Skip to main content
Notes by Peter Galonza(Пётр Галонза)
GitHub Toggle Dark/Light/Auto mode Toggle Dark/Light/Auto mode Toggle Dark/Light/Auto mode Back to homepage
  1. Hi, it’s my notes
  2. /
  3. Security
  4. /
  5. Software Development

Software Development

Standards

Russian Federation GOST R 56939-2024

Types of threats

  • Угрозы по месту
    • Внутренние
    • Внешние
  • Угрозы по видимости
    • Активные
    • Пассивные
  • Угрозы по доступу
    • С несанкционированным доступом
    • С утечкой или нарушением целостности данных
  • Угрозы по цели
    • Угрозы данных
    • Угрозы компонентам, информационным сервисам
    • Угрозы по апратному обеспечению
    • Угрозы по обеспечивающей инфраструктуре
  • Угрозы по объективности
    • Объективные
    • Субъективные
    • Случайные

Risk management

  • Colculation
    • The amount of risk = the probability of the event * the amount of damage
    • Probability of an event = the probability of a threat * the magnitude of the vulnerability
    • ALE = SLE * ARO
  • Risk analysis
    1. Идентификация активов
    2. Определение ценности активов
    3. Идентификация угрозы активам
    4. Идентификация уязвимости в системе защиты
    5. Оценка вероятности реализации угроз и влияние и их влияние на бизнес
    6. Оценка стоимиости возможных негативных последствий и стоимости мер защиты
    7. Формирование конкретных, приоритизированных рекоменгдаций по выявленным рискам и методам их минимизации
  • Approaches to risk analysis
    • Qualitative analysis
      • Risk
      • Description
      • Probability
      • Impact
      • Result
      • Risk mitigation measures
    • Quantitative analysis
      • Methods
        • Quantitative risk indicators
          • ALE(Annual Loss Expectancy)
          • SLE(Single Loss Expectancy)
          • EF(Exposure Factor)
          • ARO(Annualized Rate of Occurrence)
        • Static analysis
          • Trend Analysis
          • Regression analysis
          • Time series analysis
          • Bayesian analysis
        • The Monte-Carlo
    • Combined analysis
      • OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)
      • FAIR(Factor Analysis of Information Risk)
      • RMF(NIST Risk Management Framework)
      • ISO/IEC 27005
      • ENISA Risk Management Framework
      • COBIT(Control Objectives for Information and Related Technologies)
      • Risk IT Framework
      • ISO 31000
  • Information Security Architecture
    • access control mechanisms
    • threat monitoring and management systems
    • data protection measures
    • measures to comply with regulatory requirements

Classification of data

  • Standarts
    • ISO/IEC 27001, ISO/IEC 27002
      • Public data
      • Internal data
      • Confidential data
      • Secret data
    • NIST SP 800-53, NIST SP 800-60
      • Low impact
      • Moderate impact
      • High impact
    • 152-ФЗ «О персональных данных»
      • Publicly available personal data
      • Personal data
      • Special categories of personal data

Data protection

  • Tokenization of data
  • Homomorphic encryption
  • Data Loss Prevention (DLP)
gdoc_arrow_left_alt Cryptography Management and Mentoring gdoc_arrow_right_alt