Наиболее эффективным способом проверки возможности реализации недопустимых событий остается практическая оценка. Оценить возможность реализации недопустимых событий на практике до запуска программы bug bounty можно с помощью:
- верификации недопустимых событий;
- киберучений.
Указанные работы требуют разного уровня зрелости информационной безопасности в организации. Кроме того, в зависимости от глубины и полноты проводимых работ обеспечивается разное количество оцениваемых метрик. Так, верификация недопустимых событий, в зависимости от наличия и режима работы специалистов службы информационной безопасности, позволяет оценивать не более пяти метрик. Киберучения при выполнении всех условий подготовки к ним, а также при выполнении требований к оформлению результатов работ позволяют оценить 12 метрик.
Далее представлен общий перечень метрик оценки результатов работ по верификации недопустимых событий и киберучений с отметками о возможности их применения в этих работах. Отметки могут быть следующие:
| Отметка | Пояснение |
|---|
| + | В рамках рассматриваемой работы оценка этой метрики возможна |
| +/- | В рамках рассматриваемой работы оценка этой метрики возможна только при выполнении определенных условий |
| - | В рамках рассматриваемой работы оценка этой метрики невозможна |
| Метрика | Верификация недопустимых событий | Киберучения |
|---|
| Оценка защищенности IT-инфраструктуры | + | + |
| Оценка возможности реализации недопустимых событий | + | + |
| Оценка эффективности средств защиты информации | +/- | + |
| Оценка квалификации злоумышленника, необходимой для реализации недопустимых событий | + | + |
| Оценка своевременности реагирования специалистами службы ИБ на инциденты ИБ | - | + |
| Оценка качества реагирования специалистами службы ИБ на инциденты ИБ | +/- | + |
| Оценка корректности выявления специалистами службы ИБ инцидентов ИБ | - | + |
| Оценка своевременности выявления специалистами службы ИБ контрольных событий из цепочек реализации НС | - | + |
| Оценка корректности выявления специалистами службы ИБ каналов взаимодействия (управления) | - | + |
| Оценка ошибок специалистов службы ИБ | - | + |
| Оценка эффективности средств мониторинга | - | + |
| Полнота покрытия средствами мониторинга | - | + |
В качестве основных метрик, показывающих эффективность проведенных работ, можно выделить:
- Оценку возможности реализации недопустимых событий. Эта метрика показывает, сколько недопустимых событий удалось реализовать специалистам по тестированию на проникновение при проведении верификации недопустимых событий или киберучений.
- Оценку своевременности реагирования на инциденты ИБ. Эта метрика показывает процентное соотношение инцидентов ИБ, время реагирование на которые соответствовало установленным допустимым значениям, ко всем инцидентам ИБ, на которые проводилось реагирование. Эта количественная оценка может быть посчитана специалистами службы информационной безопасности при проведении киберучений.
- Оценку эффективности средств мониторинга. Эта метрика показывает процентное соотношение обнаруженных событий ИБ ко всем событиям ИБ, созданным специалистами по тестированию на проникновение. Такая количественная оценка может быть посчитана аналитиками только по результатам проведения киберучений.
- Полноту покрытия средствами мониторинга. Эта метрика показывает процентное соотношение компонентов IT-инфраструктуры, на которых осуществляется мониторинг событий ИБ, ко всем компонентам IT-инфраструктуры. Такая количественная оценка может быть посчитана специалистами службы ИБ только при проведении киберучений.
- Оценку эффективности средств защиты информации. Эта метрика оценивает текущую способность установленных средств защиты информации остановить кибератаку. Такая качественная оценка может быть дана специалистами по тестированию на проникновение по результатам проведения верификации недопустимых событий или киберучений.
- Общий уровень защищенности IT-инфраструктуры. Эта метрика оценивает безопасную настройку и устойчивость к взлому компонентов IT-инфраструктуры. Такая качественная оценка может быть дана специалистами по тестированию на проникновение по результатам проведения верификации недопустимых событий или киберучений.
Указанные метрики можно использовать не только для понимания текущего уровня киберустойчивости организации, но и для других целей, например:
- для сравнения динамики до и после внедрения различных мер, направленных на улучшение системы информационной безопасности организации;
- подтверждения практической пользы вводимых мер;
- сравнения между собой различных организаций по уровню киберустойчивости;
- сравнения уровня киберустойчивости филиалов, дочерних обществ или региональных подразделений одной организации.
Алексей Халин