Что такое угроза и риск?
Характеристики угроз и элементы риска. Что такое модель угроз? Анализ рисков vs. анализ угроз.
Зачем нужно моделирование угроз?
Общий подход к моделированию угроз в современном мире
-
Ориентированная на объект защиты (asset centric)
-
Ориентированная на нарушителя (attacker centric)
-
Ориентированная на дизайн (software centric)
-
PASTA
Качественная и количественная оценка: сравнение подходов
Можно ли доверять экспертам? Метод Дельфи. Психология восприятия рисков безопасности
Моделирование угроз на разных этапах жизненного цикла системы
4 стратегии анализа рисков
Процесс моделирования угроз
-
Идентификация угроз
-
Как оценить ущерб? Может ли ущерб измеряться не деньгами? Анализ последствий (ущерба)
-
Методы финансовой оценки ущерба
-
Ценность материальных и нематериальных активов. Имеет ли информация стоимость? В чем разница цены и ценности?
-
12 методов оценки стоимости информации
-
Классификация последствий
-
Анализ неопределенностей (чувствительности)
Как проверить адекватность модели угроз?
Классификация нарушителей
Классификация источников угроз
Каталоги угроз
-
Банк данных угроз ФСТЭК
-
Банк данных уязвимостей ФСТЭК
-
CAPEC
-
MITRE
-
BSI IT-Grundschutz Kataloge
Оценка рисков
-
16 методов анализа рисков и определения опасностей. Как выбрать адекватный метод?
-
7 методов оценки вероятности угроз. Насколько вообще можно оценить вероятность динамически изменяющейся системы?
-
Как оценить потенциал нападения/нарушителя?
-
Какая градация вероятностей угроз правильная? 9-тиуровневая, 6-тиуровневая, 3-хуровневая...?
Зарубежные и отечественные методики моделирования угроз
ГОСТ Р ИСО/МЭК 13335-3-2007, ISO\IEC TR 13569, ГОСТ Р 51344-99, "дерево атак", модель угроз Microsoft (методы DREAD и STRIDE), модель угроз OWASP, модель Trike, модель N-Softgoal, методики ФСТЭК для персональных данных, коммерческой тайны и ключевых систем информационной инфраструктуры, методика ФСБ, методика Банка России и т.п.
-
Проект методики ФСТЭК России
Примеры различных моделей угроз
-
АСУ ТП
-
Беспилотный летательный аппарат
-
Умные часы
-
Система ДБО
-
Секс-робот
-
Система биометрической идентификации
-
Информационная система персональных данных
-
BIOS
-
Сетевое оборудование
Средства автоматизации моделирования угроз
-
ATK
-
Trike
-
MS SDL Threat Modeling Tool
-
Cisco Threat Builder
-
Threat Modeler от MyAppSecurity
-
Threat Modeler от PASTA
-
Seasponge
Как правильно оформить модель угроз?
ПРЕПОДАВАТЕЛЬ КУРСА:
Лукацкий Алексей Викторович, ведущий российский эксперт в области информационной безопасности.
|
УСЛОВИЯ И СТОИМОСТЬ УЧАСТИЯ В КУРСЕ
ФОРМА ОБУЧЕНИЯ: ЭЛЕКТРОННЫЙ КУРС
|
Период обучения
|
5 дней (40 часов)
|
|
В стоимость обучения входит
|
запись курса; презентации лектора, тестирование
|
|
СТОИМОСТЬ УЧАСТИЯ
С выдачей удостоверения о повышении квалификации в объеме 40 часов
|
9 990 рублей
|
|
|