моделирование угроз
Угрозы
Выкладываю свою презентацию с мастер-класса по моделированию угроз с форума директоров по ИБ. Мастер-класс по моделированию угроз from Aleksey Lukatskiy
Технологии
В последнее время мне часто задают вопросы о том, когда ФСТЭК выпустит обещанную методику моделирования угроз? Я уже устал отвечать «вот-вот» и «скоро». Могу предположить, что проблема в сложности получающегося документа. При достаточно большом числе потенциальных угроз, которые могут быть признаны актуальными на предприятии, процедура
После публикации в Facebook вот этого ролика про интеграцию беспилотника с огнестрельным оружием началась дискуссия о том, кто должен отвечать за борьбу с этой напастью, если она вдруг появится над критически важным объектом? Это кстати, не единственный интересный ролик по данному вопросу. Если в первом совершенно непонятно, попадает ли пистолет в цель, то во втором […
Банк России опубликовал долгожданный проект отраслевой модели угроз безопасности персональным данных. За прошедший с небольшим месяц это уже третий документ в области моделирования угроз ПДн. Сначала появился проект методики моделирования угроз ФСТЭК, затем методика ФСБ и вот уже готовая модель от Банка России.
8-й Центр ФСБ опубликовал очень интересный, но уже и нечаянный документ, посвященный моделированию угроз персональным данным. Если быть точнее, это не методика моделирования угроз, а методика разработки нормативно-правовых актов, определяющих угрозы ПДн. Откуда такая странная формулировка? Для этого надо вспомнить предысторию вопроса.
Угрозы
Позавчера я рассмотрел проект методики моделирования угроз, а сегодня хочу систематизировать то, что мне в проекте методики не понравилось или не хватило: Мне показалось ограниченной привязка к классической триаде «конфиденциальность-целостность-доступность». Даже в документах ФСБ по персданным от 2008-го года говорилось о большем количестве
Между майскими праздниками ФСТЭК обнародовала долгожданный проект методики моделирования угроз, которая станет обязательным для государственных и муниципальных органов руководством по определению угроз, актуальных (не путать с типами актуальных угроз в ПП-1119) для, соответственно, государственных и муниципальных информационных систем.
Доклад Елены Борисовны Торбенко из 2-го управления ФСТЭК стал для меня неожиданностью по нескольким причинам. Во-первых, нечасто от регулятора в области ИБ выступает представительница прекрасной половины человечества 🙂 Во-вторых, ФСТЭК поделилась своим опытом по анализу присланных им в 2014-м году моделей угроз и выделила типовые ошибки, которые посоветовала не повторять.
Вернусь к теме, поднятой почти 5 лет назад, — к тому, что должна содержать модель угроз. Описанные в заметке ГОСТы очень неплохо отвечают на этот вопрос, но… Есть одно «но». Составленная таким образом модель угроз нужна и важна, но она высокоуровнева и описывает скорее плоскую модель того, что может угрожать компании. В упрощенном виде такая […
Обучение
Обновил программу курса по моделированию угроз. Достаточно много изменений появилось в версии 1.6, что обусловлено последними событиями в мире геополитики и в мире ИБ, а также активизацией темы по защите АСУ ТП и КВО: Автоматизация моделирования угроз с помощью R-Vision Расчет стоимости угрозы ДБО, PCI, мобильного банкинга Модель угроз беспилотника