Про «народное» GRC. Мы не делаем сложные вещи ещё сложнее

Про «народное» GRC. Мы не делаем сложные вещи ещё сложнее

Как перестать волноваться и выстроить комплексную систему защиты по десяткам нормативно-правовых актов и стандартов в финансовой организации без космических затрат на дорогостоящие GRC.

ВВЕДЕНИЕ

Управление информационной безопасностью в финансовой отрасли сродни балансированию на канате. Классические проблемы планирования, реализации, контроля и совершенствования комплексной системы защиты, которые сложны сами по себе, дополняются непрерывным изменением нормативной базы и ростом объема правовой нагрузки на службы информационной безопасности. Времена положения 382-П давно прошли и сегодня вместо одного положения по защите информации, применимого только для кредитных организаций (КО) и операторов по переводам денежных средств (ОПДС), мы имеем:

• одно положение для КО (683-П);
• два положения для ОПДС (719-П, 747-П);
• одно положение для некредитных финансовых организаций (747-П);
• положение по операционным рискам для КО (716-П);
• положения по операционной надежности для организаций всех типов (779-П, 787-П).

А ведь помимо указанных требований любая организация финансовой отрасли — как субъект национальной платежной и банковской систем — является одновременно и субъектом КИИ, и оператором персональных данных, часто имеет лицензию ФСБ, выполняет требования PCI DSS в рамках платежной системы “МИР”, регулярно проходит внешние оценки соответствия лицензиатами ФСТЭК, и все это ещё не говоря о внутренних процессах защиты информации, полноту и качество реализации которых необходимо отслеживать, в том числе путем мониторинга индикаторов и метрик ИБ, собираемых с различных систем автоматически, чтобы своевременно вносить соответствующие изменения в систему защиты.

Таким образом, CISO в роли канатоходца должен искать баланс между реальными рисками безопасности и обеспечением операционной надежности, потребностями и возможностями бизнеса, а также требованиями регуляторов и отраслевых стандартов. При этом, без современных средств автоматизации, служба безопасности рискует увязнуть в рутине и не суметь вовремя расставить новые приоритеты, обнаружить недостатки в процессах защиты информации, реагировать на инциденты ИБ или заметить отклонение индикаторов от установленных показателей. Чего только стоят постоянные аудиты на соответствие требованиям регуляторов (оценки соответствия), отнимающие недели рабочего времени и, подчас, не приносящие реальной пользы для безопасности организации.

В результате, создаваемые системы защиты обрастают множеством активностей, висящих на плечах CISO и всей организации, сакральный смысл которых давно утерян. Если посмотреть на отдельно взятую область аудитов и контроля соответствия, то ключевыми проблемами являются:

1. Ресурсоемкость подготовки к аудитам и их проведения. Каждый аудит является самостоятельным проектом, отнимает много времени, сотрудники отвлекаются от своих задач, бизнес теряет время и деньги.
2. Трудозатратность ежедневного контроля соответствия требованиям и реализации организационных и технических мер системы защиты. Связанная с этими задачами рутина требует времени и сил, а отсутствие единой точки фиксации результатов приводит к необходимости консолидации информации в ручном режиме. 
3. Распараллеливание и дублирование процессов контроля и надзора. В среднем организация в течение двух лет проходит от 3 до 10 аудитов по различным стандартам. И хотя многие стандарты говорят об одних тех же мерах защиты, зачастую результаты одного аудита никак не используется в проведении другого и “забываются” сразу по предоставлении их аудитору.

Для решения такого рода задач на рынке существуют так называемые GRC решения. Эти продукты позволяют: 

• выстроить систему организации и управления защитой информации по принципу “единого окна”; 
• собрать на базе централизованной цифровой платформы описания и свидетельства реализации всех мер системы защиты;
• в режиме реального времени наблюдать индикаторы и метрики управления ИБ;
• консолидировать коммуникации между структурными подразделениями организации по вопросам управления системой защиты. 

Но остается другая проблема — дороговизна GRC платформ, как на уровне стоимости лицензии, так и на уровне сложности настройки, интеграции и сопровождения продукта в экосистеме конкретной организации. Для устранения этих недостатков нами и был разработан SECURITM, отечественное ПО, позиционируется как “народное GRC”. Обладая достоинствами и функционалом “старших братьев” SECURITM стоит значительно дешевле и отличается гибкостью настроек, простотой внедрения и легкостью в эксплуатации.

РЕШЕНИЕ

Создавая нашу систему управления информационной безопасностью, мы собрали в единую базу знаний отечественные и международные нормативы по информационной безопасности (более 40 документов, включающих нормативно-правовые акты Банка России по информационной безопасности), разбили их на отдельные требования и связали идентичные требования между собой. Так, согласно нашей базе, приказы ФСТЭК № 17, 21, 31, 239 одинаковы на 60%, и только 20% требований в каждом из приказов уникальны. Такая же ситуация с международными стандартами, 60% одинаковых требований обнаружены в ISO 27001, NIST Cybersecurity Framework и CIS Critical Security Controls.

Получается, что выстраивая систему защиты или проходя аудиты по различным нормативами не учитывая пересечение требований, службы безопасности тратит до 60% времени на одинаковую рутину. То есть около половины времени службы информационной безопасности и проверяющих организаций может быть сэкономлено, направлено на более полезные для безопасности организации задачи (рис. 1).

Рисунок 1. Пересечение требований в различных документах по информационной безопасности.

После сведения требований различных нормативов в единую базу возрастает удобство анализа различных аспектов стандартизации. Например, объединяя схожие требования в когорты отдельно по отечественным и международным документам, формируя ТОПы самых популярных требований, можно заметить разницу в подходах. В международных документах чаще встречаются требования в отношении людей и процессов, например по защите цепочек поставок, работе с персоналом, регулярному пересмотру правил межсетевого экранирования. В отечественной регуляторике упор по-прежнему делается на абстрактную техническую составляющую — внедрить антивирусную защиту, обеспечить обнаружение вторжений — без процессных требований и рекомендаций.

Рисунок 2. Карточка требования

Но для того чтобы эффективно контролировать соответствие множеству требований и нормативов недостаточно понимать как эти требования пересекаются между собой. Нужно понимать как эти требования исполняются конкретно в вашей инфраструктуре, кто отвечает за них, какие мероприятия и процессы связанные с данными мерами нуждаются в дополнительном контроле. Самым эффективным способом для этого является ведение реестра защитных мер или SoA/ведомости применимости (в терминологии ISO 27-й серии и ГОСТ Р 57580.1–2017 соответственно). Где каждая защитная мера — это описание конкретной активности структурного подразделения организации, целью которой является выполнение установленных требований для снижения рисков информационной безопасности и обеспечения операционной надежности организации. Через защитные меры описывается любая активность: от внедрения антивируса до проведения ежегодных пентестов, от выпуска актов классификации ИСПДн до получения оценки соответствия требованиям к ОУД 4. 

Рисунок 3. Карточка защитной меры

Описание всей активности организации в рамках выстроенной системы защиты единой базой знаний организации уже само по себе является ценностью, позволяющей формировать комплексные планы работ и годовую отчетность. Но главная ценность подхода в том, что каждая мера связывается с требованиями регуляторики, на исполнение которых она направлена, а также с рисками безопасности, которые она снижает. Благодаря такой связи служба безопасности может не только ответить на вопрос что она делает, но и зачем она это делает. Причем исполнив защитной мерой требование одного документа, мы косвенно выполняем аналогичные требования из десятка других документов, и система автоматически осуществляет подобные сопоставления. Тогда, при проведении аудитов, в том числе повторных, службе безопасности остается лишь проверить, что связанные с требованиями защитные меры исправно функционируют, что можно делать на той же платформе, используя инструментарий формирования тикетов/задач, в том числе автоматических, возникающих с установленной периодичностью. Но процессы защиты информации не ограничиваются лишь одной службой информационной безопасности, в них задействовано множество структурных подразделений с различными ролями: ИТ, риски, юристы, СВА и СВК — все они могут работать на платформе вместе, снижая транзакционные издержки на коммуникацию в почтах, мессенджерах, телефонных звонках и существенно оптимизируя работы всей организации (рис. 4).

Рисунок 4.  Место процесса управления соответствием в управлении безопасностью 

Смысл подхода в том, что работа службы безопасности и другие структурные подразделения организации должны быть взаимосвязаны на стратегическом, тактическом и операционном уровнях. У каждого действия должна быть причина и смысл. На практике это реализуется как взаимосвязь сущностей: Документы —> Требования —> Защитные меры —> Задачи и Процессы.

ВЫВОДЫ

Объединение аналогичных требований из различных стандартов и контроль их исполнения через ведение реестра защитных мер позволяют снизить ручной труд на первичную оценку соответствия, сократить сроки аудитов, минимизировать затраты при проведении последующих проверок, а главное централизовать управление системой защиты на базе единой платформы с базой знаний организации. Понимая чувствительность обрабатываемой в подобных системах информации, мы предлагаем не только облачную инсталляцию сервиса, но и возможность размещении копии SECURITM в инфраструктуре финансовой организации.

В результате организация получает процесс управления соответствием и требованиями ИБ, позволяющий:

• непрерывно контролировать соответствие множеству требований и документов;
• подтверждать соответствие перед внешними и внутренними аудиторами;
• избавиться от дублирующих операций, лишних разговоров и переписок, завести все коммуникации в области ИБ на специализированную платформу, специально созданную для этих целей.

Результаты исследований по корреляции требований различных стандартов размещены в открытом доступе, (без регистрации и смс), это наш вклад в развитие сообщества служб безопасности. Там же размещаются проекты защитных мер и бесплатный доступ к Community версии инструмента SECURITM, на базе которого было проведено исследование.

Предлагаем всем присоединяться к наполнению базы проектов защитных мер, именно благодаря такому упорядоченному обмену опытом количество переходит в качество, а будни CISO наполняются пользой. 

По ссылке вы найдете инструмент, который сравнивает различные стандарты и формирует ТОП 10 требований (групп требований) по различным наборам стандартов. Он размещен в открытом доступе и теперь каждый может самостоятельно создать набор требований именно по тем стандартам, которые актуальны для его организации (рис. 5).

Рисунок 5. Одновременное управление соответствием по различным документам