Данные — это «новая нефть», которую критически важно защищать

Логотип компании
Данные — это «новая нефть», которую критически важно защищать
изображение создано нейросетью
Глеб Гилёв, старший консультант Департамента консалтинга Cloud Networks, рассказал IT Manager о подходе Data Security Governance: почему критически важно понимать весь жизненный цикл данных, знать все задействованные в управлении данными системы хранения, обработки и передачи и уметь снизить долгосрочные риски, связанные с безопасностью данных.

Данные в современном мире — это ключевой актив любой компании. В 2019 году была запущена Национальная программа «Цифровая экономика», призванная перевести ключевые процессы как государства, так и бизнеса в информационную среду. Сегодня, в 2025 году, эта программа получила новое развитие — речь идет об утвержденной и уже действующей программе «Экономика данных», которая продлится до 2030 года. 

Данные есть у любой компании — вне зависимости от сферы деятельности, объема бизнеса и штата сотрудников. Фактически на данных строится вся работа компании: принятие стратегических и операционных решений, автоматизация процессов, работа с клиентами, оптимизация цепочек поставок, создание конкурентных преимуществ, персонализация услуг, прогнозирование спроса, объемов производства/добычи и многое другое. Объем данных, в свою очередь, находится в прямой зависимости от объема бизнеса: если данные компании из сегмента малого бизнеса довольно легко оценить и измерить (например, данные о клиентах, записях, состоянии склада), то для оценки данных банка или крупной промышленной компании объективно нужно проводить глубокую аналитическую работу.

Сейчас мы наблюдаем экспоненциальный рост объема данных в экономике: каждые 3 года общий объем данных удваивается. В будущем этот тренд не только продолжится, но и ускорится. Однако необходимо понимать, что в прямой зависимости от роста данных растут и риски, связанные с их безопасностью.

Данные — это «новая нефть», которую критически важно защищать. Рис. 1

Согласно исследованию компании IBM, средняя стоимость утечки данных в 2023 году составила $4,5 млн. Это включает не только прямые финансовые потери, но и репутационный ущерб, а также штрафы за несоблюдение регуляторных требований. По информации пресс-службы Роскомнадзора, в 2024 году суды назначили штрафы на сумму 2 млн рублей по фактам утечек персональных данных россиян. Ведомство выявило 135 фактов утечек, в результате которых было обнародовано 710 млн записей.

30 ноября 2024 года президент РФ подписал федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации», который устанавливает уголовную ответственность за незаконные использование, передачу, сбор и хранение персональных данных», а в декабре был опубликован закон № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Он вступает в силу через 180 дней после дня его официального опубликования, то есть введенные законом изменения начнут действовать с 30 марта 2025 года. В целом закон предусматривает значительное увеличение штрафов за утечки данных. Объем штрафов варьируется от нескольких миллионов рублей и может достигать десятков миллионов рублей в зависимости от объема утечек и критичности данных. Но самое интересное, что штраф за повторную утечку персональных данных составит от 0,1 до 3% от выручки за календарный год или за часть текущего года, но не менее 25 млн рублей и не более 500 млн рублей.

Data Security Governance

Утечки данных, несанкционированный доступ, кибератаки — все это может привести к катастрофическим последствиям для бизнеса. Поэтому управление безопасностью данных (Data Security Governance) становится не просто рекомендацией, а необходимостью.

Для того чтобы начать защищать данные, нужно сначала понять следующее: какие данные имеются в компании, где данные хранятся, какие системы их используют, каковы источники данных, актуальны ли они, кто за них отвечает, какие данные требуют защиты в первую очередь, кто к каким данным имеет доступ. Более того, исходя из опыта Cloud Networks, можно утверждать, что в компаниях не всегда существует четкая модель данных и понимание всех используемых компанией технологий и ИТ-систем.

