Кибериммунный процесс предъявляет требования к результатам каждого этапа разработки, но не регламентирует жестко, как именно выполняется работа, ограничиваясь методическими рекомендациями. Это соответствует принципу «неважен процесс, важен результат».
Более формальное определение кибериммунной системы звучит так: это система, которая достигает установленных для нее целей безопасности во всех сценариях работы, при любых обстоятельствах, при выполнении заданных ограничений.
Цель безопасности — условие или требование, относящееся к системе в целом, которое должно выполняться на протяжении всего ее жизненного цикла. Например, «при выполнении операций чтения, записи, передачи данных эти данные остаются неизвестными для неавторизированного круга лиц».
Определение целей безопасности — первый этап разработки кибериммунной системы. Под обозначенные цели безопасности затем разрабатывается архитектура и выполняется дизайн.
Цели безопасности могут определяться разными методами: для отраслей с высоким уровнем регуляции — путем анализа требований регулятора, для сфер, где регуляция практически отсутствует, — на основе анализа потребностей в безопасности, определённых владельцем или заказчиком. Эти потребности часто связаны с защитой активов системы, и на практике заказчику понятно, как формулировать задачи по безопасности, отталкиваясь от них. Таким образом, кибериммунный подход применим ко всем прикладным сферам разработки киберсистем.
Важный практический аспект подхода — противостояние «перекладыванию ответственности». Любые технические средства, технологии и инструментарий защиты — например, криптографические ключи, пароли, сертификаты и др. — не рассматриваются как актив системы и не должны фигурировать в поле зрения заказчика. С одной стороны, это дает возможность заказчику самому определять активы системы на своем языке, не перекладывая эту задачу на разработчика, а с другой — не сужает задачу и не ограничивает разработчика в выборе средств и методов защиты.
Перед разработкой архитектуры под заданные цели безопасности каждая цель конвертируется в набор требований безопасности, которые детально описывают, что именно надо сделать, чтобы обеспечить достижение этой цели — то есть формируются требования к функциям защиты. На этом этапе и появляются требования вроде обеспечения защиты криптографических ключей.
Моделирование угроз активно используется в методологии создания кибериммунных систем. Чтобы этот инструмент был эффективен, важно понимать, к какому объекту применять моделирование, какие исходные данные и методы использовать, какие результаты получить.
Чаще всего под термином «моделирование угроз» понимают технические процедуры, которые опираются на базы знаний о типовых угрозах, векторах, техниках и тактиках кибератак (MITRE, STRIDE, БДУ ФСТЭК). Обязательный результат — артефакт под названием «Модель угроз», который описывает источники угроз или модель нарушителя, перечень исходящих угроз, актуальные технические сценарии реализации. Частая цель такого моделирования — описание угроз для оценки рисков в терминах размера ущерба и вероятности его реализации. На основании этой информации можно спланировать меры противодействия.
Для выполнения полноценного технического моделирования угроз необходим вариант архитектуры системы и привлечение квалифицированных специалистов.
Верхнеуровневое моделирование угроз — менее формальная процедура, для которой необязательно иметь полностью описанную архитектуру системы. Такой тип моделирования угроз можно назвать «а что будет, если…». Кибериммунный подход использует оба этих типа моделирования угроз: верхнеуровневое — для создания архитектуры под заданные цели безопасности, формальное техническое — для проверки качества разработанной архитектуры, исправления ошибок или подтверждения того, что архитектура удовлетворяет целям безопасности.
В продолжении рассказа о процессных требованиях кибериммунного подхода вы узнаете о подробностях создания архитектуры под цели безопасности и особенностях верификации качества кода.
Кибериммунный процесс предъявляет требования к результатам каждого этапа разработки, но не регламентирует жестко, как именно выполняется работа, ограничиваясь методическими рекомендациями. Это соответствует принципу «неважен процесс, важен результат».
Более формальное определение кибериммунной системы звучит так: это система, которая достигает установленных для нее целей безопасности во всех сценариях работы, при любых обстоятельствах, при выполнении заданных ограничений.
Цель безопасности — условие или требование, относящееся к системе в целом, которое должно выполняться на протяжении всего ее жизненного цикла. Например, «при выполнении операций чтения, записи, передачи данных эти данные остаются неизвестными для неавторизированного круга лиц».
Определение целей безопасности — первый этап разработки кибериммунной системы. Под обозначенные цели безопасности затем разрабатывается архитектура и выполняется дизайн.
Цели безопасности могут определяться разными методами: для отраслей с высоким уровнем регуляции — путем анализа требований регулятора, для сфер, где регуляция практически отсутствует, — на основе анализа потребностей в безопасности, определённых владельцем или заказчиком. Эти потребности часто связаны с защитой активов системы, и на практике заказчику понятно, как формулировать задачи по безопасности, отталкиваясь от них. Таким образом, кибериммунный подход применим ко всем прикладным сферам разработки киберсистем.
Важный практический аспект подхода — противостояние «перекладыванию ответственности». Любые технические средства, технологии и инструментарий защиты — например, криптографические ключи, пароли, сертификаты и др. — не рассматриваются как актив системы и не должны фигурировать в поле зрения заказчика. С одной стороны, это дает возможность заказчику самому определять активы системы на своем языке, не перекладывая эту задачу на разработчика, а с другой — не сужает задачу и не ограничивает разработчика в выборе средств и методов защиты.
Перед разработкой архитектуры под заданные цели безопасности каждая цель конвертируется в набор требований безопасности, которые детально описывают, что именно надо сделать, чтобы обеспечить достижение этой цели — то есть формируются требования к функциям защиты. На этом этапе и появляются требования вроде обеспечения защиты криптографических ключей.
Моделирование угроз активно используется в методологии создания кибериммунных систем. Чтобы этот инструмент был эффективен, важно понимать, к какому объекту применять моделирование, какие исходные данные и методы использовать, какие результаты получить.
Чаще всего под термином «моделирование угроз» понимают технические процедуры, которые опираются на базы знаний о типовых угрозах, векторах, техниках и тактиках кибератак (MITRE, STRIDE, БДУ ФСТЭК). Обязательный результат — артефакт под названием «Модель угроз», который описывает источники угроз или модель нарушителя, перечень исходящих угроз, актуальные технические сценарии реализации. Частая цель такого моделирования — описание угроз для оценки рисков в терминах размера ущерба и вероятности его реализации. На основании этой информации можно спланировать меры противодействия.
Для выполнения полноценного технического моделирования угроз необходим вариант архитектуры системы и привлечение квалифицированных специалистов.
Верхнеуровневое моделирование угроз — менее формальная процедура, для которой необязательно иметь полностью описанную архитектуру системы. Такой тип моделирования угроз можно назвать «а что будет, если…». Кибериммунный подход использует оба этих типа моделирования угроз: верхнеуровневое — для создания архитектуры под заданные цели безопасности, формальное техническое — для проверки качества разработанной архитектуры, исправления ошибок или подтверждения того, что архитектура удовлетворяет целям безопасности.
В продолжении рассказа о процессных требованиях кибериммунного подхода вы узнаете о подробностях создания архитектуры под цели безопасности и особенностях верификации качества кода.
