Современное общество в своей повседневной жизни постоянно обменивается информацией. Каждый из нас регулярно сообщает о себе сведения, позволяющие напрямую или косвенно определить и идентифицировать нас. Законодательство РФ определяет эту информацию нашими персональными данными.
В прошлом году в Сеть утекли 925 баз с персональными данными: 1,4 млрд строк информации объемом свыше 160 ГБ, чтобы предотвратить такие инциденты, нужно построить систему кибернетической безопасности, способную на деле защитить данные клиентов, сотрудников и партнеров.
Регуляторы защиты персональных данных подталкивают бизнес к тому, чтобы его участники на практике занимались вопросами кибербезопасности. Нельзя избежать инцидентов, соблюдая требования только на бумаге.
Злоумышленники смогут использовать украденные сведения для будущих атак. Для организаций, которые занимаются обработкой персональных данных, важно не только формально выполнять требования закона, но и заниматься кибербезопасностью на практике.
Устойчивая кибернетическая защита базируется на четырех основах:
1. Люди. Сотрудники, знающие основы кибернетической грамотности.
2. Процессы. Благодаря понятному алгоритму действий налажена работа людей и инструментов.
3. Технологии. Использование средств защиты информации (далее – СЗИ), для обеспечения безопасность внутри периметра и за ним.
4. Экспертный опыт. Ответственные за кибербезопасность - квалифицированные специалисты с навыками подбора и эксплуатации СЗИ.
Если хотя бы один элемент отсутствует, вся система рушится. Например, технические средства защиты не обезопасят организацию от инцидентов, если персонал не знает правил цифровой гигиены.
На базе этих основ разработан алгоритм, который позволит выстроить систему практической кибербезопасности в соответствии с требованиями закона. Для этого нужно пройти три шага:
1. Инвентаризация данных. Необходимо определить, какие данные для компании наиболее критически значимы, в каких системах они обрабатываются и кому передаются.
2. Определение возможных злоумышленников и угроз. Необходимо выяснить: кто может быть потенциальным нарушителем; как он будет себя вести; к каким последствиям приведут его действия в случае успешной атаки.
3. Построение системы защиты с учетом бюджета. Грамотно построить процессы кибербезопасности, обеспечивающие бесперебойность работы организации, и регулярно обновлять их.
Защититься на 100 % от всех кибератак невозможно, но реально уменьшить их вероятность и размер потенциального ущерба для бизнеса можно. Это осуществимо, если выстроить систему практической безопасности, которая позволит активно защитить инфраструктуру, качественно и своевременно реагируя на инциденты.