Незнание базовых принципов информационной безопасности среди сотрудников и руководителей приводит к рискам для бизнеса: утечкам, блокировке работы, штрафам, репутационным потерям. При этом многие думают, что «безопасность — это только про хакеров» или «это дело айтишников», и упускают ключевые риски в ежедневной работе.
На самом деле ИБ — это то, как мы работаем с данными и документами каждый день. В статье расскажем, какие главные 5 принципов ИБ должна соблюдать каждая компания и как это сделать.
Принцип 1. Конфиденциальность
Принцип конфиденциальности означает, что доступ к данным должен быть только у тех, кому он действительно необходим по работе. Этот принцип защищает как персональные данные сотрудников и клиентов, так и внутренние бизнес-документы, договоры, коммерческие предложения, переписку и любую информацию, сколь-либо значимую для компании. Конфиденциальность обеспечивается не только технически на уровне информационных систем, но и на уровне организационных процедур — важно, кто, как и когда получает доступ к информации.
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали.
Что будет, если не соблюдать принцип: нарушение конфиденциальности может привести к утечке чувствительных данных, репутационным потерям, штрафам от регуляторов, уходу клиентов и даже судебным искам. Например, если просочатся данные о зарплатах или коммерческих переговорах, это может вызвать внутренние конфликты, расторжение контрактов, снижение доверия. Если речь о персональных данных — контролирующие органы вроде Роскомнадзора вправе назначить проверку, выписать предписание или наложить административный штраф.
Расследуйте инциденты со Staffcop
Выявляйте и расследуйте утечки, мошенничество и другие инциденты, происходящие по вине сотрудников.
Частые нарушения:
-
пересылка файлов с данными через личные мессенджеры;
-
размещение документов в папке с общим доступом «для удобства»;
-
отсутствие контроля над тем, кто видит переписку в корпоративных чатах;
-
распечатки с чувствительными данными, забытые на столе в офисе;
-
пароли, записанные на стикере и другие случаи, когда важные данные могут оказаться доступны всем;
-
один общий аккаунт в сервисе, к которому есть доступ у всех сотрудников.
Как соблюдать принцип конфиденциальности:
-
внедрите разграничение доступа к данным: по умолчанию доступ должен быть закрыт, сотрудники должны видеть только то, что им нужно (принцип минимальных привилегий);
-
внедрите систему контроля разграничения доступа, например, Контур.PAM;
-
не используйте общие аккаунты;
-
используйте защищенные каналы связи — корпоративную почту, VPN, шифрование;
-
подписывайте с персоналом NDA, а если в компании много конфиденциальной информации — разработайте политику информационной безопасности и регулярно напоминайте сотрудникам, как с ней обращаться;
-
классифицируйте информацию: что можно пересылать в мессенджере или почте, а что — только по защищенному каналу или вовсе нельзя выносить за пределы системы.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Принцип 2. Целостность
Принцип целостности означает, что информация должна оставаться неизменной, точной и полной с момента её создания или поступления, если нет веской причины для правок. Это особенно важно для документов, на основе которых принимаются решения: договоров, отчетов, финансовых таблиц, баз клиентов и поставщиков, заявок и переписок.
Что будет, если не соблюдать принцип: искажения данных могут повлиять на бизнес — появятся ошибки в договорах, отчетах, клиентских базах. Часто такие ошибки не видны сразу, но проявляются позже, когда решение на основе неверных данных уже принято. Это приводит к потере времени, денег, доверия и снижает эффективность всей компании, может дойти до юридических споров или конфликтов с клиентами.
Частые нарушения:
-
кто-то случайно удаляет данные в таблице;
-
сотрудник сохраняет новую, не согласованную версию документа;
-
в базу данных вносят изменения без уведомления коллег;
-
нет понимания, где актуальная версия данных — в почте, мессенджере или на диске;
-
один сотрудник считает файл окончательным, а другой продолжает его редактировать без уведомления.
Как соблюдать принцип целостности:
-
используйте систему контроля версий;
-
ограничьте круг людей, имеющих доступ к редактированию важных файлов;
-
включите функцию автоматического резервного копирования или регулярно сохраняйте вручную контрольные версии;
-
назначьте ответственных за определённые документы или базы, чтобы было понятно, кто их ведёт и кто утверждает;
-
используйте электронную подпись или настройку прав доступа, если документ критичный.
Принцип 3. Доступность
Принцип доступности означает, что информация должна быть доступна всегда, когда она нужна. Это касается и клиентских баз, и договоров, и переписки, и доступа к рабочим системам.
Что будет, если не соблюдать принцип: работа не будет выполняться вовремя, может пострадать репутация компании. Документы могут быть утеряны без возможности восстановления — например, при поломке носителя или отсутствии доступа к почте бывшего сотрудника.
Частые нарушения:
-
информация хранится только у одного человека, и никто не может получить к ней доступ, когда владелец в отпуске или болеет;
-
файл есть только на локальном компьютере, который вышел из строя;
-
CRM-система или другой важный сервис не работает в нужный момент из-за технических сбоев;
-
увольняется сотрудник, к личному телефону или почте которого привязан корпоративный сервис, восстановить права не получается.
Как соблюдать принцип доступности:
-
храните ключевые файлы в облачных хранилищах с организованной структурой доступа (например, Контур.Диск, Яндекс 360);
-
настройте дублирование прав и доступов: важные данные не должны быть только у одного человека;
-
делайте регулярные резервные копии — особенно для важных баз данных, документов и переписок;
-
обеспечьте стороннюю техподдержку или назначьте внутри компании ответственных за восстановление доступа в экстренных случаях;
-
ведите список учётных записей и паролей с централизованным управлением и контролем прав;
-
пропишите регламент: кто, где и как хранит документы, чтобы ничего не терялось и не зависело от случайностей;
-
привязывайте сервисы компании только к корпоративным почтам и номерам телефонов;
-
внедрите разделение полномочий — за важные процессы должно быть два или более ответственных.
