Почему организационные меры по защите информации не работают

Экспертный материал 

Алексей Залецкий | Эксперт в области информационной безопасности

Многие руководители компаний думают, что оргмеры — это простой и дешевый способ организовать защиту информации. Поэтому налицо перегибы, когда ставка делается именно на них, а внедрением технических средств защиты нередко пренебрегают. Но за легкостью и простотой организационных мер стоит много нюансов, которые не всегда заметны и могут не проявляться даже по прошествии многих лет. Ровно до возникновения неприятного инцидента, на который не было предусмотрено адекватное реагирование. К тому же любая система защиты — это всегда совокупность организационных и технических мер. Если пренебречь чем-то одним, то достаточную степень защиты информации обеспечить попросту невозможно.

Особенности внедрения

Любая оргмера предполагает наличие документа, который фиксирует ее реализацию (это может быть положение, политика, регламент, инструкция и т. д.). В целом такие документы регламентируют определенные процессы и действия сотрудников, а также уточняют их ответственность в случае нарушения тех или иных ограничений. Кроме того, в локальных нормативных актах указываются ответственные за контроль тех или иных процессов. Но, к сожалению, сотруднику зачастую просто поручают разработать такой документ, утверждают его и на этом останавливаются.

Если говорить про соответствие требованиям регуляторов, то вполне может быть, что этого и хватит для прохождения проверки. Но вряд ли будет достаточно для реальной защиты информации. Ведь для этого необходимо, чтобы меры, представленные на бумаге работали реально. И здесь мы сталкиваемся с тем, что внедрение оргмер сложнее, чем технических, и отнимает гораздо больше времени. Дело в том, что этот процесс не ограничивается разработкой документации и ознакомлением с ней сотрудников. И даже инструктирования по основным пунктам локальных нормативных актов для этого недостаточно.

Важно понимать, что информационная безопасность — это процесс, который длится в течение всего жизненного цикла информационных систем, обрабатывающих персональные данные. И с изменением самих систем, обнаружением новых уязвимостей и угроз необходимо будет совершенствовать и организационные меры.

Ошибки при внедрении

1. Нормативные документы зачастую обширны (вплоть до нескольких сотен страниц) и размыты (без четких формулировок). Поэтому даже ознакомление с ними вызывает у работников трудности, не говоря уже о вдумчивом чтении и усвоении важных положений.

2. Часто в документах не приводятся конкретные меры ответственности сотрудников. А ведь кроме требований закона (административных и уголовных) есть меры ответственности, которые могут быть реализованы внутри компании.

3. Нередко знакомство с нормативной документацией в компании не проводится вовсе. Или же сотрудников знакомят с отдельными документами выборочно. При этом полностью отсутствует инструктаж.

4. В компании не проводится никаких учений. А ведь первое, что необходимо сделать, когда произошел какой-то инцидент,— отработать ситуацию. И по результатам учений оргмеры должны совершенствоватьс

Таким образом, если все или часть из перечисленных выше ошибок не исправлена, то в случае неприятного инцидента нормативные документы просто не будут работать.

Как заставить оргмеры работать

1. Каждый нормативный документ должен быть максимально коротким, чтобы любой сотрудник мог быстро ознакомиться с ним и сразу же понял, что можно, а чего нельзя делать и к чему приведет нарушение.

2. Следует обязательно проводить инструктажи, на которых должны подчеркиваться основные моменты. Это нужно делать под роспись и желательно с прохождения теста или сдачей экзамена.

3. Ответственность должна быть четко прописана, без надежды на административный кодекс. Это позволит придать юридическую значимость тем мерам, которые вы реализуете.

4. Документы должны постоянно поддерживаться в актуальном состоянии, а значит, нужно постоянно их проверять на применимость. Для этого нужны реальные учения, когда сотрудники действуют в соответствии с документами. Это позволяет выяснить, насколько конкретная мера эффективна и как можно ее оптимизировать. Оптимальная периодичность учений — ежегодно.

5. Внедрение технических мер тоже требует регламентации, чтобы они были эффективны. Например, ПО средств защиты необходимо периодически обновлять. Но насколько часто это нужно делать? И кто за это ответственен? Как видим, без грамотно составленного нормативного документа не обойтись.

Вывод

Да, оргмеры сложно реализуемы, и это длительный процесс. Но это то, что должно быть сделано в первую очередь. Особенно в случае, когда у компании не хватает бюджета на технические средства защиты. А чтобы действия, прописанные на бумаге, реально выполнялись и были эффективны, нужны понятные документы с четко прописанной ответственностью и действиями, которые должны совершать сотрудники в случае возникновения определенных ситуаций.

Хорошие организационные меры предполагают максимально краткую документацию, в которой изложены требования и ответственность по наиболее чувствительным моментам производственного процесса. К тому же регуляторы не требуют разработки отдельного документа под каждое требование. Избыточность лишь усложняет внедрение оргмер и ведет к тому, что они перестают работать.

Также необходим инструктаж с упором на самые важные моменты и регулярные учения, а документы должны постоянно совершенствоваться: уточняться и обновляться. Поэтому, если мы хотим получить реальную систему защиты информации, нельзя относиться к внедрению оргмер формально. Ведь внедрение только технических мер не позволяет нейтрализовать риски и обеспечить полную защиту информации.

И организационные меры можно реализовать так, что они будут работать. Главное — понять, почему такие меры не работают конкретно в вашей компании, и провести комплекс мероприятий, которые позволят устранить эти препятствия. Это может потребовать полной переделки существующей документации, но поверьте, это того стоит.