Обзор MEDOED, онлайн-сервиса автоматизации процессов по защите информации

1. Введение
2. Проблемы в комплаенсе по части ИБ
3. Что может дать платформа MEDOED
4. Архитектура MEDOED
   1. 4.1. Варианты развёртывания и тарифы
      1. 4.1.1. Бесплатная версия MEDOED (однопользовательский тарифный план)
      2. 4.1.2. Многопользовательский тарифный план
      3. 4.1.3. «Коробочная» версия
5. Системные требования MEDOED
6. Работа с онлайн-сервисом MEDOED
   1. 6.1. Регистрация
   2. 6.2. Модуль «Категорирование КИИ»
   3. 6.3. Модуль «Обработка и защита ПДн»
   4. 6.4. Модуль «Планировщик»
   5. 6.5. Модуль «Повышение осведомлённости»
   6. 6.6. Модуль «Учёт СКЗИ»
   7. 6.7. Модуль «18-МР»
7. Выводы

Введение

Платформа MEDOED — это разработка российской компании RTM Group, призванная облегчить и систематизировать работу службы ИБ. В её состав вошли функциональные модули, специально разработанные для охвата всех направлений работы: категорирования критической информационной инфраструктуры, обработки персональных данных, учёта аппаратных и программных средств защиты информации, обучения сотрудников и др. Эти вопросы актуальны для более чем миллиона предприятий РФ: субъектов КИИ, операторов ПДн, банковских организаций. Поэтому данный онлайн-сервис будет полезен как для государственного сектора, так и для бизнеса, независимо от масштаба и сферы деятельности.

Консалтинговая компания RTM Group работает на рынке с 2015 года. Она специализируется на услугах в области ИБ и компьютерно-технической экспертизе, а также оказывает юридические услуги в области ИТ-права. Опираясь на имеющийся опыт и знание проблем отрасли, в 2019 году команда RTM Group впервые задумалась о разработке собственного продукта, а в конце 2022 года эту идею было решено воплотить в жизнь. Через год появилась работающая версия, а уже в марте текущего года платформа стала доступна пользователям.

Программный продукт MEDOED реализован в виде онлайн-платформы для автоматизации выполнения требований законодательства в различных сферах: защиты КИИ, персональных данных и т. д. Онлайн-сервисом могут пользоваться: 

• малые предприятия, для которых будет достаточно бесплатного однопользовательского режима;
• компании среднего размера, которым лучше всего подойдёт многопользовательский тарифный план;
• госструктуры и корпорации с повышенными требованиями к защите информации, для которых предлагается «коробочный» вариант. 

Платформа MEDOED не только позволяет создавать и редактировать организационно-распорядительные документы, но и даёт пользователю возможность гибко настраивать справочники, а также обладает функциональностью импорта и экспорта.

Проблемы в комплаенсе по части ИБ

Разработка продукта была обусловлена рядом проблем, с которыми сталкиваются компании по всей России:

• Ужесточение нормативных требований, касающихся ИБ. Сейчас практически ежемесячно мы наблюдаем внедрение новых норм или внесение изменений в действующие регламенты. Мониторинг подобных нововведений, а тем более своевременное реагирование на них — в частности, обновление организационно-распорядительной документации — вынуждает компании тратить на это всё больше ресурсов.
• Всеобщая цифровизация и внедрение передовых технологий. Проникновение инноваций во все отрасли экономики означает, что компаниям необходимо внедрять передовые технологии и решения для защиты своих данных и инфраструктур. Разработка документов вручную не просто тормозит рабочие процессы в организации, а часто приводит к их несоответствию требованиям действующего законодательства, из-за существенного влияния человеческого фактора.
• Участившиеся кибератаки. Рост числа инцидентов, связанных с кибербезопасностью, заставляет компании укреплять защиту и повышать уровень ИБ, проводить обучение персонала. Здесь трудно обойтись без автоматизации процесса и оценки знаний работников, а также своевременного планирования этих задач.

