GAP-анализ комплаенс рисков

Часть 1. Основы GAP-анализа: от простого к сложному#

1.1 Что такое GAP-анализ простыми словами#

Представьте, что вы хотите переплыть реку. Вы находитесь на одном берегу (AS-IS), а хотите попасть на другой (TO-BE). Расстояние между берегами — это GAP (разрыв). Чтобы его преодолеть, нужны действия: построить лодку, найти мост или научиться плавать.

В бизнесе:

• AS-IS — текущее состояние процессов, документов, технических средств
• TO-BE — целевое состояние (требования закона, стандарта, политики)
• GAP — список того, чего не хватает для соответствия
• Action Plan — план мероприятий по устранению разрывов

1.2 Когда применяется GAP-анализ в комплаенс#

1.3 Уровни зрелости GAP-анализа#

Мы начнем с уровня 1 и дойдем до уровня 3-4.

Часть 2. Методология GAP-анализа: пошаговая инструкция#

Шаг 1. Определите целевую модель (TO-BE)#

Соберите все требования, которым вы должны соответствовать. Это могут быть:

• Статьи законов (152-ФЗ, 187-ФЗ)
• Пункты стандартов (ISO 27001:2022, ГОСТ)
• Внутренние политики компании
• Отраслевые рекомендации (ЦБ, ФСТЭК)

Пример для 152-ФЗ (упрощенно):

Шаг 2. Оцените текущее состояние (AS-IS)#

Проведите инвентаризацию того, что уже есть. Для каждого требования определите статус:

Шаг 3. Задокументируйте разрывы (GAP)#

Для каждого невыполненного или частично выполненного требования опишите:

• Что именно отсутствует
• Почему это важно (риск)
• Что нужно сделать для устранения

Шаг 4. Оцените риски и приоритеты#

Для каждого разрыва оцените:

• Вероятность реализации риска (1-5)
• Влияние на бизнес (1-5)
• Критичность = Вероятность × Влияние

Приоритет устранения:

• Критичный (Кр ≥ 20) — исправить в течение недели
• Высокий (Кр 15-19) — исправить в течение месяца
• Средний (Кр 8-14) — включить в план на квартал
• Низкий (Кр ≤ 7) — отложить или принять риск

Шаг 5. Разработайте план мероприятий (Action Plan)#

Для каждого разрыва определите:

• Конкретные действия
• Ответственного
• Срок
• Необходимые ресурсы
• Ожидаемый результат

Шаг 6. Повторная оценка#

После выполнения плана проведите повторный GAP-анализ, чтобы убедиться, что разрывы устранены.

Часть 3. Простой пример: GAP-анализ для 152-ФЗ (Excel/Google Sheets)#

Шаблон таблицы GAP-анализа#

Визуализация статусов (круговая диаграмма)#

Выполнено:    1 (20%)
Частично:     2 (40%)
Не выполнено: 2 (40%)

Матрица рисков (приоритеты)#

Критичный: ████ (2 задачи)
Высокий:   ██   (1 задача)
Средний:   █    (1 задача)
Низкий:    █    (1 задача - не применимо)

Часть 4. Open-source инструменты для GAP-анализа#

4.1 Табличные инструменты (уровень 1-2)#

4.2 Инструменты для управления требованиями (уровень 3)#

4.3 Платформы для GRC и комплаенс (уровень 4)#

4.4 Установка и настройка Eramba (пример)#

Eramba — мощная open-source GRC-платформа, идеально подходящая для GAP-анализа комплаенс рисков.

Установка через Docker:

# Клонируем репозиторий
git clone https://github.com/eramba/docker.git eramba-docker
cd eramba-docker

# Запускаем контейнеры
docker-compose up -d

# Интерфейс будет доступен по адресу http://localhost:8080
# Логин/пароль по умолчанию: admin/password

Что можно делать в Eramba:

• Создавать библиотеки требований (контролей)
• Проводить самооценку (Self-Assessment)
• Отслеживать статус выполнения контролей
• Управлять планами мероприятий
• Генерировать отчеты по GAP-анализу

4.5 Визуализация с Mermaid#

Mermaid — это инструмент для создания диаграмм из текстового описания. Интегрирован в GitHub, GitLab, многие CMS.

Пример GAP-диаграммы на Mermaid:

Часть 5. Продвинутый пример: GAP-анализ для ISO 27001:2022#

Контекст#

Целевая модель (TO-BE) — Annex A controls#

ISO 27001:2022 содержит 93 контроля в 4 группах:

• Организационные (37 контролей)
• Людские (8 контролей)
• Физические (14 контролей)
• Технологические (34 контроля)

Для примера возьмем 5 ключевых контролей:

Текущее состояние (AS-IS) — данные аудита#

GAP-анализ (расширенная таблица)#

Визуализация прогресса#

Часть 6. Инструменты для автоматизации GAP-анализа#

6.1 Wazuh — open-source SIEM (для мониторинга комплаенс)#

Wazuh позволяет автоматически проверять соответствие систем требованиям (PCI DSS, GDPR, CIS benchmarks).

