Зачем нужен аудит ИТ

IT-инфраструктура состоит из программного и аппаратного обеспечения и для ее эффективной работы требуется постоянный контроль и регулярная оценка состояния системы. Инфраструктура компании должна характеризоваться гибкостью, надежностью и выполнять требования по безопасности, чтобы достигнуть поставленных целей и оптимизировать работу сотрудников.

В рамках аудита проводится мониторинг и проверка: серверного и сетевого оборудования, системного и прикладного программного обеспечения, рабочих мест пользователей. В результате могут быть выявлены недостатки и разработаны меры по их устранению. Не все компании осознают практическую ценность оценки состояния системы, что приводит к негативным последствиям.

 

Зачем нужно проводить аудит?

Основными задачами проведения аудита являются:

  • Оценка соответствия ИТ-ресурсов компании ее целям;
  • Сокращение риска снижения эффективности ИТ-инфраструктуры;
  • Повышение уровня автоматизации, защищенности и стабильности работы;
  • Изменение организационной структуры;
  • Изменение ИТ-инфраструктуры;
  • Наличие ошибок в функционировании ИТ-инфраструктуры;
  • Оценка возможного риска нанесения ущерба организации.

Проведение аудита имеет большое значение для любой компании, а пренебрежение его выполнением может негативно повлиять на функционирование IT-инфраструктуры, что повлияет на бизнес-процессы.

Правильная настройка IT-инфраструктуры позволяет оптимизировать процесс работы, повысить уровень безопасности, обеспечить высокопроизводительную систему хранения данных. Контроль доступа к информации уменьшает вероятность получения конфиденциальных данных неавторизованными пользователями.

Насколько бы надежной и эффективной не была инфраструктура компании всегда есть решения, которые позволят усовершенствовать систему и повысить уровень информационной безопасности. Для того чтобы определить в каких компонентах необходимо провести совершенствование системы и какие необходим принять меры нужно провести аудит.

 

Последствия пренебрежения аудитом IT-инфраструктуры

Аудит IT-инфраструктуры представляется собой совокупность мероприятий, направленных на оценку информационной системы, и позволяет достичь основных показателей эффективности: качества, экономичности и вариативности. Результатом является отчет, который включает в себя описание недостатков инфраструктуры и позволяет составить рекомендации по применению мер для совершенствования.

Не все компании анализируют свою инфраструктуру, что приводит к негативным последствиям. Отсутствие знания уязвимых мест системы предоставляет возможность злоумышленнику украсть или подменить конфиденциальную информацию. Такие события могут оказаться существенными и нанести ущерб компании.
В большинстве случаев аудитом пренебрегают из-за отсутствия средств на его проведение, а также компании могут не придавать значение безопасности данных. Такое отношение может привести к утечке данных, нарушение работоспособности системы, а следовательно, и к увеличению расходов. Благодаря проведению аудита можно своевременно обнаружить проблемы инфраструктуры и применить меры.

  • Осуществление анализа инфраструктуры позволяет повысить эффективность ее использования, рассчитать оптимальные расходы на модернизирование, разработать план развития IT компании.
  • Пренебрежение аудитом приводит к отсутствию реального понимания ситуации по отношению к состоянию ИТ-инфраструктуры на данный момент, а значит лишает возможности принять правильные решение по выделению средств на ее изменение и дальнейшее развитие.
  • Без аудита ИТ-инфраструктуры невозможно оценить риски в такой сфере как информационная безопасность, в связи с тем, что компания не знает о слабых местах системы, через которые может быть утечка данных.
  • Оценка ИТ-инфраструктуры позволит повысить надежность и качество работоспособности ИС, снизить возможные риски, а также уменьшить затраты на поддержку и увеличить бюджет на развитие ИС.

 

Результаты аудита IT-инфраструктуры

Итогами проведения любого аудита является актуальная оценка состояния и эффективности инфраструктуры, информация о недостатках, предложение по модернизации, рекомендации по настройке и использованию. Пренебрежительное отношение к аудитам могут привести к нарушению работоспособности инфраструктуры, что негативно скажется на доходе компании. Потребуется дополнительные затраты на устранение причин, что может оказаться не выгодным по сравнению с вовремя принятыми мерам по устранению недостатков.

Таким образом, можно сделать вывод, что проведение аудита позволяет предупредить возможные потери от воздействия на инфраструктуру. Избежать затрат на восстановления работоспособности систем. Не допустить эксплуатации уязвимых мест и каких-либо несанкционированных действий с конфиденциальной информацией. Выполнив рекомендации по усовершенствованию системы, можно увеличить прибыль и создать надежную и эффективную IT-инфраструктуру.

Вам будет интересно

Array
(
    [ID] => 10197
    [post_author] => 3879
    [post_date] => 2019-12-31 15:03:47
    [post_date_gmt] => 2019-12-31 12:03:47
    [post_content] => 

Что такое аудит информационной безопасности предприятия?

Аудит информационной безопасности — это оценка состояния ИБ на соответствие с определенными критериями, показателями безопасности в целом и на соответствие нормативным актам контролирующих органов государственной власти, в частности. Он происходит в четыре этапа: сначала информация собирается, затем эти данные анализируются, на основе анализа вырабатываются рекомендации и составляется аудиторский отчет. Помимо исследования уровня безопасности, грамотно проведенный аудит также оценивает риски и прогнозирует развитие менеджмента процессов ИБ в компании, а предоставленные отчет и рекомендации могут являть собой стратегические планы по развитию и решать множество проблем на фундаментальном уровне.

Критерии аудита информационной безопасности

Существует большое количество критериев аудита (на соответствие чему проверяем). Также существует масса методик и методических рекомендации, которые используются при проведении реальных аудитов информационной безопасности.

Наиболее популярными критериями являются:

  1. Стандарты серии ISO 2700x
  2. СТО БР ИББС (Комплекс БР ИББС)
  3. Комплекс положений и указаний Банка России

Часто применяются рекомендации стандарта ISO 19011:2011 по проведению аудитов систем менеджмента.

Виды аудита IT-безопасности

Аудит ИБ бывает внутренним — в таком случае его корректно назвать самооценкой, так как он проводится сотрудниками компании.

По ряду положений и в соответствии с ГОСТом Р ИСО/МЭК 27001-2006 такой аудит должен быть постоянным и непрерывным — и на самом деле, проверка эффективности и последующие выводы лежат в основе практически всех процессов, связанных с ИБ: будь то протокол о реагировании на события и инциденты, установка и настройка нового ПО, или изменение документации по менеджменту процессов ИБ. Все должно тестироваться, выводы учитываться — это непрерывный процесс получения опыта, выработки действующих методов, их постоянного улучшения и поддержания на современном уровне.

Обычно по причине того, что проверок много, они не проводятся на таком крупном уровне и с заполнением массы бумаг, как это делается во внешнем аудите, однако несколько раз в год не будет лишним сымитировать как бы вас проверяли специалисты со стороны профессиональных аудиторских компаний или ЦБ РФ. Скажем, вы в банковской сфере, и вам по требованиям Банка России необходимо проводить внешний аудит по ГОСТ Р 57580.1 (ГОСТ Р 57580.2). В этом случае хорошей практикой проверки уровня ИБ и подготовки к аудиту является самооценка. Такая проверка может сразу устранить очевидные, лежащие на поверхности проблемы и тем самым получить более высокую оценку при внешнем аудите. Это также может помочь найти слабые места в самих методиках оценки вашей компании и тем самым значительно увеличить эффективность внутренних проверок после внешней.

Внешний аудит, соответственно, проводится независимыми экспертами или компаниями, специализирующимися в области информационной безопасности. В нашей стране желательно проводить комплексный аудит ИБ в предприятии, пользуясь услугами лицензиатов ФСТЭК (иногда ФСБ). Во-первых, это может напрямую требоваться критерием аудита (747-П, 683-П, 757-П, 719-П и пр.), во-вторых, отчет лицензиата имеет более высокий вес в случае возникновения вопросов со стороны правоохранительной системы.

Если внутренний аудит — это скорее непрерывный процесс мелких улучшений, то внешний - является контрольной проверкой.

Также в зависимости от того, кто проводит аудит, внешний аудит разделяют на:

  • аудит 2 (второй) стороны — поставщика или клиента
  • аудит 3 (третьей) стороны — регулятора или органа по сертификации

Когда и для чего требуется комплексный аудит информационной безопасности организации?

После данной информации о видах аудита вполне очевидно, что без внутреннего аудита нельзя обойтись в принципе. Он должен происходить с первого дня компании и не прерываться, потому что от него зависят функционирование как систем, так и процессов организации.

Ценность внешнего аудитора также очевидна — он может получить более объективный результат, а потому многие сектора экономики (такие, как банковский), имеют регламентированный механизм регулярных независимых проверок (обычно 1 раз в 2 года). В настоящий момент аудиты в банках проходят постоянно (заканчиваем аудит по одному критерию и сразу начинаем другой - уже по новому критерию).

Создание СМИБ (системы менеджмента информационной безопасности).

Предположим, вы только создаете свою компанию. Или только выходите в информационное, цифровое пространство. Возможно, раньше вы только опирались на антивирусы, но объемы увеличились и встал вопрос о создании отдела и политики по вопросам ИБ в пределах компании.

