Руслан Рахметов, Security Vision
Традиционно задачи ИБ разделялись на «бумажные» и «технические»: «бумажная ИБ» была сосредоточена на выполнении законодательных требований, зачастую путем разработки внутренних нормативных документов, а «техническая ИБ» была связана с настройкой средств защиты, реагированием на киберинциденты, управлением уязвимостями и т.д. Однако, повышение уровня зрелости процессов ИБ, увеличение числа опасных киберинцидентов и рост осознанности топ-менеджеров в вопросах управления киберрисками привели к тому, что сама по себе «бумажная ИБ» стала восприниматься как нерациональное направление – потребовалась автоматизированная и результативная кибербезопасность, которая не тормозит, а помогает бизнесу. При этом нормативные требования не стали мягче – напротив, логичным ответом на вызовы в киберпространстве стало совершенствование нормативной правовой базы: от вопросов защиты персональных данных государственные регуляторы перешли к защите критической информационной инфраструктуры, к импортозамещению, обеспечению цифрового суверенитета и киберустойчивости национальной цифровизированной экономики. Таким образом, современная кибербезопасность должна сочетать оперативное реагирование на актуальные и непрерывно эволюционирующие киберугрозы, соответствие требованиям законодательства, роботизацию процессов и эффективность. Ответом стали решения, позволяющие автоматизировать управление комплаенсом ИБ (соответствием различным требованиям по кибербезопасности) – о них мы расскажем в данной статье.
Под комплаенсом в широком смысле понимают соответствие деятельности компании определенным требованиям – внешним (законодательным, отраслевыми, договорным) и внутренним (принятым самой компанией или группой компаний). В кибербезопасности существует множество норм и требований, используемых на различных уровнях и касающихся организационных и технических аспектов деятельности – от регламентации процессов ИБ и принципа выбора ответственных лиц до применения определенных защитных мер и выпуска отчётности по установленным формам. Обязательные для исполнения законодательные требования по ИБ формулируются в нормативных правовых актах (сокр. НПА), и их нарушение грозит различными санкциями от государственных регуляторов – от предписаний и штрафов до приостановки деятельности, отзыва лицензии, изъятия оборудования, административной или уголовной ответственности для руководящих лиц. Отраслевые требования регулируют деятельность компаний в конкретных секторах экономики и могут быть обязательными для исполнения или добровольными – например, требования стандарта ГОСТ Р 57580.1 обязательны для исполнения в российском финансовом секторе (необходимость выполнения требований данного стандарта зафиксирована в Положениях Банка России №№ 683-П, 719-П, 802-П), а соответствие международному стандарту ISO 27001 подтверждается добровольно для демонстрации высокого уровня зрелости системы управления ИБ в компании. Профессиональные, отраслевые, торгово-промышленные ассоциации (союзы, объединения) также могут устанавливать стандарты и требования, обязательные для исполнения участниками, а их неисполнение грозит исключением из ассоциации, потерей доступа к рынкам сбыта и к закрытой отраслевой информации, исключением из профессиональных сообществ, снижением качества внутренней экспертизы и потерей репутации в отрасли. Кроме того, для некоторых отраслей в России обязательным является членство в саморегулируемых организациях (СРО) – например, для аудиторских и строительных компаний невозможно вести бизнес без присутствия в СРО, а значит и без выполнения её решений, правил и стандартов. Еще одним аспектом комплаенса является выполнение требований к лицензиатам различных ведомств: например, лицензия на техническую защиту конфиденциальной информации (ТЗКИ) выдаётся ФСТЭК России, а лицензию на выполнение работ и услуг с применением средств криптографической защиты информации (СКЗИ) нужно получать в ФСБ РФ – оба типа лицензии подразумевают выполнение компанией набора условий (наличие в штате специалистов определенной квалификации, наличие ПО, оборудования и помещения, выполнение требований регуляторов к деятельности лицензиатов и т.д.). Договорные обязательства необходимо исполнять в рамках соответствующих контрактов с партнерами, клиентами, заказчиками, поставщиками, подрядчиками и иными контрагентами – такие договоры могут содержать жёсткие условия и предусматривать финансовые санкции при их несоблюдении. Внутрикорпоративные или холдинговые (в рамках группы компаний или в ДЗО – дочерних и зависимых обществах) требования прописываются во внутренних нормативных документах (сокр. ВНД) и отражают корпоративные нормы, устанавливаемые для всех контролируемых компаний, а их несоблюдение может повлечь дисциплинарную ответственность руководителей и ответственных.
