Enviar búsqueda
Cargar
Threat Modeling (Part 5)
•
1 recomendación
•
2,933 vistas
Aleksey Lukatskiy
Seguir
Desarrollo personal
Denunciar
Compartir
Denunciar
Compartir
1 de 37
Descargar ahora
Descargar para leer sin conexión
Recomendados
Threat Modeling (Part 3)
Threat Modeling (Part 3)
Aleksey Lukatskiy
Threat Modeling (Part 1)
Threat Modeling (Part 1)
Aleksey Lukatskiy
Threat Modeling (Part 2)
Threat Modeling (Part 2)
Aleksey Lukatskiy
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
Aleksey Lukatskiy
Threat Modeling (Part 4)
Threat Modeling (Part 4)
Aleksey Lukatskiy
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
Vladislav Chernish
Мастер класс по моделированию угроз
Мастер класс по моделированию угроз
Aleksey Lukatskiy
7 cases of risk probality measurement
7 cases of risk probality measurement
Aleksey Lukatskiy
Recomendados
Threat Modeling (Part 3)
Threat Modeling (Part 3)
Aleksey Lukatskiy
Threat Modeling (Part 1)
Threat Modeling (Part 1)
Aleksey Lukatskiy
Threat Modeling (Part 2)
Threat Modeling (Part 2)
Aleksey Lukatskiy
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
Aleksey Lukatskiy
Threat Modeling (Part 4)
Threat Modeling (Part 4)
Aleksey Lukatskiy
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
Vladislav Chernish
Мастер класс по моделированию угроз
Мастер класс по моделированию угроз
Aleksey Lukatskiy
7 cases of risk probality measurement
7 cases of risk probality measurement
Aleksey Lukatskiy
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
a_a_a
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
Measurement of security efficiency
Measurement of security efficiency
Aleksey Lukatskiy
Presentation IS criteria
Presentation IS criteria
a_a_a
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
imbasoft ru
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
Vladimir Matviychuk
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Positive Hack Days
Метрики информационной безопасности
Метрики информационной безопасности
Александр Лысяк
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Aleksey Lukatskiy
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Cisco Russia
Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"
Aleksey Lukatskiy
Security Measurement.pdf
Security Measurement.pdf
Aleksey Lukatskiy
Моделирование угроз для приложений
Моделирование угроз для приложений
SQALab
4. ePlat4m Security GRC
4. ePlat4m Security GRC
Компания УЦСБ
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Manager
ismsys
24_glebov
24_glebov
Oleg Glebov
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Банковское обозрение
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Компания УЦСБ
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
ЭЛВИС-ПЛЮС
ГОСТ Р ИСО/МЭК 13335-4-2007
ГОСТ Р ИСО/МЭК 13335-4-2007
Sergey Erohin
Vulnerability Management
Vulnerability Management
Aleksey Lukatskiy
Más contenido relacionado
La actualidad más candente
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
a_a_a
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
Measurement of security efficiency
Measurement of security efficiency
Aleksey Lukatskiy
Presentation IS criteria
Presentation IS criteria
a_a_a
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
imbasoft ru
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
Vladimir Matviychuk
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Positive Hack Days
Метрики информационной безопасности
Метрики информационной безопасности
Александр Лысяк
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Aleksey Lukatskiy
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Cisco Russia
Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"
Aleksey Lukatskiy
Security Measurement.pdf
Security Measurement.pdf
Aleksey Lukatskiy
Моделирование угроз для приложений
Моделирование угроз для приложений
SQALab
4. ePlat4m Security GRC
4. ePlat4m Security GRC
Компания УЦСБ
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Manager
ismsys
24_glebov
24_glebov
Oleg Glebov
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Банковское обозрение
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Компания УЦСБ
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
ЭЛВИС-ПЛЮС
La actualidad más candente
(20)
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Measurement of security efficiency
Measurement of security efficiency
Presentation IS criteria
Presentation IS criteria
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Метрики информационной безопасности
Метрики информационной безопасности
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"
Security Measurement.pdf
Security Measurement.pdf
Моделирование угроз для приложений
Моделирование угроз для приложений
4. ePlat4m Security GRC
4. ePlat4m Security GRC
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Manager
24_glebov
24_glebov
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Similar a Threat Modeling (Part 5)
