Научная статья на тему 'Сравнительный анализ кибербезопасности в компании с течением времени'

Сравнительный анализ кибербезопасности в компании с течением времени Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
270
103
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
РИСКИ / ЭФФЕКТИВНОСТЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ / ОЦЕНКА ПРОГРЕССА / RISKS / EFFECTIVENESS OF INFORMATION SECURITY / ASSESSMENT OF PROGRESS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Яковлев Георгий Олегович, Батетников Илья Андреевич

В данной статье исследуются проблемы, с которыми сталкиваются организации, пытаясь точно ответить на вопрос «Как нам оценить эффективность информационной безопасности в нашей компании с течением времени?». Используя указанный способ можно узнать, окупаются ли ваши усилия и инвестиции в области защиты информации, эффективность системы информационной безопасности в компании и выявить есть ли развитие у системы обеспечения безопасности в компании или необходимо приложить дополнительные усилия для ее развития и улучшения, соблюдая баланс между эффективностью и экономической составляющей.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

METRICS AND MATURITY: BENCHMARKING YOUR CYBER EXPOSURE OVER TIME

This article explores the problems that organizations face when trying to accurately answer the question “How do we evaluate the effectiveness of information security in our company over time?”. Using this method, you can find out whether your efforts and investments in the field of information protection, the effectiveness of the information security system in the company pay off, and whether the security system in the company has development or if additional efforts are needed to develop and improve it, keeping a balance between efficiency and economic component.

Текст научной работы на тему «Сравнительный анализ кибербезопасности в компании с течением времени»

должна в первую очередь задуматься об обеспечении их безопасности, и рисках, появление которых внедрение данной технологии может спровоцировать.

Список литературы /References

1. Are Your Web Apps Protected Against Component Vulnerabilities? // Защищены ли компоненты используемые в ваших веб приложениях от уязвимостей? [Электронный ресурс]. 2019. URL httрs://www.tenable.com/Ыog/are-your-web-apps-protected-against-component-vulnerabilities/ (дата обращения: 22.04.2019).

2. The importance of web application scanning. // Важность сканирования веб приложений. [Электронный ресурс]. 2019. URL https://www.acunetix.com/websitesecurity/the-importance-of-web-application-scanning/ (дата обращения: 22.04.2019).

СРАВНИТЕЛЬНЫЙ АНАЛИЗ КИБЕРБЕЗОПАСНОСТИ В КОМПАНИИ С ТЕЧЕНИЕМ ВРЕМЕНИ Яковлев Г.О.1, Батетников И.А.2 Email: Yakovlev663@scientifictext.ru

1Яковлев Георгий Олегович - магистрант; 2Батетников Илья Андреевич - магистрант, кафедра международной информационной безопасности, Московский государственный лингвистический университет, г. Москва

Аннотация: в данной статье исследуются проблемы, с которыми сталкиваются организации, пытаясь точно ответить на вопрос «Как нам оценить эффективность информационной безопасности в нашей компании с течением времени?». Используя указанный способ можно узнать, окупаются ли ваши усилия и инвестиции в области защиты информации, эффективность системы информационной безопасности в компании и выявить есть ли развитие у системы обеспечения безопасности в компании или необходимо приложить дополнительные усилия для ее развития и улучшения, соблюдая баланс между эффективностью и экономической составляющей. Ключевые слова: риски, эффективность информационной безопасности, оценка прогресса.

METRICS AND MATURITY: BENCHMARKING YOUR CYBER EXPOSURE OVER TIME

Yakovlev G.O.1, Batetnikov I.A.2

1Yakovlev Georgy Olegovich - Master student;

2Batetnikov Ilya Andreevich - Master student, DEPARTMENT OF INTERNATIONAL INFORMATION SECURITY, MOSCOW STATE LINGUISTIC UNIVERSITY, MOSCOW

Abstract: this article explores the problems that organizations face when trying to accurately answer the question "How do we evaluate the effectiveness of information security in our company over time?". Using this method, you can find out whether your efforts and investments in the field of information protection, the effectiveness of the information security system in the company pay off, and whether the security system in the company has development or if additional efforts are needed to develop and improve it, keeping a balance between efficiency and economic component. Keywords: risks, effectiveness of information security, assessment ofprogress.

