SlideShare a Scribd company logo

Предотвращение инсайда – управление рисками и безопасностью

S
SelectedPresentations

VII Уральский форум Информационная безопасность банков ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1 Банковский фрод Касулин Юрий Сергеевич, руководитель отдела систем контроля доступа, NVision Group Источник: http://ural.ib-bank.ru/materials_2015

1 of 17
Download to read offline
Касулин Юрий Сергеевич ПРЕДОТВРАЩЕНИЕ ИНСАЙДА – УПРАВЛЕНИЕ РИСКАМИ И БЕЗОПАСНОСТЬЮ Руководитель отдела систем контроля доступа «Энвижн Груп»
«Лишний» доступ – причины и следствия Ролевая модель – лекарство или тиски «Таблетки» или «Лечение». Подходы, используемы при построении ролевой модели Содержание 2
Большое количество банковских ИС и пользователей приводит к тому, что не всегда можно отследить избыточность прав доступа пользователей к данным. Избыточные права доступа могут привести к утечке информации и, как следствие, к мошенническим действиям. «Лишний» доступ: причины и следствия 3
4 Кредитный консультант, при наличии доступа к результатам скоринга, может повлиять на решение банка выдать кредит потенциальному заемщику Ситуация №1: Выдача кредита Отсутствие строгого контроля прав доступа Возможность повлиять на одобрение кредитной заявки
5 При совмещении обязанностей (даже временном), сотрудник банка может получить избыточный доступ к операциям и данным из АБС. Ситуация №2: Совмещение должностей Не отслеживаются конфликты полномочий Избыточный доступ к информационным системам
6 Администратор АБС может предоставить избыточные права доступа определенным сотрудникам банка. Ситуация №3: Сговор с администратором системы Отсутствует контроль процессов назначения прав и избыточности полномочий Действия группы лиц
7 Одно из условий неизбыточности прав доступа к ИС – создание и поддержка актуальной ролевой модели Ролевая модель – лекарство или тиски Ролевая модель включает в себя:  Каталог информационных ресурсов  Каталог технических ролей доступа к информационным ресурсам  Каталог типовых (бизнес) ролей и их соответствия ролям доступа  Каталог соответствия бизнес ролей организационным единицам
8 Построение ролевой модели доступа с нуля Определение функциональных обязанностей типовой должности (бизнес роли) Определение прав и полномочий типовой должности в АС* * - Автоматизированная система Настройка технических ролей доступа к АС Задача бизнес- подразделения Задача системного аналитика Задача ИТ-службы
Ролевая модель должна всегда быть актуальной и соответствовать фактическим правами доступа пользователей Администрирование ролевой моделью должно быть простым и прозрачным Автоматизация управления ролевой моделью решение класса Role Management Поддержка ролевой модели 9
10 Преимущества внедрения автоматизированного решения  Единое хранилище информации об информационных ресурсах, технических ролях, бизнес-ролях и правах доступа конечных пользователей  Созданная структура данных наглядна и удобна для администрирования и аудита  Стандартизированные процессы управления ролями и доступом пользователей  Ограничение доступа к конфиденциальной информации  Выявление избыточности полномочий пользователей через настройку правил SoD (Segregation of Duties)
Внедрение готового продукта от ведущего вендора  Универсальное решение  Соответствие стандартам ИБ  НО! Возможно несоответствие потребностям банка Коробочные решения 11
Комплексный подход Обследование Проектирова ние и выбор решения Адаптация продукта под нужды банка Решение надежно и полностью соответствует особенностям процессов и потребностям банка 12
13 Обследование и проектирование – залог успешного внедрения • Обследование и анализ процессов управления ролями и доступом «как есть», анализ ИТ-инфраструктуры организации • Определение границ проекта: организационные границы, доверенные источники данных, целевые системы • Разработка концепции решения и выбор продукта • Разработка сценариев работы системы и модели данных • Проектирование системы • Планирование внедрения
14 Кредитный консультант не сможет повлиять на результаты скоринга Ситуация №1: Выдача кредита Полномочия строго ограничены Возможность повлиять на одобрение кредитной заявки
15 При совмещении обязанностей (даже временном), сотрудник банка не сможет получить избыточный доступ к операциям и данным из АБС. Ситуация №2: Совмещение должностей Конфликты полномочий пользователей (SoD) отслеживаются и предотвращаются даже при работе под несколькими учетными записями Избыточный доступ к информационным системам
16 Администратор АБС не сможет предоставить избыточные права доступа без риска быть вычисленным. Ситуация №3: Сговор с администратором системы Полномочия администраторов по управлению правами доступа пользователей минимизированы и отслеживаются Действия группы лиц
Центральный офис Россия, 115054, Москва, ул. Дубининская, д.53, стр.5 Тел.: +7 (495) 641-12-12 Факс: +7 (495) 641-12-11 www.nvg.ru Касулин Юрий Сергеевич Руководитель отдела систем контроля доступа

