Процесс моделирования угроз информационной безопасности
см. Модели ИБ в деятельности по мониторингу и реагированию
Модель угроз информационной безопасности; модель угроз ИБ: Описание актуальных для организации БС РФ источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба. («Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014))
см. Обзор стандартов моделирования угроз, разработка модели угроз, текущий подход, видео Методика разработки частной модели угроз для информационной системы персональных данных, видео Моделирование угроз ИБ. Как подойти к задаче?
ФСТЭК РФ предпринимает много усилий для разработки методики моделирования угроз.
Представители ФСТЭК РФ отметили ряд недостатков текущего подхода к построению модели угроз (текущие документы для создания модели угроз датированы 2008 годом, пример):
— моделирование угроз разрабатывается только для согласования, а далее никак не используется (см. Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных);
— при моделировании угроз не учитываются сценарии действий нарушителей;
— системы защиты информации строятся без учета модели угроз;
— не проводится оценка эффективности системы защиты.
С проектом методики моделирования угроз (на пороге принятия) можно ознакомиться на сайте ФСТЭК РФ, в видео или статье, Простыми словами о новом проекте методики моделирования угроз безопасности информации ФСТЭК.
Критика новой методики тут, тут, тут. Небольшой обзор часть 1, часть 2, часть 3.








Ссылки по теме:
— Как перейти от эфемерных угроз к реальным техникам злоумышленников?
— Общий обзор реестров и классификаций уязвимостей (CVE, OSVDB, NVD, Secunia)
— Межблогерский вебинар. Угрозы БДУ vs Меры защиты
— БДУ, почти как БДИ (слайды) и тут и тут официально
— Общий обзор систем оценки уязвимостей (CVSS 2.0/3.0) и Калькулятор CVSS V3.1
— Моделирование угроз в условиях методической неопределенности
— Требования для операторов по критической информационной инфраструктуре
— План мероприятий по выполнению требований закона № 187—ФЗ
— Приказ ФСТЭК России от 25 декабря 2017 г. N 239
— Моделирование угроз на основе сценариев или Как Cyber Kill Chain и ATT&CK помогают анализировать угрозы ИБ
— оценка рисков и тут