В государственных и бюджетных учреждениях внедрение информационной безопасности чаще всего идёт по «пожарной» схеме: сначала появляются требования регулятора, затем — срочное обучение сотрудников и закупка минимального набора средств защиты. Но реальная работа ИБ-службы начинается уже после утверждения пакета документов. И именно здесь, на стыке нормативных требований и повседневной рутины, возникают одни и те же, из года в год повторяющиеся ошибки.
О пяти самых распространённых ошибках при построении работы службы ИБ в госоргане рассказал эксперт сообщества «Код Патриот», начальник отдела информационной безопасности на автоматизированных рабочих местах ГБУЗ АО «Астраханский областной центр профилактики и борьбы со СПИД» Владимир Шепелев. Эти ошибки не связаны с недостатком финансирования или сложностью технологий. Их причина — в отсутствии системного подхода и, зачастую, в непонимании самой роли ИБ-специалиста.
Ошибка 1. Подмена ролей: ИБ-специалист остаётся «технарем на подхвате»
Как выглядит.
Организация долгое время существовала с обычными техническими специалистами — системными администраторами. Затем, в соответствии с требованиями законодательства, они прошли обучение и формально стали специалистами по информационной безопасности. Однако на этом этапе возникает первая ошибка: сотрудник продолжает выполнять привычные технические задачи, не осознавая, что перешёл на иной уровень ответственности. Например, заместитель директора по информационной безопасности не должен менять картриджи в принтерах.
Почему это опасно.
Пока руководитель ИБ тратит время на несвойственные ему операции, стратегические задачи остаются нерешёнными: анализ рисков, контроль уязвимостей, реагирование на инциденты, обучение персонала. В итоге — формальное наличие должности при полной уязвимости.
Как исправить.
Чётко закрепить в должностных инструкциях разделение между ИТ- и ИБ-функциями. Любое «непрофильное» задание должно согласовываться с вышестоящим руководством. Для оперативных технических задач в штате должны быть системные администраторы.
Ошибка 2. ИБ-служба выпадает из жизнедеятельности организации
Как выглядит.
После внедрения нормативной документации по информационной безопасности многие сотрудники ИБ забывают о себе как о полноценных участниках всей жизнедеятельности организации.
Реальная ситуация.
Специалиста по безопасности не приглашают на совещания по закупке нового оборудования, не включают в рабочую группу по внедрению ПО, не согласовывают с ним кадровые перемещения. В результате решения, критически важные для защищённости, принимаются без его участия, а он потом вынужден работать с последствиями уже на этапе проверки или инцидента.
Как исправить.
Внести ИБ-службу в регламенты согласования всех внутренних процессов: приёма на работу, перемещения сотрудников, закупки техники, заключения договоров, утверждения новых проектов. Без визы ИБ — ни шага.
Ошибка 3. Журналы заполняются «как получится»: отсутствие стандартов
Как выглядит.
При проведении проверок выясняется, что ряд журналов заполняется сотрудниками произвольно, по своему усмотрению. Причина проста: нормативные документы содержат только общие требования и указания, но не предоставляют конкретных примеров заполнения.
Последствия.
Проверяющий орган не может однозначно интерпретировать записи. Одни и те же события в разных журналах отражаются по-разному. В случае инцидента восстановить хронологию событий практически невозможно. Акт проверки часто содержит пункт «порядок ведения документации не унифицирован».
Как исправить.
Разработать внутренние шаблоны журналов с примерами заполнения каждой графы. Утвердить инструкцию по ведению документации. Провести обучение для всех, кто отвечает за заполнение. Контролировать единообразие не реже одного раза в квартал.
Ошибка 4. Типовые договоры с чужими классами защищённости
Как выглядит.
При заключении договоров со сторонними организациями документы часто составляются по типовому принципу, без учёта специфики. В ходе проверок нередко обнаруживается, что в таких договорах завышен или, наоборот, занижен класс сертификации.
Чем это грозит.
Если класс завышен — контрагент (например, обслуживающая фирма или поставщик ПО) объективно не сможет выполнить требования, и ответственность за это в итоге ляжет на госорган. Если занижен — реальные меры защиты будут недостаточными, что при проверке квалифицируется как нарушение. В обоих случаях — штрафы, предписания, а в перспективе — утечка данных.
Как исправить.
Внедрить обязательное согласование всех договоров с ИБ-службой. Разработать таблицу соответствия: для каждого типа контрагента и вида обрабатываемых данных — свой класс защищённости и перечень требований. Утвердить это внутренним приказом.
Ошибка 5. Переместили компьютер — забыли переписать документы
Как выглядит.
При перемещении компьютера из одного кабинета в другой зачастую забывают актуализировать нормативные документы. В результате они перестают соответствовать реальному состоянию дел.
Почему это системная проблема.
Акт разграничения ответственности, схема размещения технических средств, перечень защищаемых помещений, журналы учёта основных средств — все эти документы жёстко привязаны к конкретному кабинету и рабочему месту. После перемещения ПМ они становятся недостоверными. При проверке надзорный орган фиксирует: «фактическое размещение не соответствует утверждённой документации». И это уже основание для предписания.
Как исправить.
Ввести простой регламент: любое перемещение техники оформляется служебной запиской, на основании которой ответственный за документацию вносит изменения во все связанные акты и журналы. Контроль — раз в месяц сверка фактической расстановки оборудования с документацией.
Все пять описанных ошибок объединяет одно: они не требуют дополнительного финансирования или внедрения сложных технологий. Их причина — в отсутствии культуры управления ИБ, в разрыве между формальным выполнением нормативных требований и реальными процессами в организации.
Исправление этих ошибок лежит в плоскости трёх простых шагов:
1. Чёткое разделение функций между ИТ, ИБ и другими подразделениями.
2. Включение ИБ-службы во все ключевые процессы организации (согласование, контроль, утверждение).
3. Регламентация и унификация документации с конкретными примерами и шаблонами.
Госорган, который пройдёт этот путь, перестанет «латать дыры» перед каждой проверкой и начнёт действительно управлять своей информационной безопасностью.