По мере развития информационной инфраструктуры в современных организациях и подходов к обеспечению ее информационной безопасности все острее стоит вопрос о необходимости использования инструментов, которые помогут понять, насколько эффективно организация готова противостоять атакам киберпреступников, и как объективно оценить текущий уровень киберустойчивости — способности организации не только своевременно предотвращать кибератаки, но и продолжать вести в штатном режиме ежедневную операционную деятельность под воздействием кибератак. Одним из вариантов определения уровня киберустойчивости является оценка защищенности организаций от кибератак, в основе которой лежит практический подход к определению возможности реализации недопустимых событий.
Для определения уровня киберустойчивости организации необходимо составить перечень недопустимых событий и провести работы по моделированию и имитации компьютерных атак, направленные на реализацию этих недопустимых событий. Именно на анализе результатов таких работ основывается . Для получения оценки исполнитель, который проводил такие атаки, должен заполнить , содержащую специальный набор метрик. В зависимости от выбранной для проверки модели нарушителя и полученных результатов тестирования может быть получена оценка защищенности от внешнего и (или) внутреннего нарушителя по 1000-балльной шкале, которая показывает текущий уровень киберустойчивости организации. Полученную оценку можно использовать не только для понимания текущего уровня киберустойчивости организации, но и для других целей, например:
Данная методика имеет ограничение: адекватную оценку уровня киберустойчивости можно получить в том случае, если исполнитель работ по моделированию и имитации компьютерных атак имеет достаточный опыт в проектах, направленных на реализацию недопустимых событий. В противном случае, если привлекать к таким работам неквалифицированного исполнителя, можно получить ошибочное представление о том, что организация имеет высокий уровень киберустойчивости.
Для получения оценки в анкете необходимо заполнить три блока с различными метриками:
Метрики-достижения показывают, каких результатов достиг исполнитель в процессе выполнения работ на сетевом периметре организации или в локальной вычислительной сети. Данная группа метрик учитывает все основные результаты работ, за исключением результатов, связанных с реализацией недопустимых событий, для которых есть отдельный блок метрик. За каждый значимый результат работ, достигнутый путем проведения кибератак, оцениваемой организации начисляется определенное количество штрафных баллов.
Рисунок 1. Метрики-достижения
Метрики реализации недопустимых событий предназначены для сбора информации о результатах работ, связанных с недопустимыми событиями. По аналогии с метриками-достижениями за часть метрик реализации недопустимых событий оцениваемой организации начисляется определенное количество штрафных баллов. Кроме того, в данный блок метрик входит особая метрика, которая показывает, сколько дней внешнему или внутреннему злоумышленнику потребовалось до реализации первого в хронологическом порядке недопустимого события от начала работ.
Рисунок 2. Метрики реализации недопустимых событий
Корректирующие коэффициенты отражают сложность проводимых атак, особенности работы систем защиты и персонала, ответственного за реагирование на киберинциденты, а также ограничения, вводимые заказчиком в процессе работы.
Рисунок 3. Корректирующие коэффициенты
С алгоритмом подсчета итоговой оценки защищенности организации от кибератак можно ознакомиться в .
Для итоговой оценки существуют шесть диапазонов баллов, которые соответствуют определенным уровням киберустойчивости организации: