Заплатите хакерам за взлом: как оценить уровень защищенности ИТ-систем

Защищенность ИТ-систем определяется как состояние устойчивости к кибератакам. Основной парадигмой в управлении информационной безопасностью является риск-ориентированный подход. В этой парадигме риск определяется как «потенциальный ущерб вероятной атаки», которая зависит от величины уязвимости и степени осуществимости угрозы.

Существует несколько способов, позволяющих рассчитать вероятность угрозы. Классический подход к оценке риска предусматривает анализ статистики по однотипным инцидентам за определенный период времени и на основе данной выборки позволяет понять, какова вероятность, что инцидент того или иного типа случится.

При отсутствии статистики предлагается использовать экспертный подход. Уязвимости делятся на уязвимости кода, конфигурации, архитектуры, организационные, многофакторные.

Среди перечисленных отдельно следует затронуть вопрос организационных уязвимостей. Согласно ГОСТу организационная уязвимость возникает при отсутствии или недостатке организационных мер защиты информации. К ним относятся:

• несоблюдение правил эксплуатации,
• несоблюдение требований организационно-распорядительных документов,
• несвоевременное выполнение соответствующих действий должностными лицами или подразделением, ответственным за защиту информации.

В качестве примера можно привести отсутствие двухфакторной аутентификации при доступе к информационной системе персональных данных, которая должна использоваться в соответствии с внутренним регламентом. Управление организационными уязвимостями не менее важно, чем обнаружение и исправление ошибок в коде, и их игнорирование может быть очень опасно.

Если говорить об управлении уязвимостями, важно, чтобы был внедрен процесс не просто их поиска, но и устранения. И здесь мы сталкиваемся с несколькими нюансами.