Презентация к семинару "Как сэкономить, вложив в информационную безопасность?".
На семинаре мы расскажем как аудит безопасности для небольшого и среднего бизнеса поможет снизить операционные затраты, увеличить оборотные средства и в целом увеличь общую капитализацию (прибыль).
Ссылка на подробное описание https://ipiskunov.blogspot.ru/2017/12/blog-post.html
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
Презентация к выступлению "Особенности проведения аудита безопасности корпоративной IT-инфраструктуры", 15 мая 2018, Fast Track
Ядром доклада станет демонстрация нескольких средств аудита (ПО, скриптов) для Windows Server, инфраструктуры AD, Linux: как они работают, какие дают результаты и как облегчают жизнь аудитору.
Анонс выступления
https://ipiskunov.blogspot.ru/2018/05/phdays-8-digital-bet.html
Telegram-канал
https://t.me/w2hack или @w2hack
Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
Презентация к выступлению "Особенности проведения аудита безопасности корпоративной IT-инфраструктуры", 15 мая 2018, Fast Track
Ядром доклада станет демонстрация нескольких средств аудита (ПО, скриптов) для Windows Server, инфраструктуры AD, Linux: как они работают, какие дают результаты и как облегчают жизнь аудитору.
Анонс выступления
https://ipiskunov.blogspot.ru/2018/05/phdays-8-digital-bet.html
Telegram-канал
https://t.me/w2hack или @w2hack
Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Запись вебинара: https://www.youtube.com/watch?v=fIk9IU7FNEc&index=4&list=PLvxhSg-LXXAcKhaBFL6zrIBKVlMz2Pd1X
Аудит информационной безопасности АСУ ТП – первый и поэтому крайне важный шаг в ходе обеспечения информационной безопасности промышленных систем управления и автоматизации. В ходе вебинара специалисты УЦСБ поделятся своим практическим опытом проведения аудитов и расскажут о тех нюансах, на которые стоит обратить внимание в первую очередь.
Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Запись вебинара: https://www.youtube.com/watch?v=fIk9IU7FNEc&index=4&list=PLvxhSg-LXXAcKhaBFL6zrIBKVlMz2Pd1X
Аудит информационной безопасности АСУ ТП – первый и поэтому крайне важный шаг в ходе обеспечения информационной безопасности промышленных систем управления и автоматизации. В ходе вебинара специалисты УЦСБ поделятся своим практическим опытом проведения аудитов и расскажут о тех нюансах, на которые стоит обратить внимание в первую очередь.
Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место.
В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".
Решение Tufin Orchestratiorn Suite представляет собой одну из ведущих в мире систем класса Unified Firewalls Management и позволяет управлять процессами предоставления сетевого доступа в организациях.
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
Презентация Ивушкина Андрея, заместителя руководителя направления систем менеджмента компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Презентация аналитической системы РАБИС.
Система предназначена для оценки кредитоспособности заемщиков.
Внедряется в кредитных и микрокредитных организациях.
Подробности http://rabis.biz
Презентация создавалась в 2010-м, дополнена коллегами в 2014-м году
Электронная подпись и счет-фактуры в бухгалтерском учете Ivan Piskunov
Презентация к семинару "Электронная подпись. Технические и правовые аспекты применения ЭП в Бухгалтерском учете. Электронные счет-фактуры" , 2014г, БГУ (ранее БГУЭП)
Курсы повышения квалификации для бухгалтеров и профессиональных аудиторов. Институт повышения квалификации БГУ, г. Иркутск
Официальный сайт www.ipk.bgu.ru
При поддержке "Консультант Плюс в Иркутске"
Официальный сайт www.irkcons.ru
и
Иркутский территориальный институт профессиональных бухгалтеров и аудиторов (ИТИПБ)
Официальный сайт www.itipb.irkutsk.ru
Спикер: Пискунов Иван Владимирович, магистр кафедры Бухгалтерского учета, налогообложения и аудита БГУ
Анти-фрод системы: правовые и технические аспекты, перспективы применения и ...Ivan Piskunov
Материалы с презентации II практическая конференция
«Информационная безопасность в финансах:
регулирование, экспертиза, кейсы», Москва, 29 июня 2017
Автор: Пискунов Иван
Современные технологии и инструменты анализа вредоносного ПО_PHDays_2017_Pisk...Ivan Piskunov
Презентация к моему воркшопу на PHDays 2017 на тему "Современные технологии и инструменты анализа вредоносного ПО"
Ссылка на анонс https://www.phdays.ru/program/197805/
Ссылка с моего блога https://www.phdays.ru/program/197805/
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
A due diligence assessment of an organization’s IT function is often required by investors, as part of a merger or acquisition. It may also be required from time to time by the owners of a business, to ensure a better understanding of the opportunities, costs, and risks involved in the IT function. In either case, there are benefits to having a specialized and independent third party perform the assessment.
A due diligence assessment of an organization’s IT function is often required by investors, as part of a merger or acquisition. It may also be required from time to time by the owners of a business, to ensure a better understanding of the opportunities, costs, and risks involved in the IT function. In either case, there are benefits to having a specialized and independent third party perform the assessment.
Как сэкономить, вложив в информационную безопасность?
1. Фонд развития интернет-инициатив
Семинар
Аудит защищенности инфраструктуры:
Потерять нельзя сохранить.
Как сэкономить, вложив в информационную безопасность?
Спикер:
Иван Пискунов
Москва
2017 1
2. Содержание семинара
1. Аудит ИБ как инструмент повышения эффективности вашего бизнеса
2. Из чего состоит аудит ИБ, как и кем он проводится?
3. ИТ-безопасность: взгляд со стороны аудитора
4. Кейсы из практики
5. Как аудит ИБ позволяет сократить операционные расходы и
увеличить оборотные активы?
2
3. Инструменты повышения эффективности бизнеса
Увеличение прибыли
Рост объемов продукцииуслуг
Привлечение инвестиций ИНСТРУМЕНТЫ:
* ABCXYZ-анализ
Снижение издержек * SWOTPEST-анализ
Минимизация затрат * Факторный анализ
и т.д.
3
4. Что такое АУДИТ ИБ
(1) Аудит ИБ — независимая оценка текущего состояния системы информационной безопасности
компании, устанавливающая уровень ее соответствия определенным критериям, и предоставление
результатов в виде рекомендаций.
(2) Аудит ИБ— системный процесс получения объективных качественных и количественных оценок о
текущем состоянии информационной безопасности компании в соответствии с определенными
критериями и показателями безопасности.
(3) Аудит ИБ является основным инструментом контроля состояния защищенности информационных
активов компании.
РЕЗУЛЬТАТЫ АУДИТА :
• Реальная оценка текущего состояния защищенности Информационных Активов (ИА)
• Оценка рисков ИБ связанных с финансовыми потерями из-за взломов или утраты информации
• Входная информация для обоснованных и финансово-мотивированных управленческих решений
АУДИТ – ЭТО ИНСТРУМЕНТ ДЛЯ ПРИНЯТИЯ УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ 4
5. Комплаенс аудит ИБ
Комплаенс (англ. compliance — согласие, соответствие) — представляет собой
соответствие каким-либо внутренним или внешним требованиям или нормам
КАКИЕ ЕСТЬ ТРЕБОВАНИЯ?
• Требования отечественных регуляторов (АСУ ТП, ГИС, ПДн и т.д.)
• Отраслевые требования (ГОСТ «ФинТех ИБ», П-382, PCI DSS, SWIFT Security)
• Требования СРО и бизнес-комьюнити (ITGC, SOX 404, ISO 2700x)
• Поглощения и слияния бизнеса (Due Diligence оценка для владельца)
ЧТО ПРОВЕРЯЮТ?
• Документация и формальное закрепление норм и правил
• Контроли в бизнес процессах (среда, SoD, верификация операций и т.д.)
• Признаки (лицензии, сертификаты, квалификация персонала и т.д.) 5
6. Технический аудит ИБ
Тестирование на проникновение (англ. penetration testing, pentest,
пентест) - метод оценки безопасности ИТ-инфраструктуры, сетей или web-сайта
посредством моделирования атаки злоумышленника (хакера)
ЧТО ПРОВЕРЯЮТ?
• ИТ-инфраструктура (серверные ОС, СУБД, Системное ПО, Прикладное ПО - 1С, SAP AG, MS Dynamics,
АБС и т.д.)
• WEB-инфраструктура (OWASP Top10, Web stack, Web frameworks)
• Корпоративная сеть (внутренняя сеть, VPN-туннели, беспроводные Wi-Fi)
ТИПОВЫЕ КЕЙСЫ
• Получение административного доступа (чтение, копирование, удаление данных)
• Нарушение работоспособности системы (недоступность, «зависания»)
• Заражение вредоносным ПО (создание ботнет-сетей, транзитный СПАМ-трафик, RAT)
6
7. Технический аудит ИБ
ПОЧЕМУ ТЕХ АУДИТ ТАК ВАЖЕН?
• Обязательные требования (PCI DSS v3.2, ГОСТ «ФинТех ИБ» - 2018)
• Скрипт-кидди (доступность инструментов и методов взлома)
• Хакерство как криминальный бизнес («взломы на заказ»)
• ИТ как основной фактор производства (вендоры, SaaS-услуги и т.д.)
• Максимальный ущерб от взлома ИТ-инфраструктуры ($ и репутация)
7
8. Как проходит АУДИТ ИБ (1)
Методическая база:
• Международные стандарты и best practices (Cobit, ISO 2700x, HIPPA, SOX 404)
• Security Framework (OWASP v4, OSSTMM, NIST 800-115, PCI DSS v3.2)
• Отечественные стандарты (РД ГТК, ФСТЭК, СТР-К)
Варианты проведения технического аудита ИБ:
• White Hat (белая шляпа) – ИТ и ИБ отделы знают о проведении пен-теста
• Black Hat (черная шляпа) – никто не знает о проведении пен-теста
• Grey Hat (серая шляпа) – инициативный поиск, bug bounty и т.д.
Модель тестирования:
• White Box (белый ящик) – эксперт обладает информацией о целевых
системах
• Black Box (черный ящик) – у эксперта минимум информации
8
9. Как проходит АУДИТ ИБ (2)
Этап I. СБОР ИНФОРМАЦИИ
• Определение объема и срока выполнения работ
• Проведение интервью, анкетирование
• Изучение документации, заявленных требований и установленных норм
• Собственные наблюдения
Этап II.ТЕСТИРОВАНИЕ
• Проведение тестов (ИТ-системы и их компоненты)
• Формирование материальных доказательств и аудиторских свидетельств
• Анализ полученных результатов, оценка текущего уровня ИБ
Этап III. ПОДГОТОВКА «Аудиторского Заключения»:
• Оценка рисков ИБ, выявление недостатков ИБ
• Выработка рекомендаций по устранению найденных недостатков ИБ 9
10. Как проходит АУДИТ ИБ (3)
ТИПОВОЙ КЕЙС – АУДИТ БАЗОВЫХ ИТ-КОНТРОЛЕЙ (ITGC):
1. Логический и физический доступ
2. Эксплуатация информационных систем
3. Управление изменениями в информационных системах
Примеры базовых контролей:
• Административной доступ
• Разграничения полномочий
• Резервное копирование
• Автоматические задания
• Внесение изменений
и т.д. 10
11. ИТ-безопасность: взгляд со стороны аудитора
НАИБОЛЕЕ ЧАСТЫЕ ПРОБЛЕМЫ:
• ИТ-администраторам делегированы функции по обеспечению ИБ
• Настроенные опции ИБ или СЗИ покрывают только лишь ИТ-составляющую
• Недостаточный уровень ИБ компетенций
• Конфликт интересов ИТ и ИБ решается в сторону ИТ (юзабилити и т.д.)
К ЧЕМУ ЭТО ПРОВОДИТ?
• Игнорирование проблем ИБ («на авось» или до того момента пока не
взломают)
• Нерациональное использование ресурсов (штатные механизмы ИБ, СЗИ,
обучение персонала и т.д.)
• Повышенные риски компрометации/взлома ИТ-систем со стороны хакеров
11
12. Комплексный аудит
Почему важен Комплаенс (ITGC) + Тех аудит ИБ?
