www.pwc.ru/riskassuranceРиски и методызащиты бизнес-приложений1 марта 2012
ВступлениеДобыча     Переработка   Транспортировка   Хранение   Дистрибуция   РеализацияХищение продукции, манипуляции в т...
Новые тенденции                        Уровень бизнес-процессов           •   Интеграция в систему управления бизнес-риска...
Смещение вектора атак                              Бизнес-приложения                                    Операционные      ...
Смещение вектора атак       74%       72%       70%       68%       66%       64%       62%       60%       58%           ...
Смещение вектора атак• 82% организаций дорабатывают типовые программы, либо  разрабатывают собственные бизнес-приложения с...
Смещение вектора атакhttp://www.securityfocus.com/bidPwC                                7
Классы бизнес-приложений                         Бизнес-                       приложения                                 ...
Риски безопасности• Остановка бизнес-процессов• Искажение данных (отчетность , планы, операционная  деятельность)• Несанкц...
Стороннее ПОПроблематика• Отсутствие механизмов защиты• Отсутствие руководств по настройке механизмов защиты• Недостаточна...
Стороннее ПОМеханизмы защиты• Максимальное изолирование системы• Управление обновлениями• Best practices по внедрению, кон...
Стороннее ПО, кастомизируемоеПроблематика• Примеры - SAP, 1C, …• Все, что применимо к предыдущему классу• Отсутствие или н...
Стороннее ПО, кастомизируемоеМеханизмы защиты• Все, что применимо к предыдущему классу• Специализированные сканеры уязвимо...
Заказная/ собственная разработкаПроблематика• Недостаточный учет вопросов безопасности на этапе  проектирования• Качество ...
Заказная/ собственная разработкаМеханизмы защиты• Оценка безопасности архитектуры приложений• Обучение программистов• Пост...
Процесс разработки ПО                             Business requirement/                                   Analysis        ...
Учет требований безопасностиSecurity level definition                                Risk               Architecture      ...
Дополнительные материалыBITS Software Assurance Frameworkhttp://www.bits.org/publications/security/BITSSoftwareAssurance01...
Контакты                                        Евгений Климов                                        Менеджер            ...
Upcoming SlideShare
Loading in …5
×

Klimov idc 2012_presentation

895 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
895
On SlideShare
0
From Embeds
0
Number of Embeds
19
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Klimov idc 2012_presentation

  1. 1. www.pwc.ru/riskassuranceРиски и методызащиты бизнес-приложений1 марта 2012
  2. 2. ВступлениеДобыча Переработка Транспортировка Хранение Дистрибуция РеализацияХищение продукции, манипуляции в технологических и информационных системахучета, искажение финансовой отчетности и т. д.PwC 2
  3. 3. Новые тенденции Уровень бизнес-процессов • Интеграция в систему управления бизнес-рисками • Выявление и предотвращение мошенничеств (фрод) • Безопасность бизнес-приложений Мониторинг Антивирусная Межсетевые Контроль инцидентов защита экраны утечек Управление Криптографическая защита Обнаружение доступом атак Уровень инфраструктурыPwC 3
  4. 4. Смещение вектора атак Бизнес-приложения Операционные системы Сеть“70% of attacks are in applications”: Betsy Hight (Vice President of cyber security, HP) at a paneldiscussion on cyber security, 2011PwC 4
  5. 5. Смещение вектора атак 74% 72% 70% 68% 66% 64% 62% 60% 58% Безопасность Мобильные Вредоносный Инсайдеры приложений устройства код Исследование (ISC)2 2011PwC 5
  6. 6. Смещение вектора атак• 82% организаций дорабатывают типовые программы, либо разрабатывают собственные бизнес-приложения с нуля; 72% из них используют собственных сотрудников и 18% - фрилансеров• Cпециалисты только 11% компаний не признают рисков появления НДВ, связанных с модификацией ПО• 32% компаний фиксировали либо подозревали инциденты по вине разработчиков. В 60% инцидентов программные закладки так и не были найдены.• Только 9% компаний используют технические средства контроля программного кода Исследование «Скрытая угроза – недекларированные возможности бизнес ПО», Appercut Software, SecurityLab.ru, 2011 http://www.securitylab.ru/news/407350.phpPwC 6
  7. 7. Смещение вектора атакhttp://www.securityfocus.com/bidPwC 7
  8. 8. Классы бизнес-приложений Бизнес- приложения Заказная/ Стороннее ПО, Стороннее ПО собственная кастомизируемое разработкаPwC 8
  9. 9. Риски безопасности• Остановка бизнес-процессов• Искажение данных (отчетность , планы, операционная деятельность)• Несанкционированный доступ к критичным данным• Инсайдеры, конкурентная борьба• Внесение изменений в бизнес-логику, закладки• Прикрытие мошеннических действий• Другие…PwC 9
  10. 10. Стороннее ПОПроблематика• Отсутствие механизмов защиты• Отсутствие руководств по настройке механизмов защиты• Недостаточная документация системы и компетенция специалистов• Невозможность использования стандартных механизмов защиты, особенно в случае АСУ: • Отсутствие гарантии работоспособности в случае внесения изменений в конфигурацию системы (антивирус, обновления, и др.) • Проприетарные протоколы (невозможность сбора логов или их анализа, отсутствие документации,…) • Устаревшие платформыPwC 10
  11. 11. Стороннее ПОМеханизмы защиты• Максимальное изолирование системы• Управление обновлениями• Best practices по внедрению, конфигурации, эксплуатации и аудиту• Системы мониторинга и обнаружения вторжений• Сканеры уязвимостей (Nessus, MaxPatrol, ...)• Виртуализация• Контроль разделения полномочий• Административные меры• Др.PwC 11
  12. 12. Стороннее ПО, кастомизируемоеПроблематика• Примеры - SAP, 1C, …• Все, что применимо к предыдущему классу• Отсутствие или недостаточная документация разработанных компонент системы• Зависимость от программиста• Программные закладкиPwC 12
  13. 13. Стороннее ПО, кастомизируемоеМеханизмы защиты• Все, что применимо к предыдущему классу• Специализированные сканеры уязвимостей (ERPScanner, MaxPatrol, Appercut Software...)• Статические анализаторы CodeProfiler от Virtual Forge, HP Fortify• Ручной анализ кода• Административные меры• Др.PwC 13
  14. 14. Заказная/ собственная разработкаПроблематика• Недостаточный учет вопросов безопасности на этапе проектирования• Качество программирования/тестирования/внедрения• Недостаточность документирования• Зависимость от программистов• Отсутствие интерфейсов для интеграции СЗИ• Неучет аспектов текущего законодательстваPwC 14
  15. 15. Заказная/ собственная разработкаМеханизмы защиты• Оценка безопасности архитектуры приложений• Обучение программистов• Построение Secure Development Framework, использование существующих методик• Контроль качества исходного кода• Анализ защищенности исходного кода• Автоматизированный поиск программных «закладок», выявление критичных участков кода,• Поиск уязвимостей• Penetration testing• Изолирование системыPwC 15
  16. 16. Процесс разработки ПО Business requirement/ Analysis Deployment Architecture/Design Test DevelopmentPwC 16
  17. 17. Учет требований безопасностиSecurity level definition Risk Architecture Developer Testing Operation classification principles guidelines methods procedures Security Security Security Security Security requirement requirement requirement requirement requirement Threat analysis Business Architecture/ Deployment requirement/ Development Test Design Analysis Classification Development Change Design control control control management PwC 17
  18. 18. Дополнительные материалыBITS Software Assurance Frameworkhttp://www.bits.org/publications/security/BITSSoftwareAssurance0112.pdfPA DSShttps://www.pcisecuritystandards.org/security_standards/documents.php?association=PA-DSSOWASP Secure Coding Practices Guidehttps://www.owasp.org/images/0/08/OWASP_SCP_Quick_Reference_Guide_v2.pdfCERT Secure Coding Standardshttp://www.cert.org/secure-coding/scstandards.htmlPwC 18
  19. 19. Контакты Евгений Климов Менеджер +7 (495) 967 6086 evgeny.klimov@ru.pwc.comThis publication has been prepared for general guidance on matters of interest only, and doesnot constitute professional advice. You should not act upon the information contained in thispublication without obtaining specific professional advice. No representation or warranty(express or implied) is given as to the accuracy or completeness of the information containedin this publication, and, to the extent permitted by law, [insert legal name of the PwC firm], itsmembers, employees and agents do not accept or assume any liability, responsibility or duty ofcare for any consequences of you or anyone else acting, or refraining to act, in reliance on theinformation contained in this publication or for any decision based on it.© 2010 ZAO PricewaterhouseCoopers Audit. All rights reserved. In this document, “PwC”refers to ZAO PricewaterhouseCoopers Audit which is a member firm ofPricewaterhouseCoopers International Limited, each member firm of which is a separate legalentity.

×