Надежная информационная безопасность и построение системы защиты – обязательные условия для создания бизнеса в любой отрасли. Компании, пренебрегающие вопросами кибербезопасности, сталкиваются с репутационными рисками и финансовыми убытками.
Для многих организаций процессы построения системы защиты стали приоритетными, особенно после ужесточения Закона о персональных данных и участившихся проверках со стороны Регуляторов.
В этой статье эксперты отдела технической защиты конфиденциальной информации Cloud Networks () расскажут об одном срочном запросе от клиента по приведению в соответствие требованиям регуляторов.
Регуляторы и проверки: что это и зачем?Для начала затронем виды проверок. Регуляторы вправе проводить плановые и внеплановые проверки.
Плановая проверка – совокупность действий и мероприятий, проводимых государственными контролирующими органами с целью установления соответствия осуществляемой деятельности нормам, стандартам и требованиям различных уровней. Проверка осуществляется в установленный срок на основании разрабатываемых и утверждаемых органами государственного контроля ежегодных планов. Внеплановая проверка осуществляется в рамках реагирования на поступившее в орган контроля обращение/заявление или в результате множественных/критичных нарушений со стороны проверяемой организации. |
В тех случаях, когда цель контролирующего органа сводится к определению фактического уровня соответствия организации требованиям законодательства или каких-либо подзаконных актов, проверка включает в себя изучение действующих в организации внутренних регламентов и локальных нормативных актов, а также оценку их фактического исполнения при осуществлении основных видов деятельности и реализации основных бизнес-процессов, технологических процессов.
Когда же речь идет об экстренных ситуациях или комплексных расследованиях по итогам какого-либо происшествия (инцидента), проверка может включать в себя также инструментальные и прочие исследования.
Область проверки со стороны того или иного регулятора может быть как весьма поверхностной (общей или комплексной), предполагающей оценку рассматриваемой сферы деятельности в целом, так и более таргетированной (целевой, тематической), то есть нацеленной на определенную область деятельности или определенные процессы, подлежащие контролю и надзору, не ограниченной контролем наличия высокоуровневых внутренних документов.
Но следует понимать, что зачастую с ознакомления с регламентирующей документацией начинается углубление области контроля в сторону конкретных процессов. Если регулятор идентифицирует в процессе исследования прямые или косвенные нарушения, тогда «общая» проверка вполне может затронуть вполне конкретные области и процессы.
Если о плановой проверке организация знает заблаговременно и имеет возможность подготовиться и навести порядок в своих процессах и документации, то в случае с внеплановой – это всегда стресс и реальный тест. Соответственно, при внеплановой проверке достигается максимальная эффективность выявления нарушений, и именно с этим столкнулся Заказчик.
С чем столкнулся клиент?
Нашей команде пришел стандартный запрос, включающий:
проведение аудита ИБ,
доработку или разработку системы защиты информационных систем,
приведение в соответствии требованиям Регуляторов (ФСТЭК, ФСБ, ЦБ РФ, Роскомнадзор).
Но ключевым нюансом запроса являлись кратчайшие сроки, фактически десятикратно превышающие стандартные. К тому же клиент обратился к нам во второй половине рабочего дня.
После проведения переговоров выяснилось, что клиент уже прошел первичную проверку и рассказал проверяющему обо всех недочетах в документации. Повторная проверка была назначена на следующий день.
Перед отделом стояла сложная задача по приведению в соответствие внутренней документации Заказчика в области информационной безопасности, но максимально концентрированно на целевых и ключевых аспектах с установлением приоритетов.
Конкретно требовалось:
Провести экспресс-оценку уровня соответствия положениям ГОСТ Р 57580, определить минимально необходимый комплекс мер по достижению необходимого уровня и предложить проект план-графика реализации технических требований.
Сформировать минимально необходимый набор проектной документации на систему защиты.
Выполнить «косметическую» доработку внутренней документации в соответствии требованиями регулятора и предоставить проекты документов, которые отсутствуют.
Особенности проекта
Компания клиента относится к финансовому сектору, а значит попадает под область регулирования ГОСТ Р 57580.1-2017, 152-ФЗ и 187-ФЗ.
Проверка проводилась рабочей группой от Банка России, в состав которой были включены также и специалисты в области информационной безопасности.
В случае выявления нарушений, компаниям финансового сектора могут грозить штрафы, предписания к устранению в кратчайший срок, а в худшем случае – приостановка деятельности вплоть до устранения нарушений и выполнения требований.
