Необходимость приведения информационных систем в соответствие с требованиями Федерального закона № 152 сейчас является одним из драйверов рынка ИБ в России. Мероприятия, проводимые в процессе достижения этого соответствия, могут помочь усовершенствовать систему ИБ и получить поддержку от высшего руководства.
Реализация требований закона № ФЗ-152 должна быть органично вписана в общий план управления ИТ-рисками организации. Только тогда в результате удастся не только снизить риски, связанные с действиями регуляторов, но и повысить реальную защищенность ИТ-активов компании. Чтобы реализовать этот подход, в процессе анализа рисков для ИТ-активов необходимо выделить активы, на которые распространяются требования закона № ФЗ-152, и не только определить для них угрозы, связанные непосредственно с нарушением ИБ, но и оценить влияние этих угроз на выполнение требований законодательства в области защиты ПДн. А при работе над общим планом обработки рисков выделить действия, направленные как на снижение общего уровня ИТ-рисков, так и на выполнение законодательных требований и рассмотреть вопрос повышения приоритета именно для этих действий. Результаты создания систем защиты ИСПДн, направленного на соответствие требованиям закона № 152-ФЗ, могут повторно использоваться в следующих случаях:
- собранная и упорядоченная информация о ИТ-активах, обрабатывающих персональные данные, – при категорировании активов и анализе ИТ-рисков;
- схемы информационных потоков и вычислительных сетей, описание структуры ИСПДн и их взаимодействия, – при проектировании и внедрении различных систем ИБ в компании;
- модели угроз ИСПДн – в процессе анализа рисков;
- информация об организации управления ИБ – в процессе создания системы менеджмента ИБ в компании;
- нормативно-методическая документация по организации защиты ИСПДн – в качестве основы для разработки комплекта документации, необходимой для функционирования системы менеджмента ИБ в компании.
Повышать эффективность проектов по созданию систем защиты ИСПДн, реализующих требования закона № ФЗ-152, я предлагаю с помощью следующих действий:
- вся собираемая в процессе проведения обследования и описании ИСПДн информация должна фиксироваться, систематизироваться и храниться в качестве исходных данных для будущих проектов;
- риски, связанные с невыполнением требований закона № 152-ФЗ, должны быть оценены, для их обработки должны быть разработаны мероприятия, согласованные с общим планом обработки ИТ-рисков;
- мероприятия по защите ИСПДн и обеспечению выполнения требований закона № 152-ФЗ (выполняемые как часть общего плана обработки ИТ-рисков) должны приводить не только к обеспечению формального соответствия, но и к реальному снижению уровня ИТ-рисков. Для этого при выборе применяемых СЗ ИСПДн необходимо также оценивать эффективность применяемых средств для снижения смежных групп ИТ-рисков;
- разрабатываемые модели угроз должны учитывать не только требования регулирующих органов, но и угрозы и уязвимости, выявленные ранее в процессе анализа ИТ-рисков компании, если такой проводился. При этом в случае выявления неучтенных ранее уязвимостей информация о них должна передаваться ответственному за управление ИТ-рисками;
- разрабатываемая нормативно-методическая документация должна не только соответствовать требованиям регуляторов в области защиты ИСПДн, но и органично вписываться в существующую структуру управления ИБ в компании;
- результаты внедрения и функционирования СЗ ИСПДн должны оцениваться с точки зрения влияния на уровень ИБ в компании в целом.
Таким образом, создаваемая система защиты ИСПДн в компании должна стать частью комплексной системы ИБ, управляемой на основе результатов анализа рисков. Использование приведенных выше рекомендаций поможет не только создать задел для будущих проектов в области ИБ, но и сделать существующую систему ИБ более прозрачной и эффективной.