Інтерактивна оцінка
Оцінка
кібербезпеки
Оцініть відповідність вашої організації ключовим заходам безпеки стандарту ISO 27001. Пройдіть опитування, щоб виявити ризики та визначити рівень зрілості.
1
2
3
4
5
6
7
8
Як у вашій організації визначено політики інформаційної безпеки та організаційні ролі?
1. Політики та організація безпеки (ISO 27001 A.5)
Політики відсутні
Офіційні політики безпеки відсутні. Обов'язки та ролі не
визначені.
Неофіційні правила
Існують базові незадокументовані практики безпеки, але ролі не
розподілені.
Документовані політики
Політики безпеки задокументовані, але перевірки та оновлення
проводяться нерегулярно.
Офіційна система СУІБ
Комплексна система політик у межах СУІБ (ISMS), регулярний аудит
та чітко закріплені ролі.
Як ваша організація керує активами та правами доступу користувачів?
2. Контроль доступу та активи (ISO 27001 A.5 / A.8)
Без контролю доступу
Працівники мають доступ до всіх систем. Облік активів не
ведеться.
Спільний базовий доступ
Є базовий список активів. Доступ надається неформально без
суворого рольового принципу (RBAC).
Рольовий доступ та MFA
Визначено інвентар активів. Доступ регулюється через RBAC;
впроваджено MFA для зовнішніх порталів.
Суворий Zero Trust та Життєвий цикл активів
Автоматизований трекінг активів, суворий принцип найменших
привілеїв, обов'язковий MFA всюди та регулярний аудит прав.
Які заходи захищають вашу операційну інфраструктуру та мережі передачі даних?
3. Операційна безпека та мережі (ISO 27001 A.8)
Незахищені операції
Відсутні мережеві екрани, захист від шкідливого ПЗ або резервне
копіювання серверів.
Базовий захист
Стандартний антивірус і базовий міжмережевий екран. Резервне
копіювання запускається вручну.
Керований EDR та автокопіювання
Розгорнуто EDR, автоматичні бекапи зберігаються в хмарі чи
локально, активні мережеві екрани.
EDR/SIEM + Офлайн-бекапи та сегментація
Керований EDR/XDR, централізований аналіз логів, сегментація
мережі та протестовані ізольовані офлайн-бекапи.
Як контролюється фізичний доступ до офісів компанії та апаратного забезпечення?
4. Фізична та екологічна безпека (ISO 27001 A.7)
Вільний доступ
Офіси та зони обладнання відкриті для відвідувачів без журналів
обліку та замків.
Базові бар'єри
Офіси зачиняються в неробочий час, але вдень доступ гостей не
контролюється.
Контроль доступу та політика чистого столу
Журнал відвідувачів, прохід за картками, захищені комутаційні
шафи, діє правило «чистого столу».
Багаторівневий контроль та CCTV
Біометрія/індивідуальні карти, відеоспостереження, виділена
серверна кімната та регламент безпечної утилізації обладнання.
Як ваша організація реагує на інциденти безпеки та забезпечує безперервність бізнесу?
5. Реагування на інциденти та безперервність (ISO 27001 A.5.24 – A.5.30)
План відсутній
Немає сценаріїв реагування чи планів безперервності. Дії лише
реактивні.
Неофіційні контакти
Базові контакти ІТ на випадок НС, але без логування інцидентів чи
покрокових інструкцій.
Документований план реагування (IRP)
Затверджено офіційний план реагування на інциденти (IRP). Існують
процедури аварійного відновлення.
Команда реагування та тестування BCP
Визначено команду Incident Response, проводяться тренування
сценаріїв атак та регулярно переглядається BCP.
Як ваша організація забезпечує вимоги безпеки на всіх етапах роботи співробітників?
6. Безпека людських ресурсів (ISO 27001 A.6)
Без перевірок
Перевірка кандидатів при прийомі на роботу не проводиться;
навчання з безпеки відсутнє.
Базовий інструктаж
Проводиться базовий інструктаж при працевлаштуванні, але регулярні
тренінги з безпеки відсутні.
Регулярне навчання та перевірки
Всі кандидати проходять перевірку; регулярно проводяться тренінги
з підвищення обізнаності.
Суворий регламент та NDA
Ретельна перевірка при наймі, обов'язкове щорічне навчання та
чітко регламентована процедура звільнення із поверненням активів.
Як у вашій організації керують шифруванням даних та криптографічними ключами?
7. Криптографія та керування ключами (ISO 27001 A.8.24)
Нешифровані дані
Дані зберігаються та передаються у відкритому вигляді без
використання засобів шифрування.
Базове шифрування
Використовується HTTPS для сайтів, але робочі пристрої, бази даних
та архіви не шифруються.
Шифрування пристроїв та даних у стані спокою
Повне шифрування дисків на кінцевих пристроях; бази даних та
сховища шифруються у стані спокою.
Повний життєвий цикл ключів
Офіційна політика керування ключами, використання апаратних
токенів, регулярна ротація та наскрізне шифрування.
Як контролюються ризики безпеки при взаємодії із зовнішніми постачальниками та SaaS-сервісами?
8. Безпека відносин із постачальниками (ISO 27001 A.5.19 - A.5.23)
Без перевірки вендорів
Зовнішні інструменти, фрілансери та підрядники підключаються без
попередньої оцінки безпеки.
Неформальна оцінка
Перевіряється загальна репутація постачальників, але офіційні
вимоги до безпеки в контрактах відсутні.
Договори та NDA
Контракти містять стандартні вимоги щодо безпеки та NDA, але
аудити постачальників не проводяться.
Постійний контроль ризиків
Регулярні аудити постачальників, оцінка ризиків перед інтеграцією
та чіткі SLAs щодо інцидентів безпеки.
0%
балів
Розрахунок
Тест Завершено
Перегляньте ваші результати та рекомендації нижче.
Деталі захисту
1. Політики та організація безпеки
Політики
2. Контроль доступу та активи
Доступ
3. Операційна безпека та мережі
Операції
4. Фізична та екологічна безпека
Фізична безпека
5. Реагування на інциденти та безперервність
Інциденти
6. Безпека людських ресурсів
HR безпека
7. Криптографія та керування ключами
Криптографія
8. Безпека відносин із постачальниками
Постачальники
Запланувати безкоштовну консультацію
Заплануйте безкоштовний 15-30 хвилинний дзвінок з експертом AXON Security для обговорення результатів тесту та побудови індивідуального плану захисту вашого бізнесу.