SlideShare a Scribd company logo

Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений это как мыть руки перед едой

Download as PPT, PDF
Kirill Rubinshteyn
Kirill Rubinshteyn

Запись выступления на неконференции *aaS предпринимателей 2011 http://smartsourcing.ru/events/unconferenceXaaS2011

1 of 19
Безопасность сервисов Дмитрий Истомин, директор по развитию Уральского центра систем безопасности
Содержание ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Пример оформления ссылки | Дополнительная ссылка
Какой он – безопасный сервис? Сервис – это автоматизация бизнес-процесса. Безопасный сервис – это безопасная автоматизация бизнес-процесса. Безопасный сервис – это безопасная автоматизация безопасного бизнес-процесса. Безопасно = риски приемлемы VS Безопасно = функционально! Безопасно для кого? Владелец или пользователь?
Когда нужно думать о безопасности?
Как сделать безопасный сервис без затрат? Никак
Модель сервиса   Структурные элементы : хранилища данных, посредники, процессы и границы доверия Информационные потоки
Модель угроз ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Модель угроз
Как сделать сервис безопасным? Пример методики разработки: Secure Development Lifecycle Стадии: 1. Формирование требований (Reqiurements) 2. Проектирование ( Design ) 3. Реализация ( Implementation) 4. Проверка ( Verification ) 5. Выпуск ( Release) 6. Поддержка ( Response )
У меня все безопасно. Как мне поверят? ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
ISO 15408 Common Criteria Сервис – это автоматизация бизнес-процесса. Безопасный сервис – это безопасная автоматизация бизнес-процесса. Безопасный сервис – это безопасная автоматизация безопасного бизнес-процесса. Безопасное состояние – риски приемлемы.
У меня все безопасно. Как мне поверят?
Требования безопасности ,[object Object],[object Object],[object Object],[object Object]
Требования безопасности ,[object Object],[object Object],[object Object],[object Object]
Требования безопасности. Пример ,[object Object],[object Object],[object Object],[object Object],[object Object]
ОУД ,[object Object],[object Object]
 
Итоговая оценка
Спасибо за внимание!

Recommended

ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
Sergey Soldatov
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
Alexander Kolybelnikov
 
Инновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПИнновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТП
ЭЛВИС-ПЛЮС
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
 
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Expolink
 

Recommended

ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
Sergey Soldatov
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
Alexander Kolybelnikov
 
Инновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПИнновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТП
ЭЛВИС-ПЛЮС
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
 
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Expolink
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Vlad Styran
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Банковское обозрение
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
Positive Hack Days
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Банковское обозрение
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
Alex Babenko
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
Aleksey Lukatskiy
 
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
Банковское обозрение
 
IDM - это непросто!
IDM - это непросто!IDM - это непросто!
IDM - это непросто!
Sergey Soldatov
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
Solar Security
 
Iso25999
Iso25999Iso25999
Iso25999
Nyukers
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
Sergey Soldatov
 
06 videomax
06 videomax 06 videomax
06 videomax
malvvv
 
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, SamsungБиометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Банковское обозрение
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
Solar Security
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss compliance
Informzaschita
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Банковское обозрение
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
Uladzislau Murashka
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
Positive Hack Days
 

More Related Content

What's hot

Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Vlad Styran
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
Positive Hack Days
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
Alex Babenko
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss compliance
Informzaschita
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
 

What's hot (20)

Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
 
IDM - это непросто!
IDM - это непросто!IDM - это непросто!
IDM - это непросто!
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
Iso25999
Iso25999Iso25999
Iso25999
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
 
06 videomax
06 videomax 06 videomax
06 videomax
 
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, SamsungБиометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss compliance
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
 

Similar to Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений это как мыть руки перед едой

24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
Positive Hack Days
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Dmytro Petrashchuk
 
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
Clouds NN
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Maxim Avdyunin
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
Aleksey Lukatskiy
 

Similar to Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений это как мыть руки перед едой (20)

Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасность
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Safety revolution
Safety revolutionSafety revolution
Safety revolution
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
Security Audit Rfp Template
Security Audit Rfp TemplateSecurity Audit Rfp Template
Security Audit Rfp Template
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
Enterprise Developers Conference 2010
Enterprise Developers Conference 2010Enterprise Developers Conference 2010
Enterprise Developers Conference 2010
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
 

More from Kirill Rubinshteyn

ITSM 365 — облачный сервис для управления ИТ-службой
ITSM 365 — облачный сервис для управления ИТ-службойITSM 365 — облачный сервис для управления ИТ-службой
ITSM 365 — облачный сервис для управления ИТ-службой
Kirill Rubinshteyn
 
pdidenko - saas-unconf - SaaS.pptx
pdidenko - saas-unconf - SaaS.pptxpdidenko - saas-unconf - SaaS.pptx
pdidenko - saas-unconf - SaaS.pptx
Kirill Rubinshteyn
 
Евгений Калинин: любая компания — интернет компания
Евгений Калинин: любая компания — интернет компанияЕвгений Калинин: любая компания — интернет компания
Евгений Калинин: любая компания — интернет компания
Kirill Rubinshteyn
 
Презентация вебинара "Инструменты и методы управления отделом продаж в ИТ-ком...
Презентация вебинара "Инструменты и методы управления отделом продаж в ИТ-ком...Презентация вебинара "Инструменты и методы управления отделом продаж в ИТ-ком...
Презентация вебинара "Инструменты и методы управления отделом продаж в ИТ-ком...
Kirill Rubinshteyn
 

More from Kirill Rubinshteyn (18)

Itsm 365 presentation
Itsm 365 presentationItsm 365 presentation
Itsm 365 presentation
 
ITSM 365 — облачный сервис для управления ИТ-службой
ITSM 365 — облачный сервис для управления ИТ-службойITSM 365 — облачный сервис для управления ИТ-службой
ITSM 365 — облачный сервис для управления ИТ-службой
 
Введение в Lean и Agile
Введение в Lean и AgileВведение в Lean и Agile
Введение в Lean и Agile
 
pdidenko - saas-unconf - SaaS.pptx
pdidenko - saas-unconf - SaaS.pptxpdidenko - saas-unconf - SaaS.pptx
pdidenko - saas-unconf - SaaS.pptx
 
Александр Шуйсков (NAUMEN): перспективы развития Database as a Service
Александр Шуйсков (NAUMEN): перспективы развития Database as a ServiceАлександр Шуйсков (NAUMEN): перспективы развития Database as a Service
Александр Шуйсков (NAUMEN): перспективы развития Database as a Service
 
Гончаренко Дмитрий (ПланФикс): Управляемая эволюция SaaS
Гончаренко Дмитрий (ПланФикс): Управляемая эволюция SaaSГончаренко Дмитрий (ПланФикс): Управляемая эволюция SaaS
Гончаренко Дмитрий (ПланФикс): Управляемая эволюция SaaS
 
Арсений Евмененко (IT-Everest): особенности продвижения на платформе Windows ...
Арсений Евмененко (IT-Everest): особенности продвижения на платформе Windows ...Арсений Евмененко (IT-Everest): особенности продвижения на платформе Windows ...
Арсений Евмененко (IT-Everest): особенности продвижения на платформе Windows ...
 
Михаил Токовинин (qSoft): особенности бизнес-модели аренды
Михаил Токовинин (qSoft): особенности бизнес-модели арендыМихаил Токовинин (qSoft): особенности бизнес-модели аренды
Михаил Токовинин (qSoft): особенности бизнес-модели аренды
 
Тимофей Горшков (InSales): как развивался InSales
Тимофей Горшков (InSales): как развивался InSalesТимофей Горшков (InSales): как развивался InSales
Тимофей Горшков (InSales): как развивался InSales
 
Аскар Рахимбердиев. Облака и российский бизнес: подведем итоги.
Аскар Рахимбердиев. Облака и российский бизнес: подведем итоги.Аскар Рахимбердиев. Облака и российский бизнес: подведем итоги.
Аскар Рахимбердиев. Облака и российский бизнес: подведем итоги.
 
Кирилл Рубинштейн (ИТ-Арена): как продавать SaaS продукты?
Кирилл Рубинштейн (ИТ-Арена): как продавать SaaS продукты?Кирилл Рубинштейн (ИТ-Арена): как продавать SaaS продукты?
Кирилл Рубинштейн (ИТ-Арена): как продавать SaaS продукты?
 
Илья Бублик (Эврика): круче чем iPhone
Илья Бублик (Эврика): круче чем iPhoneИлья Бублик (Эврика): круче чем iPhone
Илья Бублик (Эврика): круче чем iPhone
 
Евгений Калинин: любая компания — интернет компания
Евгений Калинин: любая компания — интернет компанияЕвгений Калинин: любая компания — интернет компания
Евгений Калинин: любая компания — интернет компания
 
About paas
About paasAbout paas
About paas
 
Мотивация сотрудников продающего подразделения
Мотивация сотрудников продающего подразделенияМотивация сотрудников продающего подразделения
Мотивация сотрудников продающего подразделения
 
Презентация вебинара "Инструменты и методы управления отделом продаж в ИТ-ком...
Презентация вебинара "Инструменты и методы управления отделом продаж в ИТ-ком...Презентация вебинара "Инструменты и методы управления отделом продаж в ИТ-ком...
Презентация вебинара "Инструменты и методы управления отделом продаж в ИТ-ком...
 
Software asset management
Software asset managementSoftware asset management
Software asset management
 
Кейс проекта ИТ-арена
Кейс проекта ИТ-аренаКейс проекта ИТ-арена
Кейс проекта ИТ-арена
 

Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений это как мыть руки перед едой

  • 1. Безопасность сервисов Дмитрий Истомин, директор по развитию Уральского центра систем безопасности
  • 2.
  • 3. Какой он – безопасный сервис? Сервис – это автоматизация бизнес-процесса. Безопасный сервис – это безопасная автоматизация бизнес-процесса. Безопасный сервис – это безопасная автоматизация безопасного бизнес-процесса. Безопасно = риски приемлемы VS Безопасно = функционально! Безопасно для кого? Владелец или пользователь?
  • 4. Когда нужно думать о безопасности?
  • 5. Как сделать безопасный сервис без затрат? Никак
  • 6. Модель сервиса   Структурные элементы : хранилища данных, посредники, процессы и границы доверия Информационные потоки
  • 7.
  • 9. Как сделать сервис безопасным? Пример методики разработки: Secure Development Lifecycle Стадии: 1. Формирование требований (Reqiurements) 2. Проектирование ( Design ) 3. Реализация ( Implementation) 4. Проверка ( Verification ) 5. Выпуск ( Release) 6. Поддержка ( Response )
  • 10.
  • 11. ISO 15408 Common Criteria Сервис – это автоматизация бизнес-процесса. Безопасный сервис – это безопасная автоматизация бизнес-процесса. Безопасный сервис – это безопасная автоматизация безопасного бизнес-процесса. Безопасное состояние – риски приемлемы.
  • 12. У меня все безопасно. Как мне поверят?
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.  

Editor's Notes

  1. Рассматриваем широкое понятие сервиса. Сервис – это …, то есть любая автоматизированная система – сервис, отдельно стоящее ПО, клиент-сервер, web- приложение, SaaS. Кто формирует требования, владелец или пользователь? Пример: заказ такси. Возможность отмены заказа. Два уровня – безопасность процесса и его реализации. Кто должен заниматься?
  2. Деньги – банки, любые платные сервисы Время – транспорт, такси Здоровье – доставка лекарств Личные данные – почта, CRM , календарь, электронная очередь
  3. Анализ процессов – это тоже трудоемкая задача. Нужны специфические специалисты. Кроме того, необходимо решать противоречия безопасности пользователя и владельца.
  4. Для построения безопасного сервиса необходимо сначала определить функциональную схему
  5. Модель угроз определяет список (исчерпывающий!) угроз, приводящих к рискам информационной безопасности. Например, можно использовать модель STRIDE для построения МУ. Согласно страйд, угрозы сервиса делятся на 6 типов: S – возможность залогиниться под чужой учеткой. Например, авторизация по IP- адресу. На каждом шаге необходимо следить за отсутствием таких возможностей. T – Насколько правильно распределены права к ресурсам. Например – возможность админа поменять данные R – отказ от платежа I – временные данные хранятся в папке, куда есть доступ D – DDoS E – возможность поднять уровень прав.
  6. На каждую выделенную красную букву необходимо разрабатывать контрмеры, или принять угрозу. Принять угрозу, и не рассмотреть ее – это разные вещи!
  7. На этапе проектирования – модель угроз (тестирование архитектуры). НА этапе реализации – тестирование кода ( fuzzing) .
  8. Кроме того, чтобы сделать приложение безопасным, необходимо убедить в этом пользователей. Тех, которые заинтересованы в этом. Для этого необхъодимо понимать, а что ожидает пользователь и подстраиваться под его требования.