ИТ-Диалог: опыт автоматизации рутинных задач безопасника в Санкт-Петербурге

Разное
Продолжаю рассказ про секцию «Россия защищенная» на ИТ-Диалоге. Теперь расскажу о докладах представителей трех регионов — Санкт-Петербурга, Республики Коми и Хабаровского края. Хотя, скорее, это были не доклады, а обмен опытом. Каждое из выступление мне запомнилось особо. Например, выступление Андрея Лихолетова из комитета по информатизации Санкт-Петербурга, который рассказывал об их опыте автоматизации рутинных задач безопасника.

Понятно, что эффективной работе служб и специалистов ИБ, особенно в крупных организациях, мешает большое количество рутинных и неавтоматизированных задач, среди которых Андрей Лихолетов выделил 5 ключевых:

  • Сбор и анализ данных, о текущем состоянии защиты информации,
    поиск и анализ закономерностей, подготовка стандартных отчетов
Пример одной из множества анкет/опросника по ИБ
  • Отслеживание контрольных сроков событий, исполнения поручений
  • Повышение уровня осведомленности уполномоченных лиц
  • Централизованное хранение и актуализация документов
    в области защиты информации
  • Аудит.

При нехватке времени и людей и большом количестве рутинных задач, без их автоматизации не обойтись. Именно про опыт питерского комитета по информатизации и был интересный доклад. Не найдя на рынке удовлетворяющего требованиям продукта, в отделе защиты информации комитета было принято решение о заказной разработке данного решения, что и было сделано. В частности, для решения первой задачи разработанная система (а она решает все пять озвученных рутинных задачи) позволяет:

  • формировать отчетность (плановую и внеплановую)
  • формировать показатели, характеризующие уровень соответствия принимаемых в организации мерах по
    обеспечению безопасности информации
    принятым требованиям по защите информации
  • анализ динамики изменения показателей
  • «вечное» хранение исходных данных.

Второй важной задачей является контроль сроков. В феврале я уже писал про то, каким я вижу автоматизированный календарь безопасника. А в Питере он уже создан. В частности он позволяет отслеживать:

  • сроки окончания лицензий организаций
  • сроки действия сертификатов на СрЗИ
  • сроки действия аттестатов соответствия;
  • сроки повышения квалификации безопасников
  • сроки контрольных мероприятий (аудита)
  • сроки исполнения поручений
  • другие контрольные точки, например, по объектам, имеющим «срок годности, в частности по поручения.  
Отдельно решается задача хранения разных версий разных нормативных и правовых документов. Эта же подсистема позволяет хранить и конструкторскую/эксплуатационную документацию ко всем информационным системам Санкт-Петербурга, а также проводить контроль знаний по законодательству в области ИБ.
За счет визуализации и контроля состояния всех объектов защиты Санкт-Петербурга удается также 
  • Информировать уполномоченных лиц об угрозах безопасности информации
  • Информировать уполномоченных лиц о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации
  • Своевременно информировать лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе.
Задача аудита также автоматизирована, вплоть до подготовки отчетных документов и автоматической постановки задач ответственным об устранении выявленных нарушений.

Если все автоматизировать, что же тогда остается безопасникам? Не стоит ли их сократить? Нет! Как справедливо было замечено, безопасник часто погружается в рутину и у него не остается времени и сил на решение реальных задач, ради которых он и приходил на работу. В частности остаются нерешенными и заброшенными «творческие» задачи, которые откладываются на потом:

  • моделирование угроз, анализ уязвимостей и рисков,
  • оценка эффективности систем защиты информации,
  • обеспечение непрерывности работы СЗИ,
  • анализ инцидентов ИБ,
  • обеспечение ИБ при взаимодействии с третьими сторонами,
  • планирование и развитие СЗИ и т.д.

На меня доклад Андрея Лихолетова произвел впечатление, если честно. Это действительно круто — взять и заказать разработку для автоматизации собственных рутинных задач, чтобы можно было сконцентрироваться на главном. И ведь в госорганах таких рутинных задач, вытекающих часто из существующей нормативной базы, очень много. В Санкт-Петербурге смогли эту проблему решить очень эффективно, на мой взгляд.

ЗЫ. Кстати, именно Андрей Лихолетов привел крылатую фразу про ИБ, которая «как ПВО — и сама не летает, и другим не дает» 🙂

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    Невалидный SSL-сертификат и использование Хрома доставили 😉

    Ответить
  2. Target

    Алексей, имеются аналогичные системы с более развитым функционалом, позволяющие кроме всего прочего автоматизировать выполнение законодательства о ПДн (поиск ПДн с истекшими сроками хранения, учет процессов и систем обработки ПДн с их характеристиками, построение единой модели угроз безопасности для ПДн и иной информации ограниченного доступа, динамический анализ и оценка безопасности архитектуры, генерация документов, отчетов, учет лиц, допущенных к обработке ПДн, помещений и т.п.). Например, имеется опыт использования такого продукта от компании АйРэд.

    Ответить
  3. Алексей Лукацкий

    Супер

    Ответить
  4. Александр Бодрик

    В принципе любая GRC, в России так R-Vision должна покрыть требования, но соль не в этом. Интересен опыт заказной разработки для ИБ. ИБшники редко заказывают для себя разработку

    Ответить
  5. Алексей Лукацкий

    А R-Vision все эти задачи покрывает?

    Ответить
  6. Александр Бондаренко

    Алексей, "все эти" это какие именно ? А вообще практически все что описано в системе R-Vision реализовано и не только это.

    Ответить