Несколько последних лет показали, что кибератакам подвержены не только государственные и банковские информационные системы. Хакеров привлекают и такие отрасли, как медицина и фармацевтика, логистика, сетевой и интернет-бизнес. На теневом рынке существует определённый перечень услуг, направленных на парализацию бизнеса конкурента, например, «положить» сайт компании, найти уязвимости в защите системы и получить доступ к базам данных, и т. д.

Как оценить защищенность вашей информационной системы от хакеров? На сегодняшний день самый оптимальный вариант – пентестинг системы, или по-русски – планируемое и контролируемое тестирование компьютерных сетей на уязвимости и возможность противостоять хакерским атакам.

Для чего нужен пентестинг

Этот процесс позволяет оценить защищенность IT-системы и выявить возможные уязвимости и слабые места в безопасности. Пентесты – это целенаправленные атаки определенного рода, создаваемые с целью выявить, классифицировать и описать, а впоследствии – нейтрализовать опасности и бреши в системе ИБ и усилить защиту информационной системы.

Основной вопрос, который волнует соискателей при получении лицензии ФСТЭК на ТЗКИ — цена подготовки. Хотите примерно подсчитать стоимость лицензирования? Рассмотрим, сколько стоит каждый этап оформления.

Обеспечение надлежащей защищённости данных – необходимое условие при работе с конфиденциальной информацией. Показателем соответствия данного критерия стандартам безопасности ФСТЭК является наличие аттестата соответствия – документа, выдаваемого после специальной проверки информационной системы, используемой соискателем лицензии ФСТЭК на ТЗКИ.

Объекты, подлежащие обязательной аттестации

При подготовке к спецэкспертизе ФСБ при получении лицензии на гостайну соискатель приводит помещения в офисе в соответствие требованиям защиты информации. При этом больше всего внимания уделяется именно технической защите, так как по мнению большинства людей именно «жучки» и хакеры становятся причиной утечки секретной информации. И совершенно забывают о других каналах несанкционированного доступа к гостайне.

Между тем, хищение секретных данных может происходить не только с применением сложных технических средств или внедрения вредоносного кода в компьютерную систему.

В наше время без информационных технологий нельзя себе представить ни повседневную жизнь, ни бизнес-процессы. Однако чем больше мы полагаемся на интернет и цифровые способы передачи данных, тем активнее становятся злоумышленники, стремящиеся получить доступ к внутренней информации вашей компании.

С развитием технологий сложнее выявить и вовремя устранить уязвимости информационной безопасности. Примером этого может служить хотя бы значительно возросшее число целенаправленных, или таргетированных, атак (advanced persistent threat), за которыми всё чаще стоят не одинокие взломщики-любители, а слаженные команды профессиональных хакеров, получающих за это немалые деньги. Эти атаки становятся все более проработанными и сложными, и с каждым днем появляются их новые разновидности. Кроме того, так называемые уязвимости нулевого дня сейчас использовать значительно легче: существует целый рынок технологий, позволяющих их заказать и эксплуатировать. Поэтому очевидно, что и защита от современных атак должна в свою очередь разрабатываться группами специалистов, знающих толк в кибербезопасности.

Чем стремительнее информационные технологии развиваются и интегрируются в бизнес, тем большую роль приобретает такая фигура в компании, как руководитель отдела или департамента информационной безопасности. Это связано с тем, что с внедрением технологических разработок возрастает и угроза взлома системы, хищения и подмены данных.

Сегодня кроме нейтрализации уязвимостей, обучения персонала и контроля информационных систем директор по безопасности обязан донести до руководства аксиому о том, что реагировать на потребности ИБ бизнес должен незамедлительно и адекватно — обеспечить фирму техническими и программными средствами контроля ИС, постоянно поддерживать их в актуальном состоянии, не пренебрегать обучением и переподготовкой сотрудников, ответственных за работу с ИС, выстраивать свои бизнес-процессы с учётом рекомендация директора по информационной безопасности. Несмотря на то, что должность остаётся технической, её функции гораздо шире. Сегодня должность требует от человека смежных навыков убеждения, прогнозирования рисков и видения бизнеса как единой системы, а не только как объекта защиты от киберпреступников.

Внутренние враги всегда опаснее внешних. Недочёты и упущения в политике технической безопасности могут принести больше ущерба, чем команда опытных хакеров. Специалисты проанализировали причины инцидентов в области защиты ИС, что около трети происшествий в сфере информационной безопасности было вызвано не внешним воздействием, а недосмотром и халатностью самих сотрудников или руководителей. Этот фактор обязательно нужно учитывать при подготовке к оформлению лицензии ФСТЭК ТЗКИ. Мы выделили наиболее частые ошибки.

Уязвимые принтеры

В первую очередь при проектировании защиты информационной системы все стремятся защитить компьютеры и забывают о принтерах и сканерах – а ведь это

Выступление представителей ФСБ И ФСТЭК на 8 международной конференции по защите персональных данных касалось в основном проблем определения актуальных угроз для БД и создания моделей для эффективной защиты. Регуляторы обобщили опыт последний проверок и акцентировали внимание слушателей на следующих моментах:

1. В подавляющем большинстве проверенных организаций утверждённые модели угроз не соответствовали требованиям ФСТЭК. Основные нарушения:

• при моделировании не принимались во внимание уязвимости и угрозы из Базы уязвимостей, формируемой ФСТЭК;
• при создании модели угроз не учитывались уязвимости, связанные с конкретной используемой технологией (например, применяя виртуализацию, необходимо учитывать угрозы, связанные именно с данной технологией);

Создание моделей угроз информационным системам является одной из обязанностей операторов ИС, занятых защитой информации при обработке и передаче персональных данных (ИСПДн). Раньше это делалось довольно легко: взять базовую модель угроз ФСТЭК, действовавшую на тот момент методику создания и сформировать уже собственную модель, заточенную под нужную систему. Однако ФСТЭК переработала эту схему: на смену классам систем персональных данных пришли уровни защищенности, а угрозы были разбиты на три типа:

1. Недокументированные возможности (НДВ) в системном ПО.
2. НДВ в прикладном ПО.
3. Прочие.

Уровень защищенности системы зависит от типа актуальных угроз, но как определить актуальность той или иной угрозы, если это можно сделать только в ходе сертификации СЗИ? Можно использовать только сертифицированные программы, но не стоит забывать, что обновления таких программ уже не подлежат проверке и сертификации, а значит, потенциально могут нести в себе уязвимость. Тогда получается, что угроза недекларированных возможностей актуальна всегда, каким бы ПО вы ни пользовались. Но в этом случае не совсем ясно, как можно сделать модель угроз, поэтому обычно операторы стараются обосновать, почему считают такую-то угрозу неактуальной.

Что можно применить для разработки модели угроз

Для того, чтобы облегчить операторам задачу, ФСТЭК создала Банк уязвимостей