Самостоятельный аудит информационной безопасности объектов критической информационной инфраструктуры (КИИ) обычно напоминает испытание на выносливость: проверки могут занимать до полугода, большая часть работы делается вручную, а результаты на бумаге получаются далекими от реального состояния защиты. Не спасает даже утвержденный регламент, потому что на деле аудиторы даже внутри одной компании нередко используют разные подходы к проверке, что еще сильнее усиливает разночтение в оценках.
Рассказываем, как CheckU — программное решение для самостоятельного контроля соответствия требованиям информационной безопасности (ИБ) — снижает нагрузку на команду, унифицирует разрозненные процессы и помогает решить другие проблемы аудита объектов КИИ.
Как устроен CheckU: централизованный контроль и автономность работы
Решение разработано Центром кибербезопасности УЦСБ и основано на 18-летней практике аудитов ИБ объектов КИИ, систем обработки персональных данных (ПДн), требований ЦБ РФ в части ИБ и других видов проверок для предприятий разных отраслей: от нефтегазовой и энергетической до финансовой и телекоммуникационной. CheckU представлен в трех исполнениях, которые дополняют друг друга и позволяют реализовать разные подходы к аудиту:
- центральный сервер — устанавливается в головном офисе компании: проверяет все объекты, консолидирует результаты и формирует аналитику. Также с его помощью распределяются задачи по контролю между филиалами и отслеживается статус выполнения;
- мобильный комплекс — применяется для локальных оффлайн-проверок в недоступных по сети объектах и затем синхронизируется с центральным сервером;
- автономный портативный клиент — «облегченная» версия центрального сервера для проверок организационных требований одного объекта.
Разберем четыре проблемы аудита информационной безопасности на объектах КИИ и покажем, как они решаются с помощью CheckU.
Проблема 1. Ограниченность ресурсов и большая продолжительность аудита
Аудит ИБ на объектах КИИ может растянуться почти на полгода. Сроки увеличиваются из-за трудоемкости процесса: низкая скорость сбора данных, дублирование работ, сверка параметров, подготовка таблиц и отчетов затягивают проверку и приводят к ошибкам. При этом чем больше объектов у компании, тем выше трудозатраты и риски появления неточностей из-за человеческого фактора.
Решение CheckU: автоматизация проверок
Благодаря автоматизации технических и организационных проверок аудит компании со 100% покрытием требований проходит в три раза быстрее по сравнению со стандартными методами. Инструмент автоматизирует более 80% процессов контроля, поэтому во время проверки аудитору не нужно делать кропотливую ручную работу.
При технической проверке CheckU автоматически выявляет несоответствия требованиям ИБ по направлениям: настройки ИБ-инструментов и СрЗИ, их интеграция с общесистемным и прикладным ПО, конфигурация защищаемого ландшафта, а также соблюдение требований нормативных правовых актов.
При организационной проверке выполнение мер верифицируется с помощью автоматизированного заполнения опросных листов. В них громоздкие юридические формулировки переведены в понятные предложения и сведены к простым ответам «да» или «нет». Это делает проще работу с нормативными требованиями: формулировки без двусмысленностей облегчают проверку и снижают риск некорректных трактовок и разночтений между результатами проверяющих.
Еще один плюс решения — возможность как полного, так и частичного внедрения технических и организационных проверок.
Проблема 2. Расхождение между техническими и организационными мерами
В ходе аудита технические меры оцениваются сканерами уязвимостей и конфигураций, системами контроля трафика и другими решениями. Организационные меры фиксируются в документах и таблицах. При этом даже внутри одной компании подходы разных аудиторов к оценке могут отличаться.
Ситуация усугубляется тем, что результаты проверок сопоставляются не в единой системе и оформляются на бумаге. В результате реальное состояние соответствия требованиям ИБ искажается — на бумаге все хорошо, а на деле соотвествие лишь формальное.
