Вы уверены, что информационная безопасность в компании выстроена?
Есть политика ИБ, регламенты, инструкции, возможно, даже создан проект на систему защиты, все оформлено и подписано. Но на практике это может быть лишь «бумажная» безопасность.
Из практики аудитов можно выделить три ярких симптома одной и той же проблемы: документы не работают в реальной жизни. И это уже не только вопрос законодательства, а вопрос того, есть ли в компании ИБ как процесс.
👉 Симптом 1. Сотрудники игнорируют правила — и это стало нормой
Как это проявляется:
— пароли вроде 123456 или Qwerty123 висят на мониторах;
— коллеги передают друг другу логины и пароли, чтобы быстрее решить задачу;
— сотрудники открывают подозрительные письма и переходят по ссылкам, не понимая, как выглядит фишинг;
— конфиденциальная информация и персональные данные клиентов пересылаются в мессенджерах без раздумий.
В чем проблема:
Регламенты написаны, но не внедрены.
Нет:
— регулярного обучения по ИБ;
— системы контроля соблюдения правил;
— культуры безопасности в компании.
Формально правила есть, но они не стали частью рабочих привычек. Часто документы по ИБ читают один раз при трудоустройстве, и то по диагонали, чтобы быстрее закончить эту рутину от HR.
👉 Симптом 2. Регламенты оторваны от реальности
Как это проявляется:
— в документе написано: «смена пароля каждые 30 дней», но система позволяет использовать тот же пароль, просто добавив цифру в конце (Password2024, Password20241 и так далее);
— регламент требует двухфакторной аутентификации для доступа к критичным системам, но на практике ее включают только для части сотрудников, а топ-менеджмент и тех, кому очень неудобно, не трогают;
— правила созданы «под копирку» из чужих шаблонов, без учета специфики бизнеса и реальных рисков компании.
В чем проблема:
Документы существуют формально, чтобы показать проверяющим. Они не адаптированы под реальные процессы, поэтому сотрудники их либо игнорируют, либо обходят.
👉 Симптом 3. Нет реакции на инциденты
Как это проявляется:
— после ИБ-инцидента, утечки данных или взлома никто не разбирает причины, потому что и так сойдет;
— нет четкого плана действий при инциденте: кто отвечает, кому сообщать, как локализовать угрозу;
— сотрудники либо не знают, к кому обратиться при странной работе системы, либо боятся сообщать о подозрительных событиях, потому что за это могут наказать, а не поблагодарить;
— инциденты фиксируются формально, без анализа корневых причин и мер по предотвращению повторения.
В чем проблема:
Регламенты описывают «идеальный мир», но не дают инструментов для работы в кризисной ситуации. Отсутствие практики устранения инцидентов делает компанию уязвимой к повторным атакам.
ЧТО ДЕЛАТЬ (краткие рекомендации)
1️⃣ Проверять не документы, а практику
Смоделируйте фишинговую атаку, проверьте реальные пароли и посмотрите, как сотрудники реагируют на подозрительные ситуации.
2️⃣ Обучать сотрудников
Регулярно объясняйте базовые правила ИБ и поощряйте тех, кто сообщает о подозрительных письмах или действиях.
3️⃣ Упростить регламенты
Уберите невыполнимые требования, добавьте понятные инструкции для реальных сценариев и согласуйте их с бизнес-подразделениями.
4️⃣ Отработать инциденты
Подготовьте план реагирования, объясните, кому сообщать о проблемах, и проводите учения по типовым сценариям.
5️⃣ Контролировать и улучшать
Внедрите систему мониторинга соблюдения ИБ-правил. Регулярно обновляйте регламенты на основе опыта, новых угроз и изменений во внутренних процессах.
💬 Главное:
Еще ни одна кипа документов не спасла компанию от проблем. Наличие документов по ИБ — это только первый шаг. Настоящая безопасность начинается там, где правила становятся привычкой, а регламенты — рабочим инструментом, а не формальностью.
