Существуют три основных типа работ по оценке защищенности информационных систем: анализ защищенности, тестирование на проникновение и аудит информационной безопасности.
Анализ защищенности выполняется для различных объектов оценки: от программного обеспечения до целых сегментов сети. Основная цель — выявление уязвимостей, содержащихся в объекте оценки, и формирование рекомендаций по их устранению. Эффективность работ зависит от используемых методов и типов анализа.
Тестирование на проникновение выполняется в локальных вычислительных сетях или в их отдельных сегментах. Основная цель тестирования заключается в проверке эффективности системы защиты информации или построенных процессов выявления и реагирования на киберинциденты. Эффективность тестирования зависит от типа анализа и сроков выполнения.
Аудит информационной безопасности выполняется с целью выявления и устранения недостатков в построении системы защиты информации или в процессах защиты информации в соответствии с заданными требованиями безопасности.
Параметры сравнения | Анализ защищенности | Тестирование на проникновение | Аудит информационной безопасности |
---|
Содержание работ | Выявление максимального количества существующих недочетов, допущенных в ходе проектирования, разработки и эксплуатации систем или приложений, практическая демонстрация возможности их использования и формирование рекомендаций по их устранению | Получение объективной и независимой оценки текущего уровня защищенности системы от атак со стороны внешнего и внутреннего нарушителя путем практической демонстрации преодоления сетевого периметра тестируемой организации и получения несанкционированного доступа к внутренним ресурсам сети | Получение объективных качественных и количественных оценок текущего состояния информационной безопасности систем и сетей в соответствии с определенными критериями и показателями безопасности |
Цели работ | Выявить максимальное количество уязвимостей в системе, подтвердить возможность их эксплуатации и сформировать рекомендации по их устранению | Проверить эффективность выстроенной системы защиты информации или выстроенных процессов по выявлению и реагированию на киберинциденты (когда выбран вариант тестирования с противодействием) | Выявить недостатки в построении системы защиты информации или в процессах защиты информации в соответствии с заданными требованиями безопасности и сформировать рекомендации по их устранению |
Время выполнения | От одного дня до трех месяцев | От одной недели до одного года | От одной недели до трех месяцев |
Решаемые задачи | Поиск максимального количества уязвимостей с целью их устранения | Задачи тестирования на проникновение зависят от типа работы; такими задачами могут быть: - оценка возможности проникновения в систему; - оценка эффективности системы защиты информации и процессов по выявлению и реагированию на киберинциденты; - проверка реализуемости недопустимых для организации событий | - Определение уровня защиты информации; - оптимизация и планирование затрат на обеспечение информационной безопасности; - обоснование инвестиций в системы защиты информации; - проверка выполнения требований по обеспечению информационной безопасности систем, установленных требованиями или стандартами по информационной безопасности |
Объекты оценки | - Отдельные приложения; - устройства и оборудование; - беспроводные сети и сети связи; - локальные вычислительные сети; - информационные системы или их компоненты | - Локальные вычислительные сети; - информационные системы; - отдельные сетевые сегменты (в том числе беспроводные) | - Локальные вычислительные сети; - информационные системы; - отдельные процессы; - отдельные устройства; - отдельные приложения |
Методы оценки (модель нарушителя) | - Метод черного ящика; - метод серого ящика; - метод белого ящика | - От лица внешнего нарушителя; - от лица внутреннего нарушителя | - Внутренний аудит; - внешний аудит |
Типы анализа | - Ручной, с использованием средств автоматизации; - полностью автоматизированный (с последующим ручным анализом результатов) | Тестирование на проникновение может быть как с фокусом на недопустимые события, так и без него. К работам, в которых не рассматриваются недопустимые события, относятся: - классическое тестирование на проникновение (с обозначением конкретных целевых систем и без них); - непрерывное тестирование на проникновение (pentest 365); - red teaming. К работам с фокусом на недопустимые события относятся: - верификация недопустимых событий; - киберучения; - purple teaming; - взаимные киберучения | - Экспертная документальная проверка состояния защиты информации и информационных систем; - экспертная проверка (в том числе с использованием средств автоматизации) реализованных мер защиты информации; - анализ защищенности информационных систем с использованием технических средств для обнаружения потенциальных уязвимостей в программно-аппаратном комплексе; - аттестация или сертификация реализованных систем и процессов информационной безопасности на предмет соответствия стандартам или требованиям законодательства |
Результаты работ | Перечень уязвимостей и рекомендации по их устранению | Результаты тестирования на проникновение зависят от типа работы и могут содержать: - векторы атак; - полученные привилегии; - достигнутые цели и целевые системы; - верифицированные недопустимые события; - перечень уязвимостей и рекомендаций по их устранению; - оценку эффективности системы защиты и мониторинга; - оценку эффективности реагирования; - оценку эффективности мониторинга и реагирования по заданным метрикам | - Перечень выявленных недостатков в построении системы защиты информации или в процессах защиты информации в соответствии с заданными требованиями безопасности; - рекомендации по устранению выявленных недостатков и совершенствованию комплексной системы обеспечения информационной безопасности; - предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков |
Резюме | Анализ защищенности проводится, когда нужно выявить максимальное число уязвимостей в тестируемой системе, а также на этапах разработки, ввода в эксплуатацию и эксплуатации информационной системы | Тестирование на проникновение проводится, когда нужно проверить эффективность выстроенной системы и процессов защиты информации. Такие работы рекомендуется проводить только тогда, когда информационная система подготовлена к промышленной эксплуатации в части информационной безопасности или уже эксплуатируется и только при наличии системы защиты информации | Аудит проводится, когда нужно оценить выполнение заданных требований безопасности. Такие работы могут выполняться на всех этапах жизненного цикла системы |
Таким образом, чтобы определить необходимый тип работ, сформулируйте свою задачу. Если вы хотите узнать, какие уязвимости содержатся в вашей системе, и устранить их, или вы разработчик программного обеспечения и не хотите подвергать ваших пользователей риску быть взломанными, в таких случаях проводите анализ защищенности. Если ваша задача звучит как «Могут ли меня взломать?» или «Как я выгляжу в глазах хакера?» — проводите тестирование на проникновение. Если же ваша цель — подтвердить, соответствует ли ваша система тем или иным требованиям или стандартам, — проводите аудит информационной безопасности.