Всем привет, меня зовут Андрей Рогов. В СИГМЕ, где мы разрабатываем и внедряем ИТ-решения для всей электроэнергетики — от контроля работы электростанций до расчета платежей «за свет», я работаю в отделе аудита и консалтинга. А значит, в мои должностные обязанности входит написание множества документов, связанных с нормативкой ФСТЭК России. Это модели угроз, наборы мер, закрывающих угрозы из моделей, которые написал я, адаптация и дополнение наборов мер, которые написал я, закрывающих угрозы из моделей, которые написал я, подбор средств защиты информации, реализующих меры, которые адаптировал и дополнил я из наборов мер, которые составил я, закрывая угрозы из моделей угроз, которые написал я (могу продолжать бесконечно, но это не собеседование).
Занимаясь всем этим бегом в колесе, я подумал, что живу в «дне сурка» выполняю часто повторяющиеся и похожие действия, которые можно автоматизировать. И об этом как раз и пойдёт речь в моей статье.
![](https://habrastorage.org/getpro/habr/upload_files/ac9/cc4/fa1/ac9cc4fa1c498eb3b955252881eb1943.jpg)
Не так давно в Телеграм-канале «Листок бюрократической защиты информации» был опубликован ответ ФСТЭК России на письмо о необходимости разработки так называемого «Единого классификатора мер защиты информации», который призван объединить и гармонизировать «одновременно схожие и отличающиеся меры защиты (безопасности) из 4-ки своих приказов 17, 21, 31 и 239». Кроме того, ожидаются полезные плюшки, с помощью которых будет легче подбирать сертифицированные СрЗИ по необходимым мерам защиты. Было и упоминание про разрабатываемый методический документ по реализации компенсирующих мер в случае неприменимости той или иной меры по объективным причинам.
Вот сам пост.
Этот вопрос поднимался на профильных мероприятиях, поэтому его проработка жизненно необходима для развития уровня отечественной информационной безопасности и избежания неточностей при определении средств защиты информации.
Теперь вернемся в 2022-ой год — время, когда пришла пора приносить пользу обществу зарабатывать деньги в СИГМЕ, которая в том числе является интегратором в сфере информационной безопасности. На тот момент я работал на должности специалиста по информационной безопасности, и с одобрения руководства начал проект, о котором далее пойдет речь.
Постановка задачи была следующей: разработать волшебный тул, который делает всю бумажную работу за меня средство для автоматизации подбора мер по 4-ке приказов ФСТЭК (17, 21, 31 и 239) с последующим выводом средств защиты, которые выполняют эти меры. Ничего не напомнило? ????
![](https://habrastorage.org/getpro/habr/upload_files/20c/9e9/e8a/20c9e9e8abd762c6b2f79b234b240d21.jpg)
То есть предстояло создать универсальный продукт, который позволит ускорить работу специалиста по информационной безопасности, прикинуть масштабы проекта, задействованные средства защиты, объём организационно-распорядительной документации и выдать быстрый ответ заказчику на запрос. Решено было использовать Microsoft Excel в качестве инструмента для решения задачи.
Ведь бывает, когда АСУ ТП (31 приказ) является объектом КИИ (239 приказ), при этом она содержит ИСПДн (21 приказ) и в теории ещё может являться ГИС (17 приказ)!
![](https://habrastorage.org/getpro/habr/upload_files/103/538/007/103538007182e8f804823f86c25574ea.jpg)
Пока искали решение была проделана важная работа: некоторые меры были сведены в одну под более-менее одинаковой сутью (например, АУД из приказов 31 и 239 с РСБ из приказов №17, 21).
![](https://habrastorage.org/getpro/habr/upload_files/27e/09e/99b/27e09e99b0ad905327eaf560c2f20411.jpg)
Но иногда встречается такое, что меры называются одинаково, но по факту разные, при этом одной мере одного приказа может соответствовать несколько мер другого приказа:
![](https://habrastorage.org/getpro/habr/upload_files/a4a/886/a1a/a4a886a1af7497173748092dff94d602.jpg)
Чтобы автоматизировать подбор мер, я создал листы с данными по различным приказам, а также листы с ячейками, содержащими категории СрЗИ, реализующие меры.
Откуда бралась информация о том, как именно меры должны быть реализованы? Из волшебного и немного просроченного документа «Меры защиты информации в ГИС». Там тоже не обошлось без косяков забавных моментов: например, в Приказе №17 ЗСВ.10 включена во все базовые наборы мер, а в методических рекомендациях — только для 1 и 2 классов защищённости.
![](https://habrastorage.org/getpro/habr/upload_files/5dd/35c/22b/5dd35c22bc31facad861b4d365ca86cd.jpg)
Кроме обязательных пунктов также добавлялись приятные функции, которые были призваны продемонстрировать мою одержимость проектом начальству моего отдела.
![](https://habrastorage.org/getpro/habr/upload_files/3bb/745/1ce/3bb7451ce49cba25524731e2bb85f712.jpg)
Конечно, средство проходило через множество итераций, поскольку для его составления необходим опыт ветеранов информационной безопасности, все-таки в высших учебных заведениях преподают одно, а в реальности зачастую все не так.
Тем не менее, при помощи коллективного разума, содержащего в себе мои усилия и опыт старших коллег, была создана следующая Excel-таблица с поддержкой макросов:
![](https://habrastorage.org/getpro/habr/upload_files/c7e/1cc/ec3/c7e1ccec34786a5d484ed6823b0ab8ec.jpg)
Сказать, что это шедевр — ничего не сказать сильно преувеличить. Но UI/UX-дизайн не является моей сильной стороной, поэтому выносились основные кнопки, необходимые для выполнения всего функционала. В процессе создания и редактирования данного решения пришлось столкнуться с большим количеством собственных косяков и закрывающих их костылей.
В итоге таблица научилась делать следующее:
выводить меры по 4-ке приказов по одиночке и сразу вместе, причем в различных вариациях на случай, если система одновременно является, например, ИСПДн и ГИС, или ИСПДн и КИИ, и так далее;
определять типы СрЗИ и выводить их в отдельной форме как полным, так и укороченным (чтобы избежать дублирования) списком;
копировать информацию в буфер обмена, выводить в документ ворд для последующего переноса информации в отчетный документ;
определять класс СКЗИ по типу угроз;
демонстрировать различия между мерами и СЗИ по разным приказам из великой 4-ки и категориям;
определять класс защищенности/уровень защищенности/категорию значимости по параметрам, содержащимся в приказе ФСТЭК №17/постановлении Правительства РФ №1119/постановлении Правительства РФ №127;
выводить меры, не входящие в базовый набор, а также выводить усиления мер (согласно методическому документу для ГИС, и по его аналогии для 31-го и 239-го приказов).
Прежде чем перейти к инструменту — рубрика «Вопрос-ответ»:
Является ли данный инструмент заменой специалиста по ИБ?
— Нет, он предназначен для использования квалифицированными сотрудниками и лишь частично автоматизирует рутинную деятельность.
Можно ли гарантировать правильность итогового документа?
— Нет, т.к. помимо элементарных ошибок, неточностей, могут быть получены ещё и парадоксальные результаты, логические нестыковки, конфликты СрЗИ с особенностями защищаемого объекта. Как минимум, результат работы инструмента требуется внимательно прочитать.
Ну а теперь — фрагменты выполнения каждого из пунктов в изображениях:
![](https://habrastorage.org/getpro/habr/upload_files/37d/bcc/29b/37dbcc29b23e805f03ddd77a64e51a59.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/900/bac/25a/900bac25a38664126781909a63aff82a.jpg)
Далее определяются СрЗИ, необходимые для реализации мер (на примере по 3-ему уровню защищенности 21 приказа). Ниже показан фрагмент, при котором нажимаются кнопки «Определить СЗИ» и «СЗИ полным списком»:
![](https://habrastorage.org/getpro/habr/upload_files/075/88f/3a7/07588f3a7da36aacfbf786c0aebfa004.jpg)
Без подробностей в виде «мера — СрЗИ» выглядит следующим образом:
![](https://habrastorage.org/getpro/habr/upload_files/a53/94a/f9c/a5394af9cb202c0f4c003f916cebdec6.jpg)
Как можно заметить, вывод средств защиты информации организован на любой вкус и цвет: непосредственно на листе, в комбинации с мерами, а также общим списком без дополнительных подробностей. Реализован механизм копирования в буфер обмена, чтобы оперативно переносить информацию куда-либо. Не хватает только написания отчетных документов, чтобы можно было вообще не работать заниматься бо́льшим количеством задач.
