Как отличить реальную защиту от формального соответствия

Можно иметь идеально задокументированные процедуры и при этом регулярно становиться жертвой кибератак. Или годами успешно проходить проверки, не подозревая об утечке данных. Готов ли ваш бизнес отразить не только проверку аудитора, но и реальную атаку? О том, как это понять, рассказываем в статье.

Мы сотрудничаем с самыми разными компаниями и за это время поняли, что у всех специалистов ИБ, по сути, есть две главных задачи.

Первая задача – это самое начало пути, когда перед вами – куча регуляторных требований и разрозненные процессы. И из всего этого вы должны собрать работающую систему, которая, с одной стороны, не будет тормозить бизнес, а с другой – будет обеспечивать его реальную защиту. 

Вторая задача появляется позже. Когда стандарты соблюдены, чек-листы закрыты, аудиторы довольны, возникает вопрос: «А мы реально защищены или просто красиво отчитываемся?»

Пример 1.

Формальное соответствие: политика есть	Реальная защита: политика работает
В компании есть утвержденная политика сложности паролей: 12 символов, разные регистры. Аудит проходит успешно.	Система не позволяет создать слабый пароль. Регулярно и автоматически проверяются утечки в публичных базах. При обнаружении компрометации пароль принудительно сбрасывается. Политика не просто написана, а встроена в процессы.

Пример 2. 

Формальное соответствие: отчет по уязвимостям	Реальная защита: закрытые уязвимости на критичных активах
Ежеквартально проводится сканирование на уязвимости, формируется отчет на 500 страниц. Показатель для руководства: 100% сканирований выполнено по графику.	Сканирование сфокусировано на самых важных для бизнеса системах. При обнаружении критической уязвимости автоматически создается тикет с высоким приоритетом, который отслеживается до полного исправления. Показатель: среднее время устранения критических уязвимостей – 72 часа.

Пример 3.

Формальное соответствие: сотрудники прошли обучение	Реальная защита: сотрудники не попадаются на фишинг
100% сотрудников посмотрели видеолекцию по безопасности. Отчет для регулятора готов.	Помимо обязательного обучения, компания регулярно проводит контролируемые фишинг-кампании против своих сотрудников. Результаты анализируются, а тех, кто на них реагирует, отправляют на дополнительное обучение. Показатель: процент успешных фишинговых атак снизился с 25% до 3% за год.

Пример 4. 

Формальное соответствие: инцидент задокументирован	Реальная защита: инцидент быстро обнаружен и устранен
Есть регламент реагирования на инциденты. После реальной атаки, которая была обнаружена случайно,  команда заполнила формы отчета.	Система SIEM автоматически обнаружила аномальную активность (массовая выгрузка файлов ночью) и создала инцидент. Сработал playbook (сценарий действий), заблокировал учетную запись и изолировал сегмент сети. После инцидента правила мониторинга автоматически обновляются, чтобы обнаруживать подобные атаки в будущем.

Формальная безопасность ориентирована на документ, который можно показать проверяющему. Ее метрики – количество утвержденных политик, процент закрытых пунктов чек-листа, своевременность отчетов. Такая модель возникает естественным образом: требования регуляторов сформулированы как списки, аудиторы проверяют наличие артефактов, а руководство оценивает работу ИБ по бумажным показателям. Проблема не в документах самих по себе – они нужны. Проблема в том, что документ становится целью, а не инструментом.

Реальная защита ориентирована на результат. Ее метрики – время обнаружения атаки, процент заблокированных фишинговых писем, скорость изоляции зараженного хоста. Здесь документы существуют ради процессов, а процессы – ради защиты бизнеса. Каждый инцидент, каждая проверка, каждый тест меняют поведение системы. Политики обновляются после анализа реальных атак, правила мониторинга – после обхода защиты, обучение – после ошибок сотрудников.

Между этими полюсами лежит опасная серая зона – когда документы есть, инструменты куплены, но между ними нет связей. Антивирус установлен, но не обновляется. Политика доступа утверждена, но права никто не ревизует. Сканер уязвимостей работает, но критические дыры в продакшене закрываются месяцами. Именно здесь рождается иллюзия безопасности: внешне всё соответствует стандартам, но при первом же целевом воздействии система рассыпается.

10 вопросов для быстрой диагностики

Опираясь на опыт сотен аудитов, мы сформулировали вопросы для быстрой диагностики ключевых контрольных точек ИБ. Ответы на них помогают сделать моментальный снимок реального уровня вашей кибербезопасности.

1. Готова ли ваша компания согласовывать бизнес-цели с требованиями кибербезопасности? Интегрированы ли риски ИБ в процессы принятия бизнес-решений и управление проектами?
2. Ведется ли регулярная актуализация данных об активах (оборудование, ПО, данные)?
3. Видите ли вы, что происходит в ваших системах? Умеете ли анализировать угрозы или просто собираете логи? 
4. Можете ли вы быстро и эффективно реагировать на атаки? Проверяли ли вы это на учениях? Есть ли круглосуточный мониторинг (SOC) и дежурный оператор? 
5. Регулярно ли вы ищете и закрываете уязвимости? Используете ли вы автоматизированные сканеры уязвимостей (для сетей, ПО, веб-приложений)?
6. Соблюдаете ли вы принципы предоставления и контроля доступа? Проводите ли вы аудит прав реальных пользователей? Осуществляется ли аттестация учетных записей (access recertification)?
7. Есть ли у вас стандарты настройки систем? Проверяется ли их реальное состояние (hardening)? Ведется ли мониторинг физических параметров (температуры серверов)?
8. Используете ли вы современные надежные инструменты? Включает ли архитектура антивирус/EDR, сканер уязвимостей, DLP, IDS/IPS, SIEM, межсетевой экран (NGFW), системы обнаружения аномалий или ловушки (honeypots/deception technology)?
9. Насколько целостна и защищена ваша инфраструктура? Как защищена цепочка от разработки до эксплуатации?
10. Проверяете ли вы себя на прочность через тесты на проникновение? Работаете ли с их результатами? Проводятся ли внешние независимые аудиты?

Какую практическую пользу это дает

Во-первых, вы получаете объективную картину: где вы сильны, а где – ваши слабые места. Во-вторых, оценка показывает, куда в первую очередь нужно направить ресурсы и внимание. И наконец, когда процессы прозрачны, их легче объяснять руководству и согласовывать с другими подразделениями.