ГОСТ Р ИСО/МЭК 13335-4-2007
ГОСТ Р ИСО/МЭК 13335-4-2007
Sergey Erohin
Vulnerability Management
Vulnerability Management
Aleksey Lukatskiy
Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
Моделирование угроз 2.0
Моделирование угроз 2.0
Aleksey Lukatskiy
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
Портфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОД
Cisco Russia
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days
Будущие исследования ИБ
Будущие исследования ИБ
Aleksey Lukatskiy
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
SQALab
иб
иб
mitta21
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
Вячеслав Аксёнов
Сервисы информационной безопасности Виртуального дата-центра КРОК
Сервисы информационной безопасности Виртуального дата-центра КРОК
КРОК
Стандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в России
Aleksey Lukatskiy
Решения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТП
КРОК
Решение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасности
TechExpert
Cisco 7 key data security trends
Cisco 7 key data security trends
Tim Parson
Гибридная методика оценки безопасности ИТ
Гибридная методика оценки безопасности ИТ
Илья Лившиц
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
Similar a Threat Modeling (Part 5)
(20)
ГОСТ Р ИСО/МЭК 13335-4-2007
ГОСТ Р ИСО/МЭК 13335-4-2007
Vulnerability Management
Vulnerability Management
Incident management (part 2)
Incident management (part 2)
Моделирование угроз 2.0
Моделирование угроз 2.0
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Портфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОД
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Будущие исследования ИБ
Будущие исследования ИБ
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
иб
иб
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Как построить SOC?
Как построить SOC?
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
Сервисы информационной безопасности Виртуального дата-центра КРОК
Сервисы информационной безопасности Виртуального дата-центра КРОК
Стандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в России
Решения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТП
Решение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасности
Cisco 7 key data security trends
Cisco 7 key data security trends
Гибридная методика оценки безопасности ИТ
Гибридная методика оценки безопасности ИТ
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Más de Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
Más de Aleksey Lukatskiy
(20)
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Threat Modeling (Part 5)
1.
Другие методики
моделирования Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 359/398
2.
Другие методики моделирования
угроз Trike IT-Grundschutz Methodology от BSI (Германия) AS/NZS 4360:2004 (Австралия) MAGERIT: Risk Analysis and Management Methodology for Information Systems (Испания) EBIOS - Expression of Needs and Identification of Security Objectives (Франция) MEHARI (Франция) OCTAVE FRAP NIST 800-30 (США) Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 360/398
3.
Другие методики моделирования
угроз MG-2, MG-3 (Канада) SOMAP IRAM Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 361/398
4.
Примеры моделей
угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 362/398
5.
Модель угроз для
биометрической аутентификации Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 363/398
6.
Примеры моделей угроз
для ПДн Пример 1 Администрация Смоленской области Пример 2 АБС «Платформа ЦФТ» Пример 3 Частная модель угроз для канала связи Пример 4 Положение о моделях угроз и нарушителя Пример 5 Администрация г.Стерлитамак Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 364/398
7.
Как
автоматизировать моделирование угроз? Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 365/398
8.
Варианты автоматизации
Электронные таблицы ПО Wingdoc ПД от НТЦ Сфера DS Office от Digital Security РискМенеджер от ИСП РАН CRAMM Skybox Tiramisu DFD Studio Иные средства автоматизации анализа рисков Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 366/398
9.
Microsoft threat modeling
tool http://msdn.microsoft.com/security/securecode/threatmodeling/default.aspx Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 367/398
10.
Tiramisu Threat Modeling
© 2008 Cisco Systems, Inc. All rights reserved. 368/398
11.
DFD Studio Threat Modeling
© 2008 Cisco Systems, Inc. All rights reserved. 369/398
12.
Wingdoc: Ввод базовой
информации Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 370/398
13.
Wingdoc: Анкетирование ИСПДн Threat
Modeling © 2008 Cisco Systems, Inc. All rights reserved. 371/398
14.
Wingdoc: Отсутствующие угрозы Threat
Modeling © 2008 Cisco Systems, Inc. All rights reserved. 372/398
15.
Wingdoc: Список актуальных
угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 373/398
16.
Wingdoc: Анализ конкретной
угрозы Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 374/398
17.
Wingdoc: Влияние ответов
анкеты на результат Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 375/398
18.
Wingdoc: Список невозможных
угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 376/398
19.
Wingdoc: Формирование отчета Threat
Modeling © 2008 Cisco Systems, Inc. All rights reserved. 377/398
20.
Как оформить
модель угроз? Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 378/398
21.
Как оформить модель
угроз? Нормативные документы ФСТЭК и ФСБ не дают ответа на вопрос «как оформить модель угроз?» Вы вправе самостоятельно выбрать форму этого документа Если моделирование угроз реализуется не «для галочки», то Желательно учитывать существующие нормативные документы в смежных областях Пишите на понятном предполагаемой аудитории языке Учитывайте, что вы можете уйти из компании и модель угроз может анализировать человек, который ее не составлял (комментируйте и обосновывайте свои позиции и выводы) Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 379/398
22.
Пример оформления модели
угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 380/398
23.
Пример оформления модели
угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 381/398
24.
Пример оформления модели
угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 382/398
25.
Пример оформления модели
угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 383/398
26.
Пример оформления модели
угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 384/398
27.
Содержание по ГОСТ
Р 52448-2005 Модель угроз должна включать Описание ресурсов инфокоммуникационной структуры (объектов безопасности) сети связи, требующих защиты Описание источников формирования дестабилизирующих воздействий и их потенциальных возможностей Стадии жизненного цикла сети электросвязи Описание процесса возникновения угроз и путей их практической реализации Приложение к модели угроз Полный перечень угроз База данных выявленных нарушений безопасности электросвязи с описанием обстоятельств, связанных с обнаружением нарушением Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 385/398
28.
Содержание по ГОСТ
Р 51344-99 Документация оценки и определения риска включает Характеристика оборудования (техусловия, область применения, использование по назначению) Любые относящиеся к делу предположения, которые были сделаны (например, факторы безопасности и т.д.) Идентифицированные опасности Информация, на основании которой сделана оценка и определение риска (использованные данные и источники) Сомнения, связанные с использованными данными и источниками Цели, которые должны быть достигнуты защитными мерами (например, конфиденциальность, целостность и т.д.) Меры безопасности, принимаемые для устранения выявленных опасностей или уменьшения риска Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 386/398
29.
Содержание по ГОСТ
Р 51344-99 (окончание) Документация оценки и определения риска включает Остаточные риски Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 387/398
30.
Содержание по ГОСТ
Р 51901.1-2002 Отчет по анализу риска/угроз включает Краткое изложение анализа Выводы Цели и область применения анализа Ограничения, допущения и обоснование предположений Описание соответствующих частей системы Методология анализа Результаты идентификации опасностей Используемые модели, в т.ч. допущения и их обоснования Используемые данные и их источники Результаты оценки величины риска Анализ чувствительности и неопределенности Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 388/398
31.
Содержание по ГОСТ
Р 51901.1-2002 (окончание) Отчет по анализу риска/угроз включает Рассмотрение и обсуждение результатов Рассмотрение и обсуждение трудностей моделирования Ссылки и рекомендации Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 389/398
32.
Заключение Threat Modeling
© 2008 Cisco Systems, Inc. All rights reserved. 390/398
33.
“В настоящее время
нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающем доверие методом, приносящим воспроизводимые результаты.” ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Presentation_ID Threat Modeling © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 391/398
34.
Что дальше?
Избежание риска Устранение источника угрозы… Принятие риска Бороться себе дороже Передача риска Аутсорсинг, страхование… Снижение рисков Реализация защитных мер… Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 392/398
35.
Защитные мероприятия
В зависимости от выбранной методологии моделирования угроз (анализа рисков) перечень предлагаемых защитных мер может предлагаться тем же стандартом ISOIEC TR 13335-4 ISO 27002 IT-Grundschutz Methodology СТО БР ИББС-1.0 Четверокнижие ФСТЭК по ПДн и КСИИ И т.д. В ряде случаев стандарты включают рекомендации по выбору, а не только их законченный список Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 393/398
36.
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 394/398
37.
Threat Modeling
© 2008 Cisco Systems, Inc. All rights reserved. 395/398
Descargar ahora