Анализ пробелов в безопасности: четырехэтапное руководство по поиску и устранению уязвимостей

Основная задача любого специалиста по информационной безопасности состоит в том, чтобы управлять или выполнять анализ пробелов в информационной безопасности, чтобы найти потенциальные уязвимости и риски безопасности и использовать информацию для реализации решений для устранения пробелов. Цель: постоянно совершенствоваться и приближаться к желаемому состоянию безопасности, а также переводить безопасность из ее текущего состояния в ее будущее улучшенное состояние. При проведении полезного анализа пробелов всегда необходимо учитывать несколько важных этапов процесса. Давайте посмотрим на них!

Почему важен гэп-анализ

Гэп-анализ может быть выполнен по разным причинам. Как правило, независимо от фона, это инструмент, используемый для улучшения состояния чего-либо — повышения уровня производительности конкретной рассматриваемой области. Как общий инструмент, он может использоваться на разных уровнях. Кроме того, он может быть сосредоточен на различных перспективах, таких как организационные, бизнес-процессы, бизнес-направления и технологические перспективы.

Анализ пробелов в информационной безопасности — это отличный способ для организации понять, на чем сосредоточить свои усилия по обеспечению безопасности для максимального улучшения безопасности. Кроме того, это часто является требованием соответствия, чтобы получить и поддерживать соответствие определенному стандарту или правилу. Однако это не единственная причина для выполнения одного. Основная цель — помочь организациям выявить риски и уязвимости и, в конечном счете, улучшить их состояние информационной безопасности.

Для каждого анализа пробелов процесс должен включать описание масштаба или области, подлежащей анализу, определение областей улучшения, определение целей, определение текущего состояния и разработку плана действий или шагов для достижения желаемого состояния в будущем.

Шаг 1. Определите область применения, выберите стандарт безопасности или контрольный показатель

Этот существенный шаг в процессе важен по многим причинам. Большинство организаций включают в себя множество процессов, отделов и функций. Таким образом, крайне важно определить объем или определить область, которая требует исследования. Это помогает сохранить направленность расследования; это обеспечивает ясность, чтобы все были согласованы и не сбились с пути, и в конечном итоге помогает стимулировать эффективное расследование пробелов.

В зависимости от организации, имеющихся ресурсов и ее цели объем анализа пробелов может варьироваться. Одна организация может выбрать оценку всей своей программы безопасности с самого начала. Другой может выбрать конкретную область для рассмотрения в первую очередь. Или иногда первоначальная оценка определенного сегмента — это способ сэкономить ресурсы, затраты и время (малые предприятия могут рассмотреть этот подход). Таким образом, раздел может использоваться для представления общей программы безопасности, а результат анализа пробелов в этом конкретном сегменте может описывать вероятный результат остальной части программы безопасности. Таким образом, результат этого первоначального расследования повлияет на дальнейшие расследования. Это зависит от организации, ее процессов, настроек и уже реализованных политик, структур и безопасности.

После того, как область действия определена, необходимо заглянуть немного глубже. Должны быть определены ключевые области улучшения в рамках области. После определения ключевых областей необходимо установить цели для каждой из них, чтобы реализовать требуемое улучшение. Для этого необходимы сравнительный анализ, анализ и исследования.

Таким образом, установленные вами цели будут зависеть от переменных, характерных для вашей организации. Переменные, такие как ресурсы и время, которые можно посвятить процессу. Степень подготовки, уже выполненной перед проведением анализа пробелов. Если и в какой степени существующая программа организации (или рассматриваемой области) (текущее состояние) сопоставляется с конкретным стандартом или передовой практикой. Таким образом, необходимо учитывать то, что уже достигнуто.

Это когда бенчмаркинг становится важным. Это необходимо для того, чтобы организация могла принимать более обоснованные решения. Опять же, то, как вы это сделаете, зависит от организации, доступных ресурсов и целей. Если анализ пробелов проводится исключительно по внутренним причинам, например, организация хочет улучшить свою систему безопасности, или если это требование соответствия или нормативные требования, тип сравнительного анализа будет другим. Обычно для получения или поддержания сертификации требуется проведение анализа пробелов в соответствии с конкретным стандартом безопасности.

При сравнении существующей программы безопасности организации с лучшими отраслевыми практиками в области безопасности в этом помогают отраслевые стандарты или структуры безопасности. Таким образом, ключевым шагом в этом процессе может быть выбор стандарта безопасности для работы, если вы еще не используете его.

Однако другой сравнительный анализ может включать в себя рассмотрение действий, предпринятых другими организациями или использующих лучшие отраслевые практики. Также часто используется учет опыта и знаний коллег в той же области. Опыт и знания краудсорсинга ценны и полезны для малого бизнеса, особенно для тех, у кого ограниченные ресурсы. Понимая, как другие предприятия, сталкивающиеся с аналогичными проблемами, контролируют их, вы накапливаете данные и знания, которые можно применить на практике в своем собственном бизнесе. Благодаря широкому обзору нескольких сценариев полученная информация может быть усвоена и может быть очень полезна для малого бизнеса при выявлении рисков и управлении ими. В конечном счете, цель должна состоять в том, чтобы сравнить программу безопасности с ключевыми передовыми практиками или общепризнанными стандартами безопасности.

Стандарты были разработаны на основе многолетних исследований рисков, угроз и адекватных средств контроля, чтобы помочь справиться с ними. Эти стандарты очень полезны для сравнительного анализа средств обеспечения безопасности организации, поскольку они доказали свою эффективность при правильном внедрении и соблюдении.

Как правило, стандарт ISO/IEC 27002:2013 является хорошим ориентиром. Он дает рекомендации по организационным стандартам информационной безопасности и методам управления информационной безопасностью для выбора, внедрения и управления средствами контроля с учетом среды риска информационной безопасности организации. Это хороший выбор для организаций, использующих систему управления информационной безопасностью ISO/IEC 27001, или организаций, внедряющих общепринятые средства управления информационной безопасностью, или тех организаций, которые хотят разработать свой собственный уникальный набор стратегий управления безопасностью. Он предлагает эту гибкость и охватывает основные области безопасности, которые должны быть рассмотрены в рамках процесса.

Они хорошо работают вместе. Семейство стандартов ISO 27000 включает передовой опыт в области информационной безопасности. ISO 27001 отлично подходит для разработки и планирования структуры внедрения системы управления информационной безопасностью. Тем не менее, ISO 27002 предлагает подробные рекомендации о том, как справляться с рисками информационной безопасности в соответствии с уже реализованными средствами контроля, и указывает, как внедрить дополнительные средства управления, выделенные в ISO 27001, для борьбы с рисками. Общепризнанные стандарты безопасности могут обеспечить систематический подход к принятию передовых методов контроля, количественной оценке риска и приемлемого уровня и внедрению эффективных и подходящих мер для повышения безопасности.

Сопоставление с таким стандартом помогает целенаправленно сравнивать процессы, политики и элементы управления организации с другими и помогает не упускать из виду важные аспекты.

Какой бы подход к сравнительному анализу ни был выбран, методология, ресурсы, стандарты и лучшие практики должны быть согласованы до начала процесса исследования.

Шаг 2. Выберите лучший ресурс для работы

Для некоторых это камень преткновения. Более крупные организации, как правило, имеют собственные группы безопасности, занимающиеся всеми аспектами безопасности бизнеса. В этом случае ресурсы обычно легко доступны для такого типа задач. Однако в небольших организациях безопасность обычно является дополнением к небольшой ИТ-группе, а не группе, занимающейся вопросами безопасности. У некоторых может даже не быть ИТ-команды, а есть ИТ-специалист, который всем этим занимается. Некоторые могут нанять помощь, когда это необходимо. Независимо от размера или обстоятельств организации, для улучшения перспектив безопасности анализ пробелов остается важным.

Небольшим предприятиям с ограниченными ресурсами иногда сложнее эффективно и постоянно планировать и разрабатывать стратегии на будущее из-за их ограниченности ресурсов. Для малого бизнеса лучше всего обращаться за помощью и советом извне. Всегда следите за тем, чтобы привлекаемые ресурсы были опытными и пользующимися хорошей репутацией.

Для организаций, у которых есть ресурсы, анализ пробелов может быть выполнен с привлечением штатных сотрудников, если иное не указано в нормативных требованиях. Однако рекомендуется, а иногда и обязательно, привлекать независимый или беспристрастный ресурс для проведения анализа пробелов. Новый и беспристрастный взгляд часто видит то, что внутренние люди (работающие с процессами и операциями безопасности ежедневно) упускают из виду.

Какой бы подход ни выбрала организация, результаты должны представляться таким образом, чтобы выделять риски, рекомендации и требования соответствия нейтральным и всеобъемлющим образом. Только тогда можно наиболее точно выявить реалистичное представление и понимание подверженности риску и несоответствий мер безопасности.

Важно добиться согласия руководства. В конце концов, результаты анализа будут использоваться руководителями и руководством для принятия жизненно важных решений, касающихся бизнеса и его безопасности в будущем.

Количество ваших анализов пробелов менее важно, чем качество. Плохая работа на регулярной основе не улучшит результат, но выполнение тщательной работы реже (ежегодно) даст вам надежные результаты, с которыми можно будет работать на год вперед. Итак, заручитесь поддержкой руководства, используйте лучших людей для работы и сделайте так, чтобы усилия были оценены.

Шаг 3: Анализируйте, исследуйте, собирайте и сопоставляйте

Частью процесса является оценка людей, процессов и технологий, поскольку все эти элементы влияют на информационную безопасность в организации. Для оценки этих элементов могут использоваться различные методы, но все они предполагают сбор сведений и данных. Это обучающее упражнение для определения текущего состояния безопасности организации, относящегося к этим аспектам, и ее функциональных (или нет) существующих методов обеспечения безопасности.

