Соответствие требованиям

Одной из ключевых задач служб информационной безопасности является управление соответствием (compliance), которое подразумевает:

Определение внешних и внутренних требований, которым должна соответствовать компания;
Контроль текущего соответствия требованиям и выявление отклонений;
Приведение организации, ее информационных систем и системы защиты в соответствие требованиям;
Подтверждение соответствия по запросу внешних и внутренних аудиторов.

Требования разделяются на обязательные и требования, исполнение которых организация берет на себя добровольно.

К обязательным требованиям можно отнести правовые, законодательные, нормативные и договорные требования, которым должна удовлетворять организация.
К требованиям, исполнение которых организация берет на себя добровольно, относятся лучшие практики, стандарты, отраслевые рекомендации.

Требования разделяются на внешние и внутренние:

Внешние требования: законодательные акты, стандарты и лучшие практики.
Внутренние требования: потребности руководства компании, контрагентов, вышестоящих организаций и иных заинтересованных сторон.

Для удобства навигации и проведения сводных оценок соответствия документы разделены по группам:

ПДн – требования к обработке и защите персональных данных;
КИИ – требования к критической информационной инфраструктуре;
АСУ ТП – требования к автоматизированным системам управления технологическими процессами;
ГИС – требования к государственным информационным системам;
СМИБ – требования к системам менеджмента информационной безопасности;
Банки – требования к банковской отрасли и финансовым организациям;
Здравоохранение – требования к отрасли здравоохранения;
Лучшие практики – рекомендации и необязательные стандарты.

Один документ может входить в несколько групп.

Возможности

Сервис позволяет организовать процесс управления соответствием за счет следующих функций:

Ведение учета внешних требований, актуальных для компании: законодательство, регуляторные акты, стандарты и лучшие практики по информационной безопасности;
Создание собственных наборов (документов) с внутренними требованиями;
Проведение оценки соответствия компании внешним и внутренним требованиям;
Организация процесса приведения компании в соответствие требованиям через внедрение защитных мер;
Автоматическое изменение уровня соответствия требованиям в процессе жизненного цикла системы защиты компании.
Связь (маппинг) аналогичных требований из различных документов, что позволяет значительно сократить время при контроле соответствия сразу по нескольким документам.

Оценка соответствия

Оценка соответствия осуществляется на уровне каждого требования документа вручную или автоматически. У требования могут быть следующие статусы соответствия:

Неприменимо
Не выполнено
Выполнено
Автоматически

При ручной оценке соответствия пользователь может в отношении конкретного требования указать его статус соответствия: неприменимо, не выполнено, выполнено. После чего указать обоснование статуса.

При автоматической оценке (статус соответствия Автоматически) расчет соответствия проводится по защитным мерам, связанным с требованием. Каждое требование может быть связано с одной или несколькими защитными мерами. Если все связанные с требованием защитные меры находятся в статусе Реализовано, то требование считается выполненным, а если хотя бы одна из защитных мер не реализована (в статусе Потребность, Проект, Внедрение) или вышла из строя (статусе Поломка) то требование будет считаться не выполненным.
Является ли набор защитных мер достаточным для исполнения требования определяется экспертным путем с учетом специфики и уровня зрелости компании.

В отношении документов, для которых предусмотрены различные классы/уровни требований возможно провести быструю корректировку, убрав лишние требования в соответствии с актуальным для компании уровнем/классом защищенности. Все не обязательные для выбранного класса/уровня требования переводятся в статус Неприменимо.

Результаты расчета соответствия отображаются на нескольких уровнях:

На уровне конкретного требования (пункта, статьи документа)
На уровне раздела (подраздела) документа
На уровне всего документа
На уровне группы документов

По каждому из требований, разделов, документов можно посмотреть дополнительную статистику в разрезе требований и защитных мер.

Аналогичные требования

Похожие требования различных документов уже связаны между собой. Когда создается связь между защитной мерой и требованием связь устанавливается также между этой защитной мерой и всеми похожими требованиями из других документов. Это позволяет экономить время при контроле соответствия сразу по нескольким документам.

Алгоритм работы

Алгоритм работы с модулем соответствия требованиям следующий:

Выбрать документы, соответствие которым планируется контролировать.
Для этого перейти в раздел Требования и нажать на кнопку Выбрать документы или сразу перейти сюда.
Выбрать подходящие документы нажав на кнопку Контроль.
Провести аудит и по каждому из требований
1. Связать требование с действующими в компании защитными мерами.
  Примечание: если защитная мера взята из базы Community то ее связь с требованиями будет установлена автоматически.
2. В случае необходимости установить статус соответствия вручную (выполнено/не выполнено/неприменимо).
Запланировать внедрение связанных с требованиями защитных мер.
Подробнее об управлении защитными мерами описано в разделе Защитные меры.

