1.7.15

ИТ-Диалог: опыт автоматизации рутинных задач безопасника в Санкт-Петербурге

Продолжаю рассказ про секцию "Россия защищенная" на ИТ-Диалоге. Теперь расскажу о докладах представителей трех регионов - Санкт-Петербурга, Республики Коми и Хабаровского края. Хотя, скорее, это были не доклады, а обмен опытом. Каждое из выступление мне запомнилось особо. Например, выступление Андрея Лихолетова из комитета по информатизации Санкт-Петербурга, который рассказывал об их опыте автоматизации рутинных задач безопасника.

Понятно, что эффективной работе служб и специалистов ИБ, особенно в крупных организациях, мешает большое количество рутинных и неавтоматизированных задач, среди которых Андрей Лихолетов выделил 5 ключевых:
  • Сбор и анализ данных, о текущем состоянии защиты информации, поиск и анализ закономерностей, подготовка стандартных отчетов
Пример одной из множества анкет/опросника по ИБ
  • Отслеживание контрольных сроков событий, исполнения поручений
  • Повышение уровня осведомленности уполномоченных лиц
  • Централизованное хранение и актуализация документов в области защиты информации
  • Аудит.
При нехватке времени и людей и большом количестве рутинных задач, без их автоматизации не обойтись. Именно про опыт питерского комитета по информатизации и был интересный доклад. Не найдя на рынке удовлетворяющего требованиям продукта, в отделе защиты информации комитета было принято решение о заказной разработке данного решения, что и было сделано. В частности, для решения первой задачи разработанная система (а она решает все пять озвученных рутинных задачи) позволяет:
  • формировать отчетность (плановую и внеплановую)
  • формировать показатели, характеризующие уровень соответствия принимаемых в организации мерах по обеспечению безопасности информации принятым требованиям по защите информации
  • анализ динамики изменения показателей
  • «вечное» хранение исходных данных.
Второй важной задачей является контроль сроков. В феврале я уже писал про то, каким я вижу автоматизированный календарь безопасника. А в Питере он уже создан. В частности он позволяет отслеживать:
  • сроки окончания лицензий организаций
  • сроки действия сертификатов на СрЗИ
  • сроки действия аттестатов соответствия;
  • сроки повышения квалификации безопасников
  • сроки контрольных мероприятий (аудита)
  • сроки исполнения поручений
  • другие контрольные точки, например, по объектам, имеющим "срок годности, в частности по поручения.  
Отдельно решается задача хранения разных версий разных нормативных и правовых документов. Эта же подсистема позволяет хранить и конструкторскую/эксплуатационную документацию ко всем информационным системам Санкт-Петербурга, а также проводить контроль знаний по законодательству в области ИБ.


За счет визуализации и контроля состояния всех объектов защиты Санкт-Петербурга удается также 
  • Информировать уполномоченных лиц об угрозах безопасности информации
  • Информировать уполномоченных лиц о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации
  • Своевременно информировать лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе.


Задача аудита также автоматизирована, вплоть до подготовки отчетных документов и автоматической постановки задач ответственным об устранении выявленных нарушений.


Если все автоматизировать, что же тогда остается безопасникам? Не стоит ли их сократить? Нет! Как справедливо было замечено, безопасник часто погружается в рутину и у него не остается времени и сил на решение реальных задач, ради которых он и приходил на работу. В частности остаются нерешенными и заброшенными "творческие" задачи, которые откладываются на потом:

  • моделирование угроз, анализ уязвимостей и рисков,
  • оценка эффективности систем защиты информации,
  • обеспечение непрерывности работы СЗИ,
  • анализ инцидентов ИБ,
  • обеспечение ИБ при взаимодействии с третьими сторонами,
  • планирование и развитие СЗИ и т.д.

На меня доклад Андрея Лихолетова произвел впечатление, если честно. Это действительно круто - взять и заказать разработку для автоматизации собственных рутинных задач, чтобы можно было сконцентрироваться на главном. И ведь в госорганах таких рутинных задач, вытекающих часто из существующей нормативной базы, очень много. В Санкт-Петербурге смогли эту проблему решить очень эффективно, на мой взгляд.

ЗЫ. Кстати, именно Андрей Лихолетов привел крылатую фразу про ИБ, которая "как ПВО - и сама не летает, и другим не дает" :-)

6 коммент.:

Анонимный комментирует...

Невалидный SSL-сертификат и использование Хрома доставили ;-)

Target комментирует...

Алексей, имеются аналогичные системы с более развитым функционалом, позволяющие кроме всего прочего автоматизировать выполнение законодательства о ПДн (поиск ПДн с истекшими сроками хранения, учет процессов и систем обработки ПДн с их характеристиками, построение единой модели угроз безопасности для ПДн и иной информации ограниченного доступа, динамический анализ и оценка безопасности архитектуры, генерация документов, отчетов, учет лиц, допущенных к обработке ПДн, помещений и т.п.). Например, имеется опыт использования такого продукта от компании АйРэд.

Алексей Лукацкий комментирует...

Супер

Александр Бодрик комментирует...

В принципе любая GRC, в России так R-Vision должна покрыть требования, но соль не в этом. Интересен опыт заказной разработки для ИБ. ИБшники редко заказывают для себя разработку

Алексей Лукацкий комментирует...

А R-Vision все эти задачи покрывает?

Александр Бондаренко комментирует...

Алексей, "все эти" это какие именно ? А вообще практически все что описано в системе R-Vision реализовано и не только это.