ИТ-Диалог: опыт автоматизации рутинных задач безопасника в Санкт-Петербурге

Понятно, что эффективной работе служб и специалистов ИБ, особенно в крупных организациях, мешает большое количество рутинных и неавтоматизированных задач, среди которых Андрей Лихолетов выделил 5 ключевых:

• Сбор и анализ данных, о текущем состоянии защиты информации,
  поиск и анализ закономерностей, подготовка стандартных отчетов

Пример одной из множества анкет/опросника по ИБ

• Отслеживание контрольных сроков событий, исполнения поручений
• Повышение уровня осведомленности уполномоченных лиц
• Централизованное хранение и актуализация документов
  в области защиты информации
• Аудит.

При нехватке времени и людей и большом количестве рутинных задач, без их автоматизации не обойтись. Именно про опыт питерского комитета по информатизации и был интересный доклад. Не найдя на рынке удовлетворяющего требованиям продукта, в отделе защиты информации комитета было принято решение о заказной разработке данного решения, что и было сделано. В частности, для решения первой задачи разработанная система (а она решает все пять озвученных рутинных задачи) позволяет:

• формировать отчетность (плановую и внеплановую)
• формировать показатели, характеризующие уровень соответствия принимаемых в организации мерах по
  обеспечению безопасности информации
  принятым требованиям по защите информации
• анализ динамики изменения показателей
• «вечное» хранение исходных данных.

Второй важной задачей является контроль сроков. В феврале я уже писал про то, каким я вижу автоматизированный календарь безопасника. А в Питере он уже создан. В частности он позволяет отслеживать:

• сроки окончания лицензий организаций
• сроки действия сертификатов на СрЗИ
• сроки действия аттестатов соответствия;
• сроки повышения квалификации безопасников
• сроки контрольных мероприятий (аудита)
• сроки исполнения поручений
• другие контрольные точки, например, по объектам, имеющим «срок годности, в частности по поручения.  

Если все автоматизировать, что же тогда остается безопасникам? Не стоит ли их сократить? Нет! Как справедливо было замечено, безопасник часто погружается в рутину и у него не остается времени и сил на решение реальных задач, ради которых он и приходил на работу. В частности остаются нерешенными и заброшенными «творческие» задачи, которые откладываются на потом:

• моделирование угроз, анализ уязвимостей и рисков,
• оценка эффективности систем защиты информации,
• обеспечение непрерывности работы СЗИ,
• анализ инцидентов ИБ,
• обеспечение ИБ при взаимодействии с третьими сторонами,
• планирование и развитие СЗИ и т.д.

На меня доклад Андрея Лихолетова произвел впечатление, если честно. Это действительно круто — взять и заказать разработку для автоматизации собственных рутинных задач, чтобы можно было сконцентрироваться на главном. И ведь в госорганах таких рутинных задач, вытекающих часто из существующей нормативной базы, очень много. В Санкт-Петербурге смогли эту проблему решить очень эффективно, на мой взгляд.

ЗЫ. Кстати, именно Андрей Лихолетов привел крылатую фразу про ИБ, которая «как ПВО — и сама не летает, и другим не дает» 🙂