Внешние документы

В базу сервиса добавлены следующие документы, в отношении которых можно управлять соответствием:

Framework CIS Critical Security Controls v7.1 (SANS Top 20)
Framework CIS Critical Security Controls v8 (The 18 CIS CSC)
Framework NIST Cybersecurity Framework (EN)
Framework NIST Cybersecurity Framework (RU)
ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.
ГОСТ Р 59547-2021 от 01.04.2022 Защита информации. Мониторинг информационной безопасности. Общие положения
Международный стандарт ISO 27001 от 01.10.2013 Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности
Постановление Правительства РФ № 584 от 13.06.2012 Положение о защите информации в платежной системе
Приказ Минздрава № 911н 24.12.2018 Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам
Приказ ФСБ России № 282 от 19.06.2019 Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации
Приказ ФСБ России № 196 от 06.05.2019 Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
Приказ ФСТЭК России № 21 от 18.02.2013 Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных
Приказ ФСТЭК России № 17 от 11.02.2013 Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Приказ ФСТЭК России № 31от 14.03.2014 Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления
Приказ ФСТЭК России № 239 от 25.12.2017 Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости
Приказ ФСТЭК России № 235 от 21.12.2017 Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования
Стандарт Банка России СТО БР ИББС-1.0-2014 от 01.06.2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Стандарт Банка России РС БР ИББС-2.9-2016 от 01.05.2016 Предотвращение утечек информации
Федеральный Закон № 187-ФЗ от 26.07.2017 О безопасности критической информационной инфраструктуры Российской Федерации

Добавление новых документов осуществляется технической поддержкой сервиса по запросу пользователей. Направить запрос на добавление документа

Внутренние документы

Можно создавать собственные документы с требованиями. Эти документы будут доступны только в команде, в рамках которой были созданы.
Для создания документа нужно:

Перейти в раздел Документы \ Выбор документов
Нажать на кнопку Создать
Заполнить реквизиты документа:
Для заполнения обязательны только поля Название и Тип.
1. Название
2. Ссылка
  Для формирования URL адреса, будет сформировано автоматически из названия документа.
3. Тип
  Если подходящего типа в списке нет можно добавить свой тип.
4. Номер
5. Дата
6. Группы
  По умолчанию выбрана группа Внутренние требования, можно добавить любые другие группы.
7. Описание
8. Уровни требований
  Если в документе есть уровни/классы мер то можно выбрать подходящую классификцию.
9. На контроле
  Будет ли проводиться контроль соответствия по документу
Нажать Создать документ
После создания документа осуществляется переход на страницу редактирования (заполнения) документа.
Каждое требование документа состоит их 3 полей:
1. Ссылка
  Уникальное обозначение части документа, обязательно для заполнения и не может повторяться в рамках документа. Например
  1. п.7
  2. Статья 2 п.1
  3. Потребности директора по продажам
2. Текст требования
  Основная описательная часть, включая порядковый номер и иные атрибуты.
3. Является требованием
  Часть документа может не являться требованиями а быть вспомогательной текстовой частью (например заголовок раздела или аннотация), чтобы система не считала эти части документа требованиями нужно снять галочку Является требованием.
После заполнения полей Ссылка и Текст нажать на кнопку "+" чтобы сохранить требование.
После сохранения требования появится форма для ввода следующего требования.
После ввода всех требований документа нажать на кнопку Завершить.

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

КИИ

документов

240

требования

Здравоохранение

документов

151

требования

Банки

документов

745

требований

Лучшие практики

документов

566

требований

СМИБ

документа

140

требования

АСУ ТП

документа

217

требования

ПДн

документа

124

требования

ГИС

документ

113

требования

Как это работает

Выбор

Внешние требования

Выберите из базы Community внешние документы по которым хотите контролировать соответствие: законодательные акты, стандарты, лучшие практики

Внутренние требования

Создайте собственные документы с требованиями: потребности и ожидания заинтересованных сторон, контрактные требования и обязательства

Исполнение

Через защитные меры

- Выберите меры из базы Community уже реализованные или запланированные к внедрению (связь с требованиями будет установлена автоматически)

- Создайте собственные меры и свяжите их с требованиями

Вручную

Определите статус соответствия для части требований вручную: выполнено/не выполнено/неприменимо

С исключениями

Уберите лишние требования в соответствии с актуальным уровнем/классом защищенности

Анализ

На уровне требований

Проанализируйте уровень соответствия по конкретному требованию, разделу, документу или группе документов (области)

На уровне защитных мер

Оценивайте эффективность защитных мер через количество исполняемых ими требований

С учетом похожих

Похожие требования из различных документов уже связаны между собой, достаточно выбрать одно требование и получить исполнение по всем аналогичным требованиям

Контроль

Мониторинг

Уровень соответствия требованиям меняется автоматически:
- в процессе исполнения плана работ по внедрению защитных мер
- при поломке, выходе защитных мер из строя

Актуализация

Внешние требования (законодательные акты, ГОСТы, стандарты и лучшие практики) обновляются автоматически