Таким образом, современная компания оказывается буквально окружена различными законодательными требованиями, стандартами, ограничениями и условиями, которые к тому же имеют разный приоритет и могут пересекаться, дополнять или даже противоречить друг другу. Раньше традиционным средством управления соответствием были Excel-таблицы – со всеми их недостатками в виде необходимости вручную заносить данные о требованиях, проценте соответствия, доказательствах выполнения нормативов. Опросники составлялись с учетом субъективного понимания применимости конкретных НПА исполнителями, заполняемые таблицы пересылались ответственными по email, данные вносились вручную и «под честное слово» заполняющего, а версионность документа начинала сбиваться – автоматизация была на низком уровне. Еще один минус такого подхода – невозможность проверить фактические доказательства выполнения требования: например, отсутствие административных привилегий пользователей на рабочих станциях, установленную сложность пароля или параметры журналирования работы системы можно быстро получить несложным Python/PowerShell-скриптом, однако интеграция и запуск такого скрипта в Excel-таблице может привести к сложностям и неудобству (от запуска с необходимыми полномочиями до поддержки актуальности скрипта при изменении инфраструктуры). Кроме того, использование подобных Excel-таблиц подразумевало необходимость ручного запуска процедуры заполнения при появлении новой системы или устройства, при изменении архитектуры или компонентов систем, при перестройке бизнес-процессов – эти триггеры нужно было обнаруживать самостоятельно и затем принудительно запускать переоценку соответствия в таблице, отправляя её по всему списку ответственных, который к тому же мог уже поменяться. В случае проверки государственных органов отчетность нужно было формировать также вручную – найти актуальную версию опросника, проверить релевантность и непротиворечивость данных, перенести все данные в шаблоны по установленным формам, что усугублялось недостатком времени перед визитом представителей регулятора. На замену подобным устаревшим решениями пришли системы класса SGRC (Security Governance, Risk Management and Compliance) – это продукты для автоматизации всех процессов управления ИБ, включая управление соответствием требованиям ИБ (комплаенс). Системы класса SGRC позволяют управлять стратегией, задачами и документами ИБ, выполнять моделирование угроз ИБ, анализ и оценку киберрисков, проводить самопроверки и аудиты выполнения требований по ИБ, создавать и контролировать задачи на устранение выявленных несоответствий, формировать отчетность и визуализировать состояние киберзащищенности компании. В портфеле продуктов Security Vision по направлению SGRC присутствуют такие решения, как:
· Security Vision Compliance Management (CM) – продукт позволяет выполнять аудит соответствия различным требованиям, стандартам и методологиям, формировать перечень несоответствий, создавать задачи на устранение замечаний, выпускать отчетность;
· Security Vision Self-Assessment (SA) – продукт позволяет выстроить процесс оценки состояния ИБ в ДЗО, группе компаний или холдинге, проводить оценку соответствия корпоративным требованиям, учитывать связи активов и бизнес-процессов в зависимых организациях, формировать задачи для достижения целевых показателей соответствия;
· Security Vision Персональные Данные (ПДн) – продукт позволяет реализовать выполнение требований по обработке и защите персональных данных в соответствии с российскими НПА (152-ФЗ, ПП-1119, приказ ФСТЭК России №21 и т.д.).
