1. Этапы обеспечения информационной безопасности в организации

1.1. Определение информации, подлежащей защите

На этом этапе проводится инвентаризация информационных активов — всех объектов, обработка которых может повлиять на функционирование организации.

Что включается в анализ:

Базы данных (клиенты, сотрудники, поставщики).

Серверы (локальные и облачные — AWS, Yandex Cloud, Mail.ru Cloud, S3).

Программное обеспечение (CRM, ERP, бухгалтерские системы, корпоративные порталы).

Электронная почта и мессенджеры.

Документы на бумаге (включая архивы и уничтожаемые носители).

Устройства (ноутбуки, мобильные телефоны, принтеры, IoT-устройства).

Информационные системы (ИС), включая веб-сайты и лэндинги.

Классификация информации по уровню конфиденциальности:

Уровень защиты Примеры Требования к защите Общедоступная Публичные новости Минимальная Служебная Внутренние инструкции, регламенты, расписания, база клиентов Ограничение доступа Конфиденциальная Сделки, договоры, счета Шифрование, контроль доступа Секретная (ДСП) Персональные данные, коммерческая тайна Полная изоляция, кроме ключевых лиц (ЭЦП)

Важно: согласно ст. 10 ФЗ-152, ответственность за защиту персональных данных лежит на операторе, даже если данные переданы третьему лицу (например, облачному провайдеру). Облачный сервис — это инструмент, а не ответственный.

Реальный кейс: организация передала клиентские базы на хранение в облако, но не внедрила шифрование и контроль доступа. При утечке данных — штраф 1,5 млн руб. по ст. 13.11 КоАП был наложен на саму организацию, а не на провайдера.

Рекомендация: проводить ежеквартальный аудит активов — обновлять реестр, удалять устаревшие системы, выявлять «тени IT» (неучтенные программы и устройства).