Екатерина КощееваОпределение недопустимых событий
Ядро методологии
Екатерина Кощеева
Екатерина КощееваДля каждой организации можно перечислить события, наступление которых может иметь катастрофические последствия. Кибератаки являются одной из причин, которая может привести к значительному нарушению деятельности организации и стать непреодолимым препятствием на пути к достижению ее операционных и стратегических целей.
Недопустимое событие — событие, возникшее в результате кибератаки, которое делает невозможным достижение операционных и (или) стратегических целей организации или приводит к значительному нарушению ее основной деятельности.
Примеры:
- остановка производства или масштабный брак продукции как результат взлома и внесения изменений в производственный процесс;
- подмена транслируемого контента с целью дестабилизации социально-политической обстановки;
- полная или частичная потеря данных из государственных фондов, реестров и ведомственных баз данных.
Понимание того, что действительно важно для организации и какие события нельзя допустить, является одним из ключевых шагов на пути к построению результативной кибербезопасности.
Для определения недопустимых для организации событий рекомендуется сформировать рабочую группу, включающую следующих участников:
Рисунок 1. Распределение ролей в рабочей группе
Работы по определению недопустимых событий целесообразно осуществлять в несколько ключевых этапов:
Топ-менеджмент обладает широким пониманием стратегических и операционных целей компании и знает, что действительно может нанести катастрофический ущерб.
В качестве отправной точки при подготовке к общению с высшим руководством рекомендуется сформировать перечень гипотез, отталкиваясь от негативных последствий кибератак, которые могут являться неприемлемыми для организации. Следует принимать во внимание:
В рамках совещания с представителями топ-менеджмента рекомендуется распределить предварительные гипотезы по степени важности и определить, что является наиболее опасным для организации. Если применимо, можно сформулировать предварительные пороговые значения возможного ущерба, превышение которых недопустимо для организации.
Рисунок 2. Оценка эффективности решения
Следует учитывать, что при обсуждении с высшим руководством может не приниматься во внимание технологическая специфика деятельности организации. Гипотезы строятся исходя из влияния недопустимых событий «на бизнес-уровне».
Сформированный предварительный перечень недопустимых событий далее подлежит уточнению с руководителями функциональных направлений организации.
Последующее уточнение недопустимых событий рекомендуется осуществлять совместно с руководителями ключевых функциональных направлений организации, которые понимают специфические аспекты деятельности конкретных подразделений, операционные задачи и особенности связанных с ними целевых информационных систем.
Целевая информационная система — информационная система, в результате воздействия злоумышленника на которую может непосредственно произойти недопустимое для организации событие.
При моделировании сценариев реализации недопустимых событий с руководителями функциональных направлений рекомендуется проводить анализ с учетом следующих аспектов:
Определение пороговых значений может осуществляться как на основании экспертной оценки, так и с применением количественных подходов к расчету, например используемых в организации в рамках управления операционными рисками. Порог может быть выражен временными параметрами (например, длительность остановки исходя из установленных допустимых показателей простоя системы или сервиса), периодом наступления рассматриваемого события (например, остановка работы клиентских сервисов в рабочее время), финансовыми показателями (например, потеря определенной суммы или доли от оборота), объемом продукции (например, недопустимая доля брака), количеством клиентов.
При необходимости расчета финансовых потерь для дополнительного обоснования порогов ущерба могут использоваться показатели финансовой и операционной отчетности. Так, например, имея сведения о среднем суточном обороте можно определить, во сколько обойдется простой в работе розничных точек продаж крупного ретейлера в единицу времени. Исходя из этого понимания можно определить пороговое значение допустимого ущерба с учетом длительности простоя и (или) количества магазинов.
В то же время следует принимать во внимание, что для ряда недопустимых событий пороговые значения могут быть не определены. Например, может быть нецелесообразно определять порог ущерба в отношении утечки конфиденциальной информации или искажения информации, публикуемой на официальных ресурсах организации.
Дальнейшую проработку сценариев реализации недопустимых событий следует осуществлять с привлечением экспертов, ответственных за сопровождение и развитие ИТ и обеспечение кибербезопасности.
Эксперты помогают уточнить следующую информацию в разрезе рассматриваемых сценариев реализации недопустимых событий:
Ключевая информационная система — это объект в информационной инфраструктуре, несанкционированный доступ к которому или воздействие на который необходимы нарушителю, чтобы развить атаку на целевую систему, или такая система, взлом которой существенно упростит сценарий атаки или повысит ее эффективность.
Результаты анализа рекомендуется оформлять в виде структурированного перечня недопустимых событий. В итоговый перечень рекомендуется включать следующее:
К согласованию перечня рекомендуется привлекать участников рабочей группы. Итоговый перечень недопустимых событий рекомендуется утвердить на уровне высшего руководства организации.