Пример проверки конфигурации SSH:

<group name="ssh,">
  <rule id="100100" level="5">
    <if_sid>510</if_sid>
    <field name="system_integrity_event">modified</field>
    <field name="file">/etc/ssh/sshd_config</field>
    <description>SSH configuration file has been modified</description>
  </rule>
  
  <rule id="100200" level="12">
    <if_sid>100100</if_sid>
    <match>PermitRootLogin yes</match>
    <description>Root login via SSH is permitted</description>
    <mitre>
      <id>T1021.004</id>
    </mitre>
  </rule>
</group>

6.2 OpenSCAP — автоматизированная проверка соответствия стандартам#

OpenSCAP (Security Content Automation Protocol) позволяет сканировать системы на соответствие профилям безопасности (CIS, STIG, PCI DSS).

Установка на RHEL/CentOS:

sudo yum install openscap-scanner scap-security-guide

Запуск сканирования по профилю CIS:

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis \
  --results results.xml --report report.html \
  /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

Результат: HTML-отчет с оценкой каждого требования (PASS/FAIL) — готовый GAP-анализ для технических мер.

6.3 OVAL (Open Vulnerability Assessment Language)#

OVAL — язык описания проверок конфигураций. Используется в OpenSCAP, можно писать свои проверки.

Пример OVAL-проверки наличия пароля на BIOS:

<definition id="oval:org.example:def:123" version="1">
  <metadata>
    <title>BIOS Password Set</title>
    <description>Check if BIOS password is set</description>
  </metadata>
  <criteria>
    <criterion test_ref="oval:org.example:tst:456"/>
  </criteria>
</definition>

<password_test id="oval:org.example:tst:456" 
               check="at least one" 
               comment="Check BIOS password"
               xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5#linux">
  <object object_ref="oval:org.example:obj:789"/>
  <state state_ref="oval:org.example:ste:012"/>
</password_test>

6.4 GAP-анализ в Jira (с плагинами)#

Если компания использует Jira, можно настроить дашборд для отслеживания комплаенс задач:

1. Создать проект “Compliance”
2. Завести эпики по стандартам (152-ФЗ, ISO, 187-ФЗ)
3. Для каждого требования — задача (Issue)
4. Метки: статус выполнения, приоритет, ответственный
5. Дашборд с фильтрами по статусам

JQL-запрос для критичных разрывов:

project = Compliance AND priority = Critical AND status != Done

Часть 7. Сквозной пример: полный GAP-анализ для гипотетической компании#

О компании#

• ООО “ТехноСервис” (50 сотрудников)
• Сфера: IT-аутсорсинг
• Обрабатывает ПДн клиентов (телефоны, email)
• Планирует сертификацию по ISO 27001
• Есть филиалы в 3 городах

Цели GAP-анализа#

1. Оценить соответствие 152-ФЗ (избежать штрафов)
2. Оценить готовность к ISO 27001
3. Составить план мероприятий на 6 месяцев

Шаг 1. Сбор требований#

Создаем библиотеку требований в Eramba (или таблице):

Шаг 2. Самооценка#

Проводим опрос ответственных, собираем доказательства.

Результаты по категориям:

Шаг 3. Анализ разрывов (пример по 152-ФЗ)#

Шаг 4. Оценка рисков#

Используем формулу: Риск = Вероятность × Влияние (1-5)

Шаг 5. План мероприятий (Action Plan)#

Шаг 6. Отчет руководству#

Ключевые выводы:

• 27% требований не выполняются (43 из 158)
• 2 критических разрыва требуют немедленного устранения (HTTPS и согласие)
• Основные риски: штрафы до 500 тыс., блокировка сайта, утечка данных
• Бюджет на устранение: 350 тыс. руб. (софт, сертификаты, трудозатраты)
• Срок полного приведения в соответствие: 6 месяцев

Часть 8. Ресурсы и шаблоны#

Шаблоны для скачивания#

Полезные ссылки#

Часть 9. Заключение: как применять GAP-анализ в работе#

Чек-лист для самостоятельного применения#

• Определите область анализа (один закон, один стандарт, все сразу)
• Соберите все требования в единый список (библиотеку)
• Проведите самооценку по каждому требованию (AS-IS)
• Задокументируйте доказательства (ссылки, файлы, скриншоты)
• Определите разрывы (GAP) и их причины
• Оцените риски по каждому разрыву
• Назначьте приоритеты (критичные, высокие, средние, низкие)
• Разработайте план мероприятий с сроками и ответственными
• Визуализируйте результаты (диаграммы, графики)
• Утвердите план у руководства
• Контролируйте выполнение (еженедельные статусы)
• Проведите повторный GAP-анализ через 3-6 месяцев

Когда обращаться к профессионалам#