Проактивное управление кибербезопасностью

Метамодель для создания цифрового репозитория, обеспечивающего проактивное управление кибербезопасностью в СиММА, изображена на рисунке ниже.  

Cybersecurity ontology (metamodel)
Метамодель - совокупность классов СиММА и их взаимосвязей (мета-связей). Каждый класс (изображен на схеме зеленым цветом) позволяет создать каталог сущностей, имеющих отношение к проактивному управлению кибербезопасностью: 

  • Актив - любой защищаемый ресурс компании. Может быть компьютером, информационной системой, сервисом. В общем случае актив является видом объекта защиты. Каталог активов должна вести ИТ-служба предприятия, но если она не ведет, значит сотрудники кибербезопасности должны поддерживать такой каталог самостоятельно.
  • Риск.  Любой актив подвергается рискам. Соответственно, эти риски должны быть привязаны к активам, а также к тем заинтересованным лицам, в чьем распоряжении находятся активы. 
  • Заинтересованное лицо - как правило, владелец актива. Если за актив никто не отвечает, то нет смысла его защищать, так как защита - затратное мероприятие.
  • Уязвимость.  Активы, как правило подвержны уязвимостям. Собственно это и лежит в основе риска. Известные или выявленные уязвимости будут закрываться службой кибербезопасности. 
  • Угроза - совокупность условий и факторов, создающих опасность для реализации риска. Угроза может иметь статус потенциальной или реализованной. Строго рассуждая, угроза может быть не одним, а группой каталогов, в том числе уместно иметь каталог известных злоумышленников или их группировок.
  • Кибератака - каталог для учета фактов случившихся кибератак. Через связи следует учитывать, какие именно объекты защиты подвергались атаке, а также какие сценарии реагирования были разработаны заранее или по факту для предотвращения атак в будущем.
  • Средство защиты - программный, аппаратный или программно-аппаратный комплекc, обеспечивающий защиту актива.
  • Источник событий. Совокупность активов и средств защиты вместе образуют класс "Источники событий". На каждый источник требуется корректная настройка сбора данных с источника с учетом особенностей формата данных, создаваемых источником.
  • Каталог типов событий. Здесь учитываются типы событий, которые отслеживаются службой кибербезопасности.
  • Приложение защиты - программный продукт, в котором выполняется обработка событий КБ. Может быть полезно иметь каталог обьектов данных, функций и API по каждому такому приложению.
  • Классификатор инцидентов - каталог классификаторов, облегчающих управление потоком инцидентов.
  • Процессы и процедуры - каталог сущностей и их схематизация в виде процессов. Описаются все процессы обеспечения и управления кибербезопасностью. Целесообразно вести этот каталог и свазанные с ним схемы внутри СиММА, так как положение о моделировании процессов в компании, как правило, сильно ограничивает модельные возможности, нужные службе кибербезопасности.


Мы не приводим здесь описание мета-атрибутов для классов по двум причинам:

  • многие атрибуты совершенно очевидны, как например, для активов или рисков.
  • каждая служба сама выбирает, в каком объеме вести учет перечисленных выше сущностей.

 
Для заполнения метамодели в качестве подсказки или опоры можно использовать референсные модели или фреймоворки >>>

 

Остались вопросы?
Оставьте свои данные и мы свяжемся с Вами в ближайшее время

Контакты

Адрес офиса:
105082, г. Москва, Спартаковский пер., 2, стр. 1, БЦ "Платформа"
Эл. почта:
Заказать звонок