Так или иначе, но сейчас вы хотите создать полноценную систему менеджмента ИБ со всеми сопутствующими атрибутами — как, например, они описаны в ГОСТ Р ИСО/МЭК 27001-2006. В таком случае независимый эксперт не может непосредственно оценить уровень текущей защиты — ведь ее попросту не существует, однако он может проконсультировать компанию по требованиям, как если бы он проводил аудит.

Как именно оценивать активы и риски в вашей сфере, что понимать под правовыми требованиями в вопросах персональных данных и конфиденциальности, как распределить уже существующих специалистов (чтобы более квалифицированные были на задачах по их силам и не отвлекались на более мелкие или не требующие специализированных знаний, т. е. могут быть выполнены и не специалистами в области ИБ). Технически вашей текущей защите присваивается нулевой уровень по шкале зрелости («На данном уровне наблюдается полное отсутствие определенного процесса по анализу и оценке рисков ИБ. Не проводится оценка рисков ИБ для проектов, разрабатываемых стратегий и решений…»), а после идут рекомендации по созданию систем, выводящих на новый уровень. Едва ли после выполнения этих рекомендаций ваша защита мгновенно станет пятого уровня зрелости, но это станет достаточно профессиональным стартом, на основе которого можно будет тестировать, учиться и дорабатывать под конкретно ваши нужды вместо изобретения велосипеда или потери времени, когда просто возникло недопонимание каких-либо требований или особенностей документации.

Изменение СМИБ или требований к ИБ в целом

Это также является одним из пунктов ГОСТ Р ИСО/МЭК 27001-2006, а именно «Порядок организации и управления информационной безопасностью и ее реализация (например, изменение целей и мер управления, политики, процессов и процедур обеспечения информационной безопасности) должны быть подвергнуты независимой проверке (аудиту) через определенные промежутки времени или при появлении существенных изменений в способах реализации мер безопасности», и это в целом совершенно понятный момент. Сильно измененные структуры не всегда могут уследить за всеми своими частями, протоколы могут быть устаревшими, системы — находиться в конфликте друг с другом, было выбрано «костыльное» решение, лишь бы все работало с минимумом изменений, тогда как взгляд со стороны на систему в целом окажется существенным подспорьем и сделает переходный процесс не только более быстрым, но и безопасным. Даже если вашей компании не нужна помощь в процессе перехода, его завершение — это тоже своего рода завершение проекта по безопасности, результат которого требует «контрольной» и независимой оценки.

Подготовка к ежегодным проверкам; проверка на соответствие законам, положениям, ГОСТам

Здесь все достаточно просто — в иных сферах независимый аудит ИБ обязателен, в каких-то компаниях просто нет людей, детально разбирающиеся в каждом требовании и как его пройти фактически и документально. В таких случаях эксперты, обладающие и лицензией, и опытом, проверяют именно так, как будут проверять инстанции. Подобное знание почти гарантировано не позволяет попасть в зону штрафуемых нарушений, и даже если какие-то несоответствия будут обнаружены — у вас на руках будет понятный и подробный план по их исправлению. Впрочем, лучше всегда оставлять себе время на исполнение рекомендаций до государственной проверки и провести комплексный аудит информационной безопасности организации заранее.

Переход на принципиально новый уровень

Это случай, когда вы оказались в «тупике». Например, множество ложных срабатываний или пропусков инцидентов и вы не знаете, как это исправить. Квалификации ваших специалистов оказалось недостаточно для более современных методов или просто квалифицированных сотрудников по тем или иным причинам практически не осталось; может быть, их просто слишком мало, а задач — слишком много. В таком случае аудит проводится даже в меньшей степени для обнаружения проблем, поскольку с ними вы знакомы, а скорее для взгляда со стороны, для помощи в процессах и корректировании систем, для перенастройки системы под текущие мощности. Очень многие компании и эксперты, занимающиеся безопасностью, не только имеют обширный опыт, который позволяет быстро ориентироваться и решать множество ситуаций, но еще и постоянно изучают свежие отчеты и статистики; знают о наиболее популярных уязвимостях и проблемах — и в принципе, и прямо сейчас; знакомы с современными методами и экспериментами, свежими разработками в области ПО и могут многое упростить и сделать более эффективным.

Если вы хотите проверить, соответствуете ли вы национальным или международным требованиям; насколько результаты ваших усилий по созданию СМИБ отвечают изначальным целям; как именно вам развиваться дальше и что означают на практике каждый из пунктов положений и ГОСТов, а также их документация — оставляйте заявку в форме ниже. Будь то консультация или аудит ИБ, я смогу вам помочь в кратчайшие сроки.