Recommended

Порядок сертификации программного обеспечения по требованиям стандарта P A ...
Порядок сертификации программного обеспечения по требованиям стандарта P A ...Порядок сертификации программного обеспечения по требованиям стандарта P A ...
Порядок сертификации программного обеспечения по требованиям стандарта P A ...Informzaschita
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеAlex Babenko
 
Мониторинг безопасности (Аудио)
Мониторинг безопасности (Аудио)Мониторинг безопасности (Аудио)
Мониторинг безопасности (Аудио)INLIMITED (NOVITNIE OBLADNANIA LLC)
 
Система оценки качества обслуживания клиентов (СОКОК)
Система оценки качества обслуживания клиентов (СОКОК)Система оценки качества обслуживания клиентов (СОКОК)
Система оценки качества обслуживания клиентов (СОКОК)КРОК
 
1
11
1Ekaterina Morozova
 
Мониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от ЯндексМониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от Яндексjido111222
 
Artem Volftrub анатомия интернет банка
Artem Volftrub анатомия интернет банкаArtem Volftrub анатомия интернет банка
Artem Volftrub анатомия интернет банкаguest092df8
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 

Recommended

Порядок сертификации программного обеспечения по требованиям стандарта P A ...
Порядок сертификации программного обеспечения по требованиям стандарта P A ...Порядок сертификации программного обеспечения по требованиям стандарта P A ...
Порядок сертификации программного обеспечения по требованиям стандарта P A ...Informzaschita
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеAlex Babenko
 
Мониторинг безопасности (Аудио)
Мониторинг безопасности (Аудио)Мониторинг безопасности (Аудио)
Мониторинг безопасности (Аудио)INLIMITED (NOVITNIE OBLADNANIA LLC)
 
Система оценки качества обслуживания клиентов (СОКОК)
Система оценки качества обслуживания клиентов (СОКОК)Система оценки качества обслуживания клиентов (СОКОК)
Система оценки качества обслуживания клиентов (СОКОК)КРОК
 
1
11
1Ekaterina Morozova
 
Мониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от ЯндексМониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от Яндексjido111222
 
Artem Volftrub анатомия интернет банка
Artem Volftrub анатомия интернет банкаArtem Volftrub анатомия интернет банка
Artem Volftrub анатомия интернет банкаguest092df8
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
Управление доступом к web-приложениям (Oracle)
Управление доступом к web-приложениям (Oracle)Управление доступом к web-приложениям (Oracle)
Управление доступом к web-приложениям (Oracle)КРОК
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Expolink
 
Защита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияЗащита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияОльга Антонова
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Expolink
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)
Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)
Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)BAKOTECH
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...КРОК
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролемKonstantin Beltsov
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Персональные данные организации
Персональные данные организацииПерсональные данные организации
Персональные данные организацииAlexey Fedorischev
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
5 dell softtware_minsk_june_25_2015
5 dell softtware_minsk_june_25_20155 dell softtware_minsk_june_25_2015
5 dell softtware_minsk_june_25_2015trenders
 
Технологии анализа и обработки данных
Технологии анализа и обработки данныхТехнологии анализа и обработки данных
Технологии анализа и обработки данныхКристина Обломова
 
