• Изучение систем, которые могут быть затронуты
• Оценка того, что может пойти не так
• Понимание того, что организация или ИТ-команда делает для снижения риска
• После того, как шаги были предприняты, оценка результатов
Несмотря на то, что типы угроз, которые моделируются, неизменно меняются в зависимости от ситуации, основные этапы процесса остаются неизменными. Они включают в себя:
Создание проекта, сетевой модели или системы защиты приложений, которые являются безопасными
Убедитесь, что ресурсы используются эффективно, чтобы не тратить деньги или людей на решение проблемы без необходимости
Сделайте безопасность приоритетом – даже поставьте её выше краткосрочной прибыльности, понимая, что в долгосрочной перспективе прибыль увеличится благодаря более безопасной системе
Информирование заинтересованных сторон о том, как развивается система
Указание угроз, с которыми сталкивается система
Определение требований соответствия в том виде, в каком они относятся к рассматриваемой системе или приложению
Обеспечение соответствия принимаемых мер нормативным требованиям
Определение необходимых мер контроля для устранения угрозы до, во время и после её возникновения
Создание этих средств контроля и их внедрение в прозрачной и понятной для всех заинтересованных сторон форме
Оценка рисков, связанных с системой управления угрозами
Документирование угроз, влияющих на систему
Документирование усилий по смягчению последствий, применяемых для управления каждой угрозой
Убедитесь, что цели бизнеса не пострадают из-за злоумышленника или негативного события
Определение способов тестирования системы, чтобы убедиться, что она будет работать в условиях угроз, от которых она призвана защищать организацию
Рассмотрим ещё варианты работы процесса моделирования угроз.
Существует несколько различных подходов и методологий моделирования угроз. Однако в большинстве этих процессов ключевые этапы схожи. Они включают:
1. Сформируйте команду. В эту команду должны входить все заинтересованные стороны, включая владельцев бизнеса, разработчиков, сетевых архитекторов, экспертов по безопасности и руководителей высшего звена. Разнообразная команда создаст более целостную модель угроз.
2. Определите область применения. Определите и опишите, что охватывает модель. Например, ориентирована ли она на приложение, сеть или приложение и инфраструктуру, на которой оно работает? Составьте перечень всех компонентов и данных, которые входят в модель, и сопоставьте их с диаграммами архитектуры и потоков данных. Каждый тип данных должен быть классифицирован.