6.2.20

3 рекомендации по улучшению приказов ФСТЭК. Экселизация

Продолжим рационализацию по части приказов ФСТЭК. Заходим мы на сайт ФСТЭК (это, кстати, еще одна тема для улучшения, но совсем отдельная) и хотим начать выстраивать процесс работы с требованиями по безопасности. Выбираем нужный нам приказ и... понимаем, что работать-то с ними и не очень удобно. Нам предлагается на выбор три варианта:


RTF, PDF и HTML. С PDF работать невозможно - только читать.


Та же ситуация и с HTML и RTF. Допустим, я хочу выбрать нужные мне защитные меры, сделав фильтрацию по нужному уровню защищенности или классу информационной системы или АСУ ТП. Указанные форматы мне этого сделать не позволяют.


Что делает в таком случае большинство людей? Копипастит все в табличку Excel и начинает с ней работать за счет возможностей, предоставляемых Excel для работы с данными. Например, можно отмечать нужные мне защитные меры (добавляя их или удаляя) и затем делать выборку только по актуальным мерам защиты. Можно, если воспользоваться рекомендациями из вторничной заметки, делать выборку по приоритезированным группам защитных мер. С помощью цветовой маркировки можно отмечать реализованные защитные меры, нереализованные, и находящиеся в процессе реализации. Вот, например, как выглядит такая таблица у Center of Internet Security (CIS). Помимо PDF с описанием защитных мер, они выкладывают еще и таблицу, с которой удобно работать.


Если за счет перекрестных ссылок увязать защитные меры с угрозами, о чем я писал вчера, то можно делать выборку защитных мер в зависимости от угроз или наоборот, угроз в зависимости от защитных мер. Вот так выглядит такая таблица у CIS - защитные меры связаны с угрозами, для каждой из которых еще и ее вероятность указывается . 


На самом деле таких таблиц у CIS три - одна ведет отсчет от защитных мер. Вторая - от защищаемого актива, а третья - от угрозы. То есть мы можем работать сразу с несколькими срезами и точками отсчета.

Excel полезен еще и тем, что в него достаточно легко можно загнать структурированный БДУ и добавить различные формулы для вычисления актуальности и ранжирования угроз. В свое время, в 2008-м году, когда появилось первое четверокнижие по ПДн, в Интернет появились первые таблицы, которые автоматизировали процесс моделирования угроз. В одну колонку включали названия угроз, следующие 3 учитывали показатели опасности угрозы и ее вероятности, следующая позволяла расчитывать по простой формуле актуальность угрозы, а затем для каждой угрозы указывали технические и организационные меры защиты. С помощью функции работы с данными, все угрозы, в поле "актуальность" которой указывалось "неактуальная", скрывались, и мы имели дело с готовым перечнем актуальных угроз. Если бы для текущей версии БДУ регулятор сделал соответствующую табличку, то в ней можно было сразу реализовать выборку по потенциалу нарушителя, объектам воздействия, последствиям угрозы и другим параметрам.

В данной рекомендации нет ничего революционного - речь идет просто об автоматизации и удобстве работы с документами ФСТЭК. Многие, в принципе, такую работу проделывают сами. Но гораздо лучше было бы, если бы такие файлы выкладывались самим регулятором у себя на сайте и он бы поддерживал их актуальность. Причем можно сделать это в двух вариантах - в более привычном всем MS Office, который предлагает больше возможностей по работе с данными, или в более импортозаместительном OpenDocument (ODS). В последнем формате ФСТЭК выкладывает у себя на сайте различные реестры. Базовые функции у этих форматов схожие и многие описанные выше вещи можно делать и в ODS тоже. Но что-то более продвинутое поддерживает только Excel.