Информационная безопасность — одна из сфер комплаенса. Она включает создание и внедрение строгих процедур и технологий для защиты персональных данных, конфиденциальной информации и даже гостайны.
Мы спросили у Дианы Жуковой, директора Аналитического центра Уральского центра систем безопасности, зачем нужен комплаенс, чем занимается специалист по ИБ-комплаенсу и как им стать.
Что такое комплаенс и для чего он нужен
Комплаенс — это система мер и процессов, которая помогает компаниям следовать внутренним правилам и требованиям законодательства.
Цели комплаенса включают:
- Снижение рисков. Комплаенс помогает найти потенциальные риски — нарушения и недочеты, которые могут грозить компании санкциями со стороны контролирующих органов. В итоге бизнес сможет избежать штрафов, судебных разбирательств и репутационных потерь.
- Укрепление репутации. Соблюдение высоких стандартов этики и законности повышает доверие клиентов, партнеров и инвесторов, а еще улучшает имидж компании на рынке.
- Защиту конфиденциальности. Комплаенс помогает защитить персональные данные сотрудников и клиентов и предотвратить утечки конфиденциальной информации компании, в том числе коммерческой тайны.
Какие бывают виды комплаенса
Видов комплаенса много, каждый из них охватывает отдельные аспекты и задачи бизнеса. Вот некоторые из них:
Финансовый. Соблюдение стандартов бухгалтерского учета и отчетности и контроль за отмыванием денег. Например, банк может внедрить системы мониторинга транзакций, чтобы выявлять подозрительные операции со стороны клиентов.
Корпоративный. Это соблюдение этических норм и принципов, которые поддерживают доверие и честное поведение в бизнесе. К ним относятся, например, кодекс корпоративной этики, политика в отношении конфликта интересов и др.
Антикоррупционный. Это правила для предотвращения взяток и коррупции. Для этого комплаенс-специалисты обучают команду распознавать коррупционные действия, регулярно проверяют бизнес-процессы и создают способы безопасно сообщать о любых подозрительных действиях.
Санкционный. Соблюдение международных санкций и торговых ограничений. Для этого компания проверяет контрагентов, контролирует экспортно-импортные операции и соблюдает ограничения в отношении определенных стран или лиц.
Экологический. Некоторые компании обязаны соблюдать требования по снижению выбросов вредных веществ, нормы по утилизации отходов, а еще регулярно проводить экологические аудиты и предоставлять отчетность. Например, химический завод должен разработать систему очистки сточных вод.
Что такое комплаенс в информационной безопасности
С развитием технологий возрастает и количество угроз, таких как утечки данных и хакерские атаки. Комплаенс гарантирует, что компания принимает меры для предотвращения таких инцидентов и соблюдения законов в сфере защиты информации. Например, если магазин принимает онлайн-платежи, он должен использовать только те сервисы, которые шифруют данные платежных карт.
Комплаенс ≠ защита инфраструктуры компании.
Специалисты по ИБ-комплаенсу создают локальные акты, которые регулируют, какие действия и меры помогут предотвратить утечку информации. Но физической защитой данных от разных угроз занимаются специалисты по кибербезопасности, например аналитики и пентестеры.
Какие основные нормативные акты должны соблюдать компании
- Международный стандарт ISO 27001 — устанавливает систему процедур, политик и контрольных мероприятий, которые помогают защитить конфиденциальную информацию компании от угроз, таких как хакерские атаки и утечка данных.
- Законодательство о защите персональных данных — правила использования личной информации физических лиц: клиентов, сотрудников, контрагентов. Если компания собирает и использует данные граждан Евросоюза, то она также обязана соблюдать регламент GDPR.
- Закон о государственной тайне — закон, регулирующий распространение информации, которая может навредить безопасности РФ. Государство защищает информацию в нескольких важных сферах: военная, внешнеполитическая, экономическая, разведывательная и другие.
- Закон о безопасности критической информационной инфраструктуры (КИИ) — требования к безопасности систем, функционирование которых критически важно для экономики страны. К таким системам относятся медицина, банковский рынок, наука, транспорт, энергетика и др.
