Андрей Бондюгин
Руководитель группы по сопровождению проектов защиты промышленных инфраструктур «Лаборатории Касперского»
Андрей Бондюгин присоединился к команде «Лаборатории Касперского» в 2020 году (направление Kaspersky Industrial CyberSecurity) и отвечает за техническое сопровождение проектов по решениям для защиты промышленных предприятий. До прихода в «Лабораторию Касперского» Андрей занимался развитием направления ИБ в одном из ведущих отечественных вендоров АСУ ТП, а также имел опыт работы аналитиком информационной безопасности.
Окончил Уральский федеральный университет по специальности «Информационная безопасность телекоммуникационных систем».
Рост количества атак и тренд на импортонезависимость, а также предпосылки, которые этому способствовали, порождают новые требования со стороны регуляторов. Компании не успевают следить за появлением нормативных актов и внесением изменений в них. В такой ситуации необходим навигатор. Андрей Бондюгин, руководитель группы по сопровождению проектов по защите промышленных инфраструктур в «Лаборатории Касперского», рассказал нам о том, как компания помогает заказчикам быть в курсе регуляторных новинок.
На конференции по кибербезопасности в Сочи была представлена платформа «Регуляторный хаб знаний в области информационной безопасности», где заказчики формируют задачи и комплексы мер по соответствию регуляторным требованиям. Что вдохновило вас на его создание?
А. Б.: Идея была в следующем: мы видим, что сейчас в России (и не только) существует ряд сложностей, связанных с анализом и выполнением требований регуляторов. Прежде всего это объясняется тем, что этих требований очень много. Кроме того, они написаны непростым юридическим языком и не систематизированы.
Также в них отсутствует отраслевая специфика. Даются лишь общие рекомендации и требования, без объяснения, что конкретно нужно сделать на том или ином типе объекта, чтобы обеспечить соответствие (комплаенс).
Мы решили создать платформу, на которой все эти требования будут систематизированы, а информация будет представлена в удобном, кратком и практичном виде. На сегодняшний день «Регуляторный хаб» реализован в виде открытого сайта, где можно применить набор фильтров и платформа предложит из всех существующих на сегодняшний день нормативных требований именно те, которым необходимо следовать именно вашей компании. Там же можно получить практические рекомендации, как эти требования выполнить.
Для этого нужно указать отрасль и цель: построение системы защиты, категорирование или подключение к ГосСОПКА, если мы говорим о критической информационной инфраструктуре. Ещё нужно выбрать тип объекта защиты: это может быть объект КИИ, информационная система персональных данных, государственная информационная система, АСУ ТП и так далее.
После того как требования будут максимально сужены, пользователь получит ответ в красивом и понятном виде. Можно будет открыть или скачать полный чек-лист (маппинг) мер из нормативных актов и конкретных продуктов, технологий и действий, которые можно применить и обеспечить комплаенс для своей инфраструктуры; при необходимости пользователь может ознакомиться с полной версией приказа или нормативного акта, перейдя по ссылке.
В каких нормативных документах отражена отраслевая специфика?
А. Б.: К сожалению, в существующих нормативных документах отраслевой специфики нет, мы пытаемся её привнести.
Во-первых, на платформе учитываются требования не только федеральных регуляторов, но ещё и отраслевых, таких как Минэнерго, Минздрав и другие.
Во-вторых, в рамках каждой отрасли мы фильтруем набор тех документов, которые к ней применимы. Например, 239-й приказ ФСТЭК России применим к объектам КИИ различной направленности, но есть и другие документы, например банковский ГОСТ Р 57580, который виден только если выбрать фильтр «Финансовая отрасль».
Нужно отметить: когда мы подсвечиваем рекомендации по реализации мер, которые изначально не имеют отраслевой специфики (как, например, в том же 239-м приказе), мы всегда учитываем особенности отрасли.
Так, требования по системе обнаружения вторжений, её наличию могут в корпоративных сетях финансовой организации реализовываться одним способом, а внутри периметра сети АСУ ТП — совсем другим. На уровне самого приказа этого нет, но на уровне тех рекомендаций, которые отражены на платформе, это предусматривается.
Для того чтобы создать такой маппинг нормативных требований для разных отраслей и задач, нужна высокая квалификация. Насколько «Лаборатория Касперского» как разработчик этой платформы гарантирует заказчикам корректную трактовку регулятивных норм?
А. Б.: Мы проделали большую системную работу по подготовке контента на нашей платформе. В этом проекте приняли участие несколько внутренних технических команд, а также центра по сертификации и соответствию стандартам. В итоге мы изучили всю базу регулятивных документов и эти знания вложили в нашу платформу.
С точки зрения нашей компетенции стоит подчеркнуть, что взаимодействие с регуляторами позволяет нам чётко осознавать ожидания и представления по поводу реализации различных мер. Это обеспечивает актуальность и практичность наших рекомендаций.
На презентации было показано, как регуляторные требования соотносятся с решениями и классами решений, с помощью которых их можно выполнить. Есть ли такие требования, для которых нет рекомендуемых решений?
А. Б.: Таких требований нет. В нашем портфеле сейчас очень много продуктов, с помощью которых можно реализовать требования законодательства.
При этом важно отметить, что весь комплаенс так обеспечить невозможно. Необходимо применять комплекс организационных мер, а также определённые узконаправленные нишевые решения, которых в настоящий момент нет в нашем портфолио. Примером может быть средство резервного копирования.
Чтобы обеспечить заказчику стопроцентно достоверную информацию, мы подсвечиваем те требования, для реализации которых можно привлечь партнёров, имеющих такие решения в своём портфеле.
Таким образом, на платформе нет «серых зон», когда требование есть, а рекомендации по его выполнению отсутствуют.
Как реализован выбор способов выполнения требований? Существуют ли альтернативные пути выполнения одного и того же требования?
А. Б.: Сейчас на платформе напротив требований стоят несколько «галочек», то есть одно и то же требование может быть выполнено как одним решением, так и несколькими. Это может быть сделано также и альтернативными путями, например организационными или компенсирующими мерами. Соответственно, у заказчика всегда есть выбор.
Сервис и платформа будут доступны уже в октябре, а что ещё планируется сделать до конца года? Добавится ли что-то?
А. Б.: Мы планируем расширять объём экспертизы, доступной пользователям на нашей платформе. Кроме того, появятся дополнительные функциональные возможности, например секция новостей, где всегда будут доступны актуальные обновления всех законов и постановлений. Таким образом, пользователи получат единый центр для мониторинга законодательства, что упростит процессы по соответствию требованиям.
Добавятся ли также отраслевые рекомендации?
А. Б.: Мы не ограничиваемся одними лишь обязательными требованиями и планируем публиковать также и рекомендации. Частично они уже представлены на платформе — например, как мы уже упомянули выше, банковский ГОСТ. Безусловно, список требований отраслевых регуляторов будет пополняться.
Прекрасная инициатива. Позвольте пожелать вам успехов в дальнейшем развитии этого сервиса, а нашим читателям мы, как всегда, желаем всего самого безопасного!
