Методология

Оформление и применение перечня недопустимых событий

Ядро методологии

Содержание

kbosov.jpgКирилл Босов

Что такое перечень недопустимых событий

Перечень недопустимых событий — это форма представления агрегированной информации об актуальных для организации недопустимых событиях. Перечень должен содержать следующую информацию:

  • недопустимые события;
  • порог ущерба;
  • сценарии реализации недопустимых событий;
  • целевые информационные системы;
  • критерии реализации недопустимых событий.

Возможны различные формы представления данной информации в зависимости от контекста, но наиболее понятной, простой и удобной в использовании формой является документ в виде таблицы, информация в которой должна давать исчерпывающие ответы на вопросы:

  • Какие недопустимые события актуальны для организации?
  • Воздействие на какие информационные системы может привести к наступлению недопустимого события?
  • Какие шаги на пути к реализации недопустимого события может предпринять злоумышленник?
  • Достижение каких условий демонстрирует возможность наступления недопустимого события?

Пример оформления перечня недопустимых событий:

Наименование недопустимого событияПорог ущербаЦелевые информационные системыСценарий реализации недопустимого событияКритерий реализации
Вывод денежных средств со счета организации100 млн. рублей«1С:Предприятие», система «банк —клиент»Оформить заявку на проведение оплаты контрагенту по ложным реквизитам в системе «1С:Предприятие», а затем для вывода денежных средств с расчетного счета компании создать соответствующее платежное поручение в системе «банк — клиент» и направить его в банкПолучение доступа к системе «1С:Предприятие» (прикладному ПО) с правами на создание и редактирование заявок и данных контрагентов, а также демонстрация доступа к системе «банк —клиент» с правами на отправку платежного поручения в банк

Как правильно составить перечень недопустимых событий

Три последовательных шага помогут вам составить перечень недопустимых событий.

ШагИсточник
Шаг 1. Добавить в перечень согласованный с руководством организации список недопустимых событий и порог ущерба по нимФормулирование недопустимых событий в масштабах деятельности всей организации с представителями высшего руководства и определение порога ущерба по ним
Шаг 2. Для каждой системы продумать последовательность нежелательных действийУточнение сценариев реализации недопустимых событий с руководителями  функциональных направлений исходя из ключевых функций организации
Шаг 3. Соотнести список недопустимых событий с системами, которые могут быть задействованы, и выделить критерии, по которым нежелательные действия считаются выполненнымиПроработка недопустимых событий с экспертами в области ИТ и кибербезопасности: определение целевых систем и технических условий реализации недопустимых событий

Итоговый перечень недопустимых событий рекомендуется утвердить на уровне руководства организации и проводить его актуализацию при необходимости.

Зачем нужен перечень и почему важно его правильное формирование

Как упоминалось ранее, формирование перечня начинается с записи первых гипотез о недопустимых событиях от высшего руководства организации. Далее проводится уточнение недопустимых событий с руководителями функциональных подразделений. На данном этапе вносятся уточнения касательно функциональных областей и задействованных информационных систем. Затем следует уточнение возможных технических условий реализации недопустимых событий, которое включает в себя сценарии и критерии реализации недопустимых событий.

Когда перечень сформирован, он может быть использован для проверки реализуемости недопустимых событий на практике и формирования инициатив по определению приоритетов при выстраивании кибербезопасности в организации.

В случае изменения контекста деятельности организации, т. е. появления или исключения бизнес- или технологических процессов, изменения профиля риска и ИТ-инфраструктуры, проводится уточнение перечня недопустимых событий.

В итоге информация, содержащаяся в перечне, поможет определить приоритетные области для бизнеса, нежелательное воздействие на которые способно нанести недопустимый ущерб организации, и в соответствии с этим эффективно организовать мониторинг и реагирование на инциденты информационной безопасности и защитить организацию от наступления недопустимого события.

Следующие статьи

Согласование перечня недопустимых событий и способов их реализации с топ-менеджментом
Поддержание перечня недопустимых событий в актуальном состоянии