[post_title] => Аудит информационной безопасности [post_excerpt] => Аудит информационной безопасности — это оценка состояния ИБ на соответствие с определенными критериями, показателями безопасности в целом и на соответствие нормативным актам контролирующих органов государственной власти, в частности. [post_status] => publish [comment_status] => open [ping_status] => closed [post_password] => [post_name] => audit-informatsionnoy-bezopasnosti [to_ping] => [pinged] => [post_modified] => 2022-01-11 17:40:01 [post_modified_gmt] => 2022-01-11 14:40:01 [post_content_filtered] => [post_parent] => 0 [guid] => https://tsarev.biz/?post_type=articles&p=10197 [menu_order] => 0 [post_type] => articles [post_mime_type] => [comment_count] => 2 [robotsmeta] => [pod_item_id] => 10197 )
аудит информационной безопасности

Аудит информационной безопасности

Array
(
    [ID] => 10196
    [post_author] => 3879
    [post_date] => 2019-12-31 14:51:17
    [post_date_gmt] => 2019-12-31 11:51:17
    [post_content] => 

От качества реагирования на события и инциденты в компании зависит очень многое:

  1. Устойчивость системы менеджмента информационной безопасности
  2. Возможность организации функционировать в случае проблем с персоналом
  3. Можете ли вы эффективно развиваться и довести подготовку к непредвиденным событиям до высочайшего уровня (когда ни один инцидент не приведет к катастрофическим последствиям)?
  4. Эффективно ли вы тратите деньги на свою систему ИБ или гораздо больше уходит на компенсацию то и дело возникающих проблем?

Безусловно, СМИБ (система менеджмента информационной безопасности) призвана заниматься не только этим — общая политика компании, обучение сотрудников, вопросы производительности и эксплуатации систем не менее важны, но именно группа реагирования на инциденты информационной безопасности (ГРИИБ) либо группа реагирования на инциденты защиты информации (ГРИЗИ) и выработанные методики, определяющие их действия, являются ядром всей вашей системы защиты.

Существуют разнообразные нормативы реагирования на инциденты компьютерной безопасности, но все они достаточно похожи на ГОСТ Р ИСО/МЭК ТО 18044-2007. Разберемся с понятиями события и инцидента информационной безопасности, а также с общим направлением взаимодействия с ними, согласно вышеназванному ГОСТу.

Определение инцидента и события информационной безопасности

Событие информационной безопасности (information security event): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Инцидент информационной безопасности (information security incident): Появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.

Близкие по духу термины мы найдем и в других документах, в частности в комплексе Стандартов Банка России.

Событий может быть много — но не все они будут инцидентами. Инциденты же, в свою очередь, могут иметь свои градации, но тут важно понимать, что даже «незначительный» инцидент может стать «значительным» или даже «критическим» спустя время или в случае его неправильной обработки. Поэтому даже если у инцидентов может быть ограниченная степень опасности, важность реагирования и контроля над ними очень высока во всех обнаруженных случаях.

Работа с инцидентами информационной безопасности

Далее ГОСТом предлагается следующая стратегия по инцидент-менеджменту:

  1. Планирование и подготовка (политика и система менеджмента инцидентов ИБ, тестирование этой системы; создание команды реагирования; инструктаж и обучение сотрудников, план реагирования и т. д.);
  2. Реагирование (обнаружение событий ИБ и оповещение о них — обычно происходит через логи и сообщения от сотрудников и пользователей, здесь важна настройка SIEM-системы; оценка и принятие решения: является ли данное событие инцидентом ИБ — тут обычно двухступенчатая проверка, в первый раз определяет круглосуточная служба, и вот если они посчитали событие инцидентом, то идет на расследование к ГРИИБ которым это надо подтвердить или опровергнуть; реагирование на инцидент ИБ, включая правовую экспертизу — здесь сотрудники противостоят открытой атаке, ищут следы, в идеале есть бекапы и мощности для параллельного запуска процессов, дабы не прерывать ведение бизнеса, пока фиксируется состояние систем и изучается проблема);
  3. Анализ (дополнительная правовая экспертиза; обобщение накопленного опыта; определение методов улучшения (повышения) безопасности; определение методов улучшения системы менеджмента инцидентов ИБ);
  4. Улучшение (провести уточнение результатов анализа рисков безопасности и менеджмента; инициировать улучшение безопасности; провести улучшения системы менеджмента инцидентов ИБ).

Если ваша система менеджмента информационной безопасности работает по плану, то со временем защита будет становиться все лучше и лучше: появятся примерные планы действий даже для нестандартных и редких ситуаций; все автоматизированные способы обнаружения угроз будут оповещать точнее и давать меньше нагрузку на персонал; можно будет управлять по-настоящему крупным процессом силами нескольких специалистов и только приглашать высококвалифицированных экспертов для определенных случаев; повысятся ваши шансы на разрешение инцидента до возникновения негативных эффектов, а также негативные эффекты будут нивелироваться поддержанием работоспособности по другим каналам. С каждым пройденным годом по этой схеме опыт реагирования будет накапливаться, методики оттачиваться и даже несмотря на возникновение все новых и новых угроз, работа по ГОСТу может избавить от огромного количества проблем, особенно существующих. После многолетних итераций эффективность отдела по ИБ станет только выше, а стоимость — ниже, поэтому постарайтесь внедрить и группу реагирования, и протоколы для ее деятельности как можно раньше.

