Всем привет, меня зовут Андрей Рогов. В СИГМЕ, где мы разрабатываем и внедряем ИТ-решения для всей электроэнергетики — от контроля работы электростанций до расчета платежей «за свет», я работаю в отделе аудита и консалтинга. А значит, в мои должностные обязанности входит написание множества документов, связанных с нормативкой ФСТЭК России. Это модели угроз, наборы мер, закрывающих угрозы из моделей, которые написал я, адаптация и дополнение наборов мер, которые написал я, закрывающих угрозы из моделей, которые написал я, подбор средств защиты информации, реализующих меры, которые адаптировал и дополнил я из наборов мер, которые составил я, закрывая угрозы из моделей угроз, которые написал я (могу продолжать бесконечно, но это не собеседование).

Занимаясь всем этим бегом в колесе, я подумал, что живу в «дне сурка» выполняю часто повторяющиеся и похожие действия, которые можно автоматизировать. И об этом как раз и пойдёт речь в моей статье.

Не так давно в Телеграм-канале «Листок бюрократической защиты информации» был опубликован ответ ФСТЭК России на письмо о необходимости разработки так называемого «Единого классификатора мер защиты информации», который призван объединить и гармонизировать «одновременно схожие и отличающиеся меры защиты (безопасности) из 4-ки своих приказов 17, 21, 31 и 239». Кроме того, ожидаются полезные плюшки, с помощью которых будет легче подбирать сертифицированные СрЗИ по необходимым мерам защиты. Было и упоминание про разрабатываемый методический документ по реализации компенсирующих мер в случае неприменимости той или иной меры по объективным причинам.

Вот сам пост.

Этот вопрос поднимался на профильных мероприятиях, поэтому его проработка жизненно необходима для развития уровня отечественной информационной безопасности и избежания неточностей при определении средств защиты информации.

Теперь вернемся в 2022-ой год — время, когда пришла пора приносить пользу обществу зарабатывать деньги в СИГМЕ, которая в том числе является интегратором в сфере информационной безопасности. На тот момент я работал на должности специалиста по информационной безопасности, и с одобрения руководства начал проект, о котором далее пойдет речь.

Постановка задачи была следующей: разработать волшебный тул, который делает всю бумажную работу за меня средство для автоматизации подбора мер по 4-ке приказов ФСТЭК (17, 21, 31 и 239) с последующим выводом средств защиты, которые выполняют эти меры. Ничего не напомнило? ????

То есть предстояло создать универсальный продукт, который позволит ускорить работу специалиста по информационной безопасности, прикинуть масштабы проекта, задействованные средства защиты, объём организационно-распорядительной документации и выдать быстрый ответ заказчику на запрос. Решено было использовать Microsoft Excel в качестве инструмента для решения задачи.

Ведь бывает, когда АСУ ТП (31 приказ) является объектом КИИ (239 приказ), при этом она содержит ИСПДн (21 приказ) и в теории ещё может являться ГИС (17 приказ)!

Пока искали решение была проделана важная работа: некоторые меры были сведены в одну под более-менее одинаковой сутью (например, АУД из приказов 31 и 239 с РСБ из приказов №17, 21).

Но иногда встречается такое, что меры называются одинаково, но по факту разные, при этом одной мере одного приказа может соответствовать несколько мер другого приказа:

Чтобы автоматизировать подбор мер, я создал листы с данными по различным приказам, а также листы с ячейками, содержащими категории СрЗИ, реализующие меры.

Откуда бралась информация о том, как именно меры должны быть реализованы? Из волшебного и немного просроченного документа «Меры защиты информации в ГИС». Там тоже не обошлось без косяков забавных моментов: например, в Приказе №17 ЗСВ.10 включена во все базовые наборы мер, а в методических рекомендациях — только для 1 и 2 классов защищённости.

Кроме обязательных пунктов также добавлялись приятные функции, которые были призваны продемонстрировать мою одержимость проектом начальству моего отдела.

Конечно, средство проходило через множество итераций, поскольку для его составления необходим опыт ветеранов информационной безопасности, все-таки в высших учебных заведениях преподают одно, а в реальности зачастую все не так.

