1. Что такое защита информации?
2. Организационные меры по защите информации
3. Проблемы, возникающие при реализации организационных мер по защите информации
4. Решение проблем, возникающих при реализации организационных мер по защите информации
1. Что такое защита информации?
Защита информации – это комплекс мер, направленных на достижение определённого уровня информационной безопасности. Это процесс принятия мер для обеспечения конфиденциальности, целостности и доступности информации с целью предотвращения несанкционированного доступа, использования, изменения или уничтожения информации. Он включает в себя правовые, организационные и технические меры. Только эффективное сочетание всех мер помогает обеспечить надёжную защиту информации в организации. Но в этой статье остановимся на организационных мерах по защите информации.
2. Организационные меры по защите информации
Организационные меры по защите информации – это набор процедур, политик, практик и правил, которые внедряются в организации для обеспечения безопасности информации. Эти меры помогают защитить информационные системы, сети и ресурсы от внутренних и внешних угроз, таких как несанкционированный доступ, утечка данных, вирусы, атаки и другие формы киберпреступлений.
Организационные меры реализуются через принятие локальных документов, которые регламентируют вопросы обработки и защиты информации. Они неотделимы от правовых мер, которые подразумевают принятие ряда нормативно-правовых актов на государственном уровне. Локальные правила основываются на федеральном, региональном законодательстве, ведомственных требованиях и практиках. Основные организационные меры защиты информации включают: разработку и внедрение политики информационной безопасности, которая устанавливает основные принципы, стандарты и требования к управлению информационными активами; обучение и осведомлённость сотрудников о важности информационной безопасности и правилах работы с конфиденциальной информацией; регулярное проведение аудита и оценки безопасности информационных систем, сетей и ресурсов и др.
В любой деятельности неизбежно возникают сложности, требующие решения. Чтобы эффективно их решать, необходимо применять системный подход, анализировать причины их возникновения и разрабатывать оптимальные стратегии их преодоления. Поэтому предлагаем подробнее рассмотреть проблемы, возникающие при реализации организационных мер по защите информации, и пути их решения.
3. Проблемы, возникающие при реализации организационных мер по защите информации
1 проблема. Большое количество федеральных нормативно-правовых актов
Защита информации базируется на федеральном законодательстве. В первую очередь, это Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Кроме федеральных законов, принято огромное количество иных НПА: указов Президента РФ, постановлений и распоряжений Правительства РФ, приказов органов, регулирующих вопросы информационной безопасности (ФСБ России, ФСТЭК России, Роскомнадзора, Центрального банка, федеральных отраслевых министерств), государственных стандартов, которые организации должны учитывать в своей деятельности.
Во-первых, нужно понимать, что они есть, во-вторых, их нужно знать. Большое количество НПА, на изучение которых требуется время, – это достаточно острая проблема.
2 проблема. Изменение нормативно-правовых актов
Вторая проблема вытекает из первой – нормативно-правовые акты часто изменяются. Это логично, правильно и понятно. Почему? Потому что информационные технологии – это сфера, которая стремительно развивается в современном мире. Вопросы защиты информации должны поспевать за развитием цифровых технологий, а нормативная база – меняться достаточно быстро.
3 проблема. Противоречивость позиций государственных регуляторов
Государственные регуляторы – ФСБ России, ФСТЭК России, Роскомнадзор в части персональных данных и др. – трактуют законодательство и контролируют правильность выполнения его требований в организации. У этих органов в федеральных округах или регионах существуют свои управления, руководство которых может по-разному трактовать вопросы по защите информации. Поэтому необходимо не просто понимать законы, но и знать, какую позицию относительно тех или иных требований законодательства имеет местный регулятор в этой сфере.
Мало того, что позиции разные, так они ещё и спустя время пересматриваются. Например, три года назад Роскомнадзор считал, что фамилия, имя и отчество без каких-либо дополнительных данных не являются персональными данными. Основная причина заключалась в том, что существуют полные тёзки и только лишь по Ф. И. О. невозможно установить конкретного человека. Сейчас регулятор поменял свою точку зрения и относит их к персональным данным, которые необходимо защищать. Поэтому надо находиться на связи с регулятором: посещать дни открытых дверей, направлять обращения, звонить и т. п.
4 проблема. Неопределённость положений нормативно-правовых актов
К сожалению, очень часто в нормативно-правовых актах не указано, что конкретно нужно сделать. Например, в законе сказано, что в отношении каждой категории персональных данных необходимо определить цель обработки, но как это сделать: в формате таблицы или просто текстом − не написано. И таких нюансов в законодательстве немало, что увеличивает трудозатраты ИБ-специалистов.
