Cybersecurity Assessment Quiz

А вы готовы
к киберинцидентам?

Тест поможет всего за 5 минут оценить уровень зрелости ваших систем кибербезопасности (КБ) по 13 направлениям. Каждый вопрос сопровождается комментариям экспертов.

В конце вас ждут подробные рекомендации, как обеспечить непрерывность бизнес-процессов в случае киберинцидента.

Перейти к тесту

Вопрос 1 из 13

Кто отвечает за обеспечение КБ в вашей компании?

Отдел КБ в IT-департаменте

Неплохо! Но все же у такого решения есть подводные камни. Когда специалисты по безопасности работают в IT-департаменте, задачи КБ могут уходить на второй план или не получать достаточного финансирования

Выделенный департамент КБ

У вас оптимальный подход: он обеспечивает безопасность на высоком уровне, потому что охраной данных занимаются профессионалы. Разделив зоны ответственности КБ и IT, вы минимизируете конфликт интересов между департаментами

Сотрудники IT-департамента

Такой подход неэффективен и может привести к неприятным последствиям для организации. Как правило, сотрудникам IT-департамента не хватает знаний и навыков в области КБ. Защиту данных компании лучше поручить профильным специалистам

Директор или заместитель директора

Конечно, именно руководитель должен быть драйвером в вопросах обеспечения КБ. Но чтобы поддерживать высокий уровень защищенности компании, такие задачи лучше поручить профильному департаменту

Ответить

Вопрос 2 из 13

Есть ли у вас какие-то документы по КБ: политика, инструкции безопасной работы, регламент предоставления доступа к системам и другие?

Есть политики, процедуры, инструкции и много других документов

Отлично! Проработанные политики и процедуры позволяют упорядочить все процессы КБ и поддерживать их на достаточно высоком уровне

Ничего нет

Будьте осторожны! Это значит, что в вашей компании не структурированы процессы КБ. Такой подход может приводить к спонтанным решениям, а в области КБ тактики защиты лучше продумывать заранее

Есть только политика КБ и инструкции у IT

Хорошо! Следующий шаг — провести аудит. Нужно проанализировать, какие документы уже в работе, а каких не хватает. Несоблюдение регламентов и отсутствие необходимых документов могут привести к штрафам и, что еще важнее, к проблемам с КБ

Что-то точно есть, нужно уточнять

Звучит не очень! Если вы не знаете, есть ли в вашей компании какие-то документы по КБ, это может означать, что вы еще не задумывались о вопросах безопасности. Стоит начать с аудита

Ответить

Вопрос 3 из 13

Ваша компания проводит регулярное обучение сотрудников по вопросам КБ?

Да, у нас есть тренинги, тестирования и информационные рассылки

Это похвально. Злоумышленники очень часто пользуются тем, что сотрудники непрофильных подразделений плохо разбираются в основах КБ. Фишингового письма бывает достаточно для взлома компании — а если сотрудники слышали о фишинге и натренированы его отличать, риск успешной атаки сильно сокращается

Да, мы регулярно готовим информационные рассылки для персонала

Хорошее начало! Это помогает минимизировать риски, связанные с человеческим фактором. Также полезно периодически проводить тренинги и тестирования, чтобы закреплять навыки.

В компаниях, где мы впервые проводили учебный фишинг, каждый третий участник тестирования перешел по вредоносной ссылке, а в коллективах, где тренинги проходят уже пару лет — только каждый двадцать восьмой.

Возможно, что-то проводят

Стоит задуматься о вопросах безопасности.

Важно, чтобы образовательные мероприятия были систематизированы. Только в этом случае вы сможете найти баланс между затратами на них и эффективностью.

Только при трудоустройстве, больше ничего нет

Скорее всего, в вашей компании не выстроен процесс реагирования на киберугрозы. Одного вводного инструктажа недостаточно, чтобы при атаке сотрудники повели себя правильно: например, проигнорировали фишинговое письмо и сообщили ответственным за КБ. Чтобы закрепить такие навыки, нужно регулярно проводить тренинги по КБ

Ответить

Вопрос 4 из 13

Известно ли вам, какая информация обрабатывается в компании?

Вся информация в компании — конфиденциальная

Если вы всю информацию защищаете как конфиденциальную, это может привести к неоправданным расходам. Нужно сопоставлять ценность актива со стоимостью системы его защиты. Хорошая практика — сперва классифицировать активы и расставить приоритеты, а потом перейти к выбору защитных мер

Вся информация в компании — общедоступная

Такого не бывает. Большинство организаций — это коммерческие структуры, а значит, у них есть клиентская база, к которой нужно ограничивать доступ. Также у компании могут быть свои секреты, технологии, ноу-хау или документы, которые должны быть доступны только ограниченному кругу лиц

Конфиденциальная (персональные данные, коммерческая тайна) и общедоступная информация

Отлично! Это значит, что в вашей компании есть классификация данных. Определение видов и критичности информации позволяет структурировать подход к ее защите и минимизировать затраты на КБ

Ответить

Вопрос 5 из 13

Какие реквизиты нужны для доступа в самую критичную информационную систему в компании?

Логин и пароль, как для входа в компьютер

Одна учетная запись на несколько систем повышает вероятность того, что злоумышленник сможет получить к ним доступ. Желательно разделить системы на критичные и некритичные, придумать к ним разные пароли, а также добавить дополнительный фактор аутентификации, например отпечаток пальца или СМС-код

Отдельные логин и пароль

Неплохо! Но все же желательно добавить дополнительный фактор аутентификации. Это может быть СМС-код, который приходит на мобильный, отпечаток пальца или USB-токен с пользовательским сертификатом. Так ваши данные будут лучше защищены

Логин и пароль, а также дополнительный фактор (СМС-код, токен, отпечаток пальца и пр.)

Так надежнее всего. Когда вы используете многофакторную аутентификацию, вы минимизируете риски несанкционированного доступа к критичным системам как для внутренних, так и для внешних нарушителей

У нас все системы равнозначны

Это говорит о том, что в компании не проведена классификация систем. Например, корпоративный портал не может сравняться по значимости с системой банковского обслуживания. Для критичных систем обязательно нужны дополнительные меры безопасности!

Ответить

Вопрос 6 из 13

Используете ли вы шифрование данных?

Шифруем критичные системы и носители

Отлично! Так вы грамотно распределяете ресурсы и снижаете риск того, что злоумышленник получит доступ к важной информации

Оценили риски и решили, что шифрование нам не нужно

Хороший подход! В некоторых случаях компенсирующие меры защиты могут оказаться удобнее и дешевле для компании. Например, вместо шифрования можно передавать информацию на флешке или бумаге, ограничить физический доступ в серверные комнаты или контролировать доступ к информационным системам альтернативными способами

Шифруем только при передаче третьим лицам

Это хорошо! Но такой подход покрывает лишь часть вопросов защиты конфиденциальных данных. Важную информацию лучше шифровать не только при передаче третьим лицам, но и на постоянной основе — внутри критических систем и на машинных носителях

Да, мы все шифруем, так безопаснее

Далеко не самый эффективный способ защитить данные. Чтобы выстроить грамотную стратегию КБ, необходимо разобраться, какую информацию важно защищать, а какую нет. Это поможет разумно распределить ресурсы

Ответить

Вопрос 7 из 13

Как контролируются входы и выходы на территории офиса?

Для персонала — СКУД, гостей встречает сотрудник

Хороший вариант! Но этого может быть недостаточно. Например, не получится проследить перемещения гостя по офису. Учет и контроль всех посетителей помогут предотвратить проникновение нарушителей на территорию компании и защитить ваши активы

Есть охрана, пропусков нет

В таком случае вы не можете видеть перемещение людей по офису. Охрана лишь визуально идентифицирует человека на входе. Злоумышленники могут с легкостью проникнуть на территорию компании, а отследить их при этом невозможно

Вход по личным пропускам, гости по заявкам

Это лучшая практика. Так можно отследить все перемещения человека в офисе и при необходимости быстро идентифицировать злоумышленника

Ответить

Вопрос 8 из 13

Были ли у вас случаи утечки информации, доступа злоумышленников к системам или заражения вредоносным кодом?

Были несколько раз

Видимо, ваших мер защиты недостаточно. На таком этапе компании стоит начать с аудита КБ, а затем постепенно выстраивать эффективную систему КБ

Были один раз

Мы надеемся, что вы уже извлекли урок из этой ситуации и устранили причины. КБ компании должна базироваться на нескольких эшелонах защиты: от превентивных мер и мер по анализу событий КБ до эффективного реагирования на инциденты

Были, но мы оперативно все устранили

Хорошо, что вы справились с последствиями кибератак. Однако при должной готовности к инцидентам их можно было бы предотвратить на начальных этапах.

Подумайте о проактивных мерах и выстраивании более надежной системы КБ.

Даже и попыток никогда не было

Это вряд ли! Наша практика показывает, что атакуют всех, даже если вам кажется, что это не так.

Если внедрить базовые системы защиты, они покажут, что злоумышленники уже пытались скомпрометировать информационные активы компании.

Никогда не было, но попытки были

Значит, у вас хорошо выстроены эшелоны защиты — от превентивных мер и мер по анализу событий КБ до эффективного реагирования на инциденты

Ответить

Вопрос 9 из 13

Когда вы разрабатываете или обновляете информационные системы, вы тестируете их с точки зрения КБ?

Да, сотрудники КБ проводят отдельное тестирование

Отлично! Когда вы следите не только за функциональностью систем, но и за аспектами КБ, вы сокращаете количество уязвимостей, которыми могут воспользоваться злоумышленники для проникновения в сеть компании

Да, это в зоне ответственности IT-департамента

Хорошо, что тестирование проводится! Но результат будет лучше, если этой работой будут заниматься профессионалы в области безопасности. Они выполнят более качественную проверку, используя специальные инструменты

Мы проверяем код на наличие ошибок

Как правило, этим занимаются сами разработчики. Они могут проверить систему на критические ошибки и провести поверхностное ревью, но аспекты КБ при такой проверке обычно не учитываются

Тестируем только функциональность

Так вы проверяете, отвечает ли система бизнес-задачам, но это никак не говорит о ее степени защищенности. Вопросы безопасности стоит прорабатывать отдельно

Ответить

Вопрос 10 из 13

Проверяете ли вы КБ своих поставщиков и партнеров?

У нас есть требования по конфиденциальности в договорах

Хорошо, что необходимые требования прописаны в договорах, но этого может быть недостаточно. Прежде чем начинать работать с контрагентом, было бы полезно понимать, как у него организована система менеджмента безопасности. Можно запросить у компании сертификаты и аттестаты соответствия требованиям по КБ или результаты аудитов, проведенных третьими лицами

Да, мы смотрим на результаты аудита КБ у контрагентов и включаем в договоры требования по КБ и конфиденциальности

Прекрасный подход. Определение требований и регулярный контроль уровня КБ контрагентов минимизирует риск атак на цепочку поставок, когда киберпреступники сначала взламывают менее защищенную компанию, а через ее инфраструктуру попадают в системы партнеров

Проверяем на благонадежность

Такая проверка обеспечивает неплохие шансы на то, что у контрагента внедрены системы безопасности. Но под благонадежностью обычно подразумевают экономическую безопасность — гарантий защищенности от киберугроз при сотрудничестве с такой компанией у вас нет

Мы пользуемся услугами только знакомых контрагентов

Такой подход не может защитить компанию от потенциальных угроз. Как бы вы ни доверяли контрагенту, это не повлияет на уровень его КБ. А если вы сотрудничаете, все его уязвимости становятся и вашими тоже

Ответить

Вопрос 11 из 13

Как вы управляете инцидентами КБ?

Пользуемся услугами внешнего SOC (Security Operations Centre)

Зрелый подход! Услуга SOC позволяет эффективно выявлять угрозы и быстро реагировать на них, причем как с организационной, так и с технической точки зрения. Кроме того, вам не нужно закупать дорогие системы реагирования на инциденты КБ и нанимать высокооплачиваемых специалистов

У нас есть специальная группа реагирования на инциденты КБ

Отличный вариант! Создавая в департаменте КБ отдельную команду, сосредоточенную на управлении инцидентами, компания в разы сокращает последствия кибератак

Все решается силами сотрудников КБ

Хороший вариант, но все же лучше выделить специальную группу специалистов, которые будут заниматься мониторингом инцидентов и выработкой ответных мер. Решить эту задачу могут также поставщики услуг КБ

Есть инструкции, занимаются сотрудники IT

Сотрудники IT на основе инструкций могут хорошо справляться с задачами по мониторингу и управлению инцидентами. Но все же с отдельной командой специалистов по безопасности эффективность таких работ будет выше

Разбираемся в рабочем порядке

Возможно, в вашей компании нет выстроенной системы управления инцидентами. Это может подорвать устойчивость организации и впоследствии негативно отразиться на его конкурентоспособности

Ответить

Вопрос 12 из 13

Как вы действуете в случае сбоев в инфраструктуре и чрезвычайных ситуаций?

Следуем проработанным планам действий, которые периодически проверяются и тестируются

У вас все под контролем! Так даже в стрессовых для компании ситуациях все подразделения смогут принимать взвешенные и своевременные решения, чтобы адаптировать ключевые бизнес-процессы под новые условия

Есть внутренние инструкции, пока не использовали

Хорошо, что у вас есть план действий на случай чрезвычайных ситуаций или сбоев. Но не стоит забывать, что инструкции периодически нужно тестировать и актуализировать

В рабочем порядке, участвуют все заинтересованные подразделения

Видимо, у вашей компаний нет антикризисной стратегии. Это может привести к нарушению бизнес-процессов и другим неприятным последствиям, если возникнет стрессовая для компании ситуация.

Лучше проработать план действий на случай непредвиденных событий. Например, нужно понимать, какие технические средства понадобятся для бесперебойной работы бизнес-систем и для их защиты, как обеспечивать удаленный доступ к системам компании, как выстраивать отношения с контрагентами в новых условиях и так далее.

Ответить

Вопрос 13 из 13

Определили ли вы применимое для компании законодательство в области КБ?

Определили и выполнили некоторые требования

Хорошо! Это значит, что компания понимает, в каком правовом поле находится. Осталось завершить процесс и периодически отслеживать обновления законов и технических требований

Определили и выполнили все законодательные требования

Достойный результат! Сейчас нужно пристально следить за изменениями в правовом поле в области КБ. От этого зависит стабильность компании, а также ее позиции на рынке

Не определяли

Стоит заняться правовыми вопросами в области КБ. Невыполнение требований закона ведет к большим штрафам регуляторов, потере позиций на рынке и проблемам с безопасностью

Определили, но решили принять риски

Законодательство в области КБ — это не та сфера, где стоит принимать риски! Комплаенс-процедуры помогают избежать проблем с КБ. Кроме того, за невыполнение требований компаниям могут грозить санкции вплоть до приостановки деятельности

Ответить

Узнать результат!

Результат

Попробовать еще раз

Чем заняться в первую очередь?

Скачайте наше практическое руководство «Путь к цифровому лидерству. Как построить процесс управления инцидентами»

Подробнее

Сентябрь 2021 г.

#рекомендации

Путь к цифровому лидерству. Как построить процесс управления инцидентами

Эксперты BI.ZONE подготовили руководство по построению зрелой системы реагирования на киберинциденты и обеспечению непрерывности процессов. IT-директорам и руководителям цифровой трансформации материал поможет систематизировать знания об управлении инцидентами. Технические специалисты найдут в нем понятные бизнесу аргументы, чтобы показать связь между кибербезопасностью и развитием компании

Подробнее

Оставьте заявку на комплексный аудит КБ

Также вы можете получить услугу комплексного аудита и консалтинга — эксперты предложат лучшее решение. Просто заполните форму

Заполнить форму

Ознакомьтесь с рекомендациями наших экспертов, чтобы повысить уровень киберустойчивости

Создать выделенное подразделение КБ

Это явно определит зоны ответственности КБ и IT внутри компании и снизит вероятность конфликта интересов между ними

Внедрить необходимые политики и процедуры КБ

Речь о политике КБ, инструкциях безопасной работы, регламенте предоставления доступа к системам и пр. Это нужно, чтобы упорядочить все процессы КБ в компании, поддерживать их актуальность и совершенствовать

Регулярно обучать сотрудников основам КБ и проверять их знания

Осведомленность сотрудников снижает их восприимчивость к атакам с использованием социальной инженерии. А именно такие методы чаще всего используют злоумышленники

Определить виды и критичность информации, обрабатываемой в компании

Это структурирует подход к защите информации и минимизирует затраты на КБ

Применять многофакторную аутентификацию для доступа к критическим системам

Так вы минимизируете риски несанкционированного доступа как для внутренних, так и для внешних нарушителей

Шифровать системы и носители с критическим данными

Шифрование снижает риск того, что злоумышленник получит доступ к информации

Использовать пропускную систему для сотрудников и гостей на всей территории компании

Это помогает не допустить проникновения злоумышленников, а если такое все же произойдет — легко отследить их перемещения

Определить требования к уровню КБ контрагентов

В некоторых случаях киберпреступники сначала атакуют менее защищенную компанию, а затем через нее попадают в системы партнеров (это называется атакой на цепочку поставок). Поэтому лучше быть в курсе ситуации с КБ у своих контрагентов

Своевременно реагировать на инциденты — желательно силами выделенной команды КБ

Специальное подразделение будет использовать правильные инструменты и выверенные методологии. Такой центр можно организовать своими силами или обратиться к поставщикам профильных услуг

Проработать инструменты обеспечения непрерывности и восстановления на случай сбоев или чрезвычайных ситуаций

Заранее спланированная стратегия поможет всем подразделениям компании принимать взвешенные и своевременные решения даже в стрессовых ситуациях

Определить применимые к деятельности вашей компании требования законодательства и обеспечить их выполнение

Несоблюдение этих требований ведет к существенным штрафам со стороны регуляторов, потере позиций на рынке и даже к приостановке деятельности компании

Проводить тестирование безопасности при разработке или внедрении нового ПО в инфраструктуру компании

За эти мероприятия могут отвечать штатные специалисты по КБ или внешние эксперты. Главное, чтобы безопасности уделили внимание на самых ранних стадиях создания системы или ПО. Такой подход называется security by design, он уменьшает шансы злоумышленников на успех и помогает создать целостную систему КБ в организации