Семинар 01 июня 2017 года.

1. Автоматизация процессов управления
ИБ в АСУ ТП на базе ПО ePlat4m
Алексей Липатов
Директор по
развитию, к.т.н.
ePlat4m 01.06.2017
www.eplat4m.ru

2. 2
Общие сведения о проекте ePlat4m
1. Старт проекта ePlat4m – январь 2014 г.
2. Класс продукта – ИАС по ИБ (Security GRC)
3. Вендор – ООО «КИТ» (Компания Информационных
Технологий). Головной офис – г. Екатеринбург
4. Направление деятельности ООО «КИТ» – разработка,
внедрение и техподдержка ПО ePlat4m для управления ИБ
5. Лицензии ООО «КИТ»: ФСТЭК России и ФСБ России на
деятельность по защите конфиденциальной информации
6. Заказчики ООО «КИТ»: предприятия ТЭК (крупнейший в
России проект внедрения Security GRC) и энергетики,
органы государственной власти, организации финансового
сектора, промышленные предприятия

3. 3
Структура СУИБ организации
Средства обеспечения
ИБ
Процессы управления и
обеспечения ИБ Персонал
Законодательные
и бизнес-
требования
Информационная
безопасность
Повышение
эффективности работы с
помощью ePlat4m
Повышение
эффективности
реализации с помощью
ePlat4m

4. 4
Проблематика
§ Каковы финансовые затраты на Систему ИБ?
§ Как ИБ влияет на производственные (бизнес)
процессы?
§ Обладаю ли я информацией для принятия
управленческих решений? И т.д.
Проблемы руководства
§ Как определить риски ИБ?
§ Как определить критичность активов
организации и все ли активы учтены?
§ Соблюдены ли необходимые требования по ИБ?
§ Представлен ли руководству план обработки
рисков ИБ?
§ Ознакомлены ли пользователи с требованиями
ИБ?
§ Как давно обновлялась документация ИБ и
соответствует ли она текущим НПА? И т.д.
Проблемы ИБ специалистов
§ Что делать в случае инцидентов ИБ и куда
обращаться?
§ Где взять документацию по ИБ?
§ Кто отвечает за ИБ в организации?
Проблемы пользователей
§ К чему приведет отключение сервера на N часов
при проведении плановых работ?
§ Как и где вести учет обработанных инцидентов
ИБ?
§ Сколько времени у меня есть на «поднятие»
сервиса (ИТ-услуги) в случае критичного
инцидента, чтобы не нанести значительный
ущерб производственному процессу?
§ Кто является владельцем информационного
актива? И т.д.
Проблемы ИТ специалистов

5. 5
Требования ФСТЭК России к процессам ИБ в
АСУ ТП (1 из 2)
№
п/п
Модуль ePlat4m
Наличие требования по
реализации процесса ИБ
Обоснование
требования
1.
Управление инцидентами
ИБ
РСБ.0, РСБ.1, РСБ.2, РСБ.3,
РСБ.4, РСБ.5, РСБ.7, ИНЦ.0,
ИНЦ.1, ИНЦ.2, ИНЦ.3, ИНЦ.4,
ИНЦ.5, ИНЦ.6
п. 15.2, 16.5, 16.6,
18.5, 18.20 Приказа
ФСТЭК России
№ 31
2.
Управление
уязвимостями
АНЗ.0, АНЗ.1, АНЗ.2, АНЗ.3,
АНЗ.4
п. 15.2, 15.7, 16.1,
16.8, 18.5, 18.8
3.
Работа с персоналом и
третьими сторонами по
вопросам ИБ
ИПО.0, ИПО.1, ИПО.2 п. 15.2, 16.3, 18.18
4.
Управление
непрерывностью
деятельности
ДНС.0, ДНС.1, ДНС.2, ДНС.5 п. 15.2, 16.2, 18.17
5. Управление рисками ИБ УБИ.0, УБИ.1, УБИ.2
п. 13.3, 15.2, 16.1,
16.4, 18.19

6. 6
Требования ФСТЭК России к процессам ИБ в
АСУ ТП (2 из 2)
№
п/п
Модуль ePlat4m
Наличие требования по
реализации процесса ИБ
Обоснование
требования
6.
Управление носителями
информации
ЗНИ.0, ЗНИ.1, ЗНИ.2
п. 18.4 Приказа
ФСТЭК России
№ 31
7.
Управление соответствием
требованиям ИБ
АНЗ.0, ПЛН.3 п. 15.2, 16.1, 16.8
8. Управление аудитами ИБ АНЗ.0, ПЛН.3
п. 15.2, 16.1, 16.8,
18.5
9.
Мониторинг
эффективности процессов
ИБ
ПЛН.3 п. 15.2, 16.1, 16.8
10.
Управление документацией
по ИБ
ПЛН.0, ПЛН.1, ПЛН.2, ПЛН.3,
УКФ.4
п. 14.2, 15.2, 18.16

7. 7
GRC (Governance, Risk, Compliance)
C
R
Корпоративное управление
Цели, политики, стандарты
Процессы управления
Управление соответствием
Законодательные требования
Корпоративные стандарты
Самооценки, аудиты
Управление рисками
Финансовые
Правовые
Информационные
GRC-системы разделяются по назначению:
• управление финансовыми рисками и аудитами
• соблюдение законодательных требований
• управление ИТ
• управление ИБ
Реализуется на базе ePlat4m

8. 8
Назначение ePlat4m
1. Автоматизация процессов управления и обеспечения ИБ -
кастомизированные или стандартные модули
2. Организация совместной работы различных категорий
пользователей:
• высшее руководство
• подразделения ИТ
• подразделения ИБ
• работники организации
3. Централизованное хранение информации по вопросам ИБ
4. Автоматизированный сбор и систематизация данных из
внешних систем
5. Представление информации в графическом, табличном и ином
удобном виде

9. 9
Позиционирование ePlat4m
GRC:
ePlat4m
Средства мониторинга ИБ и
контроля состояния ИБ +
процессы обеспечения ИБ
SIEM, DLP, IDM, VM
Базовые средства ИБ, встроенные механизмы
защиты в АСУ ТП и ИТ-инфраструктуру
ERP, СЭД, Service Desk, системы
инвентаризации, электронная почта, AD, МЭ, IPS,
антивирус
Модули
управления ИБ
ePlat4m
Модули
обеспечения ИБ
ePlat4m

10. 10
Возможности платформы ePlat4m

11. 11
Прикладная функциональность – модули
ePlat4m
Модуль Функционал модуля
Управление классификацией
ИТ-активов
Автоматизирует процессы управления классификацией
информационных и физических активов
Управление рисками ИБ
Автоматизирует процессы идентификации, анализа, оценки
и обработки рисков ИБ
Управление инцидентами ИБ
Автоматизирует процессы регистрации, обработки
инцидентов ИБ, оповещения о них, хранения статистики и
результатов расследования инцидентов
Управление персоналом и
третьими сторонами по
вопросам ИБ
Автоматизирует процессы доведения ОРД по ИБ до
работников и контрагентов организации, контроль знаний
работников организации требований по ИБ
Управление соответствием
требованиям ИБ
Автоматизирует процессы внутреннего аудита и оценки
соответствия СУИБ организации требованиям по ИБ
Мониторинг эффективности
процессов ИБ
Автоматизирует процессы оценки результативности и
эффективности процессов обеспечения и управления ИБ
Управление защитой ПДн Автоматизирует процессы защиты ПДн
Другие модули Другие модули ePlat4m

12. 12
Модуль управления классификацией ИТ-активов
Функции модуля:
1. Централизованный учет технических средств, ПО и
информационных активов
2. Расчет критичности с точки зрения бизнеса АСУ ТП и
сервисов
3. Сбор и хранение информации об ИТ-активах от внешних
систем (например, MaxPatrol, RedCheck)
4. Формирование уведомлений о внесенных изменениях и
необходимости актуализации данных
5. Формирование отчетности

13. 13
Модуль управления классификацией ИТ-активов
– экранная форма

14. 14
Модуль управления рисками ИБ
Функции модуля:
1. Формирование справочников угроз ИБ, уязвимостей АСУ
ТП и сервисов, негативных последствий
2. Автоматизированная оценка рисков ИБ на основе
задаваемой методики
3. Формирование плана обработки рисков ИБ
4. Учет и контроль задач по обработке рисков ИБ
5. Формирование отчетности

15. 15
Модуль управления рисками ИБ – экранная
форма

16. 16
Модуль управления инцидентами ИБ
Функции модуля:
1. Создание информационных карт по инцидентам ИБ, в т.ч.
в рамках интеграции с SIEM (например, ArcSight ECM,
Splunk)
2. Обработка данных об инцидентах ИБ
3. Учет привлекаемых лиц, проводимых мероприятий и их
результатов, а также принятых решений в процессе
обработки инцидентов ИБ
4. Уведомление ответственных лиц об инцидентах ИБ
5. Формирование отчетности

