Сравнение подходов регуляторов к кибербезопасности с фокусом на недопустимые события

Рост числа атак, увеличение числа уязвимостей — все это заставляет российские компании менять парадигму обеспечения кибербезопасности в пользу обеспечения цифровой устойчивости предприятия, которая предоставляется не всем информационным ресурсам, а только тем, в которых находятся самые ценные активы компании, негативное кибервоздействие на которые может привести к реализации недопустимых для бизнеса событий с катастрофическими последствиями. Такая концепция позволяет сфокусироваться на самом важном для бизнеса.

Возникает вопрос, что делать, если ваша компания хочет перейти к концепции результативной кибербезопасности и фокусироваться на защите критически важных для бизнеса активах, но ваши системы подпадают под обязательные требования регуляторов со стороны государства. Ответ на этот вопрос достаточно прост. На сегодняшний день большинство органов исполнительной власти Российской Федерации, регулирующих сферу информационной безопасности, уже начали переход к концепции результативной кибербезопасности. Методические документы ФСТЭК России, Минцифры России и Банка России уже сегодня говорят нам о том, что для достижения информационной безопасности необходимо определить недопустимые события, негативные последствия или ключевые риски, от которых и будет строиться защита информации организации. Но возникает вопрос, что же означают все эти термины и почему у каждого регулятора они разные? Причина в разных подходах к защите информации или каждый из регуляторов делает упор на разные этапы развития кибератак? Для получения ответа на эти вопросы необходимо разобраться в подходах разных регуляторов к концепции результативной кибербезопасности.

Методология ФСТЭК России

В методике оценки угроз безопасности информации, утвержденной ФСТЭК России 5 февраля 2021 г., порядок оценки угроз безопасности информации состоит из трех этапов:

определение объектов воздействия;
определение негативных последствий;
оценка возможности реализации угроз и их актуальности.

Таким образом, подход ФСТЭК России основывается на недопущении наступления негативных последствий за счет нейтрализации угроз безопасности информации.

Методология Минцифры России

Подход Минцифры России к защите информации основывается на недопущении реализации событий, которые сделают невозможным достижение операционных и стратегических целей или приведут к значительному нарушению основной деятельности организации в результате компьютерной атаки, и состоит из четырех этапов:

определение недопустимых событий;
определение целевых систем;
определение ключевых систем и точек проникновения;
определение возможных маршрутов развития кибератак.

Таким образом, подход Минцифры России основывается на создании таких условий, при которых реализовать недопустимое событие становится невозможным.

Методология Банка России

Подход Банка России к защите информации основывается на создании таких условий, при которых кредитная организация способна обеспечить непрерывность функционирования критически важных процессов в случае возникновения отказов и нарушений функционирования применяемых организацией информационных, технологических и других систем, оборудования и несоответствия их функциональных возможностей и характеристик потребностям организации или реализации кибератак.

Процесс моделирования рисков операционной надежности состоит из четырех этапов:

определение объектов информационной инфраструктуры;
определение важности процессов кредитной организации;
определение рисков операционной надежности;
определение последствий реализации рисков операционной надежности.

Таким образом, подход Банка России основывается на создании таких условий, при которых нарушить функционирование критически важных процессов становится невозможным.

Сравнение терминов методологических подходов

Для определения различий между подходами к защите информации необходимо определить различия в используемых терминах. Наглядное сравнение терминологии регуляторов представлено ниже.

ФСТЭК России

Термин	Определение
Негативное последствие	Последствия, которые могут наступить от реализации (возникновения) угроз безопасности информации
Угроза безопасности информации	Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации
Объект воздействия	Информационные ресурсы и компоненты систем и сетей, несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям

Минцифры России

Термин	Определение
Недопустимое событие	Событие, делающее невозможным достижение операционных и стратегических целей или приводящее к значительному нарушению основной деятельности организации в результате компьютерной атаки
Целевая система	Система, в результате воздействия злоумышленника на которую может произойти недопустимое для организации событие
Ключевая система	Объекты в информационной системе, несанкционированный доступ к которым или воздействие на которые необходимы нарушителю, чтобы развить атаку на целевую систему, или такая система, взлом которой существенно упростит сценарий атаки или повысит ее эффективность

Банк России

Термин	Определение
Риск операционной надежности	Риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий
Критически важный процесс	Процесс, обеспечивающий выполнение операций кредитной организации (головной кредитной организации банковской группы), ведение бухгалтерского учета, представление отчетности в Банк России, поддержание ликвидности, выполнение операций на финансовых рынках, кассовых операций, работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций, соблюдение требований законодательства «О персональных данных», Трудового кодекса Российской Федерации, законодательства «О банках и банковской деятельности», а также другие процессы, которые определены кредитной организацией (головной кредитной организацией банковской группы) и прерывание функционирования которых оказывает влияние на выполнение обязательств перед клиентами и контрагентами кредитной организации (головной кредитной организации банковской группы)
Последствия (ущерб)	Сумма прямых и косвенных потерь от реализации событий операционного риска кредитной организации

На основании проведенного сравнения можно сделать вывод о том, что регуляторы, используя различную терминологию, вкладывают в нее одинаковый смысл: организации для обеспечения кибербезопасности необходимо определить события, которые нанесут ей непоправимый ущерб, и сделать так, чтобы эти события было невозможно реализовать.

Пример

Одно и то же недопустимое событие в терминологии разных регуляторов выглядит следующим образом:

Недопустимое событие (Минцифры России): Вывод более 3 млн рублей со счета организации.

Негативное последствие (ФСТЭК России): Потеря (хищение) денежных средств.

Риск операционной надежности (Банк России): Получение расчетным центром платежной системы уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы.

Схематическое представление взаимосвязи терминов изображено на рис. 1. На схеме видно, что для защиты активов регуляторы делают разные акценты. Например, в зону оценки рисков информационной безопасности, по версии ФСТЭК России, входят нарушители, угрозы и уязвимости, а в зону оценки Банка России и Минцифры России — владельцы и риски. Для наглядности зоны оценки рисков регуляторов отмечены различными цветами.

Схема взаимосвязи терминов Рисунок 1. Схема взаимосвязи терминов

Изучив методологию регуляторов, мы видим, что все органы государственной власти, регулирующие деятельность по защите информации, начинают переход от типовых требований по защите информации, когда все информационные системы и активы необходимо защищать одинаково от всех известных угроз безопасности, к более гибким и вариативным требованиям, позволяющим организациям самим определить для себя наиболее критически важные процессы и активы и направить свои ресурсы только на их защиту.

Таким образом, подводя итог и отвечая на поставленный в начале статьи вопрос: что делать, если ваша компания хочет перейти к концепции результативной кибербезопасности и фокусироваться только на главных активах компании, но ваши системы подпадают под обязательные требования регуляторов со стороны государства, говорим, что сейчас концепция результативной кибербезопасности лежит в основе всех регуляторов информационной безопасности. Безусловно, специфика различных сфер деятельности накладывает на нее свои отпечатки, однако изменения, которым подвергается эта концепция в различных регуляторах, не затрагивает ее фундаментальных принципов. Поэтому реализация концепции результативной кибербезопасности совместно с выполнением требований того или иного регулятора не будет носить противоречивый характер, наоборот, будет только усиливать их в тех местах, где необходимо обратить внимание на особенности той или иной сферы деятельности вашей организации.