Разработка семантической модели угроз информационной безопасности для автоматизированных банковских систем

В современном мире, где цифровизация проникла во все сферы экономики, банковский сектор стал одной из наиболее привлекательных мишеней для киберпреступников. Ежегодно финансовые организации теряют миллиарды рублей из-за DDoS-атак, фишинга, эксплуатации уязвимостей и инсайдерских угроз. По данным ФинЦЕРТ, в 2024 году эти виды атак продолжают оставаться в топе угроз, демонстрируя не только их постоянную актуальность, но и усложнение методов воздействия. Автоматизированные банковские системы (АБС) – это сердце любой кредитной организации, обрабатывающее колоссальные объемы конфиденциальных данных и проводящее миллионы транзакций. Обеспечение их информационной безопасности является не просто вопросом репутационного риска или финансовых потерь, но краеугольным камнем стабильности всей финансовой системы.

В условиях, когда традиционные методы оценки и управления угрозами могут оказаться недостаточно гибкими и глубокими для выявления комплексных, многовекторных атак, на первый план выходит концепция семантического моделирования угроз. Этот подход позволяет выйти за рамки простого перечисления потенциальных опасностей, предлагая структурированное, формализованное представление знаний о взаимосвязях между угрозами, объектами защиты, нарушителями и их мотивами. Семантическая модель угроз становится не просто инструментом классификации, а мощным аналитическим каркасом, способным значительно повысить эффективность разработки систем защиты, прогнозирования инцидентов и принятия обоснованных решений в области кибербезопасности. Данная работа ставит своей целью не только глубоко исследовать теоретические основы и практические аспекты применения семантического моделирования для АБС, но и интегрировать его с существующей нормативно-правовой базой и признанными методологиями оценки рисков, тем самым обеспечив комплексный взгляд на проблему защиты информации в банковском секторе.

Теоретические основы информационной безопасности и семантического моделирования

Понимание основ информационной безопасности (ИБ) и принципов семантического моделирования является фундаментом для построения эффективной системы защиты в столь критической области, как банковские системы. Эти две области, на первый взгляд, кажущиеся разрозненными, в действительности образуют синергетическую пару, способную качественно изменить подход к управлению киберрисками и обеспечить гораздо более глубокий и проактивный анализ угроз.

Понятие и принципы информационной безопасности

Информационная безопасность – это не просто набор технических средств или строгих правил. Это сложное, многогранное состояние защищённости корпоративных данных, при котором гарантируется их конфиденциальность, целостность, аутентичность и доступность. ИБ представляет собой целостный комплекс практик, технологий и процессов, разработанных для защиты любой информации от несанкционированного доступа, использования, раскрытия, нарушения, изменения или уничтожения. Её конечная цель — обеспечить соблюдение законодательных и регуляторных требований, защитить репутацию компании и, что крайне важно для банков, гарантировать непрерывность бизнес-процессов.

В основе информационной безопасности лежат три ключевых принципа, известные как триада CIA (Confidentiality, Integrity, Availability):

• Конфиденциальность (Confidentiality): Этот принцип гарантирует, что информация доступна исключительно авторизованным лицам. Нарушение конфиденциальности означает утечку или несанкционированный доступ к данным, что в банковской сфере может привести к краже персональных данных клиентов, раскрытию коммерческой тайны или финансовым потерям.
• Целостность (Integrity): Целостность обеспечивает точность, полноту и неизменность информации и методов её обработки. Это означает, что данные не были изменены или повреждены неавторизованным образом. Для банков это критически важно при проведении транзакций, ведении бухгалтерского учёта и хранении клиентских данных.
• Доступность (Availability): Принцип доступности означает, что авторизованные пользователи могут получить доступ к информации и связанным активам (системам, сетям) в любой момент, когда это необходимо. Отказ в доступности может парализовать работу банка, привести к колоссальным убыткам и потере доверия клиентов.

В контексте этих принципов, угроза информационной безопасности определяется как потенциально возможное событие, процесс или действие, реализация которого может привести к нарушению одного или нескольких аспектов безопасности информации (конфиденциальности, целостности, доступности) и, как следствие, нанести ущерб. Понимание угрозы как потенциальной опасности является первым шагом к её предотвращению.

Ущерб от реализации угроз — это негативные последствия, которые могут наступить в результате осуществления угрозы безопасности информации. Этот ущерб может быть прямым (непосредственное влияние на ресурс, например, затраты на восстановление) или косвенным (потеря репутации, открытие коммерческой тайны, штрафы за утечку данных). Точное определение и оценка этих угроз и потенциального ущерба становится критически важной задачей, поскольку позволяет не просто констатировать факт инцидента, но и адекватно реагировать на него, минимизируя последствия.

Семантические модели: сущность и применение

Переходя к семантическому моделированию, важно осознать его как мощный инструмент для работы со знаниями. Семантическая модель представляет собой модель представления знаний в виде ориентированного графа. В этой структуре вершины графа являются понятиями, а дуги — семантическими отношениями между этими понятиями. Её ключевое отличие от традиционных моделей данных заключается в том, что она ориентирована на представление смысла предметной области на самом высоком уровне абстракции, минимизируя детали, связанные с физическим представлением и хранением данных.

Роль семантической модели в контексте информационной безопасности и, в частности, моделирования угроз, неоценима. Она позволяет:

• Формализовать знания: Чётко определить и структурировать понятия, связанные с ИБ (например, «угроза», «уязвимость», «актив», «нарушитель», «последствие») и их взаимосвязи. Это обеспечивает единое понимание терминологии и исключает двусмысленность.
• Выявить скрытые связи: Графовая природа семантических моделей позволяет визуализировать и анализировать сложные отношения, которые могут быть неочевидны в табличных или текстовых описаниях. Например, связь между определённой уязвимостью в операционной системе, типом нарушителя, его мотивацией и потенциальным ущербом.
• Повысить точность анализа: Определяя смысл отношений, семантическая модель помогает более точно кодировать понятия в задачах моделирования угроз, что позволяет создавать более реалистичные сценарии атак и прогнозировать их последствия.
• Поддержать автоматизацию: Формализованные семантические модели могут стать основой для разработки автоматизированных систем анализа угроз, систем поддержки принятия решений и экспертных систем, способных оперативно реагировать на новые вызовы.

Таким образом, семантическая модель угроз в ИБ — это не просто способ описания, а мощный аналитический инструмент, который помогает глубоко понять и эффективно управлять сложным ландшафтом киберугроз, переводя их из области размытых предположений в чётко структурированную, поддающуюся анализу форму.

Архитектура автоматизированных банковских систем и специфика угроз

Глубокое понимание Автоматизированных банковских систем (АБС) и специфики угроз для них является краеугольным камнем для создания эффективной модели информационной безопасности. Недостаточно просто перечислить общие угрозы; необходимо рассмотреть их в контексте многоуровневой архитектуры АБС, где каждый компонент имеет свои уникальные уязвимости и является потенциальной точкой входа для злоумышленника.

Автоматизированные банковские системы: структура и функции

Автоматизированная банковская система (АБС) — это не просто программное обеспечение, а сложный аппаратно-программный комплекс, который является нервной системой любого современного банка. Его основная задача — обработка, накопление, анализ и передача информации о денежных платежах, расчётах и других финансово-кредитных операциях. АБС выступает в роли единой платформы, автоматизирующей практически все ключевые бизнес-процессы банка.

Основные функции АБС обширны и разнообразны:

• Автоматизация работы с клиентами: От регистрации новых клиентов и ведения их паспортных данных до управления счетами, депозитами, кредитами и транзакциями. Это включает в себя CRM-модули, системы дистанционного банковского обслуживания (ДБО) и прочие клиентские сервисы.
• Централизованный учёт: АБС обеспечивает единый, централизованный учёт всех финансовых операций и активов, что критически важно для банков с разветвлённой филиальной сетью. Это позволяет поддерживать актуальность и целостность данных в реальном времени, независимо от географического распределения отделений.
• Сокращение издержек: Автоматизация рутинных операций значительно сокращает потребность в персонале, уменьшая операционные издержки и повышая эффективность работы банка.
• Взаимодействие с государственными органами и регуляторами: АБС автоматизирует обмен данными с внешними государственными информационными системами (ГИС ЖКХ, налоговая служба, Пенсионный фонд, Росреестр и другие), обеспечивая соблюдение требований законодательства и своевременную отчётность.
• Обработка огромных объёмов данных: АБС спроектированы для работы с петабайтами данных, связанных как с внутренней деятельностью банка, так и с финансовыми операциями миллионов клиентов.
• Совершение транзакций: Система управляет транзакциями в различных платёжных системах, работающих как в дискретном режиме, так и в режиме реального времени, требуя высокой скорости и надёжности.
• Поддержка инфраструктуры: АБС поддерживает разветвлённую и сложную инфраструктуру, включающую банкоматы, онлайн-терминалы, мобильные приложения, POS-терминалы и другие точки взаимодействия, требующие защищённого канала связи.

Современная архитектура АБС всё чаще строится по принципу API-first, что подразумевает создание гибких решений с готовыми интеграциями и возможностью легко подключать новых поставщиков платёжных услуг и другие внешние системы. Это обеспечивает высокую степень адаптивности и возможность быстро внедрять новые продукты и сервисы.

Архитектурные уровни АБС и их компоненты

Для более глубокого понимания специфики угроз целесообразно рассмотреть архитектуру АБС, которая может быть разделена на три логических уровня, каждый из которых выполняет свои уникальные функции и подвержен определённым видам рисков:

1. Верхний уровень (Front-office):
   • Функции: Этот уровень является точкой прямого взаимодействия банка с внешним миром – клиентами, другими банками, Центральным банком, информационными и торговыми агентствами. Здесь происходит быстрый и удобный ввод информации, её первичная обработка. К компонентам Front-office относятся системы дистанционного банковского обслуживания (интернет-банкинг, мобильные приложения), CRM-системы, операционные модули для работы с клиентами в отделениях, торговые платформы и системы для межбанковских расчётов.
   • Принципы: Скорость, удобство, интуитивность интерфейса, высокая доступность.
   • Примеры угроз: Фишинг, спуфинг, атаки типа «человек посередине» (MitM), DDoS-атаки на веб-серверы, SQL-инъекции через пользовательские интерфейсы, атаки на API.
2. Средний уровень (Back-office):
   • Функции: Этот уровень представляет собой сердце внутренних операций банка. Здесь обрабатываются приложения по различным направлениям внутрибанковской деятельности и внутренним расчётам. Сюда входят модули для работы с кредитами, депозитами, ценными бумагами, пластиковыми картами, а также системы управления рисками, комплаенсом и внутреннего аудита. Back-office обеспечивает выполнение сложных бизнес-логик и обработку финансовых продуктов.
   • Принципы: Надёжность, точность, соответствие внутренним регламентам и внешним нормативам.
   • Примеры угроз: Инсайдерские атаки (несанкционированные операции сотрудников), логические ошибки в коде, атаки на СУБД (привилегированный доступ к данным), внедрение вредоносного ПО через внутренние сети, утечки данных через отчётные системы.
3. Нижний уровень (Accounting) или Ядро АБС:
   • Функции: Этот уровень включает базовые функции бухгалтерского учёта, часто называемые бухгалтерским ядром. Он обеспечивает ведение бухгалтерского учёта по всем главам плана счетов, формирование финансовой отчётности, консолидацию данных. Все операции, выполненные на верхних уровнях, в конечном итоге отражаются здесь. Подсистемы ядра АБС функционируют на единой базе данных, обеспечивая прозрачность и отсутствие дублирования информации.
   • Принципы: Абсолютная целостность данных, высокая отказоустойчивость, соответствие строгим регуляторным требованиям.
   • Примеры угроз: Атаки на целостность данных (фальсификация транзакций), DoS-атаки на серверы базы данных, несанкционированный доступ к файлам журналов аудита, атаки на аппаратную часть и инфраструктуру ЦОД, использование уязвимостей операционных систем, на которых функционирует ядро.

Базовые принципы создания АБС, независимо от их архитектурного разделения, включают:

• Открытость технологий: Способность бесшовно взаимодействовать с внешними системами и сервисами.
• Гибкость настройки модулей: Возможность адаптации к меняющимся бизнес-требованиям и регуляторной среде.
• Масштабируемость: Способность системы обрабатывать растущие объёмы данных и увеличивающееся количество пользователей.
• Обеспечение поддержки работы филиалов и отделений банка: Единая точка управления и контроля для всей сети.

Актуальные угрозы ИБ в банковском секторе и их классификация

Киберугрозы постоянно эволюционируют, и для банковского сектора это особенно актуально. По данным ФинЦЕРТ, в 2024 году сохраняется несколько ключевых векторов атак:

• DDoS-атаки: Целенаправленные атаки, призванные вывести из строя веб-сайты, онлайн-сервисы или сетевую инфраструктуру банка путём перегрузки запросами. Последствия: недоступность онлайн-банкинга, невозможность проведения транзакций, репутационные потери.
• Атаки с использованием вирусов и вредоносного ПО (Malware): Включают трояны, шифровальщики (ransomware), шпионское ПО. Цель — кража данных, блокировка систем, получение контроля над инфраструктурой. Последствия: финансовые потери, утечка данных, нарушение целостности систем.
• Кражи логинов и паролей: Часто являются результатом фишинга или использования скомпрометированных учётных данных. Злоумышленники получают доступ к аккаунтам клиентов или сотрудников.
• Фишинг (Phishing): Составляет значительную долю (8,63%) от всех компьютерных атак. Использует социальную инженерию, поддельные письма от Центрального банка, сайты-клоны и звонки от «службы безопасности» для получения конфиденциальных данных.
• Эксплуатация уязвимостей инфраструктуры (Exploits): Составляет 5,71% атак. Злоумышленники используют бреши в защите корпоративного программного обеспечения (например, уязвимости в почтовых клиентах, ОС, СУБД) для получения несанкционированного доступа.
• Инсайдерские угрозы: Исходят от сотрудников банка и включают несанкционированную выгрузку клиентских данных, неконтролируемое использование USB-флешек, отправку отчётов в личные мессенджеры.
• APT (Advanced Persistent Threats): Целенаправленные, долгосрочные атаки, которые готовятся месяцами или годами, часто с использованием нескольких векторов и нацелены на кражу ценной информации или подрыв инфраструктуры.
• Мошенничество и хищение персональных данных: Постоянно актуальные угрозы, которые могут быть результатом как прямых кибератак, так и социальной инженерии.

Общие виды угроз ИБ могут быть классифицированы по нескольким признакам:

1. По объекту воздействия:
   • Нарушение конфиденциальности: Несанкционированный доступ к информации.
   • Нарушение целостности: Несанкционированное изменение или уничтожение информации.
   • Нарушение доступности: Блокировка доступа к информации или ресурсам.
2. По источнику:
   • Антропогенные: Связаны с деятельностью человека (преднамеренные: злоумышленники, инсайдеры; непреднамеренные: ошибки персонала).
   • Техногенные: Вызваны сбоями оборудования, программного обеспечения, инфраструктуры (например, отказ серверов).
   • Стихийные: Природные катастрофы (пожары, наводнения, землетрясения).
   • Внешние: Источник находится за пределами защищаемого периметра.
   • Внутренние: Источник находится внутри защищаемого периметра.
3. По характеру возникновения:
   • Преднамеренные: Целенаправленные действия злоумышленников.
   • Непреднамеренные: Случайные ошибки, сбои.

Последствия реализованных угроз для банка могут быть катастрофическими:

• Сбои во внутренних системах, частичная или полная потеря данных.
• Приостановка рабочих процессов, что влечёт финансовые потери и упущенную выгоду.
• Использование слитой информации для шантажа, конкурентной разведки или других преступных целей.
• Серьёзные штрафы за утечку данных в соответствии с регуляторными требованиями.
• Утрата доверия клиентов и значительный репутационный ущерб.

Угрозы на различных уровнях АБС (СУБД, ОС, сеть)

Рассмотрим специфику угроз, детализируя их по основным технологическим уровням, на которых функционирует АБС.

1. Уровень СУБД (Система управления базами данных):
СУБД является хранилищем всех критически важных данных банка – от клиентских транзакций до внутренних финансовых отчётов. Её безопасность имеет первостепенное значение.

• SQL-инъекции: Одна из наиболее распространённых атак, при которой злоумышленник вводит вредоносный SQL-код через входные поля веб-приложения для манипулирования базой данных, получения несанкционированного доступа к данным, их изменению или удалению.
• Брутфорс-атаки на учётные записи СУБД: Попытки угадывания логинов и паролей администраторов или пользователей СУБД.
• Эксплуатация уязвимостей в самой СУБД: Ошибки в коде или конфигурации СУБД (например, Oracle, Microsoft SQL Server, PostgreSQL) могут быть использованы для повышения привилегий, обхода аутентификации или выполнения произвольного кода.
• Несанкционированный доступ к данным через скомпрометированные приложения: Если приложение, взаимодействующее с СУБД, скомпрометировано, злоумышленник может получить доступ к базе данных с правами этого приложения.
• Отказ в обслуживании СУБД: Перегрузка базы данных запросами или некорректными операциями, приводящая к её недоступности.
• Инсайдерские угрозы: Сотрудники с привилегированным доступом к СУБД могут копировать, изменять или удалять данные.

2. Уровень ОС (Операционные системы):
ОС, на которых работают серверы АБС и рабочие станции сотрудников, являются фундаментом для всех приложений и сервисов.

• Эксплуатация уязвимостей ОС: Ошибки в коде ядра, системных сервисов или драйверов (например, Windows, Linux) могут быть использованы для получения контроля над системой, повышения привилегий или установки вредоносного ПО.
• Установка вредоносного ПО: Вирусы, трояны, руткиты, шифровальщики, шпионское ПО могут быть внедрены через различные каналы (фишинг, загрузка из интернета, USB-накопители).
• Неправильная конфигурация ОС: Оставленные открытые порты, слабые пароли, отсутствие патчей безопасности, некорректные права доступа к файлам и папкам.
• DoS-атаки на серверы: Перегрузка операционной системы, приводящая к её зависанию или отказу.
• Инсайдерские угрозы: Несанкционированная установка ПО, изменение конфигурации, отключение средств защиты, копирование данных.
• Атаки с использованием привилегированного доступа: Получение доступа к учётным записям администраторов или использование уязвимостей для повышения прав.

3. Уровень сети:
Сетевая инфраструктура обеспечивает взаимодействие всех компонентов АБС, а также связь с внешними сетями.

• DDoS-атаки: Перегрузка сетевых каналов, маршрутизаторов, межсетевых экранов, что приводит к недоступности банковских сервисов.
• Перехват данных (Sniffing): В случае незащищённых каналов связи злоумышленник может перехватывать конфиденциальную информацию (логины, пароли, данные транзакций).
• Атаки типа «человек посередине» (MitM): Злоумышленник перехватывает и изменяет трафик между двумя сторонами, выдавая себя за каждую из них.
• Сканирование портов и уязвимостей: Поиск открытых портов и известных уязвимостей в сетевом оборудовании и серверах для последующей эксплуатации.
• Атаки на беспроводные сети: Компрометация Wi-Fi точек доступа, перехват трафика, несанкционированный доступ к корпоративной сети.
• Неправильная сегментация сети: Отсутствие должной изоляции между различными сегментами сети позволяет злоумышленнику, получив доступ к одному сегменту, распространиться по всей инфраструктуре.
• Подмена DNS-серверов: Перенаправление пользователей на фишинговые сайты.
• Атаки на VPN-туннели: Компрометация VPN-серверов или учётных записей для получения доступа к внутренней сети.

Таким образом, комплексная защита АБС требует многоуровневого подхода, учитывающего специфику угроз на каждом из этих технологических уровней. Семантическое моделирование, в свою очередь, позволяет формализовать эти сложные взаимосвязи между уровнями, угрозами и объектами защиты, что значительно повышает эффективность анализа и разработки контрмер.

Модель нарушителя и оценка ущерба от реализации угроз

Для эффективного обеспечения информационной безопасности коммерческого банка недостаточно просто перечислить угрозы. Необходимо понимать, кто может быть источником этих угроз, с какой целью он действует, какими средствами располагает, и какие последствия это может повлечь. Именно для этого разрабатываются модель нарушителя и методики оценки ущерба.

