Журнал "Information Security/ Информационная безопасность" #3, 2021

Использование "Единой контрольной среды" при автоматизации процесса управления соответствием Вследствие перехода многих сфер бизнеса в цифру компа- нии стали понимать, что соот- ветствовать требованиям кибер- безопасности нужно не ретро- спективно, а проактивно. Уже недостаточно раз в год прово- дить аудиты, просто делая срез, – это заведомо тупиковый и опасный путь. Система конт- роля соответствия призвана отслеживать состояние на дан- ный момент и предугадывать риски будущих несоответствий. В рамках международной практики выделено пять уров- ней зрелости процессов ком- плаенс (Рис. 2). В Сбербанке "Единая конт- рольная среда" проводит авто- проверку соответствия различ- ным требованиям, создает зада- чи по устранению нарушений и назначает за них ответственных сотрудников, попутно контро- лируя процесс. Это позволяет существенно сократить трудо- затраты на проведение прове- рок и устранение нарушений. Примеры автоматических проверок соответствия: l проверка полноты данных о конфигурационных элементах ИТ-инфраструктуры, а также соответствия настроек элемен- тов инфраструктуры установ- ленному шаблону (система сама ежедневно загружает данные и проверяет их по настроенным алгоритмам); l настройка единого автомати- ческого контроля для кластера похожих требований из разных нормативно-правовых актов (позволяет оптимизировать тру- дозатраты сотрудников и затра- ты времени работы контроли- рующего ПО); l автоматический сбор инфор- мации обо всех несоответствиях любого типа, как полностью по компании, так и в разрезе каж- дого нормативного акта (поз- воляет оптимизировать трудо- затраты при подготовке к ауди- там, при планировании меро- приятий по устранению несоот- ветствий и создать решения, которые закрывают несколько проблем сразу); l анкетирование представите- лей подразделений (система не только сама создает опрос в соответствии с однажды задан- ным графиком, но подгружает необходимый пул вопросов, рассылает их по списку участ- ников процесса и обрабатывает результаты, выдавая готовый итог аудитору); l актуализация процессов и документов – при любом изме- нении извне (требования НПА) или внутри компании (измене- ние скоупа автоматизирован- ных систем, организационной структуры, ИТ-инфраструктуры) система предлагает внести изменения в связанные про- цессы или внутренние докумен- ты, чтобы обеспечить непре- рывную плановую работу по комплаенс; l контроль и учет мероприятий по устранению несоответствий в связи с тем, что многие из них являются длительными разра- ботками, занимающими годы, многие привязаны к сроку сле- дующего аудита. Проводятся эти мероприятия в разных подраз- делениях, а отдельные задачи могут быть в работе у абсолютно не связанных с типовым про- цессом комплаенс сотрудников (значительно снижает трудозат- раты и риск упустить из виду какой-либо важный пункт работ). Будущее "Единой контрольной среды" Есть множество возможно- стей для дальнейшего развития "Единой контрольной среды". Во-первых, использование искусственного интеллекта. С помощью технологий искус- ственного интеллекта можно проводить автоматический ана- лиз новых требований регуля- торов и их связи с существую- щими процессами компании, что позволит частично уйти от ручного анализа. Искусствен- ный интеллект будет полезен в парсинге регуляторных стан- дартов и разбиении их на ато- марные требования, в класси- фикации требований, в опре- делении объекта соответствия и других свойств требования. Во-вторых, "Единая контроль- ная среда" является инструмен- том контроля выполнения в том числе внутренних требований кибербезопасности компании. Всем известно, что в этой сфере законодательство не успевает за изменениями и содержит только базовые требования, далеко не всегда обеспечивающие при- емлемый уровень безопасности для отдельных компаний. Если организация хочет быть защи- щенной, она всегда имеет свои собственные разработки и про- цессы, обеспечивающие безопас- ность ее деятельности, которые также нужно описывать, органи- зовывать и контролировать, и "Единая контрольная среда" иде- ально подходит для этой задачи. В-третьих, не лишним будет добавить в "Единую контроль- ную среду" требования регуля- торов в других сферах. Она содержит универсальные вопросы для любой области бизнеса. Можно взять соответ- ствие процесса лечения офи- циальным клиническим реко- мендациям или соответствие проведения закупочных проце- дур законодательству – в любом случае "Единая конт- рольная среда" поможет опти- мизировать процесс и снизить трудозатраты. l • 53 УПРАВЛЕНИЕ www.itsec.ru Вследствие перехода многих сфер бизнеса в цифру компании стали пони- мать, что соответствовать требованиям кибербезопас- ности нужно не ретроспек- тивно, а проактивно. Уже недостаточно раз в год про- водить аудиты, просто делая срез. "Единая контрольная среда" поможет оптимизиро- вать процесс и снизить тру- дозатраты. Рис. 3. Управление соответствием требованиям Ваше мнение и вопросы присылайте по адресу is@groteck.ru