Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации опубликовало методические рекомендации, направленные на повышение уровня киберустойчивости организаций. В данном документе предложен системный подход к идентификации и управлению рисками, связанными с киберугрозами, что является критически важным для обеспечения непрерывности бизнес-процессов и защиты критически важных информационных систем.
В методических указаниях рекомендуется разработать и поддерживать реестр потенциально опасных событий, которые могут дестабилизировать функционирование цифровых систем. Хотя данные меры не касаются критической инфраструктуры, их игнорирование может привести к значительным негативным последствиям для операционной деятельности организаций.
Особое внимание уделяется анализу наихудших сценариев развития событий после кибератак и других инцидентов, способных парализовать ключевые бизнес-процессы. Подчеркивается необходимость самостоятельного определения организациями стратегий реагирования на такие ситуации.
Для формирования реестра нежелательных событий рекомендуется создать специализированную рабочую группу, занимающуюся вопросами обеспечения непрерывности информационных технологий. Данная группа должна регулярно актуализировать перечень недопустимых ситуаций, учитывая изменения в бизнес-процессах, появление новых цифровых угроз и трансформацию технологической среды.
Документ подробно описывает методологию формирования реестра, включающую шесть последовательных этапов. На первом этапе необходимо идентифицировать последствия критичных инцидентов, учитывая широкий спектр факторов, таких как угроза жизни и здоровью людей, техногенные и природные катастрофы, остановка деятельности, срыв долгосрочных целей, репутационные риски, правовые последствия, финансовые потери, сокращение рыночной доли, снижение качества продукции и другие негативные сценарии.
На втором этапе осуществляется корреляция последствий с технологическими и бизнес-процессами, а также с информационными системами, поддерживающими их функционирование. Это позволяет точно определить уязвимые места, где кибератаки могут нанести максимальный ущерб.
Третий этап предполагает разработку гипотетических сценариев поведения злоумышленников на основе анализа открытых данных и привлечения специалистов по кибербезопасности и программированию. Эти гипотезы формируют предварительный вариант реестра.
На четвертом этапе проводится оценка вероятности реализации предложенных сценариев, что позволяет создать критерии для определения реалистичности тех или иных событий.
Пятый этап включает моделирование кибератак с целью оценки уровня защищенности организации. Рекомендуется проводить имитационные тесты как собственными силами, так и с привлечением сторонних аккредитованных компаний. В процессе моделирования могут быть выявлены новые уязвимости, которые необходимо включить в реестр.
На финальном шестом этапе формируется окончательный вариант реестра, включающий как критические сценарии, так и конкретные системы, подверженные рискам. Документ также рекомендует указать список уязвимостей, оценить уровень подготовки персонала, проверить эффективность технических мер защиты и определить общую способность организации противостоять киберугрозам.
Подчеркивается важность регулярного обновления реестра при изменении бизнес-процессов, появлении новых цифровых угроз и трансформации технологического ландшафта. Данный подход позволяет организациям эффективно управлять рисками, связанными с кибератаками, и обеспечивать непрерывность своей деятельности в условиях постоянно меняющейся информационной среды.