Разработка модели нарушителя информационной безопасности

Модель нарушителя информационной безопасности (ИБ) — это не абстрактное понятие, а конкретный, структурированный набор предположений об одном или нескольких потенциальных нарушителях ИБ. Эта модель включает в себя детальное описание следующих аспектов:

• Квалификация: Уровень знаний и навыков нарушителя в области информационных технологий и методов взлома. Может варьироваться от низкоквалифицированного пользователя до высококлассного специалиста, обладающего глубокими знаниями в программировании, сетевых технологиях и криптографии.
• Технические и материальные средства: Доступное нарушителю оборудование, программное обеспечение, финансовые ресурсы. Это может быть как обычный домашний компьютер, так и специализированные хакерские инструменты, мощные вычислительные кластеры, дорогостоящие эксплойты или ботнеты.
• Цели: Что именно нарушитель хочет достичь? Это может быть кража денег, хищение конфиденциальных данных, нарушение работы систем, дефейс веб-сайта, шпионаж или саботаж.
• Мотивация действий: Почему нарушитель действует? Это может быть корыстный интерес (финансовая выгода), самоутверждение, месть, идеологические убеждения (хактивизм), терроризм, конкурентная разведка или даже случайные, немотивированные действия (например, вандализм).
• Способы реализации угроз: Методы и техники, которые нарушитель будет использовать для достижения своих целей (например, фишинг, брутфорс, эксплуатация уязвимостей, социальная инженерия).

Цель разработки модели нарушителя — построение адекватной, соразмерной системы обеспечения ИБ. Без понимания противника невозможно построить эффективную защиту. Модель нарушителя помогает определить необходимые уровни защиты, расставить приоритеты в инвестициях в безопасность и разработать реалистичные сценарии реагирования на инциденты.

Классификация нарушителей ИБ может быть многомерной:

1. По отношению к системе (расположению источника угрозы):
   • Внутренние нарушители: Сотрудники банка, бывшие сотрудники, партнёры, подрядчики, имеющие или имевшие физический или логический доступ к ресурсам. Они часто обладают знанием внутренней структуры, процедур и уязвимостей.
   • Внешние нарушители: Лица или группы, не имеющие отношения к организации (киберпреступники, хакеры, конкуренты, государственные субъекты).
2. По правам доступа:
   • Авторизованные нарушители: Имеют легитимные права доступа к определённым ресурсам, но используют их для несанкционированных действий (инсайдеры).
   • Неавторизованные нарушители: Не имеют никаких прав доступа и пытаются их получить.
3. По мотивации (уже частично рассмотрено выше):
   • Немотивированные действия (любопытство, случайность).
   • Самоутверждение (показать свои навыки).
   • Корыстный интерес (финансовая выгода, кража данных для продажи).
   • Терроризм, политические мотивы.
   • Конкурентная борьба.
4. По возможностям физического доступа:
   • Без доступа в контролируемую зону: Действуют удалённо через сеть.
   • С доступом в контролируемую зону: Могут физически получить доступ к оборудованию, носителям информации.

Создание детализированной модели нарушителя для АБС требует анализа потенциальных противников на всех уровнях: от сотрудников операционного зала до внешних высокоорганизованных кибергрупп, нацеленных на финансовый сектор.

Методы оценки ущерба от реализации угроз

Ущерб от реализации угрозы — это не просто абстрактные потери, а конкретные негативные последствия, которые наступают в результате нарушения конфиденциальности, целостности или доступности информации. Понимание природы ущерба позволяет обоснованно инвестировать в защиту и адекватно реагировать на инциденты.

Различают два основных вида ущерба:

1. Прямой ущерб (U_п): Непосредственное влияние опасности на ресурс. Это измеримые потери, которые можно выразить в денежном эквиваленте. Примеры:
   • Затраты на восстановление скомпрометированных систем и данных.
   • Стоимость утраченных активов (например, украденных средств).
   • Затраты на расследование инцидента.
   • Штрафы, налагаемые регуляторами за нарушение безопасности.
2. Косвенный ущерб (U_к): Более сложные для измерения, но часто более значимые последствия. Примеры:
   • Потеря имиджа и репутации: Банк, переживший крупную утечку данных, может потерять доверие клиентов и партнёров.
   • Упущенная выгода: Из-за сбоев в работе систем банк не может проводить операции, что приводит к потере прибыли.
   • Открытие коммерческой тайны: Утечка конфиденциальной информации о бизнес-стратегиях, клиентах или технологиях.
   • Результаты «чёрного PR»: Негативные публикации в СМИ, социальные сети, направленные на подрыв репутации.
   • Моральный ущерб: В случае утечки персональных данных.

По степени опосредованности ущерб можно также классифицировать как:

• Информационный: Непосредственно самой информации (потеря, изменение).
• Опосредованный: Финансовый, материальный, экологический, экономический, репутационный, моральный, ущерб здоровью людей.

Оценка ущерба может осуществляться на основе определения объёма (относительного объёма) информации, подвергшейся воздействию, а также с использованием различных методик.

Для расчёта общего ущерба от реализации угрозы часто используется следующая формула:

U = Uп + Uк

Где:

• U — общий ущерб от реализации угрозы.
• U_п — прямой ущерб.
• U_к — косвенный ущерб.

Детализация расчёта прямого ущерба (U_п):
Прямой ущерб может быть определён через трудозатраты на восстановление ресурса при реализации угрозы. Например, если произошёл сбой системы, требующий восстановления данных и конфигурации, прямой ущерб будет включать стоимость работы специалистов, потерянное время и другие издержки.

Uп = Σ (si ⋅ ti)

Где:

• s_i — стоимость затрат на выполнение i-й работы по восстановлению ресурса (например, стоимость часа работы специалиста по ИБ, системного администратора).
• t_i — длительность этой работы в часах, днях или других единицах.
• Σ — сумма по всем необходимым работам по восстановлению.

Детализация расчёта косвенного ущерба (U_к):
Косвенный ущерб, в силу своей нематериальной природы, как правило, определяется методом экспертных оценок. Это означает, что группа экспертов (специалисты по ИБ, юристы, маркетологи, топ-менеджеры) оценивает потенциальные последствия угрозы для репутации, бизнеса, правовых аспектов и т.д. Оценка может производиться по шкалам (например, от 1 до 5) с последующей конвертацией в денежный эквивалент или использованием других качественных и полуколичественных методов.

• Потеря имиджа (репутации): Оценивается влияние инцидента на восприятие банка клиентами и партнёрами.
• Потери, связанные с открытием коммерческой тайны: Оценивается стоимость утраченной интеллектуальной собственности или конкурентных преимуществ.
• Результаты акций «чёрного PR»: Оценивается ущерб от целенаправленной дискредитации.

Пример: Если в результате атаки были скомпрометированы данные 100 000 клиентов, прямой ущерб может включать затраты на уведомление клиентов, работу юристов, а косвенный — потенциальные потери клиентов в течение года и снижение инвестиционной привлекательности, оценённые экспертами в определённую сумму.

Интеграция модели нарушителя и оценки ущерба с семантической моделью угроз позволяет не только идентифицировать потенциальные опасности, но и количественно или качественно оценить их воздействие, что является основой для принятия стратегических решений в области информационной безопасности.

Нормативно-правовое регулирование информационной безопасности в кредитных организациях РФ

Обеспечение информационной безопасности в банковской сфере Российской Федерации не является вопросом исключительно внутренних стандартов или технических решений. Оно жёстко регламентируется обширной нормативно-правовой базой, которая устанавливает обязательные требования к защите информации, обработке персональных данных и управлению рисками. Понимание этих документов критически важно для разработки адекватных моделей угроз и систем защиты.

Обзор федерального законодательства и приказов ФСТЭК России

Основу регулирования ИБ в Российской Федерации составляют следующие ключевые федеральные законы и подзаконные акты ФСТЭК России:

1. Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»:
   Этот закон является краеугольным камнем в области защиты персональных данных (ПДн) и напрямую касается всех банков, обрабатывающих информацию о своих клиентах. Он устанавливает принципы и условия обработки ПДн, права субъектов ПДн, обязанности операторов (банков) по их защите. Для банков этот закон означает необходимость внедрения строгих организационных и технических мер, обеспечивающих конфиденциальность, целостность и доступность ПДн, а также предотвращение несанкционированного доступа к ним. Несоблюдение требований 152-ФЗ влечет за собой серьёзные штрафы и репутационные риски.
2. Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»:
   Данный закон устанавливает общие правовые основы регулирования отношений в сфере информации, информационных технологий и защиты информации. Он определяет понятие информации, информационных технологий, информационных систем, а также устанавливает права и обязанности участников информационных отношений. Для банковской сферы ФЗ №149-ФЗ является рамочным документом, который дополняется более специфическими актами.
3. Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»:
   Этот приказ детализирует требования к организационным и техническим мерам, которые операторы (в том числе банки) обязаны применять для защиты ПДн в своих информационных системах (ИСПДн). Он классифицирует ИСПДн по уровням защищённости и определяет конкретные меры для каждого уровня, такие как идентификация и аутентификация, управление доступом, регистрация событий безопасности, антивирусная защита, обнаружение вторжений, обеспечение целостности, резервное копирование и другие. Приказ №21 является обязательным для исполнения и служит практическим руководством при построении системы защиты ПДн в банке.
4. Методика оценки угроз безопасности информации ФСТЭК России (утверждена 05.02.2021):
   Этот методический документ является одним из самых важных для разработки моделей угроз. Он определяет порядок и содержание работ по определению угро�� безопасности информации и разработке моделей угроз для различных информационных систем, включая государственные и муниципальные ИС, ИСПДн, значимые объекты критической информационной инфраструктуры (КИИ). Хотя банки не всегда напрямую подпадают под КИИ, эта Методика является эталонной для формирования моделей угроз.

Методика ФСТЭК России ориентирована преимущественно на оценку антропогенных угроз и предусматривает следующие этапы оценки угроз:

• Определение негативных последствий от реализации угроз: Анализ потенциального ущерба для субъектов ПДн, государства, организации.
• Определение объектов воздействия угроз: Идентификация конкретных информационных систем, информационных ресурсов, программно-аппаратных компонентов, на которые могут быть направлены угрозы.
• Определение источников угроз и оценка возможностей нарушителей: Создание модели нарушителя, включающей его квалификацию, технические средства, цели и мотивацию (как уже рассмотрено выше).
• Оценка способов реализации угроз: Анализ методов и техник, которые могут быть использованы нарушителем для воздействия на объекты.
• Определение актуальных угроз: Выявление тех угроз, которые с наибольшей вероятностью могут быть реализованы и привести к негативным последствиям, с учётом существующей системы защиты.

Эта Методика ФСТЭК России является основой для формализации процесса моделирования угроз, что делает её идеальной для интеграции с семантическим подходом.

Требования Банка России к обеспечению ИБ

Центральный банк Российской Федерации, как главный регулятор финансовой системы, устанавливает свои, специфические требования к обеспечению информационной безопасности кредитных организаций. Эти положения детализируют общие федеральные законы и адаптируют их к уникальным рискам банковской деятельности.

Ключевые Положения Банка России включают, но не ограничиваются:

• Положение Банка России от 17 апреля 2019 г. №683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации» (сменило 382-П): Устанавливает общие требования к системам защиты информации, включая организационные меры, технические средства, управление инцидентами ИБ, обучение персонала.
• Положение Банка России от 12 февраля 2018 г. №615-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств»: Фокусируется на мерах защиты при проведении платёжных операций.
• Положение Банка России от 17 апреля 2019 г. №684-П «О требованиях к организации и обеспечению безопасности функционирования платежной системы Банка России»: Регулирует безопасность критически важной платежной инфраструктуры.
• Положение Банка России от 20 апреля 2021 г. №757-П «О порядке определения угроз безопасности информации, актуальных для платежной системы Банка России»: Это положение в значительной степени коррелирует с Методикой ФСТЭК России, но имеет специфику, ориентированную на платёжные системы.
• Положение Банка России от 08.04.2020 №719-П «О требованиях к обеспечению защиты информации в банковской системе Российской Федерации»: Заменяет ряд ранее действовавших положений и устанавливает всеобъемлющие требования по ИБ для широкого круга финансовых организаций.
• Положение Банка России от 11.11.2020 №730-П «О требованиях к обеспечению защиты информации при взаимодействии с государственными информационными системами»: Регулирует безопасность при обмене данными с государственными системами.
• Указание Банка России от 01.12.2021 №6006-У «О требованиях к защите информации в отношении финансовых организаций»: Устанавливает обязательные для исполнения требования по защите информации, обеспечивающие устойчивость деятельности финансовых организаций.

Эти нормативно-правовые акты формируют сложную, но всеобъемлющую систему требований, которую каждый коммерческий банк обязан соблюдать. Разработка семантической модели угроз должна не только учитывать эти требования, но и быть способной наглядно продемонстрировать, как внедряемые меры безопасности соответствуют регуляторным предписаниям и обеспечивают необходимый уровень защиты в соответствии с Методикой ФСТЭК России и Положениями Банка России. Таким образом, семантическое моделирование становится не просто аналитическим инструментом, но и средством подтверждения регуляторного соответствия.

Сравнительный анализ методологий оценки рисков информационной безопасности и их соотношение с семантическим моделированием

Эффективное управление информационной безопасностью в банке невозможно без систематической оценки рисков. Существует множество методологий, каждая из которых имеет свои особенности, преимущества и недостатки. Их сравнительный анализ позволяет выявить наиболее подходящие подходы для банковской сферы и определить, как семантическое моделирование может усилить их эффективность.

Методология CRAMM: особенности и применимость в банковской сфере

CRAMM (CCTA Risk Analysis & Management Method) — одна из старейших и наиболее известных методологий оценки рисков ИБ, разработанная Службой безопасности Великобритании в середине 1980-х годов. Это комплексный подход, сочетающий элементы количественного и качественного анализа.

Основные этапы CRAMM:

1. Формализованное описание ИС: Детальное описание архитектуры, компонентов и функционала информационной системы.
2. Идентификация и оценка ценности ресурсов: Определение всех информационных активов и их значимости для бизнеса (оценивается по критериям конфиденциальности, целостности, доступности).
3. Оценка рисков: Анализ вероятности угроз (используется база данных угроз) и наличия уязвимостей в системе.
4. Поиск адекватных контрмер: На основе оценки рисков методология предлагает набор рекомендаций по внедрению мер безопасности.

Достоинства CRAMM:

• Хорошо апробированный метод: Многолетний опыт использования подтверждает его надёжность.
• Удачная система моделирования ИТ: Позволяет достаточно полно описывать информационные системы.
• Обширная база данных: Содержит более 3000 контрмер, 400 типов ресурсов, более 25 видов ущерба и 38 типов угроз, что значительно упрощает процесс оценки.
• Возможность использования как средства аудита: Подходит для оценки безопасности уже существующих систем.
• Экономическое обоснование расходов на ИБ: Помогает рассчитать ROI (возврат инвестиций) для предлагаемых мер защиты.

Недостатки CRAMM:

• Высокая трудоёмкость: Требует большого объёма данных и временных затрат на сбор информации и анализ.
• Большой объём отчётов: Генерирует массивные отчёты, которые могут быть сложны для интерпретации.
• Требование высокой квалификации аудитора: Успех применения CRAMM сильно зависит от опыта и знаний специалиста.
• Лучшая применимость для аудита существующих ИС: Менее эффективна на стадии проектирования.
• Проблемы с отображением кириллицы: В некоторых версиях ПО возникают сложности с локализацией.
• Ограниченность в дополнении базы знаний: Добавление новых угроз или контрмер может быть затруднено.
• Высокая стоимость лицензии: Является барьером для малых и средних организаций.
• Ориентация только на снижение рисков: Не предусматривает комплексного управления, мониторинга эффективности или реагирования на инциденты.

Применимость в банковской сфере: CRAMM может быть полезна для крупных банков с устоявшейся ИТ-инфраструктурой, но её трудоёмкость и стоимость могут быть существенным препятствием, особенно при необходимости оперативной актуализации модели угроз.

Методология RiskWatch: количественный подход к оценке рисков

RiskWatch — методология, разработанная при участии NIST, Министерства обороны США и Канады в 1988 году, ставшая стандартом для американских государственных организаций. Её ключевая особенность — ориентация на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Основным показателем является ожидаемые годовые потери (ALE — Annualized Loss Expectancy) и возврат инвестиций (ROI — Return on Investment).

Фазы RiskWatch:

1. Определение предмета исследования: Чёткое определение границ системы и целей анализа.
2. Ввод данных: Сбор информации о характеристиках системы, описание ресурсов, потенциальных потерях, классах инцидентов.
3. Расчёт величины рисков: Автоматизированный расчёт рисков на основе введённых данных, с использованием формул ALE.
4. Формирование отчётов: Генерация детализированных отчётов.

Достоинства RiskWatch:

• Глубоко проработанная методология: Основана на обширных исследованиях и стандартах.
• Сочетание количественной и качественной оценки рисков: Позволяет получить как числовые показатели, так и экспертные оценки.
• Обширная база знаний: Включает данные по угрозам, уязвимостям и контрмерам.
• Возможности редактирования базы знаний и настройки отчётов: Обеспечивает гибкость в адаптации к специфике организации.
• Интуитивно понятный интерфейс и большая гибкость: Относительно небольшая трудоёмкость по сравнению с CRAMM.
• Совместный анализ рисков ИБ и физической безопасности: Учитывает комплексный характер угроз.

Недостатки RiskWatch:

• Преимущественный анализ рисков на программно-техническом уровне: Меньшее внимание уделяется административным и организационным факторам.
• Высокая стоимость: Аналогично CRAMM, лицензирование RiskWatch может быть дорогостоящим.

Применимость в банковской сфере: RiskWatch подходит для банков, которые стремятся к максимальной количественной оценке рисков и обоснованию инвестиций в ИБ с точки зрения ROI. Однако ограниченный фокус на организационных аспектах может потребовать дополнения другими подходами.

Методология ГРИФ: российский опыт оценки рисков

ГРИФ (Digital Security Office) — российская методика, разработанная компанией Digital Security, ориентированная на предоставление ИТ-менеджерам возможности самостоятельно оценивать уровень рисков в ИС и эффективность существующей практики ИБ. Она также использует количественные и качественные способы оценки рисков, включая расчёт возврата инвестиций (ROI) на внедрение мер безопасности.

Этапы ГРИФ:

1. Определение списка ценных информационных ресурсов: Идентификация критически важных для банка активов.
2. Ввод информации и её размещение: Описание информации, её хранение, указание потенциального ущерба при компрометации.
3. Определение пользовательских групп и их прав доступа: Создание модели доступа.
4. Определение средств защиты информации и затрат на ИБ: Оценка существующих мер и планирование новых.

Достоинства ГРИФ:

• Простой и интуитивно понятный интерфейс: Облегчает процесс использования.
• Сложный алгоритм анализа рисков: Учитывает более 100 параметров, обеспечивая высокую точность оценки.
• Предлагает все способы снижения рисков: Обход, снижение, принятие рисков.
• Сопоставимость по функциональности с зарубежными аналогами при более низкой стоимости лицензии: Конкурентное преимущество для российского рынка.

Недостатки ГРИФ:

• Отсутствие возможности добавления специфичных для организации требований политики безопасности: Ограничивает гибкость в адаптации.
• Отсутствие привязки к бизнес-процессам: Запланировано в будущих версиях, но пока является минусом, так как усложняет оценку влияния ИБ на бизнес-операции.
• Отсутствие возможности сравнения отчётов на разных этапах: Усложняет мониторинг динамики рисков.

Применимость в банковской сфере: ГРИФ является привлекательным решением для российских банков благодаря своей локализации, доступности и высокой точности анализа. Её недостаток в привязке к бизнес-процессам может быть компенсирован интеграцией с другими управленческими моделями.

Стандарт ISO/IEC 27005: процессный подход к управлению рисками

ISO/IEC 27005 — международный стандарт, который описывает процесс менеджмента риска информационной безопасности (ИБ) и связанные с ним виды деятельности. Он применим ко всем типам организаций и предназначен для содействия реализации ИБ на основе подхода к управлению рисками. Важно отметить, что ISO 27005 не является предписывающим стандартом, то есть он не диктует конкретные методы оценки рисков. Вместо этого он позволяет организациям выбирать методы оценки рисков (например, OCTAVE, NIST SP 800-30 или собственные методики), если они соответствуют целям стандарта.

