логотип Протеткива
Логин:
Пароль:
Регистрация
Забыли свой пароль?
Войти как пользователь:

Для доступа к данной странице вы должны авторизоваться в «Управление Соответствием»

Войти в систему
ДЕМО-ДОСТУП

Предпосылки разработки и общие принципы построения системы Protectiva Compliance Manager

10.05.2017

Непрерывно ужесточающиеся требования по защите информации, предъявляемые к организациям всех форм собственности, приводят к необходимости реализации сложных и дорогостоящих мероприятий по обеспечению и контроля соответствия этим требованиям. Соответствующие процессы менеджмента организации, реализуемые руководителем службы информационной безопасности, либо другим должностным лицом, выполняющим аналогичные функции, называются Compliance Management (Управление соответствием).

В области защиты информации выделяются следующие области управления соответствием:

  1. Закон о персональных данных (ФЗ-152), соответствующие подзаконные акты и нормативные документы (актуально для всех операторов персональных данных)

  2. Стандарт ЦБ РФ в области ИБ (СТО БР ИББС) (актуально для всех банков)

  3. Стандарт защиты информации индустрии платежных карт PCI DSS (актуально для всех банков, платежных систем, процессинговых центров, крупных ритейлеров)

  4. Закон о национальной платежной системе (161-ФЗ), соответствующие подзаконные акты и нормативные документы (актуально для всех банков, платежных систем, банковских агентов и всех участников НПС)

  5. Акт Сарнбейса-Оксли (SoX) (актуально для АО, чьи акции котируются на NYSE и других международных биржах)

  6. Международный стандарт ISO 27001 (актуально для всех организаций как лучшая практика в области менеджмента ИБ, в особенности для лидеров роста и международных компаний)

  7. Руководящие документы ФСТЭК и ФСБ России (актуально для государственных предприятий, операторов ПДн, и прочих организаций, находящихся в сфере регулирования ФСТЭК, ФСБ)

  8. Отраслевые стандарты (предприятия Газпрома, Роснефти, РЖД, Росатома и прочих крупных госкорпораций)

  9. Руководящие и нормативные документы регулирующих органов в области защиты ключевых систем информационной инфраструктуры (КСИИ, АСУ ТП)

  10. Внутренние нормативные документы и стандарты организаций

В целом для российских компаний актуальными для управления соответствием являются несколько сотен стандартов и нормативных документов, по каждому из которых требуется соответствующая экспертиза, а также разработка документации и реализация комплекса организационно-технических мероприятий по обеспечению, контролю и демонстрации соответствия. При этом каждый документ содержит десятки или сотни требований безопасности, которые необходимы выполнить. Выполнение требований безопасности подтверждается соответствующими свидетельствами аудита, которые оформляются в ходе проведения оценки.

Например, проведение разового мероприятия по обеспечению соответствия в области персональных данных (включающего в себя проведение обследования, оценки соответствия и разработки комплекта документов) с привлечением внешнего подрядчика, без учета внутренних трудозатрат и последующих контрольных мероприятий по поддержанию соответствия, обходится в среднем от 500 до 1000 т.р. (для крупных организаций – несколько миллионов рублей). Аналогичные мероприятия по другим перечисленным выше областям обеспечения соответствия обычно обходятся значительно дороже, причем проекты по обеспечению соответствия в одной организации практически не связаны между собой, что обуславливает крайне неэффективное расходование средств на обеспечение соответствия.

Несколько лет назад проблема управления соответствием не стояла так остро для российских компаний, поскольку большинство перечисленных выше областей соответствия еще либо не существовало, либо не носило обязательного характера. Этим объясняется временное отсутствие серьезных программных решений в данной области. Формирование соответствующего рынка только начинается, потребность уже осознана большинством потребителей. Поэтому именно сейчас наиболее благоприятный момент для входа на данный рынок.

Процесс управления соответствием организации требованиям по защите информации включает в себя следующие процедуры:

  1. Определение областей управления соответствием, стандартов и нормативных документов, которым организация должна соответствовать. Отслеживание соответствующих изменений и актуализация состава документов и требований. Формирование реестра требований безопасности.

  2. Проведение оценки соответствия по каждому выбранному стандарту (нормативному документу) путем заполнения опросников и формирование отчета о соответствии.

  3. Формирование плана обеспечения и поддержания соответствия, определяющего состав организационно-технических мероприятий, сроки, ответственности и ресурсное обеспечение.

