Реестр недопустимых нарушений кибербезопасности поможет государству и бизнесу
Он позволит приоритизировать вероятные угрозы и упорядочить методы защитыВ августе Минцифры анонсировало, что до конца года в России будет создан реестр недопустимых событий кибербезопасности. По замыслу министерства он поможет разным организациям и субъектам критической информационной инфраструктуры выполнять требования законодательства. Ответственные за информационную безопасность (ИБ) топ-менеджеры, назначенные в исполнение указа президента № 250, получат список наиболее критичных угроз.
Понятие «недопустимое событие информационной безопасности» – новое для российского правового поля. Для разных отраслей они будут выглядеть по-разному: для банка это остановка деятельности или кража со счетов огромных сумм денег, для производства – авария, которая приведет к гибели людей, вреду для окружающей среды или длительной остановке производства или поставок. Предполагается, что будет разделен на отрасли и новый реестр.
Понимание недопустимых сценариев для каждой организации является необходимым для обеспечения полноценной киберустойчивости. То есть в первую очередь исключить неприемлемое – и лишь затем защититься от финансовых потерь или операционных рисков. Именно таких инцидентов прежде всего стоит опасаться ответственным за ИБ менеджерам.
В сути своей создание реестра – попытка выстроить системный диалог на одном языке между топ-менеджерами и специалистами по кибербезопасности. Развитая культура ИБ возникает там, где есть прямая заинтересованность и вовлечение руководства как на уровне выделения ресурсов, так и с точки зрения оценки результатов. На практике связь между топ-менеджментом и теми, кто каждый день защищает информацию, часто отсутствует. Директорам по ИБ не хватает политического веса внутри организации, аргументов или уверенности, а генеральному директору иногда кибербезопасность кажется сопровождающей функцией, не критичной для бизнеса.
Теперь этот диалог станет значительно проще. Не надо будет больше объяснять про «программы-вымогатели», «атаки на цепочки поставок» и «риск-ориентированный подход». Появится список верифицированных министерством и предельно понятных сценариев, от которых нужно защититься с вероятностью, близкой к 100%.
Есть чему поучиться у Минцифры и частному бизнесу, не являющемуся владельцами объектов критической инфраструктуры. Так как реестр будет открытым, его сможет использовать каждый ответственный за информбезопасность директор, создавая собственный набор недопустимых сценариев.
В компании из любой отрасли цепочку создания ценности можно разбить на крупные составляющие. Например, в процессах добывающей компании будут выделяться геологоразведка, разработка месторождения, планирование работы шахт, добыча, погрузка и транспортировка, складирование, переработка и сортировка, продажи и маркетинг.
В каждом из этих процессов можно сформулировать набор критичных рисков. Например, в добыче это может быть получение контроля над оборудованием, системами цифровой шахты и важными датчиками, которое может привести к авариям и гибели людей. Для нефтегазовой отрасли набор событий может отличаться – например, это могут быть получение контроля и остановка процессов транспортировки нефти или газа по трубопроводам.
Каждую отрасль (будь то госорганизации, банки, розница, связь, производство или добыча) можно разделить на подобные процессы. Из этого расширенного списка можно выписать недопустимые сценарии и даже разбить их на уровни: если на первом будет 3–5 наиболее критичных, то на втором – 10–15 более детальных.
Эту идею можно и нужно развивать, увеличивая масштаб до уровня целого региона. В каждом из них есть важнейшие организации, остановка работы которых приведет к нарушению непрерывности функционирования других компаний или организаций. Например, взлом крупного телекомоператора приведет к массовому отключению интернета или мобильной связи. Атака на крупный региональный банк, обеспечивающий зарплатные проекты и предоставляющий финансовые услуги компаниям, оставит многих людей без денег и спровоцирует рост социальной напряженности. Киберинцидент на электростанции повлияет не только на работу бизнеса, но и на жизни людей.
Выделяя недопустимые события в каждой компании, можно построить куда более эффективную систему, обеспечивающую киберустойчивость не только конкретного бизнеса, но и целого региона. А в конечной перспективе – и всей страны.