Процесс управления рисками по ISO 27005 соответствует подходу PDCA (Plan — Do — Check — Act) и включает:

1. Определение контекста: Установление внешнего и внутреннего контекста организации, критериев оценки рисков.
2. Оценка рисков (Risk Assessment): Идентификация рисков, их анализ (определение вероятности и воздействия) и оценка.
3. Разработка плана обработки рисков (Risk Treatment Plan): Выбор и планирование контрмер для снижения, избегания, принятия или передачи рисков.
4. Принятие рисков (Risk Acceptance): Принятие руководством решения о допустимом уровне остаточных рисков.
5. Внедрение плана: Реализация выбранных контрмер.
6. Непрерывный мониторинг и пересмотр: Регулярный контроль эффективности мер и актуальности рисков.
7. Поддержка и улучшение процесса: Постоянное совершенствование системы управления рисками.

Применимость в банковской сфере: ISO 27005 предоставляет гибкий и всеобъемлющий каркас для построения системы управления ИБ. Он идеально подходит для банков, стремящихся к международному признанию своих систем безопасности и интегрированному управлению рисками в масштабах всей организации.

Соотношение семантического моделирования с существующими методологиями

Семантическое моделирование угроз не заменяет вышеперечисленные методологии, а дополняет и усиливает их, предоставляя более формализованное, детализированное и структурированное представление угроз и их взаимосвязей.

• Для CRAMM, RiskWatch, ГРИФ: Семантическая модель может служить основой для унификации терминологии и структурирования входных данных. Например, база данных угроз CRAMM или RiskWatch может быть представлена в виде семантической сети, где каждый тип угрозы, уязвимость, ресурс и контрмера являются понятиями, а их взаимосвязи — отношениями. Это позволит более точно и наглядно анализировать зависимости, а также упростит актуализацию базы знаний. Семантические связи помогут более эффективно идентифицировать скрытые цепочки атак, которые могут быть неочевидны при использовании традиционных табличных представлений.
• Для ISO/IEC 27005: Семантическое моделирование идеально вписывается в этапы идентификации, анализа и оценки рисков. Оно может помочь формализовать критерии оценки рисков, чётко определить контекст, а также предоставить графическое представление сложных сценариев рисков. Например, план обработки рисков может быть представлен в виде семантической модели, где каждый риск связан с соответствующими контрмерами, ответственными лицами и ожидаемыми результатами. Это улучшит прозрачность и управляемость процесса.

Преимущества такой синергии:

1. Повышенная точность и глубина анализа: Семантика позволяет выявлять неочевидные связи между компонентами, уязвимостями и угрозами.
2. Унификация и формализация знаний: Создание единого, непротиворечивого языка для описания угроз и рисков.
3. Улучшенное понимание: Графическое представление семантической модели делает сложные концепции более доступными для всех стейкхолдеров.
4. Облегчение автоматизации: Формализованная семантическая модель является идеальной основой для разработки инструментов автоматизированного анализа рисков и систем поддержки принятия решений.
5. Гибкость и адаптивность: Семантические модели легче модифицировать и актуализировать в ответ на меняющийся ландшафт угроз.

Таким образом, интеграция семантического моделирования с существующими методологиями оценки рисков позволяет не только закрыть их «слепые зоны», но и создать более мощную, гибкую и адаптивную систему управления информационной безопасностью, что особен��о важно для динамичной и высокорисковой банковской сферы.

Методология разработки и практическая реализация семантической модели угроз для АБС

Разработка семантической модели угроз для автоматизированной банковской системы (АБС) — это сложный, но крайне необходимый процесс, который позволяет перевести абстрактные понятия угроз в структурированную, анализируемую форму. Этот подход не только улучшает понимание ландшафта киберугроз, но и обеспечивает базу для принятия обоснованных решений по защите.

Принципы и этапы построения семантической модели угроз

Построение семантической модели угроз опирается на принципы представления знаний в виде иерархической сети, где каждый элемент имеет чётко определённый смысл и связи с другими элементами.

Принципы построения:

1. Иерархичность: Угрозы, объекты защиты, нарушители и контрмеры должны быть организованы в иерархические структуры (например, «Типы угроз» → «Конкретные угрозы» → «Подвиды атак»).
2. Семантическая связность: Каждое отношение между понятиями должно иметь чётко определённый смысл (например, «Угроза X использует Уязвимость Y», «Нарушитель Z имеет мотив M»).
3. Формализация: Все понятия и отношения должны быть представлены в формализованном виде, пригодном для машинной обработки и анализа.
4. Полнота и непротиворечивость: Модель должна максимально полно описывать предметную область и не содержать логических противоречий.
5. Адаптивность: Модель должна быть легко адаптируемой к изменениям в ландшафте угроз и архитектуре АБС.

Этапы разработки семантической модели угроз для АБС:

1. Идентификация угроз и объектов защиты:
   • Определение границ системы: Чёткое определение, какие компоненты АБС (Front-office, Back-office, Accounting, СУБД, ОС, сетевая инфраструктура) будут включены в модель.
   • Идентификация информационных активов: Перечень всех критически важных данных, сервисов, программного и аппаратного обеспечения.
   • Идентификация угроз: На основе Методики ФСТЭК России (2021), Положений Банка России, отраслевых отчётов (ФинЦЕРТ) и экспертных знаний определяются все потенциальные угрозы для АБС. Учитываются как внешние, так и внутренние, преднамеренные и непреднамеренные угрозы.
   • Определение потенциальных нарушителей: Создание детализированной модели нарушителя, как было описано ранее, с учётом их мотивации, квалификации и возможностей.
2. Анализ угроз и их взаимосвязей:
   • Определение негативных последствий: Для каждой угрозы оцениваются потенциальные последствия (нарушение конфиденциальности, целостности, доступности) и виды ущерба (прямой, косвенный).
   • Установление связей «угроза-объект-последствие»: Формализация отношений, например, «DDoS-атака направлена на веб-сервер Front-office приводит к нарушению доступности и вызывает косвенный ущерб (репутационные потери)».
   • Идентификация уязвимостей: Выявление уязвимостей в компонентах АБС, которые могут быть использованы угрозами (например, «SQL-инъекция использует уязвимость в веб-приложении»).
   • Установление связей «нарушитель-угроза-способ»: Определение, какие типы нарушителей (например, «высококвалифицированный внешний злоумышленник») могут реализовать определённые угрозы (например, «APT-атака») с использованием конкретных способов (например, «эксплуатация уязвимостей нулевого дня»).
   • Определение контрмер: Идентификация существующих и необходимых мер защиты, а также их связей с угрозами и уязвимостями («Антивирусная защита противодействует вредоносному ПО»).
3. Представление угроз (моделирование):
   • Выбор формального языка и инструментария: Определение, в каком формате будет построена семантическая модель (например, онтологии, графовые СУБД).
   • Построение графа: Визуализация всех понятий и отношений в виде ориентированного графа. Каждое понятие (класс, экземпляр) становится вершиной, а каждое семантическое отношение — дугой.
   • Детализация атрибутов: Каждое понятие может иметь атрибуты (например, «Угроза» может иметь атрибуты «Вероятность реализации», «Степень воздействия»).

Формальные языки и инструментарий для семантического моделирования

Для разработки семантических моделей угроз могут быть использованы различные формальные языки и инструментарий:

• Языки онтологического моделирования:
  • OWL (Web Ontology Language): Язык для описания онтологий, основанный на дескрипционной логике. Позволяет формально описывать классы, свойства и отношения между ними. OWL является стандартом W3C и поддерживается множеством инструментов.
  • RDF (Resource Description Framework): Язык для описания метаданных, представляющий информацию в виде тройки «субъект-предикат-объект». Менее выразителен, чем OWL, но проще в использовании для базовых семантических связей.
• Графовые СУБД (Graph Databases):
  • Neo4j, ArangoDB, Amazon Neptune: Эти базы данных нативно хранят данные в виде графов (узлов и рёбер), что идеально подходит для представления семантических моделей. Они позволяют быстро выполнять сложные запросы по поиску путей, паттернов и взаимосвязей, что критически важно для анализа угроз.
• Онтологические редакторы:
  • Protégé: Бесплатный и широко используемый редактор онтологий, разработанный Стэнфордским университетом. Поддерживает OWL и RDF, предоставляет графический интерфейс для создания и редактирования онтологий, а также возможность интеграции с различными плагинами для логического вывода и визуализации.
• Языки запросов для графовых баз данных:
  • Cypher (для Neo4j), Gremlin (для Apache TinkerPop): Позволяют эффективно запрашивать и анализировать графовые данные, выявляя сложные цепочки событий и взаимосвязей в модели угроз.

Примеры графического представления семантической модели угроз для банковской ИС

Графическое представление семантической модели угроз играет ключевую роль в её понимании и анализе. Оно позволяет визуализировать сложные взаимосвязи и сценарии. Модель может быть представлена в виде ориентированного помеченного графа, где:

• Вершины (узлы): Обозначают понятия (классы или экземпляры), такие как «Угроза», «Уязвимость», «Актив (Front-office)», «Нарушитель», «Контрмера», «Последствие».
• Дуги (рёбра): Обозначают семантические отношения между понятиями (например, «использует», «направлена на», «приводит к», «противодействует», «имеет мотив»).

Пример фрагмента графической модели угроз:

graph TD
    subgraph Нарушители
        N[Высококвалифицированный внешний злоумышленник]
        I[Недобросовестный сотрудник]
    end

    subgraph Угрозы
        U1[DDoS-атака]
        U2[SQL-инъекция]
        U3[Фишинг]
        U4[Утечка данных инсайдером]
        U5[APT-атака]
    end

    subgraph Активы АБС
        A1[Веб-сервер Front-office]
        A2[База данных клиентов (Back-office)]
        A3[Сервер счетов (Accounting)]
        A4[Рабочая станция сотрудника]
    end

    subgraph Уязвимости
        V1[Уязвимость в веб-приложении]
        V2[Слабые пароли SQL-сервера]
        V3[Отсутствие обучения ИБ]
        V4[Уязвимость нулевого дня]
    end

    subgraph Последствия
        P1[Нарушение доступности]
        P2[Нарушение конфиденциальности]
        P3[Нарушение целостности]
        P4[Финансовые потери]
        P5[Репутационный ущерб]
    end

    subgraph Контрмеры
        C1[Система защиты от DDoS]
        C2[WAF (Web Application Firewall)]
        C3[Многофакторная аутентификация]
        C4[Обучение ИБ персонала]
        C5[SIEM-система]
        C6[Регулярное обновление ПО]
    end

    N -- имеет мотив --> Корыстный_интерес
    N -- реализует --> U1
    N -- реализует --> U2
    N -- реализует --> U3
    N -- реализует --> U5

    I -- имеет мотив --> Корыстный_интерес
    I -- реализует --> U4

    U1 -- направлена на --> A1
    U2 -- направлена на --> A2
    U3 -- направлена на --> A4
    U4 -- направлена на --> A2
    U5 -- направлена на --> A1
    U5 -- направлена на --> A2
    U5 -- направлена на --> A3

    U1 -- приводит к --> P1
    U2 -- приводит к --> P2
    U2 -- приводит к --> P3
    U3 -- приводит к --> P2
    U4 -- приводит к --> P2
    U5 -- приводит к --> P2
    U5 -- приводит к --> P3
    U5 -- приводит к --> P4

    A1 -- имеет --> V1
    A2 -- имеет --> V2
    A4 -- имеет --> V3

    U1 -- использует --> Сетевой_канал
    U2 -- использует --> V1
    U3 -- использует --> V3
    U4 -- использует --> Внутренний_доступ_к_A2
    U5 -- использует --> V4

    C1 -- противодействует --> U1
    C2 -- противодействует --> U2
    C3 -- противодействует --> U3
    C4 -- противодействует --> U3
    C5 -- обнаруживает --> U5
    C6 -- устраняет --> V1
    C6 -- устраняет --> V2

    P1 -- ведет к --> P4
    P2 -- ведет к --> P5
    P3 -- ведет к --> P4

Этот граф иллюстрирует состав и архитектуру систем, группы пользователей (нарушителей), сценарии реализации угроз и потенциальные последствия. Он позволяет визуально отслеживать пути атак и определять, какие меры защиты наиболее эффективны.

Практическая реализация и оценка ущерба с использованием семантической модели

Практическое применение семантической модели угроз для АБС раскрывается в её способности поддерживать анализ и принятие решений.

Сценарий 1: Оценка влияния новой уязвимости.
Предположим, обнаружена новая уязвимость (V_нов) в веб-сервере (A₁) Front-office.

1. Поиск по графу: Семантическая модель позволяет быстро найти все угрозы, которые могут использовать V_нов, и всех нарушителей, способных их реализовать.
2. Цепочки последствий: Можно проследить, к каким последствиям (P₁, P₂ и т.д.) приведёт реализация этих угроз и какие виды ущерба (P_у1, P_у2) они вызовут.
3. Оценка ущерба: Используя формулу U = U_п + U_к, где U_п и U_к могут быть связаны с определёнными последствиями, мы можем оценить общий потенциальный ущерб. Например, если V_нов позволяет SQL-инъекцию, то модель покажет, что это ведёт к нарушению конфиденциальности (P₂) базы данных клиентов (A₂) и финансовым потерям (P₄), что позволит провести расчёт U_п и U_к.
4. Анализ контрмер: Модель покажет, какие существующие контрмеры (C_x) могут противодействовать этой угрозе, или укажет на отсутствие необходимых мер.

Сценарий 2: Оптимизация бюджета на ИБ.
Если необходимо сократить бюджет на ИБ, семантическая модель помогает:

1. Идентифицировать избыточные контрмеры: Если несколько контрмер защищают от одной и той же угрозы, можно оценить их эффективность и, возможно, отказаться от наименее эффективных.
2. Оценить критичность активов: Путём анализа связей с высокоприоритетными угрозами и крупным ущербом можно выделить наиболее критичные активы и сосредоточить защиту на них.
3. Обосновать инвестиции: Демонстрация на графе, как конкретная контрмера (C_нов) предотвращает реализацию критической угрозы (U_крит) и тем самым снижает значительный ущерб (P_знач), обеспечивает чёткое обоснование затрат.

Семантическая модель угроз, таким образом, превращается из теоретического конструкта в мощный практический инструмент для визуализации, анализа и управления информационной безопасностью АБС, позволяя не только реагировать на инциденты, но и проактивно предотвращать их, опираясь на глубокое понимание всего ландшафта угроз.

Преимущества и вызовы внедрения семантических моделей угроз в банковской сфере

Внедрение семантических моделей угроз в такую критически важную и динамичную область, как информационная безопасность автоматизированных банковских систем, сопряжено как с ощутимыми преимуществами, так и с определёнными вызовами. Важно осознавать обе стороны медали для успешной имплементации этого подхода.

Оптимизация анализа угроз и принятия решений

Семантические модели угроз предлагают качественно новый уровень анализа и управления ИБ, открывая следующие возможности:

• Формализация и структурирование знаний об угрозах и их взаимосвязях: Традиционные подходы часто описывают угрозы разрозненно. Семантическая модель объединяет всю информацию в единую, логически связанную структуру. Это позволяет создать унифицированную базу знаний, где каждый элемент (угроза, уязвимость, актив, нарушитель, контрмера) имеет чётко определённые свойства и отношения. Такая формализация значительно упрощает работу с информацией и снижает двусмысленность.
• Обеспечение высокого уровня абстракции: Модель позволяет рассматривать угрозы как на детализированном уровне (конкретная уязвимость в версии ПО), так и на более высоком (категория угроз для Front-office), обеспечивая гибкость анализа и возможность масштабирования. Это позволяет руководству банка получить общую картину рисков, а специалистам по ИБ — углубиться в технические детали.
• Улучшение понимания и анализа сложных сценариев атак: Благодаря графовому представлению, семантические модели позволяют визуализировать сложные цепочки событий, которые могут привести к реализации угрозы. Можно проследить путь от нарушителя через уязвимость к целевому активу и потенциальному ущербу. Это критически важно для понимания многовекторных и целевых атак (APT), которые характерны для банковского сектора. Модель помогает выявить скрытые зависимости и потенциальные «слепые зоны» в существующей защите.
• Облегчение разработки адекватных систем защиты: Имея чёткую и полную картину угроз и их взаимосвязей, специалисты по ИБ могут разрабатывать более целенаправленные и эффективные меры защиты. Модель помогает определить, какие контрмеры наиболее критичны, где существуют избыточные или недостаточные меры, и как они взаимодействуют друг с другом. Это позволяет оптимизировать архитектуру безопасности и избежать неэффективных инвестиций.
• Поддержка принятия решений: Семантическая модель становится мощным инструментом поддержки принятия решений для руководства банка. Она предоставляет наглядные данные для оценки рисков, обоснования инвестиций в ИБ, выбора стратегий реагирования на инциденты и оценки соответствия регуляторным требованиям. Возможность быстрого моделирования «что если» сценариев (например, «что произойдёт, если будет скомпрометирован этот сервер?») значительно повышает оперативность и обоснованность управленческих решений.

Проблемы и перспективы развития

Несмотря на очевидные преимущества, внедрение семантических моделей угроз сопряжено с рядом серьёзных вызовов:

• Сложность разработки и актуализации модели в динамичной среде ИБ: Создание детализированной семантической модели требует значительных усилий по сбору, анализу и формализации информации. Ландшафт угроз постоянно меняется: появляются новые уязвимости, методы атак, технологии. Поддержание модели в актуальном состоянии — это непрерывный процесс, требующий регулярных пересмотров и обновлений, что может быть ресурсоёмким.
• Необходимость глубокой экспертизы в области ИБ и семантического моделирования: Для успешной разработки и эксплуатации модели требуются специалисты, обладающие не только глубокими знаниями в области информационной безопасности банковских систем, но и компетенциями в области семантического моделирования, онтологий и графовых баз данных. Найти таких специалистов, а тем более обучить их, может быть непросто.
• Потребность в специализированных инструментах для построения и анализа: Хотя существуют универсальные онтологические редакторы (Protégé) и графовые СУБД (Neo4j), для полноценной работы с семантическими моделями угроз в крупном банке может потребоваться разработка или адаптация специализированных инструментов. Эти инструменты должны обеспечивать удобный интерфейс для ввода данных, автоматическую валидацию, мощные механизмы запросов и визуализации, а также интеграцию с другими системами ИБ (SIEM, Vulnerability Management).
• Интеграция с существующей инфраструктурой ИБ: Внедрение семантической модели требует её интеграции с уже действующими системами безопасности и бизнес-процессами банка. Это может быть технически сложной задачей, требующей разработки API, коннекторов и преобразователей данных.

Перспективы развития:
Несмотря на вызовы, потенциал семантических моделей угроз огромен. Их развитие в банковской сфере может идти по следующим направлениям:

• Автоматизация построения и актуализации: Разработка интеллектуальных систем, способных автоматически извлекать информацию об угрозах из открытых источников, отчётов SIEM-систем, баз данных уязвимостей и обновлять семантическую модель.
• Применение машинного обучения и искусственного интеллекта: Использование ML-алгоритмов для анализа графовых структур, выявления аномалий, прогнозирования угроз и автоматического генерирования сценариев ��так.
• Интеграция с системами SOAR (Security Orchestration, Automation and Response): Семантические модели могут служить основой для автоматической оркестровки и реагирования на инциденты, предлагая наиболее оптимальные действия на основе выявленных связей и контекста.
• Создание отраслевых семантических онтологий угроз: Разработка стандартизированных онтологий для банковского сектора, что позволит обмениваться знаниями об угрозах и улучшить коллаборацию в области кибербезопасности.
• Использование в комплаенсе: Семантические модели могут автоматически проверять соответствие системы защиты требованиям регуляторов, таких как ФСТЭК России и Банк России, визуализируя пробелы и несоответствия.

Таким образом, хотя внедрение семантических моделей угроз в банковскую сферу представляет собой нетривиальную задачу, их потенциал для повышения эффективности информационной безопасности и принятия стратегических решений делает этот подход одним из ключевых направлений развития киберзащиты в будущем.

