Практическая реализация законодательных требований в ИБ-сфере – важнейшая тема, которая требует многостороннего обсуждения. Для обмена опытом и мнениями по вопросам, связанными с последними изменениями в законодательстве и перспективами развития регуляторики, а также созданием инфраструктуры для исполнения требований встретились различные участники ИБ-рынка: представители регуляторов, представители поднадзорных организаций из финансовой отрасли, промышленности, здравоохранения, энергетики, транспорта и других отраслей КИИ), а также консультанты и аудиторы по ИБ. Важно, что среди участников были не только специалисты по информационной безопасности, но и ИТ-специалисты, рисковики, внутренние аудиторы, что говорит о кросс-функциональном значении информационной безопасности в организациях.
Ключевая дискуссия «Регуляторика как эффективный инструмент взаимодействия» состоялась в рамках пленарного заседания. В дискуссии приняли участие представители Минцифры и Банка России, а также эксперты отрасли информационной безопасности: Андрей Выборнов, заместитель директора Департамента информационной безопасности Банка России; Евгений Хасин, заместитель директора Департамента обеспечения кибербезопасности Минцифры России; Александр Баранов, академик Академии криптографии РФ; Алексей Петухов, руководитель Центра компетенций «Кибербезопасность» НТИ Энерджинет; Александр Товстолип, руководитель Управления информационной безопасности Ассоциации ФинТех. Эксперты подняли вопрос эффективного взаимодействия между регуляторами и поднадзорными организациями на всем жизненном цикле законодательных требований – от появления потребности в них до их реализации и последующего совершенствования.
На дискуссии обсудили возможности перераспределения регуляторной нагрузки. Потребность в регуляторных ИБ-требованиях основана на трех уровнях потребностей: государства, бизнеса и гражданина. При этом, по мнению большей части сообщества основная нагрузка по реализации ложится именно на бизнес. Представители Минцифры и Банка России справедливо заметили, что государство также в большом объеме инвестирует в развитие информационной безопасности, начиная от создания технологий, заканчивая реализацией программ bug bounty.
Также на сессии был поднят вопрос об участии сообщества в разработке смыслов для регуляторных требований. В настоящее время есть действующие механизмы по внесению предложений со стороны поднадзорных организаций через технические комитеты и рабочие группы напрямую или через ассоциации. При этом, есть отрасли критической инфраструктуры, в которых эти процессы хорошо поставлены со стороны самих поднадзорных организаций (например, из финансовой отрасли или энергетики), а есть те, которые только входят в эти процессы.
На этом фоне развернулась дискуссия по возможности саморегуляции по вопросам информационной безопасности. Здесь мнение участников дискуссии разделилось, так как саморегуляция возможна только при передачи этой функции со стороны отраслевого регулятора. Если для организаций, разрабатывающих и внедряющих ИБ-решения, а также оказывающих ИБ-услуги, это гипотетически возможно, то для субъектов КИИ это кажется сложно организуемым, и, главное, эффективность и безопасность этого процесса вызывает сомнения.
Вторая часть конференции была наполнена тематическими сессиями. На них говорили о практическом исполнении требований по информационной безопасности в сфере КИИ, требований по операционной надежности и киберрискам в финансовой отрасли, были разобраны лучшие практики и нормативы безопасной разработки, а также вопросы комплаенса и оценки соответствия.
Сессия 1. КИИ – теория и практика исполнения законодательства
В ходе секции был представлен доклад ФСТЭК России об изменениях в законодательстве, а также практике проверок регулятора по исполнению требований в части КИИ. Представитель ФСТЭК России принял активное участие в дискуссии, в частности, дал пояснения по работе региональных отделов ФСТЭК России в режиме «оказания помощи» субъектам КИИ и по вопросам выбора объектов для категорирования.
Две основные ветки работы с объектами КИИ – категорирование и защита значимых объектов были рассмотрены с трёх сторон: с точки зрения законодательства, аудиторов-лицензиатов ФСТЭК России и субъектов КИИ. Были рассмотрены типовые ошибки, выявленные в ходе проверок нескольких сотен субъектов КИИ. Участниками секции были сформулированы общие проблемные места для субъектов: подход к формированию комиссии по категорированию, а также подход к самому категорированию как к разовой задаче, а не процессу.
Сессия 2. Финансовая отрасль: операционная надежность и киберриски
В рамках сессии для финансовой отрасли по вопросам регулирования обеспечения операционной надежности и управления рисками информационных угроз были представлены доклады по практической реализации требований со стороны внешних консультантов и аудиторов, а также прошел круглый стол, на котором представители финансовых организаций поделились своим опытом реализации соответствующих требований.
Открывал сессию представитель Банка России, который в своем регуляторном докладе осветил ключевые вопросы создания системы управления операционным риском. Им были озвучены актуальные сценарии, которые приводят к нарушению операционной надежности, финансовым потерям самой организации, а также потерям клиентов финансовых организаций. Особое внимание было уделено взаимодействию с поставщиками ИТ и облачных услуг в разрезе управления рисками аутсорсинга. В настоящее время рассматривается законопроект о внесении изменений в отдельные законодательные акты РФ, которые направлены на устранение правовых коллизий, связанных с передачей банковской и других видов тайн, что позволит передавать часть технологических процессов внешним организациям.
В этой же секции выступил Александр Моисеев, ведущий консультант по информационной безопасности AKTIV.CONSULTING. В своем докладе «Практика идентификации и управления изменениями элементов критичной архитектуры для финансовых организаций» эксперт рассказал о практике внедрения двух новых процессоров из нового стандарта ГОСТ Р 57580.4 по операционной надежности для финансовых организаций (ФО). В докладе был сделан упор на ключевые идеи, которые должны быть реализованы в ФО, примеры ведения записей по ОН в информационных системах класса SGRC, а также приведены схемы возможного построения бизнес-процессов и дан ряд рекомендаций.
Сессия 3. Безопасная разработка — лучшие практики и нормативы сезона 2023-2024
В ходе сессии эксперты рассмотрели процессы безопасной разработки программного обеспечения (БРПО) с точки зрения регуляторных требований и их практического применения. Открывал сессию обзор эволюции требований и принципиальных подходов к управлению процессами БРПО, после которого на прикладном уровне были разобраны AppSec и DevSecOps.
На примере Security Champions была рассмотрена проблема кадрового голода и разобраны типичные ошибки в мотивации разработчиков уделять больше внимания вопросам информационной безопасности. Были разобраны стратегии внедрения DevSecOps в организации, и необходимость обоснования экономической целесообразности подобного внедрения. Помимо этого, эксперты поделились опытом синтеза практик безопасной разработки и Agile-методологий, подробно рассмотрев сценарий реализации на примере требований Профиля защиты Банка России.
Здесь же прозвучал второй доклад Александра Моисеева, ведущего консультанта по информационной безопасности AKTIV.CONSULTING, — «Особенности реализации требований к безопасной разработке ПО в промышленных организациях». Во время выступления спикер раскрыл сразу две темы. Первая — какие особенности и требования присущи процессам разработки ПО для промышленных организаций с точки зрения безопасности, какие средства и практики безопасности используются на этапах жизненного цикла, а также предложен ряд рекомендаций; вторая — каким образом можно выполнить проверки безопасности прикладного ПО на ЗО КИИ, если оно является «унаследованным», т. е. поддержка разработчика и исходный код которых более недоступны, приведены рекомендации по проведению инструментальных проверок безопасности методом «graybox», проиллюстрирован пример файлового фаззинга приложения.
Сессия 4. Комплаенс и оценка соответствия
На секции эксперты рассмотрели актуальные вопросы выполнения требований регуляторов и построения процессов комплаенса. Представители финансовых организаций поделились проблемами реализации требований по информационной безопасности и опытом их решений. В свою очередь, практикующие комплаенс-аудиторы рассказали о проведении оценок соответствия, в том числе рассмотрели динамику изменений результатов за последние несколько лет.
Помимо этого, обсуждалась проблема нехватки кадровых ресурсов для обеспечения ИБ и комплаенса, а также способы ее решения: путем отдачи части ИТ/ИБ-процессов на аутсорсинг и с помощью автоматизации внутренних процессов в целях снижения нагрузки.
В завершении секции состоялась дискуссия, на которой представители финансовых организаций и аудиторы разобрали примеры типовых нарушений при аудите, спорных вопросов комплаенса и оценок соответствия.