It security 2011 v3 2003

1,190 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,190
On SlideShare
0
From Embeds
0
Number of Embeds
213
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

It security 2011 v3 2003

  1. 1. Аудит безопасности бизнес-приложений Сергей Колосков, Старший менеджер , CISA, CRISC 29 сентября 2011
  2. 2. О чём пойдет речь? <ul><li>Типовые бизнес приложения: ERP, CRM, АБС, OSS/BSS, клиент - банк, интернет - банкинг </li></ul><ul><li>Примеры аудитов: A&P, general security review, M&A review, SOD specific, SOX, PCI DSS, ISO 27XXX review и др. </li></ul><ul><li>Что обнаруживается в рамках аудитов </li></ul>
  3. 3. Почему корректно делать выводы? <ul><li>200+ аудитов на территории РФ в год </li></ul><ul><li>Вовлечение в глобальные аудиты в составе международных команд </li></ul><ul><li>Проведение собственных исследований в области информационных технологий и информационной безопасности </li></ul><ul><li>Наличие специализированных центров информационной безопасности </li></ul>
  4. 4. Типичные недостатки (1) Управление доступом к бизнес приложениям <ul><li>Непрозрачные правила управления доступом к бизнес-приложениям </li></ul><ul><li>Отсутствие функционала системы по настройке требований к паролям </li></ul><ul><li>Ненастроенная парольная политика </li></ul><ul><li>Незаблокированные учетные записи уволенных сотрудников </li></ul><ul><li>Незаблокированные учетные записи временных пользователей (временные сотрудники, с частичной занятостью, представители внешних организаций ) </li></ul><ul><li>Отзыв прав при перемещении сотрудников внутри компании </li></ul><ul><li>Использование общих учетных записей ( Generic accounts ) </li></ul><ul><li>Использование встроенных учетных записей со стандартными паролями </li></ul>
  5. 5. Неавторизованный доступ – в TO П3 проблем безопасности <ul><ul><li>По результатам глобального исследования Ernst & Young в области информационной безопасности </li></ul></ul>
  6. 6. Типичные недостатки (2) Безопасность транзакций и бизнес операций <ul><li>Разделение критических полномочий в бизнес процессах ( Segregation of incompatible duties) </li></ul><ul><li>Работа в закрытых периодах </li></ul><ul><li>Избыточный доступ к справочникам </li></ul><ul><li>Проведение изменений в авторизованных транзакциях </li></ul><ul><li>Параметры резервного копирования бизнес-приложений не соответствуют бизнес-требованиям, включая случаи отсутствия оценки RTO/RPO </li></ul><ul><li>Отсутствие включенного мониторинга действий пользователей </li></ul>
  7. 7. Типичные недостатки (3) Безопасность на уровне архитектуры <ul><li>Небезопасная организация доступа к различным средами (разработка, тестирование, промышленная эксплуатация) </li></ul><ul><li>Безопасность интерфейсов / безопасность передачи данных между информационными системами </li></ul><ul><li>Предоставление бизнес-партнерам стандартных отчетов ИС с избыточной бизнес-информацией </li></ul>
  8. 8. Использует ли ваша организация решения на базе облачных вычислений? Актуальные угрозы бизнес приложений 2010 2011 <ul><ul><li>По результатам глобальных исследований Ernst & Young в области информационной безопасности </li></ul></ul>
  9. 9. Какие наиболее актуальные пути повышения уровня информационной безопасности вашей организации? <ul><ul><li>По результатам глобального исследования Ernst & Young в области информационной безопасности </li></ul></ul>
  10. 10. Спасибо за внимание Сергей Колосков Старший менеджер, CISA , CRISC Тел: +7 (495) 755-9676 E-mail: [email_address]

×