Автоматизация процессов менеджмента ИБ строится на базе современных GRC-платформ. В качестве одного из возможных вариантов рассмотрим использование одного из лидирующих продуктов RSA Archer GRC в комбинации отечественной экспертной системой Protectiva Compliance Manager. Архитектуру подобных систем и технические детали оставим для отдельной публикации, а пока ограничимся функциональным описанием.
Предпосылки автоматизации
Основными предпосылками для широкого внедрения средств и систем автоматизации процессов менеджмента ИБ являются:
- Сложная многоуровневая, глубокоэшелонированная, распределенная и т.д… инфраструктура ИБ.
- Большие объемы данных, которые создаются на различных уровнях защиты.
- Перенос вычислений в облако, увеличивающаяся зависимость от внешних ИТ-сервисов и их поставщиков.
- Ужесточение требований к ИБ со стороны государственных контролирующих органов.
- Возрастающие репутационные, финансовые и регуляторные риски ИБ.
Чтобы контролировать риски ИБ, необходима скоординированная работа различных подразделений организации. Для противодействия растущим угрозам, необходимо использовать процессы управления активами, инцидентами, уязвимостями, операциями, изменениями и многие другие процессы, функционирующие в рамках единой системы менеджмента ИБ (СМИБ). Для обеспечения эффективного функционирования СМИБ, требуется внедрение средств автоматизации процессов управления ИБ (САПУИБ) на базе GRC-платформы,позволяющей обеспечить их интеграцию и централизованное управление этими средствами.
Политики безопасности должны быть согласованы с требованиями регуляторов и бизнеса. Каждое используемое в организации СЗИ закрывает определенную группу обязательных требований и, в совокупности с другими СЗИ, обеспечивает соответствие организации требованиям безопасности. Однако обеспечение соответствия не сводится только к использованию определенного набора СЗИ. Процесс управления соответствием включает в себя планирование, обеспечение и поддержание, периодически плановый и внеплановый контроль, формирование отчетности о соответствии и подтверждение соответствия. Решение этих задач обеспечивается специальным классом автоматизированных средств — менеджерами соответствия (compliance manager), в составе комплексных GRC продуктов.
Обоснования выбора средств автоматизации
Одно из первых GRC-решений в мире — RSA Archer — представлено в России в том числе проектами на рынке Security GRC. Archer изначально ориентирован на нефтегазовую отрасль, но способен решить какие угодно задачи любого масштаба и любого игрока. Зрелость и набор функциональности решения RSA не имеет себе равных среди представленных на рынке SGRC в стране. Однако локальные списки контролей (ФЗ-152, СТО БР ИББС, приказы ФСТЭК и ФСБ России и т.п.) в RSA Archer придется заводить самостоятельно — контентная база не заточена под Россию.
Данная проблема решается путем интеграции платформы RSA Archer с экспертной системой управления соответствием Protectiva Compliance Manager, обеспечивающей поддержку неограниченного количество стандартов и нормативных документов, в том числе следующим документам:
- Федеральные законы РФ: 161-ФЗ, 152-ФЗ, 98-ФЗ, 187-ФЗ
- Постановления Правительства РФ: ПП-1119, ПП-584, ПП-687, ПП-512, ПП-1233, ПП-127
- Международные стандарты: ISO 27001/27002, 27032, 27034, 27035, 20000, 22301
- Национальные стандарты РФ (ГОСТ Р): 51583-2014, 53113.1-2008, 53113.2-2009, 53131-2008, ИСО/МЭК 27033-1-2011, ИСО/МЭК 27005-2010, 56939-2016
- Документы Банка России: СТО БР ИББС, 382-П, 2831-У, 397-П, РС БР ИББС-2.6-2014, 49-Т, 154-Т, 36-Т, 146-Т
- Приказы ФСТЭК России № 17, 21, 31, 235, 239, СТР-К
- Приказы ФСБ России № 149/54-144, 149/6/6-622, 378, 367, 368
- Нормативные документы Роскомнадзора, Минсвязи, Правительства Москвы, отраслевые стандарты, внутренние политики организаций
Платформа автоматизации RSA Archer eGRC
RSA Archer eGRC предлагает легко конфигурируемую программную платформу для централизованного управления общекорпоративным GRC процессом, включающую в себя помимо готовых модулей развитые средства разработки. Данная платформа интегрирует и управляет множеством точечных решений, повышает эффективность через настройки рабочего процесса (workflow), автоматизирует оценку рисков и комплайенс.