Принцип 4. Контролируемость
Принцип контролируемости состоит в том, что любые изменения информации должны фиксироваться, чтобы понимать, кто, когда и что делал. Это касается как документов, так и писем, данных в CRM, системных настроек и прочего. Контролируемость помогает отслеживать изменения, быстро находить источник ошибок и наводить порядок, когда что-то пошло не так.
Что будет, если не соблюдать принцип: при пропаже информации или возникновении ошибок в ней не получится найти ответственного и восстановить актуальные данные.
Частые нарушения:
-
документ пересылается в мессенджерах — непонятно, кто отправил последнюю версию и где она;
-
файл лежит в общей папке, к нему есть доступ у всех, но нет истории правок;
-
файл редактируют несколько человек с одного аккаунта, и невозможно узнать, кто из них какие изменения внес;
-
несанкционированное изменение данных в CRM или в отчётах невозможно отследить без логов;
-
у сотрудника остаются права доступа после увольнения или перехода на другую должность, не связанную с данной информацией;
-
никто не знает, кто из команды общался с клиентом и на каком этапе договорённости.
Как соблюдать принцип контролируемости:
-
используйте сервисы с журналами действий: например, облачные хранилища с историей изменений, CRM с логами;
-
внедрите DLP (IRM) систему (Staffcop) для логирования и записи действий пользователей;
-
назначайте ответственных за документы и проекты, чтобы было ясно, кто ведёт файл и следит за актуальностью;
-
внедрите правила, как называть актуальные версии документов, чтобы всем было понятно;
-
храните рабочие документы и ведите переписку в корпоративных каналах: не в личных мессенджерах, а в почте, таск-трекерах и чате компании;
-
регулярно пересматривайте и обновляйте права доступа, особенно после увольнений или изменений в команде;
-
при автоматизации используйте настройки доступа по ролям (например, с помощью сервиса РАМ) и включайте двухфакторную аутентификацию (c помощью ID).
Принцип 5. Законность
Принцип законности означает, что любая работа с информацией, особенно с персональными и конфиденциальными данными, должна соответствовать законодательству РФ. Законность даёт компаниям защиту: если правила соблюдены, риск штрафов, проверок и утечек снижается. Особенно важно учитывать требования 152-ФЗ (о персональных данных), законы о коммерческой тайне, а также регламенты для отдельных отраслей — например, в медицине, образовании, финтехе.
Что будет, если не соблюдать принцип: за нарушение законодательства могут последовать штрафы, ограничения на работу с госзаказом и потеря доверия клиентов.
Частые нарушения:
-
сбор лишних данных «на всякий случай», без законного основания;
-
отсутствие согласия на обработку персональных данных;
-
хранение персональных данных на заграничных серверах;
-
отправка документов с данными сотрудников по открытым или незащищённым каналам, например, в мессенджере через личный аккаунт;
-
работа с подрядчиками, у которых нет нужных сертификатов и разрешений.
Как соблюдать принцип законности:
-
проведите инвентаризацию данных: какие именно сведения вы собираете и обрабатываете, откуда они берутся, где хранятся и кто имеет к ним доступ;
-
назначьте ответственного за работу с персональными данными;
-
оформите всю документацию: согласия, регламенты, положения о защите данных, внутренние инструкции;
-
используйте сертифицированные российские облачные решения, соответствующие требованиям ФСТЭК и ФСБ;
-
проверяйте, чтобы подрядчики соблюдали закон: например, хранили данные в РФ и не передавали их третьим лицам без оснований;
-
регулярно обучайте сотрудников основам информационной безопасности и правовым требованиям.
Чек-лист по информационной гигиене
Проверьте, можете ли вы ответить на вопросы ниже. Если хотя бы по одному из пунктов вы ответили «не уверены» — это сигнал, что пора пересмотреть правила работы с информационной безопасностью в компании.
Конфиденциальность
-
Знаете ли вы, кто в компании к каким данным имеет доступ?
-
Есть ли лишние доступы у бывших сотрудников или подрядчиков?
-
Защищены ли каналы передачи данных, используются ли VPN и шифрование?
-
Закрыты ли папки с чувствительной информацией от общего доступа?
Актуальность
-
Удаляете ли вы устаревшую информацию или храните всё?
-
Кто отвечает за актуальность ключевых документов?
-
Есть ли у вас дубли и ошибки в базах данных?
-
Есть ли процессы, которые основаны на использовании устаревшей информации?
Доступность
-
Где хранятся важные файлы — в облаке, на общем сервере, на личных компьютерах сотрудников?
-
Есть ли резервные копии на случай сбоя или потери доступа?
-
Есть ли четкие правила, кто заменяет сотрудников во время болезни или отпуска?
-
Оперативно ли работает техподдержка, если что-то ломается?
Контролируемость
-
Ведётся ли история изменений документов?
-
Понятно ли, кто за что отвечает и кто что сделал с документами?
-
Используете ли вы сервисы с логами действий?
-
Есть ли контроль версий и порядок в документообороте?
-
Знаете ли вы, кто работает с теми или иными файлами и документами?
Законность
-
Есть ли согласия на обработку персональных данных?
-
Не собираете ли вы лишнюю информацию «на всякий случай»?
-
Все ли данные хранятся в России на сертифицированных сервисах?
-
Назначен ли ответственный за соблюдение закона «О персональных данных»?
-
Есть ли у вас документация по работе с персональными данными?