Критерии готовности к переходу на результативную кибербезопасность

Результативная кибербезопасность (РКБ) — это ступень развития информационной безопасности, на которой ее обеспечением занимаются все сотрудники: от топ-менеджмента, определяющего список недопустимых событий (НС), до рядовых специалистов отделов ИБ и ИТ, реализующих методологию.

С РКБ топ-менеджмент начинает понимать необходимость вложений в кибербезопасность, получает возможность объективно и независимо оценить результаты, повысить доверие к организации.
Руководители подразделений ИБ могут повышать уровень кибербезопасности компании при поддержке и участии топ-менеджмента, получают возможность наладить диалог бизнеса и технарей говорить на одном языке.
Специалисты по ИБ и ИТ начинают понимать свои роли в обеспечении кибербезопасности.

Для перехода на РКБ необходимо, чтобы компания достигла определенного уровня обеспечения информационной безопасности — не получится прийти к РКБ, пропустив основные этапы построения классической ИБ внутри организации. Мы подготовили критерии, которые позволят определить, готова ваша компания к трансформации ИБ или нет.

Для начала рассмотрим пример, основанный на профилях двух компаний:

КАТЕГОРИИ	КОМПАНИЯ 1	КОМПАНИЯ 2
Реализация функций ИБ	Функции ИБ возложены на команду ИТ	Функции ИБ выполняют специалисты отдела ИБ
Отношение менеджмента к ИБ	Топ-менеджмент не видит необходимости инвестировать в ИБ	Топ-менеджмент вовлечен в процессы ИБ, понимает важность этой области и риски при отсутствии ее развития
Подход к построению системы защиты	Сознательно не используют средства защиты информации	Потребности в защите удовлетворяются с помощью грамотно подобранных СЗИ, подходящих ИТ -инфраструктуре компании. Выстроен свой SOC
Контроль ИТ-активов внутри компании	Внутри компании никак не ведется контроль ИТ-активов	Организация использует различные средства для тщательного контроля ИТ-активов
Контроль прав доступа	Для удобства сотрудников каждый пользователь имеет права локального администратора. Отключение учетных записей не контролируется	Привилегии пользователей ограничены до того минимума, который позволяет выполнять им свои рабочие обязанности. Пересмотр прав осуществляется периодически. Отключение учетных записей выполняется по истечении определенного срока бездействия
Управление сегментацией в корпоративной сети	Смогли разделить гостевой и корпоративный Wi-Fi	Выстроена грамотно сегментированная сеть
Управление рисками (НС)	Отсутствует процесс управления рисками	Специалисты ИБ и ИТ направлений определяют риски и управляют ими
Вовлеченность топ-менеджмента в процессы ИБ	Топ-менеджмент не принимает участие и не интересуется функционированием ИБ	Топ-менеджмент заинтересован в реальной безопасности инфраструктуры своей компании

Из таблицы мы видим, что Компания 1 ни морально, ни технически не готова перейти на РКБ:

топ-менеджмент не только ограничивает возможности выстраивания процессов ИБ, но и не заинтересован в функции ИБ в целом;
у ИТ-специалистов нет возможности выстроить базовую кибербезопасность;
полностью отсутствуют необходимые регламенты ИБ: регулярный пересмотр прав, переоценка ИТ-активов, ранее собранной информации и т.д.

Тем временем у Компании 2 достаточно зрелая функция ИБ, что позволяет планировать переход на результативную КБ:

топ-менеджмент заинтересован в развитии информационной безопасности компании;
функция ИБ обеспечивается профильными специалистами с необходимой компетенцией;
грамотно выстроена инфраструктура организации.

ЧЕК-ЛИСТ

На портале Резбеза опубликована «». В статье есть файл с пошаговой инструкцией для определения зрелости ИБ. Его заполнение может занять немало времени, поэтому мы подготовили небольшой чек-лист по критериям, который позволит быстрее, пусть и менее точно, определить готовность компании к внедрению методологии РКБ.

В этой таблице критерии разделены по доменам. Если в вашей компании соблюдены не менее чем 21 из 24 пунктов чек-листа, значит, у вас уже есть возможность выстроить стратегию перехода на РКБ.

