Compliance (соответствие требованиям) в информационной безопасности – это обязательное соблюдение установленных стандартов, законов и фреймворков, направленных на защиту данных от киберугроз. Сегодня хотим рассказать о том, как осуществляется контроль соответствия требованиям и как в этом помогают. SGRC-системы.
Единая система управления безопасностью
SGRC – это комплексные системы, которые автоматизируют управление процессами информационной безопасности (ИБ) в организации. С ее помощью можно эффективно управлять рисками и уязвимостями, планировать задачи, автоматизировать процессы, вести учёт активов, а также генерировать отчеты. Особое внимание уделим управлению соответствием требованиям. К примеру, SGRC SECURITM содержит самую большую публично доступную базу скоррелированной между собой российской и зарубежной регуляторики по ИБ.
Почему контроль соответствия так важен?
Работа службы ИБ регулируется многочисленными требованиями, установленными как российскими, так и международными регуляторами. Compliance предполагает регулярный контроль того, насколько система защиты организации соответствует этим требованиям. Часто различные стандарты могут дублировать друг друга, что усложняет процесс контроля их выполнения. Поэтому, несмотря на рутинность, процесс контроля требует внимательности и глубокого погружения специалистов.
Управление соответствием
Автоматизированные системы помогают специалистам видеть взаимосвязи и пересечения между требованиями разных стандартов. Это упрощает процесс их выполнения и позволяет быстрее понять, на что нужно обратить внимание в первую очередь. Наиболее часто встречающиеся требования касаются сетевой безопасности, журналирования и антивирусной защиты.
Как это работает на практике?
Варианты оценки соответствия:
- автоматический - привязываем защитные меры
- ручной - ставим статус “выполнено/не выполнено”, пишем обоснование и прикладываем свидетельства аудита
- метрики - привязываем технические и организационные метрики.
При автоматическом способе защитные меры в статусе “поломка” не выполняют требования. Требования можно привязать к метрике - метрика со значением попадающем в пороговые значения "Хорошо" - выполняет требования, иначе не выполняет.
Например, по приказу ФСТЭК России, требуется установка антивирусной защиты для определенных систем. В таких случаях можно заранее установить ответственных за выполнение требований, назначить сроки и создать задачи для контроля выполнения. Если защитные меры успешно реализованы и соответствуют установленным стандартам, это автоматически повышает уровень соответствия.
Если защитная мера реализована и находится в пороговом значении “Хорошо” и выше, то данные значения автоматически подтягиваются и отражаются на значении Compliance.
При этом, поломка защитной меры делает привязанное требование не выполненным и снижает процент соответствия.
Compliance: Новые возможности
Автоматизированные системы не стоят на месте и постоянно развиваются. Хотим рассказать про несколько функций, значительно улучшающим процесс работы с регуляторикой. Данные функции реализованы не во всех SGRC, но для примера рассмотрим возможности SECURITM:
1. Балльная оценка по документам - помогает видеть процент соответствия в удобной системе
2. Введение целевого уровня соответствия.
Целевой уровень - формируется по уровню всех требований, которые должны быть выполнены, за исключением тех требований, которые не требуются для выполнения или не применимы к организации
3. Модерация в опросах типа "Оценка соответствия требованиям".
Возможно назначать ответственных за модерацию прямо при создании опроса.
4. Комментарии к опросам по оценке соответствия требованиям.
Возможность оставлять комментарии в опросах для фиксирования всех возможных данных.
5. Мини-дашборд на уровне групп документов.
Для понятной визуализации среднего значения на уровне групп документов требований.
6. Комплаенс по методикам 8/12-МР
Эти методики обеспечивают единство подходов, используемых при определении рисков, которые определяются в различных направлениях. Существуют автоматические калькуляторы, которые помогают проводить комплаенс и экспортировать данные в виде отчетов нужной формы.
В заключении
Соблюдение требований в информационной безопасности — это непрерывный процесс, который требует точности и внимания к деталям. Автоматизация и доступ к актуальной нормативной базе значительно облегчают задачи специалистов, позволяя эффективно управлять рисками и соответствовать регуляторным стандартам.