Структура профиля риска из презентации представителя ЦБ
Структура профиля риска из презентации представителя ЦБ

ГОСТ 57580 — это национальный стандарт безопасности, введен в действие с 1 января 2018 года и давно стал обязательным для всех финансовых организаций.

Давайте разберемся, что это за стандарт, как он помогает и почему его автоматизированная оценка и отчётность – это не только красиво, но и выгодно.

ГОСТ 57580: Введение

ГОСТ 57580 определяет наборы обязательных требований к системе защиты информации финансовых организаций различных уровней, устанавливаемых Банком России. Если бы у ваших данных были страховки, ГОСТ 57580 был бы самым надёжным страховым агентом. Он устанавливает правила, которые помогают избежать неприятных инцидентов, обеспечивают сохранность информации и снимают вопросы к вашей системе защиты информации.

Отчётность: Зачем и как?

Теперь перейдем к отчетности. Представьте, что вы пришли на ежегодный осмотр к врачу. Он измеряет ваш вес, рост, проверяет сердце и другие важные показатели. Отчётность в рамках ГОСТ 57580 – это такой же осмотр, но для вашей системы информационной безопасности.

Почему это важно?

1. Прозрачность. Отчеты показывают, где вы находитесь на пути к соответствию стандарту. 

2. Контроль и улучшение. На основании отчетов по результатам аудита можно вносить улучшения и планировать будущую работу. 

3. Документирование. Если вдруг появится необходимость доказать, что вы соответствуете стандарту, отчеты станут вашими доказательствами. 

Как это работает?

Автоматизированная оценка соответствия – это как тренажерный зал для вашей безопасности. Она проверяет, соответствуют ли ваша система требованиям ГОСТ 57580, и подсказывает, где нужно подтянуться. Ваши системы проходят через серию тестов и проверок, чтобы убедиться, что они в отличной форме и готовы к любым вызовам.

Преимущества автоматизации

Если быть кратким:

1. Экономия времени (вместо того чтобы вручную проверять все системы, автоматизация делает это частично за вас)

2. Точность (автоматизация исключает человеческий фактор и очепятки)

3. Мониторинг в реальном времени (системы постоянно находятся под наблюдением)

А теперь поговорим подробнее:

Чтобы проверить, соответствуют ли наши процессы всем необходимым требованиям, мы можем либо сделать это сами, либо нанять аудиторскую компанию. У каждого из этих вариантов есть свои плюсы и минусы.

Если мы решаем проверить все самостоятельно, это может сэкономить деньги, ведь мы знаем свои процессы лучше всего. Но это потребует времени и ресурсов, а также может быть сложно обеспечить объективность. Да и в некоторых случаях мы просто обязаны нанимать внешнего аудитора.

Если мы нанимаем аудиторскую компанию, они могут дать независимую оценку и заметить то, что мы могли бы упустить. Это обычно более надежный вариант, но стоит дополнительных денег.

Когда у нас не было автоматизации, мы создавали таблицу в Excel, где перечисляли все пункты, которые нужно проверить или исправить. Если с нами работала аудиторская компания, эта таблица постоянно передавалась между нами, как теннисный мячик, с добавлением новых правок.

Однако часто случались сбои. Например, из-за забывчивости или путаницы мы могли не передать вовремя свои изменения. Такое случалось довольно часто, и это замедляло процесс - человеческий фактор нельзя исключать.

Пример аудиторской таблицы
Пример аудиторской таблицы

Теперь к тому, как можно работать сейчас.

Для автоматизации процесса соответствия ГОСТ 57580 можно использовать специализированные продукты. За пример возьмем SGRC систему SECURITM. Для нас одним из главных преимуществ автоматизации работы с ГОСТ-ом стало то, что вся информация хранится внутри, невозможно потерять какие-то правки или запутаться в бесконечных версиях нашей любимой эксельки.

Модуль Соответствия требованиям
Модуль Соответствия требованиям

Ещё одна проблема в операционке - обычно аудиторы отмечают задачи и рекомендации по улучшению требований сразу в Excel-документе. Как правило, кто-то из команды берет на себя управление этим документом: назначает задачи по исправлению обнаруженных несоответствий после аудита. Но это занимает много времени и не всегда удобно.

В SECURITM есть таск-менеджер и интеграция с Jira, задачи назначаются автоматически нужным сотрудникам, без необходимости вручную распределять их между отделами. Это упрощает управление и помогает лучше контролировать выполнение задач.

Ещё один важный момент — сложность использования Excel для создания официальных отчётов по стандартам, например, ГОСТ 57580.2. Чтобы подготовить отчёт, приходится переносить данные из Excel в Word, нужно множество раз “копировать-вставить” и подогнать отчет вручную под требуемый шаблон. После автоматизации стало гораздо проще - мы просто экспортируем отчет в нужный формат парой кликов.

При аудите "вручную" также сложно управлять свидетельствами, такими как скриншоты, документы, конфигурации. Приходилось создавать отдельные папки, а потом терять в них файлы. Сейчас мы просто подгружаем все свидетельства к нужным требованиям.
Удобно, что в SECURITM предусмотрена карточка требования, в которой описано само требование и соответствующие меры защиты информации. Возможно отслеживать свой прогресс.

Автоматизация расчета оценки соответствия

Ранее для расчета оценки соответствия аудиторы и мы использовали отдельные Excel-калькуляторы, что создавало дополнительные трудности и увеличивало вероятность ошибок. Хорошо, что файлы были шаблонные и не приходилось вписывать формулы снова и снова.

Сейчас мы работаем с системой, где оценка требований автоматизирована. В карточке каждого требования можно выставить оценку, которая автоматически рассчитывается в зависимости от того, есть ли меры защиты информации. Если мера защиты внедрена, система ставит единицу, если нет — ноль. Если часть мер внедрена а часть нет - 0,5. Но я могу вручную изменить эти оценки, учитывая компенсирующие меры или другие факторы.

Комплексная SGRC система для управления процессами информационной безопасности предлагает ещё больше возможностей: я могу управлять жизненным циклом своих защитных мер и активов, оценивать соответствие одновременно по разным направлениям, интегрировать технические метрики инфраструктуры (например - покрытие антивирусной защитой) в требования ГОСТа. Организацию можно разделить на области и оценивать соответствие по каждой из них на базе пересекающихся наборов защитных мер. А автоматическое создание отчетов уменьшает нагрузку на сотрудников и ускоряет подготовку к аудиту.

Итог

ГОСТ 57580 – это серьёзный и сложный фреймворк, автоматизированная оценка соответствия и отчетность делают его проще для применения. Как говорится, смех продлевает жизнь, а хорошие отчеты продлевают перерыв на обед. Следуя требованиям ГОСТ 57580, можно быть уверенным, что данные защищены, система защиты работает на надлежащем уровне и к работе службы ИБ не будет вопросов.

Автоматизированная оценка соответствия не изменит радикально подход к информационной безопасности, но она значительно упрощает работу по контролю за выполнением требований. Такие инструменты позволяют автоматизировать рутинные процессы, снизить риски ошибок и обеспечить прозрачность работы как для аудиторов, так и для заказчиков.

Комментарии (0)