It security 2011 v3 2003

Аудит безопасности бизнес-приложений Сергей Колосков, Старший менеджер , CISA, CRISC 29 сентября 2011

О чём пойдет речь?
Типовые бизнес приложения: ERP, CRM, АБС, OSS/BSS, клиент - банк, интернет - банкинг
Примеры аудитов: A&P, general security review, M&A review, SOD specific, SOX, PCI DSS, ISO 27XXX review и др.
Что обнаруживается в рамках аудитов

Почему корректно делать выводы?
200+ аудитов на территории РФ в год
Вовлечение в глобальные аудиты в составе международных команд
Проведение собственных исследований в области информационных технологий и информационной безопасности
Наличие специализированных центров информационной безопасности

Типичные недостатки (1) Управление доступом к бизнес приложениям
Непрозрачные правила управления доступом к бизнес-приложениям
Отсутствие функционала системы по настройке требований к паролям
Ненастроенная парольная политика
Незаблокированные учетные записи уволенных сотрудников
Незаблокированные учетные записи временных пользователей (временные сотрудники, с частичной занятостью, представители внешних организаций )
Отзыв прав при перемещении сотрудников внутри компании
Использование общих учетных записей ( Generic accounts )
Использование встроенных учетных записей со стандартными паролями

Неавторизованный доступ – в TO П3 проблем безопасности
По результатам глобального исследования Ernst & Young в области информационной безопасности

Типичные недостатки (2) Безопасность транзакций и бизнес операций
Разделение критических полномочий в бизнес процессах ( Segregation of incompatible duties)
Работа в закрытых периодах
Избыточный доступ к справочникам
Проведение изменений в авторизованных транзакциях
Параметры резервного копирования бизнес-приложений не соответствуют бизнес-требованиям, включая случаи отсутствия оценки RTO/RPO
Отсутствие включенного мониторинга действий пользователей

Типичные недостатки (3) Безопасность на уровне архитектуры
Небезопасная организация доступа к различным средами (разработка, тестирование, промышленная эксплуатация)
Безопасность интерфейсов / безопасность передачи данных между информационными системами
Предоставление бизнес-партнерам стандартных отчетов ИС с избыточной бизнес-информацией

Использует ли ваша организация решения на базе облачных вычислений? Актуальные угрозы бизнес приложений 2010 2011
По результатам глобальных исследований Ernst & Young в области информационной безопасности

Какие наиболее актуальные пути повышения уровня информационной безопасности вашей организации?
По результатам глобального исследования Ernst & Young в области информационной безопасности

Спасибо за внимание Сергей Колосков Старший менеджер, CISA , CRISC Тел: +7 (495) 755-9676 E-mail: [email_address]

It security 2011 v3 2003

by RISSPA on Oct 16, 2011

Accessibility

Upload Details

Usage Rights

2 Embeds 78

Statistics

It security 2011 v3 2003 — Presentation Transcript

http://www.risspa.ru	77
http://ec2-176-34-245-108.eu-west-1.compute.amazonaws.com	1