— Нужна ли системная защита конфиденциальности, может бизнесу не стоит тратить значительные средства не очень понятно на что?

— Лучше всего ответит на этот вопрос уголовная статистика с 2022 по 2024 год, по статьям, связанным с посягательством на защищаемую информацию: статья 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» — осуждено 113 чел.; статья 137. УК РФ «Нарушение неприкосновенности частной жизни» — осуждено 754 чел.; статья 272 УК РФ «Неправомерный доступ к компьютерной информации» — осуждено 660 чел.

Дополняют картину результаты исследования экспертно—аналитического центра InfoWatch, которые говорят о 778 утечках информации ограниченного пользования, а также о 1,5 млрд утечек записей персональных данных. Средний ущерб от утечки информации в России в 2024 году составил 11,5 млн рублей. Согласно же экспертным оценкам, максимальный совокупный ущерб (с затратами на расследование инцидента) может достигать 140 млн рублей. В свете усиления ответственности в сфере защиты персональных можно уверенно прогнозировать увеличение ущерба для компаний от утечек защищаемой информации.

Скептики защитных мер говорят, что это бессмысленные траты, позволяющие разоблачить далеко не всех злоумышленников. В ответ хочется привести одну историю времен второй мировой войны. Торговые суда оснащались зенитными орудиями, и некий руководитель однажды озадачился этим вопросом и попросил статистику по сбитым самолетам. Статистика оказалась стремящейся к нулю и было принято решение убрать зенитки с торговых судов, после чего караваны перестали доходить в порты назначения. Мораль истории такова: защитные меры мешают злоумышленнику «прицелиться» — и это их основная задача. Задача его «сбить» вторична по отношению к стратегической цели защиты.

— Почему бизнес часто не может сформулировать адекватный запрос на защиту конфиденциальной информации?

— Бизнес часто сталкивается с искаженным восприятием того, что в его деятельности является конфиденциальным. Часто встречается перегиб в сторону того, что практически вся информация, связанная с их деятельностью, должна быть защищена. В основе этого могут быть иррациональные страхи, приводящие к избыточным запросам на защиту информации, которая на самом деле не требует такой степени охраны. Например, информация о внутренних процессах компании может быть менее критичной, чем данные о клиентах или финансовые отчеты. Последствием искаженного восприятия является увеличение затрат на безопасность и отвлечение ресурсов от более важных аспектов защиты.

— Как незнание предмета защиты влияет на формирование запросов на защиту информации?

— Незнание предмета защиты — это одна из основных причин, по которой компании не могут адекватно оценить свои потребности в защите информации. Часто заказчики услуг по безопасности не понимают, какие именно данные подлежат защите и какие угрозы могут их затрагивать. Это приводит к тому, что они могут заказывать услуги, которые не соответствуют их реальным потребностям. Например, компания может тратить значительные средства на защиту информации, которая не является критически важной, в то время как более уязвимые области остаются без внимания. Кроме того, успешные предприниматели могут иметь высокую степень уверенности в своем бизнесе, что иногда приводит к игнорированию рисков. Это создает ситуацию, когда компания оказывается не готова к реальным угрозам, что может привести к серьезным последствиям в случае утечки информации или кибератаки.

— Какие существуют грифы и отметки для конфиденциальной информации на практике?

— На сегодняшний день по данным «КонсультантПлюс» существует боле 140 видов конфиденциальной информации, на практике все это группируется по трем категориям: «коммерческая тайна»,«для служебного пользования» и «конфиденциально». Каждая из этих категорий имеет свои особенности: например, информация, помеченная как «коммерческая тайна», требует особой защиты, так как ее раскрытие может нанести ущерб конкурентоспособности компании, а также в силу Федерального закона «О коммерческой тайне».

Важно отметить, что к конфиденциальным сведениям также относятся персональные данные, которые защищаются в соответствии с другим Федеральным законом «О персональных данных». Для защиты персональных данных грифы обычно не применяются, и защита осуществляется через другие механизмы защиты. Важно, чтобы каждая компания разработала свою систему классификации информации, это позволит эффективно управлять рисками и обеспечивать защиту наиболее критичных данных.

— Как помочь потенциальным заказчикам сформулировать свои потребности в защите конфиденциальности?

— Важно провести тщательный анализ их бизнеса и специфики его деятельности. Это может включать в себя оценку рисков, связанных с утечкой информации, а также определение того, какая информация является критически важной для их деятельности. Необходимо получить ответы на вопросы, которые помогут выявить реальные потребности в безопасности, такие как: «Какие данные вы храните?», «Какова степень их важности для вашего бизнеса?» и «Каковы потенциальные последствия утечки этих данных?». Полезно провести встречи с представителями основных бизнес— направлений компании: это делается как для повышения осведомленности персонала в вопросах защиты информации, так и для диагностики состояния дел в компании.

Все это позволит создать более четкое техническое задание для получения услуг защиты конфиденциальности, минимизируя риски, связанные с неправильной оценкой потребностей.

— Как можно дифференцировать закрытую и открытую информацию?

— Дифференциация между закрытой и открытой информацией является ключевым аспектом в управлении конфиденциальностью. Один из простых и эффективных способов — это экспресс—тест. Задайте вопрос: «Что произойдет, если эту конкретную информацию выложить в открытый доступ?» Если ответ на этот вопрос указывает на реальные негативные последствия для бизнеса, это сигнализирует о том, что информация подлежит защите.

