Три кита правовой защиты информации: что проверяет регулятор

от

За что отвечаешь в организации на самом деле

Ответственность за правовую защиту информации на практике, это не абстрактная «защита данных». Это ответ на несколько вопросов, которыми задаётся правоохранительный орган или надзор при проверке. Они не смотрят на то, насколько современная защита у вас стоит на файловом сервере. Они проверяют три вещи: была ли информация определена как защищаемая, соблюдалась ли установленная для этой информации процедура работы, и был ли к ней контроль доступа. Если любой из этих пунктов не выполнен, формально защиты нет, а у вас есть административная или уголовная ответственность.

Как определить, что именно защищать

Это первый шаг, который большинство пропускает, сразу переходя к технике. Согласно 152-ФЗ, вы должны составить модель угроз — формальный документ, где указаны объекты защиты и возможные угрозы. На деле модель угроз часто становится формальным отписком, но её можно превратить в рабочий инструмент, если следовать не букве, а смыслу.

Процесс определения проходит через несколько фильтров:

  1. Юридический фильтр. Какая информация из-за вашей деятельности прямо подпадает под действие законов (персональные данные, коммерческая тайна, государственная тайна, служебная тайна)? Составьте исчерпывающий перечень таких категорий.
  2. Бизнес-фильтр. Какие данные, не защищённые законом напрямую, являются критичными для бизнеса (ноу-хау, планы расширения, переписка с ключевыми партнёрами)? Их защита строится на договорных обязательствах (например, NDA) и внутренних регламентах.
  3. Технический фильтр. Где физически и логически хранятся и обрабатываются данные из первых двух категорий? Карта информационных активов — серверы, рабочие станции, облачные сервисы, физические носители в сейфах.

Если данные не прошли все три фильтра, а вы тратите на их защиту ресурсы — вы либо перестраховываетесь, либо не понимаете рисков.

Процедуры против технических решений

Среднестатистическая политика информационной безопасности в организации представляет собой кипу бумаг, которые никто не читал. Реальная защита строится на процедурах — последовательных действиях, которые сотрудник обязан выполнять для работы с данными.

Процедуры должны быть атомарными и проверяемыми. Например:

  • Для персональных данных: «Распечатка документа с ПДн осуществляется только на принтер в комнате №407. Распечатанный документ забирается в течение 5 минут. Невостребованные распечатки уничтожаются дежурным администратором с записью в журнал утилизации».
  • Для коммерческой тайны: «Обсуждение проектов по кодовым именам «Альфа» и «Бета» разрешено только в переговорной №3, оснащённой глушителем сотовой связи. Запись на использование переговорной ведётся в системе ITSM не менее чем за 2 часа».

Технические средства (DLP, шифрование, СКУД) лишь помогают выполнять и контролировать эти процедуры. Без процедур техника либо блокирует всю работу, либо остаётся «коробкой», которая формально выполняет требования регулятора, но не решает реальных задач защиты.

Учёт и контроль: где возникают реальные уязвимости

Контроль доступа часто сводится к настройке Active Directory. Настоящий разрыв происходит не на уровне входа в систему, а на уровне логики работы.

  1. Коллизия доступов. Сотрудник имеет доступ к отдельным данным в рамках своей роли, но совокупность доступов позволяет ему собрать информацию, к которой он формально не должен иметь доступ. Пример: сотрудник отдела кадров видит все папки с персональными данными, а бухгалтер — все финансовые отчёты. Вместе они могут составить полную картину финансового состояния любого коллеги.
  2. Неучтённые каналы. Запретили флешки, настроили DLP на почту, но сотрудники синхронизируют рабочие файлы через личные облачные диски или передают через мессенджеры на корпоративных телефонах, не попавших под политики MDM.
  3. Отсутствие учёта работы с данными. Даже если доступ есть, важно фиксировать не только факт доступа, но и операции: печать, копирование, модификация. Без подробных логов невозможно доказать, что сотрудник, имевший доступ, действительно совершил инсайдерское действие.

Критические ошибки при разработке решений

Основная ошибка — попытка купить готовое решение «под ключ» и делегировать ему защиту. Регуляторы, особенно ФСТЭК, требуют, чтобы меры защиты соответствовали именно вашей модели угроз. Типовое решение, не адаптированное под ваши процедуры и потоки данных, не пройдёт проверку.

Вторая ошибка — игнорирование человеческого фактора. Можно внедрить самую строгую систему, но если сотрудники не понимают, зачем это нужно, они найдут обходные пути. Решение — не формальное обучение раз в год, а интеграция элементов охраны труда и информационной безопасности в ежедневные инструктажи и KPI.

Третья ошибка — изоляция команды безопасности. Отдел ИБ должен тесно работать не только с IT, но и с юридическим отделом (для анализа договоров и требований), с кадровой службой (для проверки сотрудников и обучения) и с руководителями подразделений (для формирования реальных требований к доступности данных).

Порядок действий

  1. Сформируйте рабочую группу из представителей IT, юридического отдела, кадровой службы и руководителей бизнес-подразделений.
  2. Проведите инвентаризацию. Определите все информационные активы и категории информации (юридический и бизнес-фильтры).
  3. Разработайте и утвердите приказом модель угроз. Она должна быть конкретной и ссылаться на выявленные активы.
  4. Для каждой категории информации и актива разработайте пошаговые процедуры работы. Они должны быть простыми, измеримыми и внедрёнными в должностные инструкции.
  5. Подберите и внедрите технические средства для поддержки процедур и контроля их выполнения. Настройте учёт и анализ логов.
  6. Регулярно (раз в квартал) проводите внутренние проверки на соответствие процедурам, а не на наличие техники. Используйте метод «тайного покупателя» — попытку силами своих же сотрудников нарушить установленные правила.

Правовая защита информации, это документированная, контролируемая и проверяемая система процессов. Её ядром являются не сертифицированные средства, а логичные и исполнимые внутренние правила, которые все в организации понимают и соблюдают. Техника — лишь инструмент для их усиления и проверки.

Оставьте комментарий