Оценка зрелости процессов ИБ: модели оценки, метрики для каждого направления и дорожная карта улучшений

Для поколения, что выросло на золотых хитах в жанре RPG, не существует таких слов как «дорожная карта улучшений», но есть билды для достижения конкретного результата и эффективности. Но чтобы понять, как нам и в чем прокачаться, нужно сначала оценить, на каком уровне мы находимся. С ИБ можно чётко провести подобную параллель и попытаться всё геймифицировать.

В этой статье мы рассмотрим 4 уровня зрелости компании, в нашем случае пусть это будет некий «левел» нашего персонажа, через который мы сможем понять, где мы сейчас, а значит будет и понимание, что ещё нужно прокачать, найти и купить, чтобы наша ИБшка ультовала в финале с Боссом.

Первый уровень

На этом уровне организации сталкиваются с отсутствием системной ИБ. В большинстве случаев функции информационной безопасности сводятся к действиям местного сисадмина, который решает проблемы по мере их возникновения. Если где-то что-то примотано синей изолентой и опенсорсом — можно считать это уже успех. Тем не менее, это пространство может стать отправной точкой на пути к полноценной ИБ. Некоторые компании начинают с этого уровня и постепенно развиваются по мере роста бизнеса и увеличения информационных активов.

Второй уровень

Компания начинает осознавать важность ИБ, выделяются первые бюджеты. Минимально шаг за шагом начинают формироваться какие-то регламенты. Но всё равно, данное направление находится в руках ИТ-подразделения. Да, там прикручиваются какие-то гайки, накатываются антивирусные решения, прокидывают даже VPN, поднимают свой первый МСЭ. Уже неплохо и даже можно открыть шампанское с прошлого корпоратива. Однако это не убережёт от специфических рисков и угроз, что требуют комплексного подхода к безопасности. И это ещё полбеды. Как правило, на данном этапе всё еще наблюдается некая суматоха в регламентах и зонах ответственности. Начальство выделяет бюджет на все вопросы сразу и нужно как-то на ходу понять, что мы будем обновлять в первую очередь — старые сервера, систему бэкапа или может уже пришло время заменить опенсорсный МСЭ на полноценный NGFW. Да и не до конца понятно, у кого какая зона ответственности в случае инцидента. Вот здесь-то как раз и начинается дозревание до мысли, что пора покинуть зону хаоса и начать выстраивать что-то действительно серьезное и понятное для всей команды.

Третий уровень

Появляется полноценный сектор ИБ в компании. Осознанный подход к обеспечению безопасности своих информационных активов. Чёткое понимание рисков для бизнеса и наличие стратегии по развитию защищённости. Есть выделенная команда специалистов, совокупность технических решений. И как минимум они уже включают джентльменский набор, который выглядит примерно так.

• Системы контроля доступа и мультифакторной аутентификации (IDM, MFA) значительно повышают уровень безопасности учетных записей и предотвращают несанкционированный доступ к информации.
• Межсетевые экраны нового поколения (NGFW) предоставляют расширенные возможности фильтрации и анализа трафика, позволяя защищать сеть от сложных киберугроз.
• Системы проактивного детектирования и реагирования на инциденты ИБ (EDR, XDR, MXDR), которые позволяют оперативно выявлять и быстро реагировать на сложные киберугрозы и целевые атаки с фокусировкой на конечных точках ИТ-инфраструктуры.
• Системы обнаружения и предотвращения компьютерных атак (IDS, IPS), помогающие выявлять и предотвращать атаки до их воздействия на организацию.
• Инструменты безопасного исполнения компьютерных программ в изолированной среде и песочницы, которые позволяют осуществлять более глубокий анализ потенциальных угроз и уязвимостей.

Есть регламентирующая документация, внедрены политики безопасности, но самое главное, есть понимание постоянного развития всего комплекса, чтобы всегда быть на острие современных технологий и техник. Потому как ребята с другой стороны нашего бастиона, тоже не спят и наращивают свои инструменты.

Четвёртый уровень

Ну вот мы почти и прокачали нашего персонажа до максимального уровня и готовы перейти на «Босс-левел» для финального боя!

На этом этапе ИБ уже активно интегрируется в сами бизнес-процессы компании. Используются самые совершенные технологии и методы анализа рисков, сформирована чёткая ИБ-культура внутри коллективов. Проводятся кибер учения и развитие осведомлённости. Отдельный бюджет на ИБ-решения позволяет уже вдумчиво определять стратегию развития направления.

На этом этапе уже присутствует топ-менеджер, ответственный за ИБ компании, в зону ответственности которого входит управление и стратегическое планирование в области ИБ, интегрирование целей безопасности с общими стратегическими инициативами компании. Отдельное подразделение ИБ эффективно управляет рисками, поддерживает на высоком уровне состояние ИБ, а также занимается обучением работников и комплексным совершенствованием систем защиты информации. А что ещё обычно живёт из систем на этом этапе?

• Ну как минимум уже системы предотвращения утечек данных (DLP), позволяющие контролировать и защищать данные, проводить ретроспективный анализ и служебные расследования, принимать решения о мерах по предотвращению утечек конфиденциальной информации.
• Системы управления мобильными устройствами, позволяющие контролировать доступ к корпоративным ресурсам и защищать данные, хранящиеся на мобильных устройствах.
• Системы управления событиями информационной безопасности (SIEM)
• Систему автоматизации и реагирования на инциденты безопасности (SOAR). Это комплексные решения, позволяющие собирать, анализировать и реагировать на события безопасности в реальном времени, обеспечивая эффективное управление инцидентами.
• Платформу киберразведки (TI), позволяющую обогащать средства защиты информации компании сведениями об актуальных киберугрозах и индикаторах компрометации.
• В целях эффективного управления внедренными средствами защиты и оперативного реагирования на возникающие угрозы в компаниях создается специальное подразделение — Центр мониторинга кибербезопасности (SOC), представляющий собой выделенную команду квалифицированных специалистов, которые занимаются обнаружением, реагированием и ликвидацией последствий инцидентов.

И вот, можно подумать, мы на пике своей формы и можно выдохнуть, но нет, это ещё не отпуск. Именно здесь приходит чёткое понимание, что ИБ – это постоянное развитие, сам по себе этот процесс бесконечный. И даже на этом этапе может приехать новый вектор во главе с каким-нибудь Mythos АИ в руках не самых добрых персонажей нашей вселенной.

Заключение

Оценка зрелости процессов информационной безопасности — важный шаг для любой организации, стремящейся к надежной защите своих активов. Понимание собственного уровня зрелости позволяет выявить области для улучшения и создать дорожную карту развития.

Каждый уровень зрелости, от начального до интегрированного подхода, требует постоянного совершенствования и адаптации. Формирование культуры безопасности внутри организации, информированность сотрудников и внедрение современных технологий — это залог успешной защиты от киберугроз.

Не забывайте, что в бесконечной игре на поле информационной безопасности необходимо всегда быть начеку и адаптироваться к новым вызовам. Инвестиции в ИБ не только укрепляют защиту компании, но и способствуют ее долгосрочному успеху и доверию со стороны клиентов и партнеров. А если у вас еще остались вопросы, «Астрал. Безопасность» всегда готовы вам с этим помочь!

Автор статьи: Мицюк Максим, специалист по информационной безопасности