Подписка на блог

Customize in /user/extras/subscribe-sheet.tmpl.php.

Sample text.

Twitter, Facebook, VK, Telegram, LinkedIn, Odnoklassniki, Pinterest, РСС JSON Feed

Sample text.

Процесс моделирования угроз информационной безопасности

см. Модели ИБ в деятельности по мониторингу и реагированию

Модель угроз информационной безопасности; модель угроз ИБ: Описание актуальных для организации БС РФ источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба. («Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014))

см. Обзор стандартов моделирования угроз, разработка модели угроз, текущий подход, видео Методика разработки частной модели угроз для информационной системы персональных данных, видео Моделирование угроз ИБ. Как подойти к задаче?

ФСТЭК РФ предпринимает много усилий для разработки методики моделирования угроз.

Представители ФСТЭК РФ отметили ряд недостатков текущего подхода к построению модели угроз (текущие документы для создания модели угроз датированы 2008 годом, пример):
— моделирование угроз разрабатывается только для согласования, а далее никак не используется (см. Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных);
— при моделировании угроз не учитываются сценарии действий нарушителей;
— системы защиты информации строятся без учета модели угроз;
— не проводится оценка эффективности системы защиты.

С проектом методики моделирования угроз (на пороге принятия) можно ознакомиться на сайте ФСТЭК РФ, в видео или статье, Простыми словами о новом проекте методики моделирования угроз безопасности информации ФСТЭК.

Критика новой методики тут, тут, тут. Небольшой обзор часть 1, часть 2, часть 3.

Ссылки по теме:

Как перейти от эфемерных угроз к реальным техникам злоумышленников?
Общий обзор реестров и классификаций уязвимостей (CVE, OSVDB, NVD, Secunia)
Межблогерский вебинар. Угрозы БДУ vs Меры защиты
БДУ, почти как БДИ (слайды) и тут и тут официально
Общий обзор систем оценки уязвимостей (CVSS 2.0/3.0) и Калькулятор CVSS V3.1
Моделирование угроз в условиях методической неопределенности
Требования для операторов по критической информационной инфраструктуре
План мероприятий по выполнению требований закона № 187—ФЗ
Приказ ФСТЭК России от 25 декабря 2017 г. N 239
Моделирование угроз на основе сценариев или Как Cyber Kill Chain и ATT&CK помогают анализировать угрозы ИБ
оценка рисков и тут

Подписаться на блог
Поделиться
Отправить
Запинить
 41   4 мес   Infosec   ФСТЭК РФ
Дальше