Чем занимается комплаенс-специалист
Анализирует законодательство в области ИБ. Специалист следит за изменениями федеральных и отраслевых законов в сфере информационной безопасности, которые должна соблюдать компания.
Создает общие правила информационной безопасности. В зависимости от требований законодательства сотрудник формирует правила для всех работников компании — локальные акты. Например, порядок обращения с конфиденциальной информацией, политику по обработке персональных данных, регламент по антивирусной защите и так далее.
Участвует в аудитах по информационной безопасности. Совместно с IT-отделом и топ-менеджерами компании комплаенс-специалист находит потенциальные угрозы и оценивает, насколько серьезно они могут повлиять на компанию. Он также помогает определить, какие риски компания готова принять, а какие нужно снизить.
Сейчас «в моде» подход, основанный на недопустимых событиях. Он предполагает, что нужно оценивать не все риски, а только события, которые приведут к катастрофическим последствиям для бизнеса.
Если инфраструктуру компании заразит вирус-шифровальщик, это грозит длительным простоем всех бизнес-процессов и большими убытками. Другой пример — взлом сервера. Такое событие может заставить крупных клиентов отказаться от услуг или продуктов компании. В худшем случае это может закончиться банкротством.
Директор Аналитического
центра УЦСБ
Принимает меры для соблюдения правил. Актов и регламентов может быть недостаточно, чтобы команда соблюдала все правила ИБ. Часто люди забывают то, что написано в документах. Поэтому комплаенс-специалист создает памятки, видеоинструкции и другой контент, который поможет работникам закрепить знания. А еще проводит тренинги и даже организует ложные атаки и «вредоносные» рассылки, чтобы проверять знания пользователей.
Контролирует другие отделы. Защитой информации занимаются специальные подразделения, например отдел информационной безопасности, IT-департамент. Они устанавливают средства защиты данных и настраивают системные приложения. Задача комплаенс-специалиста — разработать практические правила для этих отделов. Например, как устанавливать, настраивать и следить за обновлением антивирусных баз на серверных компонентах и рабочих станциях пользователей.
Взаимодействует с надзорными органами. Комплаенс-специалист подает отчеты и реагирует на запросы Роскомнадзора, ФСТЭК России, ФСБ России и отраслевых регулирующих органов.
Как стать комплаенс-специалистом
Специальной программы по комплаенс-менеджменту нет. Обычно в эту сферу приходят специалисты с юридическим образованием. Чтобы работать в сфере ИБ, лучше получить специальное образование в области информационных технологий, компьютерных наук или кибербезопасности.
Для повышения квалификации можно пройти профессиональную сертификацию. CISSP — одна из самых популярных в сфере ИБ. Для специалистов, которые занимаются аудитом информационных систем, есть сертификация CISA.
Начать карьеру можно с младшей позиции в IT-аудите или информационной безопасности. Изучайте ключевые нормативные акты и стандарты. Развивайте навыки анализа и оценки рисков и учитесь грамотно общаться с заинтересованными лицами, в том числе руководителями, — это очень важно для работы в этой сфере.
Директор Аналитического
центра УЦСБ
Главное о комплаенсе в ИБ:
- Комплаенс в ИБ помогает компаниям создать и внедрить строгие процедуры и технологии для защиты персональных данных, конфиденциальной информации и гостайны.
- Комплаенс и защита инфраструктуры компании — не одно и то же. Комплаенс-менеджеры создают правила и локальные акты, а специалисты по ИБ обеспечивают защиту данных от угроз и утечек.
- Задачи комплаенс-менеджера включают анализ законов в сфере ИБ, разработку локальных актов на их основе и работу с регулирующими органами, участие в оценке ИБ-рисков, контроль за соблюдением внутренних правил и методов защиты информации.
- Чтобы работать в сфере ИБ, лучше получить специальное образование в области информационных технологий, компьютерных наук или кибербезопасности.
