Большинство владельцев бизнеса понимают необходимость обеспечения информационной безопасности. Но не все до конца осознают цели и обязанности служб ИБ. Недостаточно создать управление ИБ. Необходимо понимать для чего оно создано и какие цели преследует. Иначе об эффективности его работы можно будет забыть. Создавать СИБ «для галочки», значит оплачивать сотрудников, от которых не будет толку. Защитить конфиденциальные данные при таком подходе не получится.  

Цели работы СИБ 

Сотрудники управления ИБ должны предотвращать любые незаконные формы использования информации как объекта собственности.

Основные цели работы СИБ:

• правовая защита компании во взаимоотношениях с государственными органами, партнерами по бизнесу (российскими и зарубежными), конкурентами;
• охрана секретных сведений, прав интеллектуальной собственности, повышение репутации организации в деловой сфере, увеличение эффективности использования имеющихся данных;
• охрана собственности компании;
• повышение конкурентоспособности, минимизация ущерба от несанкционированного доступа к информации;
• стимулирование деловой активности всех сотрудников, контроль за соблюдением трудовой дисциплины;
• исключение попадания в зависимость от недобросовестных партнеров, конкурентов;
• организация беспрерывной деятельности компании, планирование действий по восстановлению работы в случаях форс-мажора;
• недопущение искажения, потери, хищения, подделки информационных ресурсов;
• предотвращение любых несанкционированных действий по отношению к секретным сведениям;
• документационное обеспечение предприятия в пределах своей компетенции;
• охрана конституционных прав людей на личную тайну и конфиденциальность сведений, содержащихся в АИС;
• своевременное выявление и предотвращение угроз интересам компании;
• разработка путей возмещения ущерба от неправомерных действий третьих лиц, минимизация последствий;
• пресечение попыток подрыва стабильного функционирования организации;
• обеспечение безопасного проведения сделок, совещаний, переговоров, встреч;
• получение информации о конкурентах, инвесторах и возможных партнерах разрешенными законодательством способами; 
• обучение всего персонала основам ИБ, проведение профилактических и воспитательных бесед.

Функции СИБ

Деятельность служб информационной безопасности на предприятиях должна быть организована в рамках правовых норм. В зависимости от направления работы компании функции и штат служб ИБ могут сильно различаться.  

К основным обязанностям службы ИБ относится:

• консультирование руководителей по вопросам обеспечения ИБ и привлечения кадров;
• проверка кандидатов на замещение вакансий в других подразделениях, беседы с увольняющимися сотрудниками, а также периодический инструктаж персонала, повышение его уровня грамотности в сфере безопасности информации;
• периодический анализ психологической обстановки в коллективе;
• контроль активности персонала, учет нарушений правил безопасности сотрудниками;
• классификация информации, определение уровня ее важности и роли в информационных системах;
• разработка политики информационной безопасности;
• разграничение доступа пользователей к секретной информации;
• разработка инструкций по информационной безопасности для каждого структурного подразделения, контроль их выполнения (при формировании новых правил ИБ это должно быть отражено в нормативно-правовых документах);
• контроль аутентификации сотрудников, периодическая смена паролей, контроль соблюдения запрета на передачи паролей лицам, не имеющим прав доступа к системам информации;
• обеспечение безопасности информационных систем (ограничение удаленного доступа, установка агентов системы обнаружения атак на каждом сегменте информационной сети);
• ведение регистрационных журналов по всем системам;
• контроль и учет антивирусного и программного обеспечения;
• ознакомление с правилами использования информации третьих лиц (например, партнеров компании) в случае необходимости их допуска к секретным данным;
• хранение, учет и выдача носителей конфиденциальных сведений; 
• организация физической охраны объекта;
• принятие мер по сохранности информации при ее транспортировке;
• взаимодействие с представителями правоохранительных органов в случае необходимости.

Также специалист по ИБ занимается обеспечением безопасного функционирования автоматизированных информационных систем (АИС). 

