Анастасия ГришинаКак оценить готовность организации к отражению кибертатак
Анастасия ГришинаАнастасия ГришинаПо мере развития информационной инфраструктуры в современных организациях и подходов к обеспечению ее информационной безопасности все острее стоит вопрос о необходимости использования инструментов, которые помогут понять, насколько эффективно организация готова противостоять атакам киберпреступников, и как объективно оценить текущий уровень киберустойчивости — способности организации не только своевременно предотвращать кибератаки, но и продолжать вести в штатном режиме ежедневную операционную деятельность под воздействием кибератак. Одним из вариантов определения уровня киберустойчивости является оценка защищенности организаций от кибератак, в основе которой лежит практический подход к определению возможности реализации недопустимых событий.
Для определения уровня киберустойчивости организации необходимо составить перечень недопустимых событий и провести работы по моделированию и имитации компьютерных атак, направленные на реализацию этих недопустимых событий. Именно на анализе результатов таких работ основывается методика оценки защищенности организаций от кибератак. Для получения оценки исполнитель, который проводил такие атаки, должен заполнить анкету, содержащую специальный набор метрик. В зависимости от выбранной для проверки модели нарушителя и полученных результатов тестирования может быть получена оценка защищенности от внешнего и (или) внутреннего нарушителя по 1000-балльной шкале, которая показывает текущий уровень киберустойчивости организации. Полученную оценку можно использовать не только для понимания текущего уровня киберустойчивости организации, но и для других целей, например:
Данная методика имеет ограничение: адекватную оценку уровня киберустойчивости можно получить в том случае, если исполнитель работ по моделированию и имитации компьютерных атак имеет достаточный опыт в проектах, направленных на реализацию недопустимых событий. В противном случае, если привлекать к таким работам неквалифицированного исполнителя, можно получить ошибочное представление о том, что организация имеет высокий уровень киберустойчивости.
Для получения оценки в анкете необходимо заполнить три блока с различными метриками:
Метрики-достижения показывают, каких результатов достиг исполнитель в процессе выполнения работ на сетевом периметре организации или в локальной вычислительной сети. Данная группа метрик учитывает все основные результаты работ, за исключением результатов, связанных с реализацией недопустимых событий, для которых есть отдельный блок метрик. За каждый значимый результат работ, достигнутый путем проведения кибератак, оцениваемой организации начисляется определенное количество штрафных баллов.
Рисунок 1. Метрики-достижения
Метрики реализации недопустимых событий предназначены для сбора информации о результатах работ, связанных с недопустимыми событиями. По аналогии с метриками-достижениями за часть метрик реализации недопустимых событий оцениваемой организации начисляется определенное количество штрафных баллов. Кроме того, в данный блок метрик входит особая метрика, которая показывает, сколько дней внешнему или внутреннему злоумышленнику потребовалось до реализации первого в хронологическом порядке недопустимого события от начала работ.
Рисунок 2. Метрики реализации недопустимых событий
Корректирующие коэффициенты отражают сложность проводимых атак, особенности работы систем защиты и персонала, ответственного за реагирование на киберинциденты, а также ограничения, вводимые заказчиком в процессе работы.
Рисунок 3. Корректирующие коэффициенты
С алгоритмом подсчета итоговой оценки защищенности организации от кибератак можно ознакомиться в полной версии методики.
Для итоговой оценки существуют шесть диапазонов баллов, которые соответствуют определенным уровням киберустойчивости организации: