SlideShare a Scribd company logo

1

A
a_a_a

Информационная безопасность компании - как не подарить кибермошенникам Ваш бизнес

1 of 15
Download to read offline
Всеукраинский форум «ДНИ ИНТЕРНЕТ – МАРКЕТИНГА» Информационная безопасность компании - как не подарить кибермошенникам Ваш бизнес Владимир Ткаченко Директор ООО «Агентство активного аудита»
ТОП 10 киберугроз применительно к Украине: - Мошенничество с помощью систем ДБО; - Высокая степень уязвимости к приемам социальной инженерии; - ПО на стороне клиента продолжает оставаться необновленным даже после выпуска патчей; - Слабая организация управления ИБ; - Отсутствие риск менеджмента в отношении информационных активов (1С и др. БД); - Уязвимости WEB-сайтов и WEB-приложений использующихся через Internet; - Уязвимости беспроводных сетей предприятия (Wi-Fi, CDMA, GSM, IP Telephony) - Рост количества и сложности DDoS как способа конкурентной борьбы; - Рост количества 0-day уязвимостей; - Несоблюдение рекомендаций производителей ПО и оборудования по настройке параметров безопасности 28.03.2012 © ООО «Агентство активного аудита» 2
Идеальный подход к защите бизнеса Государство Партнеры (законы, налоги, (поставщики, посредники…) А1Н1…) Владельцы предприятия Внутренний аудит Подразделения поддержки бизнеса Подразделения Конкуренты генерирующие прибыль Клиенты (целенаправоенные злонамеренные действия)
Практическая реализация защиты бизнеса и ИТ инфраструктуры предприятия
Факты по картам • В своем письме банкам от 15.04.2010 № 25-312/943-5139 НБУ отмечает что «Кількість шахрайських операцій з використанням платіжних карток … становила 6 304 тис. грн.», т.е. 6 млн. 304 тыс. грн. (Fake ATM – в Караване, fake Internet shop, phishing, vishing, skimming, trojan horses, SMS phishing, кражи карточных данных в торговых точках, АЗС и т.п.) Факты по ДБО • Мировая тенденция уже в Украине ( 25% наших клиентов пострадали от подобных операций); • В основном угрозы через вирусы (троянские кони) и собственный персонал (небрежное хранение ключевых данных к ДБО). Примеры: ZeuS, Trojan.PWS.OSMP, Trojan.Tatanarg и др. ; • «Черкасское дело» (март-апрель 2011г) – 7 млн. грн. Как избежать рисков?  Процедуры хранения и применения ключей и паролей ДБО  Фильтрация по IP-адресу и другим признакам  Элементарные меры защиты (антивирус, сканер уязвимостей, осведомленность)
Как определить потребность в продуктах ИБ? Данные для Описание принятия решения Анализ ИТ рисков Позволяет определить наиболее критичные ресурсы подверженные наиболее вероятному перечню угроз + возможность оптимально резервировать ресурсы для решения задач ИБ, возможность измерить риск в бизнес терминах - процесс, требующий ресурсов (квалификация и методология) Статистика Объективная совокупность фактов, позволяющая проводить инцидентов ИТ (ИБ) статистический анализ характера и особенностей инцидентов, а также их природы Внутренний или Оценить, а, где это возможно, сравнить выполнение процессов с внешний аудит ИТ политикой СУИБ (требованиями стандартов и/или регуляторов), целями и практическим опытом и доложить результаты менеджменту  ISO 27001 – открытие для ИТ директоров предприятий (руководству) для анализа.  ISO Тест на 18044 – откровение для ИТ испособ определить РЕАЛЬНЫЕ уязвимые места в Достаточно быстрый бизнеса  CoBIT – это проникновение что-то только у «них там на западе» ИТ,«у нас не работает» инфраструктуре и определить процессы и требующие улучшения. + относительно быстро (до 1-2 мес), возможно охватить большинство  Купим Антивирус, WEB-фильтр, IDS/IPS, DLP том числе аспекты физической критичных ресурсов и процессов (в (нужное подчеркнуть) и все будет ок безопасности) - ограниченный финансовый ресурс 
Стандарты ИБ  ISO 27001 – открытие для ИТ директоров предприятий  ISO 18044 – откровение для ИТ и бизнеса  CoBIT – это что-то только у «них там на западе» и «у нас не работает»  Купим Антивирус, WEB-фильтр, IDS/IPS, DLP (нужное подчеркнуть) и все будет ок  PCI DSS и PA-DSS – для тех кто собирается принимать платежи пластиковыми карточками, но по прежнему надеется что-как нибудь само решится…  Закон Украины №2297-17 от 01.06.2010 «О защите персональных данных» - один для всех?  Другие идеи и инициативы в Украине о защите информации (регуляторы ГССЗЗИ, НБУ, ГСПЗПД и другие сложные аббревиатуры)
0,5 слова о защите ПДн Инвентаризация и 1 2 3 4 Определение Определение подготовительные Внедрение текущего состояния мероприятий защиты в действия к внедрению СОУПДн СУОПДн (аудит) отношении баз ПДн СУОПДн Подготовительные действия Сбор и анализ информации Определение мероприятий по защите Устранение недостатков Инвентаризация баз ПДн Определение критичности баз ПДн Создание политик и процедур Уведомление субъектов ПДн Описание баз ПДн Подготовка отчета Определение порядка обработки ПДн Постановка необходимых процессов. Регистрация баз в Гос. реестре Приказ об организации Отчет по результатам Согласование «Кодекса» со Службой План мероприятий защиты работ по проекту аудита Приказ о назначении ответственных лиц за СОУПДн Презентация «Порядок обработки ПДн на Процессы обновления, результатов аудита предприятии» хранения и утилизации баз Внесение изменений в руководству ПДн должностные обязанности Процедуры и политики по ответственных лиц. Процесс уведомления обработке и хранению баз ПДн субъектов персональных Реестр баз персональных данных данных предприятия + формы уведомлений Приложение к Реестру с описанием баз ПДн Зарегистрированные в ГРБПДн базы ПДн Реестр владельцев баз персональных данных Согласованный со службой «Порядок обработки ПДн»
Тест на проникновение Основные цели тестирования систем(ы) или приложения на устойчивость ко взлому: - Снизить потенциальный (финансовый и репутационный) ущерб от реализации угроз; - Определить эффективность принятых мер безопасности для защиты от внешних угроз (из сети Интернет); - Оценить устойчивость систем(ы) или приложения к наиболее распространенным видам внешних атак; - Защитить потенциальных пользователей систем(ы) или приложения от компрометации их данных или других мошеннических действий; - Получить оценку независимых экспертов о степени защищенности системы
Из жизни … Из обнаруженных уязвимостей: 1) Межсайтовое выполнение сценариев (Cross-Site Scripting) на странице http://fart.com.ua/search.php. 2) Использование простых паролей позволило аудиторам развить атаку и получить полный доступ к серверу. 3) Обнаружены сторонние PHP скрипты, вероятней всего сайт уже был взломан или скрипт был оставлен сотрудниками компании с неизвестной целью. Также было обнаружено: - лицензия на ПО управления сайтом истекла, и в дальнейшем сайты не смогут получать обновления; - протоколирование действий в системе средствами сайта отключено, что позволяет потенциальному злоумышленнику остаться необнаруженным; - ПО сервера обновляется не постоянно; - пользователь www имеет доступ к файлам и папкам за пределами своей домашней директории; - разграничение прав доступа к файлам на WEB- сервере не настроено; - учет изменений на сервере не ведется.
DDoS – метод конкурентной борьбы  25 % наших клиентов сталкивались с DoS  Тенденция – ботнеты состоят не только из ПК, но серверов и сетевого оборудования  Стоимость DDoS 300-500 USD в зависимости от задачи и требуемых ресурсов  Украина создает 12% Ddos трафика в мире (2 е место) 2012 г!!!! Громкие DDoS в Украине: 1) 29.01.2010 – DDoS на сайт security.ua, 23.03.2010 – UA-Reporter.com; 2) Конец августа 2010 г – imena.ua/mirohost.net ( 2Гбит/с, ZeuS, 3 млн. компьютеров ботнет); 3) 8 октября 2010 г. – Укртелеком (ухудшение качества доступа в Internet); 4) Конец января –начало февраля 2012 – атаки на сайты органов власти - (EX.UA); 5) На этой неделе – 19.03.2012 – сайт РБК-Украина Александр Ольшанский (президент Imena.ua) сообщил: «К сожалению, у нас DDOS- атаки стали привычным инструментом политической и конкурентной борьбы, который используют для воздействия на неугодные сайты или шантажа электронных магазинов. Зло это общемировое, и Украина здесь далеко не впереди планеты всей. Тем не менее и в нашей стране в течение ближайших 2-3 лет проблема DDOS-атак приобретет серьезную актуальность и будет требовать соответствующих решений как от владельцев интернет-ресурсов, так и от хостинг-провайдеров».
Затраты на ИБ Затраты на ИБ –  Стоимость квалифицированных специалистов  Стоимость мероприятий по обеспечению безопасности и их поддержка  Накладные расходы  Обучение и повышение квалификации (или осведомленности) сотрудников  Затраты на реакцию на инциденты
Как с этой фигней взлететь? Определить стоимость мер защиты Определить ROSI в стоимость бизнес кейс инцидента ИБ (ИТ) Рассчитать Рассчитать финансовые ROSI выгоды
Выводы Перед началом проекта  Оценить риски (в т. ч. информационные)  Выделить бюджет на оценку защищенности  Разработать мероприятия по обеспечению безопасности и их поддержке Во время проекта  Разграничение среды разработки, тестирования и производственной  Выявлять риски по мере возможности  Подерживать мероприятия по безопасности  Провести опытную (тестовую) эксплуатацию После ввода в эксплуатацию  Мониторинг событий  Анализ рисков (пересмотр) периодически  Регистрировать изменения в системе (системах)  Периодически проводить оценку защищенности
Вопросы v.tkachenko@auditagency.com.ua www.auditagency.com.ua 044 2281588

