5 основных принципов информационной безопасности: что должен знать каждый сотрудник — Контур.Эгида

В этой статье

5 основных принципов информационной безопасности: что должен знать каждый сотрудник

1 сентября 2025

Незнание базовых принципов информационной безопасности среди сотрудников и руководителей приводит к рискам для бизнеса: утечкам, блокировке работы, штрафам, репутационным потерям. При этом многие думают, что «безопасность — это только про хакеров» или «это дело айтишников», и упускают ключевые риски в ежедневной работе.

Фотография Юрий Драченин Юрий Драченин Эксперт Контур.Эгиды

На самом деле ИБ — это то, как мы работаем с данными и документами каждый день. В статье расскажем, какие главные 5 принципов ИБ должна соблюдать каждая компания и как это сделать.

Принцип 1. Конфиденциальность

Принцип конфиденциальности означает, что доступ к данным должен быть только у тех, кому он действительно необходим по работе. Этот принцип защищает как персональные данные сотрудников и клиентов, так и внутренние бизнес-документы, договоры, коммерческие предложения, переписку и любую информацию, сколь-либо значимую для компании. Конфиденциальность обеспечивается не только технически на уровне информационных систем, но и на уровне организационных процедур — важно, кто, как и когда получает доступ к информации.

Что будет, если не соблюдать принцип: нарушение конфиденциальности может привести к утечке чувствительных данных, репутационным потерям, штрафам от регуляторов, уходу клиентов и даже судебным искам. Например, если просочатся данные о зарплатах или коммерческих переговорах, это может вызвать внутренние конфликты, расторжение контрактов, снижение доверия. Если речь о персональных данных — контролирующие органы вроде Роскомнадзора вправе назначить проверку, выписать предписание или наложить административный штраф.

Частые нарушения:

  • пересылка файлов с данными через личные мессенджеры;

  • размещение документов в папке с общим доступом «для удобства»;

  • отсутствие контроля над тем, кто видит переписку в корпоративных чатах;

  • распечатки с чувствительными данными, забытые на столе в офисе;

  • пароли, записанные на стикере и другие случаи, когда важные данные могут оказаться доступны всем;

  • один общий аккаунт в сервисе, к которому есть доступ у всех сотрудников.

Как соблюдать принцип конфиденциальности:

  • внедрите разграничение доступа к данным: по умолчанию доступ должен быть закрыт, сотрудники должны видеть только то, что им нужно (принцип минимальных привилегий);

  • внедрите систему контроля разграничения доступа, например, Контур.PAM;

  • не используйте общие аккаунты;

  • используйте защищенные каналы связи — корпоративную почту, VPN, шифрование;

  • подписывайте с персоналом NDA, а если в компании много конфиденциальной информации — разработайте политику информационной безопасности и регулярно напоминайте сотрудникам, как с ней обращаться;

  • классифицируйте информацию: что можно пересылать в мессенджере или почте, а что — только по защищенному каналу или вовсе нельзя выносить за пределы системы.

Принцип 2. Целостность

Принцип целостности означает, что информация должна оставаться неизменной, точной и полной с момента её создания или поступления, если нет веской причины для правок. Это особенно важно для документов, на основе которых принимаются решения: договоров, отчетов, финансовых таблиц, баз клиентов и поставщиков, заявок и переписок.

Что будет, если не соблюдать принцип: искажения данных могут повлиять на бизнес — появятся ошибки в договорах, отчетах, клиентских базах. Часто такие ошибки не видны сразу, но проявляются позже, когда решение на основе неверных данных уже принято. Это приводит к потере времени, денег, доверия и снижает эффективность всей компании, может дойти до юридических споров или конфликтов с клиентами.

Частые нарушения:

  • кто-то случайно удаляет данные в таблице;

  • сотрудник сохраняет новую, не согласованную версию документа;

  • в базу данных вносят изменения без уведомления коллег;

  • нет понимания, где актуальная версия данных — в почте, мессенджере или на диске;

  • один сотрудник считает файл окончательным, а другой продолжает его редактировать без уведомления.

Как соблюдать принцип целостности:

  • используйте систему контроля версий;

  • ограничьте круг людей, имеющих доступ к редактированию важных файлов;

  • включите функцию автоматического резервного копирования или регулярно сохраняйте вручную контрольные версии;

  • назначьте ответственных за определённые документы или базы, чтобы было понятно, кто их ведёт и кто утверждает;

  • используйте электронную подпись или настройку прав доступа, если документ критичный.

Принцип 3. Доступность

Принцип доступности означает, что информация должна быть доступна всегда, когда она нужна. Это касается и клиентских баз, и договоров, и переписки, и доступа к рабочим системам.

Что будет, если не соблюдать принцип: работа не будет выполняться вовремя, может пострадать репутация компании. Документы могут быть утеряны без возможности восстановления — например, при поломке носителя или отсутствии доступа к почте бывшего сотрудника.

Частые нарушения:

  • информация хранится только у одного человека, и никто не может получить к ней доступ, когда владелец в отпуске или болеет;

  • файл есть только на локальном компьютере, который вышел из строя;

  • CRM-система или другой важный сервис не работает в нужный момент из-за технических сбоев;

  • увольняется сотрудник, к личному телефону или почте которого привязан корпоративный сервис, восстановить права не получается.

Как соблюдать принцип доступности:

  • храните ключевые файлы в облачных хранилищах с организованной структурой доступа (например, Контур.Диск, Яндекс 360);

  • настройте дублирование прав и доступов: важные данные не должны быть только у одного человека;

  • делайте регулярные резервные копии — особенно для важных баз данных, документов и переписок;

  • обеспечьте стороннюю техподдержку или назначьте внутри компании ответственных за восстановление доступа в экстренных случаях;

  • ведите список учётных записей и паролей с централизованным управлением и контролем прав;

  • пропишите регламент: кто, где и как хранит документы, чтобы ничего не терялось и не зависело от случайностей;

  • привязывайте сервисы компании только к корпоративным почтам и номерам телефонов;

  • внедрите разделение полномочий — за важные процессы должно быть два или более ответственных.

Принцип 4. Контролируемость

Принцип контролируемости состоит в том, что любые изменения информации должны фиксироваться, чтобы понимать, кто, когда и что делал. Это касается как документов, так и писем, данных в CRM, системных настроек и прочего. Контролируемость помогает отслеживать изменения, быстро находить источник ошибок и наводить порядок, когда что-то пошло не так.

Что будет, если не соблюдать принцип: при пропаже информации или возникновении ошибок в ней не получится найти ответственного и восстановить актуальные данные.

Частые нарушения:

  • документ пересылается в мессенджерах — непонятно, кто отправил последнюю версию и где она;

  • файл лежит в общей папке, к нему есть доступ у всех, но нет истории правок;

  • файл редактируют несколько человек с одного аккаунта, и невозможно узнать, кто из них какие изменения внес;

  • несанкционированное изменение данных в CRM или в отчётах невозможно отследить без логов;

  • у сотрудника остаются права доступа после увольнения или перехода на другую должность, не связанную с данной информацией;

  • никто не знает, кто из команды общался с клиентом и на каком этапе договорённости.

Как соблюдать принцип контролируемости:

  • используйте сервисы с журналами действий: например, облачные хранилища с историей изменений, CRM с логами;

  • внедрите DLP (IRM) систему (Staffcop) для логирования и записи действий пользователей;

  • назначайте ответственных за документы и проекты, чтобы было ясно, кто ведёт файл и следит за актуальностью;

  • внедрите правила, как называть актуальные версии документов, чтобы всем было понятно;

  • храните рабочие документы и ведите переписку в корпоративных каналах: не в личных мессенджерах, а в почте, таск-трекерах и чате компании;

  • регулярно пересматривайте и обновляйте права доступа, особенно после увольнений или изменений в команде;

  • при автоматизации используйте настройки доступа по ролям (например, с помощью сервиса РАМ) и включайте двухфакторную аутентификацию (c помощью ID).

