Анализ и оценка информационной безопасности

Цели, задачи и стандарты оценки информационной безопасности

Опасность утечки конфиденциальной информации, воздействия вредоносного программного обеспечения и кибератак на коммерческие организации и государственные структуры требует комплексного анализа и оценки рисков информационной безопасности.

Его цель – выявление уязвимостей, потенциальных угроз и последствий для информационных ресурсов. Задачи включают:

• определение критически важных данных;
• выявление и классификацию рисков;
• разработку стратегии противодействия угрозам, несанкционированному доступу, изменению и уничтожению;
• контроль и мониторинг эффективности принятых мер.

Комплексные рекомендации по управлению информационной безопасности (ИБ) предоставляют мировые стандарты:

• ISO/IEC 27001 – международный стандарт;
• NIST SP 800–53 – рекомендации американского института стандартов;
• GDPR – европейский стандарт;

и их отечественные аналоги, например, ГОСТ Р ИСО/МЭК 27001–2021. Они включают методы анализа и оценки рисков, а также требования к контролю защиты информации.

Исходные данные и документация

Оцениваются все информационные активы, которые могут быть потенциально уязвимыми для нарушителей и приводят к утечке конфиденциальной информации:

• Организационно–распорядительные документы – политика безопасности, процедуры обработки данных, управление доступом.
• Данные о технической инфраструктуре – список всех хостов (сервера, компьютеры, сетевые устройства, периферийное оборудование, их технические характеристики и конфигурация).
• Программное обеспечение ­– общесистемное, прикладное, СУБД.
• Средства защиты информации (СЗИ) – информация о производителе, настройки конфигурации, схема установки.
• Топология системы – схема локальной сети, каналы связи, сетевые протоколы, информационные потоки.

Текущий уровень ИБ оценивают по полноте и содержанию документации по защите информации, вероятности проведения атаки, моделировании действия внешнего и внутреннего нарушителя.

Анализ угроз и уязвимостей

Помогает выявить слабые узлы в системе ИБ, принять меры по их устранению с учетом специфики деятельности предприятия или организации.

Анализируют нескольких основных аспектов:

• источник потенциальной опасности;
• область уязвимости;
• предполагаемый портрет нарушителя;
• вероятность осуществления угрозы;
• масштаб предполагаемых негативных последствий;
• сопоставление затрат на защитные меры с потенциальными финансовыми потерями при инциденте.

Для анализа угроз и уязвимостей ИБ можно применять различные методы:

• оценку экспертов;
• статистический анализ;
• исследование основных факторов;
• матрицу угроз;
• схемы атак.

На основе проведенного анализа угроз безопасности информации разрабатываются предложения по изменению внутренних процессов организации.

Анализ рисков информационной безопасности

После выявления уязвимостей информационных ресурсов и составления списка потенциальных угроз следующим шагом становится анализ рисков ИБ. Эта оценка позволяет рационально подойти к выбору защитных механизмов и инструментов для обеспечения должного уровня безопасности информационных систем.

В информационной безопасности выделяют несколько видов рисков:

Технические

Связаны с уязвимостями в программном обеспечении, аппаратуре и сетевых компонентах (использование устаревших или нелицензионных версий ПО, отключение защиты).

Организационные

Ошибки и недобросовестные действия сотрудников.

Природные

Пожары, наводнения и другие стихийные природные явления.

Экономические

Связаны с финансовыми потерями из–за инцидентов ИБ. Это могут быть затраты на восстановление данных, штрафы и потеря клиентов.

Для проведения анализа и оценки рисков ИБ используется методология, которая включает оценку вероятности наступления событий, анализ последствий и возможные меры по снижению рисков ИБ. Как правило, оценка рисков может проводиться качественными или количественными методами.

• Количественная оценка – определяет конкретные числовые значения последствий нарушения ИБ, измеряемые в стоимости продукции, времени, затраченных человеческих ресурсах (например, ожидаемый уровень потерь во время простоя оборудования).
• Качественная оценка рисков – классифицирует вероятные угрозы по уровню их воздействия на ИБ (например – высокий уровень, средний, низкий).

Чтобы сделать количественную оценку рисков ИБ в организации, нужно:

1. Оценить финансовую стоимость всех информационных ресурсов организации.
2. Выявить потенциальные финансовые потери при различных сценариях угроз для каждого ресурса.
3. Определить вероятность реализации каждой угрозы.
4. Подсчитать общий возможный ущерба по типам угроз за определенный интервал времени.
5. Определить размер ущерба для каждой конкретной угрозы.

Для анализа рисков можно использовать специальное программное обеспечение. Конкретная стратегия оценки выбирается с учетом её соответствия нуждам организации, её размеру и структуре.

Оценка защищенности информационных ресурсов и систем

Это практическое тестирование, направленное на выявление слабых мест в системе безопасности. Оно включает глубокий анализ всех компонентов информационной инфраструктуры.

Специалисты по кибербезопасности нашей компании моделируют действия злоумышленников, пытаясь обнаружить бреши в защите до того, как ими воспользуются реальные хакеры.

Они оценивают защищенность информационной системы по следующим критериям:

• Функциональная безопасность. Проверяются параметры настройки антивирусного ПО, межсетевых экранов и других СЗИ, способность технических решений эффективно противодействовать киберугрозам, соблюдение персоналом политик ИБ, систему разграничения доступа.
• Устойчивость защитного контура. Проверяется комплектность технических документов, их соответствие текущему состоянию системы, эффективность сервисного обеспечения – своевременное обновление, контроль и техподдержка защитных компонентов.

Некоторые методики оценки защищённости информации и систем:

• Статистический аудит безопасности. Анализируется накопленный объём данных об атаках на объект.
• Пентест. Оценка уязвимостей безопасности системы через симуляцию хакерских атак
• Инструментальный анализ. Имитация действий хакеров с помощь специального ПО.
• Пассивное сканирование. Выявляет потенциальные бреши в защите без активного вмешательства.

Оценку текущего состояния ИБ в госструктурах, в том числе субъектах КИИ, проводят по методическому документу ФСТЭК России от 2 мая 2024 года.

Данная методика применяет индикатор Кзи для оценки актуального уровня ИБ в компании. Показатель отражает, насколько организация приблизилась к базовому необходимому стандарту защиты.

Базовый уровень состояния защищенности Кзи=1, когда у организации выполнены все меры защиты по группам:

• администрирование;
• обеспечение безопасности пользователей;
• защита ИТ– структуры;
• контроль безопасности данных и оперативное реагирование при угрозах.

Методика устанавливает каждому показателю и каждой группе показателей коэффициент значимости. Если показатель выполнен, ему присваивается значение установленного коэффициента, если нет – значение показателя равно нулю.

Алгоритм вычисления значение Кзи:

1. Находится сумма показателей по каждой группе (Sj).
2. Умножается на коэффициент значимости Rj по каждой группе(Sj* Rj).
3. Полученные результаты по каждой группе складываются Кзи=∑(Sj* Rj).

Полученный результат характеризует уровень текущего состояния защиты информации:

• Кзи=1 («зеленый») – минимальный
• 0,75<Кзи<1 («оранжевый») – низкий
• Кзи<0,75 – критически низкий

Если Кзи<1, организации необходимо разработать план реализации мероприятий по достижению большего уровня защиты.

Анализ текущего состояния и зрелости информационной безопасности

Оценка состояния ИБ включает выявление существующих проблем и прогнозирование потенциальных рисков. Международное сообщество разработало ряд методологий для стандартизации процедуры оценки. Основные из них – стандарт ISO/IEC 27001, обеспечивающий структурированный подход к управлению информационной безопасностью, и фреймворк NIST CSF, предлагающий гибкую систему оценки киберзащиты.

Российские специалисты применяют международные стандарты и интегрированную модель зрелости CMMI, которая позволяет классифицировать процессы обеспечения безопасности по пяти уровням. Градация помогает организациям точнее определить свое текущее положение и спланировать дальнейшее развитие системы защиты.

Оценка и анализ инцидентов и событий

Системный анализ информационной безопасности включает изучение характеристик атаки, методов проникновения злоумышленников, уязвимостей системы, уровня нарушений, определение возможных угроз для дальнейшей защиты данных.

Для проведения анализа событий и нарушений ИБ используют сравнение с нормативами и стандартами безопасности, технический анализ журналов событий системы, экспертную оценку специалистов в области ИБ.

Методы анализа событий помогают выявить обнаруженные подозрительные действия, оценить их влияние на информационную безопасность предприятия и принять меры по устранению выявленных уязвимостей и рисков.

Преимущества обращения в УЦ ПРОФИ

Грамотное управление рисками и минимизация возможного ущерба от инцидентов безопасности обеспечивают защиту интеллектуальной собственности, конфиденциальных данных и бизнес–процессов. Это дает возможность организации укрепить свое конкурентное преимущество, избежать значительных финансовых потерь и сохранить деловую репутацию в глазах клиентов и партнеров.

Наша компания не только проводит всесторонний анализ информационной безопасности, но и поможет внедрить комплексные решения, создав надежный защитный контур для ваших информационных ресурсов.

Партнерство с квалифицированными специалистами откроет доступ к передовым методикам и технологиям обеспечения ИБ. УЦ ПРОФИ обладает штатом высококвалифицированных сотрудников и необходимыми лицензиями ФСБ и ФСТЭК России.