ГОСТ Р 57580.1-2017, как и любой другой стандарт на территории Российской Федерации, не является обязательным для применения. Однако Банком России выпущены нормативные акты, устанавливающие необходимость применения ГОСТ Р 57580.1-2017. В статье мы расскажем, как можно автоматизировать и упросить процесс проведения оценки соответствия требованиям ГОСТ Р 57580, используя SECURITM.
Под ГОСТом 57580 подразумевается набор критериев, благодаря которым определяется уровень защиты информации в соответствии с требованиями.
Проверка на соответствие требованиям ГОСТ 57580 в финансовых организациях основывается на том, насколько организация придерживается мер для защиты данных.
Из значимых особенностей ГОСТ 57580, следует отметить выделение стандартом трех направлений оценки:
Оценка по выбору мер защиты информации (ГОСТ Р 57580.1-2017, раздел 7)
Оценка полноты реализации защиты информации (ГОСТ Р 57580.1-2017, раздел 8)
Обеспечение защиты информации на этапах жизненного цикла автоматизированных систем (ГОСТ Р 57580.1-2017, раздел 9)
Все эти разделы ГОСТа есть в SECURITM.
Для добавления их в свою команду для проведения оценки, необходимо в модуле «Требования» воспользоваться кнопкой «Выбрать документы», затем в строке поиска набрать «57580» и взять на контроль необходимые документы.
К примеру, выберем 3 раздела из ГОСТ 57580.1:
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
После этого они сразу отобразятся в модуле «Требования».
Как только мы добавили к себе на контроль все 3 требования (разделы 7, 8, 9) у нас также появится кнопка «ГОСТ 57580», которая позволит нам оценить реализацию вышеуказанных требований в автоматическом режиме. Но об этом немного позже.
Для того, чтобы начать работу с требованием нам необходимо щелкнуть по его названию.
Давайте посмотрим, что нам будет доступно.
В первую очередь мы увидим наш прогресс в соответствии данному требованию (1), графики изменения уровня соответствия для отслеживания процента выполнения документа по месяцам (2), и диаграмму, включающую три уровня – запланированный уровень, текущий уровень, целевой уровень (3).
Ниже нам будет доступна блок по соответствию и заполнению каждой из групп требования данного документа.
Соответствие — предоставляет возможность отслеживать процент заполнения разделов документа, статусы: "Соответствует", "Частично", "Не соответствует" или "Не применимо", указывая это в процентах и в абсолютных значениях.
Заполнение - предоставляет возможность отслеживать процент способов оценки выполнения требований со статусами: "Автоматически, меры выбраны", "Переопределено", "Автоматически, меры не выбраны", "Метрики", "Уязвимости", указывая это в процентах.
Еще ниже будет список самих требования, с которыми мы и будем работать – указывать степень выполнения.
Для оценки каждого из требований нам необходимо нажать на «…» справа от требования.
После этого мы сможем указать нужный способ оценки соответствия по указанному требованию.
Существует несколько способов оценки выполнения требования:
Ручной – мы можем указать статус выполнения вручную (выполнено / не выполнено / неприменимо / частично). Дополнительно мы можем указать обоснование выбора статуса и при необходимости приложить какие-либо свидетельства в пользу данного выбора.
Автоматически – мы можем привязать к требованию различные «Метрики» или связать их с «Защитными мерами».
Стоит отметить, что защитные меры исполняют требования (а значит и обеспечивают необходимый уровень соответствия), только когда они находятся в статусе «Реализовано»
Важно!
Если к одному требованию мы выбираем несколько защитных мер, то каждая из них должна быть в статусе «Реализовано», в противном случае у требования будет статус «Выполнено частично».
А где брать защитные меры?
Для этого существует отдельный модуль «Защитные меры», где уже существуют различные готовые меры или можно создать свои собственные.
При открытии карточки защитной меры нам будет доступна различная информация, касающаяся данной защитной меры.
Мы можем посмотреть описание защитной меры, её жизненный цикл, связанные инструменты и кто отвечает за эту защитную меру.
В самом начале защитная мера будет со статусом «Не определено», и для того, чтобы она начала приносить нам пользу нам необходимо её скорректировать.
Для этого мы нажимаем на иконку редактирования.
И в открывшемся окне меняем статус защитной меры.
При необходимости мы можем изменить другие поля, например ответственного за данную меру, или инструмент (это может быть абсолютно любой актив – документ, программное обеспечение, человек и т.д.).
Или, например, мы из карточки защитной меры можем поставить кому-то из наших коллег задачу, и указать какой статус примет защитная мера после завершения задачи.
Еще одним способом изменения статуса защитной меры в автоматическом режиме является привязка соответствующей метрики.
В самой метрике мы можем задать необходимые пороговые значения, при которых она будет влиять на статус защитной меры (например, переводить её в статус «Поломка»).
Соответственно, если метрика повлияла на статус защитной меры:
то и защитная мера повлияла на статус соответствия конкретному требованию:
И в обратном порядке это также работает – при достижении необходимых значений метрики, у нас вернется статус защитной меры и соответствие требованию.
Дополнительно стоит отметить, что указывая в качестве инструмента защитной меры тот или иной актив (например, внутренние документы по ИБ), мы можем сформировать внутренний перечень ОРД по ИБ, который помогает выстраивать связи с защитными мерами и требованиями.
Таким образом, мы с вами можем автоматизировать процесс управления соответствия требованиям с использованием защитных мер и метрик.
А теперь давайте вернемся к автоматизированной оценки соответствия ГОСТ 57580, а точнее к соответствующей форме отчета.
При переходе в данный раздел нам будет доступна форма, которая будет автоматически заполнена на основании тех данных, что мы внесли в соответствие требованиям необходимых разделов.
Дополнительно есть возможность выбора актуальных нарушений информационной безопасности из соответствующего перечня.
На самом деле мы можем провести комплаенс по каждому разделу по отдельности прямо из этой формы (если так будет удобнее)
И это касается также и других разделов (8 и 9)
После оценки всех необходимых требования мы можем посмотреть итоговую оценку, которая рассчитывается по методическим рекомендация Центрального Банка России.
Кроме того, что указанные результаты будут находится в системе, мы можем выгрузить эти данные в форме различных отчетов, воспользовавшись кнопкой «Экспорт данных»
Мы можем посмотреть отчет в формате *.docx, который мы также можем направить аудитору или регулятору
Помимо этого, есть возможность выгрузить архив с приложенными свидетельствами (которые вы прикладывали в защитных мерах или требованиях), и в таком случае все свидетельства будут разложены по своим разделам.
Итог ГОСТ 57580 – это серьёзный и довольно сложный фреймворк.
Поэтому возможность автоматизированной оценки соответствия и формирование отчетности делают его проще для применения и восприятия.
Основная задача при использовании автоматизированной оценки соответствия - не изменение подхода к существующим процессам информационной безопасности, а значительное упрощение работы по контролю за выполнением требований.
Используя такой инструмент как SECURITM, вы сможете автоматизировать рутинные процессы, снизить риски ошибок и неточностей, а также обеспечить прозрачность работы своей службы ИБ.
Дополнительно прикрепляем видео, наглядно демонстрирующее весь процесс внедрения стандарта в системе SECURITM.
