“В последнее время участились случаи утечки данных из компаний. Только на прошлой неделе стало известно о распространении данных о клиентах Сбербанка и оператора связи Билайн. Наиболее вероятные последствия этих событий: усиление внимания государственных органов к соблюдению требований, касающихся работы с информацией, а также необходимость дополнительной оценки реализуемых мер в области информационной безопасности внутри компаний.

На уровне любых компаний, независимо от их размера, следует критично оценить состояние работы в области обеспечения информационной безопасности тщательно и системно заниматься разработкой и реализацией политик организаций в этой сфере.

При подготовке политик в сфере информационной безопасности рекомендуется ориентироваться на международный стандарт ISO 17799:2005. Фактически реализация такой политики, является неотъемлемым элементом управления рисками организации и должна разрабатываться в комплексе с иными стратегическими документами. На первый взгляд, документ носит узко прикладной характер, на практике он должен быть согласован и с политиками в области обработки персональных данных, и со стратегией работы с персоналом, и с документами, касающимися ведения документооборота, комплексной безопасности и т.д. Все документы организации в этой части должны быть согласны между собой, иметь единую терминологию и систему оценки возможных угроз. В целом правильное и полное определение источников и моделей угроз, является залогом построения качественной системы информационной безопасности. Надо понимать, что в современном мире угрозы могут быть связаны не только с атаками хакеров и взломами компьютеров через интернет. Угрозу информационной безопасности могут представлять и сотрудники самой организации, в случае разглашения данных, их использования в противоправных целях, в ущерб интересам клиентов или компании. Стандарты открытости компании, вопросы обеспечения достоверности распространяемой информации, мониторинга информационного пространства – это в современном мире важнейшие направления противодействия угрозам компании и управления ее рисками. Фактически при подготовке документов необходимо проанализировать все процессы в компании, а также все возникающие и связанные с ее деятельностью «информационные потоки» и на этом основании построить систему управления рисками.

Уровень информационных угроз требует не только определения ответственных должностных лиц в области информационной безопасности в организации, но и введение специальных уполномоченных. Ключевую роль в этой сфере должны играть, помимо собственно специалистов в области безопасности – относительно новые лица в компаниях CDO и DPO, а также комплаенс специалисты. Все документы по информационной безопасности должны быть консолидированы в рамках принятой в организации политики, доступны работникам. При этом эффективная реализации политики невозможна без специального обучения сотрудников, проведения тестов и проверок. Помимо этого, необходима постоянная работа по мониторингу состояния информационной безопасности, и обновлению разработанных документов." - считает Борис Едидин, партнер юридической компании «ЭБР», член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России.

Подробнее: https://www.law.ru/article/22555-kruche-fsb-kak-yurist-mojet-naladit-informatsionnuyu-bezopasnost-v-kompanii