Ответить на эти и многие другие вопросы, связанные с данными, помогают подходы и стандарты Data Governance. Data Governance — это система управления данными (фреймворк), которая включает процессы, политики, стандарты и роли для обеспечения качества, безопасности и доступности данных. Такой подход помогает разобраться в том, какие данные имеются у компании, кто за них отвечает и как они двигаются внутри контура архитектуры данных компании: от данных из систем источников и стриминга до финальных BI-отчетов и ML-моделей. Использование фреймворка Data Governance может очень сильно помочь ИБ в задаче по защите данных. В частности, одной из частей известного в рамках методологии Data Governance фреймворка DAMA Wheel является Data Security, или безопасность данных. Один из ключевых инструментов Data Governance – Data catalog (каталог данных) - позволяет нарисовать и отследить путь данных внутри КХД и общей архитектуры данных компании, а также промаркировать их, определить ответственных, помочь разграничить доступы. И здесь уже мы логически приходим к Data Security Governance.

Data Security Governance — это система управления безопасностью данных, которая включает процессы, политики, стандарты и технологии для защиты данных на всех этапах их жизненного цикла. Data Security Governance – это подход, который помогает увидеть данные как основной актив, требующий защиты, и использовать наработанные в рамках Data Governance подходы, фреймворки и технологии для использования со стороны ИБ. Это не просто защита от внешних угроз, но и управление внутренними рисками, такими как несанкционированный доступ или ошибки сотрудников.

Системный подход к безопасности в условиях ограничений

Современные информационные технологии развиваются очень быстро, данные используются все в бо́льших объемах и масштабах. Однако небольшой штат и бюджеты на информационную безопасность не всегда позволяют быстро найти и снизить экспоненциально растущие риски. Использование подхода Data Security Governance поможет разобраться во всех этих проблемах.

Вышло глобальное обновление системы централизованного управления РЕД АДМ Промышленная редакция 2.0
Цифровые двойники в строительстве. Эффективность, проблемы и перспективы
Модульные ЦОДы. Как быстро масштабировать вычисления?

Среди наиболее распространенных рисков, связанных с данными, можно выделить несколько самых критичных.

Во-первых, это утечки данных, которые происходят как в результате кибератак, так и вследствие человеческого фактора. Во-вторых, это несанкционированный доступ: часто сотрудники получают доступ к критичной информации, которая им не нужна для выполнения рабочих задач, либо доступ был предоставлен ранее и не был отозван. Третьим риском является потеря данных — как правило, вследствие технических сбоев, ошибок пользователей или вредоносных действий. И наконец, не стоит забывать о штрафах и санкциях со стороны государства или подрядчиков — как за несоблюдение законодательства, так и за утечку данных.

Снизить эти риски помогает комплексная система управления безопасностью данных. В ее основе — классификация информации с определением уровня критичности и применением соответствующих мер защиты, включая маскирование. Важную роль играет управление доступом: внедрение ролевой модели и принципа наименьших привилегий существенно ограничивает потенциальные зоны риска. Дополнительную защиту обеспечивают технологии шифрования и регулярное резервное копирование.

Важно защищать данные на всех этапах их жизненного цикла — от систем-источников до аналитических отчетов. Эффективный мониторинг с использованием DLP- и SIEM-систем позволяет отслеживать подозрительную активность и контролировать использование данных. И конечно, ключевым элементом остается повышение осведомленности сотрудников — обучение и регулярное информирование позволяют минимизировать вероятность ошибок, связанных с человеческим фактором.

Как консалтинг помогает систематизировать защиту данных

Использование одной или нескольких технологий или контролей в ограниченном числе систем или баз данных не поможет в достаточной мере снизить риски информационной безопасности. Необходим комплексный подход, который позволит идентифицировать все данные компании и классифицировать их, определить места их хранения и методы снижения рисков безопасности. Безопасность должна строиться от понимания, что конкретно компания хочет защитить. ИБ пытается защитить определенные серверы, приложения и системы, но на самом деле злоумышленникам нужны конкретные данные, а не доступ к базам данных и системам. Если мы начнем думать в парадигме защиты данных, может оказаться, что на самом деле большинство критичных данных образуется в одной системе и маскирование в рамках данной системы позволит обезопасить данные и в тех местах, на которые в ИБ наслаивалось множество дополнительных систем безопасности или, наоборот, о которых в ИБ могли не знать и которые могли пропустить. Именно в этом могут помочь подходы Data Security Governance.

Читайте также
Результаты тестирования нового NGFW для задач уровня ЦОД
В ноябре 2024 года компания UserGate анонсировала новый NGFW для крупных компаний и операторов дата-центров — UserGate Data Center Firewall (UserGate DCFW). Одна из его главных отличительных черт по сравнению с классическим UserGate NGFW — применение собственной технологии векторного файрвола, позволяющей обрабатывать до 130 тыс. правил межсетевого экрана.

