Интервью продюсера проекта Код ИБ Ольги Поздняк с Дмитрием Кузнецовым о том, что Дмитрий готовит на Код ИБ ПРОФИ в этом году.
ОП:
- Всем привет! Наша команда полным ходом готовит интенсив по управлению информационной безопасностью Код ИБ ПРОФИ, который пройдет с 9 по 12 сентября в Сочи. И каждый день я хотела бы встречаться здесь, в нашем чате Код ИБ Community с экспертами интенсива и расспрашивать у них, что же они приготовили для интенсива, о чем планируют говорить. И, собственно, почему наши участники должны именно их послушать. Почему те эксперты, которых мы позвали, действительно обладают компетенциями, в тех вопросах, о которых будут говорить.
И сегодняшний гость — это Дмитрий Кузнецов, директор по методологии и стандартизации компании Positive Technologies. Для интенсива Код ИБ ПРОФИ Дмитрий подготовил мастер класс о том, как моделировать угрозы в соответствии с новой методикой ФСТЭК, которая была презентована в начале 2021 года и сейчас мы узнаем о том, что планирует говорить Дмитрий на мастер классе на Код ИБ ПРОФИ в Сочи.
Дмитрий, привет. Расскажи, о чем ты планируешь говорить на Код ИБ ПРОФИ и почему тема, связанная с моделированием угроз по новой методике ФСТЭК, действительно важна и актуальна?
ДК:
- Многие методику прочитали и озаботились тем, что модель угроз надо разрабатывать, и это дело совсем непростое.
Но второй фактор даже важнее. Это то, что мы всё чаще сталкиваемся с инцидентами, такими достаточно резонансными, причём это инциденты и с государственными информационными системами, и с коммерческими компаниями. И до многих владельцев информационных систем начало доходить, что средства, потраченные на защиту, выполненную с соблюдением всех требований нормативных документов, потрачены впустую, ни от чего мы не защищены, на самом-то деле. И опять возник вопрос, от чего мы защищаемся, и способны ли мы защититься от того, чего боимся?
Поэтому появилась прямо очень большое направление деятельности. Мы это называем ИБ 2.0, то есть это практическая модель. Сформулировать можно так: сконцентрируйтесь на том, что для вас действительно важно. ФСТЭК с таким подходом тоже согласен, это отражено в новой методике моделирования угроз. То есть вместо того, чтобы обеспечивать абстрактные экзистенциальность, доступность, целостность, защищаться, нужно, во-первых, если мы говорим о коммерческой компании, ну и даже о госоргане, защищать нужно свою деятельность, от того, что этой деятельности может помешать. А для того, чтобы можно было защититься, нужно очень хорошо представлять, что плохого для этой деятельности может сделать, например, хакер, прямо по шагам.
Это требует совсем других подходов к моделированию, это требует очень глубокого знания возможных способов действия нарушителя. Это то, чем занимаются большие команды в России и за рубежом, те же самые команды Mitre, например. Этот опыт очень хочется распространять и в России.
Соответственно, на мастер классе речь пойдёт о самом подходе. Как это видит в себе регулятор, как именно должны моделироваться угрозы, какие подводные камни будут у того человека, который вплотную на практике займется моделированием, и как эти подводные камни обходим мы. То есть что-то недорегулировано в самой методике, что-то требует таких специфических приемов оптимизации работы, что-то требует специфических знаний. Вот такие нюансы, в основном, я и постараюсь рассказать.
ОП:
- А как ты считаешь, кому в первую очередь это было бы интересно?
ДК:
- В первую очередь это было бы интересно тем, для кого защита своих информационных ресурсов, это прямо, то, что от них требует бизнес. То есть для тех организаций, которые очень хорошо понимают, что хорошо проведенная атака на информационный ресурс — это приостановка деятельности и потеря средств. То есть тем организациям, владельцам которых не наплевать на безопасность.
