Кибербезопасность (далее также — КБ) строится на трех ключевых аспектах: процессы, технологии, экспертиза, и именно их совокупность отражает возможности организации по отражению кибератак. Очевидно, что чем выше уровень кибербезопасности, тем лучше для организации. Существует множество способов ее оценки, которые могут включать в себя различные варианты проверок. Зачастую оценить текущее состояние кибербезопасности необходимо в кратчайшие сроки, что может вызывать затруднения у экспертов по информационной безопасности. Именно для решения этой задачи и была разработана настоящая методика экспресс-оценки. Ключевой особенностью методики является ее компактность и возможность получения быстрых высокоуровневых результатов. Эти результаты помогут определить текущее состояние кибербезопасности в организации, сфокусировать внимание на приоритетных областях и задать вектор дальнейшего развития.
С помощью методики можно:
Настоящая методика основана на практическом опыте реализации проектов по построению результативной кибербезопасности, а также учитывает лучшие практики и международные стандарты в области кибербезопасности.
Для успешного проведения экспресс-оценки в организации необходимо выделить одного или нескольких экспертов, обладающих необходимым опытом в области кибербезопасности, экспертизой и пониманием внутренних процессов организации.
Анкету для экспресс-оценки уровня кибербезопасности организации можно скачать или по кнопке «Материалы для скачивания».
Для оценки уровня кибербезопасности организации используются 10 групп показателей — доменов, образующих структуру оценки и характеризующих текущий уровень следующих процессов/направлений кибербезопасности:
Домены состоят из разделов, представленных в виде описания целевого состояния процессов/направлений кибербезопасности и вариантов ответов, содержащих критерии соответствия процессов/направлений одному из следующих уровней:
Чтобы получить общую оценку уровня кибербезопасности организации, необходимо использовать следующую балльную систему:
При проведении оценки эксперты качественным способом анализируют соответствие текущего уровня каждого процесса/направления кибербезопасности организации предложенным критериям. Анализ должен выполняться последовательно от уровня «Базовый» к уровню «Продвинутый». При определении уровня соответствия заявленным критериям эксперты должны выбрать наиболее подходящий вариант ответа, руководствуясь следующим подходом:
Ответы экспертов определяют степень соответствия процессов/направлений кибербезопасности заданным уровням и формируют оценку для каждого из доменов. Оценка домена вычисляется как среднее значение оценок по каждому критерию.
Важно! Уровень кибербезопасности организации не может принимать значение «Результативная кибербезопасность», если оценки в разделах «Управление недопустимыми событиями / ключевыми рисками КБ», «Реагирование на инциденты» и «Контроль защищенности» не соответствуют 4 баллам.
Текущий уровень кибербезопасности организации вычисляется по следующей формуле:
Уровень кибербезопасности = Баллы (домен 1) + Баллы (домен 2) + … + Баллы (домен 10)
Уровень кибербезопасности организации определяется по диапазону значений, в который попадает сумма баллов по доменам:
Цифровая гигиена — характеризуется отсутствием выделенного структурного подразделения по кибербезопасности, процессы кибербезопасности находятся в стадии начального формирования, безопасность обеспечивается преимущественно штатными средствами (ОС, СУБД, приложений и т. д.).
Классическая ИБ — характеризуется наличием выделенной функции кибербезопасности, процессы кибербезопасности частично выстроены, выбор защитных мер ориентирован преимущественно на требования регуляторов.
Трансформируемая КБ — руководство организации вовлечено в ключевые инициативы и понимает необходимость перехода к результативной кибербезопасности, функция кибербезопасности выделена, специалисты по кибербезопасности регулярно повышают экспертизу, процессы кибербезопасности выстроены и частично автоматизированы.
Результативная КБ — руководство активно участвует в инициативах по кибербезопасности, сценарии реализации недопустимых событий учтены в архитектуре бизнес-систем и кибербезопасности в целом, эксперты по кибербезопасности регулярно подтверждают практическим путем отсутствие возможности реализации недопустимых событий / ключевых рисков.