Оценка эффективности средств защиты информации

Для чего нужна оценка эффективности? Являясь руководителем своего подразделения или направления информационной безопасности (ИБ), вы иногда можете попасть в такую ситуацию. Выполнены все поставленные перед вами задачи, закрыты все роадмэпы и проведен сторонний аудит… Кажется, что вы достигли нужного вам уровня защиты информации в данной компании. Однако не всегда это так.

Чтобы поддерживать данный уровень, необходимо не только следить за новыми уязвимостями и грамотно отрабатывать инциденты, но и иметь четкое представление о том, что внедренные вами средства защиты по-прежнему работают эффективно и вы не упускаете ничего из виду. Ведь для того, чтобы прийти к данной точке, вы уже потратили много времени, сил и средств компании, и никому не хотелось бы, чтобы со временем ситуация поменялась в худшую сторону из-за того, что "мы уже сделали все, что необходимо". Для этого и рекомендуется проводить оценку средств защиты на актуальность, правильность настроек и их готовность адаптироваться к постоянно изменяющейся рабочей среде и процессам.

Сбор статистики и отчеты эффективности

Для начала необходимо убедиться, что ваши средства защиты информации (СЗИ) всегда работают корректно и без сбоев. Для этого рекомендуется организовать периодический сбор статистики по отключению, ошибкам и правильной отработке средств защиты. Желательно свести всю статистику в одном месте, чтобы сразу была видна картина в целом. Из важных параметров, которые необходимо наблюдать за период, я бы выделил:

• количество успешных отработок;
• количество сбоев;
• количество отключений сервиса;
• количество кейсов с данным СЗИ, которые привели к обнаружению инцидента ИБ.

Если ваши СЗИ имеют возможность формирования отчетов с более подробными данными, то также рекомендуется воспользоваться ими и дополнить информацию на вашей оценочной странице. В результате вы сможете увидеть, как меняется статистика за различные периоды ив какую сторону необходимо направить свое внимание для поддержания ваших СЗИ на допустимом уровне. Данное внимание не обязательно должно приводить к тратам бюджета подразделения или найму дополнительного персонала для проведения подобной оценки.

Как правило, достаточно заложить один рабочий день в месяц на сбор и просмотр статистики и отчетов, а после обговорить ситуацию с ответственными за СЗИ и, если необходимо, поставить задачи на устранение просевших показателей или уточнений, из-за чего они произошли, а также какие процессы необходимо скорректировать. В рамках этих манипуляций нередко можно обнаружить и неизвестные ранее уязвимости, что еще раз покажет вам пользу от данной оценки.

Со временем вы научитесь видеть общую картину все быстрее и тратить все меньше времени на подведение итогов, а если сможете автоматизировать сбор статистики и информации из отчетов СЗИ, то данный процесс и вовсе перестанет быть для вас чем-то необычным и войдет в привычное состояние этапа поддержания эффективности ваших СЗИ.

В конце хотелось бы добавить, что данная рекомендация является одной из основ этапа поддержания эффективности ИБ в вашей компании.