Платформа RSA Archer eGRC позволяет реализовывать любые решения по автоматизации процессов менеджмента, для различных областей деятельности организации, включая ИТ, ИБ, финансы, управления операциями и юридическое сопровождение.
На сайте сообщества Archer eGRC Community пользователи продуктов и интеграторы имеют возможность обмениваться опытом реализации решений по автоматизации и интеграции данных решений с различными системами и приложения.
Archer eGRC Exchange является отдельным подразделом сайта сообщества, в котором каталогизируются дополнительные предложения по реализации управления рисками и соответствием. Данные предложение RSA Exchange предоставляют передовой опыт, дополняющий штатные возможности платформы RSA Archer и включают в себя: пакеты приложений (App-Packs), интеграционные модули (Integrations), дополнительные утилиты и инструментальные средства (Tools & Utilities), а также контентное наполнение (Content).
Модуль визуальной разработки дополнительных приложений RSA Archer Application Builder предоставляет следующие возможности по расширению штатного функционала базовых модулей Платформы:
- Создание и модификация приложений
- Группировка приложений в решения
- Создание и модификация форм и полей
- Автоматизация вычислений на основе данных полей
- Создание правил для выполнения действия при наступлении заданных событий
Модуль настройки рабочего процесса Workflow, предоставляет редактор процессов с графическим интерфейсом.
В состав RSA ARCHER входят следующие подсистемы для интеграции с другими приложениями:
Data Import Manager
- Начало интеграции – импорт существующих данных
- Редкие обновления контента
Data Feed Manager
- Загрузка информации об угрозах и уязвимостях
- Синхронизация с CMDB и пр.
- Загрузка результатов проверок состояния ресурсов
API Integration Manager
- Используется, если формат данных несоответствует форматам Data Feed Manager
RSA Archer It & Security Risk Management
В состав платформы RSA Archer eGRC входит набор модулей для автоматизации процессов управления рисками ИБ RSA Archer IT & Security Risk Management (RSA Archer ITSRM) обеспечивающий визуализацию, аналитику, контроли и метрики в общем контексте управления организацией.
RSA Archer ITSRM объединяет процессы управления ИБ и соответствующие данные с корпоративными процессами управления рисками и соответствием. Он позволяет централизованно управлять процессами, определять приоритеты для киберугроз и обнаруживать новые факторы риска, устраняет разрыв между персоналом и технологиями, внедряя процессы по эффективному определению и эскалации рисков.
RSA Archer ITSRM позволяет установить бизнес-контекст для систем обеспечения ИБ и ИТ-систем, документирования политик и стандартов безопасности и управления ими, а также определения и устранения уязвимостей.
Автоматизация макро-процесса управления СМИБ
Программный модуль RSA Archer ISMS позволяет быстро собирать информацию о СМИБ и документировать декларацию о применимости механизмов контроля, используемую в процессах аудита и оценки рисков. Автоматизируется формирование реестров информационных активов, приложений, бизнес-процессов, устройств и помещений, документирование и контроль политик, стандартов и рисков. Централизованное представление СМИБ упрощает понимание взаимоотношений между активами, а также управление изменениями в инфраструктуре. Проблемы (уязвимости и несоответствия), определенные в процессе оценок, можно централизованно отслеживать, чтобы обеспечить согласованное документирование и эффективную реализацию корректирующих мер.
RSA Archer ISMS предоставляет следующие возможности:
- Централизованное представление, документирование и отслеживание всех элементов СМИБ.
- Формирование и ведение реестра информационных и связанных с ними активов.
- Понимание взаимоотношений между активами и управление изменениями в инфраструктуре, связанными с СМИБ.
- Формирование декларации о применимости механизмов контроля.
- Документирование существующих проблем и отслеживание реализации корректирующих мер.
- Документирование и отслеживание рисков ИБ.
- Внедрение согласованных политик и стандартов.
- Формирование и ведение отчетности по общему состоянию СМИБ.
