AKTIV.CONSULTING оценили уровень зрелости ИБ в российских компаниях по-новому

Существует много методик для исследования внедрений ИБ в компаниях. В AKTIV.CONSULTING предложили новый подход, нацеленный на оценку зрелости ИБ-процессов. Впервые проведённый анализ позволил создать базу, устраняющую субъективность мнений и обеспечивающую преемственность в управлении ИБ.

 

 

 

 

 

 

1. 1. Введение
2. 2. Традиционный способ оценки состояния ИБ в компании
3. 3. Методика оценки зрелости ИБ-процессов внутри компании
4. 4. Методика исследования AKTIV.CONSULTING
5. 5. Базовые принципы исследования AKTIV.CONSULTING
6. 6. Потенциал влияния для российской отрасли ИБ
7. 7. Результаты оценки уровня зрелости ИБ в компаниях
8. 8. Рекомендации AKTIV.CONSULTING по отдельным направлениям
9. 9. Выводы

Введение

Консалтинговое подразделение AKTIV.CONSULTING российской ИБ-компании «Актив» представило результаты аналитического исследования по оценке уровня зрелости процессов информационной безопасности, используемых в компаниях.

Исследование проведено впервые и основано на авторской методике, разработанной экспертами AKTIV.CONSULTING с опорой на ранее накопленный опыт. Отличительной особенностью этого подхода является попытка получить не только оценку уровня зрелости ИБ в компании в том виде, как она видится изнутри, но и «подсчитать» достигнутый показатель.

В исследовании оценивается техническое обеспечение функций ИБ и состояние ключевых ИБ-процессов в компании. Содержимое отчёта полезно прежде всего руководителям: он позволяет получить сравнительную оценку достигнутого качества управления ИБ-процессами, количественно соотнеся её со среднерыночными показателями. Это помогает выделить направления дальнейшего развития ИБ в компании и получить рекомендации по повышению уровня зрелости.

Традиционный способ оценки состояния ИБ в компании

Оценка защищённости компаний традиционно рассматривается через исследование их карты рисков и выявление признаков готовности противостояния. Такой подход применяют большинство вендоров ИБ, предлагая заказчикам услуги, продукты, сервис защиты и пр. Такой подход помогает выявить слабые места в защите, понять раскладку средств по различным направлениям ИБ, оценить техническое оснащение по каждому направлению.

Аналогичного подхода придерживаются и регуляторы. Они проверяют наличие средств защиты и их соответствие требованиям с учётом категории важности предприятия или других признаков.

Традиционный подход позволяет строить защищённость компаниям собственными силами и привлекая аутсорсинг (например, подключая внешний SOC). Но получаемая оценка не позволяет сказать, какой реальный уровень удовлетворённости достигнут службой ИБ в реализации своих задач по обеспечению защищённости. А ведь именно это отражает по сути их запрос на получение инвестиций в развитие материальной и кадровой базы.

 

Рисунок 1. Олег Симаков, директор по развитию направления AKTIV.CONSULTING

 

На то, как идёт строительство системы безопасности в компании, влияет множество дополнительных факторов. Часто они не вписываются в идеальную картину «рынка ИБ». Недостаточные инвестиции, кадровый голод, отсутствие опытных команд — всё это является «объективными» причинами, которыми внутри компании нередко «объясняют» свою степень неудовлетворённости относительно достигнутого уровня ИБ.

Оценка безопасности изнутри компании — это самая честная и объективная оценка её безопасности. Но сейчас это чаще всего находится на субъективном уровне, «измерить» ее по традиционной методике невозможно. Она существует как «частное мнение», которое знают коллеги по рынку. Регулятор может догадываться, но у него также нет объективной возможности, кроме «точечных мнений» и собственной оценки картины с развитием ИБ по рынку в целом.

Методика оценки зрелости ИБ-процессов внутри компании

Исследование, представленное компанией AKTIV.CONSULTING, выделяется тем, что оно впервые обратилось к оценке уровня информационной безопасности с позиции самих организаций. Основная задача этого исследования — оценить состояние процессов ИБ через ответы на различные вопросы. Насколько эффективно текущие процессы развития ИБ обеспечены технически? Насколько полно достигнуты поставленные цели по сравнению с ожидаемыми результатами?