Recommended

внедрение защиты пдн практикум
внедрение защиты пдн практикумвнедрение защиты пдн практикум
внедрение защиты пдн практикумa_a_a
 
LETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_БондаренкоLETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_Бондаренкоguestfa9aa
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
IT Managed Services in Ukraine
IT Managed Services in UkraineIT Managed Services in Ukraine
IT Managed Services in UkraineAlexey Kushka
 
подход к внедрению Dlp2
подход к внедрению Dlp2подход к внедрению Dlp2
подход к внедрению Dlp2Expolink
 
Правила аудита
Правила аудитаПравила аудита
Правила аудитаОтшельник
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

внедрение защиты пдн практикум
внедрение защиты пдн практикумвнедрение защиты пдн практикум
внедрение защиты пдн практикумa_a_a
 
LETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_БондаренкоLETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_Бондаренкоguestfa9aa
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
IT Managed Services in Ukraine
IT Managed Services in UkraineIT Managed Services in Ukraine
IT Managed Services in UkraineAlexey Kushka
 
подход к внедрению Dlp2
подход к внедрению Dlp2подход к внедрению Dlp2
подход к внедрению Dlp2Expolink
 
Правила аудита
Правила аудитаПравила аудита
Правила аудитаОтшельник
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
От хаоса в методах доступа в корпоративных сетях к унифицированной политике
От хаоса в методах доступа в корпоративных сетях к унифицированной политикеОт хаоса в методах доступа в корпоративных сетях к унифицированной политике
От хаоса в методах доступа в корпоративных сетях к унифицированной политикеCisco Russia
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartizationAleksey Lukatskiy
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхValery Bychkov
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...NAUMEN. Информационные системы управления растущим бизнесом
 
GDPR intro
GDPR intro GDPR intro
GDPR intro Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
RoadShow Docsvision: Внедрение Docsvision в Администрации г. Екатеринбурга
RoadShow Docsvision: Внедрение Docsvision в Администрации г. ЕкатеринбургаRoadShow Docsvision: Внедрение Docsvision в Администрации г. Екатеринбурга
RoadShow Docsvision: Внедрение Docsvision в Администрации г. ЕкатеринбургаDocsvision
 
How interact with regulations bodies
How interact with regulations bodiesHow interact with regulations bodies
How interact with regulations bodiesAleksey Lukatskiy
 
Legalcamp 2.0
Legalcamp 2.0Legalcamp 2.0
Legalcamp 2.0Vladimir Matviychuk
 
подход компании Softline при внедрении dlp систем
подход компании Softline при внедрении dlp системподход компании Softline при внедрении dlp систем
подход компании Softline при внедрении dlp системExpolink
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulationsAleksey Lukatskiy
 
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Cisco Russia
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
7 поводов перейти на электронный документооборот
7 поводов перейти на электронный документооборот7 поводов перейти на электронный документооборот
7 поводов перейти на электронный документооборотИНТЕРСОФТ
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuitySergey Polazhenko
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаLETA IT-company
 
Informatica datawarehouse
Informatica datawarehouseInformatica datawarehouse
Informatica datawarehouseOleksii Tsipiniuk
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДнAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Kr01
Kr01Kr01
Kr01Jinsuk Cho
 
Contact sheets
Contact sheetsContact sheets
Contact sheetscat663
 
La pesca
La pescaLa pesca
La pescaMarina98
 
Aravtiin butarhain huvaah uildel 5r angi
Aravtiin butarhain huvaah uildel 5r angiAravtiin butarhain huvaah uildel 5r angi
Aravtiin butarhain huvaah uildel 5r angishand1_ch.tungaa
 

More Related Content

What's hot

От хаоса в методах доступа в корпоративных сетях к унифицированной политике
От хаоса в методах доступа в корпоративных сетях к унифицированной политикеОт хаоса в методах доступа в корпоративных сетях к унифицированной политике
От хаоса в методах доступа в корпоративных сетях к унифицированной политикеCisco Russia
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartizationAleksey Lukatskiy
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхValery Bychkov
 
RoadShow Docsvision: Внедрение Docsvision в Администрации г. Екатеринбурга
RoadShow Docsvision: Внедрение Docsvision в Администрации г. ЕкатеринбургаRoadShow Docsvision: Внедрение Docsvision в Администрации г. Екатеринбурга
RoadShow Docsvision: Внедрение Docsvision в Администрации г. ЕкатеринбургаDocsvision
 
How interact with regulations bodies
How interact with regulations bodiesHow interact with regulations bodies
How interact with regulations bodiesAleksey Lukatskiy
 
подход компании Softline при внедрении dlp систем
подход компании Softline при внедрении dlp системподход компании Softline при внедрении dlp систем
подход компании Softline при внедрении dlp системExpolink
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulationsAleksey Lukatskiy
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Cisco Russia
 
7 поводов перейти на электронный документооборот
7 поводов перейти на электронный документооборот7 поводов перейти на электронный документооборот
7 поводов перейти на электронный документооборотИНТЕРСОФТ
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuitySergey Polazhenko
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаLETA IT-company
 

What's hot (18)

От хаоса в методах доступа в корпоративных сетях к унифицированной политике
От хаоса в методах доступа в корпоративных сетях к унифицированной политикеОт хаоса в методах доступа в корпоративных сетях к унифицированной политике
От хаоса в методах доступа в корпоративных сетях к унифицированной политике
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данных
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
GDPR intro
GDPR intro GDPR intro
GDPR intro
 
RoadShow Docsvision: Внедрение Docsvision в Администрации г. Екатеринбурга
RoadShow Docsvision: Внедрение Docsvision в Администрации г. ЕкатеринбургаRoadShow Docsvision: Внедрение Docsvision в Администрации г. Екатеринбурга
RoadShow Docsvision: Внедрение Docsvision в Администрации г. Екатеринбурга
 
How interact with regulations bodies
How interact with regulations bodiesHow interact with regulations bodies
How interact with regulations bodies
 
Legalcamp 2.0
Legalcamp 2.0Legalcamp 2.0
Legalcamp 2.0
 
подход компании Softline при внедрении dlp систем
подход компании Softline при внедрении dlp системподход компании Softline при внедрении dlp систем
подход компании Softline при внедрении dlp систем
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulations
 
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
7 поводов перейти на электронный документооборот
7 поводов перейти на электронный документооборот7 поводов перейти на электронный документооборот
7 поводов перейти на электронный документооборот
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuity
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практика
 
Informatica datawarehouse
Informatica datawarehouseInformatica datawarehouse
Informatica datawarehouse
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДн
 

Viewers also liked

Contact sheets
Contact sheetsContact sheets
Contact sheetscat663
 
Aravtiin butarhain huvaah uildel 5r angi
Aravtiin butarhain huvaah uildel 5r angiAravtiin butarhain huvaah uildel 5r angi
Aravtiin butarhain huvaah uildel 5r angishand1_ch.tungaa
 
Profilazione di applicazioni PHP con XHProf.
Profilazione di applicazioni PHP con XHProf.Profilazione di applicazioni PHP con XHProf.
Profilazione di applicazioni PHP con XHProf.Filippo Matteo Riggio
 
Kontakt 2011 unipetrol
Kontakt 2011 unipetrolKontakt 2011 unipetrol
Kontakt 2011 unipetrolUNIPETROL,a.s.
 
Calentamiento Global
Calentamiento Global Calentamiento Global
Calentamiento Global JamiSol
 
William pineda actividad .
William pineda actividad .William pineda actividad .
William pineda actividad .willianrpb18
 
Quais as suas razoes
Quais as suas razoesQuais as suas razoes
Quais as suas razoespietra bravo
 

Viewers also liked (14)

Kr01
Kr01Kr01
Kr01
 
Contact sheets
Contact sheetsContact sheets
Contact sheets
 
La pesca
La pescaLa pesca
La pesca
 
Aravtiin butarhain huvaah uildel 5r angi
Aravtiin butarhain huvaah uildel 5r angiAravtiin butarhain huvaah uildel 5r angi
Aravtiin butarhain huvaah uildel 5r angi
 
Profilazione di applicazioni PHP con XHProf.
Profilazione di applicazioni PHP con XHProf.Profilazione di applicazioni PHP con XHProf.
Profilazione di applicazioni PHP con XHProf.
 
Tyngaaa5
Tyngaaa5Tyngaaa5
Tyngaaa5
 
Evaluation question 6
Evaluation question 6Evaluation question 6
Evaluation question 6
 
Kontakt 2011 unipetrol
Kontakt 2011 unipetrolKontakt 2011 unipetrol
Kontakt 2011 unipetrol
 
Hocphotoshop
HocphotoshopHocphotoshop
Hocphotoshop
 
Calentamiento Global
Calentamiento Global Calentamiento Global
Calentamiento Global
 
Register Guard Op-Ed
Register Guard Op-EdRegister Guard Op-Ed
Register Guard Op-Ed
 
William pineda actividad .
William pineda actividad .William pineda actividad .
William pineda actividad .
 
Quais as suas razoes
Quais as suas razoesQuais as suas razoes
Quais as suas razoes
 
Keukenhof
KeukenhofKeukenhof
Keukenhof
 

Similar to 1

Мастер класс ПДн Бондаренко
Мастер класс ПДн БондаренкоМастер класс ПДн Бондаренко
Мастер класс ПДн Бондаренкоguest5a2f763
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпораций
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпорацийЕ.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпораций
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпорацийIBS
 
Кейс МКД Партнер постановки системы управления знаниями
Кейс МКД Партнер постановки системы управления знаниями Кейс МКД Партнер постановки системы управления знаниями
Кейс МКД Партнер постановки системы управления знаниями МКД Партнер
 
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012Ken Tulegenov
 
SAP on Big Data Russia
SAP on Big Data RussiaSAP on Big Data Russia
SAP on Big Data Russiarusbase.vc
 
Politics
PoliticsPolitics
Politicscnpo
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхКРОК
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"Expolink
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасностьInfoWatch
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcpuisgslide
 
Обеспечение и контроль качества услуг
Обеспечение и контроль качества услугОбеспечение и контроль качества услуг
Обеспечение и контроль качества услугCisco Russia
 
контроль информационных потоков белинский Infowatch
контроль информационных потоков белинский Infowatchконтроль информационных потоков белинский Infowatch
контроль информационных потоков белинский InfowatchExpolink
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 

Similar to 1 (20)

Мастер класс ПДн Бондаренко
Мастер класс ПДн БондаренкоМастер класс ПДн Бондаренко
Мастер класс ПДн Бондаренко
 
Управление инцидентами
Управление инцидентамиУправление инцидентами
Управление инцидентами
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпораций
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпорацийЕ.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпораций
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпораций
 
Кейс МКД Партнер постановки системы управления знаниями
Кейс МКД Партнер постановки системы управления знаниями Кейс МКД Партнер постановки системы управления знаниями
Кейс МКД Партнер постановки системы управления знаниями
 
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
 
SAP on Big Data Russia
SAP on Big Data RussiaSAP on Big Data Russia
SAP on Big Data Russia
 
Politics
PoliticsPolitics
Politics
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасность
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
презентация по услугам
презентация по услугампрезентация по услугам
презентация по услугам
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcp
 
Обеспечение и контроль качества услуг
Обеспечение и контроль качества услугОбеспечение и контроль качества услуг
Обеспечение и контроль качества услуг
 
контроль информационных потоков белинский Infowatch
контроль информационных потоков белинский Infowatchконтроль информационных потоков белинский Infowatch
контроль информационных потоков белинский Infowatch
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 

