Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Как достичь соответствия требованиям регуляторов в сфере ИБ | Блог Касперского

Как достичь соответствия требованиям регуляторов в сфере ИБ | Блог Касперского

Разбираемся, какие инструменты нужны, чтобы быстро ознакомиться с нормативной базой и перевести указания из нее в практическое русло

Практические задачи информационной безопасности тесно переплетены со сложным вопросом соответствия регуляторным требованиям. Законодатели и отраслевые регуляторы вполне резонно озабочены проблемами ИБ, поэтому в зависимости от размера компании и индустрии, в которой она работает, на нее могут распространяться десятки законов и подзаконных актов от 3–5 регуляторов. Всегда перегруженный отдел ИБ обязан выделить значительные ресурсы на то, чтобы разобраться в этой нормативной базе, а затем привести фактическое положение дел в соответствие с инструкциями. При этом в большинстве компаний возникают одни и те же проблемы:

  • документы написаны сложным языком;
  • трудно идентифицировать полный набор документов, которым нужно соответствовать;
  • без отдельного исследования сложно определить взаимосвязи документов;
  • документы не адаптированы под применение в конкретных отраслях. В них есть обобщенные рекомендации, но непонятно, как именно их реализовать в определенной отрасли.

Усугубляет проблему то, что регуляторные требования бывают направлены на достижение в компании совершенно различных целей: защиты инфраструктуры, надлежащего хранения и обработки персональных данных, классификации и категорирования и многого другого. В результате вникать в регуляторику приходится разным командам и людям, что многократно увеличивает затраты компании.

Чтобы сделать этот процесс более эффективным и быстрым, ИБ-командам можно помочь. Для этого кто-то должен:

  • точно определить список регуляторов, законов и подзаконных актов, которые влияют на конкретную организацию;
  • лаконично и практично ознакомить ответственных с требованиями этих нормативных документов;
  • предоставить список мер, а в идеале — конкретных продуктов и решений, которые позволяют организации достичь желаемого статуса соответствия требованиям и защитить промышленную или корпоративную инфраструктуру.

Команда «Лаборатории Касперского» неоднократно проделывала эту работу в ручном режиме и поняла: вопрос настолько злободневный, что ему нужно комплексное решение. В результате мы разработали Регуляторный хаб знаний в области информационной безопасности, который помогает командам ИБ достичь соответствия проще и быстрее. При этом мы объединили накопленные экспертные знания по нормативным требованиям, продуктам и угрозам, чтобы представить по-настоящему комплексное решение в максимально удобном виде. Чем же отличается информация в хабе?

Отраслевая конкретика

В зависимости от сферы деятельности компании ей нужно следовать требованиям совершенно разных регуляторов — от ФСТЭК, Банка России и Роскомнадзора до Минздрава и Минтранса. При этом, разумеется, применимы Законы РФ, а также постановления Правительства РФ. Чтобы сразу отфильтровать только нужные документы, работа с Регуляторным хабом начинается с указания индустрии заказчика.

Выбор отрасли

После выбора индустрии обязательно потребуется указать цели защиты. Их может быть несколько сразу, и для разных отраслей список будет отличаться. Такие цели, как подготовка к категорированию или интеграция с ГосСОПКА, не нуждаются в дальнейших уточнениях, а вот для задач, требующих создания системы ИБ, также нужно уточнить перечень объектов защиты.

Сразу после этого хаб отобразит перечень нормативных документов, распространяющихся на описанную ситуацию, и предложит сформировать набор организационных и технических мер для достижения поставленных целей.

Руководство к действию

Хотя прямо на страницах Регуляторного хаба перечислены решения для киберзащиты и реализации требований в соответствии с заданными целями, для детального анализа и внутренних обсуждений почти всегда требуется более подробный документ. Поэтому после установки фильтров по индустрии, целям и объектам защиты на хабе появляется кнопка «Сформировать набор мер». При ее нажатии будет сгенерирована подробная презентация в формате PDF, содержащая:

  • краткое описание регуляторных документов, требования которых нужно соблюдать;
  • перечень мероприятий, требуемых для защиты информации;
  • обобщенную аналитику по реализации требований на основе решений «Лаборатории Касперского»;
  • детальную многостраничную таблицу, перечисляющую все требуемые меры по каждому из мероприятий. Таблица поможет сориентироваться, какие решения — от организационных мер и узконаправленных технических инструментов до экосистемных продуктов Kaspersky — потребуется внедрить, чтобы достичь поставленных целей.

Выбор целей защиты

Понятные язык и структура

Большинство нормативных документов в Регуляторном хабе представлены в виде кратких обзоров. Это сильно экономит время на ознакомление с законом или подзаконным актом: на одной странице собраны основные положения нормативного акта, указания, кто должен его выполнять, объяснение используемых терминов и так далее. В конце всегда имеется ссылка на полную версию документа.

Приказ 524

Ну а прямо на главной странице Регуляторного хаба имеется удобная интерактивная «карта законодательства», в которой перечислены все законы, все ключевые регуляторы и принятые ими подзаконные акты, а также связи между ними. Выбрав, например, ФЗ № 152 «О персональных данных», можно сразу увидеть весь регуляторный домен по персональным данным, в том числе приказы различных ведомств, связанных с исполнением этого закона.

Интерактивная карта законодательства.

Всегда свежая информация

Команда, наполняющая хаб, планирует постоянно обновлять и пополнять информацию по мере эволюции регуляторного ландшафта. Таким образом, на платформе можно получить практические рекомендации по выбору класса решения для реализации тех или иных требований.

Начните ознакомление с нормативной базой уже сегодня и не забывайте периодически наведываться, чтобы вовремя узнавать о нововведениях! Ответственность за несоблюдение требований нередко ужесточается, поэтому Регуляторный хаб точно имеет смысл внести в закладки.


Источник: Лаборатория Касперского

21.11.2023