Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Как достичь соответствия требованиям регуляторов в сфере ИБ | Блог Касперского
Разбираемся, какие инструменты нужны, чтобы быстро ознакомиться с нормативной базой и перевести указания из нее в практическое русло
Практические задачи информационной безопасности тесно переплетены со сложным вопросом соответствия регуляторным требованиям. Законодатели и отраслевые регуляторы вполне резонно озабочены проблемами ИБ, поэтому в зависимости от размера компании и индустрии, в которой она работает, на нее могут распространяться десятки законов и подзаконных актов от 3–5 регуляторов. Всегда перегруженный отдел ИБ обязан выделить значительные ресурсы на то, чтобы разобраться в этой нормативной базе, а затем привести фактическое положение дел в соответствие с инструкциями. При этом в большинстве компаний возникают одни и те же проблемы:
- документы написаны сложным языком;
- трудно идентифицировать полный набор документов, которым нужно соответствовать;
- без отдельного исследования сложно определить взаимосвязи документов;
- документы не адаптированы под применение в конкретных отраслях. В них есть обобщенные рекомендации, но непонятно, как именно их реализовать в определенной отрасли.
Усугубляет проблему то, что регуляторные требования бывают направлены на достижение в компании совершенно различных целей: защиты инфраструктуры, надлежащего хранения и обработки персональных данных, классификации и категорирования и многого другого. В результате вникать в регуляторику приходится разным командам и людям, что многократно увеличивает затраты компании.
Чтобы сделать этот процесс более эффективным и быстрым, ИБ-командам можно помочь. Для этого кто-то должен:
- точно определить список регуляторов, законов и подзаконных актов, которые влияют на конкретную организацию;
- лаконично и практично ознакомить ответственных с требованиями этих нормативных документов;
- предоставить список мер, а в идеале — конкретных продуктов и решений, которые позволяют организации достичь желаемого статуса соответствия требованиям и защитить промышленную или корпоративную инфраструктуру.
Команда «Лаборатории Касперского» неоднократно проделывала эту работу в ручном режиме и поняла: вопрос настолько злободневный, что ему нужно комплексное решение. В результате мы разработали Регуляторный хаб знаний в области информационной безопасности, который помогает командам ИБ достичь соответствия проще и быстрее. При этом мы объединили накопленные экспертные знания по нормативным требованиям, продуктам и угрозам, чтобы представить по-настоящему комплексное решение в максимально удобном виде. Чем же отличается информация в хабе?
Отраслевая конкретика
В зависимости от сферы деятельности компании ей нужно следовать требованиям совершенно разных регуляторов — от ФСТЭК, Банка России и Роскомнадзора до Минздрава и Минтранса. При этом, разумеется, применимы Законы РФ, а также постановления Правительства РФ. Чтобы сразу отфильтровать только нужные документы, работа с Регуляторным хабом начинается с указания индустрии заказчика.
После выбора индустрии обязательно потребуется указать цели защиты. Их может быть несколько сразу, и для разных отраслей список будет отличаться. Такие цели, как подготовка к категорированию или интеграция с ГосСОПКА, не нуждаются в дальнейших уточнениях, а вот для задач, требующих создания системы ИБ, также нужно уточнить перечень объектов защиты.
Сразу после этого хаб отобразит перечень нормативных документов, распространяющихся на описанную ситуацию, и предложит сформировать набор организационных и технических мер для достижения поставленных целей.
Руководство к действию
Хотя прямо на страницах Регуляторного хаба перечислены решения для киберзащиты и реализации требований в соответствии с заданными целями, для детального анализа и внутренних обсуждений почти всегда требуется более подробный документ. Поэтому после установки фильтров по индустрии, целям и объектам защиты на хабе появляется кнопка «Сформировать набор мер». При ее нажатии будет сгенерирована подробная презентация в формате PDF, содержащая:
- краткое описание регуляторных документов, требования которых нужно соблюдать;
- перечень мероприятий, требуемых для защиты информации;
- обобщенную аналитику по реализации требований на основе решений «Лаборатории Касперского»;
- детальную многостраничную таблицу, перечисляющую все требуемые меры по каждому из мероприятий. Таблица поможет сориентироваться, какие решения — от организационных мер и узконаправленных технических инструментов до экосистемных продуктов Kaspersky — потребуется внедрить, чтобы достичь поставленных целей.
Понятные язык и структура
Большинство нормативных документов в Регуляторном хабе представлены в виде кратких обзоров. Это сильно экономит время на ознакомление с законом или подзаконным актом: на одной странице собраны основные положения нормативного акта, указания, кто должен его выполнять, объяснение используемых терминов и так далее. В конце всегда имеется ссылка на полную версию документа.
Ну а прямо на главной странице Регуляторного хаба имеется удобная интерактивная «карта законодательства», в которой перечислены все законы, все ключевые регуляторы и принятые ими подзаконные акты, а также связи между ними. Выбрав, например, ФЗ № 152 «О персональных данных», можно сразу увидеть весь регуляторный домен по персональным данным, в том числе приказы различных ведомств, связанных с исполнением этого закона.
Всегда свежая информация
Команда, наполняющая хаб, планирует постоянно обновлять и пополнять информацию по мере эволюции регуляторного ландшафта. Таким образом, на платформе можно получить практические рекомендации по выбору класса решения для реализации тех или иных требований.
Начните ознакомление с нормативной базой уже сегодня и не забывайте периодически наведываться, чтобы вовремя узнавать о нововведениях! Ответственность за несоблюдение требований нередко ужесточается, поэтому Регуляторный хаб точно имеет смысл внести в закладки.
Источник: Лаборатория Касперского
21.11.2023