Зачем бизнесу СМИБ и как она устроена в аутсорсинговой компании
Рассказываем, как надежная система информационной безопасности становится конкурентным преимуществом.
Мы в UCMS Group предоставляем аутсорсинговые услуги по расчету заработной платы, кадровому делопроизводству и бухгалтерскому учету. В прошлой статье отметили, что один из критериев надежности провайдера — система информационной безопасности, или СМИБ. Чем лучше она выстроена, тем выше уровень доверия клиентов — и они с большей вероятностью выберут услуги именно вашей компании. Решили подробнее разобраться, что такое СМИБ, почему эта система важна для бизнеса и особенно — для аутсорсинговой компании.
Как работает СМИБ
СМИБ — часть общей системы менеджмента в компании. Она помогает защитить данные и свести до минимума риск их утечки. Простыми словами основной подход СМИБ можно описать так: распланировать все на пять шагов вперед, подтвердить и записать каждый шаг, а потом еще отдельно зафиксировать, кто именно его записал. И после этого так же четко все выполнить. Это набор строгих правил и регламентов.
Такую систему в любых организациях — от торговых предприятий до банков — выстраивают на базе российских или международных стандартов. Это может быть, например, зарубежный стандарт ISO/IEC 27001:2013 или отечественный аналог — ГОСТ Р ИСО/МЭК 27001:2021. Компания, которая хочет создать СМИБ на их основе, должна пройти проверку аудитора и получить от него сертификат.
Аудитор проверяет, соблюдает ли компания требования информационной безопасности. Где она хранит данные: в облачных ресурсах или на своих серверах? Как в организации создают и удаляют базы данных? У кого в компании есть доступ к информационным системам и критичной информации? Как предприятие проверяет людей при отборе на должность? Обучает ли их информационной безопасности? Прежде чем выдать сертификат, аудитор будет искать ответы на эти и многие другие вопросы: изучать документацию, общаться с сотрудниками, наблюдать за процессами.
Три главных принципа СМИБ
Главные принципы СМИБ — конфиденциальность, целостность и доступность данных.
• Конфиденциальность гарантирует, что информацию смогут использовать лишь люди и системы с авторизованным доступом. Данные должны быть защищены — например, шифрованием.
• Информация при этом остается целостной и меняется только в случае авторизованных действий.
• Данные должны быть всегда доступны для рабочих задач. Важно, чтобы все системы действовали без перебоев, а вычислительные мощности позволяли работать комфортно.
В организациях бывают ситуации, когда у всех бухгалтеров есть полный доступ к базе данных. Даже к тем сведениям, которые им не нужны. Например, человек работает только с первичной информацией, но может посмотреть и аналитику. Требования СМИБ такого не позволяют.
Почему СМИБ важна для компаний
Эта система повышает ценность провайдера для клиентов, потому что они знают — организацию проверял аудитор. Проверка важна, так как обеспечивает независимую оценку и выявляет возможные уязвимости. Она дает клиентам уверенность, что их данные защищены на высоком уровне.
Еще один плюс СМИБ в том, что система мотивирует руководство вовлекаться во все процессы и соблюдать регламенты.
Допустим, у предприятия заложен бюджет на покупку устройств шифрования. Проходит год, оборудование не купили — не хватило денег, потому что ситуация на рынке изменилась. Казалось бы, можно закрыть на это глаза и запланировать покупку на следующий год. Однако, в соответствии со СМИБ, нужно объяснить, почему не удалось купить устройство: провести анализ рыночных условий, оценить альтернативные решения, которые помогут обеспечить безопасность. А затем приобрести одно из них.
СМИБ заставляет компанию не только бороться за информационную безопасность, но и развиваться: внедрять автоматизацию и использовать новые технологии, чтобы соответствовать требованиям клиентов. Аудитор будет проверять, совершенствуется компания или нет. Если он выяснит, что компания не развивается, руководству нужно будет объяснить, почему — проанализировать внутренние и внешние факторы, которые мешают развитию. Это может быть недостаток ресурсов или устаревшие технологии.