Во вторую очередь тем, кто обязан соблюдать закон, кого могут оштрафовать, наказать и так далее. Я всегда говорю, что нам не очень интересно делать безопасность для галочки. Поэтому вопрос: «Как нам соответствовать требованиям ФСТЭК?» - он, наверное, меня волнует во вторую очередь.
ОП:
- Дмитрий, поясни еще почему именно ты можешь рассказывать про эту тему? Насколько глубок твой опыт? И почему участникам нашего интенсива Код ИБ ПРОФИ стоит узнать информацию от тебя?
ДК:
- Тема моделирования угроз развивается довольно долго. Я начал критиковать ФСТЭКовский подход ещё в году, наверное, в 2007, публично, на разных форумах и т. д. И как оказалось, ФСТЭК очень внимательно прислушивается к критике и уже, когда начали появляться документы нового поколения, те же самые 18, 21, 31 приказы. ФСТЭК всё чаще стал обращаться к критикам: «Парни, если уж вы так критикуете, а критикуете вы по делу, присоединяйтесь, мы создаём экспертную группу, которая разрабатывает вот такой-то документ, подключайтесь, давайте вместе работать».
Вот такая же экспертная группа была создана и при разработке методике моделирования угроз, туда вошли, и классики, хорошо известные интеграторы, и команды, специализирующиеся на моделировании угроз и пентестах, это мы, это Group-IB, это парни из Лаборатории Касперского и так далее. И получилось так, что я непосредственно принимал участие в разработке этой методики, и некоторые моменты, заложенные в методику, были включены туда с подачи нашей команды.
ОП:
- Хорошо, и почему ты думаешь, что на такие мероприятия, как Код ИБ ПРОФИ, обязательно стоит ездить? В чём важность таких событий, которые происходят в отрыве от рабочий деятельности, куда ты уезжаешь и погружаешься с головой?
ДК:
- Здесь есть два момента. Во-первых, есть возможность, как на любом офлайн мероприятии, отвлечься от насущных рабочих вопросов, погрузиться в ту тему, которая тебе интересна.
А второе, что отличает Код ИБ ПРОФИ от многих конференций и офлайн мероприятий, -это концентрация на практических аспектах. Можно много говорить, как важно соблюдать законодательство, только это не очень интересно и не даёт слушателю практической пользы. А вот вопрос «как решить конкретную задачу?», который действительно состоит у многих слушателей. Да, ради этого стоит поехать и плотно поработать над этим.
ОП:
- Хорошо, спасибо тебе огромное Дмитрий, что заглянул на огонёк поделился тем, что готовишь для Код ИБ ПРОФИ и, собственно, до встречи с 9 по 12 сентября в Сочи.
ДК:
- Да, спасибо, до свидания.
Об эксперте:
Методолог, специализирующийся на практических аспектах обеспечения информационной безопасности. Руководитель научных исследований Positive Technologies по методологии анализа защищенности, выявления уязвимостей, анализа угроз, реагирования на инциденты, безопасной разработки . Соавтор ряда государственных и отраслевых стандартов, участник рабочих групп по регулированию вопросов информационной безопасности ФСТЭК, ФСБ, Банка России.
Окончил факультет ВМК МГУ. С 1999 по 2006 годы занимался созданием систем информационной безопасности информационных ресурсов органов государственной власти. В 2005—2006 годах участвовал в экспертизе стандарта Центрального банка РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
Работает в компании Positive Technologies с 2008 года. Эксперт по вопросам банковской безопасности и нормативной-правовой базы в области ИБ. Участвует в разработке нормативных документов ФСТЭК и ЦБ РФ, входит в качестве эксперта в три технических комитета по стандартизации — «Криптографическая защита информации» (ТК 26), «Стандарты финансовых операций» (ТК 122) и «Защита информации» (ТК 362).
Принимал участие в создании стандартов по описанию и классификации уязвимостей ГОСТ Р 56545-2015 и ГОСТ Р 56546-2015, стандарта «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014), нескольких нормативных документов ФСТЭК. Участвует в разработке архитектуры Государственной системы обнаружения и предупреждения компьютерных атак (ГосСОПКА).