Мы оперативно сформировали рабочую группу из специалистов, обладающих наибольшим проектным опытом в области информационной безопасности, в том числе для нужд предприятий финансового сектора.
После оперативной планерки с клиентом мы согласовали состав и параметры работ, составили пакет материалов и наработок на основании вводных данных. Основным критерием успеха являлся факт выполнения максимально возможного количества задач к моменту проверки.
Обозначим следующие вызовы:
У Заказчика не оказалось в наличии всей необходимой внутренней документации, регулирующей вопросы защиты информации в рамках определенных критических процессов. Имеющиеся документы требовали доработки, так как не отражали или не охватывали в полном объеме всех требуемых аспектов.
Не проведен технический аудит, позволяющий оценить текущее состояние обследуемых систем, а также оценка актуальных угроз безопасности информационных систем.
Не выполнены в необходимом объеме требования к системе защиты и не разработана организационно-распорядительная документация.
На этапе подготовки к проверке ответственному представителю регулятора было обозначено отсутствие большей части необходимой документации.
Регулятором обозначены критически сжитые сроки предоставления документации.
Реализация поставленных задач
После расстановки акцентов для планирования объема работ мы провели дополнительную онлайн-встречу с представителями клиента, в рамках которой получили в достаточном объеме информации. Для достижения максимальной эффективности совещание было запротоколировано.
Эксперты распределились по задачам и получили все требуемые материалы для работы. За годы работы мы собрали объемную базу знаний, благодаря которой смогли оперативно приступить к разработке документации.
В результате мы привели в состояние «боевой готовности» более 25 внутренних документов, регламентирующих вопросы обеспечения безопасности защищаемой информации, включая:
Положения;
Регламенты;
Инструкции;
Приказы;
формы Отчетов, Актов, Журналов.
В первую очередь были подготовлены документы в необходимом объеме в соответствии с актуальными требованиями регулятора. Однако часть из них требовала незначительной доработки, которую можно осуществить после завершения проверки для адаптации документов к внутренним процессам компании.
Параллельно команда, ответственная за экспресс-оценку соответствия требованиям ГОСТ Р 57580, сформировала рабочий вариант отчета, оригинал которого договорились предоставить после завершения всех работ.
Также мы оценили актуальные угрозы и сформировали модель угроз с минимально необходимым набором документации на систему защиты. Для повышения эффективности использовались инструменты автоматизации внутренних производственных процессов.
По итогу были подготовлены:
Четыре частных модели угроз для информационных систем (ИС), в рамках которых обрабатывается защищаемая информация.
Минимальный пакет проектной документации на систему защиты корпоративной ИС.
Перед нами стояла задача по параллельному выполнению максимально возможного объема процессов при тесной и эффективной координации рабочей группы без ожидания согласования результатов. Выполнить проект в столь короткий срок нам позволила командная работа узкоспециализированных специалистов и поддержка постоянной коммуникации с представителями Заказчика для оперативного решения вопросов и уточнения дополнительных данных.
Работы по приведению в соответствие
Реализованный план действий по приведению в соответствие систем Заказчика включал:
Интервьюирование, сбор информации и согласование в онлайн-режиме.
Проведение оценки уровня соответствия положениям ГОСТ Р 57580, определение минимального комплекса мер по достижению необходимого уровня защиты, формирование проекта план-графика реализации технических требований.
Формирование минимально необходимого и критически важного пакета документации на систему защиты, в том числе выбор конкретных решений программных и программно-аппаратных средств защиты.
Доработка внутренней документации в соответствии требованиям регулятора и подготовка проектов отсутствующей документации.
Создание рабочей группы и оперативное предоставление информации со стороны Заказчика решили ключевую роль по итогу аудита. Специалисты отдела ТЗКИ совместно с администраторами ИТ-отдела Заказчика осуществили внедрение средств защиты на тестовые стенды.
К моменту повторной проверки, ключевые задачи реализации и приведения в соответствие требованиям регулятора были выполнены в обозначенные сроки. Оставшийся пакет документации являлся некритичным и был подготовлен в последующие несколько дней.
Выводы
В статье мы показали, что качественный подбор работников и грамотное распределение ресурсов является залогом успешной реализации узконаправленных задач в кратчайшие сроки. Сопровождение системы защиты в соответствии требованиям регулятора способствует минимизации или исключению финансовых и репутационных рисков, содействуя благосостоянию бизнес-процессов.
Оставайтесь в безопасности!
***
В соответствии с ч. 2 ст. 10 Закона № 294-ФЗ основанием для проведения внеплановой проверки является:
