SlideShare a Scribd company logo

Audit intro

C
cnpo
1 of 30
Введение в аудит информационной безопасности Александр Дорофеев CISSP, CISA
Содержание 1. Основные понятия 2. Аудит процессов 3. Технический аудит 4. Немного о социальной инженерии 5. Формат отчета 2
Угроза, уязвимость, риск • Угроза – причина нежелательного инцидента, который может привести к негативным последствиям для организации. • Уязвимость - свойство актива, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней безопасности • Риск - комбинация вероятности события и его последствий 3
Контроль От англ. control Мера минимизации риска, контрмера, мера безопасности 4
Аудит - систематический, независ имый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита
Аудит - проверка выполнения требований
Аудит - оценка эффективности контролей 7
Информационная безопасность Люди Процессы Технологии 8
Критерии аудита ИБ • требования корпоративных Процессы политик, международных стандартов, законодательства • уровень защищенности информационных Технологии систем от внутренних и внешних злоумышленников • способность сотрудников противостоять действиям злоумышленников, пытающихся Люди с помощью обмана получить конфиденциальную информацию 9
Процессы 10
Границы аудита – могут определяться подразделениями, процессами, системами конт рме угро ра за процессы конт рме угро ра за технологии конт рме угро люди ра за 11
Оценка процессов и контролей в процессах Оценка эффективности Оценка дизайна реализации контролей 12
Методы аудита 1) Наблюдение 2) Интервью 3) Walkthrough 4) Выборочное тестирование 5) Полное тестирование 13
Бинарная оценка: «неэффективный» или «эффективный» контроль 14
Оценка зрелости процессов источник: Cobit 15
Возможные нюансы • Наличие компенсирующих контролей • Реализовался риск или нет 16
Технологии 17
Подходы к оценке защищенности Сканирование на Классический тест наличие на проникновение уязвимостей Анализ Комплексный конфигурации подход системы 18
Классический тест на проникновение • Имитация действий реального злоумышленника – поиск первой уязвимости, позволяющей получить доступ к системе • Больше искусство, чем аудит. Качество сильно зависит от уровня специалиста • Обычный результат: несколько опасных уязвимостей • Высокий риск нарушения доступности систем 19
Сканирование • Использование исключительно сканеров для поиска уязвимостей • Качество сильно зависит от используемого сканера. • Результат: множество уязвимостей различного уровня опасности • Средний риск нарушения работоспособности систем 20
Анализ конфигурации системы • Проверка настроек систем в соответствии с рекомендуемыми вендорами или сообществами профессионалов по ИБ (NIST, Center of Internet Security). • Результат: множество уязвимостей различного уровня опасности • Низкий риск нарушения работоспособности систем 21
Комплексное тестирование идентификация • сбор информации о внешних ресурсах в Интернет • сканирование сети целевых • согласование перечня с заказчиком сетевых узлов • с помощью сканеров поиск • вручную (по баннерам, ошибки конфигурации) уязвимостей эксплуатация • подбор паролей • перехват трафика уязвимостей и • запуск эксплойтов проведение атак • и т.д. расширение • запуск локальных эксплойтов • использование собранной информации для доступа привилегий и к другим системам зоны влияния 22
Зачем столько видов технического аудита? Классический • Демонстрация незащищенности тест на систем проникновение • Быстрый поиск уязвимостей для Сканирование их устранения • Поиск уязвимостей при Анализ минимальном воздействии на конфигурации работу систем • Поиск максимального количества Комплексный уязвимостей с контролируемыми подход рисками проекта 23
Методологии 24
Люди 25
Примеры • Провокационные письма с просьбой сообщить пароль • Фишинг-атаки • и др. 26
Заключительные слайды 27
Границы аудита и фокус процессы Фокус Фокус Анализ технологии Аудит СУИБ конфигурации, Сканирование Тестирование на проникновение люди 28
Формат отчета Finding – Risk – (Recommendation ) 29
Александр Дорофеев АНО “Учебный центр “Эшелон” CISSP, CISA E-mail: adorofeev@uc-echelon.ru Директор Тел.: +7(495) 645-38-09

