Отсутствие системного подхода к анализу угроз приводит к пропуску критических уязвимостей на этапе проектирования, росту затрат на устранение инцидентов и несоответствию требованиям регуляторов (ФСТЭК, ЦБ, 152-ФЗ, ГОСТ Р 56939).
Причины:
- Ручное моделирование угроз (Excel, Visio) не масштабируется, трудно актуализируется под меняющуюся архитектуру.
- Нет централизованного репозитория угроз, связки с CVE, MITRE ATT&CK, CAPEC.
- Невозможность автоматизировать проверку контрактов (IaC, Terraform) и CI/CD пайплайнов.
- Нет доказательной базы для аудиторов и органов сертификации (требуется формализованное описание модели угрозы).
Решение:
1. Экономическое обоснование:
- Снижение времени на моделирование с 40 человеко-часов до 2–3 часов (средние данные по платформам вроде IriusRisk, ThreatModeler, OWASP Threat Dragon).
- ROI = (стоимость предотвращённых инцидентов + экономия времени) / стоимость лицензии за 3 года.
- Пример: стоимость одного среднего инцидента (утечка данных по 152-ФЗ) — от 500 тыс. руб. (штрафы + репутация). Платформа стоимостью 1–2 млн руб./год окупается при предотвращении 2–4 инцидентов.
2. Соответствие стандартам:
- Реализация методик STRIDE, PASTA, LINDDUN, что закрывает требования ГОСТ Р 56939 (п. 5.1–5.3) и методики ФСТЭК (БДУ).
- Автоматическая генерация модели угроз (data flow diagram + таблица угроз) для сертификации ИСПДн, АСУ ТП.
3. Интеграция с инструментами:
- Импорт архитектуры из Draw.io, ArchiMate, Kubernetes manifests.
- Экспорт в JIRA, GitLab Issues для заведения задач на устранение угроз.
- Пример скрипта для обнаружения дефицита мер защиты в ThreatModeler (псевдо):
if
(asset == "DB" and threat == "SQL Injection") -> missing "WAF + param validation"4. Отчётность:
- Дашборды динамики угроз (уровень риска, coverage контролей).
- Прямое доказательство выполнения п. 3.1 «Методики оценки угроз безопасности информации» ФСТЭК.
Итог: закупка обосновывается снижением трудозатрат, выполнением регуляторных требований и сокращением риска невыявленных уязвимостей (CVE with CVSS ≥ 7.0).