Защита финансовой информации: как избежать утечек
Узнать большеПолитика информационной безопасности (Политика ИБ) – это основополагающий документ, который регламентирует процессы обеспечения информационной безопасности в организации. Он содержит комплекс принципов, правил, процедур и руководящих инструкций для защиты информационных активов компании от рисков, возникающих в результате реализации угроз информационной безопасности. Политика ИБ, как правило, разрабатывается в соответствии с положениями российских и международных стандартов, а также передовых практик.
Политика ИБ создает четкие правила, которые помогают защитить информационные активы и снизить уязвимость организации перед актуальными угрозам. Однако, прежде чем выстраивать эти правила, следует разобраться в нюансах формирования политики ИБ и ее реализации. Рассказываем, что такое политика информационной безопасности, какие положения она включает и как внедряется.
Понятие политики компании в области информационной безопасности
Политика ИБ — комплекс утвержденных принципов и практических мер, касающихся защиты информационных активов организации. Это ряд взаимосвязанных документов, регламентирующих работу с конфиденциальными сведениями и определяющих ответственность за ее нарушения.
Политика безопасности должна строиться на результатах детального анализа рисков. Исследованию подлежат текущая система защиты информационной инфраструктуры, материальные и человеческие ресурсы. Также при формировании политики необходимо учитывать специфику деятельности организации.
Компании имеют право самостоятельно решать, какую информацию и как защищать, если не предусмотрены конкретные требования законодательства. Главная цель политики — предугадать все риски и создать эффективную систему противостояния им.
Что такое формализация политики ИБ и зачем она нужна
Политика ИБ обычно формализуется, то есть предстает в виде четкого регламента. Правила «на словах» не работают, поскольку не являются утвержденными требованиями.
Важный момент — разработанная политика должна соответствовать стандартам документации. Их формируют внешние специалисты, которые регламентируют правила работы организаций в определенных сферах.
Эффективная политика информационной безопасности компании включает документацию трех уровней:
- Верхний уровень — это документы, содержащие перечень основных рисков и целей в сфере защиты конфиденциальной информации.
- Основной (средний) уровень — это документы с перечнем информации, которая подлежит защите (реестр информационных активов или их категорий). Некоторые организации детализируют их, перечисляя все разрешенные действия с данными. Также в документацию среднего уровня включают положения об ответственности персонала за несоблюдение требований.
- Технический уровень — это документы, определяющие меры по защите информации и обязанности конкретных сотрудников.
Второе правило корректной подачи политики — четкая формулировка каждого пункта. Соблюдение этого требования свидетельствует об ответственном отношении организации к вопросам обеспечения безопасности.
Отсутствие формализованной политики безопасности приводит не только к внутренним проблемам организации бизнес-процессов, но и негативно влияет на конкурентоспособность, деловую репутацию и ценность бизнеса для акционеров компании.
Несостоявшиеся политики информационной безопасности компании
Если политика существует только «на бумаге», и ее положения не реализуются на практике, она будет считаться несостоявшейся. Это может происходить по многим причинам, вот некоторые из них:
- Положения политики грамотно сформулированы, но на практике не соблюдаются. Чаще всего подобное происходит, если ответственное лицо берет за основу готовый документ (например, использует регламент другой организации или просто скачивает из интернета), а руководитель на доверии его утверждает. На первый взгляд, здесь нет ничего страшного, ведь принципы информационной безопасности разных предприятий похожи. Однако на практике оказывается, что без адаптации их невозможно применить.
- Положения политики не сформированы должным образом или не рассчитаны на долгий срок. Пример — в регламенте не учтена возможность внедрения каких-либо новых технологий. В таких случаях сотрудники иногда идут в обход правил, что неизменно сказывается на эффективности защиты информационного периметра.
Чтобы избежать подобных ситуаций, необходимо грамотно подойти к ее созданию, учитывая особенности деятельности компании и ее бизнес-процессов.
Какие положения включает политика информационной безопасности
Политика компании в области информационной безопасности включает следующие аспекты:
- Концепцию, которая определяет миссию и ключевые цели политики.
- Стандарты, то есть сами принципы обеспечения безопасности.
- Перечень конкретных действий, которые сотрудники должны совершать в процессе взаимодействия с конфиденциальными данными организации.
- Порядок работы с носителями данных.
- Правила доступа к корпоративным документам и другим важным ресурсам.
- Инструкции, касающиеся реализации методов защиты и применения принятых стандартов.
- Аварийные планы — порядок действий по реагированию и оперативному восстановлению информационных систем в случае непредвиденных обстоятельств (например, утечки, кибератаки, физических воздействий и т. д.).
Важно, чтобы все положения политики были связаны между собой и не противоречили друг другу.
Концепция защиты в рамках политики информационной безопасности компании
Важно различать понятия «концепция информационной безопасности» и «стратегия информационной безопасности»: первая не подлежит изменениям, а вторая является динамичной, то есть может дополняться.
Ключевые составляющие концепции информационной безопасности:
- Описание предмета защиты (в данном контексте – это информационная безопасность).
