Технические средства защиты блокируют известные атаки, но не устраняют риски, вызванные человеческим фактором и отсутствием четких правил работы с информацией. Без организационных мер — приказов о назначении ответственных, правил доступа, процедур отзыва прав — программные решения не обеспечат полной защиты. К тому же грамотная организация снижает нагрузку при настройке таких решений, а иногда позволяет и вовсе обойтись без дорогостоящих инструментов. Рассмотрим, какие организационные меры стоит внедрить дополнительно к специализированному софту и железу.
Что такое информационная безопасность и зачем защищать данные
Под информационной безопасностью понимается защита информации и поддерживающей ее инфраструктуры от несанкционированного доступа (НСД), утечки, искажения и уничтожения. Это также комплекс мер по предотвращению, выявлению и ликвидации последствий угроз.
Практически для любой организации данные клиентов, коммерческая тайна, платежная информация — важный производственный актив. Утечка таких сведений может привести к остановке бизнес-процессов, финансовым и репутационным потерям или использованию информации в мошеннических схемах.
Кроме того государство последовательно ужесточает ответственность за нарушения в сфере инфобеза: действуют оборотные штрафы за утечки персональных данных, введены уголовные статьи для руководителей, а регуляторы (Роскомнадзор, ФСТЭК, Банк России) усиливают проверки. Судебные иски со стороны пострадавших клиентов стали обычной практикой.
Каждый инцидент — утечка, сбой или искажение данных — это нарушение одного или нескольких базовых принципов информационной безопасности.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Три основных принципа информационной безопасности
Отдельное решение может закрывать только один из принципов — например, DLP отвечает за конфиденциальность, а резервное копирование — за доступность. Но в итоге вся система защиты должна покрывать все три принципа без пробелов.
Принцип № 1. Конфиденциальность
Данные доступны только тем, кому они предназначены. Все остальные не могут их просматривать, копировать или передавать.
Связанные угрозы: перехват трафика, кража паролей, подбор учетных данных, действия инсайдера.
Инструменты контроля: разграничение доступа, шифрование, DLP-системы.
Расследуйте инциденты со Staffcop
Выявляйте и расследуйте утечки, мошенничество и другие инциденты, происходящие по вине сотрудников.
Принцип № 2. Целостность, достоверность и полнота информации
Информация не должна изменяться неправомерно. Любое изменение — только авторизованное и записанное в журнал.
Связанные угрозы: подмена записей в базе данных, внедрение вредоносного кода, ошибочные действия администратора.
Инструменты контроля: хеширование, системы обнаружения изменений, разделение прав на запись.
Принцип № 3. Доступность
Пользователи с правом доступа получают данные тогда, когда это нужно. Сбой или атака не должны останавливать работу.
Связанные угрозы: DDoS-атаки, поломка оборудования, программы-шифровальщики, отказы систем хранения данных.
Инструменты контроля: резервное копирование, отказоустойчивая архитектура, план восстановления после сбоев.
Но если говорить о персональных данных (ПД) — ситуация особая. Здесь к общим принципам информационной безопасности добавляются конкретные требования законодательства (152-ФЗ, GDPR). Они касаются того, как работают с ПД: зачем собирают, сколько хранят, кому передают. Это не принципы защиты в классическом понимании, а правила легитимного использования системы. Их соблюдение снижает риски уязвимости ПД и использования их не по назначению.
Вот свод правил работы с персональными данными:
- Легитимность и прозрачность. Сбор данных только на законном основании. Пользователь должен понимать: кто, зачем и как обрабатывает его данные.
- Целевое использование. Данные используются только для тех целей, которые были объявлены при сборе. Сбор паспортных данных для доставки товара не позволяет использовать их в маркетинге.
- Минимизация. Запрашивать только те поля, которые действительно нужны. Нет смысла требовать СНИЛС при регистрации на вебинар.
- Точность и актуальность. Опечатки и устаревшие записи приводят к штрафам при проверках. Нужен механизм обновления и верификации.
- Ограничение хранения. Установить сроки удаления ПД после достижения цели. Бесконечное хранение увеличивает риски и не имеет законных оснований.
