− Александр, с 2012 года вы работаете в НПЦ «КСБ» над автоматизацией разработки документов по информационной безопасности. Расскажите, пожалуйста, о своём опыте и подходах, существующих в компании для решения проблемы автоматизации разработки документов по информационной безопасности.
− Опыт в этой сфере у нас достаточно огромный. Хочу немного остановиться на том, как мы вообще пришли к автоматизации. Изначально наша компания была небольшой и оказывала услуги по составлению документации. До моего прихода в компанию уже были выработаны определённые подходы к тому, как разработать и упростить подготовку документов.
Первый этап заключался в создании шаблонов документов и определении правил их заполнения. Сотрудники компании опрашивали специалистов по информационной безопасности на местах, выясняли, как они работают, какие данные обрабатывают, в каком объёме, кто это делает. Полученные сведения анализировались и вносились в документы вручную. Бывало, одну и ту же информацию вводили в разных представлениях, по разной структуре, в разном формате.
− Наверное, эта монотонность действий и подтолкнула компанию к мысли об автоматизации?
− Да, возможно. Мы поняли, что часть работы можно автоматизировать, и воспользовались стандартными механизмами работы в офисных пакетах (в Word, Excel). Вначале вносили информацию в различные экселевские таблицы, формировали данные, которые дальше подставляли в шаблоны. Этот процесс частичной автоматизации решал нашу проблему как компании, которая оказывала услуги.
Позже пришло понимание, что автоматизацию в подготовке документации можно внедрить не только у нас, но и у наших клиентов, чтобы они самостоятельно могли проводить эту работу на постоянной основе, не обращаясь к услугам каких-то третьих лиц.
− Нередко всё новое настораживает людей. С какими сложностями вы столкнулись на местах?
− На практике мы столкнулись с отторжением нашей идеи. Организации настаивали на том, что будут и дальше разрабатывать документы по информационной безопасности вручную. Тогда мы объясняли, что этот подход не совершенен и имеет много минусов. Первый – одни и те же данные описываются много раз и в каждом документе по-своему. По сути, речь идёт о том, что пользователь говорит об одном и том же, но в разных документах по-разному. Велика вероятность ошибиться. Второй – информация очень тяжело поддаётся анализу. Например, когда на основе этих данных необходимо сформировать какие-то отчёты. Эта проблема тесно связана с другой − данные могут рассинхронизироваться. Скажем, успел специалист обновить информацию по инфраструктуре в техническом паспорте, но в модель угроз изменения не внёс. Эти проблемы всплывают при подготовке различных форм отчётов, проверке регуляторов. Несогласованность информации – прямое нарушение требований законодательства. Ну и конечно, есть ещё один минус – излишнее выделение ресурсов и времени.
− Какой подход в автоматизации разработки документов по информационной безопасности вы решили реализовать в своём продукте?
− У нашего подхода значительно меньше проблем, потому что мы придерживаемся принципа одноразового описания для многократного использования. В рамках нашего программного комплекса АльфаДок специалист либо несколько специалистов, ответственных в организации за информационную безопасность, описывают реальное состояние организации на текущий момент времени на основе каких-то базовых объектов. По сути, фиксируют свои информационные системы, свои персональные данные, свои программы, которые используют, в понятном и доступном для них формате. И дальше эта информация самой программой в нашей системе анализируется и излагается в том формате, в котором это необходимо, в конечных документах. Допустим, нужна вам подробная информация в техническом паспорте по каждому компьютеру, там вы её и найдёте. Или сводная информация по инфраструктуре отобразится в модели угроз. При этом у нас не возникает разногласий, так как мы ориентируемся на один набор данных. Таким образом, описание происходит единожды в понятном для человека формате, а данные используются много раз. Так мы существенно освобождаем время специалиста, ответственного за информационную безопасность.
− А можно использовать ваш продукт в сложных организационных структурах?
− Да, мы работаем над автоматизацией разработки документов по информационной безопасности и на уровне региона или группы компаний. Комплексное внедрение позволяет стандартизировать описание информационных систем, форму и содержание документов, мониторинг и контроль деятельности подведомственных организаций. Это огромный плюс нашего продукта.
− Александр, скажите, пожалуйста, есть какие-нибудь риски в процессе автоматизации разработки документов?
− Автоматизация документации по информационной безопасности базируется на так называемых базовых шаблонах, в которые встраивается вся остальная информация. Риск возникает в части поддержки этого шаблона. Он должен соответствовать требованиям законодательства. Если базовый шаблон неактуальный, организацию могут наказать за невыполнение требований законодательства.
− А как вы решаете задачу по своевременному обновлению базовых шаблонов?
− В НПЦ «Кейсистемс – Безопасность» есть экспертная группа, которая следит за изменением нормативно-правовых актов, выявляет недоработки в формах документов и через отдел разработки доставляет до пользователя актуальные шаблоны. Раз в месяц наш продукт обновляется.
− И последний вопрос на сегодня. На какой стадии находится процесс автоматизации разработки документов по информационной безопасности в России?
− Хотя на рынке такие решения предлагаются с 2015 года, сейчас идёт стадия активного роста. В том числе это связано с появлением большого количества требований к службам, которые занимаются информационной безопасностью. Поэтому многие задачи стараются оптимизировать. Я бы сказал, что рынок еще не насыщен, перспективы для развития есть.
− Благодарю, Александр, на этой радостной ноте мы и завершим сегодня наше интервью.
В следующем выпуске Александр Иванов расскажет об автоматизации моделирования угроз. Не пропустите!
Беседовала Людмила Егорова
