Software Development

• Russian Federation GOST R 56939-2024 - Information protection. Secure software development. General requirements
• Russian Federation GOST R ISO/IEC 12207-2010 - System and software engineering, Software life cycle processes(IDT)
• Russian Federation GOST R 58412—2019
• Russian Federation GOST R 50922-2006 - Protection of information. Basic terms and definitions
• Russian Federation GOST R 57628-2017 - Information technology. Security techniques. Guide for the production of Protection Profiles and Security Targets

• Угрозы по месту
  • Внутренние
  • Внешние
• Угрозы по видимости
  • Активные
  • Пассивные
• Угрозы по доступу
  • С несанкционированным доступом
  • С утечкой или нарушением целостности данных
• Угрозы по цели
  • Угрозы данных
  • Угрозы компонентам, информационным сервисам
  • Угрозы по апратному обеспечению
  • Угрозы по обеспечивающей инфраструктуре
• Угрозы по объективности
  • Объективные
  • Субъективные
  • Случайные

• Colculation
  • The amount of risk = the probability of the event * the amount of damage
  • Probability of an event = the probability of a threat * the magnitude of the vulnerability
  • ALE = SLE * ARO
• Risk analysis
  1. Идентификация активов
  2. Определение ценности активов
  3. Идентификация угрозы активам
  4. Идентификация уязвимости в системе защиты
  5. Оценка вероятности реализации угроз и влияние и их влияние на бизнес
  6. Оценка стоимиости возможных негативных последствий и стоимости мер защиты
  7. Формирование конкретных, приоритизированных рекоменгдаций по выявленным рискам и методам их минимизации
• Approaches to risk analysis
  • Qualitative analysis
    • Risk
    • Description
    • Probability
    • Impact
    • Result
    • Risk mitigation measures
  • Quantitative analysis
    • Methods
      • Quantitative risk indicators
        • ALE(Annual Loss Expectancy)
        • SLE(Single Loss Expectancy)
        • EF(Exposure Factor)
        • ARO(Annualized Rate of Occurrence)
      • Static analysis
        • Trend Analysis
        • Regression analysis
        • Time series analysis
        • Bayesian analysis
      • The Monte-Carlo
  • Combined analysis
    • OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)
    • FAIR(Factor Analysis of Information Risk)
    • RMF(NIST Risk Management Framework)
    • ISO/IEC 27005
    • ENISA Risk Management Framework
    • COBIT(Control Objectives for Information and Related Technologies)
    • Risk IT Framework
    • ISO 31000
• Information Security Architecture
  • access control mechanisms
  • threat monitoring and management systems
  • data protection measures
  • measures to comply with regulatory requirements

• Standarts
  • ISO/IEC 27001, ISO/IEC 27002
    • Public data
    • Internal data
    • Confidential data
    • Secret data
  • NIST SP 800-53, NIST SP 800-60
    • Low impact
    • Moderate impact
    • High impact
  • 152-ФЗ «О персональных данных»
    • Publicly available personal data
    • Personal data
    • Special categories of personal data

• Homomorphic encryption
• Data Loss Prevention (DLP)
• Data Obfuscation Mechanisms
  • Tokenization of data
  • Shuffling
  • Zeroing/Substitution
  • Character Scrambling
• Data Masking
  • Static Data Masking
  • Dynamic Data Masking
  • Deterministic Masking
  • Non-Deterministic Masking

• RBAC(Role-Based Access Control)
• ABAC(Attribute-Based Access Control)
  • OASIS
  • ALFA
  • NIST