Методология в нормативке
Отражение методологии результативной кибербезопасности в нормативных правовых актах и разбор от экспертов.
Отражение методологии результативной кибербезопасности в нормативных правовых актах и разбор от экспертов.
Международные стандарты
Методологии риск-ориентированного подхода отражены в различных международных стандартах и лучших практиках ИБ. Можно провести аналогию между риск-ориентированным подходом и подходом к определению недопустимых событий, поскольку недопустимые события по своей сути похожи на риски с катастрофическими последствиями. Данная статья призвана внести ясность и показать, что подход с определением недопустимых событий не исключает применения международных стандартов и практик, которые давно вошли в обиход, и не противоречит им, а является взглядом под другим углом, призванным обратить внимание высшего руководства на реальные угрозы кибербезопасности с фатальными для организации последствиями.
27 ноября
Государство
Концепция недопустимых событий в той или иной форме прослеживается во многих нормативных документах, связанных с кибербезопасностью. Например, методика оценки угроз ФСТЭК России, утвержденная 5 февраля 2021 года, хоть напрямую и не упоминает понятие «недопустимое событие», но начинается именно с определения негативных последствий, которые могут произойти в организации в результате реализации угроз информационной безопасности. Нормативные акты Банка России по вопросам управления рисками ИБ также требуют оценивать ущерб от их реализации, в том числе и для ключевых процессов финансовых кредитных и некредитных организаций. Кроме того, данная концепция поддерживается и активно продвигается Минцифры России.
6 сентября
Государство
Что делать, если ваша компания хочет перейти к концепции результативной кибербезопасности и фокусироваться на защите критически важных для бизнеса активах, но ваши системы подпадают под обязательные требования регуляторов со стороны государства. Ответ на этот вопрос достаточно прост. На сегодняшний день большинство органов исполнительной власти Российской Федерации, регулирующих сферу информационной безопасности, уже начали переход к концепции результативной кибербезопасности. Методические документы ФСТЭК России, Минцифры России и Банка России уже сегодня говорят нам о том, что для достижения информационной безопасности необходимо определить недопустимые события, негативные последствия или ключевые риски, от которых и будет строиться защита информации организации. Но возникает вопрос, что же означают все эти термины и почему у каждого регулятора они разные?
5 сентября
Если у вас есть идеи, как достичь результата альтернативным способом или как адаптировать методологию под конкретную сферу бизнеса, — присоединяйтесь!
Написать на почту