Методология
kbosov.jpgКирилл Босов

Почему важно согласовать перечень недопустимых событий с топ-менеджментом

Руководство организации знает, какие события могут нанести непоправимый ущерб ее деятельности, и поэтому непосредственно участвует в составлении перечня недопустимых событий. Дальнейшая детализация недопустимых событий — определение сценариев реализации и других технических деталей недопустимых событий и анализ этой информации с точки зрения кибербезопасности — находится вне области внимания руководства. В этих активностях задействованы IT-специалисты и эксперты ИБ, задача которых — поддерживать киберустойчивость организации. Чтобы их работа была эффективна, необходимо согласовать с руководством необходимые проекты по кибербезопасности и выделить ресурсы для реализации принципов результативной кибербезопасности.

Важно агрегировать собранную информацию о недопустимых событиях и сценариях их реализации в лаконичное представление, которое будет понятно широкому кругу лиц: не все представители руководства, принимающие решения, погружены в детали построения бизнес-процессов, вопросы их IT-обеспечения и сопутствующие риски. Их решение будет зависеть от того, насколько убедительны и понятны представленные результаты.

Форма представления результатов по недопустимым события и их согласование

Сценарии реализации недопустимых событий дополняют и поясняют актуальность ранее сформированных гипотез о таких событиях. Потенциальных сценариев отдельно взятого недопустимого события может быть достаточно много, однако для презентации руководству важно выделить основные. Емкая формулировка двух-трех сценариев поможет быстрее провести согласование и в дальнейшем сформировать область работ, которая будет включать различные процессы, системы и специалистов компании.

Пример  Хорошие примерыИзбыточные примеры
«Кража денежных средств»- Подделка платежного поручения через изменение платежных реквизитов контрагента.
- Создание платежного поручения без проверки и согласования.
- Несанкционированное выполнение платежа непосредственно через систему «банк — клиент»
- Получение несанкционированного доступа к компонентам системы «банк — клиент» с использованием аутентификационных данных, хранящихся в открытом виде в конфигурационных файлах.
- Взлом узла администратора, валидирующего платежные поручения, и получение нарушителем привилегий, позволяющих провести несанкционированное проведение платежного поручения

Примеры в правом столбце иллюстрируют избыточность формулировок, которые понятны только специалистам по информационной безопасности, и не несут ценной информации для руководства или владельцев недопустимых событий.

Дополнительной полезной информацией послужат релевантные примеры возможного ущерба, наносимого организации в случае реализации сценария, а также целевые информационные системы организации, значимость и назначение которых известны целевой аудитории.

Рисунок 1. Пример оформления слайда с детализацией недопустимого события для согласования с представителями руководства

Кроме того, важно определить способ согласования перечня недопустимых событий, соответствующий принятым в организации подходам. Это может быть:

  • организация встречи с руководством для презентации результатов работ и обсуждения дальнейших действий;
  • предоставление пояснительной записки и презентаций руководству в письменной форме для рассмотрения и обсуждения.

В презентации (пояснительной записке) важно привести следующую информацию:

  • почему мы говорим о недопустимых событиях;
  • резюме по недопустимым событиям, которые были выделены после общения с руководством;
  • как проводилось уточнение сценариев реализации недопустимых событий (например, какие подразделения участвовали, какие системы были в области обсуждения);
  • представление возможных сценариев недопустимых событий (дополнительно можно указать, какие процессы и системы затрагивают эти сценарии, а также к каким негативным последствиям может привести их реализация);
  • дальнейшие шаги по обеспечению киберустойчивости организации и нейтрализации выявленных сценариев (например, проведение верификации недопустимых событий, разработка стратегии кибертрансформации и дорожных карт);
  • запрос на получение согласованного решения руководства о проведении работ по исключению возможности реализации недопустимых событий.