Обзор требований к ИБ в финансовом секторе. Часть 4. Рекомендации PwC по проведению оценки соответствия
В рамках обзора требований к ИБ в финансовом секторе в разрезе проведения оценки соответствия мы переходим к заключительной части с рекомендациями от PwC. Ранее мы уже разобрали требования Положения 382-П, Положений 683-П и 672-П и ГОСТ Р 57580.1-2017.
Проведение оценки соответствия
«Итак, при проведении оценки соответствия необходимо сделать выбор мер защиты информации, применимых для кредитной организации. И здесь есть выбор, например, не применять какие-то меры в связи с экономической нецелесообразностью, а сделать адаптацию, разработать модель угроз и нарушителей и применить компенсирующие меры», — сообщил Олег Валеев. Например, рассмотрим меру РД.16 в ГОСТ Р 57580 — использование на АРМ субъектов логического доступа встроенных механизмов контроля изменения базовой конфигурации оборудования, то есть пароль на изменение параметров конфигурации системы, хранящихся в энергонезависимой памяти. В типовой реализации можно установить пароль на BIOS, но некоторые кредитные организации внедряют и используют компенсирующую меру — контроль целостности конфигурации оборудования средствами BitLocker. То есть BitLocker настраивается таким образом, что если какое-либо устройство или компонент автоматизированной системы был удалён или изменён, то рабочая станция просто не загрузится и придёт оповещение администратору безопасности.
«Стоит также обратить внимание на то, что компенсирующие меры не могут быть реализованы мерами из ГОСТ Р 57580.1-2017. То есть мы не можем при описании компенсирующих мер либо исключения мер говорить, что мы отказываемся от этой меры, потому что считаем её нецелесообразной и так как, например, у нас есть другие меры, которые описаны в ГОСТ Р 57580.1-2017. Такой подход неверен», — пояснил Олег Валеев.
Рекомендации PwC
Далее эксперт рассказал про рекомендации PwC к проведению оценки соответствия и тем подходам, которые они используют и рекомендуют своим клиентам. По его словам, эти рекомендации можно применять не только при проведении внешнего аудита, но и для самостоятельной оценки или при подготовке к внешнему аудиту либо внешней оценке соответствия.
Согласно рекомендациям, проведение оценки разбивается на три этапа. Первый этап — это предварительная оценка, второй этап — устранение выявленных недостатков, и третий — финальная оценка.
На первом этапе необходимо определить информационные системы, которые входят в область оценки — АБС, ДБО и другие системы в соотвествии с Положениями Банка России. Далее необходимо определить документы, которые могут служить свидетельствами для оценки соответствия. Собирать свидетельства стоит совместно с подразделениями, ответственными за юридическую поддержку, управление ИТ, управление ИБ и так далее. После этого можно сделать предварительное заключение по каждому из критериев оценки и рассчитать предварительную оценку, получив ту картину, которая у вас реализована на данный момент. Далее необходимо составить список выявленных несоответствий и план по их устранению. «В плане мы рекомендуем выставить приоритеты на выполнение — краткосрочная, среднесрочная и долгосрочная перспектива, зависящая, например, от экономической целесообразности, от трудозатрат, которые необходимы на реализацию этих требований. В итоге мы получаем список выявленных несоответствий, план мероприятий по устранению выявленных несоответствий и предварительный отчёт с результатами оценки соответствия. И мы можем уже работать с ними дальше и приводить оценку к более приемлемому уровню, повышать её», — рассказал Олег Валеев.
На втором этапе по устранению выявленных недостатков уже есть план и можно начать его обрабатывать с той приоритизацией, которую присвоили ранее. Например, выполнить краткосрочные и среднесрочные требования. На этот этап стоит выделить от 3 до 6 месяцев, чтобы сильно не затягивать, но в то же время дать себе время на устранение. После того, как некоторые пункты плана будут выполнены, можно добавить новые свидетельства к тем, которые собирались ранее, а также обновить план устранения несоответствий, то есть уменьшить его. В итоге получится более короткий список несоответствий и обновлённый план, который будет включать только требования из Положений или ГОСТ, которые будут выполнять в долгосрочной перспективе.
После этого можно переходить к разработке финального отчёта, то есть уже посмотреть и финализировать те работы, которые были сделаны, и тот прогресс, которого достигли за достаточно короткий промежуток времени. Тут уже нужно проверить, что все выявленные ранее несоответствия были устранены, обновить отчёт о результатах соответствия, то есть получить текущую картину с учетом обновления и устранения несоответствий. И если проводится внешний аудит или внешняя оценка соответствия и необходима разработка каких-либо отчётных форм, например, по 382-П или по ГОСТ Р 57580, то они разрабатываются на финальном этапе. И в результате у вас будут заключительный отчет с результатами оценки соответствия и форма с результатами оценки соответствия для предоставления в Банк России (при необходимости).
«Почему мы рекомендуем этот способ и почему мы используем в наших проектах? Мы считаем, что это наиболее качественный подход, потому что он позволяет достичь наибольших результатов. В рамках данной методологии мы направляли её в Банк России и получили одобрение, что такая методология может использоваться для проведения оценки соответствия», — заключил Олег Валеев.