5 проблема. Сложность языка нормативно-правовых актов
Сложность заключается в том, что они написаны одновременно юридическим и техническим языком. Специалист по информационной безопасности организации должен разбираться в обоих. Как правило, таких специалистов очень мало не только в регионе, но и в масштабе всей страны.
6 проблема. Расхождения во внедрении и соблюдении
нормативно-правовых актов в подведомственных организациях
В каждом регионе есть органы власти, организации, у которых в подчинении находятся другие юридические лица, так называемые подведомственные организации. К подведомственным также можно отнести филиалы компаний, дочерние зависимые общества и др. В любой структуре, где существует головная и дочерние организации, встают вопросы централизованной организации процессов защиты информации – в формате внедрения единой политики. Но есть одно «но»: в большинстве случаев в разных курируемых организациях требования законодательства выполняются по-разному. Чтобы избежать нехорошего разнообразия способов и методов решения одной и той же проблемы, головная организация должна вырабатывать, формировать и транслировать единую политику в области защиты информации на всю сеть учреждений.
Если нет единой политики, контролировать правильность выполнения требований законодательства при большом количестве подведомственных организаций практически невозможно.
7 проблема. Изменение технической инфраструктуры
Любые изменения в IT-инфраструктуре организации, такие как появление нового сервера либо рабочего места, изменение действующих рабочих мест, ввод, вывод из эксплуатации или модернизация информационных систем и др., должны отражаться во внутренней организационно-распорядительной документации.
Но широко распространены ситуации, когда организации разрабатывают регламентирующую документацию один раз, а дальше её не актуализируют либо актуализируют очень редко. Естественно, регламенты, не соответствующие действительности, не работают и не способствуют достижению уровня информационной безопасности.
8 проблема. Кадровые перестановки
Более 80% киберинцидентов связаны с ошибками сотрудников организации. Любые кадровые изменения влияют на информационную безопасность. Во-первых, каждый новый сотрудник несёт с собой свой уровень квалификации и понимания безопасности, что может создавать уязвимости в системе. Во-вторых, изменение в составе персонала может привести к разглашению информации или несанкционированному доступу к ней со стороны уволенных работников. Наконец, кадровые изменения также требуют регулярного обновления доступов и привилегий для обеспечения соответствующего уровня защиты данных. Поэтому деятельность сотрудников, получающих доступ к информационным системам, должна быть чётко регламентирована.
9 проблема. Дефицит специалистов в области защиты информации
Огромное количество организаций в России испытывают острую нехватку высококвалифицированных профильных специалистов по защите информации. В этом случае они вынуждены передавать вопросы информационной безопасности непрофильным специалистам. Это ведёт к тому, что фактически ответственный за ИБ в организации есть, но толку от него нет.
Стоит отметить, что даже профильный специалист должен и обязан свои знания поддерживать в актуальном состоянии: проходить периодическое переобучение или повышение квалификации. И делать это не формально, а реально. В противном случае специалист перестаёт быть специалистом с необходимым уровнем компетенции.
10 проблема. Отсутствие времени и желания
заниматься заполнением документов
Основная задача технических специалистов по защите информации заключается в обеспечении результативной безопасности, поэтому у них нет ни времени, ни желания заниматься актуализацией документов, регламентирующих деятельность внутри организации. Но надо понимать, что в основе технической защиты лежат регламенты и требования. Если базовые требования не выполняются, системы безопасности не будут работать либо будут работать очень неэффективно.
11 проблема. Финансовая проблема
Внутреннюю организационно-распорядительную документацию можно разработать самостоятельно, а можно обратиться к интеграторам, имеющим соответствующие лицензии для работы в сфере информационной безопасности. Но надо быть готовыми к тому, что эти услуги достаточно дорогие и при этом часто становятся одноразовыми, так как документацию надо поддерживать в актуальном состоянии.
4. Решение проблем, возникающих при реализации организационных мер по защите информации
Чтобы решить этот пул проблем, НПЦ «Кейсистемс – Безопасность» ещё в 2014 году разработал и развивает одно из приложений экосистемы «Альфа» АльфаДок. Оно помогает:
− разгрузить специалистов по защите информации;
− поддерживать свой уровень компетенции в сфере нормативно-правовых актов на актуальном уровне;
− самостоятельно выполнять требования по защите информации в части организационных мер;
− контролировать эффективность и правильность выполнения технических мер;
− планировать деятельность и непосредственно её реализовывать.
АльфаДок – это то, что несёт в себе очень высокую операционную ценность и является реальным настольным инструментом для специалиста по защите информации в каждой организации.
Андрей Петренко, продуктовый маркетолог экосистемы приложений «Альфа»
