Способы использования результатов работ по оценке защищенности

Когда итоговый отчет с результатами работ по оценке защищенности лежит у вас на столе, важно знать, что делать дальше и как максимально эффективно использовать эти результаты.

Обычно отчет содержит информацию о выявленных недостатках информационной безопасности или, если недостатков не выявлено, резюме исполнителя работ, в котором указано, что на основании представленного перечня проведенных проверок или описания работ протестированной системе присвоен высокий уровень защищенности. Важно, чтобы информация о выявленных недостатках была корректно воспринята и правильно использована для внедрения улучшений и устранения проблем. Результаты работ не должны становиться поводом к увольнению или объявлению выговоров. Помните, что описанные в отчете недостатки были подтверждены, и значит, у злоумышленников есть возможность использовать их для реальной атаки на организацию, а ваша первоочередная задача — оперативно их устранить. Разберитесь в причинах возникновения всех выявленных недостатков, разработайте план действий по их устранению и приступите к его реализации.

Очень часто в итоговых отчетах причины возникновения выявленных недостатков уже указаны, а также даны рекомендации по их устранению. Тем не менее полученные результаты не всегда отвечают на вопрос: «Что делать?». Например, для вашей организации провели работы по верификации недопустимых событий, и в отчете вы получили полный перечень реализованных недопустимых событий, критериев их реализации, возможные векторы атак и рекомендации по закрытию этих векторов. При этом отчет не отвечает на вопрос, что дальше делать с этими недопустимыми событиями. Другой пример: вы заказали анализ защищенности всей инфраструктуры и в итоге получили список в несколько тысяч пунктов и не знаете, с чего начать.

Приоритизация недостатков и масштабирование рекомендаций

Перед тем как начать работу по устранению недостатков, их нужно приоритизировать. Вы можете использовать собственные методики для определения приоритета устранения недостатков, использовать лучшие практики или проконсультироваться с исполнителем работ.

Помните, что не все информационные ресурсы могли быть протестированы. Возможно, на какие-то из них не хватило отведенного времени, они не попали в границы проведения работ или вид работ не предусматривает тестирование каждого отдельного компонента инфраструктуры. В любом случае необходимо понять, какие из информационных ресурсов подвержены тем же недостаткам, которые были выявлены в процессе проведения оценки защищенности. Для этого нужно провести инвентаризацию информационных активов и затем масштабировать предложенные исполнителем рекомендации. При этом важно учесть возможное влияние изменений, вносимых в IT-инфраструктуру, на другие сервисы и ресурсы.

При выборе мер и средств защиты также важно учитывать, что одна мера или средство может закрыть сразу несколько недостатков.

Если исполнитель работ предоставляет консультационную поддержку на определенный период после окончания (приемки) работ, рекомендуем устранить недостатки именно в этот период, чтобы в случае вопросов вы могли обратиться к нему за помощью. При этом важно понимать, что исполнитель может не обладать полной информацией о вашей инфраструктуре, чтобы дать гарантированно надежное решение или единственно верный ответ на возникший вопрос. Тем не менее он сможет дать общие рекомендации и советы по выбору мер и средств защиты, что поможет в принятии решения.

Оценка эффективности работы системы защиты информации и средств мониторинга

Если работы не включали оценку эффективности работы системы защиты информации и системы мониторинга, то такую оценку можно провести самостоятельно, используя полученные результаты работ. Сопоставьте данные в отчете с данными в журналах регистрации событий безопасности средств защиты информации и средств мониторинга. Убедитесь, что указанные средства зафиксировали все действия команды исполнителя. Если какие-то из действий исполнителя не были зафиксированы, необходимо определить причину. При проведении оценки необходимо учитывать характер действий команды специалистов по тестированию на проникновение. Помните, что в ходе тестирования на проникновение в классическом формате команда специалистов по тестированию на проникновение не скрывает своих действий в системе, а значит, обнаружение таких действий не позволит судить о высокой эффективности работы службы информационной безопасности. Кроме того, на объективность оценки влияет осведомленность службы информационной безопасности о проведении работ по оценке защищенности.

В общем случае при работе службы информационной безопасности в режиме мониторинга (то есть без активного противодействия специалистам по тестированию на проникновение) критерии оценки эффективности обнаружения киберинцидентов могут быть следующие:

Характер действий специалистов по тестированию на проникновение	Реакция службы информационной безопасности	Оценка эффективности
Скрытные	Действия специалистов по тестированию на проникновение обнаружены	Высокая
Скрытные	Действия специалистов по тестированию на проникновение не обнаружены	Низкая
Скрытные	Действия специалистов по тестированию на проникновение обнаружены частично	Оценка зависит от доли обнаруженных действий
Открытые	Действия специалистов по тестированию на проникновение обнаружены	Не дает объективной оценки
Открытые	Действия специалистов по тестированию на проникновение не обнаружены	Крайне низкая

В случае проведения службой информационной безопасности активного противодействия команде специалистов по тестированию на проникновение можно провести оценку реагирования на киберинциденты. Оценки выставляются по аналогичному принципу, но, помимо фактов выявления атак, учитываются еще два параметра — эффективность реагирования и своевременность реагирования.

Причины отсутствия записей о действиях команды специалистов по тестированию на проникновение могут быть следующие:

недостаточное покрытие мониторингом;
недостаточная подробность журналов событий;
отсутствие необходимых средств защиты;
недостатки конфигурации средств защиты;
некорректно функционирует ИТ-инфраструктура, в которой развернуто средство мониторинга;
действие команды специалистов по тестированию на проникновение не является инцидентом информационной безопасности;
другие причины.

Если в журналах регистрации событий безопасности отсутствуют записи о попытках взлома со стороны команды специалистов по тестированию на проникновение, то информация в отчете должна быть использована для повышения эффективности и разработки новых правил корреляции событий безопасности.

Если в отчете содержится информация о том, что какие-то механизмы защиты информации удалось обойти, необходимо определить причину возможности такого обхода. Причины могут быть следующие:

недостаточное покрытие мониторингом;
недостатки конфигурации средств защиты;
недостатки функциональности средств защиты;
другие причины.

Если причиной обхода является недостаток средства защиты, не позволяющий ему выявлять или отражать атаки подобного рода, необходимо обратиться к разработчику такого средства защиты и сообщить о выявленной проблеме.

Повторная оценка защищенности

После устранения всех выявленных недостатков и внесения всех необходимых улучшений рекомендуется провести повторную оценку в тех же границах для подтверждения эффективности принятых мер, а также для выявления новых недостатков, которые могли быть пропущены в рамках первоначальной оценки или были внесены при устранении уязвимостей.

Для упрощения повторной оценки может быть проведена проверка эффективности устранения только тех недостатков, которые были выявлены ранее, без проведения всех возможных видов проверок, которые могут проводиться в рамках такой оценки. Однако при таком подходе выявить новые уязвимости не получится.

Важно! Вы можете использовать отчет по оценке защищенности для выполнения требований регуляторов. Например, для выполнения требований стандарта PCI DSS, Указа Президента Российской Федерации от 1 мая 2022 г. № 250, приказа ФСТЭК России от 11 февраля 2013 г. № 17 и т. д.).