Разработка и внедрение систем информационной безопасности

г. Екатеринбург, ул. Мамина-Сибиряка, д. 85
+7 (343) 222-13-32 | order@xrm.ru

г. Севастополь, ул. Брестская, д. 18Б
+7 (978) 214-29-87 | 978@xrm.ru

ПОЗВОНИТЕ МНЕ

Социальные сети:

Часы работы:

Пн-Пт: 9:00 - 18:00

НЕДОПУСТИМЫЕ СОБЫТИЯ

Для каждой организации существуют такие события, наступление которых может иметь катастрофические последствия. Кибератаки являются одной из причин, которая может привести к значительному нарушению деятельности организации и стать непреодолимым препятствием на пути к достижению ее операционных и стратегических целей.

Примеры

• остановка производства или масштабный брак продукции из-за взлома и внесения изменений в производственный процесс;
• подмена транслируемого контента с целью дестабилизации социально-политической обстановки;
• полная или частичная потеря данных из государственных фондов, реестров и ведомственных баз данных.

Как определить недопустимые события

Чтобы определить недопустимые для организации события, рекомендуется сформировать рабочую группу, включающую:
• представителей высшего руководства организации;
• руководителей функциональных подразделений, ответственных за ключевые направления деятельности организации;
• экспертов в области информационных технологий и кибербезопасности.

Состав рабочей группы

Роль	Причина	Ответственность
Руководство	Знает, что действительно недопустимо для организации	Перечень недопустимых событий
Операционные руководители	Помогают понять, как недопустимое событие может быть реализовано	Сценарии реализации недопустимых событий
IT-специалисты и эксперты по ИБ	Помогают обозначить системы, в которых может быть реализовано недопустимое событие	Системы, взлом которых повлечет недопустимое событие

Работы по определению недопустимых событий целесообразно проводить в несколько этапов.

Формулировка недопустимых событий

Топ-менеджмент обладает широким пониманием стратегических и операционных целей компании и знает, что действительно может нанести катастрофический ущерб деятельности всей организации. В качестве отправной точки при подготовке к обсуждению с высшим руководством рекомендуется сформировать перечень гипотез, отталкиваясь от негативных последствий кибератак, которые могут являться неприемлемыми для организации (то есть от ущерба).

Следует принимать во внимание:

перечень типовых недопустимых событий для организаций различных направлений деятельности;
ключевые направления деятельности;
стратегические цели и ключевые бизнес-показатели организации.

В рамках совещания с представителями топ-менеджмента рекомендуется проранжировать
предварительные гипотезы по степени важности и сформулировать, что является самым опасным для организации. В некоторых случаях могут быть предварительно определены пороговые значения возможного ущерба, превышение которых недопустимо.

99%

Выполняет все функции

Ущерб ниже порогового значения
60%

Выполняет функции частично

Допустимый ущерб
20%

Не выполняет функции

Ущерб выше порогового значения

Следует учитывать, что при обсуждении с высшим руководством может не приниматься во внимание технологическая специфика деятельности организации. Фокусом для гипотез является влияние недопустимых событий на бизнес-уровне.
Сформированный предварительный перечень недопустимых событий далее подлежит
уточнению с функциональными руководителями организации.

Уточнение недопустимых событий

Уточнение недопустимых событий рекомендуется осуществлять совместно с руководителями ключевых функциональных направлений организации, которые понимают специфические аспекты деятельности конкретных подразделений, операционные задачи и могут определить целевые информационные системы.

При моделировании сценариев реализации недопустимых событий с функциональными руководителями рекомендуется учитывать:

1. какие бизнес- и технологические процессы подвержены влиянию рассматриваемых недопустимых событий;
2. какие информационные системы обеспечивают выполнение данных процессов;
3. какие есть недостатки в процессах;
4. какие компенсирующие меры применяются для контроля этих недостатков;

к каким последствиям могут привести обсуждаемые сценарии реализации недопустимых событий и каково пороговое значение возможного ущерба.

Определение пороговых значений может осуществляться как экспертно, так и с применением количественных подходов к расчету — например, используемых при управлении операционными рисками. Порог может быть выражен временными параметрами (например, длительность простоя системы), периодом наступления рассматриваемого события (например, остановка работы клиентских сервисов в рабочее время), финансовыми показателями (например, потеря определенной суммы, доли от оборота), объемом продукции (например, недопустимая доля брака), количеством клиентов и т. п.
Если необходимо рассчитать финансовые потери, для дополнительного обоснования порогов ущерба могут использоваться показатели финансовой и операционной отчетности. Так, имея сведения о среднем суточном обороте, можно определить, во сколько обойдется простой в работе розничных точек крупного ритейлера. Исходя из этого понимания можно определить пороговое значение допустимого ущерба, выраженного в длительности простоя того или иного количества магазинов.
Следует также принимать во внимание, что для ряда недопустимых событий пороговые
значения могут быть не определены. К примеру, может быть нецелесообразно определять
порог ущерба в отношении утечки конфиденциальной информации или искажения информации, публикуемой на официальных ресурсах организации.

Целевая информационная система — информационная система, в результате воздействия злоумышленника на которую может непосредственно произойти недопустимое для организации событие.

Примеры недопустимых событий

Недопустимое событие	Порог ущерба
Потеря VIP-клиента	Один клиент и более
Остановка производственного процесса	Более чем на 5 часов
Вывод денежных средств	Более 15% от чистой прибыли
Утечка персональных данных клиентов	Неприменимо

Проработка недопустимых событий с экспертами

Дальнейшую проработку сценариев реализации недопустимых событий следует осуществлять с привлечением экспертов, ответственных за сопровождение и развитие ИТ и обеспечение кибербезопасности. Эксперты помогают оценить рассматриваемые сценарии и определить:

целевые и ключевые информационные системы, при воздействии злоумышленника на которые могут быть реализованы недопустимые события;
недостатки и уязвимости в информационных системах и IT-инфраструктуре;
меры защиты, применяемые или планируемые к внедрению для исключения недопустимых событий;
критерии, выполнение которых подтверждает возможность реализации недопустимого события.

Ключевая информационная система — это объект в информационной инфраструктуре, несанкционированный доступ к которому или воздействие на который необходимы нарушителю, чтобы развить атаку на целевую систему, или такая система, взлом которой существенно упростит сценарий атаки или повысит ее эффективность.

Согласование перечня недопустимых событий

Результаты обследования рекомендуется оформлять в виде структурированного перечня недопустимых событий. Перечень рекомендуется расширить описанием:

возможных негативных последствий от реализации недопустимых событий;
возможных сценариев реализации недопустимых событий;
целевых информационных систем;
критериев реализации недопустимых событий.

К согласованию перечня рекомендуется привлекать участников рабочей группы. Итоговый перечень недопустимых событий рекомендуется утвердить на уровне высшего руководства организации.

Ниже представлены типовые примеры недопустимых событий для различных сфер деятельности.

Финансовые потери

Вывод денежных средств со счетов компании:

Мошеннические переводы средств с корреспондентского счета.

Прерывание деятельности

Нарушение работы организации:

Перебой в работе или недоступность для граждан информационных сервисов и государственных услуг.
Недоступность систем, необходимых для исполнения возложенных на орган власти обязанностей.
Недоступность систем, необходимых для межведомственного взаимодействия.
Перебои в работе или недоступность систем оперативного оповещения населения о ЧС.

Искажение или утрата сведений

Утрата или искажение операционных и резервных данных:

Искажение информации на официальных ресурсах госучреждений.
Утрата или искажение сведений из государственных систем, реестров и баз данных.
Утрата или искажение исторических сведений в унаследованных системах.

Утечка конфиденциальной информации

Кража конфиденциальной информации:

Закрытых баз данных.
Баз данных, содержащих персональные данные граждан.
Баз данных и документов, содержащих сведения о перспективных проектах до их публичного обсуждения.
Конфиденциальных протоколов и документов.

Финансовые потери

Вывод денежных средств со счетов банка:

Мошеннические переводы средств с корреспондентского счета.

Вывод денежных средств со счетов клиентов банка:

Мошеннические операции со счетами клиентов, в том числе привилегированных.
Несанкционированная выдача наличных из банкоматов и через кассы в отделениях банка.
Мошенничество в программах лояльности.

Прерывание деятельности

Нарушение бизнес-процессов организации:

Остановка работы банковских сервисов.
Простой в работе корпоративной инфраструктуры.
Остановка работы систем, необходимых для обязательного обмена информацией с органами власти.
Перебои в работе цифровой экосистемы организации или ее партнеров.

Искажение или утрата сведений

Утрата или искажение операционных и резервных данных:

Информации в базах данных, используемых для операционной деятельности.
Резервных копий.

Искажение информации или публикация ложных данных от имени организации:

Искажение информации на официальных ресурсах.
Публикация ложных сведений в социальных сетях от имени организации.

Утечка конфиденциальной информации

Кража информации, составляющей банковскую тайну:

Базы данных с информацией, содержащей банковскую тайну.
Документов, содержащих банковскую тайну.

Кража конфиденциальной информации об организации:

Копирование документов с описанием стратегий и планов развития бизнеса.
Доступ к электронной переписке ключевых лиц компании.
Получение информации об уязвимостях в системах, используемых банком.

Финансовые потери

Вывод денежных средств со счетов компании:

Мошеннические переводы средств с корреспондентского счета.

Прерывание деятельности

Нарушение работы компании:

Перебои в работе или остановка производственных объектов и технологического оборудования.
Простой в работе корпоративной инфраструктуры.
Техногенная авария с экологическим ущербом и угрозой жизни, развившаяся из-за взлома систем контроля технологического процесса.
Остановка производства или масштабный брак продукции из-за взлома и внесения изменений в производственный процесс.
Перебои в работе цифровой экосистемы организации или ее партнеров.

Искажение или утрата сведений

Утрата или искажение операционных и резервных данных:

Научно-исследовательских данных, конструкторской и рабочей документации.
Информации в базах данных, используемых в производственных и технологических процессах.

Искажение настроек конфигурации:

Искажение настроек конфигурации управляющих компонентов, которое привело к нарушению технологического процесса или к порче продукции.
Изменение стандартов конфигураций, которое привело к повреждению или уничтожению объектов производственного назначения и технологического оборудования.

Утечка конфиденциальной информации

Кража конфиденциальной информации, представляющей ценность для организации:

Документов с описанием стратегий и планов развития бизнеса.
Документов или баз данных, содержащих научно-исследовательскую информацию, сведения о конструкторской документации и об объектах интеллектуальной собственности.
Баз данных, содержащих сведения о ценообразовании и действующих партнерских соглашениях и контрактах.
Баз данных, содержащих информацию о планах технического обслуживания и остановки оборудования.
Протоколов или документов с решениями руководства.

Финансовые потери

Вывод денежных средств со счетов компании:

Мошеннические переводы средств с корреспондентского счета.

Мошенничество в программах лояльности:

Мошеннические операции в системах накопления бонусных баллов.

Прерывание деятельности

Нарушение бизнес-процессов организации:

Нарушение работы POS-терминалов, частичная или полная остановка обслуживания в розничных магазинах.
Частичная или полная остановка работы интернет-магазина.
Перебои в работе постаматов.
Отключение систем учета товаров, приводящее к перебоям с поставками.
Простой в работе корпоративной инфраструктуры.
Перебои в работе цифровой экосистемы компании или ее партнеров.

Искажение или утрата сведений

Утрата или искажение операционных и резервных данных:

Утрата или искажение информации в базах данных и резервных копиях операционного учета.
Искажение хранящейся в базах данных информации об адресах доставки крупных партий продукции.
Утрата или искажение информации, содержащей статистические сведения, в базах данных и резервных копиях.

Утечка конфиденциальной информации

Кража конфиденциальной информации, представляющей ценность для организации:

Баз данных, содержащих сведения о ценообразовании и действующих партнерских соглашениях и контрактах.
Документов, содержащих сведения о стратегии, планируемых сделках M&A, маркетинговых программах.
Протоколов или документов с решениями руководства.
Исходного кода технологических продуктов.

Кража персональных данных клиентов:

Базы данных, содержащей платежные данные пользователей онлайн-магазинов.
Базы данных, содержащей историческую информацию об участниках программ лояльности.

Финансовые потери

Вывод денежных средств со счетов компании:

Мошеннические переводы средств с корреспондентского счета.

Прерывание деятельности

Нарушение процессов медицинской организации невозможность предоставления медицинских услуг и оказания медпомощи:

Остановка работы информационных систем, АСУ ТП и высокотехнологичного медицинского оборудования.
Потеря связи с компонентами информационных систем, критически важных для своевременного оказания скорой или неотложной медицинской помощи.
Перебои в работе приборов жизнеобеспечения и в поддержании рабочих условий медперсонала.

Искажение или утрата сведений

Утрата или искажение операционных и резервных данных:

Сведений, необходимых для оказания медицинской помощи.
Статистической информации.
Исторических данных диагностических исследований.
Сведений электронной медицинской карты.

Утечка конфиденциальной информации

Кража конфиденциальной информации:

Баз данных и документов, содержащих сведения, относящиеся к врачебной тайне.
Базы данных и документов, содержащих персональные данные сотрудников и пациентов медицинского учреждения.
Документов, содержащих научно-исследовательские данные, сведения о методах лечения и перспективных разработках.
Документов, содержащих информацию о разработке и исследовании лекарственных препаратов.