Принцип 5. Законность

Принцип законности означает, что любая работа с информацией, особенно с персональными и конфиденциальными данными, должна соответствовать законодательству РФ. Законность даёт компаниям защиту: если правила соблюдены, риск штрафов, проверок и утечек снижается. Особенно важно учитывать требования 152-ФЗ (о персональных данных), законы о коммерческой тайне, а также регламенты для отдельных отраслей — например, в медицине, образовании, финтехе.

Что будет, если не соблюдать принцип: за нарушение законодательства могут последовать штрафы, ограничения на работу с госзаказом и потеря доверия клиентов.

Частые нарушения:

  • сбор лишних данных «на всякий случай», без законного основания;

  • отсутствие согласия на обработку персональных данных;

  • хранение персональных данных на заграничных серверах;

  • отправка документов с данными сотрудников по открытым или незащищённым каналам, например, в мессенджере через личный аккаунт;

  • работа с подрядчиками, у которых нет нужных сертификатов и разрешений.

Как соблюдать принцип законности:

  • проведите инвентаризацию данных: какие именно сведения вы собираете и обрабатываете, откуда они берутся, где хранятся и кто имеет к ним доступ;

  • назначьте ответственного за работу с персональными данными;

  • оформите всю документацию: согласия, регламенты, положения о защите данных, внутренние инструкции;

  • используйте сертифицированные российские облачные решения, соответствующие требованиям ФСТЭК и ФСБ;

  • проверяйте, чтобы подрядчики соблюдали закон: например, хранили данные в РФ и не передавали их третьим лицам без оснований;

  • регулярно обучайте сотрудников основам информационной безопасности и правовым требованиям.

Чек-лист по информационной гигиене

Проверьте, можете ли вы ответить на вопросы ниже. Если хотя бы по одному из пунктов вы ответили «не уверены» — это сигнал, что пора пересмотреть правила работы с информационной безопасностью в компании.

Конфиденциальность

  • Знаете ли вы, кто в компании к каким данным имеет доступ?

  • Есть ли лишние доступы у бывших сотрудников или подрядчиков?

  • Защищены ли каналы передачи данных, используются ли VPN и шифрование?

  • Закрыты ли папки с чувствительной информацией от общего доступа?

Актуальность

  • Удаляете ли вы устаревшую информацию или храните всё?

  • Кто отвечает за актуальность ключевых документов?

  • Есть ли у вас дубли и ошибки в базах данных?

  • Есть ли процессы, которые основаны на использовании устаревшей информации?

Доступность

  • Где хранятся важные файлы — в облаке, на общем сервере, на личных компьютерах сотрудников?

  • Есть ли резервные копии на случай сбоя или потери доступа?

  • Есть ли четкие правила, кто заменяет сотрудников во время болезни или отпуска?

  • Оперативно ли работает техподдержка, если что-то ломается?

Контролируемость

  • Ведётся ли история изменений документов?

  • Понятно ли, кто за что отвечает и кто что сделал с документами?

  • Используете ли вы сервисы с логами действий?

  • Есть ли контроль версий и порядок в документообороте?

  • Знаете ли вы, кто работает с теми или иными файлами и документами?

Законность

  • Есть ли согласия на обработку персональных данных?

  • Не собираете ли вы лишнюю информацию «на всякий случай»?

  • Все ли данные хранятся в России на сертифицированных сервисах?

  • Назначен ли ответственный за соблюдение закона «О персональных данных»?

  • Есть ли у вас документация по работе с персональными данными?

Фотография Юрий Драченин Юрий Драченин Эксперт Контур.Эгиды
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться