Методика экспресс-оценки уровня кибербезопасности организации РезБез

1.1. Стратегия
Целевое состояние:
В организации утверждена стратегия КБ, которая учитывает общую стратегию организации, ИТ-стратегию, стратегию цифровой трансформации и т. д.
Топ-менеджмент:

Стратегия и ключевые документы по КБ согласованы и утверждены топ-менеджментом. Исполнение инициатив контролируется на регулярной основе.

1.2 Управление недопустимыми событиями / ключевыми рисками КБ
В организации определены недопустимые события или ключевые риски КБ. 
В определении недопустимых событий / ключевых рисков КБ участвуют топ-менеджмент, операционные руководители, ответственные за ключевые функции организации, представители ИТ и КБ.
Недопустимые события / ключевые риски КБ пересматриваются через запланированные интервалы времени, а также в случае существенных изменений бизнес-процессов.
Мероприятия по предотвращению недопустимых событий / ключевых рисков КБ учитываются при формировании стратегических инициатив.

1.3. Функция кибербезопасности
В организации выделена функция КБ, которая находится в прямом подчинении топ-менеджмента. 
В организации выделен и функционирует специальный комитет (рабочая группа), включающий в себя представителей топ-менеджмента, который регулярно рассматривает вопросы КБ.
Текущих ресурсов и компетенций достаточно для эффективного выполнения возложенных функций в области КБ.
Специалисты по КБ регулярно развивают экспертизу и практические навыки в области КБ (например, посредством участия в киберучениях, прохождения специализированных курсов и т. д.).

2.1 Процесс
Процедуры управления активами регламентированы как в верхнеуровневых документах (политиках), так и в операционных (регламентах, процедурах, инструкциях). Документы актуальны и достаточны для работы участников процесса.
Определены роли и назначены ответственные за управление активами (например, владелец/менеджер процесса, ответственный за приоритизацию/классификацию и поддержание в актуальном состоянии базы активов, владелец/администратор актива и т. д.).
Для оценки эффективности процесса установлены и применяются показатели (метрики). Показатели (метрики) процесса пересматриваются на регулярной основе.

2.2 Инвентаризация активов
В организации используется единая база активов, которая содержит всю необходимую информацию по всем активам и непрерывно актуализируется с помощью средств автоматизации.
Новые активы вносятся в базу активов без существенных задержек, начиная с этапа ввода в эксплуатацию.
Все активы имеют владельцев как со стороны бизнеса, так и со стороны ИТ.
Для каждого актива определено назначение и сформировано описание, в каких бизнес-процессах он участвует.

2.3. Классификация и определение значимости активов
Осуществляется классификация и приоритизация активов с учетом результатов анализа недопустимых событий / оценки ключевых рисков КБ.
Пересмотр значимости активов выполняется на регулярной основе и при существенных изменениях инфраструктуры или бизнес-процессов. 

3.1. Процесс
Процедуры мониторинга событий ИБ регламентированы как в верхнеуровневых документах (политиках), так и в операционных (регламентах, процедурах, инструкциях). Документы актуальны и достаточны для работы участников процесса.
Определены роли и назначены ответственные за мониторинг событий (например, владелец/менеджер процесса, дежурная смена мониторинга, технические специалисты и т. д.).
Для оценки эффективности процесса установлены и применяются показатели (метрики). Показатели  (метрики) процесса пересматриваются на регулярной основе.

3.2. Область мониторинга событий ИБ
Определен перечень источников, связанных с недопустимыми событиями / ключевыми рисками КБ, который формирует область покрытия мониторингом и в полной мере описывает объект защиты.
Определен перечень собираемых событий и параметры их регистрации.
Источники событий ИБ подключены к решению класса SIEM, осуществляется регулярный контроль сбора событий ИБ, поступающих с источников (в полном объеме и без ошибок).
Осуществляется анализ сетевого трафика c помощью решения класса NTA, результаты анализа сетевого трафика поступают в SIEM для централизованного мониторинга событий ИБ. 
Область мониторинга пересматривается на регулярной основе и учитывает результаты анализа недопустимых событий / ключевых рисков КБ.

