Обеспечение информационной безопасности в организации: полный алгоритм для бизнеса и госсектора

[Собака]

Информационная безопасность (ИБ) — это не просто набор технических решений, а системный подход к защите критически важных активов организации от внутренних и внешних угроз.





В условиях усиления законодательного контроля (ФЗ-152, ФЗ-149, приказ ФСТЭК № 21, ГОСТ Р ИСО/МЭК 27001-2023) и роста киберугроз, отсутствие эффективной системы ИБ ведет к административным штрафам, блокировке сайтов, утрате репутации, судебным искам, приостановке деятельности и уголовной ответственности.

1. Этапы обеспечения информационной безопасности в организации​

1.1. Определение информации, подлежащей защите​

На этом этапе проводится инвентаризация информационных активов — всех объектов, обработка которых может повлиять на функционирование организации.
Что включается в анализ:

• Базы данных (клиенты, сотрудники, поставщики).
• Серверы (локальные и облачные — AWS, Yandex Cloud, Mail.ru Cloud, S3).
• Программное обеспечение (CRM, ERP, бухгалтерские системы, корпоративные порталы).
• Электронная почта и мессенджеры.
• Документы на бумаге (включая архивы и уничтожаемые носители).
• Устройства (ноутбуки, мобильные телефоны, принтеры, IoT-устройства).
• Информационные системы (ИС), включая веб-сайты и лэндинги.

Классификация информации по уровню конфиденциальности:

Уровень защиты	Примеры	Требования к защите
Общедоступная	Публичные новости	Минимальная
Служебная	Внутренние инструкции, регламенты, расписания, база клиентов	Ограничение доступа
Конфиденциальная	Сделки, договоры, счета	Шифрование, контроль доступа
Секретная (ДСП)	Персональные данные, коммерческая тайна	Полная изоляция, кроме ключевых лиц (ЭЦП)

Важно: согласно ст. 10 ФЗ-152, ответственность за защиту персональных данных лежит на операторе, даже если данные переданы третьему лицу (например, облачному провайдеру). Облачный сервис — это инструмент, а не ответственный.
Реальный кейс: организация передала клиентские базы на хранение в облако, но не внедрила шифрование и контроль доступа. При утечке данных — штраф 1,5 млн руб. по ст. 13.11 КоАП был наложен на саму организацию, а не на провайдера.
Рекомендация: проводить ежеквартальный аудит активов — обновлять реестр, удалять устаревшие системы, выявлять «тени IT» (неучтенные программы и устройства).

1.2. Оценка возможных угроз​

Угроза — это возможность возникновения события, способного нарушить конфиденциальность, целостность или доступность информации.
Классификация угроз:
1. Преднамеренные инциденты:

• Незаконный доступ к системам и данным.
• Фишинговая атака (пример: электронные письма на почте для распространения вредоносных ссылок и вложений, которые могут выполнять различные функции).
• Вредоносные ПО: вирусы; рекламное ПО и тд.
• DoS-атака (ведет к серьезным последствиям).

2. Случайные инциденты:

• Ошибки сотрудников организации (человеческий фактор). Нажатие на объявление в интернете, посещение заряженного сайта может привести к необратимым последствиям работы организации.
• Нелицензированное ПО.

Реальные кейсы:

• DDoS-атака на 12Storeez — атака на сайт привела к 50 млн руб. убытков из-за остановки продаж и восстановления инфраструктуры.
• Свалка сканов паспортов в Пятигорске — сотрудники банка не уничтожили документы, а вывезли их на свалку. Это нарушение ст. 13.11 КоАП и ст. 137 УК — утечка персональных данных по вине организации.

Рекомендация: разработать Модель угроз — документ, в котором описываются:

• Объекты защиты (ИС, данные, оборудование).
• Возможные нарушители (внутренние, внешние, природные).
• Сценарии атак и их последствия.
• Вероятность и потенциальный ущерб.

1.3. Меры обеспечения информационной безопасности​

Меры делятся на технические и организационные. Только их сочетание дает устойчивую защиту.
1. Технические меры:

• Межсетевые экраны (Firewall) — фильтрация входящего и исходящего трафика.
• Системы обнаружения и предотвращения вторжений (IDS/IPS) — анализ подозрительной активности в реальном времени.
• Антивирусные решения — защита от вирусов, троянов, шпионского ПО.
• Системы предотвращения утечек данных (DLP) — контроль передачи конфиденциальной информации через email, USB, облака.
• Двухфакторная аутентификация (2FA) — обязательна для доступа к ИС, особенно с ПДн.
• Шифрование данных — на уровне дисков (BitLocker), баз данных, каналов связи (TLS 1.3).
• Резервное копирование и восстановление — регулярное (ежедневное) создание копий с хранением вне сети (air-gapped backup).
• Управление доступом (RBAC) — принцип «меньше всего необходимого» — доступ только по необходимости.

