Определение необходимости и периодичности проведения работ по оценке защищенности

Когда требуется проводить оценку защищенности

Для того чтобы понять, требуется ли проводить оценку защищенности ваших систем, необходимо определить тип и этап жизненного цикла этих систем.

Системы подразделяются на следующие типы:

• программное обеспечение;
• программно-аппаратный комплекс;
• информационная система, сеть или сегмент сети.

Информационные системы, в свою очередь, подразделяются на два типа:

• информационные системы, на которые распространяются обязательные требования по защите информации;
• информационные системы, на которые не распространяются обязательные требования по защите информации.

Если информационная система обрабатывает информацию ограниченного доступа (информацию, доступ к которой ограничен федеральными законами), то на нее могут распространяться обязательные требования по защите информации. Например, к таким системам могут относиться:

• объекты критической информационной инфраструктуры;
• государственные информационные системы;
• информационные системы персональных данных;
• банковские системы.

Если информационная система не обрабатывает информацию ограниченного доступа, то требования по защите информации устанавливаются владельцем информации. К таким системам могут относиться корпоративные системы и сети.

Оценка защищенности программного обеспечения и программно-аппаратных комплексов

Для оценки защищенности программного обеспечения (ПО) и программно-аппаратных комплексов (ПАК) необходимо определить этап их жизненного цикла. На этапе разработки или модернизации ПО и ПАК может проводиться анализ их защищенности. На этапе эксплуатации, помимо анализа защищенности, может проводиться аудит информационной безопасности. Кроме того, для ПО и ПАК, которые выполняют функции информационной безопасности, может применяться оценка соответствия в форме оценки эффективности или сертификации. Состав и периодичность проведения работ по оценке защищенности определяется владельцем ПО или ПАК. Оценка защищенности проводится для выявления недостатков в коде, конфигурации или функционировании ПО и ПАК с целью их устранения и повышения защищенности. Оценку защищенности для ПО или ПАК следует проводить, если вы хотите выполнить одну из следующих задач:

• вы разработали ПО или ПАК и хотите убедиться, что в нем нет уязвимостей;
• в процессе разработки ПО или ПАК вы использовали сторонний код и внешние библиотеки и хотите убедиться, что они не повлияют на их безопасность;
• подрядчик разработал для вас код, и вы хотите оценить, насколько хорошо он подошел к вопросам безопасности информации;
• вы планируете выпустить релиз ПО или ПАК и перед этим хотите убедиться, что информация пользователей будет защищена;
• вы хотите проверить, сможет ли внешний нарушитель взломать ваше ПО или ПАК, или сможет ли внутренний нарушитель повысить свои привилегии в нем;
• вы внедрили новое ПО или ПАК и хотите убедиться, что конфигурация соответствует требованиям регуляторов;
• вы внедрили ПО со встроенными функциями безопасности и хотите проверить, корректно ли оно их выполняет.

Если ПО или ПАК являются средствами защиты информации или выполняют функции безопасности, то для их применения в государственных информационных системах, а также для защиты информации ограниченного доступа в соответствии с действующим законодательством Российской Федерации необходимо провести их сертификацию.

Оценка защищенности информационных систем

Для оценки защищенности информационных систем, так же как и для ПО и ПАК, необходимо определить этап их жизненного цикла. Необходимо учитывать, что тестирование на проникновение может проводиться только для информационных систем, в которых уже внедрена система защиты информации. Остальные виды работ могут проводиться вне зависимости от этапа жизненного цикла системы.

Для информационных систем, которые обрабатывают информацию ограниченного доступа, состав и периодичность работ по оценке защищенности устанавливаются регуляторами. Например, для государственных информационных систем заданы следующие условия проведения работ:

Для информационных систем, которые не обрабатывают информацию ограниченного доступа, состав и периодичность работ по оценке защищенности устанавливается владельцем системы с учетом значимости выполняемых процессов. Оценка защищенности проводится в ходе создания, конфигурирования или функционирования систем с целью выявления и устранения недостатков и повышения защищенности. Оценку защищенности для таких информационных систем следует проводить, если вы хотите выполнить одну из следующих задач:

• вы создали информационную систему и хотите убедиться, что в ней нет уязвимостей;
• вы модернизируете систему и хотите убедиться, что вносимые изменения не скажутся на безопасности системы;
• вы хотите узнать, можно ли взломать вашу информационную систему;
• вы хотите быть уверены в том, что ключевая информация вашего бизнеса надежно защищена;
• вы хотите быть уверены в том, что информация пользователей надежно защищена;
• вы хотите проверить, насколько эффективно работает ваша система защиты и команда, которая ее эксплуатирует;
• вы хотите провести обучение своей команды по информационной безопасности;
• вы хотите проверить, соответствует ли ваша система требованиям или стандартам по защите информации;
• вы хотите проверить, нет ли у вас пробелов в организации защиты информации;
• вы определили, какие события неприемлемы для вашего бизнеса, и хотите убедиться, что они не смогут быть реализованы в ходе кибератак.

После того как вы определили тип вашей системы, этап ее жизненного цикла и задачи, которые вы хотите решить с помощью оценки защищенности, можете переходить к выбору конкретного вида оценки защищенности.