Есть и другие преимущества, которые дает сертификат информационной безопасности.
• СМИБ на основе международного стандарта открывает выход на мировой рынок.
• Позволяет участвовать в тендерах, в которых наличие СМИБ — обязательное условие.
• Дает возможность работать с государственными организациями.
Что будет, если в компании нет СМИБ или она его не соблюдает
Если у провайдера нет СМИБ, это не грозит для него штрафами или другими санкциями. Однако повышается риск, что компания потеряет данные или они будут скомпрометированы. Можно соблюдать правила информационной безопасности и без СМИБ, но такой подход редко гарантирует вовлеченность руководства и всех подразделений.
Кроме того, потенциальный клиент будет меньше доверять организации без СМИБ. Когда он будет выбирать провайдера из 10 предприятий, такая компания вряд ли станет фаворитом.
Бывают ситуации, когда организация заявляет, что у нее есть СМИБ, но не соблюдает его. Например, выкладывает данные в публичные облака или не ограничивает доступ к протоколу RDP. В таком случае аудитор обнаружит нарушения при проверке, а организации не выдадут сертификат или лишат его.
Особенности СМИБ в аутсорсинговых компаниях
Провайдеры аутсорсинга обрабатывают данные других организаций — часто конфиденциальные. Поэтому для них СМИБ особенно важна. Основные принципы к построению системы остаются теми же, что и для других организаций, но есть свои особенности.
• Провайдеры уделяют особое внимание разделению доступа к данным разных клиентов. Каждому сотруднику должна быть доступна только информация по проекту, с которым он работает.
• Большое значение для аутсорсинг-компаний имеют хранение и передача информации. Важно, чтобы провайдеры пользовались собственными серверами и делали резервные копии данных, а все каналы связи должны быть зашифрованы.
• Быстрая и эффективная реакция на инциденты — необходимое условие для провайдеров. У них должен быть четкий план на такие случаи, чтобы минимизировать последствия и избежать утечек.
Как СМИБ работает в UCMS Group
СМИБ в UCMS Group основана на международном сертификате ISO/IEC 27001:2013 — наша компания получила его в 2017 году. Выделим некоторые меры по защите данных, которые мы внедрили у себя.• Все данные передаем и храним исключительно в зашифрованном виде.
• Проводим регламентные работы по пересмотру пользовательских и административных доступов.
• Используем ограничение доступа к ресурсам, защищаем при помощи сертификатов и т. д.
• Обучаем всех сотрудников информационной безопасности.
• Часто меняем пароли, выбираем безопасную длину и состав, не используем пароли повторно.
• Ежедневно резервируем данные, храним копии два года. Информация в покое зашифрована.
UCMS Group разработала и использует процедуры по контролю всей инфраструктуры и учету рисков. Представим ситуацию, что у компании вышел из строя коммутатор. Что мы сделаем: зафиксируем это в журнале и сразу же поменяем устройство на запасное. Так как у нас есть СМИБ, такая ситуация заранее предусмотрена. У компании без системы это может вызвать неделю простоя — пока она не купит новый коммутатор и не установит его.
Те проблемы, с которыми UCMS Group благодаря СМИБ разбирается за 15–20 минут, провайдеры без соответствующих процедур и оценки рисков могут решать несколько дней.
СМИБ помогает аутсорсинговой компании не только надежно защищать данные клиентов, но и поддерживать стабильность всех процессов. Чтобы выстроить систему на предприятии, потребуется год. Или полгода, если над этим работают специалисты с опытом, а все руководство и сотрудники помогают им. При этом СМИБ недостаточно только внедрить — ее нужно регулярно соблюдать и совершенствовать.
UCMS Group постоянно развивает систему информационной безопасности, чтобы соответствовать международным стандартам. В 2023 году компания прошла ресертификацию по стандарту ISO/IEC 27001:2013 — независимые эксперты подтвердили, что компания соблюдает ИБ во всех своих процессах.
Если вас заинтересовал аутсорсинг, напишите нам.