Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Is protection control (презентация)

237 views

Published on

Is protection control (презентация)

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Is protection control (презентация)

  1. 1. КОНТРОЛЬ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА Вячеслав Аксёнов
  2. 2. В ДОКЛАДЕ: источники требований реализация требований особенности использования средств (в т.ч. open-source) и услуг контроля защищенности. тест на знание средств защиты информации) дополнительные материалы.
  3. 3. Источники требований НПА Республики Беларусь PCI DSS ISO/IEC 27001:2013 CIS Critical Security Controls …
  4. 4. Приказ ОАЦ №62 41 Выявление уязвимостей информационной системы и оперативное их устранение 42 Контроль за установкой обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации 43 Контроль за работоспособностью, параметрами настройки и правильностью функционирования программного обеспечения и средств защиты информации 44 Контроль за неизменностью состава технических средств, программного обеспечения и средств защиты информации
  5. 5. ISO/IEC 27001:2013 «Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования» ПРИЛОЖЕНИЕ А • A.8.1.1 Инвентаризация активов • A.12.6.1 Контроль технических уязвимостей • A.14.2.8 Тестирование защищенности системы • A.18.2.1 Независимый анализ информационной безопасности • A.18.2.3 Анализ технического соответствия CIS Critical Security Controls Payment Card Industry Data Security Standard (PCI DSS) • Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters (2.2, 2.4). • Requirement 6: Develop and maintain secure systems and applications (6.1, 6.2). • Requirement 11: Regularly test security systems and processes (11.2, 11.3, 11.5). • CSC 1 Inventory of Authorized and Unauthorized Devices. • CSC 2 Inventory of Authorized and Unauthorized Software. • CSC 3 Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers. • CSC 4 Continuous Vulnerability Assessment and Remediation.
  6. 6. Реализация требований Сертифицированные средства ЗИ Облачные сервисы? Open source? Организационные меры)
  7. 7. 2012 2010 2014 2016 XSpider 7.7 XSpider 7.8 MaxPatrol 8.0 PCS-1 ТР 2013/027/BY ВОПРОСВОПРОС
  8. 8. 2012 2010 2014 2016 XSpider 7.7 XSpider 7.8 MaxPatrol 8.0 PCS-1 ТР 2013/027/BY Средства контроля защищенности на рынке РБ
  9. 9. Какие еще есть варианты? Облачные сервисы? Open source? …?
  10. 10. Использование средств контроля защищенности: Указ Президента РБ от 16.04.2013 № 196 «Положение о технической и криптографической ЗИ в РБ». Закон РБ от 10.11.2008 г. № 455-З«Об информации, информатизации и ЗИ». Постановление Сов Мин РБ от 15.05.2013 № 375 «ТР 2013/027/BY». Приказ ОАЦ от 30.08.2013 № 62 «Положение о порядке технической ЗИ в ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам».
  11. 11. Использование услуг (в т.ч. «облачных»): Запрета использовать облачные (как и любые другие) услуги для контроля защищенности в НПА нашей страны - нет. Важную роль играют вопросы:  Доверия вашему поставщику услуг.  Управление потоками информации между субъектом и объектом сканирования (особенно при сканировании с аутентификацией).
  12. 12. Использование open-source: Запрета использовать данные средства в качестве вспомогательных инструментов при проведении внешнего сканирования на стадии эксплуатации системы защиты информации информационной системы - нет. В случае если вы хотите включить данное средство в перечень средств защиты информации на этапе проектирования/создания системы защиты информации, вам необходимо пройти процедуру подтверждения соответствия в форме сертификации.
  13. 13. Дополнительная информация к докладу СКОРО!
  14. 14. СПАСИБО ЗА ВНИМАНИЕ! Вячеслав Аксёнов ActiveCloud viacheslav.aksionov@activecloud.com

×