Заключение

В условиях непрерывной цифровизации и эскалации киберугроз, обеспечение информационной безопасности автоматизированных банковских систем (АБС) перестаёт быть просто технической задачей, трансформируясь в стратегический императив. Проведенное исследование подтверждает, что традиционные подходы к моделированию угроз, хотя и обладают своей эффективностью, часто страдают от недостаточной формализации и глубины анализа взаимосвязей между элементами сложной банковской ИТ-инфраструктуры.

Предложенная концепция семантической модели угроз демонстрирует потенциал для качественного улучшения системы защиты. Детализация архитектуры АБС на уровне Front-office, Back-office и Accounting, а также специфический анализ угроз для СУБД, ОС и сетевой инфраструктуры, позволили выявить критические точки приложения усилий. Мы показали, как разработка комплексной модели нарушителя и точная оценка прямого и косвенного ущерба являются неотъемлемыми компонентами эффективной стратегии ИБ.

Сравнительный анализ ведущих методологий оценки рисков – CRAMM, RiskWatch, ГРИФ и ISO/IEC 27005 – выявил, что ни одна из них в полной мере не охватывает всю сложность взаимосвязей угроз в банковском секторе. Именно здесь семантическое моделирование раскрывает свои уникальные преимущества, предлагая универсальный каркас для формализации знаний, визуализации сложных сценариев атак и интеграции различных источников данных. Оно позволяет не только систематизировать требования нормативно-правовой базы РФ (ФЗ-152, ФЗ-149, Приказы ФСТЭК, Положения Банка России), но и обеспечить их практическое применение в контексте конкретной АБС.

Практическая реализация семантической модели угроз, подкреплённая графическими примерами на основе ориентированных графов, продемонстрировала её применимость для оценки ущерба, оптимизации контрмер и поддержки принятия управленческих решений. Этот подход способствует не только проактивному выявлению рисков, но и более эффективному распределению ресурсов на защиту.

Несмотря на очевидные преимущества, внедрение семантических моделей угроз сопряжено с вызовами, такими как сложность разработки, необходимость глубокой экспертизы и потребность в специализированном инструментарии. Однако перспективы развития, включающие автоматизацию, интеграцию с ИИ и SOAR-системами, а также создание отраслевых онтологий, указывают на семантическое моделирование как на ключевое направление для будущих исследований и практического применения в сфере информационной безопасности банковского сектора.

Дальнейшие направления исследований могут быть сосредоточены на разработке автоматизированных средств для построения и актуализации семантических моделей, интеграции с реальными системами ИБ для получения данных в режиме реального времени, а также на создании стандартизированных онтологий для различных типов финансовых угроз, что позволит повысить уровень киберустойчивости всей банковской системы.

