Владимир ВолошинЧто такое сценарий реализации
Сценарий реализации недопустимого события описывает верхнеуровневую модель действий злоумышленника, направленную на реализацию недопустимого события посредством получения несанкционированного доступа к целевой системе.
Пример 1
Недопустимое событие: «Кража денежных средств».
Целевая система: «1С:Предприятие», «1С:ERP Управление предприятием», система «банк — клиент».
Сценарий реализации:
- Подделка платежного поручения в системе «1С» через изменение или создание платежных реквизитов контрагента, создание или изменение платежного поручения без проверки и согласования.
- Модификация данных файла выгрузки платежного поручения или зарплатной ведомости в процессе передачи из «1С» в КБ (например, получателя платежа, номеров карт, номеров счета).
- Выполнение платежа непосредственно из системы «банк — клиент» (без использования «1С»).
Негативные последствия:
- Частичная или полная остановка деятельности организации.
- Нарушение сроков исполнения контрактных обязательств.
- Репутационные потери.
Пример 2
Недопустимое событие: «Утечка персональных данных 10 тысяч клиентов компании».
Целевая система: CRM-система, SAP ERP или «1С:ERP Управление предприятием», система управления лояльностью
Сценарий реализации:
- Несанкционированный доступ к базам данных и документам, содержащим персональные данные.
- Получение несанкционированного доступа к базам данных и документам подрядной организации или партнера — компрометация цепочки поставок.
Негативные последствия:
- Нарушение действующего законодательства с последующим вовлечением регулятора.
- Частичная или полная остановка деятельности организации.
- Репутационные потери.
Пример 3
Недопустимое событие: «Нарушение операционных процессов или информационного обмена данными между подразделениями организации».
Целевая система: Электронная почта, портал, официальный сайт, личный кабинет.
Сценарий реализации:
- Рассылка по корпоративным или официальным каналам ложной информации или информации, содержащей ссылки или вложения в виде вредоносного программного обеспечения.
- Подмена и публикация недостоверной информации на официальном сайте или портале организации.
Негативные последствия:
- Частичная или полная остановка деятельности организации.
- Нарушение сроков исполнения контрактных обязательств.
Моделирование сценариев реализации недопустимых событий
Высшее руководство организации понимает ключевые направления деятельности своей организации и на предыдущем шаге методологиина предыдущем шаге методологиина предыдущем шаге методологии результативной кибербезопасности обозначило, какие события могут повлиять на стабильность определенных видов деятельности организации или вовсе привести к невозможности выполнения критически важных функций. После получения первичных данных по недопустимым событиям от высшего руководства организации необходимо провести совещания:
- с руководителями ключевых структурных подразделений или функциональных направлений, чья деятельность может быть связана с определенными недопустимыми событиями и которые обладают пониманием операционных задач, связанных с ними бизнес-процессов и перспектив развития функций в области своей деятельности;
- со специалистами в области информационных технологий и кибербезопасности, осуществляющими эксплуатацию и поддержку целевых систем и иных объектов информационной инфраструктуры, средств защиты информации.
Основной целью таких совещаний является организация совместной работы с операционными руководителями и представителями IT-подразделения и отдела ИБ, направленной на:
- поиск связанных с недопустимыми событиями целевых систем;
- определение возможности реализации в отношении целевых систем компьютерной атаки — уточнение гипотетических сценариев реализации недопустимых событий уровня организации;
- определение негативных последствий от реализации недопустимых событий.
В процессе анализа полученных данных и проработки возможных сценариев реализации недопустимых событий складывается понимание:
- об основных процессах и области ответственности подразделений и направлений организации, связанных с недопустимыми событиями;
- о целевых информационных системах, обеспечивающих выполнение процесса;
- о недопустимых событиях, которые присущи области;
- о негативных последствиях, к которым могут привести обсуждаемые сценарии реализации недопустимых событий;
- об уязвимых местах и недостатках в процессах и информационных системах;
- о контрольных или защитных мерах, применяющихся или планируемых к внедрению;
- об иных важных организационных аспектах в области основной деятельности подразделения или направления.
По результатам работы для каждого недопустимого события и связанных целевых систем должен быть определен хотя бы один сценарий его реализации, который подтвердил бы потенциальную возможность такой реализации.
Важно понимать, что потенциальных сценариев реализации отдельно взятого недопустимого события может быть достаточно много, поэтому зачастую на этом этапе важно выделить основные или наиболее очевидные из них, которые учитывали бы особенности инфраструктуры, состав компонентов целевых систем, типовые векторы атак и возможности потенциальных нарушителей.
Сценарии реализации могут быть дополнены и детализированы с учетом отраслевой специфики организации, особенностей архитектуры информационных систем и условий их функционирования.
Результаты определения таких сценариев рекомендуется оформлять в табличном виде или структурированным перечнем, впоследствии эти данные обогащаются критериями реализации недопустимых событийкритериями реализации недопустимых событийкритериями реализации недопустимых событий.
Как использовать сценарии реализации недопустимых событий
Сформулированные сценарии реализации недопустимых событий должны применяться и учитываться:
- при проектировании и построении целевой архитектуры кибербезопасности, направленной на предотвращение реализации недопустимых событий;
- при построении и обеспечении связанных процессов кибербезопасности;
- при составлении перечня мер по усилению защищенности (харденингу) компонентов целевых и ключевых систем;
- при построении центра противодействия киберугрозам и последующей экспертной настройке средств и систем мониторинга событий информационной безопасности.