«Создание модели угроз, это проекция реальности через призму наших инструментов и знаний. Мы описываем то, что можем измерить, оставляя за скобками неизвестные неизвестности. Полное понимание невозможно, но полное отсутствие понимания делает защиту бессмысленной. Баланс — в непрерывном анализе и готовности признать, что карта не равна территории.»
Что такое threat landscape и почему его нельзя «закончить»
Threat landscape, или модель угроз,, это структурированное описание актуальных опасностей для информационной системы организации. Его цель — определить, от чего защищаться и куда направлять ресурсы. Попытка создать «окончательную» версию такой модели приводит к её превращению в статичный документ, который быстро теряет связь с реальностью.
Угрожающая среда динамична. Она состоит не только из известных атак, но и из факторов, которые сложно формализовать:
- Неизвестные векторы, которые ещё не описаны в базах уязвимостей.
- Внутренние процессы: деградация политик безопасности, устаревание конфигураций, человеческий фактор.
- Внешний контекст: новые трактовки регуляторных требований, изменения в поведении партнёров или появление новых сервисов.
Стремление «полностью понять» угрозы равносильно попытке предсказать будущее. Это невозможно не только из-за ограниченности ресурсов, но и потому, что некоторые угрозы становятся видимыми только после своей реализации.
Как угрозы становятся «видимыми» для анализа
Выявление угроз происходит на трёх уровнях, каждый из которых опирается на свои источники данных.
| Уровень | Источники данных | Что становится «видимым» |
|---|---|---|
| Активный (известный) | Отечественные реестры уязвимостей, отчёты CERT, публичные разборы инцидентов | Конкретные техники атак, эксплойты, инструменты с известными сигнатурами |
| Контекстуальный (выводимый) | Анализ архитектуры, бизнес-процессов, требований 152-ФЗ и ФСТЭК | Потенциальные векторы, привязанные к конкретным технологиям; обязательные меры защиты, указанные регулятором |
| Латентный (неизвестный) | Мониторинг аномалий, отклонений от базовых показателей, гипотетическое моделирование сценариев | Новые паттерны поведения, угрозы, возникающие из комбинации известных факторов в новом контексте |
Большинство организаций работают на первых двух уровнях. Работа на третьем требует не только инструментов, но и культуры, допускающей неопределённость — готовности к тому, что некоторые угрозы будут обнаружены постфактум.
Почему российская регуляторика требует модели угроз, но не даёт методологии для её «завершения»
Требования 152-ФЗ и документов ФСТЭК указывают на необходимость анализа угроз и оценки рисков, но не предписывают конкретной методологии, ведущей к «окончательной» модели. Это не пробел, а особенность подхода: регулятор задаёт рамки, оставляя пространство для адаптации к специфике организации.
На практике это означает, что модель угроз должна быть:
- Привязана к текущему состоянию системы защиты информации (СЗИ).
- Регулярно актуализирована — не реже раза в год, а лучше при любом значимом изменении инфраструктуры или требований.
- Документирована так, чтобы была видна связь между выявленными угрозами и принятыми мерами защиты.
Попытка представить регулятору «завершённый» документ может привести к обратному эффекту: появятся вопросы о том, как модель учитывает изменения, произошедшие после её утверждения. Более устойчивая позиция — демонстрация не статичного результата, а живого процесса управления моделью угроз.
Процесс управления threat landscape вместо попыток его «полного понимания»
Управление моделью угроз, это цикл, а не линейный проект. Его этапы повторяются, обеспечивая постоянную актуальность.
Идентификация и сбор данных
Сбор информации из всех доступных источников: внутренние отчёты об инцидентах, данные от поставщиков СЗИ, отечественные базы уязвимостей, актуальные требования регуляторов. Ключевая задача — не собрать всё, а отфильтровать данные по релевантности. Угроза для финансового сектора может быть неактуальна для промышленного предприятия.
Анализ и привязка к контексту
Абстрактные угрозы из списков превращаются в конкретные риски для организации. На этом этапе отвечают на вопросы:
- Какие активы и процессы подвержены этой угрозе?
- Как существующие меры защиты влияют на вероятность её реализации?
- К каким последствиям для бизнеса или регуляторного соответствия может привести реализация угрозы?
Оценка рисков и принятие решений
На основе анализа принимаются решения о внедрении новых мер или корректировке существующих. Здесь модель угроз напрямую влияет на распределение бюджета и план работ по безопасности. Критически важно документировать логическую цепочку: «угроза → оценка риска → принятая мера».
Регулярный пересмотр и актуализация
Цикл замыкается планированием следующего пересмотра. Триггеры для актуализации:
- Плановые (в рамках ежегодного цикла управления рисками).
- Событийные (внедрение нового сервиса, изменение инфраструктуры, обновление требований ФСТЭК).
- Постинцидентные (анализ любого инцидента безопасности, даже если он не был предсказан).
Инструменты и их ограничения
Для поддержки процесса используются платформы управления рисками, системы документооборота или специализированные решения. В российском контексте важно, чтобы инструмент поддерживал отечественные реестры уязвимостей и позволял работать с формулировками требований 152-ФЗ и ФСТЭК.
Эффективный инструмент должен обеспечивать:
- Связь угроз с конкретными активами и элементами СЗИ.
- Ведение истории изменений и версионности модели.
- Формирование отчётности, приемлемой для предъявления регулятору.
Однако даже самый продвинутый инструмент не даст «полного понимания». Он лишь структурирует работу с видимой частью угроз. Невидимую часть компенсируют процессуальные практики: анализ аномалий, регулярное гипотетическое моделирование сценариев и — что важнее всего — культура, в которой неопределённость не считается провалом.
Культура допущения неопределённости как компенсация неизвестных угроз
В организациях, где модель угроз стремятся сделать «идеальной» и «завершённой», неучтённые угрозы воспринимаются как провал специалистов. Это ведёт к ситуации, где разбор инцидента превращается в поиск виновных за то, что угроза «не была предсказана».
Альтернатива — культура, которая принимает неопределённость как данность. В такой среде:
- Обновление модели угроз после инцидента, это нормальный процесс её развития, а не признание ошибки.
- Моделирование гипотетических, даже маловероятных сценариев поощряется как способ расширить горизонт планирования.
- Регуляторная проверка становится возможностью показать зрелый процесс управления, его адаптивность и реакцию на новые данные, а не предъявление застывшего отчёта.
Такой подход ближе к реальности, где threat landscape, это не статичная картина, а живой ландшафт, и работа с ним никогда не заканчивается.