1

  • 1. Всеукраинский форум «ДНИ ИНТЕРНЕТ – МАРКЕТИНГА» Информационная безопасность компании - как не подарить кибермошенникам Ваш бизнес Владимир Ткаченко Директор ООО «Агентство активного аудита»
  • 2. ТОП 10 киберугроз применительно к Украине: - Мошенничество с помощью систем ДБО; - Высокая степень уязвимости к приемам социальной инженерии; - ПО на стороне клиента продолжает оставаться необновленным даже после выпуска патчей; - Слабая организация управления ИБ; - Отсутствие риск менеджмента в отношении информационных активов (1С и др. БД); - Уязвимости WEB-сайтов и WEB-приложений использующихся через Internet; - Уязвимости беспроводных сетей предприятия (Wi-Fi, CDMA, GSM, IP Telephony) - Рост количества и сложности DDoS как способа конкурентной борьбы; - Рост количества 0-day уязвимостей; - Несоблюдение рекомендаций производителей ПО и оборудования по настройке параметров безопасности 28.03.2012 © ООО «Агентство активного аудита» 2
  • 3. Идеальный подход к защите бизнеса Государство Партнеры (законы, налоги, (поставщики, посредники…) А1Н1…) Владельцы предприятия Внутренний аудит Подразделения поддержки бизнеса Подразделения Конкуренты генерирующие прибыль Клиенты (целенаправоенные злонамеренные действия)
  • 4. Практическая реализация защиты бизнеса и ИТ инфраструктуры предприятия
  • 5. Факты по картам • В своем письме банкам от 15.04.2010 № 25-312/943-5139 НБУ отмечает что «Кількість шахрайських операцій з використанням платіжних карток … становила 6 304 тис. грн.», т.е. 6 млн. 304 тыс. грн. (Fake ATM – в Караване, fake Internet shop, phishing, vishing, skimming, trojan horses, SMS phishing, кражи карточных данных в торговых точках, АЗС и т.п.) Факты по ДБО • Мировая тенденция уже в Украине ( 25% наших клиентов пострадали от подобных операций); • В основном угрозы через вирусы (троянские кони) и собственный персонал (небрежное хранение ключевых данных к ДБО). Примеры: ZeuS, Trojan.PWS.OSMP, Trojan.Tatanarg и др. ; • «Черкасское дело» (март-апрель 2011г) – 7 млн. грн. Как избежать рисков?  Процедуры хранения и применения ключей и паролей ДБО  Фильтрация по IP-адресу и другим признакам  Элементарные меры защиты (антивирус, сканер уязвимостей, осведомленность)
  • 6. Как определить потребность в продуктах ИБ? Данные для Описание принятия решения Анализ ИТ рисков Позволяет определить наиболее критичные ресурсы подверженные наиболее вероятному перечню угроз + возможность оптимально резервировать ресурсы для решения задач ИБ, возможность измерить риск в бизнес терминах - процесс, требующий ресурсов (квалификация и методология) Статистика Объективная совокупность фактов, позволяющая проводить инцидентов ИТ (ИБ) статистический анализ характера и особенностей инцидентов, а также их природы Внутренний или Оценить, а, где это возможно, сравнить выполнение процессов с внешний аудит ИТ политикой СУИБ (требованиями стандартов и/или регуляторов), целями и практическим опытом и доложить результаты менеджменту  ISO 27001 – открытие для ИТ директоров предприятий (руководству) для анализа.  ISO Тест на 18044 – откровение для ИТ испособ определить РЕАЛЬНЫЕ уязвимые места в Достаточно быстрый бизнеса  CoBIT – это проникновение что-то только у «них там на западе» ИТ,«у нас не работает» инфраструктуре и определить процессы и требующие улучшения. + относительно быстро (до 1-2 мес), возможно охватить большинство  Купим Антивирус, WEB-фильтр, IDS/IPS, DLP том числе аспекты физической критичных ресурсов и процессов (в (нужное подчеркнуть) и все будет ок безопасности) - ограниченный финансовый ресурс 
  • 7. Стандарты ИБ  ISO 27001 – открытие для ИТ директоров предприятий  ISO 18044 – откровение для ИТ и бизнеса  CoBIT – это что-то только у «них там на западе» и «у нас не работает»  Купим Антивирус, WEB-фильтр, IDS/IPS, DLP (нужное подчеркнуть) и все будет ок  PCI DSS и PA-DSS – для тех кто собирается принимать платежи пластиковыми карточками, но по прежнему надеется что-как нибудь само решится…  Закон Украины №2297-17 от 01.06.2010 «О защите персональных данных» - один для всех?  Другие идеи и инициативы в Украине о защите информации (регуляторы ГССЗЗИ, НБУ, ГСПЗПД и другие сложные аббревиатуры)