Следующей полезной фишкой данного решения является подбор СКЗИ по типу угроз согласно приказу ФСБ №378 (кнопка «Определение класса СКЗИ по типу угроз»):
![](https://habrastorage.org/getpro/habr/upload_files/ee8/66b/57b/ee866b57bc11e81a78a9bddb8e6c0bb9.jpg)
Требуется отображение класса СКЗИ в СрЗИ? Пожалуйста — кнопки «Внести в СЗИ» и «Определить для ГИС»! Затем переопределяйте типы СрЗИ и фиксируйте изменения!
Возможность сравнивать меры и необходимые средства защиты информации также в наличии:
![](https://habrastorage.org/getpro/habr/upload_files/2d5/6e9/0ac/2d56e90acf9d753cc0c81ec2098ec7e5.jpg)
Вот так выглядит после этого лист «Сравнение»:
![](https://habrastorage.org/getpro/habr/upload_files/c6d/866/0c8/c6d8660c8ee05dcb05fd6c27b0b28ad9.jpg)
Еще есть приятные фичи по определению класса защищенности/уровня защищенности/категории значимости по параметрам, содержащимся в приказе ФСТЭК №17/постановлении Правительства РФ №1119/постановлении Правительства РФ №127. Вот они, сверху вниз:
![](https://habrastorage.org/getpro/habr/upload_files/3ae/fd9/7bf/3aefd97bf97e425e68b2b2d9c7806af2.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/cc4/ab9/72d/cc4ab972d2750ee0ea02e0456f73ae68.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/b14/4b9/b53/b144b9b53f3b8df3f5277b7d5a8774a2.jpg)
Вывод мер, которые не входят в базовый набор на примере 3 УЗ 21-го приказа (данные записываются в документ Word):
![](https://habrastorage.org/getpro/habr/upload_files/cfc/51d/e48/cfc51de48657fd70a1320c03734e4689.jpg)
Усиление мер на примере 3-го класса защищенности по 17-му приказу:
![](https://habrastorage.org/getpro/habr/upload_files/6fe/0b0/44b/6fe0b044b4d6dcb325768e223d38f30a.jpg)
По аналогии сделано для 31-го и 239-го приказов.
В статье приведен быстрый обзор функций средства по автоматизации, однако в самом файле Excel также имеется встроенная инструкция и «Интерактивное обучение», где показано, как работать с таблицей и в каком порядке нажимать кнопки.
И все это великолепие лежит вот тут, делюсь.
Прочитавшим статью хочу пожелать интересных задач и больших пачек денег успехов в трудовой деятельности!
![](https://habrastorage.org/getpro/habr/upload_files/837/ee2/398/837ee239896881a4fff48bba7486c36d.jpg)
Автор: Андрей Рогов
Комментарии (6)
Alex_Gavrish
30.10.2023 12:52Явно пропущено слово "В СИГМЕ, где мы ....". Понятно что в конце есть. Но кажется что пропущено.
saipr
30.10.2023 12:52+1Прочитавшим статью хочу пожелать интересных задач и больших
пачек денегуспехов в трудовой деятельности!Спасибо! Хочу напомнить, что скоро ФСТЭК будет праздновать полувековой Юбилей.
Alex_Gavrish
Андрей, привет. Есть ещё одна важная фича этого инструмента - можно очень оперативно, прямо на совещании отвечать на вопрос заказчика: "А как поменяется состав средств защиты при изменении класса защищённости?" В моей практике такое встречается очень часто. И с помощью этого инструмента можно более подробно обсудить технические детали, не ставя общение на паузу.
Shaman_RSHU
Для чего Заказчику такой исполнитель, если он даже основы основ не знает без подручных средств? Вот так и выигрываются тендеры, а потом в результате в лучшем случае получается копипаст с измененным названием Заказчика на титульнике, а на этапе внедрения лишь бы "лампочки замигали".
Bohelene
Иногда (часто) заказчику важно увидеть, что исполнитель пользуется не только собственной "чуйкой", но и профессиональным инструментарием :).
Shaman_RSHU
Когда профессиональный инструментарий - согласен. Но применительно к подобному инструментарию с каждым разом им всё меньше начинаешь пользоваться, т.к. всё запоминается