Список использованной литературы

1. Абрамова М. А., Александрова Л. С. Финансы, денежное обращение и кредит: Учеб. пособие. М.: Институт международного права и экономики, 2006.
2. Адаме Р. Основы аудита. М.: Аудит, ЮНИТИ, 2005.
3. Алексеев В.М. Анализ угроз и разработка политики безопасности информационной системы организации: Методические указания к курсовой работе по дисциплине «Информационная безопасность». Пенза, 2007. 30 с.
4. Трифонов С.Е., Трифонова Л.И. Методы и средства защиты информации. Пенза, 2006.
5. Безруков Н.Н. Вирусы и методы защиты от них. Москва, 2008.
6. Банковские операции. Москва: Инфра, 2007.
7. Банковское дело / под редакцией О.И. Лаврушкина. Москва: Финансы и статистика, 2008.
8. Банки и банковские операции: Учебник / под ред. Е. Ф. Жукова. М.: ЮНИТИ. Банки и биржи, 2007.
9. Банковские операции: Учеб. пособие. Части I-IV / под общ. ред. О. И. Лаврушина. М.: Инфра-М, 2009.
10. Банковское дело: Учебник / под ред. проф. О. А. Лаврушина. М.: Банковский и биржевой научно-консультативный центр, 2008.
11. Банковское дело: Учебник / под ред. проф. В. И. Колесникова, проф. Л. П. Кроливецкой. М.: Финансы и статистика, 2006.
12. Бекренев В.Л. Внутренний контроль банка и его информационно-аналитическая система // Бизнес и банки. 2008. №44.
13. Белов В. Когда кругом одни контролеры … // Бизнес и банки. 1997. №48.
14. Белов В. Сколько стоят «услуги» Банка России? // Бизнес и банки. 2006. №10.
15. Бурцев В.В. Организация системы внутреннего контроля коммерческой организации. М.: ЭКЗАМЕН, 2008.
16. Гражданский кодекс Российской Федерации. Части 1 и 2.
17. Голикова Ю.С., Хохленкова М.А. Банк России: организация деятельности. В 2-х кн. М.: ДеКА, 2009. Кн. 1.
18. Долан Э. Дж., Кэмпбелл К. Д., Кэмпбелт Р. Дж. Деньги, банковское дело и денежно-кредитная политика.
19. Хайкин С. Нейронные сети: полный курс. 2-е изд. М.: Издательский дом «Вильямс», 2006.
20. Рассел С., Норвиг П. Искусственный интеллект: современный подход. 2-е изд. М.: Издательский дом «Вильямс», 2006.
21. Смолин Д.В. Введение в искусственный интеллект: конспект лекций. М.: ФИЗМАТЛИТ, 2004.
22. Тей А. и др. Логический подход к искусственному интеллекту: от классической логики к логическому программированию. М.: Мир, 1990.
23. Методика оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021). Доступно по адресу: https://fstec.ru/normativnye-dokumenty/146-sistema-zashchity-informatsii/normativno-pravovoe-regulirovanie/329-metodicheskij-dokument-metodika-otsenki-ugroz-bezopasnosti-informatsii (дата обращения: 21.10.2025).
24. АБС или Автоматизированная банковская система. Диасофт. Доступно по адресу: https://www.diasoft.ru/company/glossary/abs (дата обращения: 21.10.2025).
25. Ущерб (U) в случае реализации угрозы, формула оценки ущерба. Audit-ib. Доступно по адресу: https://audit-ib.ru/info/ushcherb (дата обращения: 21.10.2025).
26. Угрозы информационной безопасности. RTM Group. Доступно по адресу: https://rtmtech.ru/library/threats (дата обращения: 21.10.2025).
27. Информационная безопасность: что это, для чего нужна, и каковы основные принципы обеспечения информационной безопасности. Рег.облако. Доступно по адресу: https://reg.ru/blog/chto-takoe-informacionnaya-bezopasnost/ (дата обращения: 21.10.2025).
28. АБС. ПрофБанкинг. Доступно по адресу: https://www.profbanking.com/wiki/abs/ (дата обращения: 21.10.2025).
29. Информационная безопасность: виды, угрозы, средства защиты данных. Selectel. Доступно по адресу: https://selectel.ru/blog/information-security-overview/ (дата обращения: 21.10.2025).
30. Угрозы информационной безопасности: что это такое, виды угроз, как от них защититься. Солар. Доступно по адресу: https://www.solar-security.ru/about/blog/ugrozy-informatsionnoy-bezopasnosti-kakimi-oni-byvayut-i-kak-ot-nikh-zashchititsya/ (дата обращения: 21.10.2025).
31. Что такое автоматизированная банковская система (АБС). R-Style Softlab. Доступно по адресу: https://www.softlab.ru/pressroom/articles/chto-takoe-avtomatizirovannaya-bankovskaya-sistema-abs/ (дата обращения: 21.10.2025).
32. Классификация угроз информационной безопасности. ЭЛВИС-ПЛЮС. Доступно по адресу: https://elvis-plus.ru/articles/klassifikaciya-ugroz-informacionnoj-bezopasnosti (дата обращения: 21.10.2025).
33. Информационная безопасность банков: угрозы, решения и стратегии защиты. Газпромбанк. Доступно по адресу: https://www.gazprombank.ru/press/articles/126938/ (дата обращения: 21.10.2025).
34. Приказ № 21. Лаборатория Касперского. Доступно по адресу: https://www.kaspersky.ru/blog/fstec-21/ (дата обращения: 21.10.2025).
35. Таблица 1 – Форма представления модели нарушителя информационной безопасности. Доступно по адресу: https://elib.sfu-kras.ru/bitstream/handle/2311/72221/ryaboshapko.pdf (дата обращения: 21.10.2025).
36. Угрозы информационной безопасности. Anti-Malware.ru. Доступно по адресу: https://www.anti-malware.ru/glossary/information-security-threats (дата обращения: 21.10.2025).
37. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Доступно по адресу: https://fstec.ru/normativnye-dokumenty/146-sistema-zashchity-informatsii/normativno-pravovoe-regulirovanie/324-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21-ob-utverzhdenii-sostava-i-soderzhaniya-organizatsionnykh-i-tekhnicheskikh-mer-po-obespecheniyu-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh (дата обращения: 21.10.2025).
38. Обеспечение информационной безопасности банковской системы. SearchInform. Доступно по адресу: https://searchinform.ru/blog/bezopasnost-bankovskoy-sistemy/ (дата обращения: 21.10.2025).
39. Семантическая модель. matematicus.ru. Доступно по адресу: https://matematicus.ru/spravochnic/semantich_model.htm (дата обращения: 21.10.2025).
40. Семантическая модель [ru]. termin.sinonim.org. Доступно по адресу: https://termin.sinonim.org/semanicheskaya_model-993.htm (дата обращения: 21.10.2025).
41. Современная архитектура автоматизированной банковской системы. Advapay. Доступно по адресу: https://advapay.com/ru/posts/modern-core-banking-system-architecture (дата обращения: 21.10.2025).
42. Модель нарушителя ИБ — это… Словарь информационной безопасности. Доступно по адресу: https://itsec-dictionary.ru/term/%D0%BC%D0%BE%D0%B4%D0%B5%D0%BB%D1%8C-%D0%BD%D0%B0%D1%80%D1%83%D1%88%D0%B8%D1%82%D0%B5%D0%BB%D1%8F-%D0%B8%D0%B1/ (дата обращения: 21.10.2025).
43. Автоматизированная банковская система, базовый принцип создания АБС это. banki.guru. Доступно по адресу: https://banki.guru/bankovskie-terminy/avtomatizirovannaya-bankovskaya-sistema (дата обращения: 21.10.2025).
44. «Методический документ. Методика оценки угроз безопасности информации» (утв. ФСТЭК России 05.02.2021). КонсультантПлюс. Доступно по адресу: https://www.consultant.ru/document/cons_doc_LAW_376483/ (дата обращения: 21.10.2025).
45. Нарушитель ИБ: кто это такой, классификация по категориям? Солар. Доступно по адресу: https://www.solar-security.ru/about/blog/narushitel-ib-kto-eto-takoy-klassifikatsiya-po-kategoriyam/ (дата обращения: 21.10.2025).
46. Кибербезопасность в банковской сфере: Основные угрозы и их предотвращение. Газпромбанк. Доступно по адресу: https://www.gazprombank.ru/press/articles/126938/ (дата обращения: 21.10.2025).
47. Разработка архитектуры банковской информационной системы для обеспечения поддержки управления корсчетом. КиберЛенинка. Доступно по адресу: https://cyberleninka.ru/article/n/razrabotka-arhitektury-bankovskoy-informatsionnoy-sistemy-dlya-obespecheniya-podderzhki-upravleniya-korschetom (дата обращения: 21.10.2025).
48. Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.). Приложение 3. Доступно по адресу: https://www.itsec.ru/articles2/control/metodika-otsenki-ugroz-bezopasnosti-informatsii-utverzhdena-fstek-rossii-5-fevralya-2021-g-prilozhenie-3 (дата обращения: 21.10.2025).
49. Обзор приказа ФСТЭК РФ от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». RPPA.pro. Доступно по адресу: https://rppa.pro/analitika/obzor-prikaza-fstek-rf-ot-18-02-2013-no-21-ob-utverzhdenii-sostava-i-soderzhaniya-organizatsionnykh-i-tekhnicheskikh-mer-po-obespecheniyu-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh (дата обращения: 21.10.2025).
50. Проблемы создания автоматизированных банковских систем. Доступно по адресу: http://www.vniims.ru/news/Problemy-sozdaniya-avtomatizirovannyh-bankovskih-sistem.pdf (дата обращения: 21.10.2025).
51. Информационная безопасность в банках. TAdviser. Доступно по адресу: https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D0%B2_%D0%B1%D0%B0%D0%BD%D0%BA%D0%B0%D1%85 (дата обращения: 21.10.2025).
52. Методические рекомендации по защите персональных данных при их обработке в информационных системах персональных данных. Приказ ФСТЭК России №21. Доступно по адресу: https://www.itsec.ru/articles2/control/metodicheskie-rekomendatsii-po-zashchite-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh (дата обращения: 21.10.2025).
53. Методика оценки угроз безопасности информации, методический документ утвержден ФСТЭК России 5 февраля 2021 г. OVODOV CyberSecurity. Доступно по адресу: https://ovodov.su/metodika-otsenki-ugroz-bezopasnosti-informatsii-utverzhden-fstek-rossii-5-fevralya-2021-g (дата обращения: 21.10.2025).
54. Угрозы информационной безопасности банка. SearchInform. Доступно по адресу: https://searchinform.ru/blog/ugrozy-informatsionnoy-bezopasnosti-banka/ (дата обращения: 21.10.2025).
55. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». mos.ru. Доступно по адресу: https://www.mos.ru/donm/documents/normativnye-pravovye-akty/view/162817/ (дата обращения: 21.10.2025).
56. Классификация ущербов от реализации угроз безопасности информации. Юридические услуги компании ЛЕГАС. Доступно по адресу: https://legas35.ru/klassifikatsiya-ushcherbov-ot-realizatsii-ugroz-bezopasnosti-informatsii (дата обращения: 21.10.2025).
57. Виды нарушителей для определения модели нарушителей информационной безопасности сумид. КонсультантПлюс. Доступно по адресу: https://www.consultant.ru/document/cons_doc_LAW_355227/ (дата обращения: 21.10.2025).
58. Определение негативных последствий от реализации (возникновения) угроз безопасности информации. КонсультантПлюс. Доступно по адресу: https://www.consultant.ru/document/cons_doc_LAW_376483/ (дата обращения: 21.10.2025).
59. Методика оценки угроз безопасности информации. ЕВРААС. Доступно по адресу: https://evraas.ru/biblioteka/metodika-otsenki-ugroz-bezopasnosti-informacii/ (дата обращения: 21.10.2025).
60. Возможный подход к оценке ущерба от реализации угроз безопасности информации, обрабатываемой в государственных информационных системах. КиберЛенинка. Доступно по адресу: https://cyberleninka.ru/article/n/vozmozhnyy-podhod-k-otsenke-uscherba-ot-realizatsii-ugroz-bezopasnosti-informatsii-obrabatyvaemoy-v-gosudarstvennyh-informatsionnyh-sistemah (дата обращения: 21.10.2025).
61. Метод CRAMM – комплексный подход к оценке рисков. Доступно по адресу: https://ykti.ru/wp-content/uploads/2016/06/%D0%93%D0%BD%D0%B5%D0%B4%D0%B0%D1%88-%D0%95.%D0%92..pdf (дата обращения: 21.10.2025).
62. Анализ методики RiskWatch. Разработка модели оценки рисков информационной безопасности корпоративной сети. Studbooks.net. Доступно по адресу: https://studbooks.net/1435728/informatika/analiz_metodiki_riskwatch (дата обращения: 21.10.2025).
63. Программное обеспечение для оценки рисков информационной безопасности. Доступно по адресу: http://www.rshu.ru/upload/iblock/c38/c3856230f3a61f52d0b5e43b184b235e.pdf (дата обращения: 21.10.2025).
64. CRAMM. InfoSecRisk.ru. Доступно по адресу: https://infosecrisks.ru/cramm/ (дата обращения: 21.10.2025).
65. Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков. Security Vision. Доступно по адресу: https://securityvision.ru/blog/upravlenie-riskami-informatsionnoy-bezopasnosti-chast-1-osnovnye-ponyatiya-i-metodologiya-otsenki-risk/ (дата обращения: 21.10.2025).
66. RiskWatch. InfoSecRisk.ru. Доступно по адресу: https://infosecrisks.ru/riskwatch/ (дата обращения: 21.10.2025).
67. Метод RiskWatch. Studfile.net. Доступно по адресу: https://studfile.net/preview/6090740/page:14/ (дата обращения: 21.10.2025).
68. Метод ГРИФ. Studfile.net. Доступно по адресу: https://studfile.net/preview/6090740/page:15/ (дата обращения: 21.10.2025).
69. Анализ методики Гриф. Разработка модели оценки рисков информационной безопасности корпоративной сети. Studbooks.net. Доступно по адресу: https://studbooks.net/1435728/informatika/analiz_metodiki_grif (дата обращения: 21.10.2025).
70. Методики анализа и оценки рисков информационной безопасности. КиберЛенинка. Доступно по адресу: https://cyberleninka.ru/article/n/metodiki-analiza-i-otsenki-riskov-informatsionnoy-bezopasnosti (дата обращения: 21.10.2025).
71. Анализ и управление рисками в информационных системах на базе операционных систем Microsoft. Лекция 4: Методики и программные продукты для оценки рисков. НОУ ИНТУИТ. Доступно по адресу: https://www.intuit.ru/studies/courses/2192/424/lecture/10206 (дата обращения: 21.10.2025).
72. Современные методы и средства анализа и управление рисками информационных систем компаний. CITForum.ru. Доступно по адресу: http://www.citforum.ru/security/articles/methodologies/ (дата обращения: 21.10.2025).
73. Что представляет собой процесс управления рисками информационной безопасности по стандарту ISO 27005? Lazarus Alliance. Доступно по адресу: https://www.lazarusalliance.ru/blog/chto-predstavlyaet-soboy-protsess-upravleniya-riskami-informatsionnoy-bezopasnosti-po-standartu-iso-27005 (дата обращения: 21.10.2025).
74. Корпоративные и операционные риски: разъяснения по стандарту ISO/IEC 27005. Доступно по адресу: https://www.riskmgmt.ru/riski/korporativnye-i-operatsionnye-riski-razyasneniya-po-standartu-isoiec-27005/ (дата обращения: 21.10.2025).
75. Международный стандарт ISO/IEC 27005 Информационная технология. Доступно по адресу: https://www.gostinfo.ru/catalog/Details_doc_eng.aspx?id=43787 (дата обращения: 21.10.2025).
76. ГОСТ Р ИСО/МЭК 27005-2010. PQM-online. Доступно по адресу: https://pqm-online.com/assets/files/docs/standards/gost-iso-27005-2010.pdf (дата обращения: 21.10.2025).
77. Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018. Security Vision. Доступно по адресу: https://securityvision.ru/blog/upravlenie-riskami-informatsionnoy-bezopasnosti-chast-6-standart-iso-iec-270052018/ (дата обращения: 21.10.2025).
78. Сравнительный анализ систем оценки и управления рисками информационной безопасности. Elibrary. Доступно по адресу: https://elibrary.ru/item.asp?id=36952876 (дата обращения: 21.10.2025).
79. Анализ наиболее актуальных инструментальных средств оценки рисков при проектировании информационных систем. КиберЛенинка. Доступно по адресу: https://cyberleninka.ru/article/n/analiz-naibolee-aktualnyh-instrumentalnyh-sredstv-otsenki-riskov-pri-proektirovanii-informatsionnyh-sistem (дата обращения: 21.10.2025).
80. Анализ и управление рисками информационной безопасности с помощью системы «ГРИФ». Студенческий научный форум. Доступно по адресу: https://scienceforum.ru/2014/article/2014002626 (дата обращения: 21.10.2025).
81. Управление рисками. Метод CRAMM. IT Expert. Доступно по адресу: https://www.itexpert.ru/articles/it-management/risk-management-cramm.html (дата обращения: 21.10.2025).
82. Оценка рисков в области информационной безопасности: методы и подходы. Белорусский государственный университет информатики и радиоэлектроники. Доступно по адресу: https://libeldoc.bsuir.by/bitstream/123456789/543166/1/Belous_2024_03_30.pdf (дата обращения: 21.10.2025).