14 Сентября, 2009

Детальная программа курса "Построение модели угроз"

Алексей Лукацкий
Я уже писал , что затеял курс "Построение модели угроз". Учитывая обязательное требование наличия модели в документах по персданным, вопрос ее построения не праздный. А оценив сколько стоит разработка такой модели - вопрос не праздный вдвойне. На выходных читал этот курс и теперь могу описать программу более детально, чем это было сделано в июле. Основная цель - анализ существующих подходов к разработке модели угроз. Причем акцент делается на том, "как правильно", а не как надо "для галочки" (хотя и его тоже рассматриваю). Большое внимание уделяется различным стандартам, которые упоминают про разработку модели угроз. Что такое угроза и риск?Классификация источников угрозХарактеристики угроз и элементы рискаАнализ рисков vs. анализ угрозЗачем нужно моделирование угрозОбщий подход к моделированию угроз в современном миреКачественная и количественная оценка: сравнение подходовМожно ли доверять экспертам? Метод ДельфиМоделирование угроз на разных этапах жизненного цикла системы4 стратегии анализа рисковПроцесс моделирования угрозИдентификация угрозАнализ последствий (ущерба)Классификация последствийАнализ неопределенностей (чувствительности)Как проверить адекватность модели угроз?Классификация нарушителейКаталоги угроз16 методов анализа рисков и определения опасностей. Как выбрать адекватный метод?Оценка рисков5 методов оценки вероятности угрозПотенциал нападенияКакая градация вероятностей угроз правильная? 9-тиуровневая, 6-тиуровневая, 3-хуровневая...Как оценить ущерб? Может ли ущерб измеряться не деньгами?Ценность материальных и нематерильных активов. Имеет ли информация стоимость?12 методов оценки стоимости информацииЗарубежные и отечественные методики моделирования угроз - ГОСТ Р ИСО/МЭК 13335-3-2007, ISOIEC TR 13569, ГОСТ Р 51344-99, "дерево атак", модель угроз Microsoft (методы DREAD и STRIDE), модель угроз OWASP, модель Trike, модель N-Softgoal, модель Digital Security, методики ФСТЭК для персональных данных, коммерческой тайны и ключевых систем информационной инфраструктуры, методика ФСБ и т.п.Примеры моделей угрозСредства автоматизации моделирования угрозКак оформить модель угроз? Среди рассматриваемых стандартов по данной теме: ГОСТ Р 52448-2005, ГОСТ Р ИСО/МЭК 13335-3-2007, ГОСТ Р ИСО/МЭК 13335-4-2007, ГОСТ Р 51901.1-2002, MAGERIT, ГОСТ 51275-2006, ГОСТ Р 51344-99, ГОСТ Р ИСО/МЭК18045, ISOIEC TR 13569, IT-Grundschutz Methodology, AS/NZS 4360:2004, EBIOS, MEHARI, OCTAVE, FRAP, NIST 800-30, MG-2, MG-3, SOMAP, IRAM, РС БР ИББС-2.2-2009 "Методика оценки рисков нарушения информационной безопасности", Cisco SAFE и т.п. Ближайший курс пройдет в Москве 28-го сентября в Институте банковского дела АРБ ( очно и онлайн ).