Перечисленными выше критериями руководствовались разработчики MEDOED. Им удалось создать продукт, который может применяться для автоматизации ряда задач в ИБ, а также в иных сферах, требующих сдачи отчётности в формализованном виде либо подготовки организационно-распорядительной документации.

Что может дать платформа MEDOED

Онлайн-сервис MEDOED разработан с учётом нормативов и требований ФСТЭК и ФСБ России. С его помощью пользователям будет легче пройти процедуры категорирования КИИ и подготовить документы в соответствии с законом № 187-ФЗ (акты категорирования, сопроводительные письма и пр.). Также сервис упрощает создание организационно-распорядительных документов по защите ПДн в соответствии с 152-ФЗ (политики обработки ПДн, приказов о назначении ответственных лиц и пр.).

В результате пользователи облачной или «коробочной» версии MEDOED получают:

1. Соответствие требованиям регулятора. Своевременная разработка документации обезопасит компанию при прохождении соответствующих проверок.
2. Автоматизацию процессов. Внедрение ПО приведёт к сокращению временных, трудовых, а иногда — и финансовых затрат на разработку документации.
3. Оценку и анализ рисков, связанных с ИБ. За счёт планирования и реализации мероприятий в сфере ИБ, а также обучения персонала можно минимизировать угрозы и их возможные последствия. 

Продукт MEDOED зарегистрирован в Роспатенте как программа для автоматизации процессов по защите информации и внесён в реестр отечественного ПО (запись № 21982 от 20.03.2024) в качестве средства автоматизации процессов ИБ.

Среди особенностей платформы можно выделить:

• Встроенный набор постоянно актуализируемых справочников. Внутри платформы собрана вся необходимая для работы справочная и нормативная информация.
• Базу шаблонов документов регуляторов для заполнения и выгрузки.
• Поэтапную разработку документации с подсказками, а также наличие справочной информации по заполнению отдельных полей.
• Рекомендации службам ИБ относительно планирования текущих мероприятий.
• Собственную базу знаний, возможность обучения и тестирования пользователей.

Онлайн-сервис MEDOED позволяет поддерживать документы, касающиеся ИБ предприятия, в актуальном состоянии. Даже если в организации уже разработан и предоставлен регулятору весь необходимый пакет ОРД, функциональность платформы наверняка будет полезна в дальнейшем. Ведь информационная безопасность — это процесс, нуждающийся в постоянном поддержании: к примеру, пересмотр категории объекта КИИ должен проводиться не реже одного раза в пять лет. Периодически в документы приходится вносить изменения — при приёме на работу новых сотрудников, обновлении методов обработки конфиденциальной информации и пр. MEDOED помогает своевременно разрабатывать новые проекты документов и корректировать действующие приказы, положения, журналы.

Архитектура MEDOED

Продукт MEDOED базируется на обширном стеке технологий: React, NGINX, PostgreSQL, RabbitMQ, Python FastAPI, ArangoDB, Redis, Docker. Доступ к платформе осуществляется через интернет при помощи браузера, а её функциональность со стороны пользователя аналогична веб-приложению, реализованному как совокупность форм интерфейса. Пройдя авторизацию, можно сразу же приступать к работе, установка каких-либо дополнительных плагинов не требуется.

Варианты развёртывания и тарифы

Использовать платформу MEDOED можно как облачный сервис (SaaS) или «коробочное» решение (in-house). При этом стоит особо отметить наличие бесплатной версии, в рамках которой один пользователь может работать со всеми модулями программы в облаке.

Бесплатная версия MEDOED (однопользовательский тарифный план)

Рассчитана на одного пользователя и работает исключительно через облако. Зарегистрировавшись, можно оперативно подготовить весь пакет документов, предусмотренных требованиями ФСТЭК и ФСБ России. Вся информация будет уже внесена в документы, поэтому после утверждения и регистрации их можно предоставлять регуляторам.

