Оформление и применение перечня недопустимых событий

Что такое перечень недопустимых событий

Перечень недопустимых событий — это форма представления агрегированной информации об актуальных для организации недопустимых событиях. Перечень должен содержать следующую информацию:

недопустимые события;
порог ущерба;
сценарии реализации недопустимых событий;
целевые информационные системы;
критерии реализации недопустимых событий.

Возможны различные формы представления данной информации в зависимости от контекста, но наиболее понятной, простой и удобной в использовании формой является документ в виде таблицы, информация в которой должна давать исчерпывающие ответы на вопросы:

Какие недопустимые события актуальны для организации?
Воздействие на какие информационные системы может привести к наступлению недопустимого события?
Какие шаги на пути к реализации недопустимого события может предпринять злоумышленник?
Достижение каких условий демонстрирует возможность наступления недопустимого события?

Пример оформления перечня недопустимых событий:

Наименование недопустимого события	Порог ущерба	Целевые информационные системы	Сценарий реализации недопустимого события	Критерий реализации
Вывод денежных средств со счета организации	100 млн. рублей	«1С:Предприятие», система «банк —клиент»	Оформить заявку на проведение оплаты контрагенту по ложным реквизитам в системе «1С:Предприятие», а затем для вывода денежных средств с расчетного счета компании создать соответствующее платежное поручение в системе «банк — клиент» и направить его в банк	Получение доступа к системе «1С:Предприятие» (прикладному ПО) с правами на создание и редактирование заявок и данных контрагентов, а также демонстрация доступа к системе «банк —клиент» с правами на отправку платежного поручения в банк

Как правильно составить перечень недопустимых событий

Три последовательных шага помогут вам составить перечень недопустимых событий.

Шаг	Источник
Шаг 1. Добавить в перечень согласованный с руководством организации список недопустимых событий и порог ущерба по ним	Формулирование недопустимых событий в масштабах деятельности всей организации с представителями высшего руководства и определение порога ущерба по ним
Шаг 2. Для каждой системы продумать последовательность нежелательных действий	Уточнение сценариев реализации недопустимых событий с руководителями функциональных направлений исходя из ключевых функций организации
Шаг 3. Соотнести список недопустимых событий с системами, которые могут быть задействованы, и выделить критерии, по которым нежелательные действия считаются выполненными	Проработка недопустимых событий с экспертами в области ИТ и кибербезопасности: определение целевых систем и технических условий реализации недопустимых событий

Итоговый перечень недопустимых событий рекомендуется утвердить на уровне руководства организации и проводить его актуализацию при необходимости.

Зачем нужен перечень и почему важно его правильное формирование

Как упоминалось ранее, формирование перечня начинается с записи первых гипотез о недопустимых событиях от высшего руководства организации. Далее проводится уточнение недопустимых событий с руководителями функциональных подразделений. На данном этапе вносятся уточнения касательно функциональных областей и задействованных информационных систем. Затем следует уточнение возможных технических условий реализации недопустимых событий, которое включает в себя сценарии и критерии реализации недопустимых событий.

Когда перечень сформирован, он может быть использован для проверки реализуемости недопустимых событий на практике и формирования инициатив по определению приоритетов при выстраивании кибербезопасности в организации.

В случае изменения контекста деятельности организации, т. е. появления или исключения бизнес- или технологических процессов, изменения профиля риска и ИТ-инфраструктуры, проводится уточнение перечня недопустимых событий.

В итоге информация, содержащаяся в перечне, поможет определить приоритетные области для бизнеса, нежелательное воздействие на которые способно нанести недопустимый ущерб организации, и в соответствии с этим эффективно организовать мониторинг и реагирование на инциденты информационной безопасности и защитить организацию от наступления недопустимого события.

Что такое перечень недопустимых событий

недопустимые события;

порог ущерба;

сценарии реализации недопустимых событий;

целевые информационные системы;

критерии реализации недопустимых событий.

Какие недопустимые события актуальны для организации?

Воздействие на какие информационные системы может привести к наступлению недопустимого события?

Какие шаги на пути к реализации недопустимого события может предпринять злоумышленник?

Достижение каких условий демонстрирует возможность наступления недопустимого события?

Пример оформления перечня недопустимых событий:

Наименование недопустимого события	Порог ущерба	Целевые информационные системы	Сценарий реализации недопустимого события	Критерий реализации
Вывод денежных средств со счета организации	100 млн. рублей	«1С:Предприятие», система «банк —клиент»	Оформить заявку на проведение оплаты контрагенту по ложным реквизитам в системе «1С:Предприятие», а затем для вывода денежных средств с расчетного счета компании создать соответствующее платежное поручение в системе «банк — клиент» и направить его в банк	Получение доступа к системе «1С:Предприятие» (прикладному ПО) с правами на создание и редактирование заявок и данных контрагентов, а также демонстрация доступа к системе «банк —клиент» с правами на отправку платежного поручения в банк

Как правильно составить перечень недопустимых событий

Три последовательных шага помогут вам составить перечень недопустимых событий.

Шаг	Источник
Шаг 1. Добавить в перечень согласованный с руководством организации список недопустимых событий и порог ущерба по ним	Формулирование недопустимых событий в масштабах деятельности всей организации с представителями высшего руководства и определение порога ущерба по ним
Шаг 2. Для каждой системы продумать последовательность нежелательных действий	Уточнение сценариев реализации недопустимых событий с руководителями функциональных направлений исходя из ключевых функций организации
Шаг 3. Соотнести список недопустимых событий с системами, которые могут быть задействованы, и выделить критерии, по которым нежелательные действия считаются выполненными	Проработка недопустимых событий с экспертами в области ИТ и кибербезопасности: определение целевых систем и технических условий реализации недопустимых событий

Зачем нужен перечень и почему важно его правильное формирование

Что такое перечень недопустимых событий

Как правильно составить перечень недопустимых событий

Зачем нужен перечень и почему важно его правильное формирование

Следующие статьи

Что такое перечень недопустимых событий

Как правильно составить перечень недопустимых событий

Зачем нужен перечень и почему важно его правильное формирование