Дмитрий Кузнецов - директор по методологии и стандартизации Positive Technologies, провел в рамках Код ИБ Академии онлайн мастер-класс, посвященный теме “Моделирование угроз по новой методике ФСТЭК, ч.2”
Дмитрий Кузнецов
Директор по методологии и стандартизации, Positive Technologies
Методолог, специализирующийся на практических аспектах обеспечения информационной безопасности. Руководитель научных исследований Positive Technologies по методологии анализа защищенности, выявления уязвимостей, анализа угроз, реагирования на инциденты, безопасной разработки.
Эксперт по вопросам банковской безопасности и нормативной-правовой базы в области ИБ. Участвует в разработке нормативных документов ФСТЭК и ЦБ РФ, входит в качестве эксперта в три технических комитета по стандартизации — «Криптографическая защита информации» (ТК 26), «Стандарты финансовых операций» (ТК 122) и «Защита информации» (ТК 362).
Участник рабочих групп по регулированию вопросов ИБ ФСТЭК, ФСБ, Банка России
Принимал участие в создании стандартов по описанию и классификации уязвимостей ГОСТ Р 56545-2015 и ГОСТ Р 56546-2015, стандарта «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)
Участвует в разработке архитектуры Государственной системы обнаружения и предупреждения компьютерных атак (ГосСОПКА)
Введение
Данный материал является продолжением мастер-класса "Моделирование угроз по новой методике ФСТЭК"
Разработка модели угроз традиционно рассматривается как некое ритуальное действие, призванное формально удовлетворить требования приказов ФСТЭК по безопасности государственных информационных систем, персональных данных и значимых объектов критической информационной инфраструктуры. Регулятор с таким отношением не согласен, и в феврале 2021 года, после почти двух лет работы, был выпущен методический документ «Методика оценки угроз безопасности информации».
Методика направлена на детальное моделирование возможных действий нарушителя и основана на методологии MITRE Att&CK, к ее разработке в качестве экспертов привлекали специалистов Positive Technologies, Group-IB, Лаборатории Касперского. Несмотря на активный интерес к документу в блогосфере, в его обсуждении очень мало публикаций на тему “как ФСТЭК предлагает моделировать угрозы” и слишком много – о том, чем именно документ не нравится тому или иному блогеру. Этот перекос мы и постараемся исправить.
На мастер-классе мы разберем:
Что авторы методики называют моделью угроз и как она связана с основными требованиями регулятора
Как организован процесс моделирования угроз в компании с 1000+ сотрудников и как его масштабировать на более крупные структуры
Как “угрозы по ФСТЭК” связаны с бизнес-рисками компании
Как выбрать и описать адекватную модель нарушителя
Что такое техники и тактики, какие источники использовать для их описания и как это согласуется с требованием “использовать банк данных угроз и уязвимостей ФСТЭК”
Тестирование на проникновение как инструмент верификации модели угроз и системы защиты
Использование модели угроз как инструмента для планирования реагирования на инциденты
Перечень документов, необходимых для сертификации системы управления ИБ по стандарту ISO 27001.
Содержание мастер-класса
Общие вопросы
Какую практическую пользу может дать модель угроз, если она пишется еще до проектирования системы?
Как при моделировании угроз использовать БДУ ФСТЭК?
Требуется ли лицензия подрядчику, проводящему анализ угроз?
Как моделировать угрозы в случае размещения информационной системы в ЦОД или в облаке?
Определение негативных последствий
Кто должен принимать решение об актуальности негативного последствия?
Как выглядит процесс определения негативных последствий?
Определение объектов воздействия
Нужно ли проводить инвентаризацию всей ИТ-инфраструктуры?
Как определить, что может стать объектом воздействия?
Если ЦОД или оператор облака не хочет сотрудничать, чем это грозит?
Определение источников угроз
В методике жестко заданы виды нарушителей, их цели и возможности. Как это использовать? Должна ли поликлиника защищаться от атак со стороны спецслужб и если нет, то как это обосновать?
Почему в основном упоминаются нарушители? Как моделировать ошибки пользователей?
Какие источники угроз считать техногенными такие угрозы?
Оценка способов реализации угроз
Что такое “способ реализации угрозы”? Что вообще понимается под угрозой? В методике есть определение? В методике есть определение, но оно никак не используется.
Что такое интерфейсы объектов воздействия?
Оценка актуальности угроз и разработка сценариев
Как строятся сценарии? Насколько детальными должны быть сценарии?
Должны ли в сценариях учитываться реализованные меры защиты?
Для чего в методике вводятся собственные тактики и техники, отличающиеся от ATT&CK и CAPEC? Почему нельзя использовать уже имеющиеся таксономии тактик и техник?
Оформить доступ
Для просмотра записи данного мастер-класса, вам необходимо авторизоваться на платформе Код ИБ Академия и оплатить доступ.
Срок доступа к материалам - 1 год с момента оплаты.
Стоимость - 1500 руб.
Хотите наращивать компетенции и быть в курсе передового опыта продвинутых экспертов и коллег по цеху?
Оформите годовую подписку на проект Код ИБ Академия и вы получите доступ ко всем онлайн эфирам в течение года и записям более 100 уникальных мастер-классов по менеджменту в ИБ, которые уже есть в нашей Базе знаний.