Пример
В нашей практике внешних оценок существует целый ряд случаев, когда в ходе аудита подтверждалась полная неспособность системы управления ИБ планомерно развиваться. Зачастую это было вызвано отсутствием простого цикла взаимосвязанных работ, устоявшейся практикой параллельного выполнения задач, которые должны реализовываться последовательно. В подобных ситуациях мы рекомендуем упорядочить деятельность в соответствии с регулярными внешними контрольными мероприятиями.
Положения ЦБ №683-П требуют от банковских организаций каждые два года производить оценку соответствия стандарту ГОСТ 57580.1-2017. Опираясь на это, служба ИБ может выстроить двухлетний цикл развития:
1-6 месяц – разработка/доработка ВНД в соответствии с актуальными требованиями законодательства, выбор новых или поиск замены для устаревших средств защиты, общий анализ ситуации на рынке
7-12 месяц – внедрение, настройка, опытная эксплуатация средств защиты. Плановое обучение рядовых сотрудников и повышение квалификации администраторов ИТ и ИБ
13-18 месяц – внутренний аудит силами СВА, внешний аудит с привлечением консалтинговой компании, социальная инженерия, внутреннее и внешнее тестирование на проникновение (включая социальную инженерию в отношении рядовых сотрудников и менеджмента), контроль знаний среди обученных сотрудников
19-24 месяц – анализ итогов контрольных мероприятий, поиск причин несоответствий и способов их решения, документирование решений о совершенствовании системы ИБ.
Конечно, не всегда возможно выполнять каждое мероприятие в соответствии с этим планом. Необходимо оперативно устранять критические уязвимости, не дожидаясь начала обновления и модернизации, ведь проверка ЦБ не будет соорганизовывать свой график с планом контрольных мероприятий банка. Однако все масштабные мероприятия, на сроки выполнения которых в состоянии повлиять служба ИБ, должны опираться на общий цикл развитие системы ИБ.