Презентация к семинару "Как сэкономить, вложив в информационную безопасность?". На семинаре мы расскажем как аудит безопасности для небольшого и среднего бизнеса поможет снизить операционные затраты, увеличить оборотные средства и в целом увеличь общую капитализацию (прибыль). Ссылка на подробное описание https://ipiskunov.blogspot.ru/2017/12/blog-post.html

1. Фонд развития интернет-инициатив
Семинар
Аудит защищенности инфраструктуры:
Потерять нельзя сохранить.
Как сэкономить, вложив в информационную безопасность?
Спикер:
Иван Пискунов
Москва
2017 1

2. Содержание семинара
1. Аудит ИБ как инструмент повышения эффективности вашего бизнеса
2. Из чего состоит аудит ИБ, как и кем он проводится?
3. ИТ-безопасность: взгляд со стороны аудитора
4. Кейсы из практики
5. Как аудит ИБ позволяет сократить операционные расходы и
увеличить оборотные активы?
2

3. Инструменты повышения эффективности бизнеса
Увеличение прибыли
Рост объемов продукцииуслуг
Привлечение инвестиций ИНСТРУМЕНТЫ:
* ABCXYZ-анализ
Снижение издержек * SWOTPEST-анализ
Минимизация затрат * Факторный анализ
и т.д.
3

4. Что такое АУДИТ ИБ
(1) Аудит ИБ — независимая оценка текущего состояния системы информационной безопасности
компании, устанавливающая уровень ее соответствия определенным критериям, и предоставление
результатов в виде рекомендаций.
(2) Аудит ИБ— системный процесс получения объективных качественных и количественных оценок о
текущем состоянии информационной безопасности компании в соответствии с определенными
критериями и показателями безопасности.
(3) Аудит ИБ является основным инструментом контроля состояния защищенности информационных
активов компании.
РЕЗУЛЬТАТЫ АУДИТА :
• Реальная оценка текущего состояния защищенности Информационных Активов (ИА)
• Оценка рисков ИБ связанных с финансовыми потерями из-за взломов или утраты информации
• Входная информация для обоснованных и финансово-мотивированных управленческих решений
АУДИТ – ЭТО ИНСТРУМЕНТ ДЛЯ ПРИНЯТИЯ УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ 4

5. Комплаенс аудит ИБ
Комплаенс (англ. compliance — согласие, соответствие) — представляет собой
соответствие каким-либо внутренним или внешним требованиям или нормам
КАКИЕ ЕСТЬ ТРЕБОВАНИЯ?
• Требования отечественных регуляторов (АСУ ТП, ГИС, ПДн и т.д.)
• Отраслевые требования (ГОСТ «ФинТех ИБ», П-382, PCI DSS, SWIFT Security)
• Требования СРО и бизнес-комьюнити (ITGC, SOX 404, ISO 2700x)
• Поглощения и слияния бизнеса (Due Diligence оценка для владельца)
ЧТО ПРОВЕРЯЮТ?
• Документация и формальное закрепление норм и правил
• Контроли в бизнес процессах (среда, SoD, верификация операций и т.д.)
• Признаки (лицензии, сертификаты, квалификация персонала и т.д.) 5

6. Технический аудит ИБ
Тестирование на проникновение (англ. penetration testing, pentest,
пентест) - метод оценки безопасности ИТ-инфраструктуры, сетей или web-сайта
посредством моделирования атаки злоумышленника (хакера)
ЧТО ПРОВЕРЯЮТ?
• ИТ-инфраструктура (серверные ОС, СУБД, Системное ПО, Прикладное ПО - 1С, SAP AG, MS Dynamics,
АБС и т.д.)
• WEB-инфраструктура (OWASP Top10, Web stack, Web frameworks)
• Корпоративная сеть (внутренняя сеть, VPN-туннели, беспроводные Wi-Fi)
ТИПОВЫЕ КЕЙСЫ
• Получение административного доступа (чтение, копирование, удаление данных)
• Нарушение работоспособности системы (недоступность, «зависания»)
• Заражение вредоносным ПО (создание ботнет-сетей, транзитный СПАМ-трафик, RAT)
6

