Как правило, именно с аудитов начинается путь в так называемую «бумажную безопасность». Когда процесс выполняется не по внутренней инициативе, а из-за внешнего давления, организации зачастую фокусируются лишь на конечной цели — сдаче отчётности. При этом сам по себе аудит — сложный и ресурсоёмкий процесс. Поэтому закономерно возникает вопрос: если затраты неизбежны, можно ли извлечь из них больше практической пользы?
Грамотно выстроенный процесс оценки соответствия может дать не только «бумажный» результат в виде своевременно предоставленного регулятору отчёта, но и ощутимую пользу — помочь понять, какие меры действительно повышают уровень безопасности. Для этого важно выстроить взаимосвязь аудита с другими процессами информационной безопасности, чтобы результаты одного процесса обогащали другой, а не замыкались сами на себе.
Аудит и управление рисками: две стороны одной медали
Рассмотрим пример взаимосвязи аудита и управления рисками — двух процессов, которые часто воспринимаются как чисто формальные. На деле их конечная цель одинакова: не отчёт или графики, а улучшение состояния безопасности.
Ключевая задача аудита — определить перечень мероприятий по устранению замечаний. Цель оценки рисков – составить список мероприятий по их обработке. В обоих случаях подразделение ИБ получает дорожную карту с ответственными и сроками, за реализацией которой можно следить. Отчёты — лишь форма представления результата.
Следующий шаг — «подружить» результаты этих процессов между собой. И в том, и в другом случае устраняются слабые места системы ИБ. Это значит, что:
- мероприятия по обработке рисков могут способствовать выполнению нормативных требований;
- устранение замечаний может снижать вероятность реализации рисков.
Напрямую связывать эти списки не всегда удобно – нормативных актов много, рисков тоже, а формулировки мероприятий редко унифицированы. Проводить маппинг (сопоставление) каждый раз отнимает много времени. Решением может стать введение промежуточного звена – «защитная мера».
Защитные меры как мост между аудитом и рисками
Под «защитной мерой» обычно понимают сложившуюся практику, процедуру или механизм, направленные на обеспечение информационной безопасности. В процессе оценки рисков они традиционно используются для фиксации того, какие действия уже предприняты. Реже защитные меры встречаются в процессах аудита, хотя именно они могут служить универсальным языком связи между требованиями и реальной безопасностью.
Чтобы связать процессы проведения аудита и управления рисками, необходимо привести их результаты к защитным мерам. На практике это может выглядеть следующим образом.
Как объединить процессы через защитные меры
Этап 1. Подготовка
Создаётся каталог защитных мер, который будет использоваться в организации как некий единый справочник. Можно составить свой собственный или взять готовый (меры из БДУ ФСТЭК России, Приказы ФСТЭК России, CIS Controls и др.). Единые формулировки важны, чтобы они стали основной для взаимосвязи процессов.
Далее для каждой меры прописываются связи: какие риски ИБ она снижает и какие требования нормативных документов помогает выполнить.
Этап 2. Ведение реестра защитных мер
Для каждого актива должна храниться информация о реализованных мерах: статусная модель, информация об ответственных, также можно указывать ссылки на документы или объекты из корпоративных реестров. Такой учёт позволяет видеть текущее состояние защиты по каждому активу.
Этап 3. Интеграция защитных мер в процесс аудита
Во время аудита нужно проверить, реализовано ли требование через конкретную защитную меру:
- Если мера внедрена, требование считается выполненным.
- Если нет – она включается в план устранения замечаний.
Этап 4. Интеграция защитных мер в процесс оценки рисков
Ведение реестра защитных мер поможет быстрее определять, какие меры уже внедрены и какие риски будут снижены в результате внедрения. При формировании плана обработки нужно учитывать, какие меры отсутствуют на активе и планировать их внедрение.
Этап 5. Цикл взаимосвязи
Поскольку защитные меры встроены в оба процесса, выстраивается цикл взаимного обогащения данными: результаты аудита обогащают реестр защитных мер, а данные из реестра используются при новой оценке рисков.Таким образом, обеспечивается взаимосвязь между процессами.
Как SGRC помогает автоматизировать взаимосвязь
Связать все эти элементы вручную сложно. Здесь на помощь приходят системы класса SGRC. Если организация использует такой инструмент для проведения аудита и оценки рисков ИБ, все этапы и взаимосвязи, о которых мы говорили выше, будут уже проработаны и встроены в алгоритм работы программы.
В R-Vision SGRC предусмотрен встроенный перечень защитных мер, доступный «из коробки». Он включает:
- меры по Приказам ФСТЭК России №239 и №21,
- CIS Controls,
- типовой каталог, разработанный аналитиками R-Vision.
Также в системе реализованы каталоги рисков (включая БДУ ФСТЭК России), уже связанные с мерами.
В разделе «Защитные меры» формируется единый реестр данных обо всех реализованных и запланированных мерах. Информация в нём актуализируется автоматически – при проведении аудита на основании замечаний эксперта, по мере реализации мероприятий по обработке рисков, связанных с внедрением новых защитных мер.
Пользователь может посмотреть данные по общему количеству реализованных мер, а для каждой меры — количество активов, на которых она внедрена или запланирована. Это позволяет увидеть общую картину степени внедрения мер и сделать предварительные выводы без необходимости погружаться в детали.
Аналогично в свойствах каждого актива указан перечень актуальных защитных мер со статусом реализации, а свойствах каждого требования отображается список мер, которые уже внедрены на активе. Таким образом, при проведении аудита вся необходимая информация находится под рукой.
R-Vision SGRC автоматически отмечает требования аудита выполненными, если на активе уже есть необходимые защитные меры. Если нет, система предложит необходимые меры ко внедрению.
Все реализованные защитные меры автоматически учитываются в оценке рисков и влияют на расчёт итогового уровня рисков. Мероприятия, которые входят в план обработки рисков, также связаны с защитными мерами. По окончании их внедрения и закрытия соответствующей задачи, мера автоматически попадает в реестр и обогащает информацию по активу. Таким образом, результаты проведенного аудита помогают подготовиться к последующей оценке рисков, а результаты оценки рисков — к следующему аудиту.
Многие компании уже практикуют комбинированный подход, сопоставляя нормативные требования с защитными мерами. R-Vision SGRC помогает сделать естественным этот переход от формального соответствия к обеспечению практической защищенности: превратить обязательные процедуры в инструмент развития и источник реальной ценности.