Вы точно знаете, что вас не взломают? Минцифры советует всё равно представить, что уже поздно
Как организациям готовиться к ИБ-инцидентам?
Минцифры представило методические рекомендации, направленные на повышение устойчивости операционной деятельности организаций путём формирования перечня недопустимых событий. Документ ориентирован на операторов информационных систем, за исключением объектов критической информационной инфраструктуры и критически важных объектов, и предлагает единый подход к выявлению и анализу событий, способных нарушить функционирование ключевых бизнес-процессов.
В рекомендациях приводятся основные термины и определения, в том числе понятия «вектор компьютерной атаки», «целевая информационная система», «критерий реализации недопустимого события» и другие. Под недопустимыми событиями понимаются действия или цепочки действий, вызванные компьютерной атакой и способные привести к прерыванию операционной деятельности организации.
Работа по формированию перечня таких событий включает шесть ключевых этапов, направленных на системную идентификацию, анализ и верификацию потенциальных рисков.
Формирование перечня последствий реализации недопустимых событий:
Организация определяет последствия, которые считаются неприемлемыми: от угроз жизни и здоровью до техногенных инцидентов, репутационного ущерба, потери рыночной доли или остановки бизнес-процессов. Для каждого последствия устанавливаются пороговые значения и метрики оценки ущерба, позволяющие выделить критичные сценарии.
Определение бизнес- и технологических процессов и связанных информационных систем:
Критичные последствия увязываются с конкретными бизнес- и технологическими процессами, в которых они могут реализоваться. Также уточняются целевые информационные системы и фиксируются действующие или планируемые меры защиты.
Формирование гипотетических сценариев реализации событий:
Разрабатываются реалистичные сценарии, имитирующие действия злоумышленника в отношении целевых ИС. На этом этапе рекомендуется привлекать специалистов по информационной безопасности, разработчиков программного обеспечения и других профильных экспертов.
Определение критериев реализации недопустимых событий:
Для каждого сценария формулируются конкретные условия, при наступлении которых событие признаётся реализованным. Это может быть доступ к операционной системе или прикладному ПО с определёнными привилегиями, удержание доступа в течение заданного времени, выполнение целевых операций либо их комбинации.
Моделирование сценариев в приближённых к реальности условиях:
Организация проводит практическую имитацию компьютерных атак с целью проверки реализуемости сценариев и оценки эффективности существующих систем защиты. Такие испытания позволяют выявить уязвимости, недоработки в реагировании и «слепые зоны» мониторинга.
Формирование итогового перечня недопустимых событий:
На основании полученных данных формируется финальный перечень, включающий сценарии, критерии реализации, уязвимости, оценку защищённости и готовности организации. Этот перечень утверждается руководством и служит основой для планирования защитных мер и разработки планов по восстановлению непрерывности деятельности.
В приложении к методическим рекомендациям приведена типовая форма перечня недопустимых событий, которую можно адаптировать под особенности конкретной организации. В качестве примера рассматривается событие «Кража денежных средств» с пороговым значением ущерба свыше 500 млн рублей. Целевыми системами выступают учётная система и система «банк-клиент». По сценарию злоумышленник оформляет заявку на оплату по подложным реквизитам, а затем формирует и отправляет платёжное поручение через банковскую систему. Критерием реализации признаётся получение доступа к учётной системе с правами на создание и редактирование заявок и данных контрагентов, а также доступ к системе «банк-клиент» с возможностью отправки платёжных поручений.
Организациям рекомендуется создать внутреннюю рабочую группу, включающую представителей подразделений, отвечающих за информационную безопасность, управление рисками и сопровождение ИТ-инфраструктуры. Эта группа координирует весь процесс анализа, моделирования и обновления перечня. Актуализация должна проводиться не реже одного раза в год, а также при изменении бизнес-процессов, ИТ-ландшафта или появлении новых методов атак.