Если вспомнить дебаты в 2013-м году относительно 17-го, да и 21-го, приказа ФСТЭК, то основной претензией к нему была сложность документа, которая станет/стала препятствием для внедрения новых требований ФСТЭК в государственных и муниципальных структурах. Решить эту проблему можно было бы уменьшением числа защитных мероприятий и упрощением алгоритма выбора защитных мер, а то и вовсе вернуться к всем привычному, но неадекватному реалиям СТР-К. Но понятно, что это не вариант, особенно в условиях роста атак на государственные ресурсы.
Вторым путем решения проблемы является упрощение процесса внедрения. И хотя я по-прежнему склоняюсь к тому, что 17-й приказ - отличный документ с точки зрения набора защитных мер и свободы выбора защитных мер, я признаю, что этому документу регулятора не хватает "обвязки", которая бы позволила не только быстрее и проще внедрять требования приказа в реальную жизнь, но и установила бы единый механизм самооценки соответствия. Ведь сегодня кроме аттестации, то есть внешнего аудита, никаких иных вариантов у организации проверить себя, нет. Вот и приходится ждать аттестаторов, которые могут (а если они представители старой школы, то и имеют) свой взгляд на то, что написано в 17-м приказе.
Самооценка же позволяет проводить свою оценку в любой момент времени, намечать пути улучшения, сравнивать себя с прошлыми значениями, оценивать разрыв между текущим и желаемым уровнем защищенности информационных систем и, даже, проводить сравнения с другими подразделениями или филиалами, внося соревновательный дух в процесс выполнения требований по защите информации. А если к достижению определенного уровня привязать еще и систему мотивации сотрудников, то 17-й приказ из скучного чтива превратится в полезный инструмент повышения уровня защищенности государства.
Однако, ничего сложного в решении этой задачи нет. Можно взять и применить обычную радарную (она лепестковая) диаграмму, в качестве лепестков которой взять блоки защитных мер из 17-го (а также 21-го или 31-го) приказа. Если все защитные меры выполнены, то диаграмма будет выглядеть следующим образом.
Это хорошая стартовая точка для выстраивания процесса улучшения системы защиты до, как минимум, базового, а может быть и до адаптированного и улучшенного уровня защищенности, который определяется в процессе установления целей системы защиты на краткосрочную, среднесрочную и, возможно, долгосрочную перспективу. Например, у того же заказчика, был выбран следующий уровень защищенности к концу 2016-го года (отмечен оранжевым). Для удобства на радарной диаграмме показано сравнение с текущим уровнем и понятно, на какие направления надо бросить свои усилия и какие защитные блоки нужно реализовывать.
Скоро должна быть выпущена новая редакция 17-го приказа, в которой добавятся 9 новых блоков защитных мер и будет уделено большое внимание вопросу непрерывного совершенствования уровня безопасности за счет постоянного анализа защищенности и поиска/устранения найденных уязвимостей. Пока ФСТЭК не планировала менять подходы к оценке соответствия и добавлять к аттестации еще и самооценку. Однако, даже если регулятор и не обратит внимания на эту возможность (а она будет полезной тем, для кого выполнение 17-го приказа - это не "галочное" мероприятие), то никто не мешает сделать это самостоятельно. Запретов на это нет, а для распределенных организаций такой инструмент будет очень полезным, но про это в следующей заметке.
Вторым путем решения проблемы является упрощение процесса внедрения. И хотя я по-прежнему склоняюсь к тому, что 17-й приказ - отличный документ с точки зрения набора защитных мер и свободы выбора защитных мер, я признаю, что этому документу регулятора не хватает "обвязки", которая бы позволила не только быстрее и проще внедрять требования приказа в реальную жизнь, но и установила бы единый механизм самооценки соответствия. Ведь сегодня кроме аттестации, то есть внешнего аудита, никаких иных вариантов у организации проверить себя, нет. Вот и приходится ждать аттестаторов, которые могут (а если они представители старой школы, то и имеют) свой взгляд на то, что написано в 17-м приказе.
Самооценка же позволяет проводить свою оценку в любой момент времени, намечать пути улучшения, сравнивать себя с прошлыми значениями, оценивать разрыв между текущим и желаемым уровнем защищенности информационных систем и, даже, проводить сравнения с другими подразделениями или филиалами, внося соревновательный дух в процесс выполнения требований по защите информации. А если к достижению определенного уровня привязать еще и систему мотивации сотрудников, то 17-й приказ из скучного чтива превратится в полезный инструмент повышения уровня защищенности государства.
Однако, ничего сложного в решении этой задачи нет. Можно взять и применить обычную радарную (она лепестковая) диаграмму, в качестве лепестков которой взять блоки защитных мер из 17-го (а также 21-го или 31-го) приказа. Если все защитные меры выполнены, то диаграмма будет выглядеть следующим образом.
Это идеальный и недостижимый уровень оценки соответствия. Мы прекрасно понимаем, что в реальности такого не бывает и не будет никогда. Более того, когда после долгих лет выполнения СТР-К я открываю 17-й приказ, то я понимаю, что на пути достижения задачи его реализации, меня ждет еще немало препятствий. И чтобы понять, на какие направления мне бросить свои усилия, я должен оценить свой текущий уровень выполнения 17-го приказа. У одного из заказчиков у меня получилась вот такая "птица". По СТР-Кшным направлениям все было более или менее неплохо, а вот по остальным блокам защитных мер, "новых" для СТР-К и для государственного органа, ситуация была далека от идеальной.
Это хорошая стартовая точка для выстраивания процесса улучшения системы защиты до, как минимум, базового, а может быть и до адаптированного и улучшенного уровня защищенности, который определяется в процессе установления целей системы защиты на краткосрочную, среднесрочную и, возможно, долгосрочную перспективу. Например, у того же заказчика, был выбран следующий уровень защищенности к концу 2016-го года (отмечен оранжевым). Для удобства на радарной диаграмме показано сравнение с текущим уровнем и понятно, на какие направления надо бросить свои усилия и какие защитные блоки нужно реализовывать.
Скоро должна быть выпущена новая редакция 17-го приказа, в которой добавятся 9 новых блоков защитных мер и будет уделено большое внимание вопросу непрерывного совершенствования уровня безопасности за счет постоянного анализа защищенности и поиска/устранения найденных уязвимостей. Пока ФСТЭК не планировала менять подходы к оценке соответствия и добавлять к аттестации еще и самооценку. Однако, даже если регулятор и не обратит внимания на эту возможность (а она будет полезной тем, для кого выполнение 17-го приказа - это не "галочное" мероприятие), то никто не мешает сделать это самостоятельно. Запретов на это нет, а для распределенных организаций такой инструмент будет очень полезным, но про это в следующей заметке.
