Защита бизнеса от конкурентов предполагает и активные шаги в области защиты информационной безопасности предприятия. Не все готовы уделять силы и время разработкам методик и политик, но, как показывает практика, даже готовые стандарты и модели поведения снижают риск утечек информации в несколько раз.

Основные угрозы в информационном поле

Российские компании должны быть готовы к тому, что за их деятельностью в информационном поле пристально следят конкуренты. Любые сведения о бизнес-планах, сделках, новых продуктах, кадровых назначениях могут привести к серьезному ущербу репутации и финансовым убыткам. Авторы большинства методик и политик информационной безопасности обращают внимание на то, что все типы угроз защите информации и безопасности организации делятся на три группы:

• не связанные с человеческим фактором, вызываемые проблемами с оборудованием, техногенными авариями, перерывами в энергоснабжении;
• связанные с человеческими действиями и решениями угрозы внешнего характера, вызванные проникновением в защищенный информационный периметр третьих лиц, использующих для такого проникновения и организации утечек информации вредоносные программы или различные типы закладных устройств;
• внутренние угрозы, при которых утечки организуются при помощи сотрудников компании, мотивированных деньгами или личными неприязненными отношениями.

Большинство рискованных ситуаций связано именно с действиями сотрудников, которых часто несложно подкупить конкурентам. Минимизировать эти риски призваны политики информационной безопасности, которые позволяют защитить массивы данных, установить различные уровни допуска к ним, сертифицировать оборудование и программное обеспечение.

Ущерб, причиняемый утечками информации

Сложно подсчитать реальный ущерб, причиняемый российскому бизнесу утечками информации. Такой статистики не ведется. Но существует возможность вычленить основные виды ущерба и предположить размер их оценки с финансовой точки зрения. Если компания является субъектом, обязанным хранить защищаемую законом информацию, например, государственную тайну, полученную в связи с исполнением государственных контрактов, соблюдение требований к информационной безопасности становится гарантией ее выживания на рынке, сохранения своего статуса. Обычные компании могут рисковать тем, что:

• массивы их финансовой информации станут известны конкурентам;
• используемые ими схемы и методы ведения бизнеса, налогового планирования, связи станут опубликованы, что принесет ущерб деловой репутации и контактам;
• станут известны разработки новой продукции, бизнес-планы, маркетинговые исследования;
• утекут данные о важных переговорах, сделках, инвестициях, важные объекты могут быть перехвачены;
• будут утрачены сведения, составляющие коммерческую тайну клиентов.

В последнем случае компания понесет серьезный прямой финансовый ущерб в виде сумм выплат по искам, в предыдущих ситуациях ущерб будет расчетным. Кроме того, если в СМИ станет известно о том, что информация компании легко доступна для третьих лиц, она начнет терять партнеров и клиентов.

Субъекты в зоне риска

Далеко не все компании подвержены всем предполагаемым видам риска и могут понести существенный ущерб от действий хакеров и инсайдеров. К наиболее интересующим злоумышленников группам предпринимателей относятся:

• компании, работающие в сфере электронной коммерции, проводящие платежи за пользование своими услугами при помощи современных технологий;
• компании, работающие в сфере наукоемких технологий, медицины, фармацевтики, программирования;
• все организации, работающие с массивами чужой конфиденциальной информации (банки, медицинские учреждения, аудиторские и оценочные компании).

Несмотря на то, что такие предприятия не всегда готовы уделить информационной безопасности столько же сил, что и гиганты нефтяного рынка, для них это является не менее насущной необходимостью.

Механизм разработки политики информационной безопасности

Службы безопасности российских предприятий и их информационные подразделения не всегда смогут предложить руководству действительно эффективную политику информационной безопасности предприятия, основанную на новейших американских и европейских разработках в этой области, на мировых стандартах.

При принятии решения о подготовке пакета документов необходимо ориентироваться или на уже внедренные политики крупных компаний, таких как ПАО «Газпром нефть», или, с учетом специфики каждого конкретного бизнеса, на приглашенных специалистов, имеющих опыт в этой сфере деятельности и уже внедрявших стандарты в этой же или схожей сфере бизнеса. Риски и проблемы, связанные с утечками информации торгового предприятия, не сравнимы с рисками утечки данных на электростанции. Учитываться должно все, в том числе и каналы физической передачи сведений, даже пути движения производственных отходов.

Хорошо разработанная политика информационной безопасности представляет собой сложную систему документов и отношений, в которой каждый документ нижнего уровня вытекает из документа верхнего уровня и предназначен для решения своей категории задач. Просто разработка нормативно-правового акта не решает задачи защиты информации, необходимо внедрить систему, опробовать ее на практике, произвести аудит качества выполнения задач информационной безопасности, при необходимости произвести доработку. Стандартно система документации в области политики информационной безопасности делится на три уровня:

1. Верхний. Он принимается в виде одного документа, утверждается на уровне Совета директоров компании. Его задачей становится демонстрация общего отношения руководства и собственников компании к важности защиты информации. Документ ставит общие для всех подразделений цели, выявляет основные риски и угрозы.
2. Основной. На этом уровне может быть разработано от одного до нескольких десятков документов. Многие компании ограничиваются перечнем информации, являющейся коммерческой тайной, другие регламентируют все – от режима копирования документов до тем, разрешенных к обсуждению по корпоративным телефонам.
3. Технический. Это способы и механизмы информирования сотрудников об их обязанностях в сфере защиты информации. На этом уровне разрабатываются краткие методички для ознакомления, вносятся соответствующие изменения в трудовые договоры. От серьезности отношения к политике корпоративной безопасности будет зависеть степень информированности сотрудников и их ощущение собственной ответственности за отсутствие утечек. Персонализация ответственности должна стать одним из приоритетов при разработке этого уровня документов.

Общий объем подготовленной документации может составить сотни страниц, но обеспечение безопасности требует именно такого серьезного подхода. Защищаемая информация представляет собой серьезный актив, за обладание которым будут бороться многие силы.

Верхний уровень политики

Во многом этот документ становится визитной карточкой предприятия, наиболее важно это в ситуациях, когда оно вступает в бизнес-отношения с новыми партнерами, особенно зарубежными, или готовится привлечь инвестора. Наличие качественных стандартов защиты информации покажет ценность компании как потенциального контрагента и серьезное отношение ее руководства к требованиям законодательства и интересам клиентов. Поэтому документ верхнего уровня должен содержать:

• формализованное решение защищать информационную безопасность предприятия на современном и профессиональном уровне;
• перечень всех ресурсов, защита которых становится наиболее востребованной и целесообразной. К ним могут относиться и сами ресурсы (базы данных клиентов, разработки НИОКР Научно-исследовательские и опытно-конструкторские работы, патенты), и системы защиты информационных технологий, используемые программные ресурсы, особенно доработанные в индивидуальном порядке;
• общий подход к ответственности за сохранность информации. Это и название должностей руководителей, на которых возложена такая задача, и применяемые меры воздействия на персонал, и разграничение прав доступа;
• требования к сотрудникам заботиться о защите информации, соблюдать стандарты и методики, проходить обучение и повышать квалификацию в этой области;
• общий подход к наказанию нарушителей, чьи действия стали причинами утечек информации.

Такой документ носит характер, скорее, декларационный и мотивационный, он не описывает конкретных действий, но его разработка необходима.

Средний уровень документации

Высший уровень политики информационной безопасности обычно оформляется в виде одного документа, размещаемого на сайте компании. Именно с ним под подпись знакомятся все вновь принимаемые сотрудники. Но наиболее важным для практического воплощения становится средний уровень подготовленной документации, именно он регламентирует действия конкретных сотрудников и дает возможность привлечь их к ответственности за несоблюдение политики защиты безопасности в сфере информации. Ответственность сотрудников должна опираться не только на методики, но и корреспондируемые им нормы в трудовых договорах и должностных инструкциях, только это станет основанием для возмещения причиненного компании ущерба в судебном порядке. В этих нормативных актах (методиках, стандартах, инструкциях) должны быть предусмотрены:

• требования компании к построению направлений информационных потоков, уровням значимости тех или иных массивов информации;
• требования к техническому обеспечению информационной безопасности предприятия, к оборудованию, программному обеспечению, необходимости их сертификации. Сертификация требуется для тех предприятий, которые выстраивают свою деятельность по стандартам ISO, тех, кто работает со сведениями, составляющими государственную тайну, или для операторов персональных данных;
• требования к надежности защиты, включающие в том числе требования к надежности оборудования, программного обеспечения, персонала, обеспечивающего их обслуживание;
• отношение компании к построению информационных систем, выделению отдельных защищаемых секторов, не имеющих выхода в сеть Интернет, необходимости создания отдельных периметров защиты наиболее важной информации, отношение к копированию документации и возможности иного снятия информации;
• требования к сотрудникам как к наиболее важному ресурсу в сфере защиты информации. От сотрудников напрямую зависит защита от всех видов угроз, которым подвержены информационные системы. Поэтому компания должна позаботиться и об усилении степени ответственности за нарушение режима безопасности и о мотивации, обеспечивающей личный интерес сотрудников к защите безопасности;
• перечень инцидентов информационной безопасности, порядок информирования об их возникновении, порядок и способы реагирования на них.

