Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Одной из ключевых задач в построении системы информационной безопасности является управление соответствием (compliance), которое подразумевает:
  1. Определение и учет требований, которым должна соответствовать компания;
  2. Контроль текущего соответствия требованиям и выявление отклонений;
  3. Приведение организации, ее информационных систем и системы защиты в соответствие требованиям;
  4. Подтверждение соответствия по запросу внешних/внутренних аудиторов (например, в ходе регуляторных проверок).
Требования можно условно разделить на обязательные и требования, исполнение которых организация берет на себя добровольно.
К обязательным требованиям можно отнести правовые, законодательные, нормативные и договорные требования, которым должна удовлетворять организация.
К требованиям, исполнение которых организация берет на себя добровольно, относятся лучшие практики, стандарты, отраслевые рекомендации.
Также отдельно стоит выделить внутренние требования, которые предъявляются руководством компании и подлежат исполнению наряду с внешними требованиями.

Возможности

Сервис SECURITM позволяет организовать процесс управления соответствием за счет следующих функций:
  1. Ведение учета внешних требований, актуальных для компании: законодательство, регуляторные акты, стандарты и лучшие практики по информационной безопасности;
  2. Проведение оценки соответствия компании внешним требованиям.
  3. Организация процесса приведения компании в соответствие требованиям через внедрение защитных мер;
  4. Автоматическое изменение уровня соответствия требованиям в процессе жизненного цикла системы защиты компании (защитных мер).

Оценка соответствия

Оценка соответствия осуществляется на уровне каждого требования документа вручную или автоматически. У требования могут быть следующие статусы соответствия:
  1. Неприменимо
  2. Не выполнено
  3. Выполнено
  4. Автоматически
При ручной оценке соответствия пользователь может в отношении конкретного требования указать его статус соответствия: неприменимо, не выполнено, выполнено. После чего ввести обоснование статуса.
Статус соответствия Автоматически означает, что расчет соответствия проводится по защитным мерам, связанным с требованием. Каждое требование может быть связано с одной или несколькими защитными мерами. Если все связанные с требованием защитные меры находятся в статусе Реализовано, то требование считается выполненным, а если хотя бы одна из защитных мер не реализована (в статусе Потребность, Проект, Внедрение) или вышла из строя (статусе Поломка) то требование будет считаться не выполненным.
 Результаты расчета соответствия отображаются на нескольких уровнях:
  • На уровне конкретного требования (пункта, статьи документа)
  • На уровне раздела (подраздела) документа
  • На уровне всего документа
  • На уровне группы документов
По каждому из требований, разделов, документов можно посмотреть дополнительную статистику в разрезе требований и защитных мер.

Аналогичные требования

Похожие требования различных документов уже связаны между собой. Когда создается связь между защитной мерой и требованием связь устанавливается также между этой защитной мерой и всеми похожими требованиями из других документов. Это позволяет экономить время при контроле соответствия сразу по нескольким документам.

Алгоритм работы

Алгоритм работы с модулем соответствия требованиям следующий:
  1. Выбрать документы, соответствие которым планируется контролировать.
    Для этого перейти в раздел Требования и нажать на кнопку Выбрать документы или сразу перейти сюда.
    Выбрать подходящие документы нажав на кнопку Контроль.
  2. Провести аудит и по каждому из требований
    1. Связать требование с действующими в компании защитными мерами.
      Примечание: если защитная мера взята из базы Community то ее связь с требованиями будет установлена автоматически.
    2. В случае необходимости установить статус соответствия вручную (выполнено/не выполнено/неприменимо).
  3. Запланировать внедрение связанных с требованиями защитных мер.
     Подробнее об управлении защитными мерами описано в разделе Защитные меры.

Документы

В базу сервиса добавлены следующие документы, в отношении которых можно управлять соответствием:
  • Международный стандарт ISO № 27001 от 01.10.2013 Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования
  • Международный стандарт ISO № 27001 от 01.10.2013 Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А
  • Приказ ФСТЭК России № 239 от 25.12.2017 Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости
  • Приказ ФСТЭК России № 21 от 18.02.2013 Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных
  • Приказ ФАПСИ № 152 от 13.06.2001 Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не с
  • Приказ ФСТЭК России № 31 от 14.03.2014 Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления
  • Приказ ФСТЭК России № 17 от 11.02.2013 Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
  • Приказ Минздрава № 911н от 24.12.2018 Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам
  • ГОСТ Р № 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
  • Framework от 07.12.2020 NIST Special Publication 800-53 (Rev. 4)
  • Framework от 16.04.2018 NIST Cybersecurity Framework
  • Framework от 01.04.2019 The 20 CIS Controls & Resources
Добавление новых документов осуществляется технической поддержкой сервиса по запросу пользователей.
Направить запрос на добавление документа

Для удобства навигации и проведения сводных оценок соответствия документы разделены по группам: 
  • ПДн – требования к обработке и защите персональных данных;
  • КИИ – требования к критической информационной инфраструктуре; 
  • АСУ ТП – требования к автоматизированным системам управления технологическими процессами;
  • ГИС – требования к государственным информационным системам;
  • СМИБ – требования к системам менеджмента информационной безопасности;
  • Банки – требования к банковской отрасли и финансовым организациям;
  • Здравоохранение – требования к отрасли здравоохранения.
Один документ может входить в несколько групп.