Финансовые потери

Вывод денежных средств со счетов организации:

Мошеннические переводы средств со счета.
Мошеннические операции в системах накопления бонусных баллов (сервисы каршеринга, продажи авиа-ж/д билетов).

Вывод денежных средств со счетов клиентов транспортной организации:

Мошеннические операции со счетами с использованием данных привязанных банковских карт.

Прерывание деятельности

Нарушение бизнес-процессов организации:

Остановка работы информационных систем бизнеса для выдачи заказов, разрешений, учета товаров и другого.
Остановка работы объектов транспортной и логистической инфраструктуры светофоров, стрелок, кранов, трапов, табло с расписанием, постаматов и других.
Остановка работы систем управления объектами транспортной инфраструктуры диспетчерских, центров управления полетами и других.
Перебои в работе цифровой экосистемы организации или ее партнеров.

Искажение или утрата сведений

Утрата или искажение операционных и резервных данных:

Утрата или искажение сведений, необходимых для управления цепочкой поставок для транспортировки, отгрузки, получения, хранения товаров и для управления ими.
Утрата или искажение сведений о расписании транспорта в том числе поездов, самолетов.
Удаление исторических данных с оборудования.

Искажение информации, необходимой для поддержания бизнес-процессов:

Искажение адресов доставки крупных партий продукции.
Подмена данных в регистрах спецтранспорта.

Утечка конфиденциальной информации

Кража конфиденциальной информации:

Копирование базы данных клиентов организации.
Копирование баз данных и документов, содержащих информацию о маршрутах транспорта и грузов инкассации, танкеров, грузового транспорта и прочем.
Копирование баз данных и документов, содержащих информацию о ценообразовании и действующих партнерских соглашениях и контрактах.
Копирование документов, содержащих организационные стратегии, планируемые сделки M&A, маркетинговые программы.
Получение доступа к информации о маршрутах спецтранспорта.

Финансовые потери

Вывод денежных средств со счетов компании:

Мошеннические переводы средств с корреспондентского счета.

Прерывание деятельности

Нарушение бизнес-процессов организации:

Перебои в работе или недоступность клиентских сервисов.
Простой в работе корпоративной инфраструктуры.
Взлом клиентов через инфраструктуру компании.
Сбой в разработке ПО и доставке обновлений заказчикам.
Перебои в работе цифровой экосистемы компании или ее партнеров.

Искажение или утрата сведений

Утрата или искажение операционных и резервных данных:

Утрата или искажение информации в базах данных и резервных копиях операционного учета.

Утрата или искажение исходного кода разрабатываемых продуктов:

Внедрение уязвимостей и программных закладок в исходный код разрабатываемых продуктов.
Утрата библиотек с исходным кодом разрабатываемых продуктов.

Утечка конфиденциальной информации

Кража конфиденциальной информации, представляющей ценность для организации:

Баз данных, содержащих сведения о действующих партнерских соглашениях и контрактах.
Документов, содержащих сведения о стратегии и планах развития бизнеса.
Исходного кода разрабатываемого ПО.
Документов, содержащих сведения о планах развития ПО и сервисов.
Баз данных, содержащих платежные данные пользователей онлайн-сервисов.
Баз данных исторической информации о пользователях сервисов.
Протоколов и решений руководства компании.

Финансовые потери

Вывод денежных средств со счетов организации:

Мошеннические переводы средств со счета.
Мошеннические операции в системах накопления бонусных баллов.

Вывод денежных средств со счетов клиентов организации:

Мошеннические операции с абонентскими счетами клиентов.

Прерывание деятельности

Нарушения связи и вещания:

Остановка вещания в период запрета остановки вещания.
Перебои в вещании в региональном масштабе.
Перебои в работе цифровой экосистемы организации или ее партнеров.
Нарушение работы телекоммуникационного оборудования и абонентской связи из-за взлома внутренней инфраструктуры.

Искажение или утрата сведений

Утрата или искажение операционных и резервных данных:

Базы данных абонентов и биллинга.
Операционных и статистических данных о состоянии оборудования.
Транслируемого контента с целью дестабилизации социально-политической обстановки или работы компании.
Данных, обязательных для хранения в соответствии с требованиями законодательства.

Утечка конфиденциальной информации

Кража конфиденциальной информации:

Сведений, касающихся работы сетей связи, в том числе даты звонков, местоположения абонентов и другие.
Клиентской базы данных.
Документов с действующими партнерскими соглашениями и контрактами.
Документов с описанием стратегий и планов развития бизнеса.
Сведений, раскрывающих коммуникацию абонентов, нарушение тайны переписки.