Обеспечение безопасности данных — это сложный процесс, который требует глубокой экспертизы и понимания как технологических, так и организационных аспектов конкретной компании (архитектуры, стека), а самое главное — он требует много времени и сил со стороны команды информационной безопасности. У инхаус-команды всегда есть огромный объем текущих задач, что может мешать оперативному внедрению необходимых изменений. Более того, сейчас мы находимся в ситуации дефицита кадров, недостаточного выделения бюджетов и высокой ключевой ставки. Поэтому Cloud Networks предлагает разумное решение для бизнеса — консалтинг.

Консалтинг включает в себя построение долгосрочной поэтапной стратегии безопасности данных, ключевыми аспектами которой являются:

  1. Аудит текущего состояния. Оценка текущих рисков и уязвимостей в системе управления данными. Аудит предусматривает изучение стека, политик ИБ, требований, классификаций, а также текущего состояния безопасности данных, определение рисков и предоставление рекомендаций по их снижению.
  2. Разработка стратегии безопасности данных. Разработка стратегии Data Security Governance, которая учитывает специфику компании в формате «люди, процессы, технологии» с конкретными проектами, сроками, результатами, подсчетом финансовой модели и помощью в аргументации для выделения бюджетов.
  3. Внедрение лучших практик. Внедрение процессов и технологий для управления безопасностью данных, обновление классификации данных и ролевой модели данных, предоставление рекомендаций по подходящим продуктам информационной безопасности под требования и ожидания компании.
  4. Обучение сотрудников. Проведение тренингов для повышения осведомленности о рисках информационной безопасности, связанных с работой с данными.

Таким образом, внедрение подходов Data Security Governance — это не просто защита данных, а основа киберустойчивости и конкурентности бизнеса.

Журнал IT Manager

Опубликовано 27.03.2025

Об авторах
Глеб Гилёв
Глеб Гилёв
Старший консультант Департамента консалтинга Cloud Networks
КонсалтингИнформационная безопасностьУправление данными (Data Management)
Похожие статьи
Как ИТ-компании выживают в эпоху ужесточения штрафов за персональные данные
Как ИТ-компании выживают в эпоху ужесточения штрафов за персональные данные
Новые штрафы до 300 тыс. рублей за неуведомление о статусе оператора персональных данных всколыхнули рынок. По данным участников мероприятия  две трети компаний до сих пор «ходят под статьёй», не вполне осознавая рисков. На фоне ужесточения регуляторики обсуждение превратилось в разговор о границах закона и практических ловушках. За ходом круглого стола внимательно следил IT-World.
08.04.25
Олег Кравчук: "В экспорте, как в театре, все роли расписаны"
Олег Кравчук: "В экспорте, как в театре, все роли расписаны"
Российскому ИБ-бизнесу становится тесно на отечественном рынке. Хотя он достаточно велик, но международные просторы имеют несравнимо большую инсталляционную базу. Насколько сложно вендорам развивать экспорт, какие препятствия встают на пути производителей и в чем преимущество отечественных ИБ-продуктов, рассказал IT-World Олег Кравчук, директор по работе с зарубежными и стратегическими проектами «Кода Безопасности».
Марк Мишин07.04.25
DDoS-атаки бьют рекорды – бизнес продолжает рисковать
DDoS-атаки бьют рекорды – бизнес продолжает рисковать
Почти половина российских компаний игнорируют базовые меры кибербезопасности, а количество DDoS-атак за год выросло на 53%. Эксперты предупреждают: бизнесу срочно нужны многоуровневые системы защиты, чтобы избежать миллионных убытков.
07.04.25
ВПК России работает на Windows и другие открытия
ВПК России работает на Windows и другие открытия
Оказывается, что существуют вирусы для Astra Linux и РЕД ОС, но толку от них никакого, так как даже ВПК использует Microsoft Windows. Об этом и многом другом мне довелось узнать на прошедшей Dr.Web VirLabConf 2.0.
Андрей ВиноградовДоктор Веб04.04.25
Загрузить ещё1 2 3 4 5 »» Следующая →