Александр Митрохин Руководитель направления ИБ Автоматизированный контроль за выполнением требований ИБ

Почему надо защищать СМИ нам рассказывают про: Взлом информационных систем Непреднамеренные утечки данные из различных (в т.ч. Государственных) систем. Защита информации может быть весьма дорогостоящей, но при этом плохо организована и не контролироваться.

Сложно, трудоемко, дорого Современный ИТ ландшафт: Разнороден по структуре Не статичен, «живет» Сложно найти и удержать квалифицированный персонал И все требует квалифицированного контроля

Обязательные требования Откуда взять «конфигурации без ошибок»? Что будут проверять?!

Ещё необходимо… Управлять конфигурациями Управлять изменениями Соответствовать требованиям ИБ-стандартов Автоматизировать задачи Предоставлять отчетность Контролировать устранение уязвимостей Пополнять базу знаний Анализировать информационные системы ЭТО СЛОЖНО, ТРУДОЕМКО, ДОРОГО

6 Как обеспечить и контролировать защищенность «живой» информационной системы?

Необходим процесс управления уязвимостями

СИСТЕМА КОНТРОЛЯ ЗАЩИЩЕННОСТИ И СООТВЕТСТВИЯ СТАНДАРТАМ ИБ

Комплексный подход производит детальный анализ множества различных платформ и приложений; автоматизирует решение широкого спектра задач; генерирует отчетность для различных подразделений компании (руководство, IT, ИБ, аудиторы).

Гибкая архитектура имеет возможность добавления новых устройств и платформ в список поддерживаемых систем; работает в особых условиях (работа по низкоскоростным каналам связи, без доступа к сети Интернет, безагентные технологии и прочее); имеет масштабируемую инфраструктуру, расширяемую по требованию.

А так же определяет уровень соответствия требованиям регуляторов, отраслевым и международным стандартам 152 ФЗ, ISO, СТО БР ИББС, PCI DSS, SOX и т. п.; иллюстрирует эффективность процессов IT и ИБ по ключевым показателям эффективности (KPI); поддерживается экспертами и регулярно обновляется.

Автоматизация задач инвентаризация IT-активов; контроль уровня защищенности, анализ IT- инфраструктуры на наличие уязвимостей; мониторинг изменений IT-инфраструктуры контроль выполнения требований оценка степени безопасности и уровня соответствия требованиям с использованием метрик безопасности KPI.

Подход MaxPatrol к «реальной» безопасности

Преимущества для клиента оценка рисков IT-безопасности, актуальные данные о текущем уровне защищенности; снижение затрат на IT и ИБ; высокоуровневая отчетность для Руководства, механизмы контроля эффективности работы департаментов IT и ИБ с помощью KPI; соблюдение требований российских и международных регуляторов.

Преимущества для ИБ автоматическое выявление уязвимостей; контроль устранения уязвимостей; управление соответствием стандартам; контроль соответствия политикам.

Преимущества для ИТ простота внедрения; инвентаризация IT-ресурсов; рекомендации по устранению уязвимостей; отчетность по обновлениям.

воп ? осы Александр Митрохин Руководитель направления ИБ

Общая информация «4х4 управляющая компания» была создана в 2008 году и на текущий момент является одной из самых динамично развивающихся в секторе аудиторских и консультационных услуг в области информационных технологий и информационной безопасности. Лицензиат ФСБ, ФСТЭК Член ТК-122 Банка России, Сообщества АБИСС Наши сотрудники: имеют многолетний опыт работы на рынке России, стран СНГ и за рубежом; являются членами следующих профессиональных ассоциаций: ISACA.org ISSA.org RISSPA.org - (ISC)2 ALIG ИВА (Российский Институт Внутренних Аудиторов) ASTRA (Ассоциация аутсорсинга) обладают следующими международными сертификатами: CISA, CISM, CGEIT (ISACA) CISSP (ISC)2 ISO (Lead Auditor) (BSI) ITIL 18

Услуги в области ИБ Защита персональных данных Аудит на соответствие и внедрение требований Стандарта Банка России СТО БР ИББС 1.0 Внедрение требований стандарта ISO/IEC Внедрение системы контроля защищенности и соответствия стандартам MaxPatrol Создание Удостоверяющего центра в Компании; Создание или аутсорсинг Центра управления безопасностью (SOC); Контроль вторжений Предотвращение утечек конфиденциальной информации Централизованная обработка событий систем. Создание и управление непрерывностью бизнеса, разработка и внедрение Планов непрерывности бизнеса и Планов восстановления после ИТ сбоев; Создание Резервного вычислительного центра, в том числе на базе Контейнерного ЦОД собственной разработки; Построение функции информационной безопасности, определение подхода к обеспечению ИБ, организационной структуры и необходимого штата сотрудников; Разработка нормативной документации; Оценка достаточности принятых технических мер; И т.д. 19