Минцифры выпустило методичку по «недопустимым событиям» в ИБ

В «методичке» уточняется, что это рекомендовано к использованию операторами информационных систем за исключением критически важных объектов и объектов КИИ.

Рекомендации охватывают деятельность по формированию верифицированного перечня недопустимых событий, которые в документе определяются как отдельные события, цепочка или сочетание событий, вызванных компьтерной атакой, в результате которых прерывается операционная деятельность организации.

При этом рекомендации не включают ни подходы к обоснованию выбора организационных и технических мер по защите информации и противодействию угрозам ИБ, ни рекомендации по выработке мер защиты от угроз ИБ и повышению уровня ИБ организаций.

Формально рекомендации не являются обязательными, но они привязаны к выполнению показателей оперативного рейтинга эффективности и результативности ответственных за цифровую трансформацию, где регулярно ранжируются руководители цифровой трансформации федеральных ведомств и регионов. Так что с большой вероятностью заинтересованные в высоких позициях в рейтинге руководители примут их во внимание.

Отметим, что ввод понятия «недопустимых событий» в оборот в ИБ-отрасли активно продвигает Positive Technologies. В компании поясняли: это для того, чтобы ввести в оборот новый термин, не имеющий за собой негативного флёра (в отличие от слов «угроза» и «риск»), и позволяющий просто и понятно объяснить топ-менеджерам, что плохого может произойти в компании, о чем должен задуматься руководитель уровня CxO, и что имеет преломление в области кибербеза. Задача не подменять собой риски и угрозы, а предложить более понятную на высоком уровне управления предприятием, терминологию.