Risspa
RisspaRisspa
RisspaExpolink
 
#Mobile security risspa
#Mobile security risspa#Mobile security risspa
#Mobile security risspaExpolink
 
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияSelectedPresentations
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.SelectedPresentations
 

More Related Content

Similar to Предотвращение инсайда – управление рисками и безопасностью

Управление доступом к web-приложениям (Oracle)
Управление доступом к web-приложениям (Oracle)Управление доступом к web-приложениям (Oracle)
Управление доступом к web-приложениям (Oracle)КРОК
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Expolink
 
Защита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияЗащита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияОльга Антонова
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Expolink
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)
Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)
Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)BAKOTECH
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...КРОК
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролемKonstantin Beltsov
 
Персональные данные организации
Персональные данные организацииПерсональные данные организации
Персональные данные организацииAlexey Fedorischev
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
5 dell softtware_minsk_june_25_2015
5 dell softtware_minsk_june_25_20155 dell softtware_minsk_june_25_2015
5 dell softtware_minsk_june_25_2015trenders
 
Технологии анализа и обработки данных
Технологии анализа и обработки данныхТехнологии анализа и обработки данных
Технологии анализа и обработки данныхКристина Обломова
 
#Mobile security risspa
#Mobile security risspa#Mobile security risspa
#Mobile security risspaExpolink
 

Similar to Предотвращение инсайда – управление рисками и безопасностью (20)

Управление доступом к web-приложениям (Oracle)
Управление доступом к web-приложениям (Oracle)Управление доступом к web-приложениям (Oracle)
Управление доступом к web-приложениям (Oracle)
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
 
Защита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решенияЗащита баз данных в банке — проблемы и решения
Защита баз данных в банке — проблемы и решения
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
 
Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)
Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)
Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролем
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
Персональные данные организации
Персональные данные организацииПерсональные данные организации
Персональные данные организации
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
5 dell softtware_minsk_june_25_2015
5 dell softtware_minsk_june_25_20155 dell softtware_minsk_june_25_2015
5 dell softtware_minsk_june_25_2015
 
Технологии анализа и обработки данных
Технологии анализа и обработки данныхТехнологии анализа и обработки данных
Технологии анализа и обработки данных
 
Risspa
RisspaRisspa
Risspa
 
#Mobile security risspa
#Mobile security risspa#Mobile security risspa
#Mobile security risspa
 

More from SelectedPresentations

Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияSelectedPresentations
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.SelectedPresentations
 
Варианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваВарианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваSelectedPresentations
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийSelectedPresentations
 
Управление безопасностью мобильных устройств
Управление безопасностью мобильных устройствУправление безопасностью мобильных устройств
Управление безопасностью мобильных устройствSelectedPresentations
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...SelectedPresentations
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиSelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...SelectedPresentations
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...SelectedPresentations
 
Запись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхЗапись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхSelectedPresentations
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...SelectedPresentations
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...SelectedPresentations
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...SelectedPresentations
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 

More from SelectedPresentations (20)

Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.
 
Варианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваВарианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройства
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решений
 
Управление безопасностью мобильных устройств
Управление безопасностью мобильных устройствУправление безопасностью мобильных устройств
Управление безопасностью мобильных устройств
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасности
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
 
Запись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхЗапись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данных
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
 

