«Совокупность методов анализа и оценки безопасности компьютерных систем или сетей путем осуществления моделирования ситуаций на проникновение. Процесс состоит из активной стадии анализа системы на наличие потенциальных уязвимостей, которые могут в будущем привести к реализации риска работы систем с ошибками либо их полный отказ».
Конечной целью вышеуказанного процесса почти всегда является оценка ИТ-активов на их безопасность, достаточность средств защиты и качество контрольной среды, естественно путем осуществления неоднократных попыток проникновения через все возможные установленные средства защиты. Но это в общих чертах, на самом же деле целей гораздо больше. Рассмотрим некоторые из них.
Сразу необходимо оговориться, что тестирование хоть и важный процесс, особенно в период существенного развития цифровых технологий или цифрового трансформационного развития, но не является неким новым и сложным процессом. Да, действительно базовые технологические наработки, концепции и модели являются сложными, но сам процесс является достаточно простым, тем более, если он делается подготовленным в данном направлении специалистом.
Периметр тестирования (с учетом цифровизации) – это направление, где в силу развития сетей, системы, прочей инфраструктуры, повышения мобильности, роста удаленных процессов и использования облачной архитектуры, значительно возрастают риски потерь, и это все то, что необходимо оценить, в том числе в контексте ландшафта угроз, в котором работают компании, ее клиенты, функционируют процессы или весь бизнес.
Для целей систематизации и структурирования угроз, которые могут обойти защиту ИБ любой компании, их можно классифицировать следующим образом:
Основные моменты, которые должны быть в любой компании (с учетом размера бизнеса и стоимости средств защиты) для предотвращения угроз и обеспечения защиты.
Для целей функционирования процесса обеспечения безопасности от внутренних и внешних угроз в компании должен быть специалист по безопасности, обладающий специализированными аналитическими навыками, либо лицо, представляющее собой аналитика по безопасности — того специалиста, в функции которого входит противодействие воздействиям третьих лиц на активы компании и обеспечение формирования достаточной среды безопасности в указанном контексте, для целей недопущения уничтожения или повреждения активов (что делает их использование невозможным), изменения, заражения вирусами, кражи и прочее.
Направления воздействия — в риск менеджменте, представляют собой сценарии риска, в данном случае это примерные сценарии безопасности.
Анализ сценариев и угроз может быть как активным, так стандартным процессом. Активность процесса зависит от времени, затрачиваемом на осуществление процедур: от ежедневных или еженедельных, до ежеквартальных или годовых процедур, или тестов.
Выявление и оценка рисков.
Понятие риска является важным термином, который необходимо затронуть в контексте понимания уязвимостей в наших системах и управления различными процессами. Так известно, что в понимании нашего вопроса, под угрозой или воздействием находятся современные технологии, которые управляют многими процессами в цифровом мире. Обеспечивая тестирование технологий (часто ИТ-технологий), специалисты, его осуществляющие, воздействуют на него, обеспечивая его модификацию, т.е. снижают возможность реализации потерь при их эксплуатации и причинения вреда.
Необходимо понимание того, что риски охватывают все процессы компании, и они должны быть управляемы, или должен быть установлен контроль для целей их минимизации. Но риски охватывают весь спектр процессов компании и соответственно, невозможно управлять всеми одновременно. Управление может достигаться через понятие существенности риска или уровень ущерба, который может быть нанесен, если риск не минимизирован должным образом.
С учетом вышесказанного, определение существенности может быть связано с критериями оценки вероятности возникновения угрозы, вероятности поломки или обхода защиты информации. Показатели могут рассчитываться с примененим системы ранжирования и применения трех основных компонентов или критериев и расчетом степени защиты систем.
Как правило, все риски (уязвимости) могут систематизироваться по категориям существенности в реестрах рисков для целей приоритетности реагирования.
Реестр рисков в контексте тестирования на проникновение – это список известных рисков и (или) уязвимостей, который формируется при оценке, сканировании, тестировании на проникновение, и, как правило, в электронном виде и позволяет ответить на вопросы или получить следующую информацию:
Реестр рисков
Реестр рисков, подлежит обязательной актуализации после ежегодной оценки существенности всех рисков.
Принятые политики и методики выявления, оценки и минимизации рисков, включая ИТ-риск, являются несомненно адекватной практикой и помогают минимизировать потери компании.
Но не всегда практика и теория позволяет сделать заключение, что все риски в области ИТ минимизированы, а уровень ИБ является полностью достаточным. Соответственно, возникает вопрос проведения независимой оценки систем компании на наличие уязвимостей.
Для этих целей любая компания может иметь либо специалиста, либо команду подготовленных специалистов в области систем, сетей и безопасности, либо передать вопрос на аутсорсинг третьему лицу, которое и будет осуществлять тестирование.