7. Технический аудит ИБ
ПОЧЕМУ ТЕХ АУДИТ ТАК ВАЖЕН?
• Обязательные требования (PCI DSS v3.2, ГОСТ «ФинТех ИБ» - 2018)
• Скрипт-кидди (доступность инструментов и методов взлома)
• Хакерство как криминальный бизнес («взломы на заказ»)
• ИТ как основной фактор производства (вендоры, SaaS-услуги и т.д.)
• Максимальный ущерб от взлома ИТ-инфраструктуры ($ и репутация)
7

8. Как проходит АУДИТ ИБ (1)
Методическая база:
• Международные стандарты и best practices (Cobit, ISO 2700x, HIPPA, SOX 404)
• Security Framework (OWASP v4, OSSTMM, NIST 800-115, PCI DSS v3.2)
• Отечественные стандарты (РД ГТК, ФСТЭК, СТР-К)
Варианты проведения технического аудита ИБ:
• White Hat (белая шляпа) – ИТ и ИБ отделы знают о проведении пен-теста
• Black Hat (черная шляпа) – никто не знает о проведении пен-теста
• Grey Hat (серая шляпа) – инициативный поиск, bug bounty и т.д.
Модель тестирования:
• White Box (белый ящик) – эксперт обладает информацией о целевых
системах
• Black Box (черный ящик) – у эксперта минимум информации
8

9. Как проходит АУДИТ ИБ (2)
Этап I. СБОР ИНФОРМАЦИИ
• Определение объема и срока выполнения работ
• Проведение интервью, анкетирование
• Изучение документации, заявленных требований и установленных норм
• Собственные наблюдения
Этап II.ТЕСТИРОВАНИЕ
• Проведение тестов (ИТ-системы и их компоненты)
• Формирование материальных доказательств и аудиторских свидетельств
• Анализ полученных результатов, оценка текущего уровня ИБ
Этап III. ПОДГОТОВКА «Аудиторского Заключения»:
• Оценка рисков ИБ, выявление недостатков ИБ
• Выработка рекомендаций по устранению найденных недостатков ИБ 9

10. Как проходит АУДИТ ИБ (3)
ТИПОВОЙ КЕЙС – АУДИТ БАЗОВЫХ ИТ-КОНТРОЛЕЙ (ITGC):
1. Логический и физический доступ
2. Эксплуатация информационных систем
3. Управление изменениями в информационных системах
Примеры базовых контролей:
• Административной доступ
• Разграничения полномочий
• Резервное копирование
• Автоматические задания
• Внесение изменений
и т.д. 10

11. ИТ-безопасность: взгляд со стороны аудитора
НАИБОЛЕЕ ЧАСТЫЕ ПРОБЛЕМЫ:
• ИТ-администраторам делегированы функции по обеспечению ИБ
• Настроенные опции ИБ или СЗИ покрывают только лишь ИТ-составляющую
• Недостаточный уровень ИБ компетенций
• Конфликт интересов ИТ и ИБ решается в сторону ИТ (юзабилити и т.д.)
К ЧЕМУ ЭТО ПРОВОДИТ?
• Игнорирование проблем ИБ («на авось» или до того момента пока не
взломают)
• Нерациональное использование ресурсов (штатные механизмы ИБ, СЗИ,
обучение персонала и т.д.)
• Повышенные риски компрометации/взлома ИТ-систем со стороны хакеров
11

12. Комплексный аудит
Почему важен Комплаенс (ITGC) + Тех аудит ИБ?
Недостатки «комплаенс» ИТ/ИБ контролей:
• Не показывают реальной защищенности ИТ-инфраструктуры (ОС, СУБД, Web, Сети)
• Не покрывает риски связанные с техническими средствами и ИТ-технологиями
Недостатки Технического аудита:
• Не эффективен если отсутствует формализованной SoD, PKI
• Не эффективен если не организован двойной контроль
• Не достаточно эффективен против социальной инженерии
• Не эффективен в отношении информации в не ИТ (документы, люди)
12

