УДК 004.056.57
DOI: 10.36871/26189976.2026.06-4.015
Авторы
Елена Георгиевна Баленко,
Донской государственный аграрный университет, п. Персиановский, Россия
Михаил Валерьевич Митрофанов,
Национальный исследовательский университет ИТМО, Санкт-Петербург, Россия
Николай Николаевич Крамской,
ООО «Специальный Технологический Центр», Санкт-Петербург, Россия
Александр Сергеевич Куракин,
ООО «Специальный Технологический Центр», Санкт-Петербург, Россия
Аннотация
В статье анализируются ограничения существующих подходов при их изолированном применении, отмечая недостаточную конкретизацию методики ФСТЭК России, отсутствие механизмов приоритизации в базе знаний MITRE ATT&CK и субъективность количественных оценок модели DREAD. В качестве решения предложена комплексная методика, основанная на математической формализации интеграции этих трех фреймворков. Разработанный подход включает алгоритм отображения угроз из банка данных ФСТЭК на техники атак MITRE ATT&CK, а также использует адаптированные метрики DREAD для ранжирования рисков с учетом уже реализованных защитных мер. Практическая значимость работы заключается в представлении пошагового алгоритма внедрения методики, включающего инвентаризацию активов, аудит защитных мер и оптимизацию бюджета на безопасность, что делает инструмент применимым для организаций различного масштаба.
Ключевые слова
информационная безопасность,
моделирование угроз,
оценка рисков,
ФСТЭК России,
компьютерные атаки.
Список литературы
[1] Аникин И.В. Методы и модели количественной оценки и управления рисками информационной безопасности: дис. … д-ра техн. наук: 05.13.19. Уфа, 2017. 308 с.
[2] Богаченко Н.Ф., Лавров Д.Н. Применение метода анализа иерархий к задаче оценки актуальности угроз информационной безопасности // Вестник Омского университета. Серия: Экономика. 2022. Т. 20. № 4. С. 112-123.
[3] Выборнова О.Н. Управление информационными рисками в системах дистанционного мониторинга состояния объектов: дис. … канд. техн. наук: 05.13.19. Краснодар, 2014. 194 с.
[4] ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. М.: Стандартинформ, 2011. 52 с.
[5] Ермилов Е.В. Анализ и управление рисками нарушения информационной безопасности критически важного объекта: автореф. дис. … канд. техн. наук: 05.13.19. СПб., 2013. 16 с.
[6] Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.М. Информационная безопасность открытых систем. В 2 т. Том 1. Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая линия-Телеком, 2006. 536 с.
[7] Корченко А.Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения. Киев: МК-Пресс, 2006. 320 с.
[8] Методика оценки угроз безопасности информации. Утв. ФСТЭК России 05.02.2021. М.: ФСТЭК России, 2021. 35 с.
[9] Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М.: ДМК Пресс, 2004. 384 с.
[10] Римша А.С. Метод и алгоритмы управления рисками информационной безопасности АСУ ТП критических инфраструктур: автореф. дис. … канд. техн. наук: 05.13.19. СПб., 2020. 20 с.
[11] Степанов П.П. Модель угроз ФСТЭК: разработка и согласование в современных реалиях / Материалы V Международной научно-практической конференции «Информационная безопасность и защита информации». М.: МГУ, 2025. С. 234- 241.
[12] Шаньгин В.Ф. Информационная безопасность и защита информации. М.: ДМК Пресс, 2014. 702 с.
[13] Шевченко П.А., Варфоломеев А.А. Современные подходы к моделированию угроз информационной безопасности в автоматизированных системах // Вопросы кибербезопасности. 2023. № 5(57). С. 45-58.
[14] Ярочкин В.И., Шершнева Т.А. Безопасность информационных систем. М.: Академический Проект, 2019. 544 с.
[15] Abo-alian A., Badr N.L., Tolba M.F. A data-driven approach to prioritize MITRE ATT&CK techniques // Scientific Reports. 2025. Vol. 15. Article 3845.
[16] Al-Sada B., Al-Hamadi H., Saber M. MITRE ATT&CK: State of the Art and Way Forward // ACM Computing Surveys. 2024. Vol. 57. № 2. Article 45. P. 1-38.
[17] Howard M., LeBlanc D. Writing Secure Code. 2nd ed. Redmond: Microsoft Press, 2003. 672 p.
[18] Khan R., McLaughlin K., Laverty D., Sezer S. STRIDE-based threat modeling for cyberphysical systems // Proceedings of IEEE PES Innovative Smart Grid Technologies Conference Europe (ISGT Europe). Torino, 2017. P. 1-6.
[19] Shostack A. Threat Modeling: Designing for Security. Indianapolis: Wiley, 2014. 624 p.
[20] Strom B.E., Applebaum A., Miller D.P., Nickels K.C., Pennington A.G., Thomas C.B. MITRE ATT&CK: Design and Philosophy. Technical Report MTR170001. Bedford: MITRE Corporation, 2018. 29 p.

