ФСТЭК готовится оценивать уровень зрелости служб ИБ госорганов и КИИ

ФСТЭК объявила в конце мая о начале общественного обсуждения документа под названием «Методика оценки уровня зрелости деятельности в области технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры РФ» (КИИ РФ). Она не является обязательной к реализации, но вводит единые правила оценки для деятельности служб информационной безопасности в различных организациях.



Регулятор предлагает профильным специалистам принять участие в рассмотрении проекта указанного документа. Как сказано в информационном сообщении, замечания и предложения по доработке проекта методики принимаются до 8 июня.

Предполагается, что разрабатываемая методика будет использоваться как операторами КИИ, государственных информационных систем (ГИС) и персональных данных (ИСПДн) для самопроверки своей деятельности по технической защите информации, так и участниками рынка: подрядными и государственными организациями, а также проверяющими от той же ФСТЭК.

Документ ориентирован на операторов ИС и значимых объектов КИИ, на государственные органы и организации, в том числе субъекты КИИ, которые являются заказчиками услуг, на операторов информационных систем персональных данных и пр.

Ключевым показателем методики является уровень зрелости защиты информации (УЗИ), который характеризует качество данной деятельности и оказывает влияние на эффективность и результативность реализуемых мероприятий и соответствующих мер по защите информации. Он высчитывается по правилам, содержащимся в разработанной методике.

Предусмотрены пять уровней зрелости: нулевой (управление деятельностью не осуществляется, не соответствует требованиям), начальный (управление деятельностью формально осуществляется, соответствует требованиям, допускаются отдельные недостатки), системный (управление деятельностью осуществляется на системном уровне, реализованы все требования), контролируемый (выполняются периодические проверки) и верифицируемый (эффективность периодически проверяется с привлечением внешней, то есть, независимой организации).

Начальный уровень получается, когда в компании есть хотя бы минимальные процессы по документированию, планированию и инструментальной реализации защиты информации. Если в компании появляются специалисты с необходимой квалификацией и минимально внедряются механизмы контроля за деятельностью по защите, то уровень поднимается до системного. Если внедрить еще и обучение сотрудников, то этот показатель можно будет увеличить до контролируемого. А когда компания освоит механизмы внешнего аудита ИБ и оперативного усовершенствования защиты, то получит возможность перейти на высший, верифицируемый уровень зрелости по защите информации.

Правда, этот процесс нужно делать для каждого из следующих направлений деятельности:

• Организация и управление деятельностью;
• Выявление и оценка угроз безопасности информации;
• Контроль конфигураций информационных систем;
• Управление уязвимостями;
• Управление обновлениями;
• Защита информации при обращении с информацией ограниченного Доступа;
• Защита информации при применении конечных устройств;
• Защита информации при применении мобильных устройств;
• Защита удаленного доступа;
• Защита беспроводного доступа;
• Защита привилегированного доступа;
• Мониторинг информационной безопасности;
• Разработка безопасного программного обеспечения;
• Физическая защита;
• Непрерывность функционирования;
• Повышение уровня знаний и информированности;
• Защита информации при взаимодействии с подрядными организациями;
• Защита от компьютерных атак, направленных на отказ в обслуживании;
• Защита информации при использовании искусственного интеллекта;
• Защита информационных систем и содержащейся в них информации;
• Контроль уровня защищенности.

Причем отраслевые регуляторы могут и добавить свои уникальные направления деятельности. Для каждого из них необходимо провести независимую процедуру оценки и построить профиль уровня зрелости, который можно представить в том числе и в виде круговой диаграммы. В случае отсутствия необходимости реализации отдельных направлений деятельности ввиду особенностей функционирования оператора или его информационных систем, такие направления деятельности можно исключить из профиля.




Также в документе указано, что для ГИС 3 класса защищенности все УЗИ из профиля должны быть не меньше начального уровня, для второго – не ниже системного, а для первого – не меньше контролируемого.

«Сегодня у компаний разный уровень развития ИБ: от базовых мер до комплексных систем управления безопасностью, но единых критериев оценки этой зрелости фактически нет. Методика позволяет перейти от формального соответствия требованиям к более содержательной оценке, насколько процессы реально работают, управляются и развиваются». – отметил Кирилл Левкин, проджект-менеджер MD Audit.

По его словам, единые подходы к оценке зрелости важны для объектов КИИ, где недостаточно просто «внедрить средства защиты», необходимо также обеспечить эффективность их использования и непрерывность работы во времени. Актуальность разработки документа высока, поскольку рынок ИБ постепенно смещается от проверки наличия мер к оценке качества их реализации. Кроме того, растет потребность в сопоставимости разных организаций как со стороны регуляторов, так и со стороны бизнеса.

«Результат выполнения работ позволит выявлять слабые места в технической защите информации организации, наметить направления, требующие приложения усилий для улучшения текущего состояния дел в области технической защиты информации для достижения целевых показателей и составить план-график устранения выявленных недостатков, отследить динамику изменений в компании в части технической защиты информации на дальней дистанции», – заявил TAdviser Никита Фотин, ведущий инженер группы защиты АСУ ТП «Газинформсервис».

Он также отметил, что документ может повлиять на рынок двух крупных направлений ИБ: автоматизации отчетных документов, что может привести к появлению в системах класса SOAR/GRC функционала по оценке зрелости процессов ИБ, а также на ИБ-консалтинг, поскольку регулятор в самой методике допускает привлечение подрядчика к выполнению работ по оценке зрелости работ по технической защите информации.

«Документ актуален, потому что сейчас организациям недостаточно один раз выполнить требования регулятора. Для КИИ, ГИС и ИСПДн важны непрерывный контроль защищенности, способность поддерживать процессы ИБ в рабочем состоянии постоянно. В методике установлены рекомендуемые целевые уровни зрелости для различных уровней защищенности ИС, на которые должны ориентироваться операторы ГИС, ИСПДн и КИИ» – считает Алексей Романов, ведущий консультант по вопросам информационной безопасности IT Task.

Подробнее с документом можно ознакомиться по этой ссылке.