3.3. Обработка и анализ событий ИБ
Обработка событий ИБ осуществляется с помощью автоматизированных наборов правил (use cases), учитывающих специфику ИТ-инфраструктуры и перечень утвержденных недопустимых событий / ключевых рисков КБ.
Наборы правил актуализируются на регулярной основе, а также в случаях существенных изменений ИТ-инфраструктуры, бизнес-процессов и при появлении новых векторов атак.

4.1. Процесс
Процедуры управления инцидентами ИБ регламентированы как в верхнеуровневых документах (политиках), так и в операционных (регламентах, процедурах, инструкциях). Документы актуальны и достаточны для работы участников процесса.
Определены роли и назначены ответственные за управление инцидентами ИБ (например, владелец/менеджер процесса, аналитики, технические специалисты и т. д.).
Для оценки эффективности процесса установлены и применяются показатели (метрики). Показатели  (метрики) процесса пересматриваются на регулярной основе.

4.2. Реагирование на инциденты
Внедрено и используется решение класса IRP/SOAR. 
Разработаны сценарии реагирования (плейбуки) на типовые инциденты ИБ, сценарии реагирования регулярно тестируются практическим способом (например, в рамках киберучений, внутренних учений с привлечением команд защиты и нападения и т. д.).
Опыт, полученный по результатам реагирования на инциденты, фиксируется в базе знаний.

5.1. Процесс
Процедуры управления уязвимостями регламентированы как в верхнеуровневых документах (политиках), так и в операционных (регламентах, процедурах, инструкциях). Документы актуальны и достаточны для работы участников процесса.
Определены роли и назначены ответственные за управление уязвимостями (например, владелец/менеджер процесса, аналитики, технические специалисты и т. д.).
Для оценки эффективности процесса установлены и применяются показатели (метрики). Показатели  (метрики) процесса пересматриваются на регулярной основе.

5.2. Анализ уязвимостей
Осуществляется регулярное сканирование активов на наличие уязвимостей с использованием решения класса vulnerability management (VM). 
В область сканирования включены все активы, обеспечивающие критически значимые процессы организации.
Осуществляется приоритизация обработки выявленных уязвимостей, которая учитывает значимость активов, возможные последствия эксплуатации уязвимости, наличие эксплойта, метрики CVSS и т. п.
Область сканирования пересматривается на регулярной основе, учитывает результаты анализа недопустимых событий / ключевых рисков КБ, а также данные, получаемые в ходе процесса управления ИТ-активами.

5.3. Контроль устранения уязвимостей
Установлены и соблюдаются сроки по устранению уязвимостей.
Контроль устранения уязвимостей осуществляется на регулярной основе и автоматизирован с помощью решения класса vulnerability management (VM).

6.1. Процесс
Процедуры управления доступом регламентированы как в верхнеуровневых документах (политиках), так и в операционных (регламентах, процедурах, инструкциях). Документы актуальны и достаточны для работы участников процесса.
Определены роли и назначены ответственные за управление доступом (например, владелец/менеджер процесса, аналитики, технические специалисты и т. д.).
Для оценки эффективности процесса установлены и применяются показатели (метрики). Показатели  (метрики) процесса пересматриваются на регулярной основе.

6.2. Права доступа и учетные записи
Назначение прав доступа осуществляется согласно роли и должностным (функциональным) обязанностям. Для каждой роли установлены минимально необходимые права доступа. 
Предоставление доступа осуществляется автоматизированно с использованием решения класса identity management (IDM).
Контроль действий привилегированных пользователей  осуществляется на регулярной основе и автоматизирован с помощью решения класса privileged account management (PAM). 
Доступ к административным и сервисным УЗ строго ограничен. Для работы с системами используются отдельные персонифицированные УЗ с определенными наборами ролей и прав доступа к системам.
Блокирование (отключение) учетных записей осуществляется не позднее 24 часов после прекращения или изменения обязанностей сотрудника (или подрядчика). Отключение учетных записей осуществляется после определенного периода бездействия.
Пересмотр активных учетных записей и прав доступа осуществляется на регулярной основе.

