Курс  «Моделирование  угроз  2.0»    Обзор  курса    Понятие  «модель  угроз»  в  области  информационной  безопасности  существует  уже  не  первый  год,  но   интерес   к   нему   активизировался   только   в   последние   месяцы,   после   выхода   требований  отечественных   регуляторов   к   защите   персональных   данных.   Возникает   очень   много   вопросов   к  данной  теме.  Как  построить  модель?  Надо  ли  ее  согласовывать  с  регуляторами?  Что  она  должна  включать?   Как   определить   актуальность   угроз?   Какой   формат   должен   быть   у   модели   угрозы?  Можно  ли  оптимизировать  ее  разработку?  На  все  эти  вопросы,  а  также  на  многие  другие  ответит  данный   курс.   Помимо   упомянутых   тем,   будут   рассмотрены   существующие   модели   угроз,  приведен   перечень   типовых   угроз,   покрывающий   до   80%   потребностей   любой   организации,   а  также   описана   пошаговая   и   детальная   процедура   построения   модели   угроз,   отвечающей   как  реальным  потребностям  организации,  так  и  требованиям  отечественных  регуляторов.    Для  кого  предназначен  курс    Курс  ориентирован  на  3  категории  специалистов:  

•   На   руководителей   служб   безопасности   (CSO),   отделов   информационной   безопасности  (CISO),  советников  по  безопасности,  экспертов  по  безопасности  и  т.п.  

•   На   интеграторов   и   консультантов,   выполняющих   работы   по   информационной  безопасности  для  своих  заказчиков.  

•   На  разработчиков  программного  обеспечения.    Основные  темы  курса    В  курсе  «Построение  модели  угроз»  мы  рассмотрим  следующие  темы:  

1.   Что  такое  угроза  и  риск?  a.   Характеристики  угроз  и  элементы  риска  b.   Что  такое  модель  угроз?  c.   Анализ  рисков  vs.  анализ  угроз  

2.   Зачем  нужно  моделирование  угроз?  3.   Общий  подход  к  моделированию  угроз  в  современном  мире  

a.   Ориентированная  на  объект  защиты  (asset  centric)  b.   Ориентированная  на  нарушителя  (attacker  centric)  c.   Ориентированная  на  дизайн  (software  centric)  d.   PASTA  

4.   Качественная  и  количественная  оценка:  сравнение  подходов  a.   Можно  ли  доверять  экспертам?  Метод  Дельфи  b.   Психология  восприятия  рисков  безопасности  

5.   Моделирование  угроз  на  разных  этапах  жизненного  цикла  системы  

6.   4  стратегии  анализа  рисков  7.   Процесс  моделирования  угроз  

a.   Идентификация  угроз  b.   Как   оценить   ущерб?   Может   ли   ущерб   измеряться   не   деньгами?   Анализ  

последствий  (ущерба)  c.   Методы  финансовой  оценки  ущерба  d.   Ценность   материальных   и   нематериальных   активов.   Имеет   ли   информация  

стоимость?  В  чем  разница  цены  и  ценности?  e.   12  методов  оценки  стоимости  информации  f.   Классификация  последствий  g.   Анализ  неопределенностей  (чувствительности)  

8.   Как  проверить  адекватность  модели  угроз?  9.   Классификация  нарушителей  10.  Классификация  источников  угроз  11.  Каталоги  угроз  

a.   Банк  данных  угроз  ФСТЭК  b.   Банк  данных  уязвимостей  ФСТЭК  c.   CAPEC  d.   BSI  IT-­‐Grundschutz  Kataloge  

12.  Оценка  рисков  a.   16   методов   анализа   рисков   и   определения   опасностей.   Как   выбрать   адекватный  

метод?  b.   7  методов  оценки  вероятности  угроз  c.   Как  оценить  потенциал  нападения/нарушителя?  d.   Какая   градация  вероятностей  угроз  правильная?  9-­‐тиуровневая,  6-­‐тиуровневая,  3-­‐

хуровневая...?  13.  Зарубежные  и  отечественные  методики  моделирования  угроз  -­‐  ГОСТ  Р  ИСО/МЭК  13335-­‐3-­‐

2007,   ISO\IEC   TR   13569,   ГОСТ   Р   51344-­‐99,   "дерево   атак",   модель   угроз  Microsoft   (методы  DREAD   и   STRIDE),   модель   угроз   OWASP,   модель   Trike,   модель   N-­‐Softgoal,   модель   Digital  Security,   методики   ФСТЭК   для   персональных   данных,   коммерческой   тайны   и   ключевых  систем  информационной  инфраструктуры,  методика  ФСБ,  методика  Банка  России  и  т.п.  

a.   Проект  методики  ФСТЭК  России  14.  Примеры  различных  моделей  угроз  

a.   АСУ  ТП  b.   Беспилотный  летательный  аппарат  c.   Умные  часы  d.   Система  ДБО  e.   Секс-­‐робот  f.   Система  биометрической  идентификации  g.   Информационная  система  персональных  данных  h.   BIOS  i.   Сетевое  оборудование  

15.  Средства  автоматизации  моделирования  угроз  a.   ATK  b.   Trike  c.   MS  SDL  Threat  Modeling  Tool  d.   Cisco  Threat  Builder  e.   Threat  Modeler  от  MyAppSecurity  f.   Threat  Modeler  от  PASTA    g.   Seasponge  

16.  Как  правильно  оформить  модель  угроз?    Дополнительные  замечания    В  процессе  изучения  каждый  слушатель  получит  комплект  сопутствующих  документов,  шаблоны  модели  угроз  и  перечень  типовых  угроз,  покрывающий  80%  потребностей  любой  организации.    Продолжительность  курса    8  академических  часов