В этом тарифном плане доступны практически те же опции, что и во многопользовательском:

• Работа со всеми функциональными модулями.
• Возможность формирования и скачивания проектов документов в удобных для редактирования форматах (например, *.odt), печать и импорт данных.
• Доступ к актуальной базе знаний: справочной информации, перечню нормативной документации, обучающим видеороликам.

Однако не стоит забывать, что доступ к этой версии программы может иметь только одно лицо, что актуально в основном для мелких организаций — например, ИП с небольшим штатом наёмных сотрудников. 

Указ Президента РФ от 01.05.2022 № 250 предусматривает либо создание подразделений по ИБ, либо возложение этой функции на существующие отделы. Поэтому в организациях — субъектах КИИ однопользовательской версией обойтись будет трудно. Кроме того, в бесплатном режиме невозможно в полной мере применять функциональность модуля обучения. 

Многопользовательский тарифный план

Рассчитан на двух и более пользователей организации. Предпочтителен для большинства предприятий (за исключением случаев, когда работа через облако не рекомендована). Стоимость — от 1 млн рублей.

Отличие многопользовательского тарифного плана заключается в том, что лицо, которое обладает административными правами, может самостоятельно добавлять новых пользователей, редактировать их данные, наделять функциональными правами и определёнными ролями.

«Коробочная» версия

«Коробочная» поставка платформы MEDOED реализована в виде виртуальной машины. Данная версия разработана для тех предприятий, которые предпочитают обходиться собственными ресурсами. Это может быть предусмотрено внутренней политикой компании, обусловлено законодательными ограничениями или необходимостью работы с данными в закрытом контуре. В этой редакции реализованы те же функции, что и в облачной многопользовательской версии, в т. ч. доступ к актуальной нормативной базе, автоматизация процессов, мониторинг и отчётность. Стоимость предоставляется по запросу и зависит от выбора дополнительных опций, степени поддержки и модификации ПО.

Системные требования MEDOED

Могут использоваться следующие браузеры: Chrome версии 20 и выше, Opera версии 15 и выше, Mozilla Firefox версии 20 и выше, Safari OS X. Работа на мобильных устройствах возможна только в режиме «Версия для ПК».

Коробочное решение рекомендуется для установки на сервер с ОС Ubuntu Server 20.04 и выше. Подробные требования к серверной части приведены в таблице.

Таблица 1. Требования к аппаратной части сервера MEDOED

Работа с онлайн-сервисом MEDOED

Разобраться в платформе MEDOED нетрудно, поскольку она имеет интуитивно понятный интерфейс. На каждом этапе пользователя сопровождают всплывающие подсказки с указанием недочётов — например, необходимости обновления конфигурации, неправильно заполненных полей или отсутствия каких-либо данных. Кроме того, работа с модулями показана в видеоуроках и описана в инструкции по эксплуатации. 

Регистрация

Базовым элементом разграничения прав доступа к сервису служит аккаунт, который закрепляется за отдельным пользователем. Для его создания необходимо пройти регистрацию на официальном сайте MEDOED.

Рисунок 1. Регистрация на платформе MEDOED

Далее нужно зайти в почтовый ящик, указанный при регистрации, и активировать аккаунт по ссылке в полученном сообщении.

Введённые при регистрации данные можно поменять в настройках профиля. Однако для сохранения изменений потребуется заполнить все обязательные поля.

Рисунок 2. Редактирование профиля пользователя

После авторизации пользователь попадает на стартовую страницу сервиса, где видит панель навигации с четырьмя разделами: «Модули», «Отчёты», «Редактирование данных» и «Администрирование». Ниже размещается информационная панель, которая отображает  календарь запланированных событий, активные модули (с указанием даты последнего изменения пользователем), видеоинструкции по работе с платформой и ссылки для связи со службой техподдержки.

После открытия сервиса пользователю может быть предложено обновить конфигурацию программы. Для этого нужно в разделе «Администрирование» выбрать вкладку «Обновление конфигурации». Необходимость обновления может возникнуть и позже, если разработчики внесли изменения с даты последнего визита пользователя на платформу. После обновления все данные автоматически актуализируются. 

Рисунок 3. Обновление конфигурации

Рассмотрим подробнее функциональные модули MEDOED.

Модуль «Категорирование КИИ»

Процесс категорирования КИИ при помощи MEDOED разбит на последовательные этапы.

1. Проверка заполнения справочников: ОКВЭД, видов деятельности, БДУ, типов объектов КИИ, техпроцессов, показателей значимости. При необходимости справочники можно корректировать, добавляя дополнительные записи. На этом этапе также нужно проверить правильность внесённых ранее реквизитов организации.

Рисунок 4. Начало процесса категорирования КИИ

2. Заполнение данных о сотрудниках. На этом этапе вносятся сведения о подразделениях организации, должностях и конкретных сотрудниках.
3. Создание комиссии по категорированию. В этом разделе указывают информацию, которая необходима для формирования приказа по категорированию объектов КИИ: о руководителе организации, утверждающем документе, председателе комиссии, секретаре и пр.

Рисунок 5. Нужного сотрудника выбирают двойным щелчком мыши

4. Выбор способа категорирования — например, по видам деятельности или по процессам.
5. Выбор КИИ из ресурсов доступа. На этом этапе указываются объекты КИИ и процессы, которые они выполняют.

Рисунок 6. Добавляя объект КИИ, можно посмотреть типовой отраслевой перечень

6. Связь объектов и отраслей деятельности. На данном этапе следует сопоставить объекты КИИ с конкретной сферой деятельности.
7. Печать перечня под категорирование. Нужно скачать и распечатать пакет документов, относящихся к акту о составлении перечня объектов КИИ.

Рисунок 7. Пример скачанного перечня документов

8. Выбор неактуальных индикаторов с указанием причин. Этот шаг можно пропустить, отредактировав информацию позднее.
9. Заполнение общих характеристик организации. На этом этапе вносятся сведения о должностных лицах, отвечающих за ЗОКИИ, а также показатели по оборонзаказам и налогам.
10. Категорирование объектов. Здесь предлагается сформировать акты категорирования для каждого из объектов ЗОКИИ. Для этого нужно заполнить обязательные поля относительно лица эксплуатирующего объект, оборудования, средств защиты, организационных и технических мер защиты ЗОКИИ и т. д. Это — наиболее объёмная часть работы по категорированию КИИ, однако наличие выбора из готовых вариантов по многим параметрам значительно облегчает задачу пользователя.

Рисунок 8. Выбор одного из параметров КИИ — архитектуры объекта

11. Печать сопроводительных документов. На этом этапе пользователю предлагается подготовить сопроводительное письмо во ФСТЭК России. Здесь же описан и порядок отправки материалов по результатам категорирования.

На каждом из шагов есть подсказки для пользователя, позволяющие легко пройти текущий этап. Благодаря этому категорирование КИИ становится понятным и прозрачным процессом.

Модуль «Обработка и защита ПДн»

Создание комплекта документов, предусмотренных требованиями законодательства для операторов и владельцев баз ПДн, также происходит поэтапно.

1. «Проверка заполнения справочников». Данный подраздел аналогичен описанному выше в модуле «Категорирование КИИ», однако содержит иные справочники.
2. «Заполнение данных о сотрудниках». Если ранее вы уже указывали информацию о персонале, то этот раздел будет заполнен.
3. «Внесение данных о компании». На этом этапе нужно указать подробные сведения об операторе ПДн: расположение его головного офиса и филиалов, юридический и почтовый адреса и т. д.
4. «Печать приказов о назначении ответственных». На этом этапе можно скачать приказ о назначении ответственных лиц, указав соответствующую дату и номер (либо не заполняя сразу данные поля).