Предотвращение инсайда – управление рисками и безопасностью

  • 1. Касулин Юрий Сергеевич ПРЕДОТВРАЩЕНИЕ ИНСАЙДА – УПРАВЛЕНИЕ РИСКАМИ И БЕЗОПАСНОСТЬЮ Руководитель отдела систем контроля доступа «Энвижн Груп»
  • 2. «Лишний» доступ – причины и следствия Ролевая модель – лекарство или тиски «Таблетки» или «Лечение». Подходы, используемы при построении ролевой модели Содержание 2
  • 3. Большое количество банковских ИС и пользователей приводит к тому, что не всегда можно отследить избыточность прав доступа пользователей к данным. Избыточные права доступа могут привести к утечке информации и, как следствие, к мошенническим действиям. «Лишний» доступ: причины и следствия 3
  • 4. 4 Кредитный консультант, при наличии доступа к результатам скоринга, может повлиять на решение банка выдать кредит потенциальному заемщику Ситуация №1: Выдача кредита Отсутствие строгого контроля прав доступа Возможность повлиять на одобрение кредитной заявки
  • 5. 5 При совмещении обязанностей (даже временном), сотрудник банка может получить избыточный доступ к операциям и данным из АБС. Ситуация №2: Совмещение должностей Не отслеживаются конфликты полномочий Избыточный доступ к информационным системам
  • 6. 6 Администратор АБС может предоставить избыточные права доступа определенным сотрудникам банка. Ситуация №3: Сговор с администратором системы Отсутствует контроль процессов назначения прав и избыточности полномочий Действия группы лиц
  • 7. 7 Одно из условий неизбыточности прав доступа к ИС – создание и поддержка актуальной ролевой модели Ролевая модель – лекарство или тиски Ролевая модель включает в себя:  Каталог информационных ресурсов  Каталог технических ролей доступа к информационным ресурсам  Каталог типовых (бизнес) ролей и их соответствия ролям доступа  Каталог соответствия бизнес ролей организационным единицам
  • 8. 8 Построение ролевой модели доступа с нуля Определение функциональных обязанностей типовой должности (бизнес роли) Определение прав и полномочий типовой должности в АС* * - Автоматизированная система Настройка технических ролей доступа к АС Задача бизнес- подразделения Задача системного аналитика Задача ИТ-службы
  • 9. Ролевая модель должна всегда быть актуальной и соответствовать фактическим правами доступа пользователей Администрирование ролевой моделью должно быть простым и прозрачным Автоматизация управления ролевой моделью решение класса Role Management Поддержка ролевой модели 9
  • 10. 10 Преимущества внедрения автоматизированного решения  Единое хранилище информации об информационных ресурсах, технических ролях, бизнес-ролях и правах доступа конечных пользователей  Созданная структура данных наглядна и удобна для администрирования и аудита  Стандартизированные процессы управления ролями и доступом пользователей  Ограничение доступа к конфиденциальной информации  Выявление избыточности полномочий пользователей через настройку правил SoD (Segregation of Duties)
  • 11. Внедрение готового продукта от ведущего вендора  Универсальное решение  Соответствие стандартам ИБ  НО! Возможно несоответствие потребностям банка Коробочные решения 11
  • 12. Комплексный подход Обследование Проектирова ние и выбор решения Адаптация продукта под нужды банка Решение надежно и полностью соответствует особенностям процессов и потребностям банка 12
  • 13. 13 Обследование и проектирование – залог успешного внедрения • Обследование и анализ процессов управления ролями и доступом «как есть», анализ ИТ-инфраструктуры организации • Определение границ проекта: организационные границы, доверенные источники данных, целевые системы • Разработка концепции решения и выбор продукта • Разработка сценариев работы системы и модели данных • Проектирование системы • Планирование внедрения
  • 14. 14 Кредитный консультант не сможет повлиять на результаты скоринга Ситуация №1: Выдача кредита Полномочия строго ограничены Возможность повлиять на одобрение кредитной заявки
  • 15. 15 При совмещении обязанностей (даже временном), сотрудник банка не сможет получить избыточный доступ к операциям и данным из АБС. Ситуация №2: Совмещение должностей Конфликты полномочий пользователей (SoD) отслеживаются и предотвращаются даже при работе под несколькими учетными записями Избыточный доступ к информационным системам
  • 16. 16 Администратор АБС не сможет предоставить избыточные права доступа без риска быть вычисленным. Ситуация №3: Сговор с администратором системы Полномочия администраторов по управлению правами доступа пользователей минимизированы и отслеживаются Действия группы лиц
  • 17. Центральный офис Россия, 115054, Москва, ул. Дубининская, д.53, стр.5 Тел.: +7 (495) 641-12-12 Факс: +7 (495) 641-12-11 www.nvg.ru Касулин Юрий Сергеевич Руководитель отдела систем контроля доступа