Автоматизация процесса управления политиками
Программный модуль RSA Archer IT & Security Policy Program Management дает возможность документировать внешние обязательства и нормативные требования, позволяет эффективно управлять жизненным циклом политик, а также выполнять систематическую проверку с целью отслеживания изменений, вносимых в эти обязательства. Это позволяет понять возможное влияние этих обязательств и требований на бизнес и определить приоритетный способ реагирования. Это включает в себя документирование политик и стандартов, назначение права владения и сопоставление политик с ключевыми сферами и задачами бизнеса. Готовое содержание представлено самыми последними стандартами, в том числе ISO 27001, COBIT 5, NIST 800 и PCI-DSS.
Автоматизация процесса управления уязвимостями
Программный модуль RSA Archer IT Security Vulnerabilities Program использует принципы работы с большими данными для выявления угроз с высокой степенью риска и определения их приоритета. Это дает возможность управлять угрозами в превентивном режиме, объединяя параметры бизнес активов, средства анализа угроз, результаты оценки уязвимости и рабочие процессы в одном интерфейсе управления.
С помощью решения RSA Archer IT Security Vulnerabilities Program можно формировать оповещения, анализировать результаты сканирования уязвимостей и проблемы по мере их возникновения. Это обеспечит сокращение затрат, экономию времени и трудозатрат, а также визуализацию опасных уязвимостей в критически важных областях.
С помощью RSA Archer IT Security Vulnerabilities Program организации могут эффективно управлять полным жизненным циклом уязвимости: от обнаружения и создания отчета до устранения и проверки результатов. Он обеспечивает следующие преимущества:
- Централизованный каталог ИТ-ресурсов.
- Централизованное хранилище данных об уязвимостях и их классификация.
- Интеграция со множеством технологий сканирования.
- Хранение больших объемов данных об уязвимостях (результатов сканирований).
- Формирование отчетности.
Автоматизация процесса управления рисками
Программный модуль RSA Archer IT Risk Management обеспечивает визуализацию всего ландшафта ИТ и ИБ рисков, позволяет всесторонне каталогизировать иерархии организационной структуры и ИТ-ресурсы, обеспечивая документирование и понимание всех критических связей бизнеса в контексте управления рисками, предоставляя встроенные возможности оценивания рисков, методологию оценки угроз и базу контролей.
RSA Archer IT Risk Management предоставляет следующие возможности:
- Централизованная каталогизация ресурсов организации и ИТ-службы.
- Репозиторий и классификация рисков и контролей.
- Встроенные возможности оценки рисков и угроз.
- Консолидированный процесс управления проблемами.
- Централизованное отслеживание проблем и действий по устранению несоответствий требованиям регуляторов.
- Управление исключениями за счет принятия и согласования рисков.
- Экономия времени на изучение и понимание ключевых требований к контролям и управлению рисками.
- Отчетность и визуализация рисков.
Автоматизация процесса управления проблемами
Программный модуль RSA Archer Issues Management является базовым для многих других модулей RSA Archer. Он позволяет отслеживать любые проблемы или несоответствия и контролировать их устранение. Он позволяет работать с любым сценарием использования, включающим безопасность, риски и комплаенс. Данный модуль обнаруживает и консолидирует проблемы, связанные с инцидентами безопасности, сбойные или неэффективные внутренние средства контроля, а также исключения, которые требуют внимания или эскалации.
RSA Archer Issues Management позволяет каталогизировать результаты внутренних и внешних аудиторских проверок, вопросы нормативно-правового регулирования, а также самостоятельно определенные проблемы с управлением. С помощью этого решения можно определить подотчетность для решения проблем и отслеживать выполнение планов восстановления и соблюдение сроков. Надежная система подотчетности упрощает понимание всего объема нерешенных вопросов, приоритетов и сроков исправления для руководителей всех уровней.
Автоматизация процесса управления инцидентами
Программный модуль RSA Archer Security Incident Management позволяет реагировать на оповещения безопасности, используя управляемые процессы, предназначенные для эффективной эскалации, расследования и устранения инцидентов безопасности. Ресурсы организаций и ИТ-служб можно централизовано каталогизировать с учетом бизнес-контекста, чтобы гарантировать правильное определение приоритетов для событий, связанных с безопасностью. Встроенные рабочие процессы данного решения оптимизируют каталогизацию и позволяют командам специалистов эффективно работать, используя определенные процедуры реагирования на инциденты и их анализ. Все проблемы, связанные с расследованием инцидентов, можно отслеживать и контролировать на централизованном портале, чтобы обеспечить полную визуализацию и отчетность.
