Ни для кого из специалистов по информационной безопасности не является секретом, что количество нормативной документации в области защиты информации очень велико. Регламентированы многие процессы, выделены множественные направления для защиты, ставится большое количество задач по обеспечению соответствия требованиям по защите информации и проведению оценки соответствия. А вместе с тем количество нормативной документации, направленной на регулирование обеспечения защиты персональных данных, объектов критической информационной инфраструктуры растет в геометрической прогрессии.
С одной стороны, очень удобно, что регуляторы пытаются нормировать максимальное количество процессов по обеспечению защиты информации. Но с другой, у организаций, которые должны строить систему защиты учитывая требования от нескольких регуляторов (например, требования от Банка России, ФСТЭК и ФСБ) возникает периодический диссонанс и путаница, и сами требования не всегда носят явный характер и оставляют пространство для размышлений по поводу способа реализации.
И здесь возникают вопросы из категории: «все ли требования мы учли?», «какое средство приобрести, чтобы оно закрывало максимальное количество требований?», «какую документацию доработать или сформировать, чтобы внедрить и контролировать соблюдение процедур защиты информации?» и т. д.
Известно, чтобы построить эффективную систему защиты информации и соответствовать требованиям регуляторов, необходимо произвести ряд действий, направленных на систематизацию процесса:
Часть организаций во многом делает всё самостоятельно и привлекает сторонних специалистов лишь на последних этапах построения системы. Другая же – активно привлекает сторонних специалистов для проведения работ по защите информации: это может быть как полная передача ИБ на аутсорс, так и периодические работы по приведению системы защиты информации в соответствие требованиям регуляторов.
К работам по оценке соответствия требованиям регуляторов систем защиты информации, реализованных в организациях, эксперты компании ICL Системные Технологии привлекались не раз: производили обследование текущих информационных систем и организационно-распорядительной документации организации, выделяли пул требований нормативной документации регуляторов, которым организация должна соответствовать, проходили опросы с текущими сотрудниками, проводили оценку соответствия, писали рекомендации. Все эти рутинные задачи отличаются объемом наполнения полученной информации и количеством времени, затраченным на их исполнение. А вместе с тем мер различных требований нормативных документов очень много (один лишь ГОСТ Р 57580.1 -2017 содержит около 408). Здесь, после нескольких повторений затратных по времени действий в полуавтоматическом режиме, появляется логичное решение – автоматизировать их без ущерба новым требованиям ГОСТа, чем мы и занялись.
В качестве исходных процессов для автоматизации выбрали следующие:
Это позволит сократить временные затраты на проведение работ, а также даст инструмент, который позволит оперативно отвечать на многие запросы заказчиков.
Работы поделили на 4 этапа.
1) Определили, какие задачи важно автоматизировать в первую очередь:
2) …какие НПА включили первоначально:
Для начала включили документы, явно содержащие требования к обеспечению защиты информации для разных типов объектов и разных категорий значимости/классов/уровней защиты информации. Взяли ГОСТ Р 57580.1-2017 (финансовая сфера), Приказ ФСТЭК №21 (персональные данные), Приказ ФСТЭК № 17 (персональные данные для ГИС), Приказ ФСТЭК №239 (критическая информационная инфраструктура), добавив к ним методики, по которым можно рассчитывать уровень, а также категорию значимости/класс.
3) …какие результаты должны получаться:
4) …какие плюсы и выгода от автоматизации:
Решение об автоматизации определенных процессов – это ответственность организаций, занимающихся их эксплуатацией. Процессы в сфере информационной безопасности хорошо структурированы и расписаны для автоматизации и представления их в виде программной оболочки с понятной обратной связью, и автоматизация сводит на нет рутинные задачи, которые приводят к большим энерго и временным затратам специалистов.
С точки зрения взаимодействия с заказчиками это помогает ускорить время отклика и даёт в руки простой и понятный механизм, как соответствовать требованиям регулирующей документации. Поэтому мы постоянно занимаемся совершенствованием и актуализацией данного механизма, а также стараемся автоматизировать больше ИБ-процессов для расширения эффективности и функциональности.
Автор: Станислав Глинчиков
Спойлер: мы раскрываем их любимые трюки