  • 8. 0,5 слова о защите ПДн Инвентаризация и 1 2 3 4 Определение Определение подготовительные Внедрение текущего состояния мероприятий защиты в действия к внедрению СОУПДн СУОПДн (аудит) отношении баз ПДн СУОПДн Подготовительные действия Сбор и анализ информации Определение мероприятий по защите Устранение недостатков Инвентаризация баз ПДн Определение критичности баз ПДн Создание политик и процедур Уведомление субъектов ПДн Описание баз ПДн Подготовка отчета Определение порядка обработки ПДн Постановка необходимых процессов. Регистрация баз в Гос. реестре Приказ об организации Отчет по результатам Согласование «Кодекса» со Службой План мероприятий защиты работ по проекту аудита Приказ о назначении ответственных лиц за СОУПДн Презентация «Порядок обработки ПДн на Процессы обновления, результатов аудита предприятии» хранения и утилизации баз Внесение изменений в руководству ПДн должностные обязанности Процедуры и политики по ответственных лиц. Процесс уведомления обработке и хранению баз ПДн субъектов персональных Реестр баз персональных данных данных предприятия + формы уведомлений Приложение к Реестру с описанием баз ПДн Зарегистрированные в ГРБПДн базы ПДн Реестр владельцев баз персональных данных Согласованный со службой «Порядок обработки ПДн»
  • 9. Тест на проникновение Основные цели тестирования систем(ы) или приложения на устойчивость ко взлому: - Снизить потенциальный (финансовый и репутационный) ущерб от реализации угроз; - Определить эффективность принятых мер безопасности для защиты от внешних угроз (из сети Интернет); - Оценить устойчивость систем(ы) или приложения к наиболее распространенным видам внешних атак; - Защитить потенциальных пользователей систем(ы) или приложения от компрометации их данных или других мошеннических действий; - Получить оценку независимых экспертов о степени защищенности системы
  • 10. Из жизни … Из обнаруженных уязвимостей: 1) Межсайтовое выполнение сценариев (Cross-Site Scripting) на странице http://fart.com.ua/search.php. 2) Использование простых паролей позволило аудиторам развить атаку и получить полный доступ к серверу. 3) Обнаружены сторонние PHP скрипты, вероятней всего сайт уже был взломан или скрипт был оставлен сотрудниками компании с неизвестной целью. Также было обнаружено: - лицензия на ПО управления сайтом истекла, и в дальнейшем сайты не смогут получать обновления; - протоколирование действий в системе средствами сайта отключено, что позволяет потенциальному злоумышленнику остаться необнаруженным; - ПО сервера обновляется не постоянно; - пользователь www имеет доступ к файлам и папкам за пределами своей домашней директории; - разграничение прав доступа к файлам на WEB- сервере не настроено; - учет изменений на сервере не ведется.
  • 11. DDoS – метод конкурентной борьбы  25 % наших клиентов сталкивались с DoS  Тенденция – ботнеты состоят не только из ПК, но серверов и сетевого оборудования  Стоимость DDoS 300-500 USD в зависимости от задачи и требуемых ресурсов  Украина создает 12% Ddos трафика в мире (2 е место) 2012 г!!!! Громкие DDoS в Украине: 1) 29.01.2010 – DDoS на сайт security.ua, 23.03.2010 – UA-Reporter.com; 2) Конец августа 2010 г – imena.ua/mirohost.net ( 2Гбит/с, ZeuS, 3 млн. компьютеров ботнет); 3) 8 октября 2010 г. – Укртелеком (ухудшение качества доступа в Internet); 4) Конец января –начало февраля 2012 – атаки на сайты органов власти - (EX.UA); 5) На этой неделе – 19.03.2012 – сайт РБК-Украина Александр Ольшанский (президент Imena.ua) сообщил: «К сожалению, у нас DDOS- атаки стали привычным инструментом политической и конкурентной борьбы, который используют для воздействия на неугодные сайты или шантажа электронных магазинов. Зло это общемировое, и Украина здесь далеко не впереди планеты всей. Тем не менее и в нашей стране в течение ближайших 2-3 лет проблема DDOS-атак приобретет серьезную актуальность и будет требовать соответствующих решений как от владельцев интернет-ресурсов, так и от хостинг-провайдеров».
  • 12. Затраты на ИБ Затраты на ИБ –  Стоимость квалифицированных специалистов  Стоимость мероприятий по обеспечению безопасности и их поддержка  Накладные расходы  Обучение и повышение квалификации (или осведомленности) сотрудников  Затраты на реакцию на инциденты
  • 13. Как с этой фигней взлететь? Определить стоимость мер защиты Определить ROSI в стоимость бизнес кейс инцидента ИБ (ИТ) Рассчитать Рассчитать финансовые ROSI выгоды
  • 14. Выводы Перед началом проекта  Оценить риски (в т. ч. информационные)  Выделить бюджет на оценку защищенности  Разработать мероприятия по обеспечению безопасности и их поддержке Во время проекта  Разграничение среды разработки, тестирования и производственной  Выявлять риски по мере возможности  Подерживать мероприятия по безопасности  Провести опытную (тестовую) эксплуатацию После ввода в эксплуатацию  Мониторинг событий  Анализ рисков (пересмотр) периодически  Регистрировать изменения в системе (системах)  Периодически проводить оценку защищенности
  • 15. Вопросы v.tkachenko@auditagency.com.ua www.auditagency.com.ua 044 2281588