Личный кабинет

Критерии качества работ по оценке защищенности

akhalin.jpgАлексей Халин

Когда работы по оценке защищенности закончены, важно оценить их результаты. Главным помощником в этом деле является техническое задание, составленное перед началом работ.

Работы по оценке защищенности строго не регламентируются на законодательном уровне и основываются на опыте и специфике работы исполнителя и по большей части носят «творческий» характер. Получается, что четкие критерии качества могут быть предъявлены только к аудиту информационной безопасности. Критериями качества для таких работ будут выступать требования или стандарты, на соответствие которым проводился аудит. Остальные работы (анализ защищенности отдельных систем и тестирование на проникновение) могут выполняться разными специалистами по-разному. Кроме того, для каждого вида работ могут различаться и цели их выполнения. Так как предъявить четкие критерии качества для таких работ не представляется возможным, для определения качества работ необходимо руководствоваться утвержденным техническим заданием. Тем не менее для всех работ по оценке защищенности можно выделить критерии качества, выполнение которых обязательно:

  • цель работ достигнута или дано обоснование невозможности ее достижения;
  • результаты работ соответствуют требованиям технического задания;
  • границы проведения работ соблюдены;
  • дано обоснование оценки защищенности систем;
  • даны рекомендации по повышению защищенности систем и устранению выявленных недостатков;
  • подтверждена возможность эксплуатации выявленных уязвимостей.

 Кроме того, для оценки качества работ могут быть приняты во внимание возможные показатели качества, приведенные ниже.

Вид оценки защищенностиПоказатель качества 1Показатель качества 2Показатель качества 3Показатель качества 4Показатель качества 5Показатель качества 6
Анализ защищенности отдельных системОбнаружены уязвимости нулевого дняОбнаружены критически опасные уязвимости (в том числе логические) в исследуемом кодеПриведен перечень выполненных проверокПеречень выполненных проверок соответствует найденным уязвимостям--
Классическое тестирование на проникновениеОбнаружены уязвимости нулевого дняПолучен доступ к обозначенному ПОПолучен доступ к обозначенной системе или ее компоненту с требуемыми правами доступаПолучен доступ к обозначенным сегментам сетиПолучен доступ к критически значимым для бизнес-процессов организации системам-
Red teamingОбнаружены уязвимости нулевого дняПолучен доступ к обозначенному ПОПолучен доступ к обозначенной системе или ее компоненту с требуемыми правами доступаПолучен доступ к обозначенным сегментам сетиПолучен доступ к критически значимым для бизнес-процессов организации системамСлужба ИБ не смогла зафиксировать действия специалистов исполнителя
Верификация недопустимых событийОбнаружены уязвимости нулевого дняПолучен доступ к целевой системе с требуемыми правами доступаВсе перечисленные недопустимые события верифицированыНайдены ранее неизвестные варианты или критерии реализации недопустимых событийДано обоснование невозможности верификации недопустимого события-
Киберучения в действующей инфраструктуреОбнаружены уязвимости нулевого дняДана оценка эффективности процессов мониторинга и реагирования по заданным метрикамДана оценка эффективности работы службы ИБ по заданным метрикамВсе перечисленные недопустимые события верифицированыДаны рекомендации по повышению эффективности мониторинга-
Аудит информационной безопасностиОбнаружены несоответствия требованиям или стандартамПодтверждено соответствие требованиям или стандартамОпределены недопустимые события, целевые и ключевые системы и точки проникновения---

Приведенные выше возможные показатели качества являются лишь дополнительным инструментом оценки, и их невыполнение не означает, что работы выполнены некачественно, за исключением случаев, когда эти показатели определены в утвержденном техническом задании.

Когда вид работ по оценке защищенности выбран корректно, то, как правило, и результаты работ соответствуют ожиданиям и поставленной задаче, а значит, могут быть корректно оценены. Если же, например, стояла задача определить, сможет ли внешний злоумышленник реализовать недопустимые для бизнеса события, а для ее решения был выбран аудит информационной безопасности, то результаты работ заведомо не позволят решить поставленную задачу, а значит, могут быть несправедливо трактованы как неудовлетворительные. Нельзя оценивать работы как выполненные плохо или неуспешно только исходя из того, что цель работ не достигнута. Может случиться ситуация, когда исполнитель выполнил работу максимально качественно, а поставленная задача не решена как раз потому, что заказчик выбрал неподходящий вид работ.

Бывают и ситуации, когда вид работ подобран верно, но исполнитель все-таки не смог достичь поставленной цели и оценил защищенность системы как высокую. В этом случае оценить полноту проведенных работ помогут обобщенный перечень проверок или описание проведенных работ, которые исполнитель должен включить в итоговый отчет.

Вас могут заинтересовать статьи

Способы использования результатов работ по оценке защищенности