По данным BI.ZONE, за 2022 год в Сеть утекли 925 баз с персональными данными: 1,4 млрд строк информации объёмом свыше 160 ГБ. Расскажем, как предотвратить такие инциденты и построить систему кибербезопасности, способную на деле защитить данные клиентов, сотрудников и партнёров.
- Баланс: требования законодательства и практическая безопасность
- Инструкция: как на практике выстроить защиту персональных данных
- Результат
Баланс: требования законодательства и практическая безопасность
Регулятор подталкивает бизнес к тому, чтобы на практике заниматься вопросами кибербезопасности. Законодательство не просто говорит, что защищать ПДн необходимо, но ещё и даёт подробный список действий; им могут воспользоваться компании, которые не знают, с чего начать.
- Выделить ИСПДн — информационные системы персональных данных (постановление Правительства РФ № 1119).
- Определить возможные угрозы и нарушителей (методика ФСТЭК России от 2021 г., БДУ ФСТЭК России).
- Создать систему защиты (приказ ФСТЭК России № 21).
Соответствие требованиям регуляторов убережёт организацию от штрафа в размере до 18 млн рублей для юридических лиц и до 1 млн рублей для физических лиц. Но нельзя гарантировать, что бизнес избежит инцидента, соблюдая требования только на бумаге. К примеру, если компания использует дорогие средства защиты, но не настроила их правильно, они не спасут от утечки данных. В таком случае бизнес рискует потерять клиентов, испортить отношения с партнёрами, столкнуться с финансовым и репутационным ущербом. А злоумышленники смогут использовать украденные сведения для будущих атак.
Для компаний, которые занимаются обработкой ПДн, важно не только формально выполнять требования закона, но и заниматься кибербезопасностью на практике. Чтобы помочь бизнесу сделать это, мы подготовили простую инструкцию.
Инструкция: как на практике выстроить защиту персональных данных
Устойчивая киберзащита базируется на четырёх принципах:
- Люди. Сотрудники знают основы киберграмотности.
- Процессы. Благодаря понятному набору руководств налажена работа людей и инструментов.
- Технологии. Используются средства защиты информации (СЗИ), обеспечивающие безопасность внутри периметра и за ним, например антивирус, антиспам, SIEM, IPS / IDS, WAF и др.
- Экспертный опыт. Есть ответственный за кибербезопасность, квалифицированные специалисты с навыками подбора и эксплуатации СЗИ.
Если хотя бы один элемент отсутствует, вся система рушится. Например, технические средства защиты не обезопасят организацию от инцидентов, если персонал не знает правил цифровой гигиены. По невнимательности сотрудник может запустить вредоносный файл из вложения в письме или с подброшенной «флешки», скомпрометировав всю компанию.
На базе этих принципов мы разработали алгоритм, который позволит выстроить систему практической кибербезопасности в соответствии с требованиями закона. Для этого нужно пройти три шага:
- Провести инвентаризацию данных. Выявить ключевые активы, которые необходимо защитить.
- Определить возможных злоумышленников. Уточнить, от кого защищать инфраструктуру.
- Построить систему защиты с учётом бюджета.
Этот процесс должен быть непрерывным, постоянно обновляться и актуализироваться. Расскажем подробнее про каждый этап.
Шаг 1. Провести инвентаризацию данных
Сначала необходимо определить, какие данные для компании наиболее критически значимы, в каких системах они обрабатываются и кому передаются. Также нужно установить, какие юридические требования предъявляются к организации.
Есть разные способы это сделать: заполнить опросные формы, провести интервью с ключевыми сотрудниками или проанализировать документацию.
Самое важное — эти данные нужно постоянно актуализировать, иначе они не помогут выстроить защиту. Например, необходимо обновлять процессы, когда меняется структура компании, появляются новые системы и др. Это легко делать с помощью инструментов автоматизации вроде BI.ZONE Compliance Platform.
Шаг 2. Определить возможных злоумышленников и угрозы
На этом этапе необходимо выяснить:
- кто может быть потенциальным нарушителем;
- как он будет себя вести;
- к каким последствиям приведут его действия в случае успешной атаки.
Для этого необходимо просканировать на уязвимости все ИСПДн и создать модель угроз. Готовую модель нужно обогатить данными об уже обнаруженных уязвимостях и произошедших инцидентах, что поможет выявить наиболее актуальные сценарии.
Механизмы моделирования, в том числе определённые ФСТЭК России, позволяют выделить из общего списка угроз наиболее актуальные для конкретной компании. За счёт этого можно грамотно распределить бюджет, чтобы приобрести только необходимые СЗИ.
Важно поддерживать модель угроз в актуальном состоянии, регулярно проводить анализ защищённости ИСПДн и переоценку рисков. Для этого также будут полезны средства автоматизации.
Шаг 3. Построить систему защиты с учётом бюджета
Полученная информация и разработанная модель угроз помогут эффективнее выстроить кибербезопасность. При этом нужно придерживаться схемы «люди — процессы — технологии»:
- Обучить команду экспертов, которые грамотно используют СЗИ и знают алгоритм действий на случай инцидента, а также регулярно обучать сотрудников.
- Грамотно построить процессы кибербезопасности, обеспечивающие бесперебойность работы организации, и обновлять их.
- Внедрить СЗИ, которые закроют основные угрозы, а также следить за появлением новых уязвимостей и находить способы защиты от них.
В процессе работы важно учитывать требования законодательства, а также усилить контроль наиболее уязвимых направлений.
Результат
Компания выстраивает практическую кибербезопасность с учётом требований законодательства. При этом:
- Ресурсы расходуются эффективнее, а бюджет на кибербезопасность прозрачен: ясно, какие решения необходимы бизнесу, а какие — нет.
- Выстроены рабочие процессы, а команда обучена грамотно управлять системой безопасности.
- Вероятность утечек снижается благодаря регулярной работе с данными, актуализации возможных угроз и корректировке системы защиты.
Защититься на 100 % от всех кибератак невозможно, но реально уменьшить их вероятность и размер потенциального ущерба для бизнеса. Это осуществимо, если выстроить систему практической безопасности, которая позволит проактивно защитить инфраструктуру, качественно и своевременно среагировать на инцидент.