Реагирование на инциденты информационной безопасности

Один из самых простых элементов конструкции по управлению инцидентами. Таковым реагирование на инциденты становится в случае четко прописанных инструкций.

Должно быть детально прописано:

  1. Как ГРИИБ/ГРИЗИ получает информацию об инцидентах, по каким каналам/критериям?
  2. Кто и как должен подключиться к реагированию?
  3. Какие средства и метода реагирования имеются в арсенале?
  4. Пошаговая инструкция по действиям в ходе реагирования (изоляция сети, информирование заинтересованных лиц и пр.)

Расследование инцидентов информационной безопасности сторонними силами

Любое событие информационной безопасности, которое было квалифицировано как инцидент - должно расследоваться. Без этапа расследования не будут сделаны выводы и, как следствие, невозможно инцидент будет повторяться в дальнейшем.

Возможно, атака хакеров оказалась успешной и действие злоумышленников можно определить как преступление. В этом случае необходимо сохранить в целостности цифровые следы. В дальнейшем они могут быть использованы в работе правоохранительных органов. Именно этап расследования инцидентов требует высокой правовой компетенции специалиста по информационной безопасности. Нужно понимать, какие действия можно совершать, а какие нельзя. Более того, нужно прогнозировать дальнейшую работу судебной системы, которая потребует подтверждения не только обстоятельств инцидента, но факта его существования. Например, если в качестве подтверждения инцидента будут журнал средства антивирусной защиты или лог-файл какой-либо другой системы, его необходимо заверить либо у нотариуса, либо у эксперта (экспертной организации).

Специалисты могут вернуть работоспособность системе, но не собрать свидетельства, отвечающие требованиям по полноте, относимости, достоверности, допустимости для дальнейших разбирательств в суде. Более того, недостаточная квалификация специалиста или недостаточно эффективная методика расследования инцидента информационной безопасности может стать причиной уничтожения доказательств в процессе расследования. Например, анализ данных без снятия копий с носителей информации совершенно точно нарушит целостность объекта исследования.

Порядок расследования инцидентов информационной безопасности

Расследование инцидентов кибербезопасности начинается с фиксации, сбора и анализа свидетельств. Затем происходит поиск ответственных и виновных лиц, а также установление непосредственных причин, по которым инцидент ИБ произошел. Далее происходит анализ IT-инцидента, в котором также выявляют недостатки документов и методик, на основе чего создаются рекомендации по реагированию на инциденты и настройке защиты таким образом, чтобы реагирование и расследование было возможным. Подготавливается отчет экспертизы с приложенными данными, который можно использовать для расследования инцидента информационной безопасности на предприятии как своими силами, так и через другие службы.

По форме ниже я принимаю заявки круглосуточно — и даже если я не успею помочь до конца атаки, я смогу помочь с последствиями, а также фиксированием всех необходимых свидетельств, что исключит вероятность их отклонения как «недопустимые» в предстоящем разбирательстве. Вы получите подтвержденные третьей стороной логи, выписки, конфигурации, журналы и итоговый отчет с выводами относительно обстоятельств инцидента; данные могут быть подтверждены мной, как экспертом, в суде.

Срок проведения расследования не может превышать два календарных дня, а срок реакции на заявки — семи часов. Чем быстрее вы обратитесь за помощью, чем свежее будет инцидент — тем больше шансов не только собрать достоверную информацию о состоянии систем, но и, возможно, помочь в преследовании злоумышленника на основе собранных данных.

Отчет о расследовании инцидента информационной безопасности

Практика показывает, что самым эффективным будет оформление отчета (акта) по расследованию инцидента по правилам судебной экспертизы (см. 25 статью 73-ФЗ "О государственной судебно-экспертной деятельности в Российской Федерации")

В частности отчет должен включать:

  • время и место расследования;
  • сведения о лицах проводивших расследование, а также их подписи;
  • сведения об обстоятельствах потребовавших проведение расследования;
  • подробное описание объектов исследований (оборудование, носители информации и пр.);
  • ссылки на регламенты и процедуры организации по расследованию инцидента (важно не нарушить свои собственные процедуры)
  • сведения о присутствовавших участниках расследования;
  • содержание и результаты расследования с указанием инструментария;
  • выводы.
[post_title] => Реагирование на инциденты информационной безопасности в РФ [post_excerpt] => Существуют разнообразные нормативы реагирования на инциденты компьютерной безопасности, но все они достаточно похожи на ГОСТ Р ИСО/МЭК ТО 18044-2007. Разберемся с понятиями события и инцидента информационной безопасности, а также с общим направление взаимодействия с ними, согласно вышеназванному ГОСТУ. [post_status] => publish [comment_status] => open [ping_status] => closed [post_password] => [post_name] => rassledovanie-inczidentov-kompyuternoj-bezopasnosti [to_ping] => [pinged] => [post_modified] => 2024-01-18 16:49:33 [post_modified_gmt] => 2024-01-18 13:49:33 [post_content_filtered] => [post_parent] => 0 [guid] => https://tsarev.biz/?post_type=articles&p=10196 [menu_order] => 0 [post_type] => articles [post_mime_type] => [comment_count] => 0 [robotsmeta] => [pod_item_id] => 10196 )
схема управления инцидентами ИБ

Реагирование на инциденты информационной безопасности в РФ

Array
(
    [ID] => 10198
    [post_author] => 3879
    [post_date] => 2019-12-31 15:07:41
    [post_date_gmt] => 2019-12-31 12:07:41
    [post_content] => 

Информационная безопасность в современной компании — это толстые стены, сложные замки и охрана предприятий прошлого. Сохранность интеллектуальной собственности, равно как и работоспособности структур, доходов и репутации компании напрямую зависит от качества выстроенной защиты, ее функциональности, ее поддержания в круглосуточном режиме. Как же именно оценить нечто столь неуловимое, как качество и «достаточность» предпринятых мер по информационной безопасности? Какую именно оценку ожидает государство во время ежегодных проверок? Какая оценка будет наиболее эффективной для дальнейшего развития ИБ компании?

При оценивании уровня информационной безопасности предприятия различают три направления, или вида оценки:

  • Оценка на соответствие эталону (бывает текущая и «эталонная», в идеале проводятся обе);
  • Риск-менеджмент;
  • Экономическая целесообразность.

Разберем эти понятия подробнее.

Оценка состояния информационной безопасности на соответствие эталону

В качестве «эталона» обычно принимаются (в совокупности и отдельно):

  • требования национальных или международных стандартов в области ИБ (ГОСТ, NIST);
  • требования законодательства Российской Федерации в области ИБ;
  • отраслевые требования по обеспечению ИБ, отдельные для разных сфер деятельности;
  • а также требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ внутри компании.

Эти критерии могут дополняться по предварительной договоренности, например, если глава вашего отдела по ИБ видит рентабельность такого исследования в отношении определенного проблемного участка структуры или собирается использовать результаты для дальнейших модификаций уже существующих протоколов ИБ.

Как раз в зависимости от заданного «эталона» эта оценка может быть системно-ориентированной или процессно-ориентированной.

Оценка текущего состояния системы ИБ сравнивает выстроенную по уже существующему эталону «идеальную» модель требований ИБ с теми, что уже были реализованы в компании в виде текущих защитных мер. Ее результаты легко понять и увидеть определенные слабые места, только вот последующие рекомендации при такой проверке обычно сводятся к самоочевидным и решают проблему на уровне «донастроить SIEM систему под конкретные нужды», «настроить оповещения в консоли антивируса», «установить или обновить ПО определенного вида». Это весьма полезно, и без надежной технической базы нельзя в принципе говорить о защите компании, но такая оценка очень редко дает данные для решения проблем на фундаментальном уровне или возможности расти дальше в более системном и полном смысле, и скорее помогает в текущих, кратковременных и частных вопросах.

«Эталонная» оценка ИБ сравнивает процессы управления (менеджмента) ИБ организации с теми, что были определены как эталонные. Здесь мы определяем степень соответствия таких процессов, как создание отдела и распределение обязанностей по обеспечению ИБ, создание единых протоколов о политике обеспечения ИБ в компании, о реагировании на возникающие инциденты (ссылка на статью про расследование инцидентов), об инструктаже сотрудников компании в вопросах, связанных с ИБ и прочем. Такая проверка позволяет не только спрогнозировать дальнейшее развитие таких процессов в компании, но и скорректировать направление и подходы на более эффективные. Здесь также следует напомнить о том, что слишком много компаний полагается только на антивирусы и подобные системы защиты информации, тогда как большинство инцидентов прошлых лет произошло по внутренним каналам предприятий — как по причине недостаточной осведомленности среди персонала об окружающих угрозах, так и по причине слабо выстроенных систем реагирования на, уже произошедшие инциденты (например, многие компании обращают внимание на события с опозданием и только в стандартное рабочее время — конечно, этим пользуется масса хакеров, направляя атаки ночью и в выходные).