№	КАТЕГОРИЯ	ОПИСАНИЕ
1.1	Стратегия	Отсутствует стратегия развития информационной безопасности. Топ-менеджмент не вовлекается в вопросы ИБ, только формально согласует ключевые инициативы (подписывает документы)
1.2	Управление недопустимыми событиями и ключевыми рисками ИБ	Функция ИБ совместно с ИТ-подразделением определила риски, связанные с ИБ, и управляет ими самостоятельно. Риски ИБ пересматриваются нерегулярно
1.3	Функция ИБ	Функция ИБ выделена в отдельную структуру или входит в состав подразделения ИТ или службы безопасности, но не подчиняется напрямую топ-менеджменту (подчиняется руководителю ИТ-подразделения или службы безопасности). Специалисты по ИБ посещают тематические конференции и воркшопы по ИБ
2.1	Процесс управления активами	Процесс частично формализован в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности могут быть не детализированы
2.2	Инвентаризация активов	Отсутствует единая база активов, сведения хранятся разрозненно. Актуализация сведений об активах осуществляется нерегулярно. Владельцы активов не назначены
2.3	Классификация и определение значимости активов	Не все активы проходят процедуру классификации и приоритизации. При определении значимости актива не учитываются НС и ключевые риски ИБ
3.1	Процесс мониторинга событий	Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы
3.2	Область мониторинга событий ИБ	Определен перечень источников, с которых должны собираться события ИБ, перечень собираемых событий и параметров регистрации. Источники событий ИБ частично подключены к решению класса SIEM
3.3	Обработка и анализ событий ИБ	Используются базовые правила обработки событий, предустановленные в автоматизированном решении
4.1	Процесс управления событиями	Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы
4.2	Реагирование на инциденты	Управление инцидентами ИБ осуществляется вручную. Разработаны верхнеуровневые планы реагирования на инциденты ИБ
5.1	Процесс управления уязвимостями	Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы
5.2	Анализ уязвимостей	Сканирование на наличие уязвимостей осуществляется периодически и покрывает не все критически значимые активы. Приоритизируется обработка выявленных уязвимостей
5.3	Контроль устранения уязвимостей	Установлены сроки устранения уязвимостей. Контроль устранения уязвимостей осуществляется периодически
6.1	Процесс управления доступами	Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы
6.2	Права доступа и учетные записи	Права доступа назначаются согласно роли и должностным (функциональным) обязанностям. Учетные записи отключаются после определенного периода бездействия. Активные учетные записи и права доступа периодически пересматриваются
6.3	Удаленный доступ	Удаленный доступ к системам и приложениям осуществляется с использованием специализированных механизмов защиты (например, VPN или IP-вайтлистинга). Сеансы удаленного доступа отключаются после определенного периода бездействия
7.1	Безопасные конфигурации	Разработаны и применяются стандарты безопасных конфигураций. Требования к настройке безопасных конфигураций периодически пересматриваются
8.1	Технологическая устойчивость	Для большинства критически значимого ПО, сервисов и средств защиты обеспечивается поддержка вендора. Риски, связанные с прекращением поддержки иностранных систем, не учитываются
8.2	Безопасность унаследованных систем	Ведется учет унаследованных (legacy) систем. Разработаны планы по минимизации рисков, связанных с эксплуатацией унаследованных систем
9.1	Сетевая безопасность	Сеть сегментирована. Применяются средства межсетевого экранирования на границе сети. Применяются технологии безопасного соединения пользователей с корпоративной сетью (например, VPN или двухфакторная аутентификация)
9.2	Защита конечных точек	Для конечных точек обеспечивается наличие антивирусного ПО с актуальными базами сигнатур вредоносного кода. Введены ограничения на установку ПО
9.3	Безопасность приложений	Учитываются приложения и контролируются версий ПО. Разделяются среды для разработки, тестирования и развертывания приложений (DEV-TEST-PROD). Для защиты веб-приложений от сетевых атак используются решения класса WAF
10.1	Контроль защищенности	Проводятся периодические штабные учения по реагированию на инциденты ИБ. Регулярно оцениваются соответствия требованиям ИБ с привлечением внешних организаций

Теперь вы знаете, что для перехода на результативную кибербезопасность нужно заранее подготовить почву.

Мы также предлагаем вам пройти интерактивный тест «» и узнать состояние кибербезопасности вашей компании.

КАТЕГОРИИ

КОМПАНИЯ 1

КОМПАНИЯ 2

Реализация функций ИБ

Функции ИБ возложены на команду ИТ

Функции ИБ выполняют специалисты отдела ИБ

Отношение менеджмента к ИБ

Топ-менеджмент не видит необходимости инвестировать в ИБ

Топ-менеджмент вовлечен в процессы ИБ, понимает важность этой области и риски при отсутствии ее развития

Подход к построению системы защиты

Сознательно не используют средства защиты информации

Потребности в защите удовлетворяются с помощью грамотно подобранных СЗИ, подходящих ИТ -инфраструктуре компании. Выстроен свой SOC

Контроль ИТ-активов внутри компании

Внутри компании никак не ведется контроль ИТ-активов

Организация использует различные средства для тщательного контроля ИТ-активов

Контроль прав доступа

Для удобства сотрудников каждый пользователь имеет права локального администратора. Отключение учетных записей не контролируется

Привилегии пользователей ограничены до того минимума, который позволяет выполнять им свои рабочие обязанности. Пересмотр прав осуществляется периодически. Отключение учетных записей выполняется по истечении определенного срока бездействия

