Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, Вы соглашаетесь с использованием файлов cookie. Тем не менее, Вы всегда можете отключить файлы cookie в настройках Вашего браузера.
Принять

ИБ

Портал для специалистов по информационной безопасности. Новости, нормативная правовая и справочная документация. Шаблоны документов.

  • Главная
  • Новости
  • НПА
    • Стандарты и методики
    • Приказы ФСБ России
    • Приказы ФСТЭК
  • Загрузки
Вы читаете: Повторяемость инцидента при оценке ущерба объектам КИИ
Поделиться
Aa

ИБ

Портал для специалистов по информационной безопасности. Новости, нормативная правовая и справочная документация. Шаблоны документов.

Aa
Поиск
  • Главная
  • Новости
  • НПА
    • Стандарты и методики
    • Приказы ФСБ России
    • Приказы ФСТЭК
  • Загрузки
Follow US
ИБ > Информационная безопасность > Повторяемость инцидента при оценке ущерба объектам КИИ
Информационная безопасность

Повторяемость инцидента при оценке ущерба объектам КИИ

3 года назад Просмотров: 18 3 года назад минут на прочтение: 4
Поделиться

[ad_1]

При категорировании объектов критической инфраструктуры ущерб от возможных инцидентов можно разделить на моментальный и длящийся. Очевидные примеры моментального ущерба – прекращение работы систем жизнеобеспечения, транспорта или связи (показатели категорирования 2, 3 и 4): для выбора категории значимости важно только количество людей, которое потенциально может пострадать от инцидента, но неважна длительность их страданий. Длящийся ущерб актуален для показателей категорирования экономического блока: снижение доходов субъекта КИИ напрямую зависит от времени простоя его основных средств производства.

В связи с этим часто задают два вопроса: как оценивать количество инцидентов и как прогнозировать длительность причинения ущерба.
Хочется верить, что при оценке негативных последствий инцидента авторы правил категорирования имели в виду последствия единичного инцидента, без учета возможности его многократного повторения. К сожалению, напрямую из текста правил категорирования это не следует:

“5. Категорирование включает в себя:
…
д) оценку … масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;”

“14. Комиссия по категорированию в ходе своей работы:
…
д) анализирует угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры;
е) оценивает … масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры …;”

“17. Субъект критической информационной инфраструктуры … направляет … сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают:
…
ж) возможные последствия в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры либо сведения об отсутствии таких последствий;”

Во всех случаях слова “последствия” и “инцидент” упоминаются только во множественном числе, поэтому из текста правил не следует, что речь идет о разблюдовке возможных инцидентов с оценкой последствий единичного инцидента каждого вида в отдельности. Недавние изменения, внесенные в правила категорирования, на мой взгляд, ставят точку в этом вопросе:

“14(1). При проведении работ, предусмотренных подпунктами «г» и «д» пункта 14 настоящих Правил, должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.”

То есть при оценке возможных действий нарушителя (пункт 14 “г”) и анализе угроз, связанных с этими действиями (пункт 14 “д”), требуется рассматривать самый плохой сценарий. Следовательно, если мы утверждаем, что нарушитель может, используя уязвимости инфраструктуры, остановить работу защищаемого объекта, в силу пункта 14(1) мы обязаны рассматривать сценарии, при которых нарушитель будет целенаправленно блокировать работу этого объекта максимально возможное время, используя все возможные уязвимости инфраструктуры.

Для экономических показателей, в которых ущерб оценивается в процентах от годового дохода, при этом придется исходить из того, что самым плохим будет сценарий, при котором нарушитель не дает субъекту использовать атакуемую систему в течение всего финансового года.

Таким образом, значимость информационной системы в контексте экономических показателей категорирования фактически определяется ее вкладом в финансовые результаты деятельности субъекта КИИ. Не уверен, что так оно задумывалось авторами, но из буквального прочтения правил категорирования этот вывод следует. Анализ угроз в этом случае нужен только для того, чтобы субъект КИИ мог выделить информационные системы, не подверженные целенаправленным действиям нарушителя: для таких систем будут актуальны угрозы, связанные только со сбоями и отказами, а к ним можно применять вероятностные методы оценки.

[ad_2]

Источник

Вас может заинтересовать

Вводятся в действие рекомендации по стандартизации Р 1323565.1.043–2022

Вступает в действие ГОСТ Р 70262.1-2022

ИБ для чайника. Часть 1.

Лабиринт малотавра: Как мы моделируем угрозы. Часть 3: техники и тактики

Лабиринт малотавра: Как мы моделируем угрозы. Часть 2: негативные последствия, угрозы, техники

Александр Демидов 11.08.2019
Предыдущая статья Требования ЦБ по противодействию мошенническим денежным переводам
Следующая статья И тоже об иллюзиях в сертификации средств защиты
Комментировать

Добавить комментарий Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Вас может заинтересовать:

Вводятся в действие рекомендации по стандартизации Р 1323565.1.043–2022

4 недели назад

Вступает в действие ГОСТ Р 70262.1-2022

4 недели назад

ИБ для чайника. Часть 1.

2 года назад

Лабиринт малотавра: Как мы моделируем угрозы. Часть 3: техники и тактики

3 года назад

Сайт не является официальной точкой распространения программ. Файлы для загрузки, представленные на сайте, предназначены для осуществления технической поддержки пользователей.

Все данные на сайте представлены для ознакомления и носят исключительно информационный характер. Администрация сайта не несёт ответственность за использование размещённой на сайте информации.

Сайт не является СМИ.

Top.Mail.Ru

© Ассоциация специалистов по информационной безопасности в сфере здравоохранения

Removed from reading list

Undo
Go to mobile version
С возвращением!

Авторизуйтесь для продолжения

Забыли пароль?