На сегодняшний день эксперты определяют следующие ключевые направления, которые должны попасть в сферу внимания при определении приоритетных направлений развертывания систем информационной и кибернетической безопасности [http://bit.ly/2Jdj4GY, http://bit.ly/2q0GTd9]:
Здесь в полной мере можно использовать ключевые рекомендации CIS Controls [http://bit.ly/2Jdj4GY, http://bit.ly/2q0GTd9] для определения критических профилей защиты информационных систем государственных и частных организаций. Эти профили должны включать в себя подходы и методики по проверкам элементов ИТ-инфраструктуры, конфигураций, прав доступа, привилегий, системных журналов, мероприятий и средств реагирования на инциденты и принципы инициирования проверок.
В 7 редакции руководства CIS Controls данные элементы разделены на три категории, которые учитывают современный ландшафт информационных угроз (рис. 2) - базовые, фундаментальные и организационные.
Базовые категории содержат ключевые направления для обеспечения информационной и кибернетической безопасности государственных и частных организаций:
1) инвентаризация авторизованных и неавторизованных устройств;
2) инвентаризация авторизованного и неавторизованного программного обеспечения;
3) средства управления уязвимостями;
4) использование административных привилегий;
5) защищены конфигурации для мобильных устройств, ноутбуков, рабочих станций и серверов;
6) обслуживание, мониторинг и анализ журналов аудита.
Рис. 2. Категории CIS V7 (картинка кликабельна для увеличения)
Фундаментальные категории содержат рекомендации, необходимые для применения лучших практик с целью обеспечения преимуществ при использовании передовых технологий информационной и кибербезопасности:
7) защита электронной почты и web-браузеров;
8) защита от вредоносных программ;
9) ограничения и контроль сетевых портов;
10) возможность восстановления данных;
11) защита конфигураций сетевых устройств (файерволы, роутеры, коммутаторы);
12) защита периметра;
13) защита данных;
14) контроль доступа
15) контроль доступа беспроводных сетей;
16) контроль учетных записей.
Организационные категории содержат рекомендации, ориентированные на организационные процессы и административные меры, связанные с обеспечением информационной безопасности и ориентированы на повышение осведомленности персонала и проведение тестирования на проникновение. А именно:
17) контроль уровня осведомленности персонала;
18) контроль прикладного программного обеспечения;
19) реагирования на инциденты;
20) тестирование на проникновение.
Приоритеты стратегического планирования защиты информационных активов здесь, вероятно, можно определить тремя направлениями, которые мы должны учитывать в первую очередь:
Учитывая наши «национальные» особенности ИБ, мы можем сформулировать минимальные условия, при которых можно, на основе анализа современных угроз и оценок рисков, осуществить оптимизацию финансовых затрат по защите информационных активов государственных и частных организаций:
Понятно, что коммерческие продукты во многих случаях выигрывают наличием улучшенной поддержки и более проблемно ориентированным набором инструментальных решений для упрощения их внедрения и использования. Но когда у нас нет или не хватает финансовых ресурсов, такой гибридный подход может стать одним из путей обеспечения эффективной защиты информационных активов.
Все это, с учетом «национальных» особенностей и лучших мировых практик, позволит достаточно эффективно формировать стратегию информационного и кибернетической защиты критических информационных активов в условиях ограниченных финансовых ресурсов на ИТ и ИБ. И здесь уже в каждом конкретном случае будет приниматься решение со стороны бизнеса, каким образом оптимизировать финансовые затраты и минимизировать риски.
Современные проблемы глобализации и высокая эффективность перспективных ИТ технологий повышает вероятность реализации современных информационных и кибернетических угроз и, как следствие, может способствовать возникновению общего мирового коллапса. И мы в Украине уже на собственном примере увидели (например, атака шифровальщика notPetya), как кибератаки все чаще превращаются в инструмент быстрого достижения необходимых результатов как в экономической, так и политической сферах.
Очевидно, что в настоящее время вопрос цифровой трансформации и эффективного обеспечения безопасности ключевых информационных активов в государственных и частных организациях стоит достаточно остро во всем мире. Поэтому сформированные экспертами рекомендации и требования по прикладным аспектам построения стратегии защиты в условиях ограниченных финансовых ресурсов могут быть использованы при разработке политик защиты информационных активов государственных и частных организаций. Здесь могут оказаться полезными типовые политики, процедуры и инструкции по различным аспектам информационной и кибернетической безопасности. Ряд работ в этом направлении, несмотря на «национальные» особенности финансирования, уже ведется специалистами по информационной безопасности.