Обзоры
Отражение методологии результативной кибербезопасности в российских и зарубежных правовых актах, национальных и международных стандартах, а также статьи, в которых представлены популярные практики и передовой опыт экспертов.
Что делать, когда все уязвимости одинаково опасны?
По итогам 2023 года был зафиксирован новый рекорд — почти 29 000 зарегистрированных уязвимостей, имеющих свой номер в базе CVE. Это практически на 4000 уязвимостей больше, чем в прошлом году, и число это с каждым годом лишь увеличивается. При этом считается, что на одну зарегистрированную в базе CVE уязвимость приходится не менее трех незарегистрированных — это делает процесс управления уязвимостями крайне сложным для компаний.
Недопустимые события в нормативных документах
Концепция недопустимых событий в той или иной форме прослеживается во многих нормативных документах, связанных с кибербезопасностью. Например, методика оценки угроз ФСТЭК России, утвержденная 5 февраля 2021 года, хоть напрямую и не упоминает понятие «недопустимое событие», но начинается именно с определения негативных последствий, которые могут произойти в организации в результате реализации угроз информационной безопасности. Нормативные акты Банка России по вопросам управления рисками ИБ также требуют оценивать ущерб от их реализации, в том числе и для ключевых процессов финансовых кредитных и некредитных организаций. Кроме того, данная концепция поддерживается и активно продвигается Минцифры России.
Сравнение подходов регуляторов к кибербезопасности с фокусом на недопустимые события
Что делать, если ваша компания хочет перейти к концепции результативной кибербезопасности и фокусироваться на защите критически важных для бизнеса активах, но ваши системы подпадают под обязательные требования регуляторов со стороны государства. Ответ на этот вопрос достаточно прост. На сегодняшний день большинство органов исполнительной власти Российской Федерации, регулирующих сферу информационной безопасности, уже начали переход к концепции результативной кибербезопасности. Методические документы ФСТЭК России, Минцифры России и Банка России уже сегодня говорят нам о том, что для достижения информационной безопасности необходимо определить недопустимые события, негативные последствия или ключевые риски, от которых и будет строиться защита информации организации. Но возникает вопрос, что же означают все эти термины и почему у каждого регулятора они разные?
Начните внедрять методологию результативной кибербезопасности
Если у вас есть идеи, как достичь результата альтернативным способом или как адаптировать методологию под конкретную сферу бизнеса, — присоединяйтесь!
Написать на почту