Защита информации является одной из главных потребностей цифровой эпохи. Несмотря на то, что это комплексное мероприятие, в большинстве организаций она реализуется только в формате установки и настройки технических средств. Забывая о необходимости принятия организационных мер, компании и учреждения существенно снижают эффективность защиты своих данных. Рассмотрим ключевые проблемы, возникающие при реализации организационных мер по защите информации, а также возможные пути их решения для обеспечения надёжности и конфиденциальности данных.
1. Что такое защита информации?
Защита информации – это комплекс мер, направленных на достижение определённого уровня информационной безопасности. Это процесс принятия мер для обеспечения конфиденциальности, целостности и доступности информации с целью предотвращения несанкционированного доступа, использования, изменения или уничтожения информации. Он включает в себя правовые, организационные и технические меры. Только эффективное сочетание всех мер помогает обеспечить надёжную защиту информации в организации. Но в этой статье остановимся на организационных мерах по защите информации.
2. Организационные меры по защите информации
Организационные меры по защите информации – это набор процедур, политик, практик и правил, которые внедряются в организации для обеспечения безопасности информации. Эти меры помогают защитить информационные системы, сети и ресурсы от внутренних и внешних угроз, таких как несанкционированный доступ, утечка данных, вирусы, атаки и другие формы киберпреступлений.
Организационные меры реализуются через принятие локальных документов, которые регламентируют вопросы обработки и защиты информации. Они неотделимы от правовых мер, которые подразумевают принятие ряда нормативно-правовых актов на государственном уровне. Локальные правила основываются на федеральном, региональном законодательстве, ведомственных требованиях и практиках. Основные организационные меры защиты информации включают: разработку и внедрение политики информационной безопасности, которая устанавливает основные принципы, стандарты и требования к управлению информационными активами; обучение и осведомлённость сотрудников о важности информационной безопасности и правилах работы с конфиденциальной информацией; регулярное проведение аудита и оценки безопасности информационных систем, сетей и ресурсов и др.
В любой деятельности неизбежно возникают сложности, требующие решения. Чтобы эффективно их решать, необходимо применять системный подход, анализировать причины их возникновения и разрабатывать оптимальные стратегии их преодоления. Поэтому предлагаем подробнее рассмотреть проблемы, возникающие при реализации организационных мер по защите информации, и пути их решения.
3. Проблемы, возникающие при реализации организационных мер по защите информации
1 проблема. Большое количество федеральных нормативно-правовых актов
Защита информации базируется на федеральном законодательстве. В первую очередь, это Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Кроме федеральных законов, принято огромное количество иных НПА: указов Президента РФ, постановлений и распоряжений Правительства РФ, приказов органов, регулирующих вопросы информационной безопасности (ФСБ России, ФСТЭК России, Роскомнадзора, Центрального банка, федеральных отраслевых министерств), государственных стандартов, которые организации должны учитывать в своей деятельности.
Во-первых, нужно понимать, что они есть, во-вторых, их нужно знать. Большое количество НПА, на изучение которых требуется время, – это достаточно острая проблема.
2 проблема. Изменение нормативно-правовых актов
Вторая проблема вытекает из первой – нормативно-правовые акты часто изменяются. Это логично, правильно и понятно. Почему? Потому что информационные технологии – это сфера, которая стремительно развивается в современном мире. Вопросы защиты информации должны поспевать за развитием цифровых технологий, а нормативная база – меняться достаточно быстро.
3 проблема. Противоречивость позиций государственных регуляторов
Государственные регуляторы – ФСБ России, ФСТЭК России, Роскомнадзор в части персональных данных и др. – трактуют законодательство и контролируют правильность выполнения его требований в организации. У этих органов в федеральных округах или регионах существуют свои управления, руководство которых может по-разному трактовать вопросы по защите информации. Поэтому необходимо не просто понимать законы, но и знать, какую позицию относительно тех или иных требований законодательства имеет местный регулятор в этой сфере.
Мало того, что позиции разные, так они ещё и спустя время пересматриваются. Например, три года назад Роскомнадзор считал, что фамилия, имя и отчество без каких-либо дополнительных данных не являются персональными данными. Основная причина заключалась в том, что существуют полные тёзки и только лишь по Ф. И. О. невозможно установить конкретного человека. Сейчас регулятор поменял свою точку зрения и относит их к персональным данным, которые необходимо защищать. Поэтому надо находиться на связи с регулятором: посещать дни открытых дверей, направлять обращения, звонить и т. п.
4 проблема. Неопределённость положений нормативно-правовых актов
К сожалению, очень часто в нормативно-правовых актах не указано, что конкретно нужно сделать. Например, в законе сказано, что в отношении каждой категории персональных данных необходимо определить цель обработки, но как это сделать: в формате таблицы или просто текстом − не написано. И таких нюансов в законодательстве немало, что увеличивает трудозатраты ИБ-специалистов.