Управление сегментацией в корпоративной сети

Смогли разделить гостевой и корпоративный Wi-Fi

Выстроена грамотно сегментированная сеть

Управление рисками (НС)

Отсутствует процесс управления рисками

Специалисты ИБ и ИТ направлений определяют риски и управляют ими

Вовлеченность топ-менеджмента в процессы ИБ

Топ-менеджмент не принимает участие и не интересуется функционированием ИБ

Топ-менеджмент заинтересован в реальной безопасности инфраструктуры своей компании

ЧЕК-ЛИСТ

№	КАТЕГОРИЯ	ОПИСАНИЕ
1.1	Стратегия	Отсутствует стратегия развития информационной безопасности. Топ-менеджмент не вовлекается в вопросы ИБ, только формально согласует ключевые инициативы (подписывает документы)
1.2	Управление недопустимыми событиями и ключевыми рисками ИБ	Функция ИБ совместно с ИТ-подразделением определила риски, связанные с ИБ, и управляет ими самостоятельно. Риски ИБ пересматриваются нерегулярно
1.3	Функция ИБ	Функция ИБ выделена в отдельную структуру или входит в состав подразделения ИТ или службы безопасности, но не подчиняется напрямую топ-менеджменту (подчиняется руководителю ИТ-подразделения или службы безопасности). Специалисты по ИБ посещают тематические конференции и воркшопы по ИБ
2.1	Процесс управления активами	Процесс частично формализован в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности могут быть не детализированы
2.2	Инвентаризация активов	Отсутствует единая база активов, сведения хранятся разрозненно. Актуализация сведений об активах осуществляется нерегулярно. Владельцы активов не назначены
2.3	Классификация и определение значимости активов	Не все активы проходят процедуру классификации и приоритизации. При определении значимости актива не учитываются НС и ключевые риски ИБ
3.1	Процесс мониторинга событий	Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы
3.2	Область мониторинга событий ИБ	Определен перечень источников, с которых должны собираться события ИБ, перечень собираемых событий и параметров регистрации. Источники событий ИБ частично подключены к решению класса SIEM
3.3	Обработка и анализ событий ИБ	Используются базовые правила обработки событий, предустановленные в автоматизированном решении
4.1	Процесс управления событиями	Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы
4.2	Реагирование на инциденты	Управление инцидентами ИБ осуществляется вручную. Разработаны верхнеуровневые планы реагирования на инциденты ИБ
5.1	Процесс управления уязвимостями	Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы
5.2	Анализ уязвимостей	Сканирование на наличие уязвимостей осуществляется периодически и покрывает не все критически значимые активы. Приоритизируется обработка выявленных уязвимостей
5.3	Контроль устранения уязвимостей	Установлены сроки устранения уязвимостей. Контроль устранения уязвимостей осуществляется периодически
6.1	Процесс управления доступами	Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы
6.2	Права доступа и учетные записи	Права доступа назначаются согласно роли и должностным (функциональным) обязанностям. Учетные записи отключаются после определенного периода бездействия. Активные учетные записи и права доступа периодически пересматриваются
6.3	Удаленный доступ	Удаленный доступ к системам и приложениям осуществляется с использованием специализированных механизмов защиты (например, VPN или IP-вайтлистинга). Сеансы удаленного доступа отключаются после определенного периода бездействия
7.1	Безопасные конфигурации	Разработаны и применяются стандарты безопасных конфигураций. Требования к настройке безопасных конфигураций периодически пересматриваются
8.1	Технологическая устойчивость	Для большинства критически значимого ПО, сервисов и средств защиты обеспечивается поддержка вендора. Риски, связанные с прекращением поддержки иностранных систем, не учитываются
8.2	Безопасность унаследованных систем	Ведется учет унаследованных (legacy) систем. Разработаны планы по минимизации рисков, связанных с эксплуатацией унаследованных систем
9.1	Сетевая безопасность	Сеть сегментирована. Применяются средства межсетевого экранирования на границе сети. Применяются технологии безопасного соединения пользователей с корпоративной сетью (например, VPN или двухфакторная аутентификация)
9.2	Защита конечных точек	Для конечных точек обеспечивается наличие антивирусного ПО с актуальными базами сигнатур вредоносного кода. Введены ограничения на установку ПО
9.3	Безопасность приложений	Учитываются приложения и контролируются версий ПО. Разделяются среды для разработки, тестирования и развертывания приложений (DEV-TEST-PROD). Для защиты веб-приложений от сетевых атак используются решения класса WAF
10.1	Контроль защищенности	Проводятся периодические штабные учения по реагированию на инциденты ИБ. Регулярно оцениваются соответствия требованиям ИБ с привлечением внешних организаций

Теперь вы знаете, что для перехода на результативную кибербезопасность нужно заранее подготовить почву.

Мы также предлагаем вам пройти интерактивный тест «» и узнать состояние кибербезопасности вашей компании.