Software Cloud Services Экспертиза информационной безопасности в банковской организации Таран Дмитрий Консультант по информационной безопасности DmitriyT@softline.by.

Презентация:

Advertisements

Похожие презентации

Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»

Advertisements

Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия,

Меры, позволяющие обеспечить информационную безопасность в банке ОАО «Центр банковских технологий» Беларусь, Минск, ул. Кальварийская 7 Тел.: +375.

Александр Митрохин Руководитель направления ИБ Автоматизированный контроль за выполнением требований ИБ.

Решения для автоматизации банков на платформе IBM FileNet.

Открытое акционерное общество «АГАТ-системы управления» – управляющая компания холдинга «Геоинформационные системы управления» пр. Независимости,117, ,

Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей.

Центр Информационной Безопасности Softline 7(495) ,

ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ Взгляд со стороны злоумышленника.

СОЗДАНИЕ И РАЗВИТИЕ ОТКРЫТОЙ ЭЛЕКТРОННОЙ БИБЛИОТЕКИ РЕЗУЛЬТАТОВ ПРОЦЕССОВ МОДЕРНИЗАЦИИ РОССИЙСКОГО ОБРАЗОВАНИЯ, ВКЛЮЧАЯ ЭКСПЕРТИЗУ И ЭКСПЕРТНУЮ ОЦЕНКУ.

Положение об отделе В.Андреев, Д.Сатин. Штат отдела начальник отдела; бизнес-аналитик; проектировщик пользовательских интерфейсов; специалист по анализу.

1 Руководство по внутреннему аудиту Доротея Манолова Руководитель CHUIA Министерство финансов Республика Болгария PEM-PAL ПС по ВА Рабочее заседание пособие.

Проект п-Ф-192 Научно-исследовательская работа «РАЗРАБОТКА СТРУКТУРЫ И МЕТОДИКИ ФОРМИРОВАНИЯ ЕДИНОГО ФЕДЕРАЛЬНОГО БАНКА ИЗМЕРИТЕЛЬНЫХ МАТЕРИАЛОВ.

«1С:Документооборот 8». Зачем автоматизировать документооборот? Единая информационная база документов Возможность параллельного выполнения операций Непрерывность.

Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.

Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм.

Новая ИТ-стратегия для государственных организаций. Особенности аудита и лицензирования программного обеспечения. ИТ-образование для государственных организаций.

Информационные системы в экономике Лекция 1. Основные понятия и определения Автоматизированная информационная система это совокупность технических программных.

Владимирский государственный университет кафедра Информатики и защиты информации доцент Курысев К.Н. Боровицкий Д.В. КЗИ-204 Разработка комплексной системы.

Транксрипт:

Software Cloud Services Экспертиза информационной безопасности в банковской организации Таран Дмитрий Консультант по информационной безопасности +375 (17)

Экспертиза информационной безопасности – комплекс мероприятий по обследованию информационных систем или процессов компании на предмет их защищенности или соответствия определенным стандартам. Что такое экспертиза информационной безопасности? Экспертиза ИБ позволяет руководству компании оценить общий уровень обеспечения ИБ, выявить уязвимые места и проанализировать риски, а также получить рекомендации по устранению выявленных проблемных областей и внедрению систем безопасности.

Получить профессиональную независимую экспертизу состояния ИБ организации. Получить структурированное описание текущего состояния ИБ в организации. Выявить узкие места в организации ИБ для дальнейшего улучшения и развития. Снизить потенциальные риски, возможные убытки. Возможность быстрого восстановления ключевых процессов и продолжения бизнеса в условиях непредвиденных обстоятельств. Получить рекомендации по развитию собственной ИТ-инфраструктуры и внедрению новых систем безопасности. Выявить соответствие инфраструктуры, документации и общей структуры управления ИБ международным методикам и стандартам. Зачем нужна экспертиза информационной безопасности?

Преимущества независимой экспертизы ИБ Экспертиза представляет собой независимое исследование, что повышает степень объективности результатов. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации. Дешевле поручить выполнение работ по экспертизе информационной безопасности специализированной организации, чем организовывать их самостоятельно.

Виды экспертиз информационной безопасности Специализированная техническая экспертиза. Оценка соответствия нормативных документов. Оценка соответствия международным практикам и стандартам. Комплексная экспертиза ИБ.

