ИБ и закон: как соблюдать регуляторные требования эффективно?

Практические задачи информационной безопасности тесно переплетены со сложным вопросом соответствия регуляторным требованиям. Законодатели и отраслевые регуляторы вполне резонно озабочены проблемами ИБ, поэтому в зависимости от размера компании и индустрии, в которой она работает, на нее могут распространяться десятки законов и подзаконных актов от 3–5 регуляторов. Всегда перегруженный отдел ИБ обязан выделить значительные ресурсы на то, чтобы разобраться в этой нормативной базе, а затем привести фактическое положение дел в соответствие с инструкциями. При этом в большинстве компаний возникают одни и те же проблемы:

• документы написаны сложным языком;
• трудно идентифицировать полный набор документов, которым нужно соответствовать;
• без отдельного исследования сложно определить взаимосвязи документов;
• документы не адаптированы под применение в конкретных отраслях. В них есть обобщенные рекомендации, но непонятно, как именно их реализовать в определенной отрасли.

Усугубляет проблему то, что регуляторные требования бывают направлены на достижение в компании совершенно различных целей: защиты инфраструктуры, надлежащего хранения и обработки персональных данных, классификации и категорирования и многого другого. В результате вникать в регуляторику приходится разным командам и людям, что многократно увеличивает затраты компании.

Чтобы сделать этот процесс более эффективным и быстрым, ИБ-командам можно помочь. Для этого кто-то должен:

• точно определить список регуляторов, законов и подзаконных актов, которые влияют на конкретную организацию;
• лаконично и практично ознакомить ответственных с требованиями этих нормативных документов;
• предоставить список мер, а в идеале — конкретных продуктов и решений, которые позволяют организации достичь желаемого статуса соответствия требованиям и защитить промышленную или корпоративную инфраструктуру.

Команда «Лаборатории Касперского» неоднократно проделывала эту работу в ручном режиме и поняла: вопрос настолько злободневный, что ему нужно комплексное решение. В результате мы разработали Регуляторный хаб знаний в области информационной безопасности, который помогает командам ИБ достичь соответствия проще и быстрее. При этом мы объединили накопленные экспертные знания по нормативным требованиям, продуктам и угрозам, чтобы представить по-настоящему комплексное решение в максимально удобном виде. Чем же отличается информация в хабе?

Отраслевая конкретика

В зависимости от сферы деятельности компании ей нужно следовать требованиям совершенно разных регуляторов — от ФСТЭК, Банка России и Роскомнадзора до Минздрава и Минтранса. При этом, разумеется, применимы Законы РФ, а также постановления Правительства РФ. Чтобы сразу отфильтровать только нужные документы, работа с Регуляторным хабом начинается с указания индустрии заказчика.

После выбора индустрии обязательно потребуется указать цели защиты. Их может быть несколько сразу, и для разных отраслей список будет отличаться. Такие цели, как подготовка к категорированию или интеграция с ГосСОПКА, не нуждаются в дальнейших уточнениях, а вот для задач, требующих создания системы ИБ, также нужно уточнить перечень объектов защиты.

Сразу после этого хаб отобразит перечень нормативных документов, распространяющихся на описанную ситуацию, и предложит сформировать набор организационных и технических мер для достижения поставленных целей.

Руководство к действию

Хотя прямо на страницах Регуляторного хаба перечислены решения для киберзащиты и реализации требований в соответствии с заданными целями, для детального анализа и внутренних обсуждений почти всегда требуется более подробный документ. Поэтому после установки фильтров по индустрии, целям и объектам защиты на хабе появляется кнопка «Сформировать набор мер». При ее нажатии будет сгенерирована подробная презентация в формате PDF, содержащая:

• краткое описание регуляторных документов, требования которых нужно соблюдать;
• перечень мероприятий, требуемых для защиты информации;
• обобщенную аналитику по реализации требований на основе решений «Лаборатории Касперского»;
• детальную многостраничную таблицу, перечисляющую все требуемые меры по каждому из мероприятий. Таблица поможет сориентироваться, какие решения — от организационных мер и узконаправленных технических инструментов до экосистемных продуктов Kaspersky — потребуется внедрить, чтобы достичь поставленных целей.

Понятные язык и структура

Большинство нормативных документов в Регуляторном хабе представлены в виде кратких обзоров. Это сильно экономит время на ознакомление с законом или подзаконным актом: на одной странице собраны основные положения нормативного акта, указания, кто должен его выполнять, объяснение используемых терминов и так далее. В конце всегда имеется ссылка на полную версию документа.

Ну а прямо на главной странице Регуляторного хаба имеется удобная интерактивная «карта законодательства», в которой перечислены все законы, все ключевые регуляторы и принятые ими подзаконные акты, а также связи между ними. Выбрав, например, ФЗ № 152 «О персональных данных», можно сразу увидеть весь регуляторный домен по персональным данным, в том числе приказы различных ведомств, связанных с исполнением этого закона.

Всегда свежая информация

Команда, наполняющая хаб, планирует постоянно обновлять и пополнять информацию по мере эволюции регуляторного ландшафта. Таким образом, на платформе можно получить практические рекомендации по выбору класса решения для реализации тех или иных требований.

Начните ознакомление с нормативной базой уже сегодня и не забывайте периодически наведываться, чтобы вовремя узнавать о нововведениях! Ответственность за несоблюдение требований нередко ужесточается, поэтому Регуляторный хаб точно имеет смысл внести в закладки.