Федор Музалевский, RTM Group: Если хочешь, чтобы тебя поняли, надо говорить не своими словами, а словами собеседника

Требования регуляторов не всегда понятны, встречаются разночтения, а иногда они и вовсе противоречат друг другу. Как адаптировать требования информационной безопасности в понятные регламенты для сотрудников, что отличает неэффективные регламенты и с чего начать писать внутренние документы, порталу Cyber Media рассказал Федор Музалевский, директор технического департамента RTM Group.

Cyber Media: В основе требований ИБ часто лежат более высокоуровневые документы, например, нормативные акты. Какой путь они проходят внутри компании, пока не становятся понятными для разработчиков и линейных сотрудников регламентами, требованиями?

Федор Музалевский: Прежде всего нужно разделить нормативные акты на государственные, которые нам дает правительство, ФСТЭК и так далее, и локальные, которые мы пишем самостоятельно. Последние, как правило, базируются на законодательных и призваны упростить понимание казенного языка.

Государственные документы бывают разные. Это может быть федеральный закон, например, ФЗ №187 «О безопасности критической информационной инфраструктуры Российской Федерации». А может быть постановление Правительства, в котором описан порядок категорирования и более низкоуровневые документы. Их уже читать и понимать проще.

Если мы говорим про документы внутри организации, то принято выделять 4 уровня: политики, частные политики, регламенты и приказы. Политики — самый верхний уровень — это максимально общие документы, которые пишутся не для исполнения конкретными сотрудниками. Они отражают представление высшего руководства о компании, их пожелания, о том, как должно быть.

Следующий уровень — частные политики, которые затрагивают уже конкретные области. Есть, например, частная политика информационной безопасности по использованию криптографических средств. С этим документом должны ознакомиться руководители отделов, чтобы понимать, зачем они все это делают.

Далее следуют два уровня, которые предназначены для конечных сотрудников. Это регламенты-инструкции и приказы-акты. Во вторых все максимально подробно и просто расписано, с учетом конкретных требований и технологий, которые применяются в организации.

Пишутся документы именно сверху вниз: сначала политика, потом частные политики, потом регламенты и инструкции, а потом уже приказы. Иначе не получится. Например, несколько лет назад ЦБ внедрял первые большие сложные положения, и некоторые сотрудники ИБ-службы банков пытались запихнуть все, что нужно, в политику информационной безопасности. У них получался такой монстр Франкенштейна, который был абсолютно нечитаем, его невозможно было модифицировать. И, разумеется, он не работал.

Cyber Media: Насколько часто встречаются кейсы, когда специалисты по-разному трактуют требования ИБ и по-разному их реализуют? С чем это связано? Можете ли привести пример?

Федор Музалевский: Внутри организации это очень редко встречается: как правило, в ИБ есть определенная иерархия, и все подчиняются руководству. А вот трактовки законодательных требований встречаются очень разные и очень часто. Например, один из самых больших объемных документов по ИБ — ГОСТ Р 57580 — содержит порядка 600 мер. Бесспорных из них - меньше половины. Это вызвано тем, что при написании стандарта или законодательного акта должны быть учтены другие нормативно-правовые акты, а сам документ написан достаточно универсально под разные технологии, бизнес-процессы. Именно из-за этой универсальности и появляются споры.

Или вот более конкретный пример. Банк России требует от финансовых организаций, чтобы они проводили оценку соответствия ПО ГОСТ Р ИСО/МЭК 15408 или сертификацию. В одном из документов было написано, что сертификация делается по приказу ФСТЭК. Одни считали, что можно выбрать оценку или сертификацию, а другие, что должна быть только сертификация, из-за того, что указан приказ ФСТЭК. Со временем ЦБ выпустил изменения, в которых пояснил, что сертификация проводится, если принято соответствующее решение, и неоднозначность была снята, но таких пунктов достаточно много.