Недостатки «комплаенс» ИТ/ИБ контролей:
• Не показывают реальной защищенности ИТ-инфраструктуры (ОС, СУБД, Web, Сети)
• Не покрывает риски связанные с техническими средствами и ИТ-технологиями
Недостатки Технического аудита:
• Не эффективен если отсутствует формализованной SoD, PKI
• Не эффективен если не организован двойной контроль
• Не достаточно эффективен против социальной инженерии
• Не эффективен в отношении информации в не ИТ (документы, люди)
12
13. Кейсы из практики (1)
«Хищение базы 1С»
Несанкционированное копирование БД 1С:Бухгалтерия с локального компьютера главного бухгалтера
(файловая реализация БД) увольняющимся сотрудником, содержащую многолетние данные
налогового учета, а так же наработанную базу данных клиентов и контрагентов , заключенные
контракты, расчеты и т. д.
ПРИЧИНЫ:
• работа по учетной записью администратора
• отсутствие средств разграничения доступа в системе 1С
• отсутствие многоуровнего контроля (мониторинг, валидация)
• не оптимальная техническая ИТ-архитектура (файл-БД vs SQL Server)
УЩЕРБ:
• утрата ПДн (нарушение ФЗ-152 «О персональных данных»)
• потеря клиентской базы (~100 контрагентов, ~6 млн.рублей/месяц)
• «теневые контракты» и «не фиксируемые сделки» - УК РФ ст.199
13
14. Кейсы из практики (2)
«Финансовое мошенничество в системе SAP»
Хищение денежных средств со счетов компании внутренним сотрудником из системы SAP FI путем
формирования подложных и несанкционированных бухгалтерских проводок на общий ущерб ~7 млн.
рублей
ПРИЧИНЫ:
• Отсутствие системы разграничения доступа в SAP (SoD)
• Нарушение правил разделения полномочий БУ (create, approve, commit)
• Отсутствие системы контроля движения оборотных средств (БУ)
УЩЕРБ:
• Хищение 7 млн рублей в течении 1,5 месяцев
• Репутационные потери (уголовное дело, резонанс в СМИ)
• Затраты на форензик процедуры
14
16. Что Аудит ИБ дает собственнику бизнеса (1/3)
1. Объективная полная информация о текущем уровне защищенности:
• Оценка эффективности работы ИТ/ИБ подразделений (KPI и т.д. )
• Ответ для руководства за сколько N дней/часов нас могут взломать?
• Что нам сделать что бы завтра нас не взломали? (план действий по
устранению)
• Соответствие «compliance»-требованиям и критичность отклонения
(мы готовы к сертификации и лицензированию? мы пройдем
проверку?)
16
17. Что Аудит ИБ дает собственнику бизнеса (2/3)
2. Информация для принятия управленских решений:
• Организационные меры по управлению ИТ/ИБ (распределение задач
и ответственности, разграничение доступа к ИТ, KPI-метрики и т.д.)
• Оптимизация операционных затрат (Орг меры vs Тех меры, штатные
механизмы ИБ vs СЗИ, риск-ориентированный подход к ИС)
• Входные сведения для Бюджетирования ИТИБ (закупка СЗИ и услуг)
17
18. Что Аудит ИБ дает собственнику бизнеса (3/3)
3. Экономический эффект:
• Предотвращение материальных потерь (простой, хищение,
восстановление ИТ)
БУ «РЕЗЕРВ ПО СОМНИТЕЛЬНЫМ ДОЛГАМПРЕДСТОЯЩИХ РАСХОДОВ»
• Снижение затрат на ИБ-составляющую (эффект сбережения)
БУ «ОБЩЕХОЗЯЙСТВЕННЫЕПРОИЗВОДСТВЕННЫЕ РАХОДЫ»
18
Увеличение оборотных средств
Увеличение капитализации
19. Контакты
Пискунов Иван | Ivan Piskunov
CEH, CCNA, IT Auditor
Web: www.ipiskunov.blogspot.com
E-mail: g14vano@gmail.com
Community:
Москва, 2017 (с)
19