Вам нужно будет изучить существующие политики безопасности, элементы управления и процессы, организационные схемы и функционирование, инвентаризацию приложений и данных, опросить сотрудников и т. д. Рассмотрите следующее: инвентаризация аппаратного и программного обеспечения, классификации данных, контроль доступа, журналы обслуживания системы, настройки программного обеспечения. и процедуры резервного копирования.

В большинстве случаев угроза безопасности связана с людьми — человеческая ошибка. Поведение пользователей должно быть изучено и соответствующим образом рассмотрено. Вот почему интервьюирование сотрудников необходимо. Вам необходимо получить представление об их знаниях и их эффективности в надежном следовании действующим процессам. Это нужно продемонстрировать. В этом случае процесс является мерой безопасности, а не технологией.

Существующая документация должна быть пересмотрена. Вся эта оценка необходима для определения наиболее точного профиля рисков организации.

Цель исследования и сбора данных — лучше понять, как функционирует существующая программа безопасности. Это дает вам четкое представление об окружающей среде, существующей защите и эффективности текущей системы безопасности. Путем сравнения существующих средств контроля с передовыми методами или рекомендованными в выбранном стандарте пробелы, недостатки и уязвимости становятся очевидными. Кроме того, могут быть идентифицированы отсутствующие меры безопасности, а также любые незрелые или неполные.

Будьте в курсе, основываясь на собранных данных и фактах, а не на предположениях. Посмотрите на людей, процессы и технологии и на то, как они подходят друг другу, работают вместе и влияют друг на друга, чтобы уменьшить или увеличить риск безопасности. Рассмотрим, как работают технологии и услуги. Как работают процессы и что от них ожидается. Посмотрите, как они вписываются в программу безопасности. Каково их влияние на безопасность. Правильно ли они работают? Подвергаются ли они риску? Не оставляйте камня на камне!

Оценить и сопоставить данные. Подготовьте отчеты и документацию, чтобы продемонстрировать существующие средства контроля и уровень зрелости каждого из них. Кроме того, покажите потенциальное влияние, если улучшение не будет сделано. Этот шаг помогает организации визуализировать состояние безопасности и расставить приоритеты проблем, которые необходимо устранить в первую очередь.

Ознакомьтесь с текущим состоянием безопасности. Это так же важно, как и понимание того, к чему вы хотите прийти (будущее состояние). Вы не можете полностью достичь желаемого улучшенного состояния, не зная состояния, с которого вы начинаете. Для визуализации прогресса и разработки реалистичного плана действий это жизненно важно.

Имея четкое и краткое представление о текущем профиле безопасности организации, ее сильных и слабых сторонах, а также областях, требующих улучшения, можно разработать подходящий план действий.

Шаг 4: Разработайте план действий

План действий, который вы разработаете, будет шагами, необходимыми для закрытия пробелов, чтобы реализовать улучшенное состояние безопасности в будущем. Важно расставить приоритеты и определить реалистичные временные рамки для достижения каждого из них. В зависимости от зрелости системы безопасности это будет отличаться для каждой организации и займет больше или меньше времени.

Существуют различные способы подойти к этому, например, расставить приоритеты в первую очередь для наиболее важных пробелов или заняться теми, которые проще всего закрыть в первую очередь. Опять же, это уникально для организации, ее обстоятельств и целей в краткосрочной и долгосрочной перспективе. Будьте осторожны, чтобы не торопить процесс «закрытия пробелов». Возможно, некоторые пробелы связаны между собой и их легче устранить с помощью единого элемента управления, но ускорение процесса потенциально может оказать слишком большое давление на организацию, и пробелы могут быть плохо закрыты или, что еще хуже, не закрыты вообще.

Очень важно расставлять приоритеты, имея цели и временные рамки для каждого из них. Обязательно следуйте плану, который вы согласовали и разработали — регулярно возвращайтесь к нему, чтобы убедиться, что вы не сбились с пути.

План действий должен включать риски, ресурсы (персонал и бюджет) и сроки для достижения целей по улучшению состояния безопасности.

Получите одобрение и планируйте дальнейший путь. Вот почему управленческое понимание так важно. Если вы помните, одной из первых рекомендаций было заручиться поддержкой руководства и обязательствами с самого начала. Это необходимо для успеха любого плана, который вы выберете.

Gap-анализ: стратегический инструмент с многочисленными преимуществами

Хотя гэп-анализ, как и все остальное, является обычной оценкой, его следует проводить правильно, чтобы реализовать все преимущества и получить наилучшие результаты. При успешном применении этот стратегический инструмент может принести организациям пользу во многих отношениях. Он может показать организации ее текущее состояние безопасности и отразить ключевые шаги и направления, на которых следует сосредоточить усилия по обеспечению безопасности при разработке плана действий для достижения улучшенного состояния безопасности в будущем.