К сожалению, наши госорганы не спешат выпускать исправления и комментарии, поэтому есть разночтения. И причины у них вполне очевидные. В этой ситуации тем, кто должен исполнять эти нормативные требования, следует больше общаться между собой. А тем, кто уже прошел проверку, например, делиться информацией. Это было бы оптимально.

Cyber Media: Что делать, если самостоятельно не получается разобраться?

Федор Музалевский: Если разобраться не получается, то юридически правильно будет написать письменный запрос регулятору, который этот нормативно-правовой акт выпустил. Но некоторые не хотят этого делать, просто зажмуриваются и ждут проверку. Вот этот вариант мне кажется неправильным. А делать письменный запрос — это вполне нормально.

Наши госорганы, в частности, ФСТЭК и Центробанк, достаточно оперативно и охотно отвечают на запросы. Проблема в том, что они не всегда могут понять их. Например, мы не сошлись в трактовке и сформулировали запрос так, что читающий не понял, чего от него хотят. К сожалению, это не редкость. Но это не повод опускать руки — можно написать уточняющий запрос еще раз.

С разъяснениями есть достаточно курьезная история, когда в 2019 году выходило много документов от ЦБ и был спорным вопрос о сроках проведения оценки по ГОСТ Р 57580. Ассоциация банков России обратилась в ЦБ за разъяснениями, надо ли это делать с 1.01.2020 или в течение двух лет с 1.01.2020. Пришел ответ, что нужно делать с 1 января 2020. Спустя год на аналогичный запрос от другой ассоциации пришел диаметрально противоположный ответ — надо делать в течение двух лет с 1 января 2020 года. У меня возникла мысль посмотреть, кто отвечал. Оказалось, что подпись стоит одного и того же человека. Возможно, в реальности комментировали разные люди. Это тот случай, когда официальные ответы противоречат один другому и не дают ясности.

Cyber Media: Что отличает компетентно составленные требования ИБ от неэффективных документов, которые работают только формально?

Федор Музалевский: Здесь, наверное, речь идет уже про внутренние документы, так называемые ОРД (организационно-распорядительная документация) или ЛНПА (локальный нормативно-правовой акт). Именно локальные документы отличаются своей эффективностью.

Если документ составлен только для того, чтобы под ним подписались и убрали на полку, то он неэффективен. Например, если он учитывает реальный процесс в компании: условно, есть администратор антивируса, и он раз в неделю проверяет, что на всех компьютерах обновлены базы. Как он это делает, уже неважно. Но если такого человека в организации нет, то может хоть 20 документов лежать. Повторюсь, эффективный регламент — это тот, который отражает реальные процессы в организации. Нельзя сначала написать документ, чтобы потом все под него подстраивались, выполняли. Надо сначала настроить процесс, а потом его регламентировать. Этот подход, к сожалению, крайне редко применяется, но я надеюсь, что мы к нему все придем.

Cyber Media: С чего начинать и как работать без регламента, пока процесс не выстроен?

Федор Музалевский: Процессы бывают разные и начинать надо с тех, которые можно быстро настроить. Например, антивирусное решение. А вот процессы, которые делаются раз в год, вроде контроля исполнения других требований, можно отложить на потом. Кстати, когда внедрялся ГОСТ Р 57580 в банках, все грамотные безопасники пошли именно по этому пути — сделали максимум в короткое время, и какие-то нюансы оттачивали позже. Добавление изменений в уже существующий документ или создание примечаний, вспомогательных актов очень хорошо реализуется через ту четырехуровневую модель, о которой я говорил раньше.

Cyber Media: Не вызывает ли такое добавление и изменение регламентов путаницу у специалистов?

Федор Музалевский: На самом деле вызывает, но это проблема не регламентов, а организации вообще. Если мы изменяем один регламент в месяц и он касается 10-15 человек для организации, в которой работает 500 человек, то это капля в море. Это не должно быть проблемой. Если мы меняем регламент работы для 15 человек в организации, где работает 20 человек, то это может вызвать трудности. Здесь речь идет об операционной гибкости организации. К сожалению, многие к этому не готовы. Но сейчас приходят на помощь различные платформы электронного документооборота, системы обучения с планировщиками. Мы назначаем человеку ознакомиться с новым материалом, а задача появляется у него в календаре. Эти электронные помощники добавляют гибкости организациям, и в первую очередь это заметно на процессах IT и ИБ.