В комплекс мер по обеспечению безопасности АИС входит:

• регулярное обновление системы и всех ее элементов;
• проведение расследований по каждому нарушению, принятие необходимых мер по результатам расследования с целью избежать повторения инцидента;
• инвентаризация программных и технических средств защиты АИС;
• вычисление открытых портов, идентификация ОС и приложений;
• проверка уровня безопасности web-приложений;
• оценка систем управления информационными базами знаний и данных; 
• анализ эффективности контроля сохранности автоматической информационной системы;
• составление отчетов для руководства.

Служба ИБ также занимается созданием криптографической защиты данных. Проводит аудит информационных систем, проверяя возможность их взлома, наличие каналов утечки секретных данных.

Состав СИБ

Состав службы ИБ зависит от целей и размеров организации. Небольшим компаниям может быть достаточно и одного человека, который совмещает должности руководителя СИБ и ИБ-специалиста. 

Необходимо понимать, что служба, занимающаяся безопасностью информации, – это не сервисный отдел, а руководящий. Ее главной задачей является разработка правил информационной безопасности и контроль за их соблюдением. Например, требования служб ИБ об установке защитного программного обеспечения должны исполнять сотрудники IT-управления. Они же могут заниматься разработкой и обслуживанием ПО. Служба ИБ в этом случае выступает в роли координатора. 

Управлению ИБ в вопросах, относящихся к его компетенции, должны подчиняться все сотрудники организации. Управление, занимающееся созданием и обеспечением безопасности не должно входить в структуру других управлений. Оно должно работать обособленно, но при этом взаимодействуя со всеми остальными сотрудниками. 

Каждый сотрудник, начиная от рядового исполнителя и заканчивая руководством компании, должен четко понимать, что такое безопасность информации, осознавать важность сохранности секретных сведений. И наказание, которое последует за нарушение правил информационной безопасности. 

Для обеспечения сохранности секретной информации можно обратиться за помощью к сторонней организации. В этой ситуации существует определенный риск – сведения, которые должны храниться в секрете, частично будут доступны приглашенным специалистам. Поэтому для закрытых организаций собственное управление ИБ предпочтительнее сервисных сотрудников.  

Документы по обеспечению ИБ

В обязанности служб ИБ входит разработка и поддержка в актуальном состоянии документов для обеспечения безопасности секретных сведений:

• концепция ИБ компании;
• политика ИБ;
• методички и инструкции по обеспечению сохранности информации для каждого управления, включая руководство;
• регламенты по работе с охраняемыми данными;
• должностные инструкции сотрудников, занимающихся вопросами информационной безопасности;
• нормативно-правовые документы, регламенты по обеспечению сохранности конфиденциальных и персональных сведений;
• приказы о назначении людей, ответственных за работу с секретными данными.

В зависимости от размера и вида деятельности компании перечень необходимых документов по обеспечению информационной безопасности может быть значительно расширен. 

Организация работы

Сотрудники, занимающиеся охраной информации, должны подчиняться напрямую руководству, а не начальникам других управлений. Это позволит избежать конфликта интересов.

Нельзя нагружать ИБ-задачами работников со смежными обязанностями. У людей просто не будет хватать времени на обеспечение ИБ. Или они не будут выполнять свои основные должностные обязанности в полном объеме, занимаясь охраной информации. Этим должны заниматься специально обученные люди, принятые на работу с целью обеспечить сохранность конфиденциальных сведений. 

Если у компании нет выделенной службы информационной безопасности, выходом станет ИБ-аутсорсинг.  

В случаях, когда отдельного управления по ИБ нет остается открытым и вопрос финансирования. Если безопасник будет «прикреплен» к айтишникам или физической охране, начальники этих управлений будут просить финансирование на свою основную работу, а нужды ИБ останутся в стороне. Каждое из этих подразделений должно работать слаженно друг с другом, чтобы эффективно защитить секретные сведения, но при этом не находится в подчинении друг у друга. 

Не стоит ждать от управления ИБ прямой прибыли. Его работа заключается в минимизации возможных убытков из-за попадания конфиденциальных данных в открытый доступ. Экономить на средствах и методах для обеспечения информационной безопасности не стоит. В конечном итоге вреда от утечки информационных ресурсов будет больше. 

22.06.2020