Средства автоматизации управления комплаенсом в ИБ работают в соответствии со следующими принципами:
1. Решение содержит встроенную базу требований различных НПА (российских и международных), например 152-ФЗ, 187-ФЗ, 149-ФЗ, 161-ФЗ, Приказы ФСТЭК России №№ 117, 31, 21, Положения Банка России №№ 683-П, 716-П, 719-П, 802-П, российские стандарты (ГОСТ Р 57580.1-2017, ГОСТ Р 57580.3-2022, ГОСТ 57580.4-2022, ГОСТ Р ИСО/МЭК 27001-2021, ГОСТ Р ИСО 22301-2021), международные стандарты и нормы (серия ISO 27000, PCI DSS, GDPR), рекомендации и фреймворки NIST, MITRE, БДУ ФСТЭК России, CIS Critical Security Controls и т.д.
2. Поскольку нормы НПА и иных документов связаны и могут пересекаться и дублироваться, производится предварительная декомпозиция, дедупликация и корреляция требований: из каждого НПА выбирается сутевая часть (фактические требования, реализация которых проверяется), формируется список таких требований, производится сверка требований различных НПА между собой и удаляются дублирующиеся требования, а сходные по смыслу аналогичные требования из разных НПА коррелируются (связываются) между собой. Например, в Приказах ФСТЭК России №21 и №31 содержатся дублирующиеся требования АВЗ.1 «Реализация антивирусной защиты» и СОВ.2 «Обновление базы решающих правил», а во многих НПА содержатся пересекающиеся требования об учете и инвентаризации активов и управлении уязвимостями – такие нормы можно скоррелировать между собой.
3. Для работы с ВНД – корпоративными документами, внутренними регламентами, отраслевыми стандартами и иными малораспространенными или закрытыми/уникальными требованиями – в средствах автоматизации предусмотрен импорт требований из машиночитаемых форматов (простейший вариант – CSV/XML-файлы) и создание требований непосредственно в решении, с дальнейшей их дедупликацией и корреляцией. Кроме того, требования можно группировать по направлениям (доменам) – например, в разных доменах оценивать защиту от вредоносного ПО и реализованные ограничения физического доступа в помещения. Создаваемые в SGRC-решении стандарты и требования поддерживают статусную модель – можно учитывать версии документа, актуализировать и согласовывать новые редакции, архивировать старые варианты.
4. Для автоматического получения актуальной и достоверной информации о состоянии кибербезопасности SGRC-решения интегрируются с внутренними ИТ/ИБ-системами компании, что обеспечивает, например, возможность получить сведения о состоянии антивирусной защиты, данные по актуальности сигнатур IDS/IPS-системы, информацию о полноте проинвентаризированных активов, количестве незакрытых уязвимостей с CVSS-рейтингом выше восьми, состоянии источников событий в SIEM-системе, количестве необработанных инцидентов в SOAR-решении. Продвинутые SGRC-решения выстраивают ресурсно-сервисную модель инфраструктуры компании, учитывают связи между активами (бизнес-процессами, системами, оборудованием, учетными записями, продуктами, услугами, поставщиками, помещениями и т.д.), позволяют автоматически заполнять атрибуты активов (например, по результатам инвентаризации устройств). Для глубокой оценки соответствия может проводиться и детальный анализ информационных систем на предмет применимости НПА/ВНД и выполнения требований – например, обнаружение персональных данных в информационной системе (по результатам анализа потоков данных, regex-поиска или с помощью ИИ/ML-механизмов) запускает процесс проверки соответствия данной системы применимым требованиям 152-ФЗ, ПП-1119, Приказа ФСТЭК России №21. Если в рамках выполнения законодательных норм требуется выполнить активные действия (например, перенастроить СЗИ, обезличить персональные данные или удалить чувствительные сведения), это также может быть выполнено автоматизировано после подтверждения от ответственного лица.