Для реализации своей задачи в AKTIV.CONSULTING была разработана собственная методика.

 

Рисунок 2. Варвара Шубина, руководитель направления маркетинга в AKTIV.CONSULTING

 

Традиционный путь исследования ИБ выделяет следующие направления, отметила Варвара Шубина, руководитель направления маркетинга в компании AKTIV.CONSULTING:

1. Оценка уязвимостей.
2. Оценка реализованных мер безопасности для проверки достигнутого уровня защиты.
3. Тестирование на проникновение и имитация реальных атак.
4. Оценка различных рисков для получения целостной оценки достигнутого уровня безопасности.

Это позволяет компаниям оценить, что им больше подходит для построения системы защиты. Но главная цель — построение надёжной (с точки зрения внутреннего видения ИБ-службы) системы защиты — отражена в них косвенно.

Принципиальное отличие подхода AKTIV.CONSULTING состояло в том, чтобы уйти от функциональной оценки ИБ-продуктов и услуг разных вендоров и перейти к оценке результативности внедряемых функций ИБ. Это отвечает цели компаний — повышению уровня их ИБ-защищённости.

Новый подход нацелен на то, чтобы отразить актуальный уровень обеспечения ИБ у заказчика, исходя из его понимания особенностей собственного бизнеса, угроз и требований регулятора. Обозначена и цель — повышение эффективности процессов внедрения ИБ-технологий и поиск дополнительных возможностей для их интеграции и оптимизации.

Методика исследования AKTIV.CONSULTING

Исследование AKTIV.CONSULTING проводилось путём анонимного опроса руководителей ИБ-служб компаний. Анонс и ссылка для перехода к анкете были предоставлены по партнёрскому каналу, разосланы через новостные рассылки, размещены на тематических сайтах и Telegram-каналах.

В итоге организаторами было получено 52 анкеты. Поскольку исследование проводилось впервые, поэтому участие компаний сдерживалось неизвестностью ожидаемых итогов. Очевидно, что анкет могло быть значительно больше, но сейчас проявляется эффект первого старта. В будущем, возможно, их будет больше.

Опрос проводился анонимно. Каждый участник заполнял регистрационную анкету, в которой давал общую характеристику своей компании: отрасль, масштаб бизнеса, некоторые другие характеристики.

Полученное распределение по отраслям приведено в результатах отчета. Как отметила Анастасия Харыбина, руководитель AKTIV.CONSULTING и председатель Ассоциации АБИСС, этот список отражает не только охват собранной информации. Видно, что около 70 % полученных анкет относятся к отраслям, где широко представлены объекты КИИ. По этому косвенному признаку можно сделать вывод, что полученные в исследовании результаты отражают состояние ИБ в компаниях, относящихся в т. ч. к объектам КИИ.

 

Рисунок 3. Анастасия Харыбина, руководитель AKTIV.CONSULTING

 

В каждом вопросе анкеты были описаны характерные ситуации/процессы, связанные с ИБ. Участникам предстояло выбрать наиболее подходящий ответ из четырех предложенных вариантов. Каждый вариант ответа описывал сценарий, отражающий определённый уровень зрелости ИБ (от 0 до 3). Итоговый показатель отражал суммарную оценку уровня зрелости ИБ в компании и получался путём сложения накопленных баллов.

 

Рисунок 4. Пример расчёта итоговой оценки уровня зрелости по методике AKTIV.CONSULTING

 

В общей сложности исследование AKTIV.CONSULTING охватило около 100 сценариев. За каждым из них была скрыта оценка зрелости компании по реализации ИБ-процессов в 5 оцениваемых направлениях:

1. Управление ИБ: оценивалось качество ИБ-процессов в компании и масштаб внедрения.
2. Базовая ИТ- и ИБ-гигиена: оценивался охват ИБ-процессов среди сотрудников и качество реализации базовых мер ИБ.
3. Обеспечение ИБ: оценивалось технологическое оснащение функций ИБ и работы ИБ-служб.
4. Мониторинг, реагирование и восстановление: оценивалось многообразие и качество проработки операций по защите данных, достигнутый уровень операционной поддержки.
5. Комплаенс: оценивалось соблюдение нормативных требований и соответствие достигнутых результатов ожиданиям регуляторов.