Рисунок 9. Пример созданного при помощи MEDOED приказа о назначении ответственных

5. «Заполнение карточек ИСПДн». На данном этапе нужно составить перечень ИСПДн и описать их, заполнив поля карточек. Для каждой из указанных систем будут сформированы акт ввода и акт определения уровня защищённости.
6. «Заполнение процессов обработки». Теперь пользователю предстоит сформировать перечень существующих процессов обработки ПДн и внести информацию о них.
7. «Дополнительный вопрос». Следует отметить особенности обработки ПДн в организации — например, указать, обрабатываются ли сведения о несовершеннолетних.
8. «Данные для Роскомнадзора». На этом этапе указываются данные, которые необходимы для заполнения установленной формы уведомления в Роскомнадзор.
9. «Третьи лица — обработчики». Если ПДн передаются другим организациям (или предоставляются ими), необходимо указать таких обработчиков.
10. «Печать политики ПДн». На этом этапе нужно указать регистрационные номера и даты утверждения распорядительной документации, касающейся обработки ПДн в организации.

Рисунок 10. Завершающий этап

На завершающем этапе можно скачать готовый пакет документов в виде архива.

Рисунок 11. Документы, которые содержит скачанный архив

Модуль «Планировщик»

Планировщик от MEDOED позволит организовать работу службы ИБ с указанием конкретных мероприятий, периодичности и сроков их выполнения. Он может работать в двух режимах: действий и календаря. Второй из них похож на всем известные планировщики — например, Google Calendar или «Мой календарь» в «Битрикс24».

В модуле имеется база рекомендуемых действий для реализации требований, которые применимы к финансовым организациям, субъектам КИИ и операторам ПДн, а также представлены лучшие практики. Для отображения перечня рекомендованных действий можно воспользоваться фильтром, выбрав актуальные для организации параметры с помощью переключателей.

Рисунок 12. Настройка фильтра для отображения рекомендованных действий

В режиме действий планировщик разбит на два окна, в которых отображаются рекомендуемые и запланированные действия. Для удобства они сгруппированы по категориям:

• «Общие»;
• «Антивирусная защита»;
• «Управление доступом»;
• «Защита сетей»;
• «Контроль целостности»;
• «Предотвращение утечек»;
• «Управление инцидентами»;
• «Защита среды виртуализации»;
• «Защита удалённого доступа»;
• «Жизненный цикл»;
• «Направления»;
• «Работа с документами»;
• «Иное» (рекомендации, которые не относятся ни к одной из вышеперечисленных категорий).

Эти категории соответствуют процессам и направлениям ГОСТ Р 57580.1-2017, а также группам требований из приказов ФСТЭК России № 239 от 25.12.2017 и № 21 от 18.02.2013. Ссылку на конкретный источник требований можно посмотреть в описании рекомендуемого действия (значок «i»). Рядом с ним расположена кнопка для добавления предложенной задачи в календарь.

Рисунок 13. Перенос задачи из рекомендуемых в запланированные

Модуль «Повышение осведомлённости»

Предназначен для организации обучения и тестирования персонала по вопросам ИБ. Прохождение уроков предусматривает отображение прогресса в обучении, а тестирование — просмотр отчёта о результатах всех попыток.

В стандартной версии доступны темы «Информационная безопасность», «Категорирование КИИ», «Обработка и защита ПДн». Кроме того, администратор получает доступ к добавлению и редактированию материалов. Текст можно загрузить из любого PDF-файла, а видеоматериал — добавить как медиафайл или в виде ссылки на видеохостинг.

Рисунок 14. Фрагмент из обучающего материала, касающегося общих вопросов ИБ

В рамках этих тем предусмотрены наглядные материалы (презентации), видеоинструкции, а также тесты. По запросу клиента вендор может разработать и добавить другие темы, касающиеся ИБ или защиты информации в конкретной сфере деятельности.

Модуль «Учёт СКЗИ»

Учёт средств криптографической защиты информации относится к постоянным процессам в деятельности служб ИБ. С помощью MEDOED соблюдать требования по учёту СКЗИ в соответствии с приказом ФАПСИ от 13.06.2001 № 152 проще, чем в Excel.

