Отечественная нормативка в сфере ИБ традиционно всегда шла своим путем. Требование наличия «Модели угроз» в том или ином виде кочует еще со времен РД Гостехкомисиии, первых версий подзаконных актов во исполение ФЗ-152, методичек ФСТЭК по КСИИ и т.п. В тоже время, моделирование угроз часто воспринимается как лишняя «бумажная работа», очередной документ в копилку ОРД огранизации, ведь он не отменяет и не смягчает обязанность выполнять меры согласно приказам ФСТЭК 21, 17, 31, 239 и другим. К очередной версии «Методики моделирования угроз ФСТЭК» снова много вопросов, особенно в области практического применения. На самом же деле, моделирование угроз, верная оценка рисков и приоритезация выстраивания системы защиты – это ключевая и самая первая задача ИБ, если ее цель быть эффективной, помогать бизнесу и обеспечивать «практическую» безопасность. На мастер-классе не будет пересказа какой-то конкретной верхнеуровневой методики, напротив, рассмотрим практические «приземленные» аспекты на примерах.

На мастер-классе мы рассмотрим:

• Ключевые задачи службы ИБ и специфику рисков в этой сфере.

• Для чего нужно оценивать риски и причем здесь моделирование угроз.

• Различные подходы к моделированию угроз согласно признанным стандартам и практикам крупнейших международных компаний.

• Количественная и качественная оценка, как комбинировать.

• Что важно для любой модели угроз, а чем можно принебречь в зависимости от уровня зрелости ИБ в компании.

• На чем фокусироваться и какие вопросы задавать (самому себе и архитекторам систем) при моделировании угроз.

• Как документировать моделирование угроз и есть ли автоматизированные решения.

• Практическая часть с аудиторией: пройдем по этапам моделирования угроз, разберем кейсы.