- Регламент прав доступа сотрудников к информационным активам.
- Описание обязанностей сотрудников, которые имеют отношение к информационной инфраструктуре компании.
- Степень защиты прикладных систем.
- Способы реализации утвержденных алгоритмов защиты.
- Перечень лиц, которые обязаны следить за соблюдением требований безопасности.
- Описание потенциальных рисков и критериев оценки результативности защиты.
- Ответственность за несоблюдение положений политики.
Подробнее остановимся на пункте о критериях оценки эффективности защиты. Это не обязательное положение, однако стоит включить его в документ, чтобы сотрудники службы безопасности знали, по каким параметрам будет оцениваться их работа.
Также концепция иногда предусматривает физическую охрану объекта (особенно это касается крупных предприятий) и другие организационные моменты, связанные с контролем персонала в рабочее время. Например, некоторые организации устанавливают правило отмечаться в журнале в начале и конце трудового дня.
Требования к составлению регламентирующей документации
При документировании политики информационной безопасности компании важно учитывать следующие нюансы:
- Не все сотрудники компании знают технические термины. Поэтому следует составлять регламент понятным и простым языком.
- Если политика будет слишком объемной, есть риск, что с ней не ознакомятся должным образом. Лучше формулировать коротко, но емко.
В документе должны фигурировать четкие цели, методы их достижения и меры ответственности за нарушение политики. Вся лишняя информация будет отвлекать сотрудников от сути, что приведет к несостоятельности концепции.
Если законодательство диктует какие-либо положения, применимые к деятельности организации, необходимо включить их в документ с указанием источника требований.
Внедрение политики компании в области информационной безопасности
К внедрению политики следует приступать только тогда, когда документация полностью сформирована и согласована. Ниже приведена последовательность шагов по внедрению политики ИБ в компании:
- Оценить информационную инфраструктуру компании на предмет уязвимости и принять меры, перечисленные в политике безопасности.
- Создать методические материалы и инструкции, регламентирующие работу с информацией. Например, прописать перечень разрешенных для использования интернет-ресурсов, правила доступа к защищаемым объектам и информационным активам и т. д.
- Внедрить утвержденные инструменты защиты данных, которые еще не используются компанией.
- Ознакомить персонал с утвержденными положениями. Например, можно провести инструктаж или семинар. В конце таких мероприятий сотрудники обычно ставят подписи в подтверждение, что ознакомлены с документами.
Для оценки эффективности внедренной политики ИБ следует регулярно проводить аудит. В ходе проверок выясняется, насколько качественно выполняются задачи по обеспечению безопасности информационного периметра.
Периодически принятую документацию следует актуализировать. Например, при необходимости расширить арсенал средств защиты.
Контроль соблюдения политики безопасности
К сожалению, некоторые сотрудники организаций не соблюдают требования политики информационной безопасности компании и совершают неправомерные или необдуманные действия, которые приводят к утечке данных. Чтобы выявить нарушения силами службы безопасности, потребуется достаточно много времени. Задачу упростят технические средства для мониторинга и предотвращения инцидентов — DLP-системы (Data Leak Prevention). Вот как они работают:
- Анализируют характер коммуникаций и поведение сотрудников, выявляют все виды контактов пользователей (личные, уникальные, рабочие).
- Формируют досье на сотрудников.
- Создают архив коммуникаций.
- Осуществляют мониторинг передачи конфиденциальной информации, проверяют все операции с конфиденциальными данными на предмет соответствия политикам.
- Блокируют передачу информации, если это нарушает политику безопасности.
- Визуализируют данные для формирования отчетности и проведения расследований инцидентов.
Благодаря DLP-системам значительно упрощается процесс расследования инцидентов. В службу безопасности попадает детальная информация обо всех действиях сотрудников на рабочих устройствах. В том числе записи с микрофонов и видеотрансляции рабочих экранов. Специалистам останется только проанализировать доказательную базу, соотнести события с положениями ИБ и предотвратить возможные инциденты.
Многие компании различных сфер деятельности выбирают Solar Dozor. Это российская DLP-система корпоративного класса, которая обладает высокой производительностью, масштабируемостью и отказоустойчивостью. Solar Dozor решает большой спектр задач по защите конфиденциальной информации от утечек, включая анализ связанных с хранением и движением данных процессов и деятельность сотрудников за рабочим компьютером.
Заключение
Политика информационной безопасности компании необходима для выстраивания системы защиты информационных активов от различных видов угроз и их нейтрализации. При разработке политики ИБ мы рекомендуем обращать не меньшее внимание на этапы ее внедрения в компании и контроль их соблюдения всеми сторонами (участниками). В этом помогут DLP-системы, которые отслеживают действия сотрудников и формируют доказательную базу для расследования инцидентов.
DLP-системы видят взаимосвязь между положениями политики ИБ и событиями в информационном поле компании. Они оповещают о подозрительных событиях и помогают оперативно разобраться, какое именно правило было нарушено.