17. 17
Модуль управления персоналом и третьими
сторонами по вопросам ИБ
Функции модуля:
1. Ввод и хранение информационных карточек работников, в
т.ч. в рамках интеграции с MS Active Directory
2. Информирование, обучение, тестирование работников по
ИБ и хранение его результатов
3. Ввод и хранение информационных карточек третьих
сторон
4. Учет доступа работников к информационным активам

18. 18
Модуль управления соответствием требованиям
ИБ
Функции модуля:
1. Формирование требований по ИБ на основе внешних
документов по ИБ и локальных документов по ИБ
2. Выполнение контроля соответствия защитных мер
установленным требованиям по ИБ
3. Контроль соответствия ИТ-активов техническим
требованиям по ИБ в рамках интеграции с системой
оценки защищенности (например, MaxPatrol, RedCheck)
4. Формирование отчетности

19. 19
Модуль управления соответствием требованиям
ИБ – экранная форма

20. 20
Модуль мониторинга эффективности процессов
ИБ
Функции модуля:
1. Создание метрик измерения эффективности процессов
управления и обеспечения ИБ
2. Внесение данных для расчета метрик
3. Автоматический расчет эффективности выполнения
процессов управления ИБ по имеющимся данным на
основе установленных метрик
4. Сравнение текущих метрик с предыдущими периодами
5. Формирование отчетности

21. 21
Геоинформационный модуль
Функции модуля:
1. Отображение на карте
расположения
программных и
аппаратных средств
защиты информации, а
также объектов
информатизации
организации
2. Отображение на карте
статуса работы ПО АСУ
ТП организации, их
доступности и
нахождения в
аварийном состоянии

22. 22
«Дорожная карта» развития ePlat4m
Разработка модулей:
1. Операционная деятельность подразделения ИБ
2. Управление документацией по ИБ
3. Управление проектами по созданию и сопровождению
подсистем ИБ
4. Управление аудитами ИБ
5. Оценка зрелости организации в области ИБ
6. Управление уязвимостями
7. Управление непрерывностью бизнеса в части ИБ
Разработка типовых конфигураций:
1. Защита информации в ГИС / МИС
2. Защита информации в АСУ ТП / КСИИ
3. Защита информации в банковской сфере

23. 23
Опыт внедрения ePlat4m в ведущем
предприятии ТЭК
Задача: совершенствование процессов управления ИТ-активами,
управления инцидентами ИБ и управления соответствием требований по
ИБ для ЦА и дочерних обществ
До внедрения ePlat4m:
1. Сложности с централизованным
управлением ИБ в дочерних
обществах
2. Недостаток информации для
принятия взвешенных
управленческих решений по ИБ
3. Большое количество рутинной
бумажной работ по ИБ
4. Сложности с учетом ИТ-активов
После внедрения ePlat4m:
1. Предоставление руководству,
ИБ и ИТ-подразделениям
эффективного инструмента
централизованного управления ИБ
в ЦА и дочерних обществах
2. Повышение зрелости процессов
управления ИБ
3. Снижение количества ошибок и
рутинной работы по ИБ

24. 24
Опыт внедрения ePlat4m в органе
государственной власти крупного субъекта РФ
Задача: повысить уровень соответствия подведомственных организаций
требованиям регуляторов и совершенствование процессов ИБ в рамках
SOC
До внедрения ePlat4m:
1. Сложности в сборе и анализе
информации о текущем состоянии
ИБ в подведомственных
организациях (более 1,5 тыс.)
2. Большое количество бумажной
работы по ИБ
3. Децентрализованное хранение
информации по ИБ
4. Сложности в постановке задач
После внедрения ePlat4m:
1. Централизованное хранение
информации по ИБ и быстрое
формирование необходимой
отчетности
2. Формирование и контроль за
показателями защищенности ИС
подведомственных предприятий
3. Повышение эффективности
реагирования на инциденты ИБ