RSA Archer Security Incident Management обеспечивает:
- Централизованная каталогизация ресурсов организации и ИТ-службы.
- Центральное хранилище и таксономия для оповещений безопасности, а также интеграция с инфраструктурой SIEM, ведения журналов и сбора пакетов.
- Поддержка полного жизненного цикла реагирования на инциденты с несколькими уровнями рабочих процессов, а также процедурами эскалации и реагирования.
- Поддержка расследований инцидентов, включая отслеживание журналов и экспертного анализа инцидентов.
- Анализ инцидентов и отчетность.
Автоматизация процесса управления операциями
Программный модуль RSA Archer Security Operations and Breach Management позволяет интегрировать процесс реагирования на инциденты в процесс управления операциями по обеспечению безопасности. Он обеспечивает в том числе:
- Централизованная каталогизация ресурсов организации и ИТ-службы.
- Центральное хранилище и таксономия для оповещений безопасности, а также интеграция с инфраструктурой SIEM, ведения журналов и сбора сетевых пакетов.
- Определенные процедуры реагирования на инциденты безопасности.
- Инструменты управления центра обеспечения безопасности, в том числе уведомления, мониторинг эффективности управления, ключевые индикаторы производительности, управление персоналом и рабочими сменами.
Автоматизация процесса управления эффективностью контролей
Программный модуль RSA Archer IT Controls Assurance предоставляет возможность оценивать эффективность средств контроля и генерировать соответствующие отчеты на всех уровнях ИТ-ресурсов, а также обеспечивает автоматическое оценивание контролей и мониторинг. Это позволяет внедрить централизованную систему для каталогизации ИТ-ресурсов и формирования отчетов о комплаенсе, а также создать систему записей для документирования контролей.
Автоматизация процесса управления соблюдением нормативных требований
Программный модуль RSA Archer IT Regulatory Management предоставляет необходимые инструменты для документирования внешних нормативных обязательств, влияющих на ИТ-инфраструктуру. Таким образом создается база для гибкой платформы политик, позволяющей организациям эффективно управлять изменяющимися рисками, связанными с несоблюдением нормативных обязательств в сфере бизнеса и ИТ. Можно разработать процесс систематической проверки и утверждения с целью отслеживания изменений, вносимых в эти обязательства.
Решение RSA Archer IT Regulatory Management позволит вам оперативно предоставить высшему руководству и ИТ-службе эффективную схему действий по выполнению нормативных требований и других требований регуляторов. Улучшенная связь между обеспечением комплаенса в сфере ИТ и внутренними средствами контроля позволяет облегчить соблюдение требований регуляторов и помогает высшему руководству лучше понять возможные негативные последствия проблем, связанных с ИТ, для бизнеса. Таким образом создается база для гибкой платформы политик, которая позволяет эффективно управлять изменяющимися рисками, связанными с несоблюдением нормативных обязательств в сфере бизнеса и ИТ.
Автоматизация процесса управления соответствием
Онлайн сервис управления соответствием Protectiva Compliance Manager предназначен для контроля выполнения организациями требований законодательства, нормативно-правовой базы, стандартов, а также любых других требований, которые могут быть актуальны для организации. Он автоматизирует процесс прохождения опроса в режиме онлайн, в ходе которого пользователь дает оценку выполнения требований, и процесс формирования отчета о соответствии требованиям после прохождения опроса.
Сформированные Протективой отчеты о соответствии содержат детализированную картину выполнения организацией применимых требований нормативно-правовой базы и стандартов, показывают общий уровень соответствия, узкие места, а также содержат рекомендации по принятию организационных и технических мер, для обеспечения соответствия организации всем установленным требованиям.
Комплайенс система организации строиться путем интеграции модулей RSA Archer IT Controls Assurance и RSA Archer IT Regulatory Management с сервисом Protectiva Compliance Manager.
Александр Астахов, 2022