Сценарий реализации недопустимого события описывает верхнеуровневую модель действий злоумышленника, направленную на реализацию недопустимого события посредством получения несанкционированного доступа к целевой системе.
Пример 1
Недопустимое событие: «Кража денежных средств».
Целевая система: «1С:Предприятие», «1С:ERP Управление предприятием», система «банк — клиент».
Сценарий реализации:
- Подделка платежного поручения в системе «1С» через изменение или создание платежных реквизитов контрагента, создание или изменение платежного поручения без проверки и согласования.
- Модификация данных файла выгрузки платежного поручения или зарплатной ведомости в процессе передачи из «1С» в КБ (например, получателя платежа, номеров карт, номеров счета).
- Выполнение платежа непосредственно из системы «банк — клиент» (без использования «1С»).
Негативные последствия:
- Частичная или полная остановка деятельности организации.
- Нарушение сроков исполнения контрактных обязательств.
- Репутационные потери.
Пример 2
Недопустимое событие: «Утечка персональных данных 10 тысяч клиентов компании».
Целевая система: CRM-система, SAP ERP или «1С:ERP Управление предприятием», система управления лояльностью
Сценарий реализации:
- Несанкционированный доступ к базам данных и документам, содержащим персональные данные.
- Получение несанкционированного доступа к базам данных и документам подрядной организации или партнера — компрометация цепочки поставок.
Негативные последствия:
- Нарушение действующего законодательства с последующим вовлечением регулятора.
- Частичная или полная остановка деятельности организации.
- Репутационные потери.
Пример 3
Недопустимое событие: «Нарушение операционных процессов или информационного обмена данными между подразделениями организации».
Целевая система: Электронная почта, портал, официальный сайт, личный кабинет.
Сценарий реализации:
- Рассылка по корпоративным или официальным каналам ложной информации или информации, содержащей ссылки или вложения в виде вредоносного программного обеспечения.
- Подмена и публикация недостоверной информации на официальном сайте или портале организации.
Негативные последствия:
- Частичная или полная остановка деятельности организации.
- Нарушение сроков исполнения контрактных обязательств.
Высшее руководство организации понимает ключевые направления деятельности своей организации и результативной кибербезопасности обозначило, какие события могут повлиять на стабильность определенных видов деятельности организации или вовсе привести к невозможности выполнения критически важных функций. После получения первичных данных по недопустимым событиям от высшего руководства организации необходимо провести совещания:
Основной целью таких совещаний является организация совместной работы с операционными руководителями и представителями IT-подразделения и отдела ИБ, направленной на:
В процессе анализа полученных данных и проработки возможных сценариев реализации недопустимых событий складывается понимание:
По результатам работы для каждого недопустимого события и связанных целевых систем должен быть определен хотя бы один сценарий его реализации, который подтвердил бы потенциальную возможность такой реализации.
Важно понимать, что потенциальных сценариев реализации отдельно взятого недопустимого события может быть достаточно много, поэтому зачастую на этом этапе важно выделить основные или наиболее очевидные из них, которые учитывали бы особенности инфраструктуры, состав компонентов целевых систем, типовые векторы атак и возможности потенциальных нарушителей.
Сценарии реализации могут быть дополнены и детализированы с учетом отраслевой специфики организации, особенностей архитектуры информационных систем и условий их функционирования.
Результаты определения таких сценариев рекомендуется оформлять в табличном виде или структурированным перечнем, впоследствии эти данные обогащаются .
Сформулированные сценарии реализации недопустимых событий должны применяться и учитываться: