Contenu connexe
Similaire à Threat Modeling (Part 5)
Similaire à Threat Modeling (Part 5) (20)
Plus de Aleksey Lukatskiy
Plus de Aleksey Lukatskiy (20)
Threat Modeling (Part 5)
- 1. Другие методики
моделирования
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 359/398
- 2. Другие методики моделирования угроз
Trike
IT-Grundschutz Methodology от BSI (Германия)
AS/NZS 4360:2004 (Австралия)
MAGERIT: Risk Analysis and Management Methodology
for Information Systems (Испания)
EBIOS - Expression of Needs and Identification of
Security Objectives (Франция)
MEHARI (Франция)
OCTAVE
FRAP
NIST 800-30 (США)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 360/398
- 3. Другие методики моделирования угроз
MG-2, MG-3 (Канада)
SOMAP
IRAM
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 361/398
- 4. Примеры моделей
угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 362/398
- 5. Модель угроз для биометрической
аутентификации
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 363/398
- 6. Примеры моделей угроз для ПДн
Пример 1
Администрация Смоленской области
Пример 2
АБС «Платформа ЦФТ»
Пример 3
Частная модель угроз для канала связи
Пример 4
Положение о моделях угроз и нарушителя
Пример 5
Администрация г.Стерлитамак
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 364/398
- 7. Как
автоматизировать
моделирование
угроз?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 365/398
- 8. Варианты автоматизации
Электронные таблицы
ПО Wingdoc ПД от НТЦ Сфера
DS Office от Digital Security
РискМенеджер от ИСП РАН
CRAMM
Skybox
Tiramisu
DFD Studio
Иные средства автоматизации анализа рисков
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 366/398
- 9. Microsoft threat modeling tool
http://msdn.microsoft.com/security/securecode/threatmodeling/default.aspx
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 367/398
- 12. Wingdoc: Ввод базовой информации
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 370/398
- 17. Wingdoc: Влияние ответов анкеты на
результат
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 375/398
- 20. Как оформить
модель угроз?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 378/398
- 21. Как оформить модель угроз?
Нормативные документы ФСТЭК и ФСБ не дают
ответа на вопрос «как оформить модель угроз?»
Вы вправе самостоятельно выбрать форму этого
документа
Если моделирование угроз реализуется не «для
галочки», то
Желательно учитывать существующие нормативные
документы в смежных областях
Пишите на понятном предполагаемой аудитории языке
Учитывайте, что вы можете уйти из компании и модель угроз
может анализировать человек, который ее не составлял
(комментируйте и обосновывайте свои позиции и выводы)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 379/398
- 27. Содержание по ГОСТ Р 52448-2005
Модель угроз должна включать
Описание ресурсов инфокоммуникационной структуры
(объектов безопасности) сети связи, требующих защиты
Описание источников формирования дестабилизирующих
воздействий и их потенциальных возможностей
Стадии жизненного цикла сети электросвязи
Описание процесса возникновения угроз и путей их
практической реализации
Приложение к модели угроз
Полный перечень угроз
База данных выявленных нарушений безопасности
электросвязи с описанием обстоятельств, связанных с
обнаружением нарушением
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 385/398
- 28. Содержание по ГОСТ Р 51344-99
Документация оценки и определения риска включает
Характеристика оборудования (техусловия, область
применения, использование по назначению)
Любые относящиеся к делу предположения, которые были
сделаны (например, факторы безопасности и т.д.)
Идентифицированные опасности
Информация, на основании которой сделана оценка и
определение риска (использованные данные и источники)
Сомнения, связанные с использованными данными и
источниками
Цели, которые должны быть достигнуты защитными мерами
(например, конфиденциальность, целостность и т.д.)
Меры безопасности, принимаемые для устранения выявленных
опасностей или уменьшения риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 386/398
- 29. Содержание по ГОСТ Р 51344-99 (окончание)
Документация оценки и определения риска включает
Остаточные риски
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 387/398
- 30. Содержание по ГОСТ Р 51901.1-2002
Отчет по анализу риска/угроз включает
Краткое изложение анализа
Выводы
Цели и область применения анализа
Ограничения, допущения и обоснование предположений
Описание соответствующих частей системы
Методология анализа
Результаты идентификации опасностей
Используемые модели, в т.ч. допущения и их обоснования
Используемые данные и их источники
Результаты оценки величины риска
Анализ чувствительности и неопределенности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 388/398
- 31. Содержание по ГОСТ Р 51901.1-2002
(окончание)
Отчет по анализу риска/угроз включает
Рассмотрение и обсуждение результатов
Рассмотрение и обсуждение трудностей моделирования
Ссылки и рекомендации
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 389/398
- 33. “В настоящее время нельзя говорить о
правильном или неправильном методе
анализа риска. Важно, чтобы организация
пользовалась наиболее удобным и
внушающем доверие методом, приносящим
воспроизводимые результаты.”
ГОСТ Р ИСО/МЭК ТО 13335-3-2007
Presentation_ID
Threat Modeling © 2006 Cisco Systems, Inc. Systems, reserved.
© 2008 Cisco All rights Inc. All rights Cisco Confidential
reserved. 391/398
- 34. Что дальше?
Избежание риска
Устранение источника угрозы…
Принятие риска
Бороться себе дороже
Передача риска
Аутсорсинг, страхование…
Снижение рисков
Реализация защитных мер…
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 392/398
- 35. Защитные мероприятия
В зависимости от выбранной методологии
моделирования угроз (анализа рисков) перечень
предлагаемых защитных мер может предлагаться
тем же стандартом
ISOIEC TR 13335-4
ISO 27002
IT-Grundschutz Methodology
СТО БР ИББС-1.0
Четверокнижие ФСТЭК по ПДн и КСИИ
И т.д.
В ряде случаев стандарты включают рекомендации
по выбору, а не только их законченный список
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 393/398
- 36. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 394/398
- 37. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 395/398