В последние десять-двадцать лет значительно выросло число информационных потоков, циркулирующих по всей планете. Год от года растет цена информации, как таргетированной, так и нет. На сегодняшний день можно продать абсолютно любую информацию, если найти заинтересованного покупателя. Из-за этого появляется большое количество злоумышленников, а также развиваются их способности и умения. Для предотвращения хищения конфиденциальных данных были созданы правила и нормы информационной безопасности.
В сфере информационной безопасности выделяют три вида мер обеспечения информационной безопасности: правовые, организационные и технические. Если правовые меры зависят только от регулирующих органов, то вот применение организационных и технических мер остается за организацией. Применение технических мер требует отдельных специалистов, разбирающихся в средствах защиты информации (далее СЗИ), и выделенного бюджета на покупку самих СЗИ. Использование же организационных мер требует составление пакета организационно-распорядительной документации (далее ОРД) и соблюдения правил, описанных в ОРД. Исходя из этого применение организационных мер требует гораздо меньше ресурсов компании, чем применение технических мер.
Основная суть «бумажной» безопасности – это составление правил управления информационной безопасностью на основе нормативно-правовой базы. То есть прописывается алгоритм действий для обеспечения безопасности информации, назначается ответственное лицо для контроля выполнения этих действий, а также вводится мотивационная система, заключающаяся в поощрениях – при соблюдении введенных норм — и санкциях – при нарушении нового порядка. Для выполнения требований органов-регуляторов в сфере информационной безопасности, организации на основе своей информации и информационных систем составляют организационно-распорядительную документацию. Несмотря на качественное составление ОРД, меры, изложенные там, не соблюдаются. То есть вследствие того, что сотрудники отказываются выполнять правила информационной безопасности, эффективность «бумажной» безопасности становится ничтожно малой.
Из этого вытекает парадокс: применение организационных мер является наиболее выгодным для компании, но меры, прописанные в ОРД, не соблюдаются.
Данная проблема основана на двух факторах: непонимание основ информационной безопасности и неготовность к более сложному и структурированному управлению внутренними процессами. Разберем оба фактора:
- Непонимание основ информационной безопасности объясняется непопулярностью в России в принципе сферы информационной безопасности. То, что не популярно или непривычно не изучается и не применяется. Только в последние три года, начиная с пандемии, когда был большой поток кибератак, компании начали задумываться о защите информации. До этого момента организации волновало только то, чтобы информация, которая приносит выгоду, не попала к конкурентам или в общий доступ.
- Неготовность к более сложному и структурированному управлению основана на том, что в компании должны быть уже продуманы все основные бизнес-процессы компании и добавление новых правил не смогло бы нарушить течение основной деятельности. Сейчас в России гораздо больше малого и среднего бизнеса, которые в большей степени заботится о том, чтобы были заказы, и они выполнялись вовремя. Организационные меры информационной безопасности могут замедлить течение основных бизнес-процессов и вызывать негодование со стороны сотрудников компании. Особенно сильно это выражается на начальных этапах внедрения мер: отсутствие привычки сотрудников работать по новому протоколу способствует усилению внимания к контролю за соблюдением новых правил.
Безусловное выполнение правил, которое требует информационная безопасность, в какой-то мере может быть вредно. Примером может служить «итальянская забастовка», при которой сотрудники бунтуют против работодателей с помощью безукоризненного выполнения правил своей работы. Невозможно четко следовать правилам организации, поскольку нельзя учесть все производственные моменты. Данный бунт показывал, насколько может упасть производительность предприятия и как сильно может снизиться прибыль компании. Поэтому рекомендуется всегда подбирать индивидуальный подход к разработке правил информационной безопасности, что позволит обеспечить минимальные усилия и затраченное время работников предприятия, но при этом организовать максимальную безопасность для информации в организации.
Информационная безопасность – это важная и необходимая часть успешного бизнеса. Но для ее внедрения необходимо, чтобы компания обладала стабильностью и продуманной внутренней организацией. Или же введение организационных мер должно быть еще в самом начале жизни компании, чтобы они воспринимались как привычное дело. Также необходимо обеспечить индивидуальный подход к созданию системы защиты информации, в том числе организационных мер, чтобы они были эффективны и применимы на конкретном предприятии. В противном случае, «бумажная» информационная безопасность останется только в виде свода правил, навсегда убранным в «долгий ящик».