2. Организационные меры:

• Обучение сотрудников — обязательные тренинги по ИБ не реже 1 раза в квартал. > 80% инцидентов происходят по вине персонала: переход по фишинговой ссылке, отправка ПДн на личную почту, использование пароля «123456».
• Политика паролей — сложность, срок действия, запрет на повторное использование.
• Контроль использования внешних носителей — блокировка USB, запрет на скачивание ПО из непроверенных источников.
• Аудит доступа — журналы входа, отслеживание действий пользователей.
• Управление изменениями — процедуры установки обновлений, тестирования ПО, внедрения новых систем.

1.4. Разработка и внедрение документов по информационной безопасности​

Обязательный перечень документов (ФЗ-149, ФЗ-152, ГОСТ Р ИСО/МЭК 27001):

1. Основной документ — Политика информационной безопасности, где закрепляются: цели, принципы, ответственность, требования к защите, процедуры, ссылки на другие документы..
2. Приказы о назначении ответственного за ИБ, о внедрении политики, о создании комиссии по ИБ.
3. Инструкции по работе с ИС, по обработке ПДн, по использованию электронной почты, по уничтожению носителей.
4. Порядок доступа к ИС, порядок резервного копирования, порядок реагирования на инциденты.
5. Журналы: входа в ИС, инструктажей, проверок, инцидентов, уничтожения документов.
6. Технические паспорта ИС, схемы сетей, перечень оборудования, перечень помещений с ИС.
7. План мероприятий по ИБ на год, план реагирования на инциденты (BCP/DRP).
8. Памятки для сотрудников, соглашения о конфиденциальности, акты проверки.

Важно: все документы должны быть утверждены руководителем, доступны сотрудникам, обновляться при изменениях (новое ПО, закон, структура) и соответствовать реальной практике. Роскомнадзор и ФСТЭК проверяют не только наличие документов, но и их реализацию!

2. Виды инцидентов в информационной безопасности​

Инцидент ИБ — событие, указывающее на возможное или фактическое нарушение конфиденциальности, целостности или доступности информации.
1. Преднамеренные инциденты:

• Несанкционированный доступ — взлом аккаунта, использование чужих учетных данных.
• Фишинг — поддельные письма, имитирующие официальные источники (например, «Платеж от Роскомнадзора»).
• Вредоносное ПО — вирусы, трояны, шифровальщики (ransomware), кейлоггеры.
• DDoS-атаки — перегрузка сервера трафиком, вывод из строя сайта или сервиса.
• Социальная инженерия — манипуляция сотрудником для получения доступа (звонок от «IT-поддержки»).

2. Случайные инциденты:

1. Ошибки персонала — отправка ПДн на личную почту, удаление базы данных, несвоевременное обновление ПО.
2. Использование нелицензионного ПО — риски утечки через бэкдоры.
3. Физические повреждения — пожар, затопление, кража оборудования.
4. Сбои оборудования — отказ жесткого диска, выход из строя сервера без резервного копирования.

Критично: инциденты, связанные с утечкой персональных данных, подлежат обязательному уведомлению Роскомнадзора в течение 72 часов (ст. 21 ФЗ-152). Нарушение — штраф до 1 млн руб. для организации.

3. Чек-лист мер для обеспечения информационной безопасности в организации​

Проверьте, что выполнено:
Анализ и классификация активов — составлен реестр ИС, данных, устройств, с указанием уровня конфиденциальности.
Оценка угроз — разработана и утверждена Модель угроз.
Политика ИБ — создана, подписана, опубликована, доступна всем сотрудникам.
Документы внедрены — приказы, инструкции, журналы, планы, памятки.
Технические меры — установлены firewall, антивирус, DLP, 2FA, шифрование, резервное копирование.
Обучение сотрудников — проведены тренинги, ведется журнал инструктажей, есть тестирование знаний.
Контроль доступа — соблюдается принцип «меньше всего необходимого», уволенные сотрудники лишены доступа.
Резервное копирование — данные копируются ежедневно, хранятся вне сети, тесты восстановления проводятся раз в квартал.
План реагирования на инциденты — есть пошаговый алгоритм действий при утечке, DDoS, вирусе.
Аудит и обновление — раз в 6 месяцев проводится внутренний аудит, документы актуализируются.
Соответствие законодательству — все меры соответствуют ФЗ-149, ФЗ-152, ГОСТ Р ИСО/МЭК 27001, приказу ФСТЭК № 21.
Ответственный за ИБ — назначен, его обязанности закреплены в приказе и должностной инструкции.
Сайт и онлайн-сервисы — размещены Политика обработки ПДн, Cookie-политика, согласие на обработку, защита от DDoS, HTTPS.
Обеспечение информационной безопасности — это непрерывный процесс, а не разовая задача. Он требует системного подхода: от анализа активов до обучения персонала и технической защиты.
Ошибки, которые приводят к катастрофам:

• Использование шаблонных документов без адаптации.
• Отсутствие обучения сотрудников.
• Игнорирование резервного копирования.
• Несоответствие реальной практики документам.
• Неверная оценка угроз (например, игнорирование внутренних рисков).

Для просмотра ссылки необходимо нажать Вход или Регистрация