Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Аудит информационной безопасности АСУ ТПКомпания УЦСБ
Презентация с совместного мастер-класса на CISO FORUM 2016 Романа Попова, начальника отдела по информационной безопасности, Э.ОН Россия и Антона Ёркина, руководителя аналитического направления УЦСБ.
В ходе мастер-класса был рассмотрен практический опыт проведения аудита ИБ АСУ ТП в реальной российской электростанции, освещены следующие вопросы:
• Как запустить проект по аудиту ИБ АСУ ТП?
• В чём основные отличия аудита ИБ АСУ ТП от аудита ИБ корпоративных систем?
• Каковы роль и место разработчиков АСУ ТП в аудите ИБ?
• Как корректно интерпретировать результаты аудита ИБ и какие шаги предпринять по его завершению?
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...Компания УЦСБ
Презентация с вебинара, посвящённого обзору практики аудитов информационной безопасности промышленных систем автоматизации и управления, проводимых компанией УЦСБ. Рассмотрены особенности и нюансы основных этапов - подготовка технического задания на проведение аудита, сбор, обработка и анализ информации в ходе самого аудита, а также визуализация и представление итоговых результатов.
Дата вебинара 19 ноября 2015 года.
Запись доступна на канале YouTube: https://youtu.be/XwKqgOcLhYA
Докладчик: Алексей Комаров
Аудит информационной безопасности АСУ ТПКомпания УЦСБ
Презентация с совместного мастер-класса на CISO FORUM 2016 Романа Попова, начальника отдела по информационной безопасности, Э.ОН Россия и Антона Ёркина, руководителя аналитического направления УЦСБ.
В ходе мастер-класса был рассмотрен практический опыт проведения аудита ИБ АСУ ТП в реальной российской электростанции, освещены следующие вопросы:
• Как запустить проект по аудиту ИБ АСУ ТП?
• В чём основные отличия аудита ИБ АСУ ТП от аудита ИБ корпоративных систем?
• Каковы роль и место разработчиков АСУ ТП в аудите ИБ?
• Как корректно интерпретировать результаты аудита ИБ и какие шаги предпринять по его завершению?
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...Компания УЦСБ
Презентация с вебинара, посвящённого обзору практики аудитов информационной безопасности промышленных систем автоматизации и управления, проводимых компанией УЦСБ. Рассмотрены особенности и нюансы основных этапов - подготовка технического задания на проведение аудита, сбор, обработка и анализ информации в ходе самого аудита, а также визуализация и представление итоговых результатов.
Дата вебинара 19 ноября 2015 года.
Запись доступна на канале YouTube: https://youtu.be/XwKqgOcLhYA
Докладчик: Алексей Комаров
Система анализа уязвимостей программных продуктовUNETA
Тема доклада: "Система анализа уязвимостей программных продуктов". Докладчик: Александр Белобородов (.Net, Silverlight developer at DCT).
В данном докладе мы поговорим о способах поиска уязвимостей в программных продуктах. Как известно, одним из способов поиска уязвимостей является использование сканеров безопасности, основанных на выполнении так называемых тестов на проникновение. В данном случае потребуется составление специальных тестов либо покупка уже существующих сканеров безопасности. Другим подходом является использование информации из общедоступных баз данных уязвимостей (БДУ). В докладе мы рассмотрим наиболее популярные из них, поговорим о том, как информация может применяться для построения сканеров безопасности на основе информации об уязвимостях из общедоступных источников. Также, в докладе мы коснёмся разработанного инструментального средства для анализа информации из различных БДУ. В данный момент проект разработки сканера уязвимостей является частью исследовательской работы, проводимой студентами и сотрудниками кафедры компьютерных систем и сетей Национального аэрокосмического университета им. Н.Е. Жуковского "ХАИ" (www.khai.edu). Целью доклада является привлечение потенциальных заказчиков и заинтересованных разработчиков-исследователей к созданию данного сканера уязвимостей. Применяться данная система может администраторами компьютерных систем для поиска узвимостей в используемых программных продуктах без запуска тестов на проникновение.
Создание системы обеспечения ИБ АСТУ электросетевой компанииDialogueScience
Спикер: Дмитрий Ярушевский, руководитель отдела кибербезопасности АСУ ТП АО «ДиалогНаука»
Вебинар посвящен работам по созданию системы обеспечения информационной безопасности автоматизированной системы технологического управления одной из крупнейших электросетевых компаний г. Москвы. Докладчик расскажет об обрабатываемых рисках и угрозах в рамках создаваемой системы, задачах, стоявших перед проектировщиками и инженерами. Большая часть вебинара будет посвящена техническим решениям системы, среди которых есть как общеизвестные средства защиты от мировых лидеров рынка, так и решения, разрабатываемые специально для заказчика и реализующие меры безопасности непосредственно на уровне ПЛК.
Консалтинг и аудит информационной безопасностиКРОК
Недостаточность и плохая проработка вопросов обеспечения информационной безопасности (ИБ) компании, ее методических и концептуальных основ может пагубно влиять на ее бизнес-процессы, затрудняя их выполнение и снижая эффективность.
