Защищаем данные, а не информационные системы
Классический тезис «есть информационная система — значит, её надо защищать» постепенно уходит в прошлое. Современный
подход — «у нас есть данные — их и надо защищать». Это требует переосмысления архитектуры ИБ: акцент смещается на
категоризацию активов, контроль обработки, хранения, ввода и уничтожения информации. Важно понимать, что даже ввод
данных может представлять угрозу, если процесс небезопасен.
Главные риски — остановка бизнес-процессов и потеря / утечка данных
Модель рисков в ИБ всё чаще базируется на этих двух сценариях. Интересно, что об угрозе прерывания бизнес-процессов
говорят много и часто, утрата данных на этом фоне дискутируется существенно реже, однако именно она может нанести
долгосрочный урон.
Регуляторный вектор — ФСТЭК и ЦБ
Необходимо опираться на требования ФСТЭК и Центрального банка. Требования регуляторов — основа для выстраивания
системной и понятной модели защиты данных, обеспечивающей их целостность и конфиденциальность.
Защита без периметра
Сегодня невозможно чётко очертить периметр организации — работа в облаках, удалёнка, гибридные форматы делают это
бессмысленным. В таких условиях датацентричный подход — новый уровень абстракции над привычными инфраструктурными и
пользовательскими концепциями.
Надо комбинировать подходы
Датацентричный подход не отменяет существующих моделей, но переосмысляет их. Часто одна и та же задача решается на
стыке подходов — инфраструктурного, пользовательского и датацентричного. Например, категоризация данных — это первый
шаг. Важно уметь классифицировать и действия с ними, ведь один и тот же запрос к ПДн может быть легитимным в одном
бизнес-контексте и нарушением — в другом.
DLP больше не работает как надо
DLP, DAM, DCAP, Masking — у крупных компаний могут быть внедрены 4–5 подобных решений. Но проблема — в отсутствии
интеграции и в том, что разные команды отвечают за разные компоненты. Здесь важна концепция Data Governance — единый
контроль и управление жизненным циклом данных.
ИБ для бизнеса, а не наоборот
Безопасность по умолчанию — хорошо, но что делать, если данные уже есть? Ответ — пересматривать процессы, выстраивать
заново, исходя из рисков. ИБ должна идти вслед за бизнесом, а не впереди него с требованиями.
Контекст важен
Подрядчики работают по ТЗ, подписывают NDA, но этого недостаточно. Важно понимать, где хранятся данные, что с ними
делают и кто несёт ответственность за их защиту.
Критерии готовности к внедрению датацентричного подхода
-
Четкое понимание рисков.
-
Осознание, что информационная безопасность — это часть операционного риска.
-
Зрелость, при которой каждое подразделение само приходит к ИБ с запросом на защиту.
ИБ — бизнес-партнёр
Информационная безопасность перестаёт быть «карательной» функцией. Она становится сервисом, поддерживающим бизнес.
Например DLP — это не дубина, а средство сделать так, чтобы сотрудник сам чувствовал себя защищённым и не стал
причиной утечки. Даже «случайный слив в DeepSeek» — это утечка.
Инвентаризация и классификация — основы основ
Пока не ясно, какие данные есть и кто за них отвечает, невозможно построить устойчивую систему защиты. Правильно
внедрённый AI-инструментарий может дать быстрый старт, если он автоматизирует процессы инвентаризации, категоризации и
реагирования.
Нет владельца — нет процесса
Если у бизнес-процесса нет ответственного, значит, он не существует. Без назначения ответственных — нельзя выстроить
ни защиту, ни контроль.
Вывод
Концепция датацентричной кибербезопасности предлагает взглянуть на защиту данных, отталкиваясь от реалий современного мира, где информация стала одним из наиболее ценных активов. Применяя этот подход, бизнес получает возможность управлять данным более гибко, эффективно и безопасно по сравнению с традиционными моделями. Однако у всего есть своя цена — переход на новую модель ресурсоемкий и требует определенного уровня зрелости компании.
Поделиться: