Методология
akhalin.jpgАлексей Халин

Когда требуется проводить оценку защищенности

Для того чтобы понять, требуется ли проводить оценку защищенности ваших систем, необходимо определить тип и этап жизненного цикла этих систем.

Системы подразделяются на следующие типы:

  • программное обеспечение;
  • программно-аппаратный комплекс;
  • информационная система, сеть или сегмент сети.

Информационные системы, в свою очередь, подразделяются на два типа:

  • информационные системы, на которые распространяются обязательные требования по защите информации;
  • информационные системы, на которые не распространяются обязательные требования по защите информации.

Если информационная система обрабатывает информацию ограниченного доступа (информацию, доступ к которой ограничен федеральными законами), то на нее могут распространяться обязательные требования по защите информации. Например, к таким системам могут относиться:

  • объекты критической информационной инфраструктуры;
  • государственные информационные системы;
  • информационные системы персональных данных;
  • банковские системы.

Если информационная система не обрабатывает информацию ограниченного доступа, то требования по защите информации устанавливаются владельцем информации. К таким системам могут относиться корпоративные системы и сети.

Оценка защищенности программного обеспечения и программно-аппаратных комплексов

Для оценки защищенности программного обеспечения (ПО) и программно-аппаратных комплексов (ПАК) необходимо определить этап их жизненного цикла. На этапе разработки или модернизации ПО и ПАК может проводиться анализ их защищенности. На этапе эксплуатации, помимо анализа защищенности, может проводиться аудит информационной безопасности. Кроме того, для ПО и ПАК, которые выполняют функции информационной безопасности, может применяться оценка соответствия в форме оценки эффективности или сертификации. Состав и периодичность проведения работ по оценке защищенности определяется владельцем ПО или ПАК. Оценка защищенности проводится для выявления недостатков в коде, конфигурации или функционировании ПО и ПАК с целью их устранения и повышения защищенности. Оценку защищенности для ПО или ПАК следует проводить, если вы хотите выполнить одну из следующих задач:

  • вы разработали ПО или ПАК и хотите убедиться, что в нем нет уязвимостей;
  • в процессе разработки ПО или ПАК вы использовали сторонний код и внешние библиотеки и хотите убедиться, что они не повлияют на их безопасность;
  • подрядчик разработал для вас код, и вы хотите оценить, насколько хорошо он подошел к вопросам безопасности информации;
  • вы планируете выпустить релиз ПО или ПАК и перед этим хотите убедиться, что информация пользователей будет защищена;
  • вы хотите проверить, сможет ли внешний нарушитель взломать ваше ПО или ПАК, или сможет ли внутренний нарушитель повысить свои привилегии в нем;
  • вы внедрили новое ПО или ПАК и хотите убедиться, что конфигурация соответствует требованиям регуляторов;
  • вы внедрили ПО со встроенными функциями безопасности и хотите проверить, корректно ли оно их выполняет.

Если ПО или ПАК являются средствами защиты информации или выполняют функции безопасности, то для их применения в государственных информационных системах, а также для защиты информации ограниченного доступа в соответствии с действующим законодательством Российской Федерации необходимо провести их сертификацию.

Оценка защищенности информационных систем

Для оценки защищенности информационных систем, так же как и для ПО и ПАК, необходимо определить этап их жизненного цикла. Необходимо учитывать, что тестирование на проникновение может проводиться только для информационных систем, в которых уже внедрена система защиты информации. Остальные виды работ могут проводиться вне зависимости от этапа жизненного цикла системы.

Для информационных систем, которые обрабатывают информацию ограниченного доступа, состав и периодичность работ по оценке защищенности устанавливаются регуляторами. Например, для государственных информационных систем заданы следующие условия проведения работ:

Этап жизненного циклаСостав работПериодичность работ
Создание
(ввод в эксплуатацию)
- анализ защищенности;
- тестирование на проникновение;
- аудит информационной безопасности
Указанные работы проводятся в рамках аттестации государственной информационной системы
Эксплуатация- анализ защищенности;
- тестирование на проникновение;
- аудит информационной безопасности
- один раз в два года для систем 2-го и 3-го класса защищенности;
- один раз в год для систем
1-го класса защищенности
Развитие (модернизация)- анализ защищенности;
- тестирование на проникновение;
- аудит информационной безопасности
Указанные работы проводятся для модернизируемого сегмента системы в рамках дополнительных аттестационных мероприятий

Для информационных систем, которые не обрабатывают информацию ограниченного доступа, состав и периодичность работ по оценке защищенности устанавливается владельцем системы с учетом значимости выполняемых процессов. Оценка защищенности проводится в ходе создания, конфигурирования или функционирования систем с целью выявления и устранения недостатков и повышения защищенности. Оценку защищенности для таких информационных систем следует проводить, если вы хотите выполнить одну из следующих задач:

  • вы создали информационную систему и хотите убедиться, что в ней нет уязвимостей;
  • вы модернизируете систему и хотите убедиться, что вносимые изменения не скажутся на безопасности системы;
  • вы хотите узнать, можно ли взломать вашу информационную систему;
  • вы хотите быть уверены в том, что ключевая информация вашего бизнеса надежно защищена;
  • вы хотите быть уверены в том, что информация пользователей надежно защищена;
  • вы хотите проверить, насколько эффективно работает ваша система защиты и команда, которая ее эксплуатирует;
  • вы хотите провести обучение своей команды по информационной безопасности;
  • вы хотите проверить, соответствует ли ваша система требованиям или стандартам по защите информации;
  • вы хотите проверить, нет ли у вас пробелов в организации защиты информации;
  • вы определили, какие события неприемлемы для вашего бизнеса, и хотите убедиться, что они не смогут быть реализованы в ходе кибератак.

После того как вы определили тип вашей системы, этап ее жизненного цикла и задачи, которые вы хотите решить с помощью оценки защищенности, можете переходить к выбору конкретного вида оценки защищенности.