-ФЗ), государственных информационных систем (149-ФЗ) и другие. Бытует мнение, что требования вышеуказанных документов относятся только к (около)государственным предприятиям, что, конечно, далеко от реальности, поскольку ответственность за защиту не зависит от формы собственности или доли владения государством.
Когда и как внедрять системы защиты информации?
Когда же лучше беспокоиться о защите информации на предприятии? Ответ очень простой — чем раньше, тем лучше. Причем независимо от того, в какой стадии развития находится организация. Это может быть текущая деятельность без каких-либо изменений с точки зрения структуры. Или период внедрения новых ИT-сервисов на предприятии, таких как системы формирования отчетности, системы документооборота и другие различные проявления цифровизации.
При внедрении новых для предприятия цифровых сервисов часто возникает ситуация, когда на предприятии возникает конфликт между ИT-специалистами, которые обеспечивают внедрение новых сервисов, и лицами, ответственными за безопасность на этом же предприятии, которые стремятся защищать имеющуюся инфраструктуру и активы компании и неохотно позволяют вносить изменения в текущие процессы. В данном случае практика показала, что внешние специалисты могут обеспечить диалог между противоборствующими сторонами и выработку оптимальных решений, соответствующих требованиям по безопасности информации и осуществляющих необходимый новый функционал.
При проектировании и реализации механизмов защиты информации на предприятии рекомендуем применять отлично зарекомендовавшую себя стратегию — выработать систему, при которой меры информационной безопасности перестанут быть решением частных вопросов, а станут неотъемлемым элементом жизни предприятия.
Первый совет по стратегии — сделайте механизмы обеспечения безопасности информации на предприятии неотъемлемым элементом системы функционирования предприятия.
В качестве антипримеров, иллюстрирующих необходимость системного подхода, можно привести несколько ситуаций, с которыми наши эксперты сталкиваются при проведении аудита информационной безопасности различных предприятий.
Наиболее часто встречающаяся проблема бессистемного подхода — организация сформулировала потребность в применении в составе своей инфраструктуры межсетевых экранов, выбрала самые дорогие и передовые решения, представленные на рынке, закупила и установила их, но при этом сотрудники организации регулярно применяют USB-модемы на рабочих местах для выхода в Интернет в личных целях или для более удобного по их мнению решения рабочих задач. В этом случае применение дорогого и даже правильно настроенного межсетевого экрана теряет весь смысл.
Следующий ошибочный подход при внедрении — применение шаблонных организационно-распорядительных документов, отражающих вопросы защиты информации на предприятии. Необходимо, чтобы внутренние документы отражали конкретное состояние дел на вашем предприятии. Без серьезной переработки применительно к вашему предприятию шаблонные меры в большинстве случаев не работают.
Второй совет — при обеспечении безопасности данных необходимо всегда «приземлять» требования нормативных документов и типовых концепций к реалиям конкретного предприятия.
Шаги внедрения. Первые шаги — важная отправная точка
В чем же заключается системный подход? Вне зависимости от текущего состояния вопросов защиты...