Compliance as Code: автоматическая проверка инфраструктуры на соответствие стандартам и генерация отчетов

Развитие информационных технологий обусловлено желанием автоматизировать деятельность и повысить эффективность процессов, в том числе за счет снижения человеческих трудозатрат на рутинные задачи. Сфера информационной безопасности (далее – ИБ) не является исключением и также подвержена цифровой трансформации, причем не только с точки зрения развития технологий защиты (например, внедрение искусственного интеллекта в системы мониторинга). Обеспечение ИБ представляет собой комплекс технических и организационных мер и мероприятий, реализация которых подразумевает непрерывный и цикличный характер.

Так, комплексная ИБ включает в себя периодическое проведение контрольных мероприятий, таких как аудиты, оценки соответствия, тестирования на проникновения. Соответственно, одно из направлений цифровой трансформации в ИБ – это автоматизация контроля. Стоит отметить, что автоматизация контрольных мероприятий особенно актуальна для организаций, имеющих масштабную информационную инфраструктуру (далее – ИТ-инфраструктура), а также для холдингов или групп компаний. Актуальность обусловлена тем, что полная проверка компаний, включая филиалы, представительства и т.д., занимает длительное время и требует больших ресурсов (трудозатрат) от специалистов, которые непосредственно осуществляют контроль.

При этом необходимо понимать, что существует множество направлений для проведения контроля. В общем виде их можно разделить следующим образом:

• оценка соответствия законодательным и нормативно-правовым нормам;
• оценка соответствия лучшим практикам, методическим рекомендациям;
• оценка соответствия внутренним требованиям по ИБ;
• аудиты сетевой и инфраструктурной безопасности;
• анализ защищенности, тестирование на проникновение (пентесты), киберучения;
• аудиты отдельных процессов управления и обеспечения ИБ (например, безопасная разработка программного обеспечения, оценка деятельности операционного центра безопасности – Security Operations Center, SOC).

На текущий момент существуют системы класса SGRC (Security Governance, Risk and Compliance, пер.: управление безопасностью, рисками и соответствием законодательству), позволяющие централизовать и автоматизировать процессы управления ИБ. SGRC-системы реализуют функциональность для комплексного управления ИБ на уровне руководства и лиц, принимающих решения, в том числе для управления ИБ в дочерних предприятиях и иных зависимых лиц и структур (филиалы, представительства, обособленные подразделения). Так, SGRC-системы обеспечивают:

• управление информационными активами (учет, инвентаризация);
• управление уязвимостями (сканирование на уязвимости, контроль их устранения)
• управление рисками ИБ (идентификация, оценка, обработка);
• управление документами и версиями;
• соответствие нормативным требованиям по ИБ;
• постановку и контроль задач;
• формирование отчетных документов и графическое отображение результатов (диаграммы, графики, информационные панели).

С использованием SGRC-систем можно автоматизировать контрольные мероприятия, направленные на проведение оценок соответствия, то есть отслеживать комплаенс-риски и управлять ими. Системы включают в себя профили для проведения оценок на соответствие законодательным нормам, то есть перечень требований, реализацию которых необходимо проверить – требования по защите персональных данных, по безопасности критической информационной инфраструктуры, по защите информации в финансовых организациях, по защите государственных информационных систем и т.д. Стоит отметить, что такие профили формируются заранее командой вендора (разработчика системы), поэтому они представляют собой экспертные видения требований по нормативным правовым актам и различаются в SGRC-системах.

Однако SGRC-системы также реализуют функциональность для проведения аудитов по внутренним требованиям ИБ: в таком случае профили формируются на основе требований локальных нормативных актов компаний-заказчиков. На практике «внутренние» профили оценки могут быть интегрированы в систему либо на этапе внедрения, когда команда разработчика совместно с командой заказчика разрабатывают профиль, либо после внедрения на этапе эксплуатации, когда непосредственные аудиторы самостоятельно подгружают проверяемые меры (грубо говоря, существует кнопка «загрузить файл»). Итак, SGRC-системы позволяют проводить аудиты и оценки по единым критериям для группы ИТ-инфраструктур или совокупности зависимых (дочерних) структур.

Напомним, что обеспечение ИБ – это совокупность организационных и технических мер защиты. Соответственно, в рамках контрольных мероприятий надо проверить не только, какие средства защиты используются в организации, но и изучить процессы, проанализировать документы, оценить фактическое исполнение регламентированных правил и процедур. На текущий момент SGRC-системы позволяют автоматизировать инвентаризацию технических средств защиты. Так, можно просканировать ИТ-инфраструктуру и определить, на каких компонентах установлены средства защиты информации, а на каких отсутствуют; далее система автоматически сформирует результаты – отобразит зону покрытия и процентное соотношение (например, на 80% компонентах используется антивирусное программное обеспечение).

