По мере развития информационной инфраструктуры в современных организациях и подходов к обеспечению ее информационной безопасности все острее стоит вопрос о необходимости использования инструментов, которые помогут понять, насколько эффективно организация готова противостоять атакам киберпреступников, и как объективно оценить текущий уровень киберустойчивости — способности организации не только своевременно предотвращать кибератаки, но и продолжать вести в штатном режиме ежедневную операционную деятельность под воздействием кибератак. Одним из вариантов определения уровня киберустойчивости является оценка защищенности организаций от кибератак, в основе которой лежит практический подход к определению возможности реализации недопустимых событий.
О методике оценки защищенности организаций от кибератак
Для определения уровня киберустойчивости организации необходимо составить перечень недопустимых событий и провести работы по моделированию и имитации компьютерных атак, направленные на реализацию этих недопустимых событий. Именно на анализе результатов таких работ основывается методика оценки защищенности организаций от кибератак. Для получения оценки исполнитель, который проводил такие атаки, должен заполнить анкету, содержащую специальный набор метрик. В зависимости от выбранной для проверки модели нарушителя и полученных результатов тестирования может быть получена оценка защищенности от внешнего и (или) внутреннего нарушителя по 1000-балльной шкале, которая показывает текущий уровень киберустойчивости организации. Полученную оценку можно использовать не только для понимания текущего уровня киберустойчивости организации, но и для других целей, например:
- для сравнения динамики до и после внедрения различных мер, направленных на улучшение системы информационной безопасности организации;
- подтверждения практической пользы вводимых мер;
- сравнения между собой различных организаций по уровню киберустойчивости;
- сравнения уровня киберустойчивости филиалов, дочерних обществ или региональных подразделений одной организации.
Данная методика имеет ограничение: адекватную оценку уровня киберустойчивости можно получить в том случае, если исполнитель работ по моделированию и имитации компьютерных атак имеет достаточный опыт в проектах, направленных на реализацию недопустимых событий. В противном случае, если привлекать к таким работам неквалифицированного исполнителя, можно получить ошибочное представление о том, что организация имеет высокий уровень киберустойчивости.
Какие метрики используются для оценки
Для получения оценки в анкете необходимо заполнить три блока с различными метриками:
- метрики-достижения;
- метрики реализации недопустимых событий;
- корректирующие коэффициенты.
Метрики-достижения показывают, каких результатов достиг исполнитель в процессе выполнения работ на сетевом периметре организации или в локальной вычислительной сети. Данная группа метрик учитывает все основные результаты работ, за исключением результатов, связанных с реализацией недопустимых событий, для которых есть отдельный блок метрик. За каждый значимый результат работ, достигнутый путем проведения кибератак, оцениваемой организации начисляется определенное количество штрафных баллов.
Рисунок 1. Метрики-достижения
Метрики реализации недопустимых событий предназначены для сбора информации о результатах работ, связанных с недопустимыми событиями. По аналогии с метриками-достижениями за часть метрик реализации недопустимых событий оцениваемой организации начисляется определенное количество штрафных баллов. Кроме того, в данный блок метрик входит особая метрика, которая показывает, сколько дней внешнему или внутреннему злоумышленнику потребовалось до реализации первого в хронологическом порядке недопустимого события от начала работ.
Рисунок 2. Метрики реализации недопустимых событий
Корректирующие коэффициенты отражают сложность проводимых атак, особенности работы систем защиты и персонала, ответственного за реагирование на киберинциденты, а также ограничения, вводимые заказчиком в процессе работы.
Рисунок 3. Корректирующие коэффициенты
Итоговая оценка
С алгоритмом подсчета итоговой оценки защищенности организации от кибератак можно ознакомиться в полной версии методики.
Для итоговой оценки существуют шесть диапазонов баллов, которые соответствуют определенным уровням киберустойчивости организации:
- 851–1000 баллов — уровень киберустойчивости высокий. Возможностей для нанесения злоумышленником ущерба организации не выявлено.
- 651–850 баллов — уровень киберустойчивости выше среднего. Злоумышленник сможет нанести незначительный ущерб в отдельных видах деятельности организации, приложив серьезные усилия и ресурсы.
- 501–650 баллов — уровень киберустойчивости средний. Злоумышленник сможет нанести значительный ущерб в отдельных видах деятельности организации, приложив серьезные усилия и ресурсы.
- 301–500 баллов — уровень киберустойчивости ниже среднего. Злоумышленник сможет нанести значительный ущерб в отдельных видах деятельности организации, серьезных усилий и ресурсов для этого не требуется, или злоумышленник сможет нанести значительный ущерб во всех основных видах деятельности организации, приложив серьезные усилия и ресурсы.
- 51–300 баллов — уровень киберустойчивости низкий. Злоумышленник сможет нанести значительный ущерб, влияющий на все основные виды деятельности организации, серьезных усилий и ресурсов для этого не требуется.
- 0–50 баллов — уровень киберустойчивости крайне низкий. Злоумышленник сможет нанести фатальный ущерб организации, серьезных усилий и ресурсов для этого не требуется.