5. Если выполнение требований невозможно оценить техническими средствами (например, проверить полноту реализации определенного процесса ИБ или глубину проверки кандидатов на вакансии), то SGRC-решения позволяют сгенерировать опросные листы и предоставить возможность их заполнения через веб-интерфейс и встроенный чат, а также выполнить парсинг ответов респондентов-ответственных из электронной почты и мессенджеров. Полноту и своевременность заполнения опросных листов, а также логику их маршрутизации (например, условия эскалации вопросов в случае отсутствия ответа в обозначенные сроки) можно настраивать во внутренней логике SGRC-решения – например, на платформе Security Vision применяется no-code/low-code конструктор, который в удобном интерактивном формате позволяет перенастроить рабочие процессы, интеграции, формы карточек и опросных листов.
6. Расчёт уровня соответствия производится с помощью кастомизируемых математических формул, где каждому параметру и требованию можно задать свой вес, вывести общую интегральную оценку соответствия ИБ-требованиям, проанализировать защищенность инфраструктуры. GAP-анализ позволяет оценить соответствие ИБ-требованиям, выявить разницу между текущим (AS IS) и целевым (TO BE) состояниями процессов, определить причины несоответствия и сформировать план действий по устранению недостатков. Важно создать перечень четких целей, соответствующих принципам S.M.A.R.T. (конкретные, измеримые, достижимые, релевантные, привязанные ко времени), поручить задачи ответственным, контролировать сроки и полноту исполнения поручений. Результаты устранения замечаний нужно использовать в качестве обратной связи при планировании и проведении повторной оценки соответствия требованиям в соответствии с PDCA-циклом Деминга (Планирование – Выполнение – Оценка – Корректировка). Если по результатам оценки соответствия принимается решение о необходимости внедрить СЗИ или перенастроить текущее защитное решение, то эффективные настройки безопасности после их применения можно получить с помощью механизма интеграции SGRC-решения – это поможет оценить качество выполнения поставленной задачи и полноту примененных конфигураций в инфраструктуре.
7. Оценка соответствия не должна быть эпизодическим или разовым мероприятием – важно непрерывно контролировать уровень соответствия требованиям, поскольку штрафные санкции за неисполнение назначаются исходя из состояния инфраструктуры исключительно на момент проверки, невзирая на «вчерашний» уровень защищенности. Ключевые индикаторы соответствия (KCI, Key Compliance Indicator) и ключевые индикаторы риска (KRI, Key Risk Indicator) формируют систему контрольных показателей уровня соответствия и киберрисков, которая позволяет в режиме реального времени оценивать киберзащищенность компании и реагировать в случае превышения указанных индикаторов.
8. Важным компонентом управления соответствием является формирование отчетности и визуализация состояния ИБ в различных разрезах, включая выпуск отчетов по формам регуляторов и по требованиям головной организации ДЗО, отображение индикаторов соответствия и защищенности на различных дашбордах, виджетах, таблицах, графиках, диаграммах. Важно отображать информацию в удобном и понятном виде на стратегическом уровне для стейкхолдеров и топ-менеджеров, на тактическом и аналитическом уровнях для аудиторов, на оперативном уровне для специалистов и исполнителей, реализуя при этом функционал drill-down, который позволяет перейти от графического отображения и высокоуровневых сведений к техническим данным, лежащим в основе визуализации.
9. Применение средств автоматизации комплаенса ИБ помогает легко выполнять самооценку соответствия и оперативно подготовиться к внешнему аудиту – сформировать отчеты по установленной форме можно автоматически за считанные секунды, а актуальность и проверяемость использованных в отчетности данных позволит уверенно отвечать на запросы регуляторов.
10. Применение средств автоматизации управления комплаенсом в ИБ позволяет связать выполнение нормативных требований с практической кибербезопасностью: использование достоверных и актуальных технических данных из инфраструктуры и интегрированных ИТ/ИБ-систем, непрерывный мониторинг индикаторов рисков и соответствия и реагирование на превышения, логическая связность всех процессов кибербезопасности позволяют минимизировать риски несоответствия требованиям ИБ и повысить общий уровень защищенности компании с помощью SGRC-решения.
