Successfully reported this slideshow.
Your SlideShare is downloading. ×

Threat Modeling (Part 5)

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Threat Modeling (Part 3)
Threat Modeling (Part 3)
Loading in …3
×

Check these out next

1 of 37 Ad

More Related Content

Slideshows for you (20)

Similar to Threat Modeling (Part 5) (20)

Advertisement

More from Aleksey Lukatskiy (20)

Threat Modeling (Part 5)

  1. 1. Другие методики моделирования Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 359/398
  2. 2. Другие методики моделирования угроз  Trike  IT-Grundschutz Methodology от BSI (Германия)  AS/NZS 4360:2004 (Австралия)  MAGERIT: Risk Analysis and Management Methodology for Information Systems (Испания)  EBIOS - Expression of Needs and Identification of Security Objectives (Франция)  MEHARI (Франция)  OCTAVE  FRAP  NIST 800-30 (США) Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 360/398
  3. 3. Другие методики моделирования угроз  MG-2, MG-3 (Канада)  SOMAP  IRAM Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 361/398
  4. 4. Примеры моделей угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 362/398
  5. 5. Модель угроз для биометрической аутентификации Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 363/398
  6. 6. Примеры моделей угроз для ПДн  Пример 1 Администрация Смоленской области  Пример 2 АБС «Платформа ЦФТ»  Пример 3 Частная модель угроз для канала связи  Пример 4 Положение о моделях угроз и нарушителя  Пример 5 Администрация г.Стерлитамак Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 364/398
  7. 7. Как автоматизировать моделирование угроз? Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 365/398
  8. 8. Варианты автоматизации  Электронные таблицы  ПО Wingdoc ПД от НТЦ Сфера  DS Office от Digital Security  РискМенеджер от ИСП РАН  CRAMM  Skybox  Tiramisu  DFD Studio  Иные средства автоматизации анализа рисков Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 366/398
  9. 9. Microsoft threat modeling tool http://msdn.microsoft.com/security/securecode/threatmodeling/default.aspx Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 367/398
  10. 10. Tiramisu Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 368/398
  11. 11. DFD Studio Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 369/398
  12. 12. Wingdoc: Ввод базовой информации Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 370/398
  13. 13. Wingdoc: Анкетирование ИСПДн Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 371/398
  14. 14. Wingdoc: Отсутствующие угрозы Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 372/398
  15. 15. Wingdoc: Список актуальных угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 373/398
  16. 16. Wingdoc: Анализ конкретной угрозы Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 374/398
  17. 17. Wingdoc: Влияние ответов анкеты на результат Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 375/398
  18. 18. Wingdoc: Список невозможных угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 376/398
  19. 19. Wingdoc: Формирование отчета Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 377/398
  20. 20. Как оформить модель угроз? Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 378/398
  21. 21. Как оформить модель угроз?  Нормативные документы ФСТЭК и ФСБ не дают ответа на вопрос «как оформить модель угроз?»  Вы вправе самостоятельно выбрать форму этого документа  Если моделирование угроз реализуется не «для галочки», то Желательно учитывать существующие нормативные документы в смежных областях Пишите на понятном предполагаемой аудитории языке Учитывайте, что вы можете уйти из компании и модель угроз может анализировать человек, который ее не составлял (комментируйте и обосновывайте свои позиции и выводы) Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 379/398
  22. 22. Пример оформления модели угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 380/398
  23. 23. Пример оформления модели угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 381/398
  24. 24. Пример оформления модели угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 382/398
  25. 25. Пример оформления модели угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 383/398
  26. 26. Пример оформления модели угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 384/398
  27. 27. Содержание по ГОСТ Р 52448-2005  Модель угроз должна включать Описание ресурсов инфокоммуникационной структуры (объектов безопасности) сети связи, требующих защиты Описание источников формирования дестабилизирующих воздействий и их потенциальных возможностей Стадии жизненного цикла сети электросвязи Описание процесса возникновения угроз и путей их практической реализации  Приложение к модели угроз Полный перечень угроз База данных выявленных нарушений безопасности электросвязи с описанием обстоятельств, связанных с обнаружением нарушением Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 385/398
  28. 28. Содержание по ГОСТ Р 51344-99  Документация оценки и определения риска включает Характеристика оборудования (техусловия, область применения, использование по назначению) Любые относящиеся к делу предположения, которые были сделаны (например, факторы безопасности и т.д.) Идентифицированные опасности Информация, на основании которой сделана оценка и определение риска (использованные данные и источники) Сомнения, связанные с использованными данными и источниками Цели, которые должны быть достигнуты защитными мерами (например, конфиденциальность, целостность и т.д.) Меры безопасности, принимаемые для устранения выявленных опасностей или уменьшения риска Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 386/398
  29. 29. Содержание по ГОСТ Р 51344-99 (окончание)  Документация оценки и определения риска включает Остаточные риски Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 387/398
  30. 30. Содержание по ГОСТ Р 51901.1-2002  Отчет по анализу риска/угроз включает Краткое изложение анализа Выводы Цели и область применения анализа Ограничения, допущения и обоснование предположений Описание соответствующих частей системы Методология анализа Результаты идентификации опасностей Используемые модели, в т.ч. допущения и их обоснования Используемые данные и их источники Результаты оценки величины риска Анализ чувствительности и неопределенности Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 388/398
  31. 31. Содержание по ГОСТ Р 51901.1-2002 (окончание)  Отчет по анализу риска/угроз включает Рассмотрение и обсуждение результатов Рассмотрение и обсуждение трудностей моделирования Ссылки и рекомендации Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 389/398
  32. 32. Заключение Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 390/398
  33. 33. “В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающем доверие методом, приносящим воспроизводимые результаты.” ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Presentation_ID Threat Modeling © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 391/398
  34. 34. Что дальше?  Избежание риска Устранение источника угрозы…  Принятие риска Бороться себе дороже  Передача риска Аутсорсинг, страхование…  Снижение рисков Реализация защитных мер… Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 392/398
  35. 35. Защитные мероприятия  В зависимости от выбранной методологии моделирования угроз (анализа рисков) перечень предлагаемых защитных мер может предлагаться тем же стандартом ISOIEC TR 13335-4 ISO 27002 IT-Grundschutz Methodology СТО БР ИББС-1.0 Четверокнижие ФСТЭК по ПДн и КСИИ И т.д.  В ряде случаев стандарты включают рекомендации по выбору, а не только их законченный список Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 393/398
  36. 36. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 394/398
  37. 37. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 395/398

×