Порядок разработки политики информационной безопасности

Первыми шагами при разработке политики становятся меры, связанные со сбором информации. В реализации этой задачи должны быть заинтересованы все подразделения, которые должны предоставить свои перечни сведений, считающихся конфиденциальными, свое видение тех шагов, которые помогут обезопасить базы данных. Такие шаги создадут для всего персонала компании ощущение общего дела при разработке политики информационной безопасности и облегчат ее внедрение. После сбора информации необходимо будет перейти к совершению следующих шагов, ответственными за результаты которых окажутся разработчики:

• оценить персональное отношение руководства компании к необходимости разработки и внедрения политики информационной безопасности, выявить более и менее заинтересованных субъектов, разработать индивидуальный механизм убеждения топ-менеджеров в необходимости внедрения современных стандартов защиты безопасности;
• провести анализ тех информационных объектов, которые, по мнению разработчиков, могут оказаться наиболее интересными для злоумышленников. Это могут быть крупные массивы персональных данных, клиентские базы, научные разработки, ноу-хау, сведения о зарубежных активах и многое другое;
• выявить все реальные и реализуемые угрозы информационной безопасности, провести анализ их потенциальной возможности к реализации, выявить изменения в информационном поле, говорящие о начале активации любого из видов угроз.

Проведение такого анализа позволит разработать приемлемую именно для конкретного бизнеса структуру политики информационной безопасности. Одним из важных факторов станет учет структуры бизнеса. Крупные группы компаний с множеством филиалов и отделений, распределенных по территории страны, защитить сложнее, чем небольшое предприятие, все сотрудники которого находятся на одном этаже современного офисного здания. Выявление всех значимых факторов позволит определить стратегию и тактику разработки политики. Важно, что точки зрения всех субъектов принятия решений в компании никогда не совпадут, поэтому цель разработчиков – предложить политику, устраивающую большинство топ-менеджеров и руководителей филиалов.

Кроме того, разработчики будут опираться и на законодательство. Если компания обрабатывает массивы информации, среди которых есть персональные данные граждан, обрабатываемые в качестве оператора или имеет доступ к государственной, военной врачебной или банковской тайне, то ее самостоятельность в выборе программных и технических мер ее защиты будут ограничены. Стандарты информационной безопасности для нее, а именно, необходимость принятия внутренних положений и выбор программного обеспечения, сертифицированного по определенным группам безопасности, будут определяться регуляторами. – Роскомнадзором, ФСБ и другими. Строго определенные нормы и правила снизят уровень инициативности в принятии решений, но помогут решить часть задач, связанных с определением уровня финансирования внедрения политики.

Принципы разработки

Готовя сложный комплексный план защиты информационной безопасности, разработчики должны опираться на следующие принципы:

• документы более низкого уровня должны полностью соответствовать политике верхнего уровня, федеральному законодательству, рекомендациям и стандартам регуляторов (Роскомнадзора, Центробанка и других);
• все положения, утверждения, рекомендации должны быть ясны и однозначны, ни одна из норм не должна давать возможность истолковать ее в разных плоскостях, например, в результате несогласованности терминологии;
• политика информационной безопасности должна полностью соответствовать уровню подготовки тех сотрудников, для которых она предназначена.

Третье требование наиболее важно. Нормы, предназначенные для администраторов, не должны быть навязаны простым пользователям. Информационный обмен должен быть разграничен, каждый из пользователей должен отвечать только за свой участок работы. Важно, что политика информационной безопасности должна дать понять каждому сотруднику, что ее целью является защита не только компании или акционеров, но и каждого пользователя.

Этапы разработки и внедрения политики информационной безопасности

Приступая к разработке политики безопасности, необходимо ориентироваться на следующий план действий:

• проведение предварительного информационного исследования, которое поможет выявить все значимые для разработки политики моменты;
• разработка самой политики, которая должна производиться в тесном контакте со всеми причастными подразделениями – от IT-отдела до службы безопасности и кадрового подразделения. Устранение любого из значимых руководителей от разработки приведет к тому, что при реализации политики многие важные связи будут разорваны;
• внедрение политики. На этом этапе необходимо учитывать, что внедрение новых стандартов неминуемо вызовет активное сопротивление персонала, не готового отступать от привычных способов выполнения своей ежедневной работы. Надо заручиться поддержкой руководства и иногда «на пальцах» демонстрировать преимущество новых методов работы;
• анализ результатов внедрения, выявление узких мест, разработка направлений, в которых политика должна совершенствоваться.
• Такие циклы могут повторяться несколько раз до достижения результатов, которые будут признаны руководством компании и регулятором допустимыми или достаточными.

Предприятие, готовое потратить силы и средства на внедрение политики информационной безопасности, может быть уверено в защите ценных данных по современным методикам. Конкуренты, хакеры, иные злоумышленники не смогут пробиться сквозь защищенный периметр и принести вред интересам компании, ее клиентов, персонала.