Подробнее на http://www.croc.ru/solution/services/consulting/it-safety/
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании InfoWatch к вопросам кибербезопасности АСУ ТП. Представлены основные решения InfoWatch для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
Запись: https://goo.gl/WWCnVh
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Услуги и решения Softline в области информационной безопасности. Прикладные и инфраструктурные решения. Соответствие требованиям (compliance). Сетевая безопасность. Аудит информационной безопасности.
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...Константин Бажин
Документ устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, принимаемых операторами для защиты
персональных данных от:
•неправомерного или случайного доступа к ним,
•уничтожения, изменения, блокирования, копирования, предоставления,
•распространения персональных данных,
•а также от иных неправомерных действий в отношении персональных данных.
Запись вебинара: https://www.youtube.com/watch?v=fIk9IU7FNEc&index=4&list=PLvxhSg-LXXAcKhaBFL6zrIBKVlMz2Pd1X
Аудит информационной безопасности АСУ ТП – первый и поэтому крайне важный шаг в ходе обеспечения информационной безопасности промышленных систем управления и автоматизации. В ходе вебинара специалисты УЦСБ поделятся своим практическим опытом проведения аудитов и расскажут о тех нюансах, на которые стоит обратить внимание в первую очередь.
Similar to Марат Хазиев (Астерит) - Аудит информационной безопасности (20)
2. Аудит информационной безопасности — системный процесс получения
объективных качественных и количественных оценок текущего состояния
информационной безопасности предприятия в соответствии с
определенными критериями и показателями безопасности
#URALCIO
3. Подходы к проведению аудита ИБ
Комбинирование активного и экспертного
аудитов ИБ
ISO Использование стандартов ИБ
RISK
Использование методологии анализа
рисков
Комбинирование анализа рисков и
стандартов для определения критериев
проведения аудита ИБ
#URALCIO
4. Области проведения экспертного аудита
Подразделения
компании
Корпоративные
информационные
системы
Направления
информационной
безопасности:
- Внешние угрозы
- Внутренние угрозы
- Управление СОИБ
Требования к
информационной
безопасности:
- Международные стандарты
- Национальные стандарты
- Внутренние регламенты
ОБЛАСТИ
ЭКСПЕРТНОГО
АУДИТА
#URALCIO
5. Области проведения активного аудита
Инфраструктурный анализ:
- Инвентаризации применяемых средств
и механизмов защиты
- Анализ информационных потоков
- Анализ защищенности периметра сети
- Анализ защищенности конечных
устройств
Анализ внутренних
технических
регламентов
Тестирование на
проникновение:
- Внешний тест на проникновение
- Внутренний тест на проникновение
Проверка знаний и
осведомленности сотрудников:
- Правила работы с документацией
- Степень ответственности,
- Требования регламентов
- ФЗ №152 «О персональных данных»
- ФЗ №98 «О коммерческой тайне»
- Требования стандартов СОИБ
ОБЛАСТИ
АКТИВНОГО
АУДИТА
#URALCIO
6. Цели проведения аудита
Независимая оценка текущего состояния ИБ
Анализ рисков, связанных с возможностью осуществления
угроз безопасности в отношении ресурсов ИС
Идентификация и ликвидация уязвимостей
Технико-экономическое обоснование
механизмов ИБ
Обеспечение требованиям внутренних, отраслевых
регламентов и действующего законодательства РФ
Минимизация ущерба от инцидентов
безопасности
#URALCIO
7. Система обеспечения информационной
безопасности (СОИБ)
СОИБ
СУИБ Силы обеспечения Методы обеспечения Средства обеспечения
ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ПОДСИСТЕМЫ
Правовые, технические и экономические
СУИБ Система управления информационной безопасностью
Силы обеспечения Департамент автоматизации (ИТ-отдел),
Департамент безопасности (Служба безопасности)
Методы обеспечения Организационно-технические, экономические
Средства обеспечения
#URALCIO
8. Этапы проведения аудита ИБ
Завершение аудита ИБ
Подготовка к проведению аудита ИБ
Анализ внутренних документов
Проведение аудита ИБ на месте
Подготовка, утверждение отчета по аудиту ИБ
включающего рекомендации и технико-экономическое обоснование
#URALCIO
9. Применяемые стандарты и методологии
при проведении аудита ИБ
1. ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий.»
2. ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения
безопасности. Системы менеджмента информационной безопасности. Требования.»
3. ГОСТ Р ИСО/МЭК 27005 «Информационные технологии. Методы обеспечения безопасности.
Управление рисками информационной безопасности.»
4. ГОСТ Р ИСО/МЭК 27006 «Информационные технологии. Методы обеспечения безопасности.
