В условиях роста киберугроз и ужесточения регуляторных требований организациям критически важно не просто внедрять меры защиты информации, но и систематически оценивать их актуальность и работоспособность. Для этого применяются три взаимосвязанных, но не идентичных процедуры:
- аттестационные испытания;
- контроль защищённости;
- оценка эффективности реализованных мер защиты.
Каждая из них решает свой круг задач, имеет собственную методологию и нормативную основу. Разберём их детально.
Аттестационные испытанияАттестационные испытания — это комплекс организационно ‑ технических мероприятий, направленных на подтверждение соответствия объекта информатизации требованиям по защите информации.
Испытания проводятся с целью подтвердить, что система защиты информации (СЗИ) соответствует установленным нормативам (требованиям ФСТЭК, ФСБ, Роскомнадзора и др.), минимизировать риски нарушений безопасности при эксплуатации объекта и получить официальный документ (аттестат соответствия), разрешающий обработку защищаемой информации на объекте.
Нормативная база, регламентирующая проведение аттестационных испытаний, представляет собой целостную иерархическую систему, где общие принципы, заложенные в федеральных законах, детализируются в профильных приказах ФСТЭК и реализуются через конкретные методики и национальные стандарты.
На подготовительном этапе происходит анализ документации, разработка программы и методик испытаний (ПМИ), формирование аттестационной комиссии и проверка организационно-распорядительных документов, анализ их полноты и соответствия документации установленным требованиям. Далее проводится проверка технической и организационной составляющей реализованной системы защиты информации и оформление протоколов испытаний — каждый тест фиксируется в протоколах, которые должны обеспечивать возможность воспроизведения результатов проверяющим органом. В результате успешного прохождения аттестации объект информатизации получает подтверждение соответствия установленным требованиям безопасности и надежности, что позволяет использовать его для обработки информации ограниченного доступа.
Контроль защищенностиКонтроль защищённости — регулярная процедура выявления уязвимостей и недостатков в системе защиты информации, а также проверки фактического состояния защищённости информационных ресурсов.
Основными задачами проведения контроля защищенности является своевременное обнаружение уязвимостей в ПО, настройках, процессах; проверка работоспособности действующих СЗИ; выявление фактов несанкционированного доступа или аномальной активности; подготовка рекомендаций по устранению выявленных недочётов.
Различают плановый контроль состояния защищенности аттестованных систем (как правило, не реже 1 раза в 2 года) и оперативный мониторинг уязвимостей (c помощью сканеров), который может проводиться непрерывно или с высокой периодичностью, установленной внутренними регламентами. В настоящее время методы контроля не регламентированы, что дает определенную свободу операторам. Для проведения контроля защищенности в большинстве случаев используются следующие:
- сканирование уязвимостей (с использованием сканеров типа MaxPatrol, Сканер-ВС)
- тестирование на проникновение (penetration testing);
- анализ конфигураций и журналов событий;
- проверка соответствия актуальным бюллетеням об уязвимостях;
- аудит процессов управления доступом.
Отметим, что в речь идет уже о конкретных методах.
По результатам контроля составляется отчёт с перечнем выявленных уязвимостей, оценкой рисков и рекомендациями по их устранению.
Оценка эффективностиОценка эффективности — анализ того, насколько реализуемые меры защиты достигают поставленных целей безопасности и обеспечивают требуемый уровень защиты информации.
По итогам составляется протокол — официальное подтверждение того, что информационная система соответствует нормативам ФСТЭК и готова к эксплуатации. Закон разрешает проводить оценку либо силами самой организации, либо с привлечением сторонних экспертов. Во втором случае исполнитель обязан иметь лицензию ФСТЭК.
В процессе проведения оценки эффективности уделяется внимание целому ряду следующим аспектам функционирования системы защиты информации:
— полнота и актуальность внутренней документации по вопросам информационной безопасности;
— корректность настройки и наличие всех необходимых элементов защиты, предусмотренных проектной документацией и требованиями регуляторов;
— компетентности сотрудников, отвечающих за обеспечение безопасности;
— общий уровень защищенности системы в комплексе.
На подготовительном этапе разрабатывается программа и методики испытаний, определяющие, что именно будет проверяться, какими способами и по каким критериям. На этапе анализа изучается структура информационной системы, особенности обработки данных, имеющаяся документация, распределение ответственности между сотрудниками, а также меры физической охраны объектов информатизации. На третьем этапе проводятся технические испытания ключевых подсистем с использованием специализированного оборудования. Моделируются атаки и проверяется, насколько эффективно средства защиты отражают угрозы. Завершается процесс оформлением результатов. Каждый тест фиксируется в протоколах, на основе которых составляется итоговое заключение с выводами и рекомендациями по устранению выявленных недостатков.
Чтобы понять разницу, проще всего представить жизненный цикл любой информационной системыАттестационные испытания — это самый первый и ключевой этап, проводится единоразово, перед тем как информационную систему начнут эксплуатировать. Главная цель — официально подтвердить, что созданная система защиты информации полностью соответствует всем требованиям законодательства и технического задания. Эксперты проверяют, все ли элементы защиты установлены и правильно настроены, соответствует ли документация реальному положению дел.
Контроль защищенности — это следующий этап, который наступает уже в процессе работы системы. Это периодическая процедура, цель которой — убедиться, что система, получившая аттестат, не изменилась в худшую сторону. Специалисты проверяют, не были ли случайно или намеренно изменены настройки средств защиты, не появились ли новые, не задокументированные устройства, соответствуют ли реальные условия эксплуатации тем, что были заявлены при аттестации.
И наконец, оценка эффективности — процедура, не регламентированная действующим законодательством, порядок ее проведения и методы могу определяться оператором самостоятельно. . Проверка включает не только моделирование атак и тестирование того, насколько надежно система разграничивает доступ и выявляет вторжения, но и анализ организационных мер, оценку компетенции сотрудников и соответствия документации актуальным требованиям. Аттестация подтверждает соответствие информационной системы установленным требованиям безопасности. Контроль защищённости направлен на выявление и устранение уязвимостей, а также поддержание устойчивости к известным угрозам. Оценка эффективности определяет, насколько результативны применяемые меры защиты — в том числе при реальных атаках. Вместе они формируют полноценный цикл заботы об информационной безопасности. По сути, обе процедуры представляют собой оценку соответствия, но различаются итоговыми документами: аттестация завершается выдачей аттестата, а оценка эффективности — заключением о соответствии требованиям безопасности, при этом выбор конкретной процедуры зависит от характеристик объекта.
Отличие заключается в обязательности процедур: аттестация на соответствие требованиям информационной безопасности является обязательной для государственных информационных систем (ГИС), включая их отдельные компоненты и сегменты. Для иных информационных систем решение о проведении аттестации принимает сам оператор. При этом вместо прохождения процедуры аттестации оператор таких систем вправе провести оценку принимаемых мер защиты информации, что является более гибким и менее формализованным вариантом подтверждения безопасности.