В большинстве случаев при оценке по эталону используют оба вида проверки. Это обусловлено тем, что если системы организации не настроены должным образом, то без этой базы невозможно продвигаться дальше. Это фактически отсутствие защиты на нормальном уровне и провал оценки «защиты» сразу же, к тому же нет возможности опираться и доверять системам при построении руководства по обнаружению и реагированию на события и инциденты и, следовательно, единственная возможность эффективно двигать процессы на новый уровень — это опираться на хорошо работающие системы.

Необходимость системно-ориентированной проверки лежит на поверхности, однако ее «базисность» не должна вводить в заблуждение, это не синоним «достаточности». Только с помощью эффективных и постоянно эволюционирующих процессов управления ИБ компании возможно придти к моменту, когда:

  • Инциденты перехвачены на лету и не могут привести к серьезным последствиям (необходим серьезный опыт в отлаживании и улучшении протоколов реагирования);
  • Свод правил ИБ простой и понятный, идеально выстроен под аудиторию сотрудников организации и особенности вашего бизнеса, так что любой новый персонал не приносит массу рисков на протяжении длительного периода;
  • Система настолько проверена и отточена, что можно урезать стоимость — не нужны дополнительные проверки или исключительно квалифицированные специалисты, что как атланты несут все на своих плечах и используют творческие подходы в разных ситуациях — когда есть четкие протоколы как и что делать, то нет постоянных расходов на последствия инцидентов, нет постоянных расходов на то и дело слетающие программы или их настройки, система будет поддерживать себя сама, своими протоколами и организовывать процессы, обучать людей, значительно снижая ежегодную стоимость на поддержание ИБ.

Оценка по эталону — это тот самый вид оценки, что проверяет эффективность вашей текущей защиты, превращает в количественную или качественную оценку процессы и систему, позволяет понять, насколько крепки ваши «стены» и что следует сделать для их укрепления.

Риск-менеджмент

Эта оценка рассматривает риски ИБ, возникающие в сфере конкретной организации и что было сделано для минимизации возможности возникновения, обработки/управления в целом. Для этого сначала определяют риски и их ключевые индикаторы, формируют на их основе критерии оценки, собирают свидетельства процессов по подготовке к встрече с рисками или результаты непосредственного инцидента, и, после измерения риск-факторов, формируется финальная оценка.

Обычно риски измеряют по тяжести возможных последствий (ущербу) и по вероятности реализации угрозы. Соответственно, процессы контроля и реагирования заключаются в снижении либо эффекта, либо вероятности реализации риска. Большинство стен можно проломить тем или иным способом, но если затраты времени, усилий и прочих ресурсов значительно превышают возможную выгоду, то вероятность что кто-то будет этим заниматься, да еще и успеет сделать до подключения команды реагирования, крайне мала. Еще меньше вероятность того, что хакер сочтет это стоящим постоянного риска разоблачения и, во многих странах, уголовной ответственности.

Одна из основных проблем такой оценки — это сложность понимания какие именно вещи могут привести к тяжким и дорогостоящим последствиям, а какие нет. В документации NIST приводится возможное прогнозирование ежегодных потерь с помощью определения информационного актива, фактора подверженности воздействию и ежегодной частоте появления, но даже данные этого уравнения достаточно размыты и могут предложить скорее некие рамки, чем реальные точные цифры. К тому же, как верно указано в ГОСТ Р ИСО/МЭК ТО 18044-2007, «незначительный инцидент ИБ может перейти в категорию «существенный» или в «кризисную ситуацию» в случае его неправильной обработки, или незначительный инцидент ИБ, не обработанный в течение недели, может стать «значительным» инцидентом ИБ.» Как раз потому, что собственные процессы компании могут стать разрушительными, а еще потому, что реагирование и контроль рисков можно проверить экспериментальным путем, в основном риск-ориентированная оценка направлена на анализ того, как менеджмент предприятия действует в отношении рисков — как оценивает, какими способами контролирует и реагирует, в отличие от простого перечня и классификации возможных рисков в вакууме. Такая проверка в меньшей степени тестирует «стены», это скорее прогнозирование потенциальных угроз и анализ действий защитников.

Экономическая целесообразность

Наверное, самая понятная для предприятия оценка — сколько стоит ваша защита, включая зарплаты специалистов, содержание оборудования, покупка программного обеспечения, а также некоторые косвенные затраты. Оценка на основе показателей совокупной стоимости владения позволяет оценить затраты на ИБ и управлять ими для достижения нужного уровня защиты — без определенных ресурсов не будет ни «стен», ни достаточной «охраны», но и излишние траты на ИБ будут тяготить другие процессы и отделы.

Самостоятельное или независимое оценивание?

