03 июля 2017

7 аргументов в пользу ежегодного анализа защищенности

Анализ защищенности является одной из тех процедур, без которых сложно представить процесс обеспечения информационной безопасности в организации. Никто не сомневается в том, что результаты данной процедуры задают вектор для функционирования и дальнейшего развития системы защиты информации. Однако вопрос о том, с какой периодичностью стоит проводить анализ защищенности, является весьма актуальным.
В общем случае оптимальным периодом проведения такой процедуры является срок не более 1 календарного года. И вот 7 аргументов в пользу этого утверждения.

1. Критическая масса изменений, требующих внимания

В течение года в любой организации происходит масса существенных изменений: информационные системы модернизируются или реконфигурируются, появляются новые активы, обновляется штат сотрудников и так далее. Анализ защищенности позволяет определить, успевает ли система защиты информации перестраиваться в соответствии с происходящими в организации изменениями, ведь требуемый уровень защищенности может быть достигнут только в том случае, когда используются лишь актуальные данные.
Регулярное проведение такой процедуры, как анализ защищенности, дает возможность своевременно изменять систему защиты так, как того требует текущее состояние организации.

2. Изменение ландшафта угроз

Информационные технологии, как область науки и техники, весьма динамичны. Непрерывное развитие технологий способствует появлению ранее неизвестных угроз, изменению актуальности и опасности уже известных. Действующие же системы обеспечения информационной безопасности защищают от множества угроз, которые являлись актуальными на момент создания системы защиты.
Анализ защищенности, проводимый регулярно, позволяет понять, как сильно изменился ландшафт угроз, критичны ли произошедшие изменения, требуется ли модернизация системы защиты.

3. Обоснование затрат на информационную безопасность

Результаты проведения анализа защищенности представляют объективную и независимую оценку состояния информационной безопасности в организации и могут использоваться как для оценки эффективности уже понесенных затрат, так и для обоснования необходимости будущих капиталовложений.
По нашему опыту, зачастую полученный в результате проведения анализа защищенности отчет, содержит данные о том, что реализованные механизмы защиты не в состоянии обеспечить должный уровень защищенности, что является весомым аргументом в пользу увеличения бюджета, выделяемого на обеспечение информационной безопасности.

4. «Боевые» учения

Проведение анализа защищенности можно сравнить с боевыми учениями, которые проводятся в силовых структурах — персоналу, ответственному за обеспечение защиты информации в организации, предоставляется возможность продемонстрировать свои навыки в безопасных условиях, так как противостоять им будут квалифицированные специалисты, цель которых выявить существующие уязвимости в системе защиты и показать вероятные последствия от их эксплуатации, а не нанести вред организации.
Регулярное проведение таких «учений», по сути, представляет собой тренировку, направленную на улучшение профессиональных качеств персонала, в обязанности которого входит выявление и пресечение вторжений, а также является хорошим способом проверки недавно принятых на работу сотрудников.

5. Человеческий фактор

Процесс защиты информации является всеобъемлющим, так как в нем тем или иным образом задействовано подавляющее большинство сотрудников организации, в обязанности которых входит взаимодействие с защищаемой информацией.
Не секрет, что человеческий фактор имеет большое влияние на различные процессы, происходящие в организации, в том числе и на обеспечение информационной безопасности. По разным оценкам до 70% утечек информации являются следствием халатности или неосмотрительности сотрудников. Однако тот факт, что вся организация, в том числе и сами сотрудники, находятся в режиме проверки, невольно заставляет персонал внимательнее относится как к своим должностным обязанностям, так и к обязанностям по обеспечению информационной безопасности.
Регулярное проведение анализа защищенности позволяет поддерживать сотрудников организации в тонусе, что положительно влияет как на деятельность организации в целом, так и на процесс обеспечения информационной безопасности.

6. Compliance, соответствие стандартам

Обязательные процедуры по проведению анализа защищенности включены во многие стандарты по информационной безопасности. Так, например, стандарт индустрии платежных карт PCI DSS подразумевает проведение анализа защищенности информационных систем организации «не реже одного раза в год, а также после любой значительной модификации или обновления инфраструктуры и приложений».
Подобные требования также содержатся в стандарте ISO/IEC 27 001, приказах ЦБ РФ и множестве других стандартов.

7. Ежегодная отчетность

Риски информационной безопасности, наравне с финансовыми и коммерческими рисками, являются значимыми и требуют пристального внимания не только директоров по безопасности, но и собственников бизнеса.
Проведение анализа защищенности позволяет собрать важную информацию об актуальных рисках, которая может быть включена в ежегодные отчеты для высшего руководства и собственников. Доведение обозначенных рисков до высшего руководства позволяет повысить внимание к вопросам информационной безопасности на всех уровнях и на всех направлениях деятельности организации.

Вместо заключения

В процессе принятия решения о том, как часто стоит проводить анализ защищенности, необходимо руководствоваться такими факторами, как масштаб организации, динамика ее роста, частота модернизации информационных систем и пр. Анализ защищенности может проводиться чаще, чем раз в год, или, наоборот, реже. Важно, чтобы анализ осуществлялся периодически.
Владислав Павлов
Специалист по информационной безопасности, Акрибия
Другие публикации по теме