Евгений ГнединЧто такое порог ущерба в контексте недопустимого события
Под допустимым порогом ущерба в контексте недопустимого события понимается верхняя граница потенциально возможного вреда в количественном выражении, выше которой ущерб считается неприемлемым для организации. Единица измерения порога ущерба зависит от специфики конкретного недопустимого события: денежные единицы (в случае финансового ущерба), часы или минуты простоя (в случае нарушения доступности сервиса или остановки бизнес-процесса), количество уникальных пользователей (в случае хищения персональных данных).
Зачем определять порог ущерба
Не каждый инцидент информационной безопасности приводит к существенному для организации ущербу. Злоумышленник может проникнуть в информационную инфраструктуру, получить несанкционированный доступ к ресурсам, но не реализовать те события, которые нанесут серьезный ущерб бизнесу, либо реализовать такие события в незначительных масштабах. К примеру, кража денежных средств в размере 1000 рублей вряд ли станет критически значимой даже для небольшой компании, но хищение нескольких миллиардов может быть недопустимым даже для крупного бизнеса. Для того чтобы сказать, что хищение денежных средств со счетов компании является для организации недопустимым событием, нужно определить порог, при котором такое событие становится неприемлемым для бизнеса. Например, для событий, связанных с простоем оборудования или сервисов, важно понять, какой временной интервал простоя допустим для восстановления систем, а какой неприемлем. Определив значения порога ущерба, можно более точно сформулировать недопустимые события, конкретизировать задачи и ориентиры для подразделений информационных технологий и кибербезопасности. Действия всех подразделений, ответственных за обеспечение непрерывности бизнеса, должны быть направлены на то, чтобы исключить возможность нанесения ущерба организации выше обозначенного порога.
Основные принципы для определения порога ущерба
К работе по определению порога ущерба рекомендуется привлекать руководителей и специалистов организации, в чьи компетенции входит рассматриваемое недопустимое событие. Это могут быть:
- руководители организации, ответственные за развитие бизнеса;
- руководители организации, ответственные за финансовые показатели;
- руководители организации, ответственные за непрерывность ключевых производственных процессов и сервисов;
- руководитель и специалисты юридического департамента;
- другие руководители и специалисты, чьи компетенции могут быть полезны для определения порога ущерба.
Исходными данными для определения порога ущерба являются:
- сформулированные без уточнения порога недопустимые события организации;
- стратегические цели организации;
- перечень целевых показателей бизнеса;
- информация о текущих контрактных обязательствах;
- ключевые показатели эффективности по основным направлениям бизнеса;
- количественные показатели соглашения об уровне сервиса (service level agreement);
- другие данные, позволяющие определить допустимый порог ущерба.
Порог ущерба для недопустимого события может быть обозначен руководителем организации в процессе определения гипотез недопустимых событий, если пороговые значения изначально известны и понятны руководителю. Если порог ущерба на такой встрече обозначен не был, потребуется дополнительно провести интервью с руководителями организации, отвечающими за развитие бизнеса, финансовые показатели и ключевые направления деятельности, к которым относятся сформулированные гипотезы недопустимых событий. В рамках таких интервью важно получить ответы на следующие вопросы:
1. Недопустимое событие может быть оценено количественно?
2. Если ответ на первый вопрос «Да», в каких единицах может быть измерено недопустимое событие (рублях, минутах, штуках и других)?
3. Какое максимальное количественное значение потенциального ущерба для этого недопустимого события может считаться приемлемым для организации (бизнес не прекратит свое существование, организация сможет достигать своих стратегических и операционных целей)?
Ответ на третий вопрос должен дать понимание порога допустимого ущерба, превышение которого можно считать недопустимым событием для организации.
Если ответы не позволили напрямую определить значение порога допустимого ущерба, последствия реализации недопустимого события можно для начала попытаться переложить в денежный эквивалент, а уже затем перейти к количественным показателям. Для этого могут быть заданы дополнительные вопросы:
4. Последствия от реализации недопустимого события могут быть соотнесены с потенциальным финансовым ущербом и оценены в денежных единицах?
5. Если ответ на предыдущий вопрос «Да», какой минимально возможный финансовый ущерб может повлечь наступление недопустимого события?
6. Есть ли дополнительные финансовые издержки, связанные с реализацией недопустимого события, которые могут быть добавлены к непосредственным финансовым потерям?
7. Является ли этот минимально возможный финансовый ущерб от непосредственной реализации недопустимого события и последующие финансовые издержки в совокупности неприемлемыми для бизнеса организации?
8. Если ответ на предыдущий вопрос «Да», какое количественное значение параметров недопустимого события соответствует озвученным финансовым потерям? Это значение является допустимым порогом ущерба.
9. Если ответ на предыдущий вопрос «Нет», то какой финансовый ущерб в совокупности с дополнительными финансовыми издержками будет неприемлем для бизнеса?
10. Какое количественное значение параметров недопустимого события соответствует озвученному на предыдущий вопрос значению финансовых потерь? Это значение является порогом ущерба.
Потенциальный финансовый ущерб может зависеть и от внешних факторов (например, от изменения требований законодательства). До введения оборотных штрафов за утечку персональных данных штраф для организации, допустившей утечку, может составлять порядка нескольких десятков тысяч рублей. Если переложить последствия утечки в финансовый эквивалент, такое событие может не оказаться для организации недопустимым с финансовой точки зрения. Но в случае принятия поправок в законодательство и ввода оборотных штрафов (до 3% от оборота), взыскание может вырасти до 500 миллионов рублей, что может стать неприемлемым для множества организаций.
Если недопустимое событие не может быть оценено количественно, допускается не определять для него порог. В этом случае реализация такого события в любых объемах считается неприемлемой.
Как определить, что порог ущерба обозначен правильно
Порог ущерба должен удовлетворять следующим критериям:
- единицы измерения соответствуют контексту недопустимого события;
- сформулирован в количественном эквиваленте;
- измерим и его значение конечно;
- адекватен и соответствует действительным параметрам, характерным для недопустимого события (например, если в базе данных содержится всего 100 строк кода, порогом ущерба не может быть 200 строк кода);
- актуален для текущих показателей бизнеса организации;
- превышение порога при реализации события влечет неприемлемые для бизнеса последствия, которые драматическим образом влияют на бизнес, его дальнейшее функционирование (вплоть до его закрытия), на достижение стратегических и операционных целей.
Примеры порога ущерба
Единица измерения порога ущерба зависит от специфики недопустимого события.
Как использовать порог ущерба
Общая формулировка недопустимого события, определенная ранее на этапе встречи с руководителем организации, уточняется с указанием порога ущерба. Например, если первое лицо организации указало в качестве гипотезы недопустимого события «Невозможность оказания цифровой услуги», то после определения порога ущерба (например, три часа) эта формулировка уточняется и вносится в перечень недопустимых событий организации в следующем виде: «Невозможность оказания цифровой услуги более трех часов».