При выстраивании любой системы защиты информации, вне зависимости от размера организации, всегда возникают два вопроса — насколько эффективна защита на данный момент и насколько нужно повысить ее уровень, чтобы минимизировать возможные риски. Порой даже самые передовые меры не могут гарантировать полную безопасность без надлежащей оценки защищенности информационных систем
В этой статье мы разберем основные аспекты связанные с оценкой защищенности ИС и ответим на вопрос: «Почему эта процедура стала так актуальна в 2022 году?».
В 2022 году сфера информационной безопасности в РФ пережила множество изменений — наша страна столкнулась со различными видами кибератак, множеством случаев утечек данных, подрывов стабильной работы многих популярных российских интернет-ресурсов и уходом иностранных компаний. В настоящее время повышение защищенности информационных систем — отдельная и важная задача в глобальном процессе обеспечения информационной безопасности страны, которая актуальна как для крупных корпораций, так и для менее масштабных компаний. Существует множество стандартов и требований законодательства в области защиты информации и в сегодняшних условиях особенно важно соответствовать им.
Оценка защищенности — проверка осуществленных мер защиты информации, которая определяет степень соответствия требованиям законодательства и стандартов, а также позволяет оценить реальный уровень защищенности информационной системы организации от потенциальных угроз.
Комплексная оценка защищенности помогает выявить возможные угрозы информационной безопасности — взлом, отказы в работе, человеческий фактор — и определить, насколько они реальны для той или иной организации.
Наиболее значимыми международными стандартами, определяющими критерии для оценки защищенности, и требования, предъявляемые к способам защиты, являются:
ISO 15408 (Общие критерии оценки безопасности ИТ);
ISO 17799 (Практические правила управления ИБ).
Однако самым важным изменением, которое вернуло процесс оценки защищенности ИС в центр внимания, стало подписание Указа Президента РФ № 250 от 1 мая 2022 года. Этот указ поручает правительству установить перечень организаций, которые обязаны реализовать оценку защищенности своих ИС. К таким организациям относятся некоторые государственные органы, госкорпорации, субъекты КИИ, системообразующие и иные предприятия, созданные на основании различных Федеральных законов.
Согласно данному указу, организации могут осуществлять оценку защищенности своих ИС при взаимодействии со сторонними компаниями, имеющих соответствующие лицензии ФСБ и ФСТЭК России:
Оценка защищенности информационных систем — системный и комплексный анализ объективных данных о текущем состоянии процессов и средств защиты информации. В первую очередь, это не только оценка принятых технических, но и организационных мер защиты информации. На всех этапах обследования используются различные методы — от технических до расчетных. Именно совокупность всех применяемых методов дает объективную оценку защищенности.
Одним из основных инструментов оценки защищенности традиционно являются сканеры защищенности, которые выявляют уязвимости сетевого периметра, внутренних сетевых ресурсов, ПО, интернет-приложений и сайтов организации.
Сканеры защищенности функционируют в двух режимах:
Статического сканирования
В данном случае проверка ведется по косвенным признакам в пассивном режиме — анализируются заголовки портов сетевых устройствах, после чего они сравниваются с базой уязвимостей. При совпадении сканер сигнализирует об обнаруженной уязвимости.
Динамического сканирования
При данном режиме работы сканер имитирует возможные атаки потенциального злоумышленника, проверяя отклик системы. Является более медленным, однако более точным способом выявления уязвимостей.
Оценка защищенности проводится удаленно, однако также может оказываться непосредственно на объектах информатизации заказчика.
В ходе оценки выявляются:
Возможные угрозы информационной безопасности;
Уязвимости информационной системы;
Недостатки применяемых СЗИ и ПО.
Перед началом оказания услуги, компания-заказчик должна предоставить подписанное авторизационное письмо с описанием своей информационной инфраструктуры, где перечислены внешние сервисы компании.
Разработку реестра недопустимых событий –– перечня событий, которые могут привести к нарушению основной деятельности информационных систем. Согласно типовому ТЗ по оценке уровня защищенности от Минцифры, под недопустимыми событиями понимаются утечки персональных данных или другой конфиденциальной информации, мошеннические действия в банковских системах и т. п.;
Моделирование целевых атак с целью оценки возможности реализации недопустимых событий;
Оценка мер противодействия атакам;
Поиск уязвимостей информационной инфраструктуры;
Разработка рекомендаций по модернизации информационной инфраструктуры для повышения уровня защищенности;
По результатам оценки, разрабатываются и выдаются отчетные документы и рекомендации по улучшению информационных системы. Отчеты предоставляются в бумажном и в электронном виде, после чего заказчик самостоятельно предоставляет результаты в адрес Правительства РФ, а также регулирующих органов по соответствующему запросу.
Заключение
Оценка защищенности ИС — сложный, однако необходимый процесс, который поможет повысить уровень безопасности не только отдельных предприятий, но и всей информационной инфраструктуры нашей страны. И именно ввиду своей технической, нормативной и организационной сложности, доверять этот процесс следует только опытным и лицензированным профессионалам в сфере ИБ.
Статья подготовлена по информации сайта Астрал безопасность https://is.astral.ru/services/zashchita-informatsii/otsenka-zashchishchennosti-informatsionnykh-sistem/>