Как автоматизация разработки моделей угроз экономит бизнесу до 50%

Помогают им в этом актуальные «Модели угроз и нарушителя безопасности информации», которые в условиях цифровой «гонки вооружений» становятся основой для принятия стратегических решений по обеспечению кибербезопасности. Без актуальных Моделей угроз не выстроить эффективную систему защиты информации. Для меня этот факт не вызывает сомнений.

Пренебрегать этим — значит увеличивать свои финансовые и репутационные риски, как и вероятность быть привлеченным к ответственности за нарушение законодательства по ИБ.

Так как же быстро и эффективно провести моделирования угроз для инфраструктуры своих информационных систем?

Хорошая новость состоит в том, что разработку моделей угроз сегодня можно автоматизировать.

В этой колонке разберу:

• что дают бизнесу Модели угроз и как их оперативно разработать,
• как автоматизация делает эту стратегическую инвестицию окупаемой,
• на что обращать внимание при выборе такого ПО.

Итак, зачем это бизнесу

Организаций, которым нужно разрабатывать Модели угроз, становится все больше. Наличие моделей угроз — обязательное требование 152-ФЗ в отношении ИС персональных данных, а также значимых объектов КИИ (согласно 187-ФЗ), а с введением в действие 117 Приказа ФСТЭК России этот документ стал необходим не только ГИС, но и всем организациям, которые к ним подключаются.

Модель угроз позволяет:

• понять реальные уязвимости той или иной информационной системы (ИС), сосредоточиться на нейтрализации реальных, а не гипотетических угроз,
• исключить штрафы, минимизировать риски финансовых и репутационных потерь,
• оптимизировать бюджет на информационную безопасность (ИБ), экономия может составить от 20% до 50%, вы не вкладываетесь в избыточные средства защиты, а закрываете приоритетные уязвимости.

Правда, для создания актуальных Моделей угроз требуются опытные ИБ-специалисты, которые и так в дефиците. На эту работу у ИБ-отдела могут уходить недели, если не месяцы. На разработку такого обстоятельного документа, как Модель угроз, только для одной информационной системы может потребоваться от 5 до 10 дней, а у компании она далеко не одна. Но все меняется с автоматизацией.

Современные решения позволяют сократить время на разработку Модели угроз в среднем в 7 раз (до одного дня), что дает заметную экономию на трудозатратах и облегчает работу как опытных, так и начинающих специалистов. Автоматизация избавляет их от рутины и позволяет уделить высвободившееся время на решение других не менее важных задач.

Автоматизируй или проиграешь

Начну с предыстории: еще пять лет назад частные модели угроз разрабатывались, отталкиваясь от базовой модели, жестких требований к ним не предъявлялось. Но все изменилось в феврале 2021 года, когда вышел новый «Методический документ. Методика оценки угроз безопасности информации» ФСТЭК России. По нему применительно к инфраструктуре требуется проанализировать угрозы из БДУ (Базы данных угроз) ФСТЭК России, а их, напомню, 227. И при этом еще корректно определить, какие средства защиты информации (СЗИ) нейтрализуют ту или иную угрозу. Вот с того момента стало актуальным автоматизировать процесс разработки моделей угроз.

Сегодня решения для автоматизированной разработки Моделей угроз помогут большинству компаний. Они позволяют отказаться от привлечения к такой работе дорогостоящих внешних консультантов и формировать Модели угроз самостоятельно.

Хочу заметить, что для компаний из всего комплекта обязательных внутренних организационно-распорядительных документов Модель угроз — наиболее важный, сложный и объемный (100-страничный) документ. На мой взгляд, в век компьютерных технологий составлять его вручную, даже имея шаблон, — уже вчерашний день.

Как выбирать ПО для создания Моделей угроз: памятка для бизнеса

Меня часто спрашивают: на что обращать внимание при выборе такого ПО? Прежде чем сравнивать решения, на мой взгляд, стоит получить ответы на три вопроса.

1. Где в решении хранятся данные об инфраструктуре?

Только если такое ПО работает локально, без использования облачных сервисов, только тогда вы полностью контролируете конфиденциальную информацию об инфраструктуре информационных систем и о потенциально реализуемых угрозах.

У нас в этом вопросе принципиальная позиция: все данные об архитектуре и уязвимостях систем остаются внутри периметра организации. И я бы, например, свою Модель угроз никому в «облако» не отдам.

2. На какой методологии ПО основано?

Важно, чтобы такое решение соответствовало требованиям регулятора: основывалось на методологии ФСТЭК России, в нем были реализованы требования «Методического документа. Методики оценки угроз безопасности информации» (утв. ФСТЭК России 05.02.2021), учитывалась актуальная база угроз (227 позиций) БДУ ФСТЭК России.

3. Что лежит в основе продукта?

Важно понимать, насколько корректно система сопоставляет угрозы и меры защиты. ПО содержит унифицированный опросник, позволяющий собрать и внести в программу необходимые данные по информационной системе. Обработав их, программа сформирует Модель угроз, разработанную для конкретной ИС с учетом внедренных средств защиты и в соответствии с требованиями регулятора.

Нелишним будет обратить внимание на возможность учета программой экспертных правок. Автоматизация не должна исключать ручную корректировку. При необходимости эксперт имеет возможность вносить в формируемый документ свои комментарии и формулировки, которые будут учтены программой и найдут свое место в итоговом документе.

А также полезно будет учесть скорость актуализации. При изменении инфраструктуры ИС, внедрении новых средств защиты Модель угроз с таким ПО оперативно можно будет скорректировать.

Актуальные Модели угроз — это уже стандарт, как и регулярный пентест

Сегодня все большее число компаний разрабатывают актуальные Модели угроз для своих информационных систем, и тон здесь задают крупнейшие корпорации. Правда, подходы могут различаться: кто-то до сих пор рискует это делать лишь для формального соответствия требованиям регуляторов, тогда как для большинства — это уже реально работающий инструмент.

В настоящее время моделирование угроз перестает быть незначимой опцией для компаний, которые хотят реально защищать свои активы. На основе Моделей угроз компании формируют проекты по внедрению средств защиты информации, технические проекты на системы защиты, проводят расчет рисков, исключая тем самым как реальные утечки, так и шанс быть привлеченными к ответственности за нарушение требований законодательства.