Участники опроса не могли видеть прямую связь между сценариями и оцениваемыми функциями ИБ. Это устраняло преднамеренность в выборе ответов.

Базовые принципы исследования AKTIV.CONSULTING

На презентации эксперты AKTIV.CONSULTING обратили внимание на то, какие базовые принципы были заложены в исследование. Это гарантирует достоверность полученных результатов:

• Анонимность участия. На этапе регистрации участники получали уникальный пин-код. В системе сохранялся только его хеш. Сопоставить полученный набор ответов и участника опроса невозможно. Поэтому участники могут быть уверены, что высказанное мнение не может быть использовано иначе, кроме целей исследования.
• Безопасность данных. Её гарантируют не только анонимность участия, но и ряд встроенных технологий. Важность этого очевидна: высказанная качественная оценка состояния ИБ в компании может содержать данные/признаки, которые в случае их компрометации создают риски для неё. К требованиям соблюдения безопасности данных при проведении исследования было особое отношение в AKTIV.CONSULTING.
• Экспертная верификация результатов. Исследование проводилось в открытой форме. Поэтому необходимо учесть возможные фейковые участия и подачу фальсифицированных данных. Без такой верификации будут обесценены все результаты. Поскольку фейки можно генерировать с помощью ИИ, манипулируя в итоге всей отраслью ИБ в России, было важно исключить такую возможность. Поэтому было принято решение добавить фильтрацию для отсечения фальшивых вбросов. Это было сделано путём привлечения экспертов для проверки достоверности данных.

 

Рисунок 5. Независимые эксперты, участвовавшие в исследовании AKTIV.CONSULTING

 

Потенциал влияния для российской отрасли ИБ

Оценка полноты функциональной модели внедрённых процессов ИБ внутри компаний описана стандартом ГОСТ Р ИСО 9004-2019. Этот документ используется при анализе корпоративной инфраструктуры и сборе информации по ИБ. Если его дополнить результатами, полученными по методике AKTIV.CONSULTING, то итоговую оценку достигнутого уровня защищённости можно расширить.

Анастасия Харыбина отметила участие Ассоциации АБИСС в подготовке ФСТЭК собственной методики оценки уровня безопасности компаний. Разработка этого документа ведётся уже давно и очевидно, что методика ФСТЭК будет нацелена на получение оценки эффективности инвестиций министерства в ИБ в рамках всех компаний в стране.

Но развитие ИБ в российских компаниях происходит под влиянием не только внешних инвестиций. Большое значение имеют риски получения штрафов в случае ИБ-инцидентов. Участие в исследовании AKTIV.CONSULTING — это возможность лучше оценить вторую составляющую «стимула развития ИБ» в компании.

Отметим ещё другой элемент — обеспечение преемственности в развитии ИБ внутри компаний. Сейчас зависимость компаний от выбора ИБ-директора очень велика. Его замена или уход неизбежно влекут трудности для руководства компании. Им нужно ответить на вопрос: «С приходом нового ИБ-директора стало лучше или нет?». Да и существующему ИБ-директору непросто убеждать руководство, что полученное им финансирование обеспечило рост уровня защищённости компании, пока нет инцидентов (встретиться с которыми никто не хочет). Поэтому применение методики AKTIV.CONSULTING - это возможность дать количественную оценку состояния ИБ, приближенную к «объективной».

Результаты оценки уровня зрелости ИБ в компаниях

Итоговые результаты проведённого исследования сведены на следующей диаграмме.