УДК 004:3

В данной статье исследуются проблемы, с которыми сталкиваются организации, пытаясь точно ответить на вопрос «Как нам оценить эффективность информационной безопасности в нашей компании с течением времени?». Вот что необходимо для этого знать.

В ситуации, когда необходимо устранять тысячи уязвимостей в год, трудно представить себе такую роскошь, чтобы сделать паузу и оценить текущие результаты по сравнению с предыдущими. Но единственный способ узнать, окупаются ли ваши усилия в области безопасности и инвестиции — это использовать стандартный способ оценки прогресса.

Работоспособность методики Cyber Exposure зависит от вашей способности точно ответить на четыре ключевых вопроса:

1. Где есть незащищенность?

2. Как мы должны расставить приоритеты опираясь на показатели рисков?

3. Как мы устраняем незащищенность в течение заданного периода?

4. Как мы работаем в сравнении с нашими коллегами в сфере информационной безопасности?

Фокусирование на главном.

Постоянные изменения, происходящие в вашей системе защиты, представляют собой самую большую проблему оценки снижения риска с течением времени. Например, инициатива по переоборудованию инфраструктуры сети может привести к экспоненциальному увеличению числа конечных точек и расширению области сети, необходимой для их обслуживания. Или недавнее обновление привело к тому, что у вас осталось много устаревшего или ограниченного программного или аппаратного обеспечения, которое не используется, но все еще подключено к корпоративной сети.

Необходимо получить полное представление о вашей системе защиты, включая IoT, OT и облачные ресурсы, прежде чем вы сможете начать измерять прогресс или регресс вашей системы безопасности.

Выявление объектов оценки

Как только вы поймете, что находится у вас в системе защиты информации, следующая задача - выработать детальное понимание того, где находятся ваши наиболее важные для бизнеса активы, чтобы вы могли начать измерять свои успехи в обеспечении их безопасности. Это означает сравнение аналитических результатов по бизнес-единицам, географическому расположению и типам активов.

Общие ключевые показатели эффективности, которые следует учитывать:

• время оценки;

• время устранения последствий угроз;

• эффективность определения приоритетов кибер-рисков;

• идентификация активов, уязвимых к кибер-риску, включая устройства с операционной технологией (OT) и Интернет вещей (IoT).

Также стоит отслеживать три ключевых показателя эффективности, которые чаще всего используются для измерения финансовых последствий кибер атаки:

• потеря дохода;

• потеря производительности;

• падение цены акций.

После того, как вы определили, какие метрики вы будете использовать, вы можете начать тестировать свою производительность, создав показатель по методике Cyber Exposure для каждого инцидента. Ваша система начисления показателей должна включать:

• серьезность уязвимости и возможность ее использования;

• контекст угрозы, такой как распространенность уязвимости, эксплуатируемой в сети, или ее характеристики, которые делают ее вероятной для ее использования в ближайшем будущем;

• бизнес-контекст, например, как будут затронуты рабочий процесс, если определенный актив будет скомпрометирован или переведен в автономный режим для устранения уязвимости.

Улучшение отчетности и внутренней коммуникации

Оснащенные действенными контрольными показателями безопасности, лидеры в сфере IT могут улучшить свои отчеты и более эффективно общаться с руководителями и Советом директоров. В отличие от KPI, рейтинги безопасности предоставляют общий язык, который старшие руководители могут использовать для принятия решений.

С помощью таких упрощенных показателей, как рейтинги безопасности, ИТ -лидеры и руководители могут более продуктивно обсуждать кибер-риски, что они означают, как ими управлять и какие ресурсы необходимы для их снижения.

Публикация результатов собственного рейтинга в области кибербезопасности или среди группы конкурентов также может значительно улучшить понимание тенденций роста и усложнения системы безопасности. Возможно, не сразу будет понятно, что означает конкретный рейтинг безопасности, но очень быстро конкуренты поймут, будет ли он значительно выше или ниже рейтинга ключевого соперника.

