Методические рекомендации по проведению аудита безопасности критичных онлайн-приложений Вячеслав Железняков, Softline Инфофорум 2013.

Презентация:

Advertisements

Похожие презентации

Организация корпоративной защиты от вредоносных программ Алексей Неверов Пермский государственный университет, кафедра Процессов управления и информационной.

Advertisements

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм.

Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия,

Energy Consulting/ Integration Информационно- технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ.

ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ Взгляд со стороны злоумышленника.

Коробочное решение для защиты электронного документооборота Андрей ШАРОВ Электронные Офисные Системы 2007.

Разработка учебно-лабораторного стенда для проведения тестов на проникновение в типовую корпоративную локально- вычислительную сеть предприятия Научный.

Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э.

Программа повышения квалификации «Обеспечение функционирования ситуационных центров органов государственной власти субъектов РФ с учетом требований информационной.

Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.

Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей.

8. Федеральные критерии безопасности информационных технологий.

Средства анализа защищённости Раздел 2 – Тема 12.

Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.

Компьютерная безопасность: современные технологии и математические методы защиты информации.

Подготовил : Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития.

Software Cloud Services Экспертиза информационной безопасности в банковской организации Таран Дмитрий Консультант по информационной безопасности

Новая ИТ-стратегия для государственных организаций. Особенности аудита и лицензирования программного обеспечения. ИТ-образование для государственных организаций.

Топчий Андрей, Южно-Уральский государственный университет IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Топчий.

1 Актуальные проблемы международной информационной безопасности ИНФОФОРУМ 15 сентября 2009 Владимир Мамыкин Директор по информационной безопасности ООО.

Транксрипт:

Методические рекомендации по проведению аудита безопасности критичных онлайн-приложений Вячеслав Железняков, Softline Инфофорум 2013

Киберугрозы Коммерческая направленность Организованность Объем Современные технологии Узкая специализация Ориентированы на данные и приложения Социальная инженерия

Экосистема приложения Файловые хранилища Системы ЭДО/ЭП Платформа виртуализации Технологические системы SOA/ESBСУБД Активные сетевые устройстваАппаратное обеспечение Корпоративные порталы Рабочие станции Мобильные устройства, удаленный доступ Прикладное ПО Серверная ОС Active Directory Онлайн- приложения Люди

Как защититься от киберугроз Анализ защищенности Постановка задачи Определение угроз Оценка защищенности Выбор мер защиты

Анализ защищенности (из опыта работы) «Нельзя вот так просто взять и найти все уязвимости в сложной экосистеме» © Андрей Петухов (SolidLab) Что нужно сделатьКакие могут быть проблемы Осознать необходимость обеспечения безопасности Недостаточно информированы. Не осознаем реальности угрозы Поставить задачу и определиться с подходом к ее решению Решаем не ту задачу или используем неверный подход Определить рассматриваемые классы угроз (нарушителей) Пропускаем актуальные классы угроз (нарушителей) Определить границы обследования, требуемые результаты Не понимаем границ экосистемы, неверно выбираем перечень объектов обследования, требования к результатам Выбрать квалифицированного исполнителя и методику Выбираем не того поставщика, неподходящую методику

Какая методика будет использована в проекте? Есть ли обоснование того, что данная методика позволит решить задачи проекта? Какое место в этой методике занимают инструменты и какие? Наличие каких классов уязвимостей будет устанавливаться при анализе? Как будут обнаруживаться логические ошибки (в т.ч. уязвимости авторизации)? Какие классы уязвимостей, открытых в последнее время, будут исследоваться в рамках проекта и каким образом? Как будет оцениваться критичность найденных уязвимостей? Какие возможные варианты решения могут быть предложены Выбор исполнителя

Популяризация грамотного подхода к обеспечению ИБ Формирование требований и стандартов, касающихся этапа планирования ИБ Распространение информации об актуальных угрозах Применение специализированных решений, актуальных современным угрозам Обучение и поддержание квалификации специалистов ИБ Как защититься от киберугроз? Application Security Verification Standard Project

Спасибо за внимание! Вячеслав Железняков Руководитель Департамента информационной безопасности +7 (909)