  4. Контроль выполнения планов обеспечения соответствия, переоценка уровня соответствия по каждому стандарту после реализации соответствующих механизмов контроля.

  5. Анализ текущего положения дел в области соответствия, идентификация проблемных областей, предоставление отчетности руководству организации и контролирующим органам.

Оценка соответствия требованиям конкретного стандарта осуществляется в соответствии с принятой для этого стандарта методологией, обычно определяемой отдельными руководящими документами. Формы отчетности и процедуры аудита (оценки) по каждому Стандарту также могут различаться. Поэтому разрабатываемая система должа предусматривать возможность настройки соответствующих параметров оценки и отчетности для каждого Стандарта.

Система проектируется таким образом, чтобы процедура оценки соответствия (заполнение опросника) по одному стандарту занимала не более 60 минут. В противном случае процесс работы с системой становится слишком трудоемким для менеджера. Такой результат должен достигаться за счет использования знаний и наработок экспертного сообщества, которые позволяют автоматически заполнять до 80% опросника, за счет высокой тиражируемости решений по обеспечению соответствия.

Отчеты и планы формируются автоматически по результатам опроса и экспортируются в форматы, необходимые для последующей работы с ними.

Значительная экономия времени работы в системе достигается также за счет автоматического учета пересекающихся требований различных стандартов. Это избавляет пользователя от необходимости отвечать на одни и те же вопросы по каждому стандарту. Результаты опроса по одному стандарту учитываются при прохождении опроса по другим стандартам.

Значительное сокращения издержек достигается за счет автоматической синхронизации стандартов, планов, опросов и отчетов. При внесении изменений в один из этих объектов, эти изменения автоматически учитываются в остальных. Пользователь всегда видит только актуальную информацию. Например, при изменении статуса определенных мероприятий в плане обеспечения соответствия, эти изменения автоматически учитываются в результатах опроса по соответствующим стандартам и областям контроля, в отчетах о соответствии, в аналитических отчета и диаграммах.

Проблема

Обеспечение соответствия организации обязательным требованиям стандартов, законодательной и нормативной базы, а также внутренним бизнес-требованиям самой организации – очень трудоемкий процесс. Трудоемкость данного процесса обусловлена большим количеством применимых к организации нормативных документов и стандартов, их сложностью и противоречивостью, а также сложностью интерпретации содержащихся в них требований.

Процесс оценки и обеспечения соответствия носит формальный характер и предполагает формирование большого объема однотипной и легко тиражируемой отчетной документации, а также регулярный пересмотр и актуализацию данной документации.

За несоответствие обязательным требованиям организация может подвергнуться санкциям, включая административные штрафы, приостановку деятельности, лишение лицензий на осуществление определенных видов деятельности, дисквалификацию руководителей организации, недопущение к участию в тендерах, блокирование веб-сайтов организации и т.д.

Решение

Для решения проблемы Соответствия руководству организации (и уполномоченным им лицам) должен быть предоставлен инструмент, позволяющий в максимальной степени упростить и автоматизировать процессы формирования применимых требований и отслеживания их изменений, интерпретации требований, оценки соответствия, формирования и поддержания в актуальном состоянии отчетных документов, формирования и контроль реализации планов обеспечения соответствия.

Разрабатываемый сервис управления соответствием должен заменять экспертные организации, привлекаемые для реализации проектов по обеспечению соответствия, а также служить инструментом повышения эффективности внутренних процессов менеджмента организации.

Использование системы Protectiva Compliance Manager обеспечивает достижение следующих целей:

  1. Сокращение затрат времени руководителя службы ИБ на выполнение процедур, связанных с обеспечением, поддержанием и контролем соответствия в области ИБ.

  2. Предоставление руководству организации полной и достоверной информации о соответствии организации всей совокупности требований по обеспечению безопасности информации, применимых к этой организации.

  3. Обеспечение стандартизации процедур управления соответствием и отчетных документов согласно требованиям стандартов и регуляторов.

  4. Предотвращение ошибочных действий, неправильно применения методологии оценки, использования неактуальных стандартов или неправильного формирования отчетов. Обеспечение повторяемости и верифицируемости результатов.

  5. Обеспечение возможности использования знаний и опыта экспертного сообщества, возможностей тиражируемости соответствующих решений и отчетных документов по обеспечению соответствия.