Поддержание перечня недопустимых событий в актуальном состоянии

aponomaryov.JPGАПАртемий Пономарёв

Почему перечень недопустимых событий должен находится в актуальном состоянии

Перечень недопустимых событий содержит список недопустимых событий (далее — НС) с их описанием, целевыми системами, сценариями и критериями их успешной реализации.

Перечень НС отражает:

  • Цели по формированию системы защиты от реализации НС, установленные руководством организации. Такие цели показывают видение руководства относительно потребности по обеспечению ИБ в деятельности организации. Любые изменения в целях могут оказать серьезное влияние на систему защиты информации организации.
  • Описание возможных сценариев реализации атак на целевые системы, которое основывается на экспертных знаниях специалистов, составляющих перечень НС, или на результатах верификации НС.

Перечень НС должен находиться в актуальном состоянии для обеспечения:

  • правильной приоритезации выделяемых на ИБ ресурсов;
  • получения обратной связи от руководства организации;
  • идентификации целевых систем;
  • актуализации сценариев реализации атак на целевые системы.

Причины пересмотра перечня НС

Существуют как минимум четыре причины для пересмотра перечня НС:

  1. добавление новых видов деятельности организации;
  2. изменение существующих бизнес-процессов организации;
  3. плановый пересмотр НС на периодической основе;
  4. обнаружение нового сценария реализации НС, новой целевой системы или критерия реализации НС (например, после успешной хакерской атаки или проведения работ по практической оценке защищенности).

Пересмотр перечня НС из-за добавления новых видов деятельности организации

Добавление новых видов деятельности может оказать существенное влияние на операционные и стратегические цели организации, а значит, привести к появлению новых НС. Поэтому руководителю функции ИБ важно обсудить с топ-менеджментом организации потребность добавления новых НС в перечень.

Пересмотр перечня НС из-за изменения бизнес-процессов

К событиям, являющимся причиной пересмотра перечня НС из-за изменения бизнес-процессов организации, относятся:

  • изменение основных бизнес-процессов организации;
  • изменение целевых систем;
  • изменение приоритетов развития организации;
  • использование новых технологий обработки информации;
  • изменение среды функционирования организации;
  • другие факторы, способные оказать влияние на угрозы ИБ.

Плановый пересмотр перечня НС

Плановый пересмотр перечня НС должен производиться не реже одного раза в полгода. Такая актуализация, согласованная с руководством организации, необходима функции ИБ для обеспечения своевременности принимаемых решений.

Пересмотр перечня НС после оценки защищенности или расследования инцидента ИБ

Все новые сценарии, целевые системы и критерии реализации НС, выявленные в процессе оценки защищенности (например, по результатам верификации НС или киберучений) или расследования инцидентов ИБ (атаки реальных злоумышленников), должны быть добавлены в перечень НС.

Как пересматривать перечень НС

Принципиальная схема задач процесса по актуализации перечня НС показана на рисунке 1.

Рисунок 1. Принципиальная схема задач процесса актуализации перечня НС

Описание задач для схемы процесса актуализации перечня НС приведено в таблице 1.

Таблица 1. Описание задач для схемы процесса актуализации перечня НС

ЗадачаОписание задачи
1. Инициирование пересмотра перечня НСПересмотр перечня НС для его актуализации необходимо осуществлять ежегодно, если появляется новый вид деятельности, меняются бизнес-процессы организации или обнаружены новые сценарии реализации НС. Работы по пересмотру перечня НС инициируются руководителем функции ИБ.
2. Обсуждение рабочей группой необходимости внесения изменений в перечень НСРуководитель отдела ИБ инициирует заседание рабочей группы по рассмотрению перечня НС и необходимости внесения изменений. В рабочую группу рекомендуется привлекать:
- специалистов, ответственных за информационную безопасность;
- специалистов IT-подразделения;
- представителей профильных подразделений, участвующих в бизнес-процессах, в которых может произойти рассматриваемое НС (например, тех, кто привлекался на этапе определения и составления перечня НС);
- других специалистов, чьи компетенции могут быть полезны рабочей группе для решения задач в рамках этой методологии.
Изменения в перечень готовятся в виде обновленной редакции документа, в которой фиксируются гипотезы относительно обновленного контента. Если осуществляется плановый полугодовой пересмотр перечня НС и изменений не планируется, то рекомендуется отразить только дату пересмотра перечня НС и согласовать актуальность перечня с руководством организации
3. Обсуждение и согласование перечня НСЕсли рабочая группа приняла решение об отсутствии необходимости внесения изменений в перечень НС, то этот перечень обсуждается с высшим руководством организации, которое согласовывает или отправляет на доработку перечень НС
4. Формирование итогового перечня НСВ случае получения необходимых согласований формируется итоговый перечень НС, который затем направляется руководству организации для согласования
5. Согласование перечня НСИтоговый перечень НС согласовывается руководством организации
6. Обсуждение нового вида деятельности, принятие решения о необходимости расширения рабочей группыВ случае появления нового вида деятельности необходимо обсудить его влияние на функционирование организации и возможность появления новых НС. При выявлении НС, связанного с новым видом деятельности организации, должен быть решен вопрос о включении в рабочую группу представителя, ответственного за данный вид деятельности (нового бизнес-процесса)
7. Уточнение целевых систем и сценариев реализации НСАнализ по выявлению целевых систем и сценариев реализации НС должен проводится каждый раз при выявлении новых НС
8. Согласование целевых систем и сценариев реализации НСВ случае выявления новых целевых систем и сценариев реализации информация о них должна быть уточнена и согласована перед включением в перечень НС с владельцами связанных с ними бизнес-процессов