Автор: Гавриленко Ксения Юрьевна
Аннотация:
В данной статье рассматривается проблема приоритизации уязвимостей в сложных информационных инфраструктурах банковских организаций. Описаны современные методы оценки уязвимостей (CVSS, EPSS, Cisco Security Risk Score) и их недостатки при применении в банковской сфере. На основе анализа предложен комбинированный риск-ориентированный подход, учитывающий технические характеристики уязвимости, вероятность эксплуатации и бизнес-контекст активов. Приведена модель внедрения данного подхода, описаны ключевые преимущества и рекомендации для практического применения.
Ключевые слова: информационная безопасность, уязвимость, приоритизация, CVSS, EPSS, банки, риск-ориентированный подход.
Введение:
В современных условиях цифровизации банковского сектора управление уязвимостями является одной из ключевых задач обеспечения информационной безопасности. Финансовые организации подвергаются постоянным атакам, и неэффективная приоритизация уязвимостей может привести к серьезным финансовым и репутационным потерям. Использование стандартных моделей оценки уязвимостей (например, CVSS) не всегда позволяет учитывать специфический контекст банковской деятельности. В связи с этим возникает необходимость разработки более адаптивных подходов.
Целью исследования является разработка эффективного метода приоритизации уязвимостей для банковских информационных систем, учитывающего как технические, так и бизнес-аспекты.
Методология исследования включает системный анализ существующих подходов, сравнительный анализ методик, исследование особенностей ИТ-инфраструктуры банков и разработку комбинированной модели приоритизации.
Основная часть:
Анализ существующих методов (CVSS, EPSS, Kenna Risk Score) показал их ограниченность для банковского сектора. CVSS не учитывает актуальность угроз и бизнес-контекст. EPSS добавляет элемент прогнозирования, но не учитывает специфику инфраструктуры. Kenna Risk Score ориентирован на автоматизацию, но требует значительных ресурсов.
В рамках исследования разработана комбинированная модель приоритизации, включающая:
1. Техническую оценку уязвимости (CVSS, наличие эксплойта, EPSS);
2. Контекстную оценку (зона размещения, тип актива, наличие компенсирующих мер);
3. Бизнес-критичность актива (влияние на ключевые бизнес-процессы, потенциальные убытки, требования регуляторов).
Формула расчета общего приоритета уязвимости учитывает взвешенное значение этих трех компонентов.
Практическая реализация модели предусматривает интеграцию со сканерами уязвимостей (Nessus, Qualys), системами управления ИТ-активами (CMDB), системами управления событиями безопасности (SIEM) и оркестрации реагирования (SOAR).
Результаты внедрения модели показывают увеличение эффективности устранения критичных уязвимостей, снижение нагрузки на специалистов и повышение соответствия требованиям регуляторов.
Заключение:
Комбинированная риск-ориентированная модель приоритизации уязвимостей позволяет банкам более эффективно управлять своими ИТ-рисками. Учет технических, контекстных и бизнес-аспектов обеспечивает адекватное распределение ресурсов и своевременное устранение действительно опасных уязвимостей.
Для успешного внедрения модели необходимо:
* Провести инвентаризацию активов и классификацию по критичности;
* Интегрировать процессы управления уязвимостями с общими процессами ИБ и ИТ;
* Регулярно пересматривать модель с учетом изменения инфраструктуры и актуальных угроз.
Список использованных источников:
1. ГОСТ Р ИСО/МЭК 27001-2021 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования«
2. PCI DSS (Payment Card Industry Data Security Standard)
3. FIRST EPSS Documentation
4. Kenna Security (Cisco) Risk Scoring Methodology
5. Отчеты Positive Technologies, Kaspersky, Group-IB о киберугрозах в банковском секторе
6. Положение Банка России № 757-П «О требованиях к обеспечению информационной безопасности кредитных организаций при осуществлении переводов денежных средств»
7. Федеральный закон РФ №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»