ИБ-Compliance «вручную» уже невозможен

Банковское сообщество сложно удивить нормативными требованиями к информационной безопасности (ИБ) или необходимостью им соответствовать. Однако в последнее время рост числа требований и сложность их реализации делают обеспечение такого соответствия всё более трудновыполнимой задачей.

Осложняет ситуацию и характерное для крупных и средних банков большое количество процессов, связанных с обеспечением ИБ, в которых задействовано множество сотрудников разных подразделений. При этом состав и численность сотрудников, ответственных за ИБ, как и сами требования, со временем меняются.

Например, традиционно раз в 3 года обновляется стандарт PCI DSS, летом этого года ожидается публикация обновленных постановлений Правительства РФ и документов ФСТЭК России и ФСБ России по персональным данным. Также в настоящее время обсуждается проект положения о защите переводов денежных средств, на подходе очередная версия комплекса документов СТО БР.

СООТВЕТСТВИЕ: НЕПРЕРЫВНО И ДОКУМЕНТИРОВАНО

Результатом большинства реализуемых проектов «по приведению в соответствие» являются положительные заключения, отражающие состояние ИБ на текущий момент времени. Опыт выполнения подобных проектов показывает, что этот результат зачастую недостаточен для сохранения уже вложенных в ИБ инвестиций и поддержания необходимого уровня защищенности.

Приступая к повторной сертификации банков по требованиям PCI DSS, мы часто оказываемся в ситуации, когда инфраструктура безопасности процессинга за год изменяется настолько, что работы по подготовке к сертификации необходимо выполнять заново. При этом все, включая руководство банка, считают снижение стоимости и сроков повторных работ закономерными.

Эта проблема многим знакома и позволяет сделать вывод о том, что соответствие требованиям — непрерывный процесс, требующий постоянного контроля. Добиться которого позволяет полноценное постпроектное сопровождение, в ходе которого аудиторы фиксируют все произошедшие изменения. На основе анализа изменений формируются рекомендации по реализации необходимых мероприятий. Таким образом, уровень соответствия требованиям PCI DSS своевременно отслеживается и поддерживается в актуальном состоянии, в том числе за счёт наглядного обоснования необходимых дополнительных вложений в систему защиты.

Почти все банки сегодня функционируют в области действия сразу нескольких нормативных актов и/или стандартов по ИБ, что увеличивает количество необходимых положительных заключений (сертификатов, аттестатов, оценок). Функции контроля, как правило, возлагаются на ответственных лиц, компетентных в конкретной области ИБ (№152-ФЗ, PCI DSS, СТО БР).

Например, закон №152-ФЗ в своей последней редакции предполагает обязательное наличие работника, ответственного за организацию обработки персональных данных. Рост числа нормативных требований к ИБ неизбежно приводит к большей загрузке ответственных специалистов и, как следствие, к увеличению штата сотрудников, осуществляющих контроль.

Большинство стандартов и нормативных документов по ИБ содержат схожие, а иногда и идентичные положения. Поэтому выполнение требований одного стандарта обычно влечёт за собой автоматическое соответствие требованиям другого. В этом случае более эффективным оказывается подход, когда уже выстроенные и функционирующие процессы обеспечения ИБ соотносятся с нормативными требованиями, а не многократно «ломаются» и перестраиваются под каждый вновь публикуемый документ. Однако для выстраивания таких связей между требованиями и процессами вся деятельность банка в области ИБ должна быть систематизирована и описана.

ОТ РУЧНОГО МЕТОДА К АВТОМАТИЗАЦИИ

Сегодня распространён экстенсивный подход к контролю соответствия требованиям по информационной безопасности, основанный на так называемом ручном методе, который легко проиллюстрировать следующим примером. Задача обеспечения соответствия требованиям к ИБ, включая всем знакомый № 152-ФЗ, возлагается на руководителя службы ИБ.

Перечень всех необходимых мероприятий содержится в таблице, которую он ведёт в Exсel, являющимся наиболее доступным и распространенным инструментом. Поддерживать таблицу в актуальном состоянии крайне сложно, а в ряде случаев − невозможно, так как она постоянно увеличивается. При этом для того, чтобы удостовериться в выполнении ряда мероприятий, нужно каким-либо образом получить отчёты ответственных сотрудников, потратив время на дополнительные звонки или письма. В итоге контроль соответствия превращается в рутинную и крайне трудозатратную работу, часть которой перекладывается на других сотрудников подразделения в качестве дополнительной нагрузки.

Такой подход имеет ряд недостатков, главный из которых − снижение эффективности. Это связано с увеличивающимся количеством требований по информационной безопасности и с их периодическим пересмотром. А также с тем, что большое количество процессов обеспечения ИБ и задействованных сотрудников осложняет общий контроль выполнения требований.

Аналогичная ситуация существовала несколько лет назад в сфере мониторинга событий ИБ. Большинство событий ИБ обрабатывалось вручную, и в целом это всех устраивало. Но когда количество источников событий и необходимость оперативной их отработки достигли критической массы, банки стали обращаться к специализированным решениям, позволяющим автоматизировать данный процесс. Сегодня многие из них уже внедрили системы класса SIEM, а понятие Security Operations Center (SOC) основательно закрепилось в нашем сознании как реально функционирующий комплекс эффективных механизмов мониторинга и обработки событий ИБ.

В поисках подобного решения для контроля соответствия требованиям к ИБ можно обратиться к зарубежной экспертизе. Накопленный западными коллегами опыт позволяет говорить о том, что интенсивный подход к решению вопроса соответствия заключается в автоматизации процессов обеспечения ИБ в рамках концепции GRC (Governance, Risk and Compliance) как наиболее успешной с точки зрения решения комплексных задач в области ИБ-Compliance. За последние годы системы этого класса существенно продвинулись вперёд, в том числе и в части соответствия требованиям к ИБ, и успешно применяются на западе для автоматизации процессов контроля соответствия.

