Экспертный материал
Алексей Залецкий | Эксперт в области информационной безопасности
Многие руководители компаний думают, что оргмеры — это простой и дешевый способ организовать защиту информации. Поэтому налицо перегибы, когда ставка делается именно на них, а внедрением технических средств защиты нередко пренебрегают. Но за легкостью и простотой организационных мер стоит много нюансов, которые не всегда заметны и могут не проявляться даже по прошествии многих лет. Ровно до возникновения неприятного инцидента, на который не было предусмотрено адекватное реагирование. К тому же любая система защиты — это всегда совокупность организационных и технических мер. Если пренебречь чем-то одним, то достаточную степень защиты информации обеспечить попросту невозможно.
Особенности внедрения
Любая оргмера предполагает наличие документа, который фиксирует ее реализацию (это может быть положение, политика, регламент, инструкция и т. д.). В целом такие документы регламентируют определенные процессы и действия сотрудников, а также уточняют их ответственность в случае нарушения тех или иных ограничений. Кроме того, в локальных нормативных актах указываются ответственные за контроль тех или иных процессов. Но, к сожалению, сотруднику зачастую просто поручают разработать такой документ, утверждают его и на этом останавливаются.
Если говорить про соответствие требованиям регуляторов, то вполне может быть, что этого и хватит для прохождения проверки. Но вряд ли будет достаточно для реальной защиты информации. Ведь для этого необходимо, чтобы меры, представленные на бумаге работали реально. И здесь мы сталкиваемся с тем, что внедрение оргмер сложнее, чем технических, и отнимает гораздо больше времени. Дело в том, что этот процесс не ограничивается разработкой документации и ознакомлением с ней сотрудников. И даже инструктирования по основным пунктам локальных нормативных актов для этого недостаточно.
Важно понимать, что информационная безопасность — это процесс, который длится в течение всего жизненного цикла информационных систем, обрабатывающих персональные данные. И с изменением самих систем, обнаружением новых уязвимостей и угроз необходимо будет совершенствовать и организационные меры.
Ошибки при внедрении
-
Нормативные документы зачастую обширны (вплоть до нескольких сотен страниц) и размыты (без четких формулировок). Поэтому даже ознакомление с ними вызывает у работников трудности, не говоря уже о вдумчивом чтении и усвоении важных положений.
-
Часто в документах не приводятся конкретные меры ответственности сотрудников. А ведь кроме требований закона (административных и уголовных) есть меры ответственности, которые могут быть реализованы внутри компании.
-
Нередко знакомство с нормативной документацией в компании не проводится вовсе. Или же сотрудников знакомят с отдельными документами выборочно. При этом полностью отсутствует инструктаж.
-
В компании не проводится никаких учений. А ведь первое, что необходимо сделать, когда произошел какой-то инцидент,— отработать ситуацию. И по результатам учений оргмеры должны совершенствоватьс
Таким образом, если все или часть из перечисленных выше ошибок не исправлена, то в случае неприятного инцидента нормативные документы просто не будут работать.
Как заставить оргмеры работать
-
Каждый нормативный документ должен быть максимально коротким, чтобы любой сотрудник мог быстро ознакомиться с ним и сразу же понял, что можно, а чего нельзя делать и к чему приведет нарушение.
-
Следует обязательно проводить инструктажи, на которых должны подчеркиваться основные моменты. Это нужно делать под роспись и желательно с прохождения теста или сдачей экзамена.
-
Ответственность должна быть четко прописана, без надежды на административный кодекс. Это позволит придать юридическую значимость тем мерам, которые вы реализуете.
-
Документы должны постоянно поддерживаться в актуальном состоянии, а значит, нужно постоянно их проверять на применимость. Для этого нужны реальные учения, когда сотрудники действуют в соответствии с документами. Это позволяет выяснить, насколько конкретная мера эффективна и как можно ее оптимизировать. Оптимальная периодичность учений — ежегодно.
-
Внедрение технических мер тоже требует регламентации, чтобы они были эффективны. Например, ПО средств защиты необходимо периодически обновлять. Но насколько часто это нужно делать? И кто за это ответственен? Как видим, без грамотно составленного нормативного документа не обойтись.
Вывод
Да, оргмеры сложно реализуемы, и это длительный процесс. Но это то, что должно быть сделано в первую очередь. Особенно в случае, когда у компании не хватает бюджета на технические средства защиты. А чтобы действия, прописанные на бумаге, реально выполнялись и были эффективны, нужны понятные документы с четко прописанной ответственностью и действиями, которые должны совершать сотрудники в случае возникновения определенных ситуаций.
Хорошие организационные меры предполагают максимально краткую документацию, в которой изложены требования и ответственность по наиболее чувствительным моментам производственного процесса. К тому же регуляторы не требуют разработки отдельного документа под каждое требование. Избыточность лишь усложняет внедрение оргмер и ведет к тому, что они перестают работать.
Также необходим инструктаж с упором на самые важные моменты и регулярные учения, а документы должны постоянно совершенствоваться: уточняться и обновляться. Поэтому, если мы хотим получить реальную систему защиты информации, нельзя относиться к внедрению оргмер формально. Ведь внедрение только технических мер не позволяет нейтрализовать риски и обеспечить полную защиту информации.
И организационные меры можно реализовать так, что они будут работать. Главное — понять, почему такие меры не работают конкретно в вашей компании, и провести комплекс мероприятий, которые позволят устранить эти препятствия. Это может потребовать полной переделки существующей документации, но поверьте, это того стоит.
Над материалом работал: Роман Андреев