13. Кейсы из практики (1)
«Хищение базы 1С»
Несанкционированное копирование БД 1С:Бухгалтерия с локального компьютера главного бухгалтера
(файловая реализация БД) увольняющимся сотрудником, содержащую многолетние данные
налогового учета, а так же наработанную базу данных клиентов и контрагентов , заключенные
контракты, расчеты и т. д.
ПРИЧИНЫ:
• работа по учетной записью администратора
• отсутствие средств разграничения доступа в системе 1С
• отсутствие многоуровнего контроля (мониторинг, валидация)
• не оптимальная техническая ИТ-архитектура (файл-БД vs SQL Server)
УЩЕРБ:
• утрата ПДн (нарушение ФЗ-152 «О персональных данных»)
• потеря клиентской базы (~100 контрагентов, ~6 млн.рублей/месяц)
• «теневые контракты» и «не фиксируемые сделки» - УК РФ ст.199
13

14. Кейсы из практики (2)
«Финансовое мошенничество в системе SAP»
Хищение денежных средств со счетов компании внутренним сотрудником из системы SAP FI путем
формирования подложных и несанкционированных бухгалтерских проводок на общий ущерб ~7 млн.
рублей
ПРИЧИНЫ:
• Отсутствие системы разграничения доступа в SAP (SoD)
• Нарушение правил разделения полномочий БУ (create, approve, commit)
• Отсутствие системы контроля движения оборотных средств (БУ)
УЩЕРБ:
• Хищение 7 млн рублей в течении 1,5 месяцев
• Репутационные потери (уголовное дело, резонанс в СМИ)
• Затраты на форензик процедуры
14

15. Кейсы из практики (3)
15
Вирус -
шифровальщик
WannaCry

16. Что Аудит ИБ дает собственнику бизнеса (1/3)
1. Объективная полная информация о текущем уровне защищенности:
• Оценка эффективности работы ИТ/ИБ подразделений (KPI и т.д. )
• Ответ для руководства за сколько N дней/часов нас могут взломать?
• Что нам сделать что бы завтра нас не взломали? (план действий по
устранению)
• Соответствие «compliance»-требованиям и критичность отклонения
(мы готовы к сертификации и лицензированию? мы пройдем
проверку?)
16

17. Что Аудит ИБ дает собственнику бизнеса (2/3)
2. Информация для принятия управленских решений:
• Организационные меры по управлению ИТ/ИБ (распределение задач
и ответственности, разграничение доступа к ИТ, KPI-метрики и т.д.)
• Оптимизация операционных затрат (Орг меры vs Тех меры, штатные
механизмы ИБ vs СЗИ, риск-ориентированный подход к ИС)
• Входные сведения для Бюджетирования ИТИБ (закупка СЗИ и услуг)
17

18. Что Аудит ИБ дает собственнику бизнеса (3/3)
3. Экономический эффект:
• Предотвращение материальных потерь (простой, хищение,
восстановление ИТ)
БУ «РЕЗЕРВ ПО СОМНИТЕЛЬНЫМ ДОЛГАМПРЕДСТОЯЩИХ РАСХОДОВ»
• Снижение затрат на ИБ-составляющую (эффект сбережения)
БУ «ОБЩЕХОЗЯЙСТВЕННЫЕПРОИЗВОДСТВЕННЫЕ РАХОДЫ»
18
Увеличение оборотных средств
Увеличение капитализации

19. Контакты
Пискунов Иван | Ivan Piskunov
CEH, CCNA, IT Auditor
Web: www.ipiskunov.blogspot.com
E-mail: g14vano@gmail.com
Community:
Москва, 2017 (с)
19