ИНТЕНСИВНЫЙ ПОДХОД: ИДЕЯ И РЕАЛИЗАЦИЯ

Для автоматизации процессов обеспечения ИБ их нужно так или иначе формализовать. Безусловно, их описание — работа внушительного объема, но, как правило, она проводится в рамках аудита. Открытым остается вопрос о том, на каком уровне детализации целесообразнее остановиться.

Формализовать процессы обеспечения ИБ, направленные на выполнение нормативных требований, следует вне зависимости от того, на какой платформе будет строиться система контроля уровня соответствия. Длительность этих работ, обычно включающих 2 составляющие, зависит от количества и сложности процессов банка, ориентировочно − не менее полугода.

Во-первых, систематизируются сведения о системе ИБ, в том числе о текущем уровне соответствия нормативным требованиям. В данном случае формируется перечень нормативных актов, стандартов в области ИБ, которые приняты в банке как обязательные, описываются реализованные организационные меры и технические средства защиты информации, а также внутренние процессы и процедуры с указанием их характеристик, ключевых с точки зрения ИБ.

Во-вторых, формируется процесс управления требованиями к ИБ. Что подразумевает создание матрицы соответствия требованиям к информационной безопасности и внутренних процессов, направленных на выполнение этих требований. Затем целесообразно выполнить разработку графических карт процессов обеспечения ИБ (диаграмм) и выстроить иерархию этих процессов, составляющих единую схему управления.

После того, как сформирована схема управления требованиями ИБ и контроля соответствия этим требованиям, приступают к её реализации в рамках выбранной программной платформы. Решений класса GRC достаточно много. Но далеко не все из них «заточены» для решения поставленных задач в области ИБ. Среди наиболее известных игроков на российском рынке, в линейке которых представлены подобные продукты, можно выделить Oracle, IBM и ЕМС (продукт RSA Archer eGRC).

К наиболее значимым функциям таких решений, позволяющим продемонстрировать преимущества интенсивного подхода к выполнению нормативных требований, можно отнести централизованный репозиторий документов, регламентирующих обеспечение ИБ и установление взаимосвязей между требованиями к информационной безопасности и внутренними процессами и процедурами, направленными на их выполнение. А также − автоматизацию рабочих процессов (workflow), включая рассылку уведомлений и оценку их выполнения, автоматизацию проведения аудита на соответствие установленным требованиям к ИБ и гибкую систему отчетности об уровне соответствия. Интенсивность подхода достигается за счёт качественного изменения привычных на сегодняшний день процедур контроля.

ГИБКОСТЬ, ПОНЯТНОСТЬ И ОПЕРАТИВНОСТЬ − КЛЮЧЕВЫЕ ПРЕИМУЩЕСТВА

Переход от ручной периодической актуализации опросных листов к специализированным решениям даёт ряд преимуществ. Например, прозрачность и наглядность оценки соответствия реализованных мероприятий и требований к информационной безопасности позволяет с минимальными затратами адаптировать свою систему ИБ к требованиям вновь публикуемых документов и стандартов ИБ.

В большинстве случаев задача соответствия новым условиям сводится к выстраиванию связей между уже реализованными процессами (мероприятиями) ИБ и требованиями стандартов. В этом случае новые требования включаются в уже созданную систему, практически не оказывая на нее влияния. Таким образом достигается максимальная готовность банка к возможным изменениям законодательства в сфере ИБ или публикации иных требований (см. схему 1).

Автоматизация рабочих процессов и аудита также даёт возможность оперативно реагировать на возможные отклонения от заданных политик и выстроенных процедур. Иными словами, ответственный офицер безопасности получает инструмент, позволяющий в режиме реального времени отслеживать несоответствия и принимать необходимые меры.

При этом в процесс контроля вовлекаются все сотрудники банка, на которых возложены те или иные обязанности по выполнению требований ИБ, а офицер безопасности видит результаты их исполнения. Немаловажным фактором является возможность подключения в качестве конечных исполнителей различных информационных систем (например, анализа уязвимостей), которые автоматически формируют отчеты и направляют их офицеру безопасности как результаты выполнения соответствующих процедур (мероприятий) (см. схему 2).

Кроме того, результаты аудита, автоматически формируемые системой, могут использоваться для проведения внутренних и внешних проверок. Дополнительным плюсом является то, что отчётность может быть составлена на понятном и доступном бизнесу языке.

ВЫБИРАЕМ ИНТЕНСИВНОСТЬ, ПОВЫШАЕМ ЭФФЕКТИВНОСТЬ

Сложившаяся сегодня ситуация в сфере контроля соответствия требованиям по ИБ заставляет вспомнить слова Генри Форда: «Все можно сделать лучше, чем делалось до сих пор». Применительно к задачам соответствия нормативным требованиям в сфере ИБ именно решения GRC дают возможность перейти не просто от хорошего к лучшему варианту работы, а от практически неприемлемого к действительно продуктивному.

Можно с уверенностью сказать, что в ближайшее время, благодаря росту числа требований по ИБ, именно GRC-решения прочно войдут в список наших рабочих инструментов, заняв в нём такое же место, как и используемые сегодня системы класса ERP, ITSM, CRM, без которых мы уже не представляем деятельность современной компании.

Юрий Черкас -- руководитель направления Центра информационной безопасности (ЗАО «Инфосистемы Джет»)

BIS Journal №3(6)/2012

4 сентября, 2012

Смотрите также