Выкладываю презентацию и тезисы доклада, прочитанного мной на X ежегодной межрегиональной научно-практической конференции «Инфокоммуникационные технологии в региональном развитии», проходившей в Смоленске 16 февраля 2017 г. ПРОТЕКТИВА — это наш новый бренд, под которым осуществляется разработка средств автоматизации процессов менеджмента ИБ.
Поговорим о самом главном, о том, что занимает 90% времени руководителя службы ИБ, т.е. об управлении соответствием. Ведь большинство отечественных средств защиты информации приобретается и внедряется в первую очередь ради обеспечения соответствия нормативным требованиям в сфере ИБ и число этих требований нарастает как снежный ком. Поэтому сегодня я хотел бы представить нашу новую разработку, позволяющую поднять менеджмент соответствия на качественно новый уровень. Это экспертная система ПРОТЕКТИВА.
Если представить себе современный менеджмент ИБ, стоящим на трех китах, то этими китами будут: менеджмент страхов, менеджмент риска и менеджмент соответствия. Причем держится все на менеджменте соответствия. Менеджмент страхов оперирует опытом и интуицией и обеспечивает необходимую мотивацию для руководства организации. Как говориться, плох тот руководитель ИБ, который не знает, как напугать своего начальника. Менеджмент риска отвечает за экономическую целесообразность и эффективность. Менеджмент соответствия довольно сложный, запутанный, забюрократизированный и трудоемкий процесс, поэтому сейчас сложно найти организацию, у которой с этим делом все обстоит благополучно.
В сфере ИБ слишком много конкурирующих между собой регуляторов (ФСТЭК, ФСБ, ЦБ РФ, Роскомнадзор, отраслевые регуляторы). У каждого регулятора своя система нормативных документов и методика подтверждения соответствия им. Если добавить сюда разработчиков стандартов, то количество документов по ИБ, которым потенциально должны соответствовать организации исчисляется десятками и даже сотнями, не считая их внутренних политик, а количество требований ИБ исчисляется тысячами. При этом требования эти зачастую никак между собой не согласованы, избыточны или противоречивы. Каждый нормативный документ надо внедрять отдельно, несмотря на то, что требования этого документа на 80% перекрываются с требованиями прочих документов.
Для обеспечения соответствия обычно реализуются комплексные дорогостоящие и длительные проекты с привлечением экспертных организаций, лицензиатов ФСТЭК и ФСБ, либо организацией аккредитованных в соответствующих системах сертификации, например по PCI DSS или ISO 27001. Эти проекты предполагают проведение аудитов и разработку комплектов документов, и должны проводиться на регулярной основе, поскольку и нормативная база и положение дел в организации постоянно изменяются, в связи с чем, разработанные ранее документы быстро утрачивают актуальность.
Воспользоваться опытом других организаций, как правило, возможности нет, поскольку отчеты, планы, опросники – это конфиденциальная информация.
Экспертная система ПРОТЕКТИВА предназначена для решения всех перечисленных проблем. Она автоматизирует полный цикл управления соответствием, который можно описать при помощи популярной модели Демминга: ПЛАНИРОВАНИЕ – РЕАЛИЗАЦИЯ – ПРОВЕРКА — КОРРЕТИРОВКА, обеспечивая поддержание и непрерывное повышение уровня соответствия организации требованиям всех заинтересованных сторон в духе лучших международных практик и стандартов.
ПРОТЕКТИВА помогает классифицировать информационные системы и активы, определить применимые к организации требования ИБ, провести оценку соответствия, сформировать отчеты о соответствии и планы обеспечения соответствия, а также контролировать выполнение этих планов. Получаем на входе всю совокупность требований ИБ, а на выходе – организацию, соответствующую данным требованиям.
В отличие от других подобных систем, заточенных в основном под конкретные стандарты, ПРОТЕКТИВА поддерживает всю совокупность требований, необходимых организации, включая требования внутренних политик самой организации.
Кроме этого, не составляет труда добавить в систему любой нормативный документ, необходимый конкретной организации.
Структура стандартов и опросников в системе унифицирована. Требования любого стандарта группируются нашими экспертами в иерархию, позаимствованную частично из ISO 27001, состоящую максимум из 5 уровней: область контроля, цель контроля, механизм контроля, требование, атомарное требование. Каждое атомарное требование сопровождается соответствующим ей атомарным вопросом и пояснением. Каждому механизму и требованию назначается категория, статус и весовой коэффициент. Можно проходить опросы в системе даже не имея знания и опыта в предметной области, а также получать очень точные оценки соответствия с максимальной детализаций, учитывающей все возможные нюансы.
Поскольку прохождение опроса сводится к кликанью мышкой, то эта процедура занимает не более часа, даже если стандарт содержит сотни требований. Система учитывает взаимосвязи между требованиями различных стандартов, поэтому оценивать одно и тоже (или аналогичное) требованием повторно не придется.
Отчеты и планы обеспечения соответствия будут сформированы автоматически после прохождения опроса. Меры ИБ, которые нужно реализовать, будут автоматически добавлены в календарь мероприятий. По мере реализации мероприятий их статус в календаре изменяется и это автоматически учитывается при формировании новых отчетов о соответствии.
Отчеты могут демонстрироваться проверяющим, регуляторам, аудиторам, руководству организации, а также использоваться при аттестациях.
ПРОТЕКТИВА располагает также аналитическими возможностями. Она дает возможность выявить проблемные области в организации, где дела с обеспечением соответствия ИБ обстоят хуже всего и не только по отдельным стандартам, но и по всех совокупности стандартов и областей контроля. Также можно отслеживать изменения уровня соответствия организации с течением времени и сравнивать положение дел в организации со статистическими данными по отрасли, региону или размеру.
Единая база знаний ПРОТЕКТИВЫ аккумулирует опыт экспертного сообщества, включая статистические данные и результаты опросов в анонимном режиме. Пользователю не надо ничего придумывать, бери опыт других организаций и используй его.
ПРОТЕКТИВА – это онлайн-сервис, доступ к которому предоставляется на основе подписок, через Интернет, по защищенному каналу. Для пользования сервисом нужен только интернет-браузер. Не надо ничего лицензировать, внедрять и сопровождать, а также следить за всеми изменениями нормативной базы в сфере ИБ.
Таким образом, экспертной система ПРОТЕКТИВА – это простота, гибкость и доступность. От пользователей системы не требуется: быть экспертами в предметной области, отслеживать изменения нормативной базы ИБ, ограничивать себя выбором стандартов и требований, которым надо соответствовать, разрабатывать опросники, отчеты и планы, внедрять и сопровождать ПО, переплачивать лишние требования (подписки). При всем при этом, оценка соответствия организации требованиям любого стандарта ИБ занимает не более 1 часа!
А вот почетная грамота за участие в конференции: