ИТ-Диалог: опыт автоматизации рутинных задач безопасника в Санкт-Петербурге

ИТ-Диалог: опыт автоматизации рутинных задач безопасника в Санкт-Петербурге
Продолжаю рассказ про секцию "Россия защищенная" на ИТ-Диалоге. Теперь расскажу о докладах представителей трех регионов - Санкт-Петербурга, Республики Коми и Хабаровского края. Хотя, скорее, это были не доклады, а обмен опытом. Каждое из выступление мне запомнилось особо. Например, выступление Андрея Лихолетова из комитета по информатизации Санкт-Петербурга, который рассказывал об их опыте автоматизации рутинных задач безопасника.

Понятно, что эффективной работе служб и специалистов ИБ, особенно в крупных организациях, мешает большое количество рутинных и неавтоматизированных задач, среди которых Андрей Лихолетов выделил 5 ключевых:
  • Сбор и анализ данных, о текущем состоянии защиты информации, поиск и анализ закономерностей, подготовка стандартных отчетов
Пример одной из множества анкет/опросника по ИБ
  • Отслеживание контрольных сроков событий, исполнения поручений
  • Повышение уровня осведомленности уполномоченных лиц
  • Централизованное хранение и актуализация документов в области защиты информации
  • Аудит.
При нехватке времени и людей и большом количестве рутинных задач, без их автоматизации не обойтись. Именно про опыт питерского комитета по информатизации и был интересный доклад. Не найдя на рынке удовлетворяющего требованиям продукта, в отделе защиты информации комитета было принято решение о заказной разработке данного решения, что и было сделано. В частности, для решения первой задачи разработанная система (а она решает все пять озвученных рутинных задачи) позволяет:
  • формировать отчетность (плановую и внеплановую)
  • формировать показатели, характеризующие уровень соответствия принимаемых в организации мерах по обеспечению безопасности информации принятым требованиям по защите информации
  • анализ динамики изменения показателей
  • «вечное» хранение исходных данных.
Второй важной задачей является контроль сроков. В феврале я уже писал  про то, каким я вижу автоматизированный календарь безопасника. А в Питере он уже создан. В частности он позволяет отслеживать:
  • сроки окончания лицензий организаций
  • сроки действия сертификатов на СрЗИ
  • сроки действия аттестатов соответствия;
  • сроки повышения квалификации безопасников
  • сроки контрольных мероприятий (аудита)
  • сроки исполнения поручений
  • другие контрольные точки, например, по объектам, имеющим "срок годности, в частности по поручения.  
Отдельно решается задача хранения разных версий разных нормативных и правовых документов. Эта же подсистема позволяет хранить и конструкторскую/эксплуатационную документацию ко всем информационным системам Санкт-Петербурга, а также проводить контроль знаний по законодательству в области ИБ.


За счет визуализации и контроля состояния всех объектов защиты Санкт-Петербурга удается также 
  • Информировать уполномоченных лиц об угрозах безопасности информации
  • Информировать уполномоченных лиц о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации
  • Своевременно информировать лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе.


Задача аудита также автоматизирована, вплоть до подготовки отчетных документов и автоматической постановки задач ответственным об устранении выявленных нарушений.


Если все автоматизировать, что же тогда остается безопасникам? Не стоит ли их сократить? Нет! Как справедливо было замечено, безопасник часто погружается в рутину и у него не остается времени и сил на решение реальных задач, ради которых он и приходил на работу. В частности остаются нерешенными и заброшенными "творческие" задачи, которые откладываются на потом:

  • моделирование угроз, анализ уязвимостей и рисков,
  • оценка эффективности систем защиты информации,
  • обеспечение непрерывности работы СЗИ,
  • анализ инцидентов ИБ,
  • обеспечение ИБ при взаимодействии с третьими сторонами,
  • планирование и развитие СЗИ и т.д.

На меня доклад Андрея Лихолетова произвел впечатление, если честно. Это действительно круто - взять и заказать разработку для автоматизации собственных рутинных задач, чтобы можно было сконцентрироваться на главном. И ведь в госорганах таких рутинных задач, вытекающих часто из существующей нормативной базы, очень много. В Санкт-Петербурге смогли эту проблему решить очень эффективно, на мой взгляд.

ЗЫ. Кстати, именно Андрей Лихолетов привел крылатую фразу про ИБ, которая "как ПВО - и сама не летает, и другим не дает" :-)
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!