Безопасность информации стала очень важным видом деятельности в бизнесе, особенно с учетом стратегий цифровой трансформации и появления более строгих правил конфиденциальности данных. Кибератаки продолжают оставаться самой большой угрозой для данных и информации организаций; неудивительно, что первым шагом к противодействию этим атакам является понимание источника и попытка пресечь атаку в зародыше.
Два способа понимания общих источников угроз в области информационной безопасности — это оценка рисков и оценка уязвимостей. И то, и другое необходимо не только для понимания того, откуда могут исходить опасности для конфиденциальности, целостности и доступности информации, но и для определения наиболее подходящего курса действий по их обнаружению, предотвращению или противодействию им.
В рамках общеорганизационного управления рисками оценки рисков будут проводиться на регулярной основе. Начните с комплексной оценки, проводимой раз в три года. Затем постоянно контролируйте эту оценку и пересматривайте ее ежегодно.
Существует множество методов оценки рисков, от простых до сложны:
- Мозговой штурм
- Контрольные списки рисков
- Моделирование Монте-Карло
Понимание своих уязвимостей так же важно, как и оценка рисков, потому что уязвимости могут привести к рискам. Стандарт определяет уязвимость как слабость актива или элемента управления, которая может быть использована одной или несколькими угрозами. Например, необученный сотрудник или сотрудник без исправлений может рассматриваться как уязвимость, поскольку они могут быть скомпрометированы угрозой социальной инженерии или вредоносным ПО. Исследования показывают, что 80% представителей предприятий считают, что их собственные сотрудники и пользователи являются самым слабым звеном в безопасности данных их организации.
Оценка уязвимости включает в себя всесторонний анализ бизнес-активов организации для определения пробелов, которыми может воспользоваться объект или событие, что приводит к актуализации угрозы. Оценка уязвимости включает четыре этапа:
- Первоначальная оценка. Определите контекст и активы организации, а также риск и критическую ценность для каждого бизнес-процесса и ИТ-системы.
- Определение базовой линии системы. Перед оценкой уязвимости соберите информацию об организации, например, организационную структуру, текущую конфигурацию, версии программного/аппаратного обеспечения и т. д.
- Сканирование уязвимостей. Используйте доступные и одобренные инструменты и методы для выявления уязвимостей и попыток их эксплуатации. Тестирование на проникновение является одним из распространенных методов.
- Отчет об оценке уязвимостей. Обобщите свои выводы, включая название и описание уязвимости, оценку, потенциальное воздействие и рекомендуемые меры по смягчению последствий.
Пункт предусматривает проведение оценки уязвимостей средств, используемых компанией для проведения деятельности. Ключевые параметры для оценки:
- факторы среды;
- персонал компании;
- административный аппарат;
- ПО, коммуникации, аппаратное обеспечение;
- привычные процедуры;
- организация рабочих процессов.
Необходимое условие для принятия действительности оценки – соблюдение требований ГОСТ Р ИСО/МЭК ТО 13335-3-2007.
В пункте требуется указать:
а) параметры оценки уязвимости активов (с указанием основания для оценки, оценивающего сотрудника или специалиста, методики и формы представления результатов);
б) выявленные уязвимости по степени угрозы, сведенные в табл. 5. (Например, «высокая», «низкая», «средняя»)
Важно! В таблице собраны уязвимости по зонам возникновения. Идентичный информационный актив компании или предприятия может быть указан в разных разделах (имеет несколько уязвимостей).