Можно использовать метод классификации, который включает в себя анализ данных по их важности, чувствительности и потенциальному ущербу от их раскрытия. Важно также учитывать контекст, в котором информация используется, так как некоторые данные могут быть открытыми в одном контексте и закрытыми в другом. Например, общедоступные финансовые отчеты на этапе их формирования могут расцениваться как конфиденциальные.

Разграничение закрытой и открытой корпоративной информации позволяет эффективно управлять рисками и оптимизировать расходы на защиту.

— Какие распространенные ошибки встречаются при организации защиты конфиденциальной информации?

— При организации защиты конфиденциальной информации компании часто совершают несколько распространенных ошибок. Во—первых, многие предприниматели проявляют биполярность в подходах к защите: либо стремятся к тотальному закрытию информации, либо полностью игнорируют необходимость защиты. Это может привести к неэффективному распределению ресурсов и недостаточной защите критически важной информации. Во—вторых, компании часто полагаются на «бумажную» безопасность, то есть на наличие документов и политик, не обеспечивая реальную защиту данных. Это означает, что даже если у компании есть формальные процедуры, они могут не исполняться на практике. Кроме того, недостаточная осведомленность сотрудников о процедурах безопасности может привести к ошибкам и утечкам информации. Важно проводить регулярные тренинги и обучение, чтобы обеспечить понимание всех сотрудников важности защиты конфиденциальной информации и их роли в этом процессе.

— Каковы перспективы взаимодействия между контрагентами в контексте защиты конфиденциальной информации?

— Перспективы взаимодействия между контрагентами в контексте защиты конфиденциальной информации зависят от уровня зрелости систем защиты информации у каждой из сторон. При заключении соглашения о конфиденциальности важно, чтобы обе стороны имели возможность ознакомиться с локальными нормативными актами, регулирующими защиту конфиденциальной информации. Это позволяет установить общие стандарты и ожидания в отношении защиты данных. Если стороны имеют разные уровни зрелости функции защиты информации, это создает дополнительные риски.

Установление прозрачности процесса и доверия между контрагентами также играет ключевую роль в успешном взаимодействии и защите конфиденциальной информации.

— Каковы основные элементы зрелой системы защиты конфиденциальной информации?

— Зрелая система защиты конфиденциальной информации состоит из трех основных элементов:

Система локальных нормативных актов: Этот элемент представлен разработкой и внедрением внутренних политик и процедур, которые определяют, какая информация подлежит защите, как она должна обрабатываться и кто несет ответственность за ее защиту. Эти документы должны быть доступны всем сотрудникам и регулярно обновляться в соответствии с изменениями в законодательстве и бизнес—процессах.

Инфраструктура защиты: Элемент включает в себя физические и технические меры, такие как системы контроля доступа, шифрование данных, антивирусные программы и другие средства, которые помогают предотвратить несанкционированный доступ к конфиденциальной информации. Важно, чтобы инфраструктура была адаптирована под конкретные нужды компании и соответствовала уровню угроз.

Сопровождение бизнес-процессов: это интеграция защиты конфиденциальной информации в повседневные бизнес—процессы. Включает в себя обучение сотрудников, регулярные аудиты и проверки безопасности, а также создание культуры безопасности в компании, где каждый сотрудник понимает свою роль в защите информации. Отдельное место в этом этапе занимает специализированное программное обеспечение и иные специальные инструменты, используемые подразделениями безопасности.

Перечисленные элементы должны работать в гармонии друг с другом, чтобы обеспечить эффективную защиту конфиденциальной информации и минимизировать риски утечек данных.

— Как часто следует актуализировать перечень защищаемой информации?

— Актуализация перечня защищаемой информации должна происходить на регулярной основе, чтобы оставаться актуальным в условиях быстро меняющегося бизнес—окружения и технологий. Рекомендуется проводить пересмотр не реже одного раза в год, а также в случае значительных изменений в бизнесе, таких как новые продукты, услуги или изменения в законодательстве. Например, если компания начинает обрабатывать новые типы данных или расширяет свою деятельность на новые рынки, важно пересмотреть перечень защищаемой информации. Также следует учитывать, что информация теряет свою конфиденциальность со временем, и то, что было критически важным месяц назад, может стать менее значимым.

— Как корпоративная культура влияет на защиту конфиденциальной информации?

— Корпоративная культура играет ключевую роль в обеспечении защиты конфиденциальной информации. Если в компании существует культура осведомленности о безопасности, сотрудники будут более внимательны к тому, как они обрабатывают конфиденциальные данные. Это означает, что они будут более склонны соблюдать установленные процедуры и правила, а также сообщать о любых подозрительных действиях. Важно, чтобы руководство компании демонстрировало приверженность вопросам безопасности, проводя регулярные тренинги и обучения, а также поощряя сотрудников за соблюдение протоколов безопасности. Когда корпоративная культура поддерживает защиту конфиденциальной информации, это не только снижает риски утечек, но и создает атмосферу доверия и ответственности среди сотрудников.

Сильная корпоративная культура в сфере безопасности может стать конкурентным преимуществом для компании и повысить ее репутацию среди клиентов и партнеров.

^{Фото: echodumardi.com}