Однако для оценки технических мер необходимы четкие критерии, по которым можно сделать вывод о степени соответствия и, в целом, о применимости требования к конкретной системе. Так, отдельные средства защиты могут быть обязательны к использованию для одних информационных активов и необязательны для других (например, средства обнаружения и предупреждения вторжений по нормативным актам применяются в зависимости от классификации систем). Соответственно, необходимо четко ограничивать область инвентаризации и оценки, иначе можно получить оценку «не соответствует» для всей ИТ-инфраструктуры. Касательно критериев оценивания, то здесь так же необходимо определить границы, какие значения отображают полное или частичное соответствие, а какие несоответствие.

Например, для нижней границы «соответствия» можно установить, что на более чем 90% компонентов должно быть установлено средство защиты; если зона покрытия 75-90%, то тогда устанавливается частичное соответствие, в противном случае – несоответствие (то есть мера считается нереализованной). При этом все равно могут оставаться отдельные участки, на которых невозможно по каким-либо причинам реализовать техническую меру (например, из-за несовместимости средства защиты и защищаемого объекта). В таком случае требуется самостоятельно отобразить исключения в SGRC-системы, то есть в ручном режиме занести исключения и описать обоснование и компенсирующие меры.

Если говорить про организационные меры, то оценка их реализации требует аналитического мышления и умения работы как с документами, так и с людьми. Оценка реализации технических мер в большинстве случаев сводится к проверке наличия средств защиты на компонентах ИТ-инфраструктуры, однако оценить организационные меры не так легко. На практике при аудитах ИБ проводится анализ большого комплекта организационно-распорядительной, проектной, эксплуатационной и иной документации с учетом фактически осуществляемых процессов, правил и процедур. То есть осуществляется соответствие регламентации с реальностью. Для того чтобы оценить фактическое исполнение правил, проводятся интервьюирование и сбор подтверждающих свидетельств.

Например, в документах может быть установлено требование о проведении ежегодного анализа защищенности, тогда в рамках интервью будут задаваться вопросы о том, как проводится анализ защищенности, с какой периодичностью, кто участвует и т.д., а также будут запрашиваться доказательства в виде документов (приказы, отчеты, должностные инструкции и пр.). При этом не стоит забывать, что реализация отдельных мер и мероприятий базируется на осуществляемых технологических и бизнес-процессах. Так, например, политика обработки персональных данных и иные документы, регламентирующие обработку персональных данных, формируются на основе осуществляемых процессов – основания обработки, участие подразделений, перечень обрабатываемых данных и многое другое.

Поэтому чтобы проверить реализацию требований, установленных законодательством о защите персональных данных, необходимо детально погружаться в процессы обработки и защиты персональных данных, которые невозможно исследовать без проведения интервью. Соответственно, только по результатам комплексного анализа можно сделать вывод о соответствии или несоответствии требованию. Исходя из описанного, стоит понимать, что SGRC-системы не могут автоматизировать такую аналитическую деятельность: оценка организационных мер обеспечения ИБ осуществляется самостоятельно специалистами с последующим занесением данных в SGRC-систему. Можно предположить, что дальнейшее развитие SGRC-систем будет связано с применением технологий искусственного интеллекта, который сможет провести анализ документов и свидетельств. Однако для этого необходимо обучать интеллект на большом массиве данных, а также с учетом специфики деятельности отдельных компаний.

Несомненный плюс SGRC-систем заключается в возможности генерации отчетных документов, причем возможно создать не только отчеты об аудитах, но и шаблонные организационно-распорядительные документы (например, акты классификации, приказы о назначении ответственных). SGRC-системы автоматически формируют отчеты по результатам контрольных мероприятий или иные сводные отчеты на основе созданных шаблонов. Шаблоны отчетов так же могут быть сформированы командой разработчиков или адаптированы по желанию заказчика. Однако стоит понимать, что SGRC-системы формируют отчеты на основе данных, занесенных в систему; соответственно, необходимо осуществлять проверку сгенерированных отчетов на отсутствие логических и иных ошибок.

Таким образом, в настоящее время отдельные SGRC-системы имеют встроенную функциональность для автоматизированных проверок ИТ-инфраструктуры на соответствие требованиям. Однако все равно остаются места, требующие подключение специалиста для заполнения данных и их верификации и контроля. С использованием SGRC-систем возможно ускорить проведение оценок соответствия, но не стоит ожидать от них полную оценку без участия человека.

Автор: Лабынцева Наталья, ведущий консультант по информационной безопасности «КИТ».