Продолжаю рассказ про секцию "Россия защищенная" на ИТ-Диалоге. Теперь расскажу о докладах представителей трех регионов - Санкт-Петербурга, Республики Коми и Хабаровского края. Хотя, скорее, это были не доклады, а обмен опытом. Каждое из выступление мне запомнилось особо. Например, выступление Андрея Лихолетова из комитета по информатизации Санкт-Петербурга, который рассказывал об их опыте автоматизации рутинных задач безопасника.
Понятно, что эффективной работе служб и специалистов ИБ, особенно в крупных организациях, мешает большое количество рутинных и неавтоматизированных задач, среди которых Андрей Лихолетов выделил 5 ключевых:
Если все автоматизировать, что же тогда остается безопасникам? Не стоит ли их сократить? Нет! Как справедливо было замечено, безопасник часто погружается в рутину и у него не остается времени и сил на решение реальных задач, ради которых он и приходил на работу. В частности остаются нерешенными и заброшенными "творческие" задачи, которые откладываются на потом:
На меня доклад Андрея Лихолетова произвел впечатление, если честно. Это действительно круто - взять и заказать разработку для автоматизации собственных рутинных задач, чтобы можно было сконцентрироваться на главном. И ведь в госорганах таких рутинных задач, вытекающих часто из существующей нормативной базы, очень много. В Санкт-Петербурге смогли эту проблему решить очень эффективно, на мой взгляд.
ЗЫ. Кстати, именно Андрей Лихолетов привел крылатую фразу про ИБ, которая "как ПВО - и сама не летает, и другим не дает" :-)
Понятно, что эффективной работе служб и специалистов ИБ, особенно в крупных организациях, мешает большое количество рутинных и неавтоматизированных задач, среди которых Андрей Лихолетов выделил 5 ключевых:
- Сбор и анализ данных, о текущем состоянии защиты информации, поиск и анализ закономерностей, подготовка стандартных отчетов
Пример одной из множества анкет/опросника по ИБ |
- Отслеживание контрольных сроков событий, исполнения поручений
- Повышение уровня осведомленности уполномоченных лиц
- Централизованное хранение и актуализация документов в области защиты информации
- Аудит.
- формировать отчетность (плановую и внеплановую)
- формировать показатели, характеризующие уровень соответствия принимаемых в организации мерах по обеспечению безопасности информации принятым требованиям по защите информации
- анализ динамики изменения показателей
- «вечное» хранение исходных данных.
- сроки окончания лицензий организаций
- сроки действия сертификатов на СрЗИ
- сроки действия аттестатов соответствия;
- сроки повышения квалификации безопасников
- сроки контрольных мероприятий (аудита)
- сроки исполнения поручений
- другие контрольные точки, например, по объектам, имеющим "срок годности, в частности по поручения.
Отдельно решается задача хранения разных версий разных нормативных и правовых документов. Эта же подсистема позволяет хранить и конструкторскую/эксплуатационную документацию ко всем информационным системам Санкт-Петербурга, а также проводить контроль знаний по законодательству в области ИБ.
За счет визуализации и контроля состояния всех объектов защиты Санкт-Петербурга удается также
- Информировать уполномоченных лиц об угрозах безопасности информации
- Информировать уполномоченных лиц о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации
- Своевременно информировать лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе.
Задача аудита также автоматизирована, вплоть до подготовки отчетных документов и автоматической постановки задач ответственным об устранении выявленных нарушений.
Если все автоматизировать, что же тогда остается безопасникам? Не стоит ли их сократить? Нет! Как справедливо было замечено, безопасник часто погружается в рутину и у него не остается времени и сил на решение реальных задач, ради которых он и приходил на работу. В частности остаются нерешенными и заброшенными "творческие" задачи, которые откладываются на потом:
- моделирование угроз, анализ уязвимостей и рисков,
- оценка эффективности систем защиты информации,
- обеспечение непрерывности работы СЗИ,
- анализ инцидентов ИБ,
- обеспечение ИБ при взаимодействии с третьими сторонами,
- планирование и развитие СЗИ и т.д.
На меня доклад Андрея Лихолетова произвел впечатление, если честно. Это действительно круто - взять и заказать разработку для автоматизации собственных рутинных задач, чтобы можно было сконцентрироваться на главном. И ведь в госорганах таких рутинных задач, вытекающих часто из существующей нормативной базы, очень много. В Санкт-Петербурге смогли эту проблему решить очень эффективно, на мой взгляд.
ЗЫ. Кстати, именно Андрей Лихолетов привел крылатую фразу про ИБ, которая "как ПВО - и сама не летает, и другим не дает" :-)
Невалидный SSL-сертификат и использование Хрома доставили ;-)
ОтветитьУдалитьАлексей, имеются аналогичные системы с более развитым функционалом, позволяющие кроме всего прочего автоматизировать выполнение законодательства о ПДн (поиск ПДн с истекшими сроками хранения, учет процессов и систем обработки ПДн с их характеристиками, построение единой модели угроз безопасности для ПДн и иной информации ограниченного доступа, динамический анализ и оценка безопасности архитектуры, генерация документов, отчетов, учет лиц, допущенных к обработке ПДн, помещений и т.п.). Например, имеется опыт использования такого продукта от компании АйРэд.
ОтветитьУдалитьСупер
ОтветитьУдалитьВ принципе любая GRC, в России так R-Vision должна покрыть требования, но соль не в этом. Интересен опыт заказной разработки для ИБ. ИБшники редко заказывают для себя разработку
ОтветитьУдалитьА R-Vision все эти задачи покрывает?
ОтветитьУдалитьАлексей, "все эти" это какие именно ? А вообще практически все что описано в системе R-Vision реализовано и не только это.
ОтветитьУдалить