6.3. Удаленный доступ
Разработаны и внедрены сценарные условия удаленного доступа к системам и приложениям организации.
Удаленный доступ к системам и приложениям осуществляется с использованием специализированных механизмов защиты (VPN).
Для удаленного доступа к системам и приложениям используется многофакторная аутентификация.
Осуществляется отключение сеансов удаленного доступа после определенного периода бездействия.
Осуществляется блокирование одновременных удаленных сеансов пользователя.

7.1. Безопасные конфигурации
Разработаны и применяются стандарты безопасных конфигураций.
Осуществляется непрерывный автоматизированный контроль соответствия конфигураций установленным требованиям безопасности.
Требования к настройке безопасных конфигураций регулярно пересматриваются и поддерживаются в актуальном состоянии.

8.1. Технологическая устойчивость
Обеспечивается поддержка на уровне вендора для всего используемого ПО, сервисов и средств защиты (техническая поддержка, выпуск обновлений безопасности и т. д.).
Ведется учет иностранных систем (ПО, сервисов и средств защиты). 
Для всех иностранных систем проработаны, согласованы и реализуются мероприятия по минимизации рисков, связанных с потенциальным прекращением их поддержки со стороны вендоров или нарушением применимых требований законодательства (например, замена на отечественные аналоги, локализация систем, принятие соответствующих рисков и т. д.). 

8.2. Безопасность унаследованных систем
Унаследованные (legacy) системы отсутствуют в организации или ведется учет унаследованных (legacy) систем. 
Разработаны, согласованы и реализуются планы по минимизации рисков, связанных с эксплуатацией унаследованных систем (например, миграция данных в новые системы, применение компенсирующих контролей для legacy-систем: использование промежуточного ПО для взаимодействия с системой, ограничение доступа к системам на уровне подсетей, пользователей и т. д.).
Перечень legacy-систем поддерживается в актуальном состоянии, меры по минимизации рисков, связанных с эксплуатацией унаследованных систем, регулярно пересматриваются.

9.1. Сетевая безопасность
Сети разделены на отдельные сегменты в соответствии с их функциональным назначением.
Сетевое взаимодействие между сегментами ограничивается минимально необходимым и достаточным набором открытых портов в соответствии с требованиями функционирования систем в данных сегментах.
Для авторизации доступа и контроля информационных потоков в сетях используются средства обеспечения сетевой безопасности (например, межсетевые экраны, системы NTA, IPS/IDS, защита от DDoS и т. д.).
Обеспечивается безопасность для сетевых соединений (в том числе удаленных) с сотрудниками и третьими лицами (например, с использованием VPN, двухфакторной аутентификации и т. д.).

9.2. Защита конечных точек
Используются решения для защиты конечных точек от комплексных угроз (решения класса EDR).
Для всех конечных точек обеспечивается наличие работающего антивирусного ПО с актуальными базами сигнатур вредоносного кода.
Определен и поддерживается в актуальном состоянии перечень ПО, разрешенного/запрещенного к использованию. 
Установлены ограничения на установку ПО и изменение конфигурации конечных точек.

9.3. Безопасность приложений
Осуществляется учет приложений, список приложений поддерживается в актуальном состоянии, осуществляется контроль версий ПО.
Проводится регулярный анализ защищенности приложений.
Осуществляется разделение сред для разработки, тестирования и развертывания приложений (DEV-TEST-PROD).
Для защиты веб-приложений от сетевых атак используются решения класса WAF.
Для приложений собственной разработки используются специализированные инструменты для статического и динамического анализа (SAST/DAST). Ошибки (уязвимости), выявленные в ходе анализа, своевременно исправляются.

10.1. Контроль защищенности
Проводятся регулярные (не реже одного раза в год) практические проверки (киберучения) на ИТ-инфраструктуре организации с привлечением внутренней команды защиты и независимой команды нападения.