Тем не менее, при помощи коллективного разума, содержащего в себе мои усилия и опыт старших коллег, была создана следующая Excel-таблица с поддержкой макросов:

Сказать, что это шедевр — ничего не сказать сильно преувеличить. Но UI/UX-дизайн не является моей сильной стороной, поэтому выносились основные кнопки, необходимые для выполнения всего функционала. В процессе создания и редактирования данного решения пришлось столкнуться с большим количеством собственных косяков и закрывающих их костылей.

В итоге таблица научилась делать следующее:

1. выводить меры по 4-ке приказов по одиночке и сразу вместе, причем в различных вариациях на случай, если система одновременно является, например, ИСПДн и ГИС, или ИСПДн и КИИ, и так далее;

2. определять типы СрЗИ и выводить их в отдельной форме как полным, так и укороченным (чтобы избежать дублирования) списком;

3. копировать информацию в буфер обмена, выводить в документ ворд для последующего переноса информации в отчетный документ;

4. определять класс СКЗИ по типу угроз;

5. демонстрировать различия между мерами и СЗИ по разным приказам из великой 4-ки и категориям;

6. определять класс защищенности/уровень защищенности/категорию значимости по параметрам, содержащимся в приказе ФСТЭК №17/постановлении Правительства РФ №1119/постановлении Правительства РФ №127;

7. выводить меры, не входящие в базовый набор, а также выводить усиления мер (согласно методическому документу для ГИС, и по его аналогии для 31-го и 239-го приказов).

Прежде чем перейти к инструменту — рубрика «Вопрос-ответ»:

Является ли данный инструмент заменой специалиста по ИБ?

— Нет, он предназначен для использования квалифицированными сотрудниками и лишь частично автоматизирует рутинную деятельность.

Можно ли гарантировать правильность итогового документа?

— Нет, т.к. помимо элементарных ошибок, неточностей, могут быть получены ещё и парадоксальные результаты, логические нестыковки, конфликты СрЗИ с особенностями защищаемого объекта. Как минимум, результат работы инструмента требуется внимательно прочитать.

Ну а теперь — фрагменты выполнения каждого из пунктов в изображениях:

Далее определяются СрЗИ, необходимые для реализации мер (на примере по 3-ему уровню защищенности 21 приказа). Ниже показан фрагмент, при котором нажимаются кнопки «Определить СЗИ» и «СЗИ полным списком»:

Без подробностей в виде «мера — СрЗИ» выглядит следующим образом:

Как можно заметить, вывод средств защиты информации организован на любой вкус и цвет: непосредственно на листе, в комбинации с мерами, а также общим списком без дополнительных подробностей. Реализован механизм копирования в буфер обмена, чтобы оперативно переносить информацию куда-либо. Не хватает только написания отчетных документов, чтобы можно было вообще не работать заниматься бо́льшим количеством задач.

Следующей полезной фишкой данного решения является подбор СКЗИ по типу угроз согласно приказу ФСБ №378 (кнопка «Определение класса СКЗИ по типу угроз»):

Требуется отображение класса СКЗИ в СрЗИ? Пожалуйста — кнопки «Внести в СЗИ» и «Определить для ГИС»! Затем переопределяйте типы СрЗИ и фиксируйте изменения!

Возможность сравнивать меры и необходимые средства защиты информации также в наличии:

Вот так выглядит после этого лист «Сравнение»:

Еще есть приятные фичи по определению класса защищенности/уровня защищенности/категории значимости по параметрам, содержащимся в приказе ФСТЭК №17/постановлении Правительства РФ №1119/постановлении Правительства РФ №127. Вот они, сверху вниз:

Вывод мер, которые не входят в базовый набор на примере 3 УЗ 21-го приказа (данные записываются в документ Word):

Усиление мер на примере 3-го класса защищенности по 17-му приказу:

По аналогии сделано для 31-го и 239-го приказов.

В статье приведен быстрый обзор функций средства по автоматизации, однако в самом файле Excel также имеется встроенная инструкция и «Интерактивное обучение», где показано, как работать с таблицей и в каком порядке нажимать кнопки.

И все это великолепие лежит вот тут, делюсь.

Прочитавшим статью хочу пожелать интересных задач и больших пачек денег успехов в трудовой деятельности!

Автор: Андрей Рогов