Легко и просто: как автоматизация упрощает работу с ГОСТ 57580.120.08.2024 12:30

Структура профиля риска из презентации представителя ЦБ

Структура профиля риска из презентации представителя ЦБ

ГОСТ 57580 — это национальный стандарт безопасности, введен в действие с 1 января 2018 года и давно стал обязательным для всех финансовых организаций.

Давайте разберемся, что это за стандарт, как он помогает и почему его автоматизированная оценка и отчётность — это не только красиво, но и выгодно.

ГОСТ 57580: Введение

ГОСТ 57580 определяет наборы обязательных требований к системе защиты информации финансовых организаций различных уровней, устанавливаемых Банком России. Если бы у ваших данных были страховки, ГОСТ 57580 был бы самым надёжным страховым агентом. Он устанавливает правила, которые помогают избежать неприятных инцидентов, обеспечивают сохранность информации и снимают вопросы к вашей системе защиты информации.

Отчётность: Зачем и как?

Теперь перейдем к отчетности. Представьте, что вы пришли на ежегодный осмотр к врачу. Он измеряет ваш вес, рост, проверяет сердце и другие важные показатели. Отчётность в рамках ГОСТ 57580 — это такой же осмотр, но для вашей системы информационной безопасности.

Почему это важно?

1. Прозрачность. Отчеты показывают, где вы находитесь на пути к соответствию стандарту. 

2. Контроль и улучшение. На основании отчетов по результатам аудита можно вносить улучшения и планировать будущую работу. 

3. Документирование. Если вдруг появится необходимость доказать, что вы соответствуете стандарту, отчеты станут вашими доказательствами. 

Как это работает?

Автоматизированная оценка соответствия — это как тренажерный зал для вашей безопасности. Она проверяет, соответствуют ли ваша система требованиям ГОСТ 57580, и подсказывает, где нужно подтянуться. Ваши системы проходят через серию тестов и проверок, чтобы убедиться, что они в отличной форме и готовы к любым вызовам.

Преимущества автоматизации

Если быть кратким:

1. Экономия времени (вместо того чтобы вручную проверять все системы, автоматизация делает это частично за вас)

2. Точность (автоматизация исключает человеческий фактор и очепятки)

3. Мониторинг в реальном времени (системы постоянно находятся под наблюдением)

А теперь поговорим подробнее:

Чтобы проверить, соответствуют ли наши процессы всем необходимым требованиям, мы можем либо сделать это сами, либо нанять аудиторскую компанию. У каждого из этих вариантов есть свои плюсы и минусы.

Если мы решаем проверить все самостоятельно, это может сэкономить деньги, ведь мы знаем свои процессы лучше всего. Но это потребует времени и ресурсов, а также может быть сложно обеспечить объективность. Да и в некоторых случаях мы просто обязаны нанимать внешнего аудитора.

Если мы нанимаем аудиторскую компанию, они могут дать независимую оценку и заметить то, что мы могли бы упустить. Это обычно более надежный вариант, но стоит дополнительных денег.

4b8df6ba03188a2c2a47f49ab28f9360.png

Когда у нас не было автоматизации, мы создавали таблицу в Excel, где перечисляли все пункты, которые нужно проверить или исправить. Если с нами работала аудиторская компания, эта таблица постоянно передавалась между нами, как теннисный мячик, с добавлением новых правок.

3fd6bcb481c78a1d55e8d7227963dc2f.png

Однако часто случались сбои. Например, из-за забывчивости или путаницы мы могли не передать вовремя свои изменения. Такое случалось довольно часто, и это замедляло процесс — человеческий фактор нельзя исключать.

Пример аудиторской таблицы

Пример аудиторской таблицы

Теперь к тому, как можно работать сейчас.

Для автоматизации процесса соответствия ГОСТ 57580 можно использовать специализированные продукты. За пример возьмем SGRC системуSECURITM. Для нас одним из главных преимуществ автоматизации работы с ГОСТ-ом стало то, что вся информация хранится внутри, невозможно потерять какие-то правки или запутаться в бесконечных версиях нашей любимой эксельки.

Модуль Соответствия требованиям

Модуль Соответствия требованиям

Ещё одна проблема в операционке — обычно аудиторы отмечают задачи и рекомендации по улучшению требований сразу в Excel-документе. Как правило, кто-то из команды берет на себя управление этим документом: назначает задачи по исправлению обнаруженных несоответствий после аудита. Но это занимает много времени и не всегда удобно.

В SECURITM есть таск-менеджер и интеграция с Jira, задачи назначаются автоматически нужным сотрудникам, без необходимости вручную распределять их между отделами. Это упрощает управление и помогает лучше контролировать выполнение задач.

Ещё один важный момент — сложность использования Excel для создания официальных отчётов по стандартам, например, ГОСТ 57580.2. Чтобы подготовить отчёт, приходится переносить данные из Excel в Word, нужно множество раз «копировать-вставить» и подогнать отчет вручную под требуемый шаблон. После автоматизации стало гораздо проще — мы просто экспортируем отчет в нужный формат парой кликов.

96dbd8c5d9d80843c5287da942808036.png

При аудите «вручную» также сложно управлять свидетельствами, такими как скриншоты, документы, конфигурации. Приходилось создавать отдельные папки, а потом терять в них файлы. Сейчас мы просто подгружаем все свидетельства к нужным требованиям.
Удобно, что в SECURITM предусмотрена карточка требования, в которой описано само требование и соответствующие меры защиты информации. Возможно отслеживать свой прогресс.

Автоматизация расчета оценки соответствия

7af2a2af6ac878ddc21aeb76038e48c2.png

Ранее для расчета оценки соответствия аудиторы и мы использовали отдельные Excel-калькуляторы, что создавало дополнительные трудности и увеличивало вероятность ошибок. Хорошо, что файлы были шаблонные и не приходилось вписывать формулы снова и снова.

7c4fca7e4525d6809176fbb39f99c3c5.png

Сейчас мы работаем с системой, где оценка требований автоматизирована. В карточке каждого требования можно выставить оценку, которая автоматически рассчитывается в зависимости от того, есть ли меры защиты информации. Если мера защиты внедрена, система ставит единицу, если нет — ноль. Если часть мер внедрена, а часть нет — 0,5. Но я могу вручную изменить эти оценки, учитывая компенсирующие меры или другие факторы.

Комплексная SGRC система для управления процессами информационной безопасности предлагает ещё больше возможностей: я могу управлять жизненным циклом своих защитных мер и активов, оценивать соответствие одновременно по разным направлениям, интегрировать технические метрики инфраструктуры (например — покрытие антивирусной защитой) в требования ГОСТа. Организацию можно разделить на области и оценивать соответствие по каждой из них на базе пересекающихся наборов защитных мер. А автоматическое создание отчетов уменьшает нагрузку на сотрудников и ускоряет подготовку к аудиту.

Итог

ГОСТ 57580 — это серьёзный и сложный фреймворк, автоматизированная оценка соответствия и отчетность делают его проще для применения. Как говорится, смех продлевает жизнь, а хорошие отчеты продлевают перерыв на обед. Следуя требованиям ГОСТ 57580, можно быть уверенным, что данные защищены, система защиты работает на надлежащем уровне и к работе службы ИБ не будет вопросов.

Автоматизированная оценка соответствия не изменит радикально подход к информационной безопасности, но она значительно упрощает работу по контролю за выполнением требований. Такие инструменты позволяют автоматизировать рутинные процессы, снизить риски ошибок и обеспечить прозрачность работы как для аудиторов, так и для заказчиков.

© Habrahabr.ru