Екатерина КощееваЧто такое недопустимые события
Для каждой организации можно перечислить события, наступление которых может иметь катастрофические последствия. Кибератаки являются одной из причин, которая может привести к значительному нарушению деятельности организации и стать непреодолимым препятствием на пути к достижению ее операционных и стратегических целей.
Недопустимое событие — событие, возникшее в результате кибератаки, которое делает невозможным достижение операционных и (или) стратегических целей организации или приводит к значительному нарушению ее основной деятельности.
Примеры:
- остановка производства или масштабный брак продукции как результат взлома и внесения изменений в производственный процесс;
- подмена транслируемого контента с целью дестабилизации социально-политической обстановки;
- полная или частичная потеря данных из государственных фондов, реестров и ведомственных баз данных.
Понимание того, что действительно важно для организации и какие события нельзя допустить, является одним из ключевых шагов на пути к построению результативной кибербезопасности.
Как определить недопустимые события
Для определения недопустимых для организации событий рекомендуется сформировать рабочую группу, включающую следующих участников:
- представителей высшего руководства организации;
- руководителей функциональных направлений, ответственных за ключевые направления деятельности организации;
- экспертов в области информационных технологий и кибербезопасности.
Рисунок 1. Распределение ролей в рабочей группе
Работы по определению недопустимых событий целесообразно осуществлять в несколько ключевых этапов:
1. Формулирование недопустимых событий в масштабах организации с представителями высшего руководства
Топ-менеджмент обладает широким пониманием стратегических и операционных целей компании и знает, что действительно может нанести катастрофический ущерб.
В качестве отправной точки при подготовке к общению с высшим руководством рекомендуется сформировать перечень гипотез, отталкиваясь от негативных последствий кибератак, которые могут являться неприемлемыми для организации. Следует принимать во внимание:
- перечень типовых недопустимых событий для организаций различных направлений;
- ключевые направления деятельности;
- стратегические цели и основные бизнес-показатели организации и т. п.
В рамках совещания с представителями топ-менеджмента рекомендуется распределить предварительные гипотезы по степени важности и определить, что является наиболее опасным для организации. Если применимо, можно сформулировать предварительные пороговые значения возможного ущерба, превышение которых недопустимо для организации.
Рисунок 2. Оценка эффективности решения
Следует учитывать, что при обсуждении с высшим руководством может не приниматься во внимание технологическая специфика деятельности организации. Гипотезы строятся исходя из влияния недопустимых событий «на бизнес-уровне».
Сформированный предварительный перечень недопустимых событий далее подлежит уточнению с руководителями функциональных направлений организации.
2. Уточнение недопустимых событий с руководителями функциональных подразделений исходя из ключевых функций организации
Последующее уточнение недопустимых событий рекомендуется осуществлять совместно с руководителями ключевых функциональных направлений организации, которые понимают специфические аспекты деятельности конкретных подразделений, операционные задачи и особенности связанных с ними целевых информационных систем.
Целевая информационная система — информационная система, в результате воздействия злоумышленника на которую может непосредственно произойти недопустимое для организации событие.
При моделировании сценариев реализации недопустимых событий с руководителями функциональных направлений рекомендуется проводить анализ с учетом следующих аспектов:
- какие бизнес- и технологические процессы подвержены влиянию рассматриваемых недопустимых событий:
- какие целевые информационные системы обеспечивают выполнение данных процессов;
- какие недостатки выявлены в процессах;
- какие компенсирующие меры применяются для нейтрализации недостатков в процессах;
- к каким последствиям могут привести обсуждаемые сценарии реализации недопустимых событий и каково пороговое значение возможного ущерба.
Определение пороговых значений может осуществляться как на основании экспертной оценки, так и с применением количественных подходов к расчету, например используемых в организации в рамках управления операционными рисками. Порог может быть выражен временными параметрами (например, длительность остановки исходя из установленных допустимых показателей простоя системы или сервиса), периодом наступления рассматриваемого события (например, остановка работы клиентских сервисов в рабочее время), финансовыми показателями (например, потеря определенной суммы или доли от оборота), объемом продукции (например, недопустимая доля брака), количеством клиентов.
При необходимости расчета финансовых потерь для дополнительного обоснования порогов ущерба могут использоваться показатели финансовой и операционной отчетности. Так, например, имея сведения о среднем суточном обороте можно определить, во сколько обойдется простой в работе розничных точек продаж крупного ретейлера в единицу времени. Исходя из этого понимания можно определить пороговое значение допустимого ущерба с учетом длительности простоя и (или) количества магазинов.
В то же время следует принимать во внимание, что для ряда недопустимых событий пороговые значения могут быть не определены. Например, может быть нецелесообразно определять порог ущерба в отношении утечки конфиденциальной информации или искажения информации, публикуемой на официальных ресурсах организации.
Примеры:
3. Проработка недопустимых событий с экспертами в области ИТ и кибербезопасности: определение технических условий реализации недопустимых событий
Дальнейшую проработку сценариев реализации недопустимых событий следует осуществлять с привлечением экспертов, ответственных за сопровождение и развитие ИТ и обеспечение кибербезопасности.
Эксперты помогают уточнить следующую информацию в разрезе рассматриваемых сценариев реализации недопустимых событий:
- целевые и ключевые информационные системы, при воздействии злоумышленника на которые могут быть реализованы недопустимые события;
- недостатки и уязвимости в информационных системах и ИТ-инфраструктуре;
- меры защиты, применяемые или планируемые к внедрению для исключения недопустимых событий;
- критерии, выполнение которых подтверждает возможность реализации недопустимого события.
Ключевая информационная система — это объект в информационной инфраструктуре, несанкционированный доступ к которому или воздействие на который необходимы нарушителю, чтобы развить атаку на целевую систему, или такая система, взлом которой существенно упростит сценарий атаки или повысит ее эффективность.
Согласование перечня недопустимых событий
Результаты анализа рекомендуется оформлять в виде структурированного перечня недопустимых событий. В итоговый перечень рекомендуется включать следующее:
- недопустимые события;
- возможные негативные последствия в случае реализации недопустимых событий;
- сценарии реализации недопустимых событий;
- целевые информационные системы;
- критерии реализации недопустимых событий.
К согласованию перечня рекомендуется привлекать участников рабочей группы. Итоговый перечень недопустимых событий рекомендуется утвердить на уровне высшего руководства организации.
Краткий чек-лист для определения недопустимых событий
- Сформировать рабочую группу.
- Подготовить перечень гипотез недопустимых событий для обсуждения с топ-менеджментом организации.
- Сформулировать недопустимые события в масштабе организации совместно с высшим руководством.
- Смоделировать сценарии реализации недопустимых событий совместно с представителями бизнес-подразделений.
- Спроецировать сценарии реализации недопустимых событий на уровень ИТ-инфраструктуры.
- Сформировать итоговый перечень недопустимых событий, учитывающий сценарии реализации и перечень целевых систем.
- Утвердить перечень недопустимых событий на уровне руководства организации.