Recommended

Certification
CertificationCertification
Certificationcnpo
 
Politics
PoliticsPolitics
Politicscnpo
 
Licensing
LicensingLicensing
Licensingcnpo
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?cnpo
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераcnpo
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовcnpo
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 

Recommended

Certification
CertificationCertification
Certificationcnpo
 
Politics
PoliticsPolitics
Politicscnpo
 
Licensing
LicensingLicensing
Licensingcnpo
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?cnpo
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераcnpo
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовcnpo
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчикаAndrey Fadin
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...КРОК
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...NAUMEN. Информационные системы управления растущим бизнесом
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиExpolink
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
Правила аудита
Правила аудитаПравила аудита
Правила аудитаОтшельник
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Мобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиМобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиАлексей Волков
 
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубиконcnpo
 
Dsa
DsaDsa
DsaAlexandra Kartashova
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)Expolink
 

More Related Content

What's hot

Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчикаAndrey Fadin
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...КРОК
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиExpolink
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 

What's hot (17)

Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 

Viewers also liked

Мобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиМобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиАлексей Волков
 
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубиконcnpo
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)Expolink
 
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиcnpo
 
адекватный ответ современным информационным угрозам астерит хазиев м
адекватный ответ современным информационным угрозам астерит хазиев мадекватный ответ современным информационным угрозам астерит хазиев м
адекватный ответ современным информационным угрозам астерит хазиев мExpolink
 
Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых...
Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых...Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых...
Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых...Expolink
 
защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)cnpo
 
Siem
SiemSiem
Siemcnpo
 

Viewers also liked (10)

Мобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасностиМобильный доступ и проблемы безопасности
Мобильный доступ и проблемы безопасности
 
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубикон
 
Dsa
DsaDsa
Dsa
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
 
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
 
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
 
адекватный ответ современным информационным угрозам астерит хазиев м
адекватный ответ современным информационным угрозам астерит хазиев мадекватный ответ современным информационным угрозам астерит хазиев м
адекватный ответ современным информационным угрозам астерит хазиев м
 
Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых...
Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых...Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых...
Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых...
 
защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)
 
Siem
SiemSiem
Siem
 

Similar to Audit intro

SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Vulnerability Management Process - Дмитрий Огородников
Vulnerability Management Process - Дмитрий ОгородниковVulnerability Management Process - Дмитрий Огородников
Vulnerability Management Process - Дмитрий ОгородниковAngara Technology Group
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
очир абушинов
очир абушиновочир абушинов
очир абушиновAlexei Lupan
 

Similar to Audit intro (20)

Penetration testing
Penetration testingPenetration testing
Penetration testing
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
 
Vulnerability Management Process - Дмитрий Огородников
Vulnerability Management Process - Дмитрий ОгородниковVulnerability Management Process - Дмитрий Огородников
Vulnerability Management Process - Дмитрий Огородников
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
 

More from cnpo

титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Net graph
Net graphNet graph
Net graphcnpo
 
Net topology
Net topology Net topology
Net topology cnpo
 
Russian information security market
Russian information security marketRussian information security market
Russian information security marketcnpo
 
Certification
CertificationCertification
Certificationcnpo
 
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weaknesscnpo
 
P dn docs
P dn docsP dn docs
P dn docscnpo
 
Social engineering
Social engineeringSocial engineering
Social engineeringcnpo
 
Rubicon
RubiconRubicon
Rubiconcnpo
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензияcnpo
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБcnpo
 
Эшелонированная оборона 2011
Эшелонированная оборона 2011Эшелонированная оборона 2011
Эшелонированная оборона 2011cnpo
 

More from cnpo (12)

титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
 
Net graph
Net graphNet graph
Net graph
 
Net topology
Net topology Net topology
Net topology
 
Russian information security market
Russian information security marketRussian information security market
Russian information security market
 
Certification
CertificationCertification
Certification
 
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weakness
 
P dn docs
P dn docsP dn docs
P dn docs
 
Social engineering
Social engineeringSocial engineering
Social engineering
 
Rubicon
RubiconRubicon
Rubicon
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензия
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
 
Эшелонированная оборона 2011
Эшелонированная оборона 2011Эшелонированная оборона 2011
Эшелонированная оборона 2011
 

