Как оценить защищенность информационных систем — 6 подходов
Не проходит дня, чтобы не промелькнула новость о том, что та или иная компания пострадала от рук хакеров — то украдут данные, то выведут сайт из строя, то зашифруют важные файлы. И нет-нет да и задаст нам генеральный директор, с которым мы столкнулись в лифте, вопрос: «А с нами такого не случится?»
Если вы думаете, что новости о взломах проходят мимо больших боссов и такой вопрос они вам не зададут, то будьте готовы к другому, интересующему всегда: «А мы защищены?»
И если мы, придя в инвестиционный комитет или на собрание совета директоров, отвечаем утвердительно, то следующий вопрос, который мы услышим, будет как из нашего детства: «А чем докажешь?»
Парадокс, но руководство компании мало волнует, как мы защищаемся от хакеров. Их волнует доказуемый результат нашей деятельности. Рассмотрим шесть различных подходов к оценке защищенности информационных систем, указав их особенности применения в той или иной ситуации.
Но сначала давайте определимся с тем, что и ради чего мы можем оценивать. Несмотря на очевидный и лежащий на поверхности ответ, ситуация не столь проста. С одной стороны, мы делаем это, чтобы улучшить состояние безопасности и найти слабые места прежде, чем это сделают хакеры, способные реализовать недопустимые события, несущие катастрофические последствия для бизнеса (от кражи денег на счете организации и срыва контрактных обязательств до нанесения вреда жизни и здоровью людей или экологической катастрофы). С другой — оценка защищенности требует ресурсов, которые могли бы помочь решать существующие проблемы с ИБ, а не выискивать новые.
Поэтому перед выбором подхода к оценке защищенности необходимо определиться с ее целью. Одно дело — протестировать защищенность нового самописного веб-приложения, которое позволит компании лучше удовлетворять потребности клиентов (а в противном случае потерять их или их лояльность, а следовательно, и снизить средний чек от них), и совсем другое — анализировать периметр компании, чтобы не допустить проникновения в нее «плохих парней», способных украсть ценную информацию, например персональные данные, что может повлечь получение штрафа в размере 1 или 4% от оборота компании, ставшей причиной утечки персональных данных.