Соответствие требованиям

Одной из ключевых задач служб информационной безопасности является управление соответствием (compliance), которое подразумевает:

Определение внешних и внутренних требований, которым должна соответствовать компания;
Контроль текущего соответствия требованиям и выявление отклонений;
Приведение организации, ее информационных систем и системы защиты в соответствие требованиям;
Подтверждение соответствия по запросу внешних и внутренних аудиторов.

Требования разделяются на обязательные и требования, исполнение которых организация берет на себя добровольно.

К обязательным требованиям можно отнести правовые, законодательные, нормативные и договорные требования, которым должна удовлетворять организация.
К требованиям, исполнение которых организация берет на себя добровольно, относятся лучшие практики, стандарты, отраслевые рекомендации.

Требования разделяются на внешние и внутренние:

Внешние требования: законодательные акты, стандарты и лучшие практики.
Внутренние требования: потребности руководства компании, контрагентов, вышестоящих организаций и иных заинтересованных сторон.

Для удобства навигации и проведения сводных оценок соответствия документы разделены по группам:

ПДн – требования к обработке и защите персональных данных;
КИИ – требования к критической информационной инфраструктуре;
АСУ ТП – требования к автоматизированным системам управления технологическими процессами;
ГИС – требования к государственным информационным системам;
СМИБ – требования к системам менеджмента информационной безопасности;
Банки – требования к банковской отрасли и финансовым организациям;
Здравоохранение – требования к отрасли здравоохранения;
Лучшие практики – рекомендации и необязательные стандарты.

Один документ может входить в несколько групп.

Возможности

Сервис позволяет организовать процесс управления соответствием за счет следующих функций:

Ведение учета внешних требований, актуальных для компании: законодательство, регуляторные акты, стандарты и лучшие практики по информационной безопасности;
Создание собственных наборов (документов) с внутренними требованиями;
Проведение оценки соответствия компании внешним и внутренним требованиям;
Организация процесса приведения компании в соответствие требованиям через внедрение защитных мер;
Автоматическое изменение уровня соответствия требованиям в процессе жизненного цикла системы защиты компании.
Связь (маппинг) аналогичных требований из различных документов, что позволяет значительно сократить время при контроле соответствия сразу по нескольким документам.

Оценка соответствия

Оценка соответствия осуществляется на уровне каждого требования документа вручную или автоматически. У требования могут быть следующие статусы соответствия:

Неприменимо
Не выполнено
Выполнено
Автоматически

При ручной оценке соответствия пользователь может в отношении конкретного требования указать его статус соответствия: неприменимо, не выполнено, выполнено. После чего указать обоснование статуса.

При автоматической оценке (статус соответствия Автоматически) расчет соответствия проводится по защитным мерам, связанным с требованием. Каждое требование может быть связано с одной или несколькими защитными мерами. Если все связанные с требованием защитные меры находятся в статусе Реализовано, то требование считается выполненным, а если хотя бы одна из защитных мер не реализована (в статусе Потребность, Проект, Внедрение) или вышла из строя (статусе Поломка) то требование будет считаться не выполненным.
Является ли набор защитных мер достаточным для исполнения требования определяется экспертным путем с учетом специфики и уровня зрелости компании.

В отношении документов, для которых предусмотрены различные классы/уровни требований возможно провести быструю корректировку, убрав лишние требования в соответствии с актуальным для компании уровнем/классом защищенности. Все не обязательные для выбранного класса/уровня требования переводятся в статус Неприменимо.

Результаты расчета соответствия отображаются на нескольких уровнях:

На уровне конкретного требования (пункта, статьи документа)
На уровне раздела (подраздела) документа
На уровне всего документа
На уровне группы документов

По каждому из требований, разделов, документов можно посмотреть дополнительную статистику в разрезе требований и защитных мер.

Аналогичные требования

Похожие требования различных документов уже связаны между собой. Когда создается связь между защитной мерой и требованием связь устанавливается также между этой защитной мерой и всеми похожими требованиями из других документов. Это позволяет экономить время при контроле соответствия сразу по нескольким документам.

Алгоритм работы

Алгоритм работы с модулем соответствия требованиям следующий:

Выбрать документы, соответствие которым планируется контролировать.
Для этого перейти в раздел Требования и нажать на кнопку Выбрать документы или сразу перейти сюда.
Выбрать подходящие документы нажав на кнопку Контроль.
Провести аудит и по каждому из требований
1. Связать требование с действующими в компании защитными мерами.
  Примечание: если защитная мера взята из базы Community то ее связь с требованиями будет установлена автоматически.
2. В случае необходимости установить статус соответствия вручную (выполнено/не выполнено/неприменимо).
Запланировать внедрение связанных с требованиями защитных мер.
Подробнее об управлении защитными мерами описано в разделе Защитные меры.

Внешние документы

В базу сервиса добавлены следующие документы, в отношении которых можно управлять соответствием:

Framework CIS Critical Security Controls v7.1 (SANS Top 20)
Framework CIS Critical Security Controls v8 (The 18 CIS CSC)
Framework NIST Cybersecurity Framework (EN)
Framework NIST Cybersecurity Framework (RU)
ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.
ГОСТ Р 59547-2021 от 01.04.2022 Защита информации. Мониторинг информационной безопасности. Общие положения
Международный стандарт ISO 27001 от 01.10.2013 Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности
Постановление Правительства РФ № 584 от 13.06.2012 Положение о защите информации в платежной системе
Приказ Минздрава № 911н 24.12.2018 Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам
Приказ ФСБ России № 282 от 19.06.2019 Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации
Приказ ФСБ России № 196 от 06.05.2019 Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
Приказ ФСТЭК России № 21 от 18.02.2013 Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных
Приказ ФСТЭК России № 17 от 11.02.2013 Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Приказ ФСТЭК России № 31от 14.03.2014 Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления
Приказ ФСТЭК России № 239 от 25.12.2017 Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости
Приказ ФСТЭК России № 235 от 21.12.2017 Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования
Стандарт Банка России СТО БР ИББС-1.0-2014 от 01.06.2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Стандарт Банка России РС БР ИББС-2.9-2016 от 01.05.2016 Предотвращение утечек информации
Федеральный Закон № 187-ФЗ от 26.07.2017 О безопасности критической информационной инфраструктуры Российской Федерации

Добавление новых документов осуществляется технической поддержкой сервиса по запросу пользователей. Направить запрос на добавление документа

Внутренние документы

Можно создавать собственные документы с требованиями. Эти документы будут доступны только в команде, в рамках которой были созданы.
Для создания документа нужно:

Перейти в раздел Документы \ Выбор документов
Нажать на кнопку Создать
Заполнить реквизиты документа:
Для заполнения обязательны только поля Название и Тип.
1. Название
2. Ссылка
  Для формирования URL адреса, будет сформировано автоматически из названия документа.
3. Тип
  Если подходящего типа в списке нет можно добавить свой тип.
4. Номер
5. Дата
6. Группы
  По умолчанию выбрана группа Внутренние требования, можно добавить любые другие группы.
7. Описание
8. Уровни требований
  Если в документе есть уровни/классы мер то можно выбрать подходящую классификцию.
9. На контроле
  Будет ли проводиться контроль соответствия по документу
Нажать Создать документ
После создания документа осуществляется переход на страницу редактирования (заполнения) документа.
Каждое требование документа состоит их 3 полей:
1. Ссылка
  Уникальное обозначение части документа, обязательно для заполнения и не может повторяться в рамках документа. Например
  1. п.7
  2. Статья 2 п.1
  3. Потребности директора по продажам
2. Текст требования
  Основная описательная часть, включая порядковый номер и иные атрибуты.
3. Является требованием
  Часть документа может не являться требованиями а быть вспомогательной текстовой частью (например заголовок раздела или аннотация), чтобы система не считала эти части документа требованиями нужно снять галочку Является требованием.
После заполнения полей Ссылка и Текст нажать на кнопку "+" чтобы сохранить требование.
После сохранения требования появится форма для ввода следующего требования.
После ввода всех требований документа нажать на кнопку Завершить.

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Группы	Тип	Номер	Дата	Название
Банки	ГОСТ Р	57580.1-2017	01.01.2018	Банки ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений" Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений	28
Банки	ГОСТ Р	57580.1-2017	01.01.2018	Банки ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации" Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации	37
Банки	Стандарт Банка России	СТО БР ИББС-1.0-2014	01.06.2014	Банки Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения" Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения	183
Лучшие практики	Framework		01.05.2021	Лучшие практики CIS Critical Security Controls v8 (The 18 CIS CSC) CIS Critical Security Controls v8 (The 18 CIS CSC)	153
Здравоохранение	Стандарт	GMP Annex 11: Computerised Systems (EN)	30.11.2011	Здравоохранение Стандарт № GMP Annex 11: Computerised Systems (EN) от 30.11.2011 "Good Manufacturing Practice. Annex 11: Computerised Systems" Good Manufacturing Practice. Annex 11: Computerised Systems	33
Банки	ГОСТ Р	57580.1-2017	01.01.2018	Банки ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации" Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации	345
Здравоохранение АСУ ТП	Стандарт		20.03.1997	Здравоохранение АСУ ТП FDA 21 CFR part 11 (EN) FDA 21 CFR part 11 (EN)	34
	Приказ Минцифры	930 Приложение 3	10.09.2021	Приказ Минцифры № 930 Приложение 3 от 10.09.2021 "Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации" Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации	2
Лучшие практики	Framework		16.04.2018	Лучшие практики NIST Cybersecurity Framework (RU) NIST Cybersecurity Framework (RU)	108
ПДн	Приказ ФСТЭК России	21	18.02.2013	ПДн Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных" Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных	108