Audit intro

  • 1. Введение в аудит информационной безопасности Александр Дорофеев CISSP, CISA
  • 2. Содержание 1. Основные понятия 2. Аудит процессов 3. Технический аудит 4. Немного о социальной инженерии 5. Формат отчета 2
  • 3. Угроза, уязвимость, риск • Угроза – причина нежелательного инцидента, который может привести к негативным последствиям для организации. • Уязвимость - свойство актива, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней безопасности • Риск - комбинация вероятности события и его последствий 3
  • 4. Контроль От англ. control Мера минимизации риска, контрмера, мера безопасности 4
  • 5. Аудит - систематический, независ имый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита
  • 8. Информационная безопасность Люди Процессы Технологии 8
  • 9. Критерии аудита ИБ • требования корпоративных Процессы политик, международных стандартов, законодательства • уровень защищенности информационных Технологии систем от внутренних и внешних злоумышленников • способность сотрудников противостоять действиям злоумышленников, пытающихся Люди с помощью обмана получить конфиденциальную информацию 9
  • 11. Границы аудита – могут определяться подразделениями, процессами, системами конт рме угро ра за процессы конт рме угро ра за технологии конт рме угро люди ра за 11
  • 12. Оценка процессов и контролей в процессах Оценка эффективности Оценка дизайна реализации контролей 12
  • 13. Методы аудита 1) Наблюдение 2) Интервью 3) Walkthrough 4) Выборочное тестирование 5) Полное тестирование 13
  • 14. Бинарная оценка: «неэффективный» или «эффективный» контроль 14
  • 16. Возможные нюансы • Наличие компенсирующих контролей • Реализовался риск или нет 16
  • 18. Подходы к оценке защищенности Сканирование на Классический тест наличие на проникновение уязвимостей Анализ Комплексный конфигурации подход системы 18
  • 19. Классический тест на проникновение • Имитация действий реального злоумышленника – поиск первой уязвимости, позволяющей получить доступ к системе • Больше искусство, чем аудит. Качество сильно зависит от уровня специалиста • Обычный результат: несколько опасных уязвимостей • Высокий риск нарушения доступности систем 19
  • 20. Сканирование • Использование исключительно сканеров для поиска уязвимостей • Качество сильно зависит от используемого сканера. • Результат: множество уязвимостей различного уровня опасности • Средний риск нарушения работоспособности систем 20
  • 21. Анализ конфигурации системы • Проверка настроек систем в соответствии с рекомендуемыми вендорами или сообществами профессионалов по ИБ (NIST, Center of Internet Security). • Результат: множество уязвимостей различного уровня опасности • Низкий риск нарушения работоспособности систем 21
  • 22. Комплексное тестирование идентификация • сбор информации о внешних ресурсах в Интернет • сканирование сети целевых • согласование перечня с заказчиком сетевых узлов • с помощью сканеров поиск • вручную (по баннерам, ошибки конфигурации) уязвимостей эксплуатация • подбор паролей • перехват трафика уязвимостей и • запуск эксплойтов проведение атак • и т.д. расширение • запуск локальных эксплойтов • использование собранной информации для доступа привилегий и к другим системам зоны влияния 22
  • 23. Зачем столько видов технического аудита? Классический • Демонстрация незащищенности тест на систем проникновение • Быстрый поиск уязвимостей для Сканирование их устранения • Поиск уязвимостей при Анализ минимальном воздействии на конфигурации работу систем • Поиск максимального количества Комплексный уязвимостей с контролируемыми подход рисками проекта 23
  • 25. Люди 25
  • 26. Примеры • Провокационные письма с просьбой сообщить пароль • Фишинг-атаки • и др. 26
  • 27. Заключительные слайды 27
  • 28. Границы аудита и фокус процессы Фокус Фокус Анализ технологии Аудит СУИБ конфигурации, Сканирование Тестирование на проникновение люди 28
  • 29. Формат отчета Finding – Risk – (Recommendation ) 29
  • 30. Александр Дорофеев АНО “Учебный центр “Эшелон” CISSP, CISA E-mail: adorofeev@uc-echelon.ru Директор Тел.: +7(495) 645-38-09