Как оценить информационную безопасность компании или что дает экспресс-аудит ИБ

Чем больше онлайн-сервисов появляется, тем проще становится решать рутинные задачи. В несколько кликов мыши можно записаться на прием к врачу, заказать новые джинсы, купить абонемент в фитнес-клуб, оплатить коммунальные услуги или крутой обучающий курс. Как это происходит? Человек вводит свои данные (ФИО, адрес, телефон, реквизиты платежной карты) в полях онлайн-формы, подтверждает отправку. Вроде бы все просто, быстро и очень удобно.

Но есть обратная сторона: куда попадают персональные данные клиента? Предполагается, что они попадают к компании, которая оказывает услугу, продает товар. Эта компания — оператор — обязуется должным образом обрабатывать и хранить данные, использовать их только по целевому предназначению, обеспечивать безопасность. Это в теории, а на практике случается по-разному.
Персональные данные клиентов могут быть украдены и использоваться мошенниками. То и дело в новостях появляется информация об утечке данных клиентской базы разных компаний — от небольших до весьма крупных и уважаемых. Один из недавних громких примеров — крупная утечка у МТС Банка, о которой стало широко известно в сентябре 2023 года. Злоумышленники обнародовали данные 1 млн держателей банковских карт.

30/11/23

Б-152

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Утечки персональных данных (ПДн) могут происходить по разным причинам. В большинстве случаев они обусловлены недостаточной защитой или человеческими ошибками, но также могут быть следствием злонамеренных действий. Рассмотрим самые распространенные ситуации, с которыми сталкивались клиенты, которые после утечек обращались за помощью к специалистам Б-152. Среди них:

• неосведомленность руководства компаний о необходимости обеспечения информационной безопасности;
• недостаточная защита данных;
• человеческие ошибки;
• целенаправленные вредоносные действия.

Поговорим подробнее о каждой из причин.

Неосведомленность руководства предприятия о необходимости обеспечения информационной безопасности

Многие компании, особенно малые и средние, недооценивают важность информационной безопасности (ИБ) или не осознают масштабы угроз в этой области. Защита данных требует вложений в специалистов, технические средства. Эти затраты напрямую не влияют на доход, поэтому владельцы бизнеса стремятся их минимизировать (или вовсе исключить — ведь раньше бизнес прекрасно работал и без них!). При таком подходе у компании могут возникать следующие проблемы с обеспечением безопасности и соблюдением законов:

• Недостаточное выделение ресурсов. Компании, которые не понимают важность информационной безопасности, не вкладываются в защиту ПДн.
• Отсутствие обучения. Неосведомленность о необходимости обеспечения ИБ может привести к тому, что компания не инвестирует в обучение сотрудников, не нанимает специалистов по информационной безопасности. Это оставляет пространство для ошибок, уязвимостей.
• Несоблюдение стандартов и законов. Многие отраслевые стандарты ИБ и требования законов к обработке ПДн могут не выполняться, если руководство компании не осведомлено о них, не отслеживает изменения. Это приводит к нарушениям, штрафам. Так, согласно действующему законодательству, компании, собирающие персональные данные клиентов, должны не только обеспечивать защиту, но и сообщать в Роскомнадзор об утечках. Если компания является субъектом критической информационной инфраструктуры (КИИ), то она обязана информировать Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
• Утечка ПДн приводит к штрафам. На ноябрь 2023 года они составляют от 60 000 до 300 000 рублей, а для субъектов КИИ — от 250 000 рублей. Высока вероятность, что штрафы увеличатся, так как Правительством Р Ф предварительно одобрен законопроект об оборотных штрафах за утечки ПДн, который предполагает штрафовать на сумму до 3% от годового оборота компании.
• Отсутствие четкой политики безопасности в компании. Недостаток понимания важности ИБ приводит к отсутствию процедур, инструкций для сотрудников, алгоритмов действий во внештатных ситуациях.

Недостаточная защита данных

Организации, которые собирают и хранят персональные данные, нередко используют неэффективные меры безопасности (слабые пароли, отсутствие резервного копирования, устаревшие методы шифрования и так далее). Они делегируют работу с ПДн непрофильным сотрудникам (юристам, HR), которые не имеют опыта, квалификации, мотивации, времени для выполнения дополнительных задач, которые не относятся к их основной деятельности.

Человеческие ошибки

Сотрудники, работающие с ПДн, могут совершить ошибки, такие как отправка конфиденциальных сведений на неправильный адрес электронной почты, некорректная настройка прав доступа, переход по запрещенным ссылкам, потеря гаджетов с доступами к рабочим аккаунтам.

Вредоносные действия

К ним относятся вирусы, программы-шпионы, фишинг. Хакеры могут проводить атаки с целью взлома систем, кражи данных или шантажа организации.

Отсутствие выстроенных процессов по защите ПДн может привести к серьезным последствиям для компании, ее репутации, финансовой устойчивости:

• Утрата данных. Недостаточная защита может привести к утрате ценных данных, включая коммерческую тайну, уникальные разработки и исследования, планы развития, базы данных клиентов. Из-за этого организация не сможет своевременно оказать услугу, связаться с клиентом.
• Потеря клиентов. Бизнес выстраивается на доверии, на первом этапе клиенты доверяют компании авансом. Столкнувшись с ситуацией, в которой организация оказывается неспособной защитить ПДн, клиенты перестают доверять и уходят.
• Потеря репутации. Новости о нарушении информационной безопасности могут вызвать негативную реакцию и привести к потере не только имеющихся клиентов, но и потенциальных, так как многие откажутся от планов о сотрудничестве. Репутационные убытки также могут привести к потере партнеров, снижению стоимости акций.
• Юридические последствия. Нарушение 152-ФЗ «О персональных данных» и других нормативных документов приводит к правовым последствиям, включая штрафы, судебные иски.
• Финансовые потери. Утечка может вызвать прямые и косвенные финансовые потери в виде ущерба имуществу, затрат на восстановление системы защиты ПДн, компенсаций пострадавшим, вложений в восстановление репутации.
• Угроза деловой активности. Кибератаки, инциденты в области информационной безопасности могут привести к простоям в работе, краже бизнес-информации (технологий, планов развития, рецептур, программного кода, других важных разработок,), что негативно сказывается на продуктивности, отношениях с партнерами, финансовых результатах, конкурентных позициях.

Оценить вероятность утечек позволяет аудит информационной безопасности. Он включает анализ существующих элементов ИБ, тестирование на уязвимости, оценку сетевой архитектуры, обнаружение потенциальных рисков.
Аудит безопасности информационных систем помогает выявить слабые места в процессах защиты персональных данных, подготовить рекомендации по повышению уровня уровня защищенности информационных систем, обрабатывающих персональные данные. Он может включать внутренний аудит информационной безопасности, анализ соответствия законодательству и стандартам безопасности.

Компания Б-152 проводит экспресс-аудиты ИБ и защиты персональных данных за 10 дней. Такой формат аудита позволяет:

• Определить элементы и структуру информационной системы. Эксперты учитывают аппаратное и программное обеспечение, сети, базы данных, приложения, другие компоненты. Это необходимо, чтобы иметь полное представление обо всей инфраструктуре.
• Оценить критичность обрабатываемой информации, чтобы определить, какие данные требуют обеспечения защиты в первую очередь.
• Сформировать список мер защиты информации. На основе оценки критичности данных определяются конкретные меры безопасности и политики, которые должны быть внедрены для защиты ПДн. Это может быть шифрование, механизмы аутентификации, уровни доступа, другие технические или организационные меры.
• Проанализировать существующие меры защиты информации. Анализ включает оценку систем и процедур безопасности, которые уже применяются в организации. Это необходимо, чтобы определить, насколько эффективны существующие меры.
• Оценить риски для бизнеса. Оценка рисков позволяет определить возможные негативные последствия,, связанные с несоответствиями в области ИБ. На основе этой информации расставляются приоритеты среди задач, которые нужно выполнить для усиления ИБ.
• Сформировать понятные рекомендации по повышению уровня ИБ. На основе результатов аудита составляются рекомендации для компании.
• Создать дорожную карту шагов по усилению ИБ. Разрабатывается план, который включает последовательность действий и сроки внедрения изменений.
• Обосновать затраты на ИБ. Это могут быть расходы на консультирование и техническую поддержку выстраивания процессов по защите ПДн, расходы на подготовку комплектов внутренних регламентов по ИБ или проектной документации на систему защиты.

Проведение аудита информационной безопасности — важный шаг, который поможет понять, что нужно предпринять для снижения рисков финансовых и репутационных потерь.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме