Compliance в информационной безопасности с SECURITM: Обеспечение соответствия и контроль требований
Compliance (соответствие требованиям) в информационной безопасности – это обязательное соблюдение установленных стандартов, законов и фреймворков, направленных на защиту данных от киберугроз. Сегодня мы расскажем о том, как осуществляется контроль соответствия требованиям и как в этом помогает наш SGRC-продукт SECURITM.
SECURITM: Единая система управления безопасностью
SECURITM – это комплексная система, которая автоматизирует управление всеми процессами информационной безопасности (ИБ) в организации. С ее помощью можно эффективно управлять рисками и уязвимостями, планировать задачи, автоматизировать процессы, вести учёт активов, а также генерировать отчеты. Особое внимание уделено модулю управления соответствием требованиям, который содержит самую большую публично доступную базу скоррелированной между собой российской и зарубежной регуляторики по ИБ.
Почему контроль соответствия так важен?
Работа службы ИБ регулируется многочисленными требованиями, установленными как российскими, так и международными регуляторами. Compliance предполагает регулярный контроль того, насколько система защиты организации соответствует этим требованиям. Часто различные стандарты могут дублировать друг друга, что усложняет процесс контроля их выполнения. Поэтому, несмотря на рутинность, процесс контроля требует внимательности и глубокого погружения специалистов.
Функции модуля управления соответствием в SECURITM
SECURITM содержит самую большую публично доступную базу Российской и международной регуляторики, скореллированной между собой, которая доступна каждому сотруднику информационной безопасности в нашей стране.
Модуль управления соответствием в SECURITM помогает специалистам видеть взаимосвязи и пересечения между требованиями разных стандартов. Это упрощает процесс их выполнения и позволяет быстрее понять, на что нужно обратить внимание в первую очередь. Наиболее часто встречающиеся требования касаются сетевой безопасности, журналирования и антивирусной защиты.
Как это работает на практике?
В системе SECURITM есть три способа оценки соответствия требованиям:
- автоматический - привязываем защитные меры
- ручной - ставим статус “выполнено/не выполнено”, пишем обоснование и прикладываем свидетельства аудита
- метрики - привязываем технические и организационные метрики из модуля метрик.
При автоматическом способе защитные меры в статусе “поломка” не выполняют требования. Требования можно привязать к метрике - метрика со значением попадающем в пороговые значения "Хорошо" - выполняет требования, иначе не выполняет.
Например, по приказу ФСТЭК 21 (АВЗ 1, АВЗ 2) России требуется установка антивирусной защиты для систем. В SECURITM можно назначить ответственных за выполнение этой меры, установить сроки и создать задачи для выполнения.
Если защитная мера реализована и находится в пороговом значении “Хорошо” и выше, то данные значения автоматически подтягиваются в модуль требований и отражаются на значении Compliance.
При этом, поломка защитной меры делает привязанное требование не выполненным и снижает процент соответствия.
Таким образом, система позволяет вести контроль требований в автоматическом режиме и собирать все данные в одном месте.
Подробнее про последние обновления в модуле Compliance
Мы регулярно обновляем нашу базу регуляторики и держим руку на пульсе, чтобы у вас были всегда актуальные требования.
Из последних добавленных документов - новая Методика ФСТЭК по оценке показателя состояния технической защиты информации
Сейчас в базе документов по информационной безопасности, разбитые на требования и связанные друг с другом такие документы:
Финансы
PCI DSS 4.0 (En)
PCI DSS 4.0 (Ru)
SWIFT CSCF
ГОСТ Р 57580.1
ГОСТ Р 57580.3
ГОСТ Р 57580.4
12-МР для 802-П
12-МР для 719-П
12-МР для 683-П
18-МР
8-МР для 757-П
Положение Банка России 683-П
Положение Банка России 716-П
Положение Банка России 719-П
Положение Банка России 757-П
Положение Банка России 779-П
Положение Банка России 787-П
Положение Банка России 802-П
Положение Банка России 808-П
Положение Банка России № 821-П от 17.08.23
Положение Банка России № 822-П от 30.08.23
Постановление Правительства РФ № 584
Постановление Республики Казахстан №89
Постановление Республики Казахстан №90
Постановление Республики Казахстан № 110
Приложение ПП Республики Казахстан № 110
Постановление Республики Казахстан №47
Приказ Минцифры N 453 от 12 мая 2023 г.
РС БР ИББС-2.5-2014
РС БР ИББС-2.9-2016
Стандарт Банка России СТО БР БФБО-1.8-2024
СТО БР ИББС-1.0-2014
СТО БР ИББС-1.3-2016
СТО БР ИББС-1.4-2018
Федеральный закон №161
ПДн:
RUCSF - The 18 CIS CSC
Рекомендации Роскомнадзора по обезличиванию ПДн
GDPR (ru)
Постановление Правительства РФ № 1119
Постановление Правительства РФ № 211
Постановление Правительства РФ № 687
Постановление Правительства РФ № 883
Приказ МЦРИАП РК от 12.06.23 № 179/НК
Приказ Минцифры N 453 от 12 мая 2023 г.
Приказ Роскомнадзора № 178
Приказ Роскомнадзора № 179
Приказ Роскомнадзора №180 от 28.10.2022
Приказ Роскомнадзора № 996 от 05.09.2013
Приказ ФСБ № 378
Приказ ФСТЭК № 21
Федеральный Закон № 152-ФЗ
КИИ:
Методика оценки показателя состояния ТЗИ
Постановление Правительства РФ № 127
Постановление Правительства РФ № 1478
Приказ ФСБ № 196
Приказ ФСБ № 282
Приказ ФСБ № 367
Приказ ФСБ № 77
Приказ ФСТЭК № 235
Приказ ФСТЭК № 239
Указ Президента РФ № 166
Указ Президента РФ № 250
Федеральный Закон № 187-ФЗ
СМИБ:
ГОСТР ИСО 22301— 2021
ГОСТ Р ИСО/МЭК 27001-2021 Тело стандарта
ГОСТ Р ИСО/МЭК 27001-2021 Приложение А
ГОСТ Р № ИСО/МЭК 27002-2021
ISO/IEC 27001:2022 (En) Body
ISO/IEC 27001:2022 (En) Annex A
ISO/IEC 27001:2022(E)
ISO/IEC 27001:2022 (Ru) Тело стандарта
ISO/IEC 27001:2022 (Ru) Приложение А
Общее
Методика оценки угроз ФСТЭК 2021
Постановление Правительства РФ № 1385
Постановление Правительства РФ № 1441
Постановление Правительства РФ № 258
Постановление Правительства Республики Казахстан № 832
Приказ Минцифры РФ №646
Приказ Минцифры N935
Приказ ФСТЭК № 77
Федеральный закон № 126-ФЗ
Федеральный закон № 149-ФЗ
Лучшие практики:
CIS CSC v7.1 (SANS Top 20)
CIS CSC v8.1
Guideline for a healthy information system v.2.0
NIST Cybersecurity Framework (EN)
NIST CSF (ru)
Strategies to Mitigate Cyber Security Incidents
ГОСТ Р № 59547-2021
Методика РезБез
Здравоохранение:
FDA 21 CFR part 11 (EN)
FDA 21 CFR part 11 (RU)
Приказ Минздрава № 911н
GMP Annex 11: Computerised Systems (EN)
GMP Annex 11: Computerised Systems (RU)
АСУ ТП:
FDA 21 CFR part 11 (EN)
FDA 21 CFR part 11 (RU)
RUCSF - The 18 CIS CSC
Приказ ФСТЭК № 31
СКЗИ:
Приказ ФАПСИ № 152
Приказ ФСБ № 378
Федеральный Закон № 63-ФЗ
ГИС:
Постановление Правительства РФ № 676
Приказ ФСТЭК № 17
Коммерческая тайна:
Федеральный закон № 98-ФЗ
Обновления в Модуле Compliance: Новые возможности
Поддерживаем нашу традицию постоянного развития и хотим рассказать про новые фичи. Недавними обновлениями модуля стали:
1. Расширение балльной оценки по документам
2. Введение целевого уровня соответствия
Целевой уровень - формируется по уровню всех требований, которые должны быть выполнены, за исключением тех требований, которые не требуются для выполнения или не применимы к организации
3. Модерация в опросах типа "Оценка соответствия требованиям"
Теперь возможно назначать ответственных за модерацию прямо при создании опроса.
4. Комментарии к опросам по оценке соответствия требованиям
Добавили возможность оставлять комментарии в опросах для фиксирования всех возможных данных.
5. Мини-дашборд на уровне групп документов
Для понятной визуализации среднего значения на уровне групп документов требований.
6. Доработка раздела комплаенса по методикам 8/12-МР
Доработали раздел, отвечающий за комплаенс по методикам 8/12-МР. Эти методики обеспечивают единство подходов, используемых при определении рисков, которые определяются в различных направлениях. В SECURITM представлены автоматические калькуляторы, которые помогают проводить комплаенс и экспортировать данные в виде отчетов нужной формы.
Внедрение Методики экспресс-оценки уровня кибербезопасности
В базу Compliance также добавлена новая Методика экспресс-оценки уровня кибербезопасности, разработанная в рамках проекта Резбез. Эта методика позволяет быстро и эффективно оценить защищенность организации, что особенно полезно в условиях ограниченного времени.
Методика не только интегрирована в Модуль требований, но и скоррелирована с другими стандартами из базы, что делает её еще более полезной для пользователей, стремящихся к комплексной оценке безопасности.
В заключении
SECURITM – это мощный инструмент для управления информационной безопасностью, который значительно упрощает процесс контроля соответствия требованиям. Вы можете попробовать бесплатную Community версию системы https://service.securitm.ru и ознакомиться там с представленными стандартами.