Решение CheckU: объединение всех мер в одной системе
Инструмент унифицирует процесс аудита и собирает в одном окне данные о технических параметрах и организационных мерах: парольную политику рабочих мест объекта КИИ, журналы учета пользователей, внутренние приказы и многое другое. Это устраняет случаи, когда по документам все выполнено, но в журнале событий нет записи о срабатывании средства защиты, реализующего соответствующую техническую меру, и наоборот.
CheckU учитывает все категории мер — от внутренних регламентов до нормативных правовых актов, включая изменения последних. Обновления мер в системе позволяют актуализировать проверку и поддерживать соответствие действующим требованиям ИБ.
Проблема 3. Непрозрачность и разрозненность процессов аудита
Часто у компаний нет единого шаблона и методик для проведения проверок. Даже если регламент выполнения аудита формально принят, то из-за отсутствия автоматизированного шаблона проверяющие используют разные инструменты: бумажные акты, Excel-таблицы или придумывают что-то свое. По этим причинам некоторые меры не учитываются, проверка затягивается и аудит дает противоречивые результаты.
В итоге руководство не видит единой картины соблюдения требований, включая динамику изменений в конкретных филиалах и всего предприятия в целом.
Решение CheckU: один инструмент для всех проверяющих
Комплекс обеспечивает единый подход к аудиту. Решение гибко интегрируется в сложившиеся бизнес-процессы компании, а методики оценки и шаблоны проверки разрабатываются с учетом зрелости ее информационной безопасности, ИТ-инфраструктуры, отраслевой специфики и существующих организационных мер. Все специалисты работают с одинаковым инструментом, в котором уже заложен регламент проверки, что исключает разночтения.
Результаты проверок отображаются на едином портале c интерактивными дашбордами. CheckU выявляет и приоритизирует несоответствия, а также дает рекомендации, что нужно исправить в первую очередь. Далее специалисты внутренней службы ИБ формируют меры по устранению несоответствий. Такой подход к аудиту делает его прозрачным и структурированным.
Пользователям решения доступен широкой спектр метрик: уровень защищенности по компании, аналитика регресса и прогресса за квартал, сравнение подразделений и многое другое.
Интерактивные дашборды дают наглядную картину текущего уровня соответствия требованиям ИБ. Это облегчает принятие взвешенных управленческих решений.
Проблема 4. Повышенная нагрузка на персонал из-за территориальной распределенности объектов
У компании может быть большое количество филиалов по всей стране и все они должны соответствовать единым требованиям. Проверить их удаленно практически невозможно, поэтому специалистам необходимо выезжать на каждый объект.
Поездки требуют времени и значительных ресурсов: нужно распределить аудиторов по объектам, затем добраться до места, там выделить необходимые инструменты и провести проверку по регламентам. Дополнительные сложности вызывают ограниченные сроки и технические возможности для выездной проверки. В итоге на аудит уходит много времени, к тому же обилие рутины увеличивает риск появления ошибок из-за человеческого фактора
Решение CheckU: упрощение выездных проверок и равномерное распределение ресурсов
Возможность установки CheckU на объекте не только снимает часть нагрузки с команды, но и позволяет эффективнее планировать распределение ее ресурсов.
Часть аудита можно передать менее квалифицированным сотрудникам, потому что система автоматически собирает все данные и формирует отчеты. При таком подходе более ценным специалистам можно поручать больше стратегических задач. Кроме того, появляется возможность перераспределить фонд оплаты труда на другие направления, что актуально для развития компании.
Небольшая команда может реализовать больше проверок — аудит сумеет провести даже один человек, так как для работы с инструментом не нужно много людей, которым требуется система контроля и руководства.
Простота и удобство CheckU дают сотрудникам больше мотивации для работы, потому что им не нужно разбираться в сложных юридических тонкостях и технических деталях. В итоге аудит проводится быстрее, а его результаты получаются более прозрачными и точными.
Итог: быстрый, удобный и прозрачный аудит
Благодаря CheckU компании могут перейти от долгих, трудоемких и разрозненных проверок к автоматизированному и упорядоченному аудиту, который поможет проконтролировать соответствие требованиям ИБ, подготовиться к проверкам федеральных органов и повысить эффективность работы команд.
Оставить заявку на демонстрацию CheckU можно здесь.