Методология результативной кибербезопасности

Определение недопустимых событий

Для каждой организации могут быть сформулированы недопустимые события, наступление которых катастрофически повлияет на ее операционную деятельность.

Недопустимое событие (НС) - это событие, делающее невозможным достижение операционных и (или) стратегических целей или приводящее к значительному нарушению основной деятельности организации в результате кибератаки.
Примеры недопустимых событий:

• Одномоментная утрата свыше 15% от оборотных средств
• Утрата информации о результатах пентеста заказчиков
• Внедрение вредоноса в исходный код продукта

Определение НС

Топ-менеджмент:

• знает цели организации;
• знает ключевые факторы влияющие на организацию;
• принимает стратегические решения;
• анализирует последствия;
  Именно топ-менеджмент:
• формулирует гипотезы;
• определяет порог ущерба;

Сценарий реализации НС

описывает верхнеуровневую модель действий злоумышленника, направленную на реализацию недопустимого события посредством получения несанкционированного доступа к целевой системе.

Примеры сценариев реализации НС:

• подделка платежного поручения в системе «1С» через изменение или создание платежных реквизитов контрагента, создание или изменение платежного поручения без проверки и согласования;
• Модификация данных файла выгрузки платежного поручения или зарплатной ведомости в процессе передачи из «1С» в КБ (например, получателя платежа, номеров карт, номеров счета).

Целевая система - это объект в информационной инфраструктуре, в результате воздействия злоумышленника на который может непосредственно произойти недопустимое для организации событие. Эти системы являются конечной целью злоумышленника при реализации недопустимого события.
Пример целевых систем:

• база данных VIP-клиентов;
• система Банк-клиент;
• веб-сайт для оказания услуги.

Критерий реализации НС - это условие (или несколько условий), демонстрирующее, что в повседневной операционной деятельности организации возможно наступление недопустимого события.
Критерий:

• не приводят к негативным последствиям;
• олицетворяют принцип "один шаг до";

Итог процесса определения НС

• сформирован перечень недопустимых событий на основе гипотез топ-менеджмента;
• учтен порог ущерба для каждого НС;
• для каждого НС сформирован как минимум один сценарий реализации;
• определены целевые системы;
• определены критерии реализации НС.

Пример определения НС Гипотеза:
Одномоментная потеря большого объема денежных средств.
Порог ущерба: 10% от оборотных средств.
Недопустимое событие: «Кража денежных средств».
Сценарий реализации: Выполнение платежа непосредственно из системы «банк — клиент».
Целевая система: система «банк — клиент».
Критерий реализации: Получение привилегий в системе «банк — клиент», позволяющих создавать, редактировать платежные поручения и отправлять их в банк