Gordey - risk vs compliance

1,180 views

Published on

Published in: Technology, Economy & Finance
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,180
On SlideShare
0
From Embeds
0
Number of Embeds
171
Actions
Shares
0
Downloads
19
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Gordey - risk vs compliance

  1. 1. Контроль защищенности и… Сергей Гордейчик CTO
  2. 2. Капля статистики Дмитрий Кузнецов, Positive Technologies
  3. 3. Как это бывает СЕТЕВОЕ ОБОРУДОВА СЕТЕВОЕ НИЕ ФИЛИАЛ РАБОЧИЕ ОБОРУДОВА СТАНЦИИ НИЕ Внутренний пентест/аудит по результатам пентеста • Сканирование сети Внутренний пентест/аудит • Успешно подобран пароль! по результатам пентеста – Эксплуатация SQL Injection WEB- СЕРВЕР – Выполнение команд на сервере СЕРВЕРЫ – Повышение привилегий – Атака на внутренние ресурсы СЕРВЕРЫ ПОДОБРАН Внутренний пентест ПАРОЛЬ – Установка сканера MaxPatrol – Поиск уязвимостей РАБОЧИЕ – Эксплуатация уязвимостей СТАНЦИИ ПРОВЕДЕНИЕ ПРОВЕРОК Перемещение в ИС ЦО – Проведение атаки на ресурсы ЦО ПРОВЕДЕНИЕ MP SERVER ПРОВЕРОК ГОЛОВНОЙ Получение максимальных привилегий во всей сети ОФИС Рабочее Получение доступа к сети АСУТП место аудитора
  4. 4. Основные движители Требования регуляторов Риски
  5. 5. Требования регуляторов «Жесткий» Compliance РД ФСТЭК vs PCI DSS «Мягкий» Compliance ISO 27001/SOX/СТО БР Ключевая разница - риск
  6. 6. «Мягкий» vs «Жесткий» «Жесткий» по требованиям РД ФСТЭК, PCI DSS «Жесткий» по контролю PCI DSS Ключевая разница - риск
  7. 7. Россия не готова к 152 ФЗ 152 ФЗ … 58 ФСТЭК «мягкий»??? compliance по требованиям «жесткий»??? compliance по контролю
  8. 8. Россия не готова к 152 ФЗ Откуда взять «конфигурации без ошибок»? Что будут проверять?!
  9. 9. NIST 800/CIS/NVD?... Solaris 10 Информационная система Защитные механизмы Технический стандарт Oracle 11g Защитные механизмы Технический стандарт SAP Технический Защитные механизмы стандарт
  10. 10. 10000 «крутилок»… Что крутить?
  11. 11. Риски, риски, риски…. Регулятивные Бизнес-риски
  12. 12. Регулятивные риски Подлежат анализу и управлению • угроза и ущерб – возможные последствия нарушения, обозначенные регулятором; • уязвимость - несоблюдение требований; • атака - проверка регулятора; • контрмера (защитный механизм, средство защиты) - соблюдение требований. http://sgordey.blogspot.com/2009/05/compliance.html
  13. 13. Бизнес-риски Зачастую подменяются техническими Обещают «счастье» а продают NetForensics Технические риски - считаются Рассматриваются в рамках защитных механизмов
  14. 14. Технические риски
  15. 15. Защитные механизмы и риски «Неуправляемые риски» – принимаются «Управляемые риски» - эффективность контрмер «Эффективность контрмер» - Соответствие внутренних требований рискам Эффективность внедрения внутренних требований
  16. 16. Плюсы ++ Compliance «как услуга» SOC, технологические сети, АСУТП Управление угрозами Привязка требований (orchestration) Оперативное отслеживание рисков Риски привязанные к ресурсам ………MaxPatrol 9 coming soon……..
  17. 17. Спасибо! http://sgordey.blogspot.com

×