В практике многих компаний уже давно применяется моделирование угроз, что обеспечивает возможность прогнозирования потенциальных направлений атак и принятия соответствующих превентивных мер по обеспечению безопасности. Но возникает вопрос: можно ли автоматизировать эту область? С продуктологом экосистемы приложений «Альфа» Александром Ивановым поговорили о способах, возможностях и сложностях автоматизации моделирования угроз. Читайте в статье.
− Александр, скажите, пожалуйста, что представляет из себя документ модель угроз?
− Это документ, который описывает возможные угрозы безопасности информации. Он представляет комплексный и систематический подход в анализе, определении и борьбе с различными видами киберугроз и помогает понять, что плохого может произойти в компании/учреждении, если на них будет оказано определённое воздействие с внутренней или внешней стороны.
Впервые требования к процессу моделирования угроз и документу модель угроз были сформулированы Федеральной службой по техническому и экспортному контролю в 2008 году в рамках методического документа Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. С 2021 года к органам и организациям предъявляются новые требования, которые определены Методикой оценки угроз безопасности информации.
− Кто должен разрабатывать этот документ?
− В соответствии с законодательством все компании и учреждения, которые владеют информационными системами, подлежащими защите. На деле владельцы крупного бизнеса и руководители государственных учреждений относятся к вопросу гораздо серьёзнее, так как любые атаки на их информационные системы могут вызвать негативные финансовые, репутационные и иные последствия.
Моделирование угроз – это длительный, сложный и цикличный процесс. Специалист по информационной безопасности должен провести инвентаризацию и оценить текущие информационные ресурсы и IT-инфраструктуру для того, чтобы увидеть их проблемные места.
На практике документ разрабатывается либо самостоятельно специалистом организации, либо с привлечением иных организаций. Как правило, лицензиатов ФСТЭК России.
− Скажите, а можно автоматизировать процесс моделирования угроз?
− На сегодня споры об автоматизации моделирования угроз не утихают. Скептики говорят о том, что это очень глубинный и индивидуальный процесс, который неправильно и невозможно стандартизировать. Однако следует отметить, что на рынке появляются программные средства, которые позволяют автоматизировать данную деятельность.
− Какие решения существуют на сегодняшний день?
− Первое, о чём хотелось бы упомянуть, это новый Банк данных угроз безопасности информации (БДУ) ФСТЭК России, разработанный в 2022 году и функционирующий в тестовом режиме. Регулятор сам показал, как можно частично автоматизировать моделирование угроз. Есть также другие решения, позволяющие в какой-то степени автоматизировать эту область, такие как MITRE ATT&CK, STRIDE.
− Экосистема приложений «Альфа» помогает автоматизировать эту деятельность?
− Безусловно. Наша компания НПЦ «Кейсистемс – Безопасность» на практике показала, что область моделирования угроз можно и нужно автоматизировать. Программный комплекс АльфаДок, который входит в экосистему приложений «Альфа», берёт на себя рутинную работу по анализу и классификации угроз.
Автоматизацией моделирования угроз мы занимаемся с 2014 года и прошли несколько этапов её модернизации. Последние наши наработки соответствуют Методическому документу по оценке угроз ФСТЭК России от 5 февраля 2021 года.
Вместе с тем отмечу, что у нас есть определённые наработки, учитывающие новый БДУ ФСТЭК России, которые мы продолжим реализовывать в своём продукте.
− Благодарю, Александр, за интересную беседу. Дальнейших успехов вам!
Беседовала Людмила Егорова