Защита данных как актив: выходим за рамки compliance

Начальник отдела методологического обеспечения информационной безопасности ЦКР Алексей Матвеев рассказывает о стратегическом подходе к защите данных, который выходит за рамки выполнения нормативных требований и фокусируется на прямой экономической выгоде для бизнеса.

От управления данными к управлению ценностью: расставляем приоритеты

Распространено заблуждение, что хорошо выстроенный процесс управления данными (Data Governance) всегда и всем приносит пользу. На практике его ценность напрямую зависит от зрелости бизнес-процессов и ИТ-инфраструктуры компании. Вместо тотальной защиты всего и сразу предлагаем сфокусироваться на формировании стратегии защиты данных, основанной на их реальной ценности для бизнеса.

Критически важно разграничить понятия. Управление и защита данных — это не синоним защиты персональных данных (PD) или коммерческой тайны. Безусловно, GDPR, 152-ФЗ и другие compliance-требования обязательны к исполнению. Однако, управление данными — это, в первую очередь, про внутренние информационные активы, которые формируют основу для принятия управленческих решений.

Ключевой аспект: под "данными" в контексте ИБ мы понимаем операционную информацию, используемую для планирования, прогнозирования и оптимизации бизнеса. Это данные об ИТ-активах, рисках, инцидентах ИБ, метриках процессов и организационные данные. За пределами ИБ-контура объем таких данных (например, из ERP, CRM) многократно возрастает.

Бизнес-контекст: когда инвестиции в защиту данных оправданы?

Ценность процесса управления данными проявляется при наличии двух условий: развитой ИТ-инфраструктуры и понимания бизнесом ценности управления рисками. Прямыми индикаторами спроса на процесс выступают необходимость в оптимизации операционных затрат и высокие требования к качеству финансовой и управленческой отчетности.

А косвенными признаками, сигнализирующими о необходимости усилить защиту, могут стать: наличие работающей, а не "бумажной" системы GRC (Governance, Risk, Compliance); регулярные аналитические обзоры на основе данных из ERP-систем; уже выявленные проблемы (например, повторяющиеся инциденты, связанные с целостностью или доступностью данных, наличие неконтролируемых расходов на ИТ и пр.).

От стратегии к практике: выстраиваем цикл защиты

Определив значимость данных для бизнеса, можно переходить к проектированию процессов их обработки и защиты. На первом этапе необходимо сформулировать целевые атрибуты безопасности (Security Properties) для разных категорий данных. Как правило, речь идет о классической триаде CIA с дополнениями: конфиденциальности (Confidentiality), целостности (Integrity), доступности (Availability), а также подотчетности (Accountability) и происхождении данных (Data Provenance).

Для их обеспечения применяются стандартные механизмы защиты. Важно подчеркнуть: большинство работ можно и нужно интегрировать в рамки уже существующей СМИБ (Системы менеджмента информационной безопасности), не изобретая велосипед.

Чеклист по защите данных управления: 12 ключевых контролей

Для аудита и усиления защищенности данных управления рекомендуем пройтись по следующему списку контролей:

1. Категоризация и классификация: Составьте реестр информационных активов и присвойте данным уровень значимости.
2. Контроль доступа на основе принципа наименьших привилегий (PoLP): Жестко регламентируйте, кто и к каким данным имеет доступ.
3. Многофакторная аутентификация (MFA): Обязательна для доступа к системам, содержащим критичные данные управления.
4. Шифрование передаваемых данных: Используйте современные криптографические протоколы (TLS 1.3+).
5. Шифрование хранимых данных: Применяйте прозрачное шифрование (TDE) для СУБД и шифрование на уровне дисков.
6. Контроль целостности: Внедрите системы мониторинга изменений (FIM) для критичных файлов и баз данных.
7. Регулярный Vulnerability Management: Проводите сканирование на наличие уязвимостей в инфраструктуре.
8. Централизованное логирование и мониторинг (SIEM): Настройте сбор и анализ логов доступа, изменений и ошибок.
9. Резервное копирование и восстановление: Регулярно создавайте и, что критично, тестируйте процедуру восстановления из бэкапов.
10. Повышение осведомленности (Security Awareness): Регулярно обучайте сотрудников, работающих с данными.
11. План реагирования на инциденты (IRP): Четко определите процесс действий при утечке или компрометации данных.
12. Независимый аудит: Проведите аудит СМИБ на соответствие требованиям ISO 27001 силами внешнего аудитора.

Экономическая целесообразность как основной драйвер

Если процесс "Управление данными" стратегически важен для бизнеса, он должен демонстрировать возврат на инвестиции (ROI). В этом контексте, защита данных — это не статья расходов, а инструмент минимизации рисков, который повышает эффективность и надежность всего процесса. Следовательно, любые инвестиции в защиту должны быть экономически обоснованы и соотнесены с ценностью защищаемых активов. Защита должна быть адекватна угрозам, но не парализовать бизнес-процессы.