Руслан Рахметов, Security Vision
Одним из главных драйверов корпоративной ИБ традиционно является комплаенс - то есть выполнение требований законодательства в части защиты информации. С вступлением в силу ключевых законов, касающихся информационной безопасности, фиксировался характерный спрос на средства и услуги по защите информации. Последние годы сопровождаются высокой активностью злоумышленников и ростом числа целенаправленных разрушительных атак, поэтому всё больше компаний сознают важность не «бумажной», а практической, результативной кибербезопасности. Тем не менее, подобное разделение уже неактуально, поскольку и штрафы за неисполнение требований закона, и уничтожение инфраструктуры в результате атаки вируса-вайпера приведут к одинаковому результату - финансовому и репутационному ущербу для компании. В этой статье расскажем, какие есть основные нормативные требования по защите информации и как совместить комплаенс в ИБ с эффективной кибербезопасностью.
Ключевыми законодательными требованиями по ИБ на данный момент являются:
• Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;
• Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
• Указ Президента РФ от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Разумеется, есть множество иных требований и стандартов, которые касаются безопасности финансовых операций, защиты коммерческой тайны, управлении компьютерными инцидентами и т.д.. Но именно перечисленные выше нормативные документы являются обязательными для исполнения в большинстве коммерческих и государственных организаций, а также предполагают наиболее суровую ответственность за неисполнение. Например, нарушение требований в области обеспечения безопасности КИИ РФ и нарушение порядка информирования НКЦКИ о произошедших киберинцидентах повлечет наложение штрафа по статье 13.12.1 КоАП РФ, нарушение порядка категорирования объектов КИИ повлечет наложение штрафа по статье 19.7.15 КоАП РФ, а уголовная ответственность за неправомерное воздействие на КИИ РФ предусмотрена статьей 274.1 УК РФ. Недавно опубликованные законы существенно увеличивают ответственность за незаконную обработку персональных данных (ПДн): так, штраф для компаний за первичное нарушение теперь зависит от объема утечки и чувствительности данных и может составлять от 3 до 20 млн. рублей, а за повторное нарушение - от 1% до 3% от совокупного размера выручки, но не менее 20 и не более 500 млн. руб. Кроме того, в случае неуведомления или несвоевременного уведомления РосКомНадзора (РКН) о факте неправомерной или случайной утечки ПДн предусмотрен штраф для компаний в размере от 1 до 3 млн. руб., а при незаконной обработке ПДн возможно привлечение к уголовной ответственности по статье 272.1 УК РФ.
Как видим, штрафные санкции за неисполнение требований законодательства достаточно строги. Однако, на помощь дефицитным и перегруженным ИБ-специалистам приходят системы автоматизации - например, решения класса SGRC. В части защиты объектов КИИ платформы автоматизации, такие как продукт Security Vision КИИ, позволяют сформировать перечни критических процессов и объектов КИИ, выполнить их категорирование, провести моделирование угроз и нарушителей, оценить сценарии реализации компьютерных атак и их последствия, провести внутренний аудит соответствия требованиям приказов ФСТЭК России №239, 235, 236, поставить задачи и контролировать их выполнение на устранение несоответствий. В части защиты ПДн решения по автоматизации помогут сформировать необходимый пакет предварительных документов, включая, например, политику по обработке ПДн, положение по защите ПДн, перечень обрабатываемых ПДн, план мероприятий по обеспечению защиты ПДн, типовые формы согласия для субъектов ПДн, инструкции для должностных лиц. Далее потребуется провести аудит мест хранения и способов обработки ПДн, сформировать перечень ИСПДн, определить требуемый уровень защищенности ПДн, сформировать модель нарушителя и модель угроз безопасности ПДн при их обработке в ИСПДн. Далее следует сформировать уведомление в РКН о начале обработки ПДн или подать уведомление об изменении сведений, уже содержащихся в реестре операторов ПДн. Потребуется также разработать ряд дополнительных документов, например, регламент учета носителей ПДн, регламент резервного копирования ПДн, регламент реагирования на обращения и запросы субъектов ПДн, регламент трансграничной передачи ПДн и т.д. Важно также быть готовым к плановым и внеплановым проверкам со стороны РКН, в рамках которых могут быть запрошены сведения о лицах, допущенных к обработке ПДн, местах хранения ПДн, свойствах и характеристиках ИСПДн и системы защиты ПД, заполненные формы согласия субъектов на обработку ПДн и прочие документы. В разработке указанных документов помогут системы автоматизации, которые также позволят сформировать и отправить уведомление о выявлении инцидента, затрагивающего персональные данные, в РКН в течение 24 часов после обнаружения утечки, а затем в течение 72 часов отправить еще одно уведомление о результатах внутреннего расследования этого инцидента.
