Your SlideShare is downloading. ×
It security 2011 v3 2003
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

It security 2011 v3 2003

943

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
943
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Аудит безопасности бизнес-приложений Сергей Колосков, Старший менеджер , CISA, CRISC 29 сентября 2011
  • 2. О чём пойдет речь?
    • Типовые бизнес приложения: ERP, CRM, АБС, OSS/BSS, клиент - банк, интернет - банкинг
    • Примеры аудитов: A&P, general security review, M&A review, SOD specific, SOX, PCI DSS, ISO 27XXX review и др.
    • Что обнаруживается в рамках аудитов
  • 3. Почему корректно делать выводы?
    • 200+ аудитов на территории РФ в год
    • Вовлечение в глобальные аудиты в составе международных команд
    • Проведение собственных исследований в области информационных технологий и информационной безопасности
    • Наличие специализированных центров информационной безопасности
  • 4. Типичные недостатки (1) Управление доступом к бизнес приложениям
    • Непрозрачные правила управления доступом к бизнес-приложениям
    • Отсутствие функционала системы по настройке требований к паролям
    • Ненастроенная парольная политика
    • Незаблокированные учетные записи уволенных сотрудников
    • Незаблокированные учетные записи временных пользователей (временные сотрудники, с частичной занятостью, представители внешних организаций )
    • Отзыв прав при перемещении сотрудников внутри компании
    • Использование общих учетных записей ( Generic accounts )
    • Использование встроенных учетных записей со стандартными паролями
  • 5. Неавторизованный доступ – в TO П3 проблем безопасности
      • По результатам глобального исследования Ernst & Young в области информационной безопасности
  • 6. Типичные недостатки (2) Безопасность транзакций и бизнес операций
    • Разделение критических полномочий в бизнес процессах ( Segregation of incompatible duties)
    • Работа в закрытых периодах
    • Избыточный доступ к справочникам
    • Проведение изменений в авторизованных транзакциях
    • Параметры резервного копирования бизнес-приложений не соответствуют бизнес-требованиям, включая случаи отсутствия оценки RTO/RPO
    • Отсутствие включенного мониторинга действий пользователей
  • 7. Типичные недостатки (3) Безопасность на уровне архитектуры
    • Небезопасная организация доступа к различным средами (разработка, тестирование, промышленная эксплуатация)
    • Безопасность интерфейсов / безопасность передачи данных между информационными системами
    • Предоставление бизнес-партнерам стандартных отчетов ИС с избыточной бизнес-информацией
  • 8. Использует ли ваша организация решения на базе облачных вычислений? Актуальные угрозы бизнес приложений 2010 2011
      • По результатам глобальных исследований Ernst & Young в области информационной безопасности
  • 9. Какие наиболее актуальные пути повышения уровня информационной безопасности вашей организации?
      • По результатам глобального исследования Ernst & Young в области информационной безопасности
  • 10. Спасибо за внимание Сергей Колосков Старший менеджер, CISA , CRISC Тел: +7 (495) 755-9676 E-mail: [email_address]

×