Ответственность оператора. Назначить лицо, отвечающее за обработку ПД, вести журналы событий, документировать все процессы.
Организационные меры защиты: три группы
Чтобы проще понять, как работают организационные меры, разделим их на три группы. Так удобнее проверить, что ничего не упущено.
Административные меры
Задают общие правила, распределяют ответственность и определяют принципы защиты. Что нужно сделать:
- Утвердить Политику информационной безопасности и Политику обработки персональных данных. Для государственных информационных систем с 1 марта 2026 года дополнительно требуется разработать политику для подрядчиков — этого требует приказ ФСТЭК №117. Для коммерческих организаций, которые так же практикуют работу с подрядчиками, внедрение такой политики также позволит избежать определенных рисков.
- Назначить приказом ответственного за персональные данные и, при необходимости, руководителя подразделения ИБ.
- Определить периодичности внутренних аудитов. Для государственных информационных систем нужно проводить оценку защищенности каждые шесть месяцев.
- Утвердить перечень конфиденциальных сведений и модели угроз.
Регламенты
Определяют, какие действия в штатных и нештатных ситуациях должны выполнять сотрудники и администраторы, чтобы обеспечить защиту информации. Что нужно сделать:
- Разграничить и зафиксировать в отдельном положении права доступа: кто и к каким данным имеет доступ, как часто пересматриваются выданные права.
- Разработать инструкции: для сотрудников — как работать с паролями, что делать с подозрительными письмами, для администраторов — как проводить настройку средств защиты, резервное копирование, мониторинг, как часто проводить обучение сотрудников.
- Создать регламент резервного копирования и проверки восстановления.
- Составить план реагирования на инциденты: определить ответственных, срок уведомления Роскомнадзора (24 часа), порядок сбора доказательств и анализа инцидента.
- Прописать правила работы со съемными носителями, мессенджерами и облачными хранилищами и т.д.
- Вести журналы учета (выдача доступов, носители, инструктажи, проверки средств защиты) и организовать процесс: кто ответственный, кто имеет доступ и т.д.
Правовые меры
Закрепляют юридические обязательства компании, контрагентов и сотрудников. Что нужно сделать:
- Включить в договоры с подрядчиками условий о конфиденциальности, ответственности за утечки и праве на проверки.
- Заключить с сотрудниками соглашения о неразглашении (NDA).
- Привести локальные акты в соответствие с требованиями 152-ФЗ, ПП №1119, приказов ФСТЭК и ФСБ. Например, приказ ФСТЭК №117 предписывает: не менее 30% сотрудников подразделения ИБ должны иметь профильное образование, обучение персонала проводится не реже одного раза в полгода, критические уязвимости устраняются в течение семи дней.
- Ознакомить сотрудников с документами под подпись.
Организационные меры задают правила, распределяют ответственность и описывают процедуры. Но сами по себе они не блокируют утечку и не фиксируют нарушения. Технические средства — системы контроля доступа, DLP, SIEM, EDR — превращают эти правила в работающие механизмы, которые отслеживают, кто, когда и что делал с данными. Поэтому полноценная защита строится на двух связанных контурах: организационном — регламенты, инструкции, обучение, и техническом — софт и железо, которые эти регламенты исполняют. Внедрять их нужно параллельно, а не последовательно.
Из перечисленных выше мер не обязательно внедрять всё и сразу. Логично начать с аудита текущего состояния: какие политики уже действуют, как разграничены доступы, ведутся ли журналы, проходит ли персонал обучение и какие технические средства уже используются. Выявленные пробелы устраняются в порядке приоритета — например, сначала назначаются ответственные и прописываются правила доступа, затем настраиваются системы контроля.
Провести такой аудит можно силами внутренней службы безопасности или с привлечением внешнего подрядчика. Например, специалисты Контур.Эгиды смогут проверить действующие настройки и документацию на соответствие требованиям ФСТЭК и 152-ФЗ. Результат — список конкретных недостатков с указанием того, что именно нужно исправить и в каком порядке, а также готовые регламенты и документы.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.