Ни для кого из специалистов по информационной безопасности не является секретом, что количество нормативной документации в области защиты информации очень велико. Регламентированы многие процессы, выделены множественные направления для защиты, ставится большое количество задач по обеспечению соответствия требованиям по защите информации и проведению оценки соответствия. А вместе с тем количество нормативной документации, направленной на регулирование обеспечения защиты персональных данных, объектов критической информационной инфраструктуры растет в геометрической прогрессии.
С одной стороны, очень удобно, что регуляторы пытаются нормировать максимальное количество процессов по обеспечению защиты информации. Но с другой, у организаций, которые должны строить систему защиты учитывая требования от нескольких регуляторов (например, требования от Банка России, ФСТЭК и ФСБ) возникает периодический диссонанс и путаница, и сами требования не всегда носят явный характер и оставляют пространство для размышлений по поводу способа реализации.
И здесь возникают вопросы из категории: «все ли требования мы учли?», «какое средство приобрести, чтобы оно закрывало максимальное количество требований?», «какую документацию доработать или сформировать, чтобы внедрить и контролировать соблюдение процедур защиты информации?» и т. д.
Систематизация процесса
Известно, чтобы построить эффективную систему защиты информации и соответствовать требованиям регуляторов, необходимо произвести ряд действий, направленных на систематизацию процесса:
- провести обследование своих текущих систем на предмет соответствия требованиям;
- прописать или доработать процедуры обеспечения информационной безопасности;
- внедрить средства защиты;
- провести обучение самого слабого звена в цепочке передачи и обработки информации (персонала);
- провести оценку соответствия реализованных мер.
Часть организаций во многом делает всё самостоятельно и привлекает сторонних специалистов лишь на последних этапах построения системы. Другая же — активно привлекает сторонних специалистов для проведения работ по защите информации: это может быть как полная передача ИБ на аутсорс, так и периодические работы по приведению системы защиты информации в соответствие требованиям регуляторов.
Прикладные вопросы — автоматизация
К работам по оценке соответствия требованиям регуляторов систем защиты информации, реализованных в организациях, эксперты компании «ICL Системные Технологии» привлекались не раз: производили обследование текущих информационных систем и организационно-распорядительной документации организации, выделяли пул требований нормативной документации регуляторов, которым организация должна соответствовать, проходили опросы с текущими сотрудниками, проводили оценку соответствия, писали рекомендации. Все эти рутинные задачи отличаются объемом наполнения полученной информации и количеством времени, затраченным на их исполнение. А вместе с тем мер различных требований нормативных документов очень много (один лишь ГОСТ Р 57580.1-2017 содержит около 408). Здесь, после нескольких повторений затратных по времени действий в полуавтоматическом режиме, появляется логичное решение — автоматизировать их без ущерба новым требованиям ГОСТа, чем мы и занялись.
В качестве исходных процессов для автоматизации выбрали следующие:
- подбор средств защиты, закрывающих определенные требования нормативных документов (будь то меры, описанные в ГОСТ Р 57580.1, Приказе 21 ФСТЭК, Приказе 17 ФСТЭК, Приказе 239 ФСТЭК и т. д.);
- выделение мер, закрывающих уже имеющиеся или планируемые к приобретению средства защиты информации;
- оценку соответствия требованиям нормативных документов.
Это позволит сократить временные затраты на проведение работ, а также даст инструмент, который позволит оперативно отвечать на многие запросы заказчиков.
Работы поделили на 4 этапа.
Прочитайте об этих этапах в полной версии статьи на SecurityLab.