Журнал "Information Security/ Информационная безопасность" #3, 2021

вития системы защиты. В ней описаны: l контроли (требования регу- ляторов); l объекты контроля (то, к чему применяется данное требова- ние, а именно техническое сред- ство, ПО, процесс, документ, сотрудник и т.д.); l описание того, как эти требо- вания должны исполняться в Сбербанке (набор конкретных технических и/или организацион- ных характеристик, артефакты, подтверждающие соответствие); l процессы, в которых реали- зовано исполнение каждого тре- бования; l внутренние нормативные документы, где описано испол- нение каждого требования. Они обязывают всех сотрудников банка следовать установленным процессам; l подразделения, которые осу- ществляют исполнение требо- вания; l технические средства, обес- печивающие исполнение тре- бования и контролирующие это исполнение; l метрики соответствия для Сбербанка (это точные цифро- вые характеристики – при каких показателях можно считать, что соответствие требованию обес- печено). Задача подразделения ком- плаенса информационной без- опасности в том, чтобы совмест- но с профильными специали- стами зафиксировать тот кон- кретный способ соблюдения требования, который является наиболее эффективным, биз- нес-ориентированным и быст- рым для данной компании, но при этом обеспечивает полное соответствие требованию. Создание единого списка контролей позволяет оптими- зировать временные, трудовые и финансовые затраты. l Объединение дублирующих требований сокращает число внутренних проверок на 30%. l Выявление требований, не описанных в процессах и внут- ренних документах, позволяет найти и объединить существую- щие разовые решения, устано- вить и зафиксировать в про- цессах лучшие практики. Сокра- щает время принятия и согла- сования решений. l Определение объекта конт- роля помогает защитить именно то, что требуется. Необходимо понимать, какой именно объект должен соответствовать тому или иному требованию (это может быть сервер, сотрудник, документ и т.д.) l Точное описание способа реализации требования помо- гает в проведении внешних и внутренних аудитов и, главное, сокращает трудозатраты под- разделений при обеспечении безопасности. l Список конкретных метрик соответствия не только позво- ляет исполнителям понимать цели и настраивать свою рабо- ту, но и сокращает время про- верок, а с помощью автомати- зации трудозатраты по некото- рым проверкам можно сокра- тить на 90% (оставшиеся 10% – это разработка и актуализация самого алгоритма проверки и валидация результатов). l Определение подразделений, которые участвуют в обеспечении соответствия, помогает избежать ситуации, когда "знаем что, знаем как, есть ресурсы, но делать неко- му, или это делают все подряд". Даже самый прекрасно описан- ный процесс не работает без исполнителей, поэтому назначе- ние ответственного подразделе- ния является ключом к получению результата. l Определение способов конт- роля соответствия позволяет в режиме онлайн видеть не только разрозненные показа- тели, но и картину комплаенса в целом, а также возникающие риски, потребность в ресурсах. На текущий момент в "Единой контрольной среде" Сбербанка более 1500 требований. Но "Единая контрольная среда" постоянно развивается, потому что меняются как требования регуляторов, так и технологии Сбербанка. Поэтому 1500 тре- бований – не конечное число. 52 • УПРАВЛЕНИЕ Существует более 80 международных и россий- ских нормативно-правовых актов регуляторов, которым Сбербанк, как и другие организации финансово- кредитной сферы, должен соответствовать с точки зре- ния кибербезопасности. "Единая контрольная среда" – это ядро системы управления соответствием, инструмент развития систе- мы защиты. Задача подразделения комплаенса информацион- ной безопасности в том, чтобы совместно с профиль- ными специалистами зафик- сировать тот конкретный способ соблюдения требова- ния, который является наи- более эффективным, биз- нес-ориентированным и быстрым. Рис. 2. Уровни зрелости процессов комплаенс