Проблематика

Большинство предлагаемых на рынке решений представляют собой проекты, основным результатом которых являются положительные заключения (сертификаты, аттестаты) о соответствии, которые отражают состояние ИБ на определенный момент времени. При этом достаточно часто возникает проблема, когда инфраструктура безопасности за год меняется настолько, что по сути необходимо выполнять все работы по построению системы ИБ с нуля. Кроме того, меняются существующие требования и появляются новые, а дополнительно осложняет ситуацию большое количество процессов, связанных с обеспечением ИБ, в которых задействовано много сотрудников различных подразделений. Таким образом, выделяется отдельный непрерывный процесс – управление требованиями по ИБ и контроль соответствия внутренних процедур этим требованиям.

Решение

Для поддержания системы ИБ в актуальном состоянии и обеспечения ее эффективного функционирования специалисты компании «Инфосистемы Джет» строят систему управления требованиями ИБ и контроля соответствия, которая позволяет:

  • эффективно и прозрачно управлять требованиями по ИБ, предъявляемыми регуляторами, стандартами, внутренними политиками:
    • формировать перечень обязательных и рекомендательных требований по ИБ применительно к конкретной компании (№152-ФЗ, PCI DSS, СТО БР и др.);
    • формализовать взаимосвязи требований по ИБ и внутренних процессов и процедур;
  • осуществлять контроль выполнения требований по ИБ и оценить уровень соответствия в любой момент времени;
  • максимально оперативно реагировать на изменения требований по ИБ и достигать необходимого уровня соответствия в случае появления новых требований.

Выгоды

Выстраивание процесса управления требованиями ИБ и внедрение системы контроля соответствия дает ряд неоспоримых преимуществ:

  1. Гибкость
  2. Прозрачность
  3. Оперативность

Прозрачность и наглядность соответствия реализованных мероприятий и требований по ИБ позволяет с минимальными затратами адаптировать свою систему ИБ к вновь публикуемым документам и стандартам.

В большинстве случаев задача соответствия новым условиям сводится к выстраиванию связей между уже реализованными процессами ИБ и требованиями стандартов. В этом случае новые требования вливаются в уже созданную систему, практически не оказывая на нее влияния. Таким образом, достигается максимальная готовность к возможным изменениям законодательства в сфере ИБ или публикации иных требований.

Простота контроля и аудита

Автоматизация рабочих процессов и аудита также дает возможность оперативно реагировать на возможные отклонения от заданных политик и выстроенных процедур. Иными словами, ответственный офицер безопасности получает инструмент, позволяющий в режиме реального времени отслеживать несоответствия и принимать необходимые меры. При этом в процесс контроля вовлекаются все сотрудники компании, на которых возлагаются те или иные обязанности по выполнению требований ИБ, а офицер безопасности видит результаты их исполнения. Немаловажной является возможность автоматизации процесса – подключения в качестве конечных исполнителей различных информационных систем (например, систем анализа уязвимостей), которые автоматически формируют отчеты и направляют их офицеру безопасности в качестве результатов выполнения соответствующих процедур.

Результаты аудита, автоматически формируемые системой, могут использоваться для проведения внутренних и внешних проверок. Дополнительным преимуществом является то, что отчетность может быть составлена на понятном и доступном бизнесу языке.

Решение может быть реализовано на базе специализированных программных платформ Oracle, IBM или RSA. Оно позволяет обеспечить постоянную готовность компании к выполнению различных нормативных и отраслевых требований по ИБ наиболее эффективным и оптимальным способом.