Описание работ по проведению экспертизы Постановка задачи и уточнение границ экспертизы. Сбор информации. Анализ собранных данных. Создание стратегии развития и выработка рекомендаций.

Постановка задачи на проведение экспертизы Определение области действия проведения экспертизы. Формирование перечня объектов автоматизации и средств защиты информации. Формирование перечня работ по проведению экспертизы. Согласование технического задания.

Сбор информации Проведение анкетирования и интервьюирования сотрудников компании. Осмотр помещений и офисов компании. Формирование перечня используемых в организации нормативных документов. Проводится сбор данных о состоянии оборудования, его настроек и параметров. Считываются журналы событий серверов, приложений, физических устройств.

Анализ данных Анализ собранных на предыдущем этапе данных. Анализ ИТ-инфраструктуры и процессов управления информационной безопасностью. Проведение специализированных тестов в соответствии с техническим заданием.

Выработка рекомендаций и создание стратегии развития Формирование отчета по проведенной экспертизе. Формирование аналитического заключения по выявленным недостаткам и уязвимостям. Формирование рекомендаций по устранению выявленных недостатков. Выработка стратегии развития ИБ.

Специфика проведения экспертиз ИБ в банковских организациях Экспертиза на соответствие PCI DSS. Рекомендуется платежными системами для финансовых учреждений. Экспертиза на соответствие ISO Международная практика при создании стратегии развития ИБ

Специфика проведения экспертиз ИБ в банковских организациях Тестирование на проникновение Аудит систем ДБО Экспертиза безопасности АБС Банка Экспертиза ИБ web-сайта, портала Анализ защищенности мобильных решений и беспроводных сетей Аудит безопасности кода, декомпиляция, деобфускация

Результат проведенной экспертизы Результатом проведенной экспертизы будет являться отчет, содержащий: краткие выводы для руководства, содержащие общую оценку уровня обеспечения ИБ; результаты экспертизы, содержащие описание существующего положения ИБ; аналитическое заключение по существующим уязвимым местам и рискам; рекомендации по устранению выявленных проблемных областей и внедрению (модернизации) систем безопасности; стратегию развития ИБ.

Примеры проведенных аудитов 1. Крупный Банк. Задача: Попытаться добраться до персональных данных владельцев банковских карт. Цель: Протестировать уровень защищенности периметра сети Банка Исходные данные: Техническому специалисту, проводящему тестирование на проникновение, ничего не известно об ИТ- инфраструктуре Банка. Особенности: Банк получил сертификат соответствия PCI DSS Результат: Специалист, используя различные методы проникновения, получил доступ к базе данных владельцев пластиковых карт

Примеры проведенных аудитов 2. Банк. Задача: Выполнение глубокого аудита безопасности кода, написанного ИТ-отделом Банка для расширения функциональности АБС Банка. Что передавалось: Описание АБС Банка. Исходные коды доработок без описания. Что было сделано: был проведен двух этапный аудит. Первый этап: работа с документацией, исходными кодами, работа с приложением на стенде. Второй этап:непосредственный анализ кода. В работе применялись статические и динамические средства анализа кода. Полностью системы сканировали в полуавтоматическом режиме, критичные по доступу к пользовательским данным и финансовым показателям методы специалисты обрабатывали вручную. Итог - заказчику были выданы описания найденных уязвимостей, ранжированные по степени рисков в соответствии с мировой классификацией. Были предоставлены описания основных сценариев "вторжения, которые доступны злоумышленникам как изнутри, так и снаружи. Отчет содержал подробное описание способов устранения найденных уязвимостей в коде.

Специалисты компании Softline имеют богатый опыт проведения различного рода экспертиз. В Республике Беларусь нет законодательных требований к аттестации специалистов, проводящих экспертизы (аудит) информационной безопасности. Компания Softline сотрудничает с некоторыми аудиторскими компаниями, для которых отчет о проведенной экспертизы будет являться документальным подтверждением соответствия требованиям информационной безопасности. Компания Softline осуществляет помощь в подготовке к сертификации на соответствие ISO 27001, но не проводит непосредственно саму сертификацию, так как это противоречит принципу проведения сертификации (сами проверили свою работу). В заключение.

Почему Softline? Клиенты Softline – лидеры белорусской экономики.

Вопросы ? Спасибо за внимание Таран Дмитрий +375 (17)