Ваша компания вложилась в дорогие системы защиты, но данные все равно утекают? Пароли сотрудников остаются простыми, а конфиденциальные файлы путешествуют через мессенджеры? Суть проблемы в том, что технологии — лишь часть защиты. Без Системы Менеджмента Информационной Безопасности (СМИБ) вы боретесь с последствиями, а не предотвращаете угрозы.

СМИБ — это система, а не набор инструментов

Представьте, что информационная безопасность — это здоровье компании. Дорогие технологии (антивирусы, фаерволы) — это как лекарства или витамины. Они важны, но сами по себе не гарантируют здоровья. Если в компании нет системы профилактики, диагностики и правильных привычек, проблемы неизбежно будут возвращаться.
СМИБ — это как система здравоохранения для ваших данных:

• • Профилактика: Четкие правила (гигиена паролей, работа с данными), обучение сотрудников.
  • Диагностика: Регулярная проверка рисков (аудит), контроль доступа.
  • Лечение и улучшение: Планы реагирования на инциденты, постоянное обновление мер защиты.

 
Внедрение СМИБ — это не одномоментная «операция», а построение здоровых процессов, которые начинаются с простых, но системных шагов.

Нормативная база: какие акты регулируют создание СМИБ

Построение системы менеджмента информационной безопасности регулируется следующими ключевыми документами:

• • Федеральный закон № 152-ФЗ «О персональных данных» — устанавливает обязательные требования к защите персональных данных
  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» — регулирует защиту объектов КИИ
  • Приказы ФСТЭК России:
  • • № 21 — Требования к порядку создания СЗПДн
    • № 31 — Требования к обеспечению защиты информации в ГИС
    • № 17 — Требования по защите информации в АСУ ТП
  • Стандарты серии ГОСТ Р ИСО/МЭК 27000 — национальные версии международных стандартов ИБ
  • ГОСТ Р 59407-2021 — национальный стандарт по обеспечению безопасности ПДн
  • Стандарт Банка России СТО БР ИББС-1.0-2014 — для организаций банковского сектора

 
От чего реально защищает СМИБ?

Система помогает нейтрализовать ключевые риски:

• • Ошибки сотрудников (причина 90% утечек): пароли на стикерах, пересылка данных в личную почту.
  • Хаос в доступах: бывшие сотрудники с активными правами, отсутствие контроля.
  • Финансовые и репутационные потери: штрафы до 6 млн рублей по 152-ФЗ за утечку персональных данных, потеря доверия клиентов.
  • Угрозы со стороны конкурентов: хищение коммерческой тайны.

Кейс: Как «Ростелеком» внедрял СМИБ для защиты персональных данных

Компания ПАО «Ростелеком» — один из крупнейших провайдеров цифровых услуг в России, обрабатывающий огромные объемы персональных данных (ПДн) клиентов.

Проблема: До внедрения системного подхода компания столкнулась с рядом вызовов:

• • Рост регуляторных требований: Необходимость строгого соответствия 152-ФЗ о персональных данных.
  • Масштаб и сложность инфраструктуры: Тысячи сотрудников, множество сервисов и систем, что создавало риски несанкционированного доступа.
  • Репутационные риски: Любая утечка ПДн могла привести к санкциям регуляторов и потере доверия миллионов клиентов.

 
Было принято решение о построении полноценной СМИБ, соответствующей лучшим международным и российским практикам (ISO 27001, ГОСТ Р ИСО/МЭК 27001).

Какие конкретные меры были внедрены:

1. Разработка и внедрение организационно-распорядительной документации.

• • Созданы и внедрены политики, процедуры и регламенты управления ИБ, включая Положение о защите ПДн.
  • Четко определены роли и ответственность сотрудников за обработку ПДн.

 
2. Внедрение технических средств защиты и система мониторинга.

• • Внедрены средства криптографической защиты информации (СКЗИ), системы обнаружения и предотвращения вторжений (IDS).
  • Настроено детальное разграничение прав доступа к информационным системам (ИСПДн) по принципу минимальных привилегий.
  • Внедрена система мониторинга событий информационной безопасности для оперативного реагирования на инциденты.

 
3. Масштабная работа с персоналом.

• • Регулярное обязательное обучение для всех сотрудников, работающих с ПДн.
  • Проведение учений и тестов на фишинг для проверки бдительности.
  • Создание культуры ответственности за безопасность данных.

 
Результаты:

• • Сертификация: «Ростелеком» одним из первых среди крупных российских компаний успешно прошел сертификацию на соответствие требованиям стандарта ISO 27001 для своих ключевых процессов и систем, обрабатывающих ПДн.
  • Снижение рисков: Системный подход позволил минимизировать риски крупных утечек и предупредить потенциальные санкции со стороны регуляторов.
  • Повышение эффективности: Построение SOC и внедрение регламентов позволили значительно сократить время на обнаружение и реагирование на инциденты. По данным внутренней отчетности компании, эффективность реагирования выросла на десятки процентов.
  • Конкурентное преимущество: Наличие сертифицированной СМИБ стало весомым аргументом для клиентов и партнеров, демонстрирующим серьезный подход к защите данных.

«Нам это точно не нужно?» Разбираем отговорки

• • Отговорка: «Мы слишком маленькие, нас не атакуют».

  Реальность: 60% кибератак направлены на малый и средний бизнес (данные экспертов).

  • Отговорка: «У нас нет ценных данных для защиты».

  Реальность: База клиентов, договоры, финансовая отчетность, ноу-хау — ваша главная ценность и цель злоумышленников.

  • Отговорка: «Внедрение сложное и дорогое».

  Реальность: Базовые меры (документирование правил, обучение, контроль доступов) требуют минимальных бюджетов и дают быстрый эффект.

С чего начать уже сегодня? Три практических шага

1. Проверьте доступы: Проанализируйте, кто имеет права доступа к критически важным системам и данным (бухгалтерия, CRM, облачные хранилища). Немедленно отзовите права уволенных сотрудников.

2. Разработайте простые правила: Создайте и доведите до всех четкие инструкции:

• • Требования к паролям (длина, сложность).
  • Где хранить и как передавать конфиденциальные файлы (запрет на личную почту/мессенджеры).
  • Порядок действий при получении подозрительного письма (куда сообщать).

 
3. Проведите короткий ликбез: Организуйте 15-минутную встречу. Покажите команде реальные примеры фишинговых писем из вашей почты, разберите основные признаки угроз и действия по инструкции.

Информационная безопасность — это не только про технологии и бюджеты. В первую очередь, это про системный подход, порядок и ответственность каждого. Начните с трех шагов выше — вы удивитесь, насколько быстро снизится количество проблем. В следующих статьях цикла мы подробно разберем этапы внедрения СМИБ, борьбу с мифами и подготовку к аудиту.