MEDOED предлагает централизованное решение этой задачи. Хранение в облаке значительно упрощает процесс управления журналами и обеспечивает их постоянную доступность. Можно вести все три вида журналов, предусмотренных приказом ФАПСИ, и при необходимости их выгружать. Кроме того, MEDOED предоставляет совместный доступ к файлам с возможностью редактирования, комментирования, отслеживания изменений или разделения этих функций между отдельными сотрудниками.

Рисунок 15. Выгрузка журналов из модуля «Учёт СКЗИ»

Также возможно ведение отдельных журналов по разным юрлицам, что удобно как для групп компаний, так и для специалистов по ИБ, обслуживающих несколько организаций.

Модуль «18-МР»

Финансовые организации обязаны информировать Банк России об инцидентах по части операционной надёжности путём предоставления сведений об объектах информационной инфраструктуры, задействованных при выполнении технологических процессов.

Этот модуль в MEDOED позволяет вести учёт информационных активов в соответствии с методическими рекомендациями Банка России от 20.12.2023 № 18-МР, не тратя времени на формирование шифров и ручной перенос данных. Автоматизация процесса подготовки сведений для отчётной формы достигается за счёт предустановленных справочников, подсказок и автоматического формирования шифра. Если ранее использовались модули категорирования КИИ и работы с ПДн, то часть сведений будет уже заполнена.

Рисунок 16. Пример заполнения документа «Информационный актив 18-МР»

Также в этом модуле реализована возможность выгрузки данных в файл *.ods или *.xlsx для дальнейшего импорта в систему отчётности Банка России.

Выводы

Онлайн-сервис MEDOED активно развивается и постоянно совершенствуется, поэтому уже сейчас может составить конкуренцию аналогичным продуктам. К примеру, на момент написания обзора для многопользовательской версии платформы были добавлены предустановленные роли. В настоящее время дорабатываются модули «Инвентаризация» и «Работа с инцидентами», уже скоро они расширят перечень возможностей платформы.

MEDOED имеет существенный потенциал не только для субъектов КИИ и операторов ПДн, но и, например, для образовательной отрасли. Возможность бесплатно ознакомиться с функциональностью онлайн-сервиса особенно ценна для начинающих специалистов в отрасли ИБ: выполнение пошагового плана позволяет наглядно представить весь процесс организации защиты информации с ограниченным доступом на уровне предприятия.

Достоинства: 

• Наличие бесплатного тарифного плана.
• Онлайн-сервис позволяет любой организации при помощи готовых шаблонов быстро и эффективно подготовить комплект документации, предусмотренной законодательством в сфере ИБ.
• Возможность сэкономить средства на разработке пакета ОРД в сфере ИБ (по сравнению с заказом такой услуги у сторонних организаций) и не раскрывать конфиденциальную информацию третьим лицам.
• Готовые рекомендации по планированию задач, разработанные с учётом требований регулятора, существенно облегчают работу службы ИБ. Также доступно автоматическое внесение в календарь собственных задач.
• Возможность организовать обучение персонала.
• Наличие подробных видеоинструкций, которые помогают начинающим пользователям быстро разобраться в функциональности MEDOED.
• Наличие техподдержки в Telegram.

Недостатки: 

• При регистрации и заполнении профиля пользователя нужно вносить много данных.
• Необходимость вручную обновлять конфигурацию программы. Если этого не сделать, функциональные модули могут работать некорректно.
• Невозможно просматривать пустые шаблоны документов. Готовую форму можно увидеть только после заполнения всей информации, а граф в ней может быть весьма много. Однако образцы печатных форм можно выгрузить через панель администрирования.
• Заполнять формы нужно строго последовательно, перейти на следующий этап разработки документов до завершения предыдущего не получится. При этом не всегда интуитивно понятно, в каком формате необходимо вносить данные и почему кнопка «Далее» пока что неактивна — необходимо читать подсказки.
• Модули «Инвентаризация» и «Работа с инцидентами», которые есть у аналогичных продуктов, пока что находятся в разработке.