 

Рисунок 6. Сводная таблица средней оценки зрелости ИБ в российских компаниях

 

В целом они показывают, что уровень зрелости по внедрению ИБ-процессов внутри российских компаний всё ещё остаётся относительно невысоким.

Более-менее приемлемого уровня этот уровень достиг в реализации: (1) базовых мер защиты (базовая ИТ- и ИБ-гигиена); (2) комплаенса. Многое также сделано на пути развития (3) управления ИБ-процессами и (4) реализации мер мониторинга и восстановления данных в случае инцидентов. Заметное отставание наблюдается прежде всего в (5) техническом оснащении ИБ-процессов. Дополнительные закупки ИБ-продуктов и внедрение новых ИБ-процессов позволит поднять это направление и положительно скажется на остальных направлениях.

Исследователи AKTIV.CONSULTING также показали разброс итоговых оценок в зависимости от масштаба компаний. При анализе использовалось следующее деление:

• Крупные компании (ежегодный объем выручки — более 10 млрд руб.).
• Средние компании (от 2 до 10 млрд руб.).
• Небольшие компании (до 2 млрд руб.).

 

Рисунок 7. Сводная таблица средней оценки зрелости ИБ с учетом масштаба российской компании

 

Из данных в таблице видно, что при налаженной работе ИБ-службы уровень зрелости в небольших компаниях всегда немного выше, чем в крупных. Это объясняется тем, что масштабы крупных компаний повышают уровень неопределённости и рисков, несмотря на более высокие инвестиции.

Обращает на себя внимание также положительный сдвиг, который наблюдается в оценке мониторинга и реагирования на ИБ-инциденты: он заметно выше в крупных компаниях в сравнении со средними. Это является результатом инвестиций, сделанных в развитие собственных SOC-центров или передачи части этих функций на профессиональный аутсорсинг. Это существенно повышает эффективность работы ИБ-служб в компаниях. Большой потенциал для роста ИБ видится также в расширении такой поддержки для средних компаний.

Заметное отставание наблюдается по направлению «оценка технического оснащения средствами ИБ и услугами» («Обеспечение ИБ»). Руководители ИБ-служб отмечают, что они осознают наличие дополнительных технических средств, внедрение которых позволит существенно поднять уровень зрелости ИБ-процессов внутри компаний. Низкие показатели, полученные по этому направлению, отражают их озабоченность, что, несмотря на наличие на рынке таких продуктов и услуг, у компаний пока нет инвестиций для их внедрения и применения.

Рекомендации AKTIV.CONSULTING по отдельным направлениям

Краткие рекомендации по каждому направлению, сделанные исследователями AKTIV.CONSULTING, были представлены в презентации Анастасии Харыбиной. Мы приводим их здесь в оригинальном виде.

 

Рисунок 8. Рекомендации AKTIV.CONSULTING по результатам исследования по направлению «Управление ИБ»

 

Рисунок 9. Рекомендации AKTIV.CONSULTING по результатам исследования по направлению «Базовая ИБ-гигиена»

 

Рисунок 10. Рекомендации AKTIV.CONSULTING по результатам исследования по направлению «Обеспечение ИБ»

 

Рисунок 11. Рекомендации AKTIV.CONSULTING по результатам исследования по направлению «Мониторинг»

 

Рисунок 12. Рекомендации AKTIV.CONSULTING по результатам исследования по направлению «Комплаенс»

 

В исследовании приведены также основные выводы, сделанные экспертами AKTIV.CONSULTING. 

 

Рисунок 13. Основные выводы AKTIV.CONSULTING по результатам исследования

 

Выводы

Главный вывод, который можно сделать из результатов, можно сформулировать так: зрелость ИБ-процессов внутри компаний зависит не только от объёма вложенных ресурсов, но также от того, насколько точно были выделены заранее реальные угрозы и какое внутри компании есть понимание относительно возможностей противостояния им. Выбор стратегии развития ИБ и тактики принятия мер по внедрению средств защиты должны ориентироваться на реальные потребности конкретной организации и актуальные угрозы, с которыми она сталкивается (или может столкнуться в будущем).