В обновленной методике отражены новые способы проверки защищенности информационных систем - тестирование на проникновение и поиск уязвимостей. Итоги тестирований и bug bounty (программ, в которых компании приглашают независимых исследователей для поиска уязвимостей) будут иметь основное значение для определения результатов оценки.
Если по итогам тестирования специалисты получат доступ к системе, то ее защищенность получит нулевую оценку по одному или нескольким показателям.
"Смысл нововведений в том, чтобы повысить уровень фактической, а не "бумажной" безопасности в организациях. Пентесты (тестирования на уязвимости) позволяют получить реальную картину защиты от внешних угроз, однако внутренние риски не менее актуальны и требуют практической защиты. Оценивать уровень защищенности от внутренних угроз также целесообразно, а показателем уровня безопасности могло бы стать соотношение инцидентов, выявленных на ранних стадиях, с нарушениями, последствия которых пришлось ликвидировать", - рассказал заместитель генерального директора "СёрчИнформ" по инновационной деятельности Алексей Парфентьев.
Он добавляет, что при этом важно подчеркнуть незаметную на первый взгляд сноску, существенно меняющую подход. Если в результате мероприятий по проверке безопасности, например, при обучающей рассылке фишингового письма, атака сработала и пользователь передал значимую информацию, под которой можно зайти в систему, - результат всех предыдущих мероприятий по аудиту и защите обнуляется.
Эксперт указывает, что это очень верный подход, заставляющий заниматься практической стороной безопасности, а не "прикрываться" результатами аудитов и фактом наличия средств защиты.
Новая методика оценки защищенности приведет к росту затрат на кибербезопасность у трех категорий компаний. Это организации, не признанные ранее субъектами критической инфраструктуры (КИИ) или которые не имели значимых объектов КИИ, например, небольшие производства или локальные транспортные операторы.
Также компании, которые до принятия новой методики занимались в основном организационно-документальными задачами безопасности. И организации, которые вкладывались в прикладную безопасность, но не имели опыта тестирований на проникновение.
Боян Зарипов, руководитель группы отдела систем контроля компании "Газинформсервис", добавляет, что теперь компаниям станет сложнее организовывать работу, так как потребуются более развитые процессы обеспечения безопасности, а не только формально подготовленные документы.
По мнению эксперта, новая методика значительно повышает объективность оценки, превращает анализ защищенности в регулярный аудиторский процесс и вводит стандартизацию доказательств. Это шаг в сторону единого национального стандарта по оценке защищенности, указывает Зарипов.
"Будет необходимо увеличить штат сотрудников по информационной безопасности, потребуется проводить обучение сотрудников средствам защиты, необходимо привести архитектуру в соответствие, устранить накопленные проблемы через призму импортозамещения, обновления операционных систем (ОС) и программного обеспечения (ПО). Также раньше расчет был по запросу ФСТЭК, теперь это должно стать плановой работой", - заключает Зарипов.