Cyber Media: По разным причинам сотрудник может открыть документ, но не прочитать его, а задачу пометить как выполненную. Как контролировать знания регламентов сотрудниками?

Федор Музалевский: Должны проводиться обучение и аттестация, причем не после изменений в документах, а постоянно. То есть это может быть обучение информационной безопасности, активные продажи, взаимодействие с клиентами, неважно. Сотрудники должны понимать, какими инструментами пользуется компания, и знать, как их применять. Это не должно зависеть от изменений в регламентах, необходим постоянный процесс обучения и контроля.

Cyber Media: Какие типовые ошибки совершают специалисты при разработке требований и регламентов ИБ для ИТ-отдела или других специалистов организации?

Федор Музалевский: Основная ошибка — писать регламенты без учета реальных процессов. То есть человек не понимает, как что-то работает сейчас, и пытается написать, как это должно работать. И эти две вещи могут быть несовместимы. Вторая проблема в том, что, как правило, документы готовят люди не с филологическим образованием и без глубоких знаний в области, для которой пишут регламент. Например, когда ИБ-специалисты пишут для ИБ, то получается более менее нормально. Но если безопасники пишут для IT, то начинается беда. Как минимум, обнаруживается разница в терминологических понятиях. Например, мы говорим «объект доступа», а IT говорят «хост». Есть хорошая поговорка: если хочешь, чтобы тебя поняли, говори не своими словами, а словами того, кто должен тебя понять. Это хотелось бы донести до всех, кто пишет документы.

Cyber Media: А как избежать этих ситуаций, ошибок?

Федор Музалевский: Здесь нужно отметить, что составление документов — не для всех. Если на сотрудника повесили эту задачу, это не значит, что он подпрыгнет выше головы и напишет. Как минимум, у человека должны быть знания в области, для которой он пишет.

Второе - это непосредственное участие того, для кого пишутся документы. У составителя должны быть как минимум какие-то контакты этого отдела, а не так, что один человек сидит в Новосибирске, другой в Чебоксарах, а третий вообще приходящий сисадмин.

Вообще, у нас аутсорсинг набирает обороты. В случае, когда обращаются к нам за такой услугой, у нас уже есть полуготовые документы, которые можно условно в течение месяца адаптировать под организацию. И мы знаем, где у этих документов подводные камни, знаем, что нужно подсветить на обучении. А если человек это будет делать самостоятельно даже по шаблону, то у него это займет не месяц, а полгода, и все равно эффективность будет не так высока.

Cyber Media: Как выглядит составление регламента на аутсорсе для компаний? Вы говорили, что перед созданием документа должны быть выстроены процессы. А если процессы не выстроены?

Федор Музалевский: Мы можем и процессы выстроить, но по нашей части, например, которые касаются информационной безопасности. Если мы работаем как аутсорсинг, то приходим и изучаем процессы, затем делаем план того, как надо. Причем «как надо» может быть в соответствии с требованиями законодательства, лучшими практиками, пожеланиями генерального директора. Пишем «как надо» и готовим документы, которые описывают, как перейти от того, что есть, к «как надо».

Cyber Media: Какими рекомендациями и лайфхаками в части написания требований ИБ вы могли бы поделиться или отнести к лучшим практикам?

Федор Музалевский: Есть небольшой частный совет, но он может быть многим полезен. Например, мы пишем инструкцию по использованию того или иного инструмента, например, антивируса или межсетевого экрана. Если мы хотим ускорить процесс, нужно написать первую страничку: кто, что и когда делает. А затем - КАК делает - приложить скриншоты с того, как уже настроено. Это сэкономит кучу времени и нервов.