Чтобы правильно оценить уровень защищенности ИТ-систем, первым делом нужно определить модель угроз компании и узнать, от кого защищаться. Как это сделать, рассказывает журнал IT-Manager
Что определяет уровень защищенности
Не моделируя потенциальные угрозы информационной безопасности, невозможно построить защищенную систему. Но если описаны:
- угрозы безопасности — это возможная реализация атак или нарушение главных принципов информации: целостности, доступности, конфиденциальности;
- модели нарушителя — это портреты хакеров, например внешний злоумышленник со сканерами в арсенале, хакер в составе группировки, предприимчивый школьник или внутренний нарушитель;
- способы реализации угроз — сценарии атак;
- возможные уязвимости — бреши в ИТ-инфраструктуре компании: сайтах, приложениях, личных кабинетах и так далее;
- последствия от потери или компрометации информации;
то становится ясно, как именно изменить системы, процессы и средства защиты, чтобы сократить риски и учесть максимум угроз информационной безопасности.
Собрав информацию, можно переходить к диагностике проблем — оценке защищенности. Это комплекс мероприятий: начиная от интервью разработчиков и администраторов и заканчивая проведением тестирования на проникновения. Например, при таком аудите можно обнаружить, что в компании отсутствует парольная политика или патч-менеджмент, — в таком случае сложно сказать, что уровень защищенности компании высокий.