Самооценка уровня ИБ предприятия возможна, и во многих местах даже необходима — после введения нового процесса или модификации старого, после определенной настройки систем защиты или полученных новых знаний сотрудников, все это надо постоянно и неотступно тестировать, улучшать, развиваться через итерацию и проанализировать успех того или иного действия возможно только при проведении того или иного оценивания. Конечно, для подобных мелких процессов заполнять громоздкие формы стандартов NIST кажется излишним, и, хотя модель оценки процесса с десятками показателей сделает возможным более глубокий анализ, для большинства задач вполне можно сфокусировать усилия на ключевых 5-10 показателях оценки. Самое главное в такой самооценке — не потерять организованность оценивания. Здесь по-прежнему нужно еще до начала определить вид оценивания и критерии, нужно тщательно документировать собранные данные и их последующий анализ, сложные модели могут заменяться упрощенными, но все еще желательно преобразовывать процессы и системы в понятные графики и отчеты, к которым после можно получить доступ. Такие архивы могут помочь и самой компании наблюдать свое развитие или обращаться к данным в похожих ситуациях, а также могут стать отличным подспорьем для независимых экспертов в понимании подходов в вашей компании, с чем вы сталкивались ранее, и даже особенности ИБ для вашего бизнеса.

Оценка от сторонних организаций или экспертов редко проводится для ежедневных нужд или мелких изменений — обычно более объективный взгляд со стороны нужен когда компания прошла длительный (месяц-два) цикл видоизменений своей ИБ и теперь нужен крупный аудит (как частный случай независимой оценки), чтобы увидеть, как именно все изменилось и правильно ли выбрано направление движения. Также помощь сторонних организаций для оценки требуется в следующих случаях:

  • Поиск новых методик и знаний. У ваших специалистов может быть ограничена квалификация и они оказались в тупике. Или стоимость некоторых процессов ИБ кажется неподъемной и оптимизация продвигается очень медленно. Независимый эксперт может поделиться современными технологиями и стандартами, рассказать где не надо переплачивать за оборудование, как можно построить в целом более стабильную систему, которая станет давать гораздо меньше нагрузки и на ваш бюджет, и на ваших спецов.
  • Оценка на соответствие государственным нормам и требованиям. Это как раз тот момент, когда большинство компаний заказывают комплексный аудит. Доверие выше к более объективной проверке от лицензиата со стороны, чем к самооценке предприятия. Более того, эксперты с нужной лицензией знают совершенно точно как соответствовать нормам государственной проверки и избежать штрафов, вплоть до заполнения всех необходимых форм.
  • Значительные изменения в компании или законодательстве. Новые законы, новое руководство, произошло слияние, расширился список услуг и поддерживающих их структур — в общем, так или иначе изменилась сама система защиты или требования к ее «эталону». В таком случае самооценка не представляется в полной мере возможной — это словно настройка самых первых дней, но только с участками старой архитектуры и для скорости преодоления «опасного» периода, а также отладки новых процессов управления ИБ необходим взгляд со стороны.
  • Критическая ситуация вне возможностей вашего отдела ИБ. При реагировании на инциденты всегда происходит проверка на контроль ситуации — и если вы вдруг оказались в той, что не поддается вашему контролю и реагированию, вам нужно срочно связаться со специалистами по безопасности сторонних организаций. Даже если они не успеют восстановить контроль до конца атаки, они смогут собрать информацию по преступлению для передачи ее в надлежащие органы, а также справиться с последствиями. Скорость и высокая квалификация в этом случае критичны, а потому если у вас есть подозрение на подобный инцидент, немедленно связывайтесь с экспертами по безопасности.

Я провожу независимое оценивание ИБ любого типа и сложности, возможны пентесты и приведение в соответствие по положениям 683-П, 757-П и ГОСТ 57580.1, ГОСТ 57580.2. Если вам нужна консультация по вопросам информационной безопасности, проведение независимой оценки вашей защиты, досудебные и судебные экспертизы по вопросам IT, а также экспертиза документации в этой области или разработка организационно распорядительной документации «с ноля» — оставляйте заявку в этой форме, они принимаются круглосуточно.

[post_title] => Оценка информационной безопасности [post_excerpt] => Какую именно оценку ожидает государство во время ежегодных проверок? Какая оценка будет наиболее эффективной для дальнейшего развития ИБ компании? [post_status] => publish [comment_status] => open [ping_status] => closed [post_password] => [post_name] => otsenka-informatsionnoy-bezopasnosti [to_ping] => [pinged] => [post_modified] => 2022-01-11 17:35:23 [post_modified_gmt] => 2022-01-11 14:35:23 [post_content_filtered] => [post_parent] => 0 [guid] => https://tsarev.biz/?post_type=articles&p=10198 [menu_order] => 0 [post_type] => articles [post_mime_type] => [comment_count] => 6 [robotsmeta] => [pod_item_id] => 10198 )
оценка кибербезопасности

Оценка информационной безопасности

Предоставлю подробную консультацию

Предложу актуальное и наиболее выгодное решение Вашей проблемы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The reCAPTCHA verification period has expired. Please reload the page.