Недопустимые события в нормативных документах

Концепция недопустимых событий в той или иной форме прослеживается во многих нормативных документах, связанных с кибербезопасностью. Например, методика оценки угроз ФСТЭК России, утвержденная 5 февраля 2021 года, хоть напрямую и не упоминает понятие «недопустимое событие», но начинается именно с определения негативных последствий, которые могут произойти в организации в результате реализации угроз информационной безопасности. Нормативные акты Банка России по вопросам управления рисками ИБ (например, положение Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» или ГОСТ Р 57580.3 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения») также требуют оценивать ущерб от их реализации, в том числе и для ключевых процессов финансовых кредитных и некредитных организаций. Однако в обоих случаях руководители подразделений информационной безопасности сталкиваются с необходимостью сначала оценить этот ущерб, измеряемый в различных формах, а потом уже приоритизировать все негативные последствия по их масштабу. Недопустимые события отличаются тем, что отсутствует необходимость оценивать вероятность и ущерб от реализации угроз информационной безопасности: руководство организации на понятийном уровне определяет такие события, которые специалисты подразделения информационной безопасности совместно с коллегами из других подразделений должны сделать невозможными.

В настоящий момент данная концепция поддерживается и активно продвигается Минцифры России. Она нашла свое отражение в следующих нормативных документах:

• Постановление Правительства РФ от 13.05.2022 № 860 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений»;
• Постановление Правительства РФ от 24.03.2023 № 469 «О внесении изменений в постановление Правительства Российской Федерации от 13 мая 2022 г. № 860»;
• Типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры, Минцифры ;
• Методические рекомендации по цифровой трансформации государственных корпораций и компаний с государственным участием, Минцифры;
• Методика определения недопустимых событий, сценариев и критериев их реализации.

Наконец, в январе 2023 года был подготовлен проект Указа Президента РФ «Об утверждении Положения о государственной системе защиты информации в Российской Федерации», в котором также говорится об определении недопустимых событий (последствий) в органе или организации, наступление которых может привести к ущербу (рискам) для обладателя защищаемой информации.