Проактивное управление кибербезопасностью

Метамодель для создания цифрового репозитория, обеспечивающего проактивное управление кибербезопасностью в СиММА, изображена на рисунке ниже.  

Метамодель - совокупность классов СиММА и их взаимосвязей (мета-связей). Каждый класс (изображен на схеме зеленым цветом) позволяет создать каталог сущностей, имеющих отношение к проактивному управлению кибербезопасностью: 

• Актив - любой защищаемый ресурс компании. Может быть компьютером, информационной системой, сервисом. В общем случае актив является видом объекта защиты. Каталог активов должна вести ИТ-служба предприятия, но если она не ведет, значит сотрудники кибербезопасности должны поддерживать такой каталог самостоятельно.
• Риск.  Любой актив подвергается рискам. Соответственно, эти риски должны быть привязаны к активам, а также к тем заинтересованным лицам, в чьем распоряжении находятся активы. 
• Заинтересованное лицо - как правило, владелец актива. Если за актив никто не отвечает, то нет смысла его защищать, так как защита - затратное мероприятие.
• Уязвимость.  Активы, как правило подвержны уязвимостям. Собственно это и лежит в основе риска. Известные или выявленные уязвимости будут закрываться службой кибербезопасности. 
• Угроза - совокупность условий и факторов, создающих опасность для реализации риска. Угроза может иметь статус потенциальной или реализованной. Строго рассуждая, угроза может быть не одним, а группой каталогов, в том числе уместно иметь каталог известных злоумышленников или их группировок.
• Кибератака - каталог для учета фактов случившихся кибератак. Через связи следует учитывать, какие именно объекты защиты подвергались атаке, а также какие сценарии реагирования были разработаны заранее или по факту для предотвращения атак в будущем.
• Средство защиты - программный, аппаратный или программно-аппаратный комплекc, обеспечивающий защиту актива.
• Источник событий. Совокупность активов и средств защиты вместе образуют класс "Источники событий". На каждый источник требуется корректная настройка сбора данных с источника с учетом особенностей формата данных, создаваемых источником.
• Каталог типов событий. Здесь учитываются типы событий, которые отслеживаются службой кибербезопасности.
• Приложение защиты - программный продукт, в котором выполняется обработка событий КБ. Может быть полезно иметь каталог обьектов данных, функций и API по каждому такому приложению.
• Классификатор инцидентов - каталог классификаторов, облегчающих управление потоком инцидентов.
• Процессы и процедуры - каталог сущностей и их схематизация в виде процессов. Описаются все процессы обеспечения и управления кибербезопасностью. Целесообразно вести этот каталог и свазанные с ним схемы внутри СиММА, так как положение о моделировании процессов в компании, как правило, сильно ограничивает модельные возможности, нужные службе кибербезопасности.

Мы не приводим здесь описание мета-атрибутов для классов по двум причинам:

• многие атрибуты совершенно очевидны, как например, для активов или рисков.
• каждая служба сама выбирает, в каком объеме вести учет перечисленных выше сущностей.

 
Для заполнения метамодели в качестве подсказки или опоры можно использовать референсные модели или фреймоворки >>>