Методология
eponomareva.jpgЕлена Пономарёва

Введение

Кибербезопасность (далее также — КБ) строится на трех ключевых аспектах: процессы, технологии, экспертиза, и именно их совокупность отражает возможности организации по отражению кибератак. Очевидно, что чем выше уровень кибербезопасности, тем лучше для организации. Существует множество способов ее оценки, которые могут включать в себя различные варианты проверок. Зачастую оценить текущее состояние кибербезопасности необходимо в кратчайшие сроки, что может вызывать затруднения у экспертов по информационной безопасности. Именно для решения этой задачи и была разработана настоящая методика экспресс-оценки. Ключевой особенностью методики является ее компактность и возможность получения быстрых высокоуровневых результатов. Эти результаты помогут определить текущее состояние кибербезопасности в организации, сфокусировать внимание на приоритетных областях и задать вектор дальнейшего развития.

С помощью методики можно:

  • сформировать состав показателей и критериев для определения текущего уровня кибербезопасности организации и способов его оценки;
  • оценить текущий уровень кибербезопасности организации.

Настоящая методика основана на практическом опыте реализации проектов по построению результативной кибербезопасности, а также учитывает лучшие практики и международные стандарты в области кибербезопасности.

Для успешного проведения экспресс-оценки в организации необходимо выделить одного или нескольких экспертов, обладающих необходимым опытом в области кибербезопасности, экспертизой и пониманием внутренних процессов организации.

Анкету для экспресс-оценки уровня кибербезопасности организации можно скачать по ссылке или по кнопке «Материалы для скачивания».

Показатели и критерии оценки уровня кибербезопасности организации

Для оценки уровня кибербезопасности организации используются 10 групп показателей — доменов, образующих структуру оценки и характеризующих текущий уровень следующих процессов/направлений кибербезопасности:

  • целеполагание;
  • управление активами;
  • мониторинг событий;
  • управление инцидентами;
  • управление уязвимостями;
  • управление доступом;
  • управление конфигурациями;
  • технологическая устойчивость;
  • сетевая и инфраструктурная безопасность;
  • контроль защищенности.

Домены состоят из разделов, представленных в виде описания целевого состояния процессов/направлений кибербезопасности и вариантов ответов, содержащих критерии соответствия процессов/направлений одному из следующих уровней:

  • базовый уровень;
  • средний уровень;
  • высокий уровень;
  • продвинутый уровень.

Оценка уровня кибербезопасности

Чтобы получить общую оценку уровня кибербезопасности организации, необходимо использовать следующую балльную систему:

  • 1 балл — базовый уровень;
  • 2 балла — средний уровень;
  • 3 балла — высокий уровень;
  • 4 балла — продвинутый уровень.

При проведении оценки эксперты качественным способом анализируют соответствие текущего уровня каждого процесса/направления кибербезопасности организации предложенным критериям. Анализ должен выполняться последовательно от уровня «Базовый» к уровню «Продвинутый». При определении уровня соответствия заявленным критериям эксперты должны выбрать наиболее подходящий вариант ответа, руководствуясь следующим подходом:

  • условия критерия выполняются, если его описание соответствует текущему состоянию процесса/направления кибербезопасности организации на 85% и более;
  • во всех остальных случаях условия критерия не выполняются.

Ответы экспертов определяют степень соответствия процессов/направлений кибербезопасности заданным уровням и формируют оценку для каждого из доменов. Оценка домена вычисляется как среднее значение оценок по каждому критерию.

Важно! Уровень кибербезопасности организации не может принимать значение «Результативная кибербезопасность», если оценки в разделах «Управление недопустимыми событиями / ключевыми рисками КБ», «Реагирование на инциденты» и «Контроль защищенности» не соответствуют 4 баллам.

Определение текущего уровня кибербезопасности организации

Текущий уровень кибербезопасности организации вычисляется по следующей формуле:

 Уровень кибербезопасности = Баллы (домен 1) + Баллы (домен 2) + … + Баллы (домен 10)

 Уровень кибербезопасности организации определяется по диапазону значений, в который попадает сумма баллов по доменам:

  • 1–43 балла — «Цифровая гигиена»
  • 44–66 баллов — «Классическая ИБ»
  • 67–85 баллов — «Трансформируемая КБ»
  • более 86 баллов — «Результативная КБ»

Цифровая гигиена — характеризуется отсутствием выделенного структурного подразделения по кибербезопасности, процессы кибербезопасности находятся в стадии начального формирования, безопасность обеспечивается преимущественно штатными средствами (ОС, СУБД, приложений и т. д.).

Классическая ИБ — характеризуется наличием выделенной функции кибербезопасности, процессы кибербезопасности частично выстроены, выбор защитных мер ориентирован преимущественно на требования регуляторов.

Трансформируемая КБ — руководство организации вовлечено в ключевые инициативы и понимает необходимость перехода к результативной кибербезопасности, функция кибербезопасности выделена, специалисты по кибербезопасности регулярно повышают экспертизу, процессы кибербезопасности выстроены и частично автоматизированы.

Результативная КБ — руководство активно участвует в инициативах по кибербезопасности, сценарии реализации недопустимых событий учтены в архитектуре бизнес-систем и кибербезопасности в целом, эксперты по кибербезопасности регулярно подтверждают практическим путем отсутствие возможности реализации недопустимых событий / ключевых рисков.