Аудит информационной безопасности

К независимой оценке уязвимостей и рисков ИБ обычно прибегают при планировании внедрения новых систем или новых процессов управления ИБ. К аудиторам обращаются при открытии подразделений и филиалов, слияниях и поглощениях.

Можно провести полный аудит всех инфраструктурных и прикладных ИТ-систем и процессов в организации, а можно обследовать отдельные системы: web-ресурсы, сетевую инфраструктуру, бизнес-системы ERP и CRM, платежные, биллинговые, бухгалтерские и банковские системы и другие компоненты ИТ.

Обычно аудиторы проводят следующие работы:

• изучение организационной структуры и нормативной документации;

• интервью с представителями бизнеса, ИТ и СБ;

• инструментальный анализ защищенности активов ИТ-инфраструктуры.

В итоге оценивается текущий уровень и перспективы развития процессов ИБ для согласования с требованиями бизнеса. Достоверный анализ рисков ИБ помогает нам совместно с заказчиком разработать организационные и технические рекомендации по снижению рисков. Документация по процессам ИБ приводится в соответствие требованиям регуляторов. А методика построения моделей угроз и нарушителей дает понимание, что нужно защищать в первую очередь, помогая оптимизировать траты на безопасность.

Окончательный результат аудита - план работ (проект ТЗ) по совершенствованию ИБ, согласованный с ИТ и бизнесом и обосновывающий важность предстоящих внедрений.

Наша методология предусматривает использование ряда отраслевых стандартов:

• ISO 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.

• ISO 27002. Информационные технологии. Свод правил по управлению защитой информации.

• ISO 27005. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

• ФЗ-152 «О персональных данных».

• Постановление правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

• Приказ ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

• Information Technology Assurance Framework (ITAF). Тестирование ваших процессов

Сравнительный анализ начинается с необработанных цифр, например, сколько у вас уязвимостей в этом году по сравнению с прошлым годом, или насколько эти уязвимости значимы для вашей организации. Кроме того, речь идет о готовности системы, например, о том, сколько времени понадобится вашей организации для устранения критических уязвимостей в этом году по сравнению с прошлым годом, и о том, насколько эффективно вы реагируете на новые уязвимости из года в год.

В заключение статьи хотелось бы сказать, что главными параметрами оценки эффективности информационной безопасности в компании является грамотная методика оценки активов и процессов компании. Используя вышеуказанные методы оценки, можно с легкостью проверить эффективность системы информационной безопасности в компании.

Список литературы /References

1. Metrics and Maturity: Benchmarking Your Cyber Exposure over time // Оценка рисков компании [Электронный ресурс]. 2019. URL: https://www.tenable.com/blog/metrics-and-maturity-benchmarking-your-cyber-exposure-over-time (дата обращения: 25.05.2014).

2. Make Security Benchmarking a Reality // Оценка безопасности компании на основе рейтингов [Электронный ресурс]. 2019. URL:https://www.bitsight.com/blog/make-security-benchmarking-a-reality (дата обращения: 24.05.2014).

ПРОБЛЕМЫ ИНТЕГРАЦИИ АЛГОРИТМОВ КОМПЬЮТЕРНОГО ЗРЕНИЯ В СИСТЕМЫ ВИДЕОНАБЛЮЕНИЯ Чумаченко К.К. Email: Chumachenko663@scientifictext.ru

Чумаченко Кирилл Константинович - магистрант, кафедра информационных систем, Севастопольский государственный университет, г. Севастополь

Аннотация: в данной статье описаны преимущества применения систем интеллектуального видеонаблюдения, рассмотрены основные проблемы, возникающие при интеграции алгоритмов компьютерного зрения в программное обеспечение, используемое в системах видеомониторинга и приведены примеры их решения. Было разработано приложение на языке C++, с применением библиотеки компьютерного зрения OpenCV, и реализованы примеры трех алгоритмов сегментации: WaterShed, FloodFill и GrabCut. Проведено сравнение работы данных алгоритмов на исходном изображении и сделаны выводы по результатам их работы. Ключевые слова: компьютерное зрение, openCV, системы видеонаблюдения, сегментация, распознавание объектов.

i Надоели баннеры? Вы всегда можете отключить рекламу.