Кроме государственных законодательных норм, сформулированных в нормативных правовых актах (НПА), компании зачастую должны выполнять требования по ИБ материнских компаний в рамках холдинговой структуры ДЗО. Есть также отраслевые нормы кибербезопасности, стандарты различных ассоциаций, добровольно принятые требования и прочее - эти обязательства должны также быть учтены при управлении корпоративной кибербезопасностью, и они также относятся к комплаенсу в ИБ. На основании подобных обязательных и добровольных стандартов и требований формируются положения внутренних нормативных документов (ВНД), организационно-распорядительных документов (ОРД), локальных нормативных актов (ЛНА). В итоге, компания обязаны соблюдать целый ряд требований, имеющих различную природу, при этом несоответствие внутреннему требованию может обернуться лишь внутренними сложностями, а невыполнение требований действующего законодательства может привести к репутационному ущербу, штрафам или даже к отзыву лицензии и приостановке деятельности. Платформы автоматизации комплаенса ИБ смогут помочь за счет встроенной и обновляемой базы применимых НПА, формирования базы применимых ОРД, ВНД, ЛНА, декомпозиции всех требований из применимых нормативных документов с последующей дедупликацией. Дедупликация важна, поскольку, одно и то же требование может встречаться сразу в нескольких документах, и выполнение этого требования «закрывает» сразу ряд комплаенс-вопросов.
Системы автоматизации ИБ-комплаенса помогут сформировать опросные листы с перечнем требований НПА, ОРД, ВНД и ЛНА, которые необходимо выполнить. Опросные листы могут быть разосланы в автоматическом режиме через email и далее могут быть обработаны ответы на них; кроме того, опросные листы могут заполняться на веб-портале системы автоматизации - это предпочтительный вариант, который позволяет всем сотрудникам работать в едином интерфейсе и не перегружать свою почту. Опросные листы могут содержать формы, выпадающие списки и элементы для создания произвольного текста при ответе на вопрос о выполнении той или иной нормы, а также могут поддерживать функционал вложений для фиксации релевантных документов. Сроки и порядок заполнения опросных листов могут контролироваться через встроенную в платформу автоматизации тикетинг-подсистему или за счет интеграции с корпоративными таск-трекерами и ServiceDesk-решениями. Результаты заполнения будут отображаться на панелях визуализации, графиках, дашбордах и в отчетности, которые автоматически сформирует всё та же платформа автоматизации комплаенса в ИБ.
Перейдем к вопросу связи «бумажной ИБ» (т.е. процессов комплаенса) с практической кибербезопасностью. Начнем с того, что все нормы и требования по ИБ, перечисленные в НПА, ОРД, ВНД и ЛНА, как правило, формируются исходя из широкой экспертизы реализации надежной кибербезопасности, которой обладают составители документов, однако не все нормативные требования бывают понятны конечным исполнителям, а их выполнение зачастую деградирует до банального проставления соответствующих «галочек» в опросных листах. Для того, чтобы перейти от «бумажной ИБ» к практической кибербезопасности, важно выстраивать комплаенс в ИБ на основе объективных данных, получаемых от СЗИ. Например, в Приказе ФСТЭК России от №21, посвященном реализации защитных мер для обеспечения безопасности ПДн, указаны такие требования, как «РСБ.3 - Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения» и «АВЗ.1 - Реализация антивирусной защиты». Выполнение данных требований можно объективно проконтролировать через платформу автоматизации комплаенса в ИБ, которой достаточно будет запросить состояние источников событий ИБ и retention-период из SIEM-системы, а от антивирусного решения получить отчет о состоянии всех клиентов и сравнить их список со всеми учтенными корпоративными устройствами. В случае, если обнаружились недостатки, администраторам соответствующих СЗИ и информационных систем можно будет поставить задачу на устранение и проконтролировать сроки её выполнения.
Важно также эффективно обрабатывать и представлять информацию, в том числе руководителям для принятия риск-ориентированных решений с учетом уровня соответствия отдельным НПА, ОРД, ВНД и ЛНА. Визуализация поможет наглядно оценить полноту соответствия различным требованиям, эффективность применяемых мер и результативность отдельных процессов, технологий и команды ИБ в целом. Формирование разнообразных форм отчетности пригодится и при проведении внутренних аудитов ИБ, и при проверках регуляторов (РКН, ЦБ РФ, ФСТЭК России, ФСБ РФ и т.д.). Платформы автоматизации комплаенса в ИБ предлагают функционал визуализации состояния комплаенса в ИБ на различных дашбордах, виджетах, графиках и таблицах, а также позволяют автоматически формировать и отправлять различные отчеты - как с учетом корпоративных требований к оформлению, так и по формам государственных органов. Весь вышеуказанный функционал реализуется в решении Security Vision SGRC, которое содержит модули КИИ, Risk Management, Operational Risk Management, Compliance Management, Business Continuity Planning.
Комплаенс в ИБ тесно связан с процессами управления активами, уязвимостями и конфигурациями - например, для реализации разнообразных требований по защите ПДн и объектов КИИ важно знать, где находятся защищаемые данные и информационные системы, какими характеристиками они обладают, каков их уровень защищенности, включая уязвимости и безопасные настройки на устройствах. Для управления уязвимостями и конфигурациями можно использовать системы класса Vulnerability Management (управление уязвимостями), например, решение Security Vision VM, которое позволяет просканировать сеть на наличие устройств, провести их инвентаризацию и классификацию по уровню важности, обозначить применимые нормативные требования и оценить их выполнение, проанализировать их уровень защищенности, включая список незакрытых уязвимостей и небезопасных конфигураций.