Требования к органам аудита и сертификации систем управления информационной
безопасностью»
5. ГОСТ Р ИСО/МЭК 13335 «Информационная технология. Методы и средства обеспечения
безопасности»
6. ГОСТ Р ИСО/МЭК 15026 «Информационная технология. Уровни целостности систем и программных
средств»
7. ГОСТ Р ИСО/МЭК ТО 18044 «Информационная технология. Методы и средства обеспечения
безопасности. Менеджмент инцидентов информационной безопасности»
8. ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения
безопасности. Методология оценки безопасности информационных технологий»
9. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к
информации. Общие технические требования»
#URALCIO
10. Основной стандарт ИБ ISO 27001
ISO 27001 (СУИБ)
Основная часть Приложение А
Общие требования
Создание и управление СУИБ
Требования к документированию
Приверженность руководства
Управление ресурсами
Внутренние аудиты
Анализ СУИБ
Совершенствование СУИБ
Политика безопасности
Организация ИБ
Управление активами
Безопасность людских ресурсов
Управление коммуникациями и
операциями
Контроль доступа
Приобретение, разработка и
внедрение ИС
Управление инцидентами ИБ
Физическая безопасность
Безопасность окружающей среды
Соблюдение требований
Управление непрерывностью
бизнеса
#URALCIO
11. Система Управления Информационной Безопасностью
Поддержка
руководства
Область действия
СУИБ
Политика ИБ
Роли и
ответственность
Стратегическое управление ИБ
Управление рисками Управление документацией Обучение персонала Аудиты ИБ
Мониторинг и анализ
эффективности СУИБ
Анализ СУИБ высшим руководством Совершенствование СУИБ
Операционное управление ИБ
Операционное обеспечение ИБ
Управление
персоналом
Управление ИТ-
инфраструктурой
Управление
доступом
Управление
носителями
Резервное
копирование и
восстановление
Управление
инцидентами
Управление
непрерывностью
бизнеса
Допустимое
использование
активов
Физическая
безопасность
Обмен
информацией
Сетевая
безопасность
Антивирусная
защита
Криптография
Соответствие
требованиям
Требования ИБ
#URALCIO
13. Тестирование на проникновение
Внутренний тест на проникновение
Попытки получения учетных записей и паролей пользователей и администраторов
информационных систем путём перехвата сетевого трафика
Сбор информации о доступных ресурсах сети (сетевых сервисах, операционных
системах и приложениях) и определение мест возможного хранения/обработки
критичных данных
Поиск уязвимостей ресурсов, способных привести к возможности осуществления
несанкционированных воздействий на них
Разработка векторов атак и методов получения несанкционированного
доступа к критичным данным
Попытки получения несанкционированного доступа к серверам, базам
данных, компьютерам пользователей с использованием уязвимостей
программного обеспечения, сетевого оборудования, некорректных настроек
#URALCIO
14. Тестирование на проникновение
Внешний тест на проникновение
Сбор общедоступной информации о Заказчике с помощью поисковых систем,
через регистрационные базы данных (регистраторы имен и адресов, DNS, Whois и т.п.)
и других публичных источников информации
Сбор информации о доступных из сетей общего доступа ресурсах (сетевых сервисах, операционных
системах и приложениях)
Определение мест возможного хранения/обработки критичных данных,
доступных извне
Сбор публично доступной информации о сотрудниках Заказчика (корпоративные
электронные адреса, посещение веб-сайтов, Интернет форумов, социальные сети,
личная информации о человеке)
Поиск уязвимостей в веб-приложениях Заказчика, эксплуатация которых может привести
к неавторизированному доступу к критичным данным
Выявление уязвимостей ресурсов внешнего сетевого периметра, эксплуатация которых может
привести к компрометации ресурса и/или использована для получения неавторизованного доступа
к критичным данным
Разработка векторов и методов проникновения
#URALCIO
15. Тестирование на проникновение
получение информации из открытых источников
сканирование внешнего периметра
поиск / создание эксплойтов
взлом внешнего периметра / DMZ
сканирование внутренней сети
поиск / создание эксплойта
взлом узла локальной сети
вступление в контакт с персоналом
размещение троянской программы
атака на человека
получение доступа к узлу
локальной сети
сканирование локальной сети
взлом остальных узлов локальной сети
Техническаясоставляющая
Социальнаясоставляющая
#URALCIO
16. Результаты проведения аудита ИБ
Лучшее понимание руководством и сотрудниками
целей, задач, проблем организации в области ИБ
Осознание ценности информационных ресурсов
Надлежащее документирование процедур и моделей
ИС с позиции ИБ
Принятие ответственности за остаточные риски
#URALCIO
17. Обеспечение информационной безопасности - это непрерывный процесс, основное
содержание которого составляет управление (управление людьми, рисками,
ресурсами, средствами защиты и т.п.).
Люди (обслуживающий персонал и конечные пользователи) являются
неотъемлемой частью автоматизированной (то есть «человеко-
машинной») системы.
От того, каким образом реализованы функции в системе, существенно зависит не
только ее функциональность (эффективность решения задач), но и ее безопасность.
#URALCIO