Постепенно требования о необходимости соответствия международным стандартам (ISO 27001, PCI DSS), а также стандартам и законодательным актам Российской Федерации (СТО БР ИББС и ФЗ-152) переходят из разряда рекомендательных в разряд обязательных. И данная тенденция с течением времени будет только усиливаться.
Сейчас отчетливо заметны тенденции к ужесточению различных норм в РФ, а также к расширению сфер, которые попадают под требования о сертификации как со стороны международных систем (например, Visa и Mastercard), так и внутренних регуляторов. В данной ситуации компании заняты поиском наиболее действенного способа обеспечения соответствия своих инфраструктур и протекающих в них процессов упомянутым выше нормам. При этом, учитывая реалии текущего момента, к сказанному можно добавить, что, как правило, еще и наименее затратный.
Параллельно количество атак на информационные сети и системы повсеместно и весьма значительно возрастает. А вместе с количеством попыток увеличивается и количество их успешных реализаций.
Основными причинами происходящего являются:
- наличие не устраненных уязвимостей в информационных системах;
- несвоевременная установка обновлений безопасности;
- неправильная настройка программного обеспечения или использование настроек по умолчанию;
- некомпетентность специалистов;
- отсутствие процесса управления уязвимостями информационной системы как такового;
- отсутствие контроля сроков выполнения переодических задач и задач в рамках проектов, а также качества процессов ИБ;
- соответствие стандартам только «на бумаге».
Необходимо заметить, что 36 % обнаруживаемых в мире уязвимостей относится к продуктам компаний ТОП 10: Apple, Oracle, Microsoft, HP, Adobe, IBM, VMware, Cisco, Google, Mozilla. Например, в Windows XP за год обнаруживается несколько сотен уникальных уязвимостей. Между тем, частота выпуска обновлений безопасности не так велика: так, корпорация Adobe выпускает пакет обновлений, как правило, раз в три месяца, и только, в исключительных случаях готовятся единичные обновления.
Все вышеперечисленное говорит о высокой вероятности возникновения проблем с безопасностью практически в любой компании, которая использует программные продукты для ведения бизнеса. А это, в свою очередь, не позволяет закрывать глаза на данную проблему и выливается в необходимость противодействия возникающим ИТ-угрозам.
Следующие мероприятия позволят значительно сократить угрозы информационной инфраструктуре компании и бизнесу в целом:
- проведение категоризации ресурсов и определение наиболее критичных;
- построение корректного процесса управления уязвимостями и несоответствием;
- правильное конфигурирование систем поддерживающих бизнес-процессы;
- разработка документации, регламентирующей процесс управления уязвимостями и несоответствием;
- обучение сотрудников работе в рамках правильно спроектированных и выстроенных систем.
Реализация указанных мероприятий на практике позволяет значительно сократить риски для бизнеса ввиду отсутствия санкций со стороны контролирующих органов, минимизации ущерба и надежной защиты репутации компании. Кроме того, внедрение процессов управления уязвимостями информационной сети и соответствием позволит значительно уменьшить затраты на дорогостоящие человеческие ресурсы за счет автоматизации.
Рассмотрим, как строится процесс управления информационными уязвимостями и соответствием, а также какие преимущества он может предоставить бизнесу.
< ... >
