Методология в нормативке

Отражение методологии результативной кибербезопасности в нормативных правовых актах и разбор от экспертов.

Международные стандарты

ISO/IEC 27005NIST Risk Management FrameworkРИСКИНЕДОПУСТИМЫЕ СОБЫТИЯ

Недопустимые события и классический риск-ориентированный подход. Сравнение методологий и особенности их применения

Методологии риск-ориентированного подхода отражены в различных международных стандартах и лучших практиках ИБ. Можно провести аналогию между риск-ориентированным подходом и подходом к определению недопустимых событий, поскольку недопустимые события по своей сути похожи на риски с катастрофическими последствиями. Данная статья призвана внести ясность и показать, что подход с определением недопустимых событий не исключает применения международных стандартов и практик, которые давно вошли в обиход, и не противоречит им, а является взглядом под другим углом, призванным обратить внимание высшего руководства на реальные угрозы кибербезопасности с фатальными для организации последствиями.

Алексей Лукаш
Алексей Лукаш

27 ноября

Государство

МИНЦИФРЫФСТЭКБАНК РОССИИ

Недопустимые события в нормативных документах

Концепция недопустимых событий в той или иной форме прослеживается во многих нормативных документах, связанных с кибербезопасностью. Например, методика оценки угроз ФСТЭК России, утвержденная 5 февраля 2021 года, хоть напрямую и не упоминает понятие «недопустимое событие», но начинается именно с определения негативных последствий, которые могут произойти в организации в результате реализации угроз информационной безопасности. Нормативные акты Банка России по вопросам управления рисками ИБ также требуют оценивать ущерб от их реализации, в том числе и для ключевых процессов финансовых кредитных и некредитных организаций. Кроме того, данная концепция поддерживается и активно продвигается Минцифры России.

Алексей Лукацкий
Алексей Лукацкий

6 сентября

Государство

МИНЦИФРЫФСТЭКБАНК РОССИИCISO

Сравнение подходов регуляторов к кибербезопасности с фокусом на недопустимые события

Что делать, если ваша компания хочет перейти к концепции результативной кибербезопасности и фокусироваться на защите критически важных для бизнеса активах, но ваши системы подпадают под обязательные требования регуляторов со стороны государства. Ответ на этот вопрос достаточно прост. На сегодняшний день большинство органов исполнительной власти Российской Федерации, регулирующих сферу информационной безопасности, уже начали переход к концепции результативной кибербезопасности. Методические документы ФСТЭК России, Минцифры России и Банка России уже сегодня говорят нам о том, что для достижения информационной безопасности необходимо определить недопустимые события, негативные последствия или ключевые риски, от которых и будет строиться защита информации организации. Но возникает вопрос, что же означают все эти термины и почему у каждого регулятора они разные?

Алексей Халин
Алексей Халин

5 сентября

Начните внедрять методологию результативной кибербезопасности

Если у вас есть идеи, как достичь результата альтернативным способом или как адаптировать методологию под конкретную сферу бизнеса, — присоединяйтесь!

Написать на почту