25. 25
Опыт внедрения ePlat4m в ведущем
предприятии цветной металлургии
Задача: выбирать цели по ИБ и планировать деятельность по их
достижению, с учетом возможных рисков, при этом осуществлять
деятельность так, чтобы соблюсти установленные правила по ИБ
До внедрения ePlat4m:
1. Отсутствие у руководства
действенного инструмента
целеполагания в области ИБ и
контроля за соблюдением
установленных правил по ИБ
2. Сложности в поддержке
соответствия предприятия
требованиям ISO 27001 и ФЗ-152
3. Большое количество рутинных
операций по ИБ
После внедрения ePlat4m:
1. Предоставление руководству,
ИБ и ИТ-подразделениям
эффективной программного
инструмента по управлению ИБ
2. Повышение уровня
соответствия предприятия
требованиям ISO 27001 и ФЗ-152
3. Повышение осведомленности
пользователей ИС в вопросах ИБ

26. 26
Ближайшие аналоги ePlat4m
Конкурентные преимущества ePlat4m:
1. Гибкая настройка прикладных
модулей под особенности СУИБ
организации
2. Возможность использования в
крупных холдинговых компаниях
3. Возможность разработки прикладных
модулей без привлечения
программистов
4. Соответствие требованиям
регуляторов РФ по ИБ (ФСТЭК России,
реестр российского ПО)
5. Развитые инструменты интеграции с
внешними системами

27. 27
Выгоды от внедрения ePlat4m для руководства
1. Снижение регуляторных рисков за
счет организации работ по ИБ в
соответствии с установленными
требованиями
2. Внедрение риск-ориентированного
подхода к управлению ИБ
3. Предоставление сводной
разноплановой аналитической
отчетности по ИБ
4. Снижение трудоемкости реализации
организационных механизмов СУИБ

28. 28
Выгоды от внедрения ePlat4m для
подразделения ИБ
1. Повышение эффективности СУИБ –
реализация более совершенных
процессов ИБ и вовлечение в
обеспечение ИБ всего персонала
организации
2. Интеграция разнообразных средств
защиты информации в рамках СУИБ
3. Поддержка принятия стратегических
решений по ИБ с предоставлением
консолидированной информации по
ИБ в единой системе
4. Повышение эффективности SOС
5. Упрощение обоснования затрат на ИБ

29. 29
Выгоды от реализации лучших мировых практик
по управлению ИБ – Цифры
При построении СУИБ реализация лучших мировых практик
по управлению ИБ по мнению клиентов компании BSI
позволяет:

30. 30
Пример из практики. Расчет экономической
эффективности ePlat4m – Вводные данные
Основные параметры Значения
Рыночная капитализация компании (февраль 2017 г.) 584 млрд. руб.
Рост рыночной капитализации за счет снижения
операционных рисков при внедрении СУИБ (трёхлетний
период)
+0,1% к рыночной
капитализации
Доля процессов ИБ в работе СУИБ (оргмеры) 20%
Доля средств защиты информации в работе СУИБ 80%
Доля Security GRC в СУИБ 7%
При внедрении 100% комплексной СУИБ риски ИБ
снижаются на
70%
Текущий процент реализации СУИБ на предприятии 50%
Оценочный размер ущерба компании от кибератак за
2016 г. (основываясь на данных ФРИИ, РИФ + КИБ 2015)
470 млн. руб. х 0,2 =
94 млн. руб.
Оценочный размер ущерба от ошибок пользователей в
области ИБ (основываясь на данных Gartner, 2013 г.)
21 млн. руб.

31. 31
Пример из практики. Анализ экономической
окупаемости ePlat4m
Совокупная выгода 44 864 750 руб.
Окупаемость решения (в месяцах) 9
Совокупный ROI (за 3-х летний период) 285%
₽14 090 000
₽16 785 000
₽19 735 500
₽25 735 500
₽35 239 750
₽44 864 750
₽-
₽5 000 000
₽10 000 000
₽15 000 000
₽20 000 000
₽25 000 000
₽30 000 000
₽35 000 000
₽40 000 000
₽45 000 000
₽50 000 000
Год 1 Год 2 Год 3
TCO Cumulative Benefit
₽13 590 000 ₽14 090 000 ₽16 785 000
₽19 735 500
₽-
₽25 735 500
₽35 239 750
₽44 864 750
₽-
₽5 000 000
₽10 000 000
₽15 000 000
₽20 000 000
₽25 000 000
₽30 000 000
₽35 000 000
₽40 000 000
₽45 000 000
₽50 000 000
TCO Cumulative Benefit

32. Алексей Липатов
Директор по
развитию, к.т.н
ePlat4m
+7 (916) 206-86-64
alipatov@eplat4m.ru
www.eplat4m.ru
г. Санкт-Петербург,
ул. Кронштадтская,
д. 10, литера А