5 проблема. Сложность языка нормативно-правовых актов
Сложность заключается в том, что они написаны одновременно юридическим и техническим языком. Специалист по информационной безопасности организации должен разбираться в обоих. Как правило, таких специалистов очень мало не только в регионе, но и в масштабе всей страны.
6 проблема. Расхождения во внедрении и соблюдении нормативно-правовых актов в подведомственных организациях
В каждом регионе есть органы власти, организации, у которых в подчинении находятся другие юридические лица, так называемые подведомственные организации. К подведомственным также можно отнести филиалы компаний, дочерние зависимые общества и др. В любой структуре, где существует головная и дочерние организации, встают вопросы централизованной организации процессов защиты информации – в формате внедрения единой политики. Но есть одно «но»: в большинстве случаев в разных курируемых организациях требования законодательства выполняются по-разному. Чтобы избежать нехорошего разнообразия способов и методов решения одной и той же проблемы, головная организация должна вырабатывать, формировать и транслировать единую политику в области защиты информации на всю сеть учреждений.
Если нет единой политики, контролировать правильность выполнения требований законодательства при большом количестве подведомственных организаций практически невозможно.
7 проблема. Изменение технической инфраструктуры
Любые изменения в IT-инфраструктуре организации, такие как появление нового сервера либо рабочего места, изменение действующих рабочих мест, ввод, вывод из эксплуатации или модернизация информационных систем и др., должны отражаться во внутренней организационно-распорядительной документации.
Но широко распространены ситуации, когда организации разрабатывают регламентирующую документацию один раз, а дальше её не актуализируют либо актуализируют очень редко. Естественно, регламенты, не соответствующие действительности, не работают и не способствуют достижению уровня информационной безопасности.
8 проблема. Кадровые перестановки
Более 80% киберинцидентов связаны с ошибками сотрудников организации. Любые кадровые изменения влияют на информационную безопасность. Во-первых, каждый новый сотрудник несёт с собой свой уровень квалификации и понимания безопасности, что может создавать уязвимости в системе. Во-вторых, изменение в составе персонала может привести к разглашению информации или несанкционированному доступу к ней со стороны уволенных работников. Наконец, кадровые изменения также требуют регулярного обновления доступов и привилегий для обеспечения соответствующего уровня защиты данных. Поэтому деятельность сотрудников, получающих доступ к информационным системам, должна быть чётко регламентирована.
9 проблема. Дефицит специалистов в области защиты информации
Огромное количество организаций в России испытывают острую нехватку высококвалифицированных профильных специалистов по защите информации. В этом случае они вынуждены передавать вопросы информационной безопасности непрофильным специалистам. Это ведёт к тому, что фактически ответственный за ИБ в организации есть, но толку от него нет.
Стоит отметить, что даже профильный специалист должен и обязан свои знания поддерживать в актуальном состоянии: проходить периодическое переобучение или повышение квалификации. И делать это не формально, а реально. В противном случае специалист перестаёт быть специалистом с необходимым уровнем компетенции.
10 проблема. Отсутствие времени и желания заниматься заполнением документов
Основная задача технических специалистов по защите информации заключается в обеспечении результативной безопасности, поэтому у них нет ни времени, ни желания заниматься актуализацией документов, регламентирующих деятельность внутри организации. Но надо понимать, что в основе технической защиты лежат регламенты и требования. Если базовые требования не выполняются, системы безопасности не будут работать либо будут работать очень неэффективно.
11 проблема. Финансовая проблема
Внутреннюю организационно-распорядительную документацию можно разработать самостоятельно, а можно обратиться к интеграторам, имеющим соответствующие лицензии для работы в сфере информационной безопасности. Но надо быть готовыми к тому, что эти услуги достаточно дорогие и при этом часто становятся одноразовыми, так как документацию надо поддерживать в актуальном состоянии.
4. Решение проблем, возникающих при реализации организационных мер по защите информации
Чтобы решить этот пул проблем, НПЦ «Кейсистемс – Безопасность» ещё в 2014 году разработал и развивает одно из приложений экосистемы «Альфа» АльфаДок. Оно помогает:
− разгрузить специалистов по защите информации;
− поддерживать свой уровень компетенции в сфере нормативно-правовых актов на актуальном уровне;
− самостоятельно выполнять требования по защите информации в части организационных мер;
− контролировать эффективность и правильность выполнения технических мер;
− планировать деятельность и непосредственно её реализовывать.
АльфаДок – это то, что несёт в себе очень высокую операционную ценность и является реальным настольным инструментом для специалиста по защите информации в каждой организации.
