Детальная программа курса «Построение модели угроз»

Я уже писал, что затеял курс «Построение модели угроз». Учитывая обязательное требование наличия модели в документах по персданным, вопрос ее построения не праздный. А оценив сколько стоит разработка такой модели — вопрос не праздный вдвойне. На выходных читал этот курс и теперь могу описать программу более детально, чем это было сделано в июле.

Основная цель — анализ существующих подходов к разработке модели угроз. Причем акцент делается на том, «как правильно», а не как надо «для галочки» (хотя и его тоже рассматриваю). Большое внимание уделяется различным стандартам, которые упоминают про разработку модели угроз.

  1. Что такое угроза и риск?
  2. Классификация источников угроз
  3. Характеристики угроз и элементы риска
  4. Анализ рисков vs. анализ угроз
  5. Зачем нужно моделирование угроз
  6. Общий подход к моделированию угроз в современном мире
  7. Качественная и количественная оценка: сравнение подходов
  8. Можно ли доверять экспертам? Метод Дельфи
  9. Моделирование угроз на разных этапах жизненного цикла системы
  10. 4 стратегии анализа рисков
  11. Процесс моделирования угроз
  12. Идентификация угроз
  13. Анализ последствий (ущерба)
  14. Классификация последствий
  15. Анализ неопределенностей (чувствительности)
  16. Как проверить адекватность модели угроз?
  17. Классификация нарушителей
  18. Каталоги угроз
  19. 16 методов анализа рисков и определения опасностей. Как выбрать адекватный метод?
  20. Оценка рисков
  21. 5 методов оценки вероятности угроз
  22. Потенциал нападения
  23. Какая градация вероятностей угроз правильная? 9-тиуровневая, 6-тиуровневая, 3-хуровневая…
  24. Как оценить ущерб? Может ли ущерб измеряться не деньгами?
  25. Ценность материальных и нематерильных активов. Имеет ли информация стоимость?
  26. 12 методов оценки стоимости информации
  27. Зарубежные и отечественные методики моделирования угроз — ГОСТ Р ИСО/МЭК 13335-3-2007, ISOIEC TR 13569, ГОСТ Р 51344-99, «дерево атак», модель угроз Microsoft (методы DREAD и STRIDE), модель угроз OWASP, модель Trike, модель N-Softgoal, модель Digital Security, методики ФСТЭК для персональных данных, коммерческой тайны и ключевых систем информационной инфраструктуры, методика ФСБ и т.п.
  28. Примеры моделей угроз
  29. Средства автоматизации моделирования угроз
  30. Как оформить модель угроз?

Среди рассматриваемых стандартов по данной теме: ГОСТ Р 52448-2005, ГОСТ Р ИСО/МЭК 13335-3-2007, ГОСТ Р ИСО/МЭК 13335-4-2007, ГОСТ Р 51901.1-2002, MAGERIT, ГОСТ 51275-2006, ГОСТ Р 51344-99, ГОСТ Р ИСО/МЭК18045, ISOIEC TR 13569, IT-Grundschutz Methodology, AS/NZS 4360:2004, EBIOS, MEHARI, OCTAVE, FRAP, NIST 800-30, MG-2, MG-3, SOMAP, IRAM, РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности», Cisco SAFE и т.п.

Ближайший курс пройдет в Москве 28-го сентября в Институте банковского дела АРБ (очно и онлайн).

Презентация курса: часть 1, часть 2, часть 3, часть 4 и часть 5.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Denis

    я бы сходил 😉

    Ответить
  2. Алексей Лукацкий

    Сходи

    Ответить
  3. Алексей Т.

    Написано красиво, но оценить что будете рассказывать реально сложно. А за простой реферативный обзор стандартов 6 т.р. онлайн жалко. Хотя информация очень полезная.

    Ответить
  4. Алексей Лукацкий

    Ну я же и не заставляю 😉 Хотя, зная средние цены на рынке, эта не та цена, которая может остановить слушателей курса. Я знаю случае оплаты курса со стороны частных лиц. Чего уж говорить про организации…

    Ответить
  5. Алексей Т.

    Согласен, погорячился. Будут свободные деньги — обязательно послушаю и тогда уж предметно покритикую. 🙂

    Ответить
  6. zabrodin

    Здравствуйте, Алексей! На прошлой неделе отправил заявку на Онлайн семинар, отметив, что счет хочу получить по факсу, но не счета, не письма, ни звонка не получил. Телефон, указанный на ibdarb.ru не отвечает. Как связаться с институтом, подскажите!

    Ответить
  7. Алексей Лукацкий

    Я сам звоню по этим телефонам — http://www.ibdarb.ru/contacts.php — проблем не бывает. Еще можно 234-5799

    Ответить
  8. Unknown

    Алексей, здравствуйте.
    А возможно сейчас приобрести Ваши методические рекомендации по построению модели угроз

    Ответить
  9. Алексей Лукацкий

    Приобрести? Это же курс, а не пособие.

    Ответить
  10. Unknown

    Этот комментарий был удален автором.

    Ответить
  11. Unknown

    Алексей Лукацкий, подскажите пожалуйста, какие документы по оценке рисков опубликованы ФСТЭК и ФСБ. (Помогите запутавшейся студентке)

    Ответить
  12. Алексей Лукацкий

    Только методика определения актуальных угроз ПДн и КСИИ у ФСТЭК. У ФСБ таких документов не видел.

    Ответить
  13. Алексей Лукацкий

    Хотя это не совсем риски…

    Ответить
  14. Unknown

    А вот вы в 27 пункте пишете "методики ФСТЭК для персональных данных,… методика ФСБ и т.п."
    Не подскажите, в каком документе можно ознакомиться с методикой ФСБ?
    (до сих пор не могу)

    Ответить
  15. Алексей Лукацкий

    В одном из двух документов ФСБ по персданным. Скачать можно с сайта РКН — http://pd.rsoc.ru/law/

    Ответить
  16. Mikhail Smirnov

    Алексей, подобные семинары еще где-нибудь проводятся?

    Ответить
  17. Алексей Лукацкий

    Увы ;-( Спроса на них пока нет

    Ответить
  18. Mikhail Smirnov

    Этот комментарий был удален автором.

    Ответить
  19. Mikhail Smirnov

    Прискорбно…

    Ответить
  20. Mikhail Smirnov

    Ничего не изменилось? Есть потребность.

    Ответить
  21. Алексей Лукацкий

    Пока нет. Может быть в конце сентября будут подвижки

    Ответить
  22. Mikhail Smirnov

    К сожалению сроки горят. Алексей, не порекомендуете аналогичные курсв, в которых данная тема раскрывается более полно и подробно, чем в курсах по защите ИСПДн?

    Ответить
  23. Алексей Лукацкий

    Нет таких ;-( Просто презентации недостаточно?

    Ответить
  24. Mikhail Smirnov

    Возможно достаточно, а как увидеть эту презентацию?

    Ответить
  25. Алексей Лукацкий

    http://lukatsky.blogspot.com/2010/02/5.html — пятая часть. Остальные четыре сам по названию найдешь…

    Ответить
  26. Kirill

    Алексей, скажите, пожалуйста, Вы данный курс все еще читаете?

    Ответить
  27. Алексей Лукацкий

    Курс есть. Я его читаю. Запросов нет

    Ответить
  28. Kirill

    т.е. попасть на него в ближайшем будущем не получится…жаль.

    Ответить
  29. ser-storchak

    Алексей, подскажите, пожалуйста, как проверить адекватность модели угроз организации существующим угрозам ИБ? Должен быть сформирован какой-то документ / отчет?
    P.S. со слайдами ознакомился, но ответ на вопрос не нашел. =(

    Ответить
  30. Алексей Лукацкий

    ser-storchak: экспертным путем. Или внешними экспертами. Еще можно подождать методички ФСТЭК

    Ответить
  31. ser-storchak

    Спасибо за ответ.

    Ответить