Российские безопасники уже привыкли к тому, что использование тех или иных видов СЗИ предписывается руководящими документами регуляторов. Каждое СЗИ закрывает определенную группу обязательных требований и, в совокупности с другими СЗИ, обеспечивает соответствие информационных систем организации требованиям законодательства и нормативной базы в области защиты информации. Однако обеспечение соответствия в области ИБ не сводится только к использованию определенного набора СЗИ. Процесс управления соответствием включает в себя планирование, обеспечение и поддержание, периодически плановый и внеплановый контроль, формирование отчетности о соответствии и подтверждение соответствия. Решение этих задач может быть обеспечено специальным классом автоматизированных средств — менеджерами соответствия (compliance manager).
Для того, чтобы оценивать и контролировать соответствие организации и ее информационных систем обязательным требованиям по защите информации, был разработан специальный инструмент — Менеджер Соответствия Протектива (Protectiva Compliance Manager), реализованный в виде онлайн сервиса оценки соответствия, расположенного по адресу https://protectiva.ru. Данный сервис, в частности, позволяет оператору персональных данных осуществлять контроль выполнения обязательных требований законодательства и нормативной базы РФ в области персональных данных и защиты информации, обеспечивая формирование отчетов о соответствии в автоматическом режиме.
Является ли обязательным использование подобных инструментов для оценки/контроля соответствия? По большому счету конечно нет, также как и многих, ставших уже привычными СЗИ. Анализировать события ИБ и управлять инцидентами можно и вручную, без использования SIEM, управлять уязвимостями можно без использования сканеров безопасности и т.д. Однако эффективность подобных неавтоматизированных должным образом процессов менеджмента ИБ будет крайне низкой. Проверяющим же (аудиторам) вообще будет сложно доказать, что данные процессы в организации реализованы без использования средств автоматизации.
Менеджер соответствия, подобный Протективе, требуется организациям еще в большей степени, чем остальные, ставшие привычными СЗИ, поскольку он не только «закрывает» обязательные требования, предписываемые законодательством (см. таблицу ниже), но и автоматизирует ключевой с точки зрения законодателей и регуляторов процесс, заключающийся в обеспечении, контроле и подтверждении соответствия требованиям этих законодателей и регуляторов.
В следующей таблице, применительно к операторам персональных данных, приведены выдержки из законодательных и нормативных актов, а также национальных стандартов РФ, в которых предписывается осуществлять периодический контроль выполнения установленных требований по безопасности информации.
Таблица 1 — Требования нормативной базы «закрываемые» при помощи Менеджера Соответствия Протектива
| Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» | Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях «4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано … осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных ….» |
| Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» | Статья 19. Меры по обеспечению безопасности персональных данных при их обработке «2. Обеспечение безопасности персональных данных достигается, в частности: … 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных …» |
| Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | «17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом)». |
| ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» | 9.2 Внутренний аудит «Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии системы менеджмента информационной безопасности:a) на предмет соответствия1) собственным требованиям организации для своей системы менеджмента информационной безопасности;2) требованиям настоящего стандарта» |
| ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил информационной безопасности» | 15.2.1 Соответствие политикам и стандартам безопасности «Руководители должны регулярно анализировать соответствие обработки информации в пределах их зоны ответственности политикам и стандартам безопасности, а также любым другим требованиям безопасности».15.2.2 Проверка технического соответствия «Информационные системы следует регулярно проверять на соответствие применимым стандартам безопасности». |
| Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) | «3.24. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке: … соблюдения нормативных и методических документов …» |
| ГОСТ РО 0043 – 003 – 2012 Защита информации. Аттестация объектов информатизации. Общие положения | «8.3 Заявители организуют ежегодный контроль соответствия системы защиты информации объекта информатизации требованиям безопасности информации». |