SlideShare una empresa de Scribd logo

Saugumo Auditas Mitai Ir Realybe

Miroslav Lučinskij
Miroslav Lučinskij

iš www.critical.lt

Tecnología
1 de 15
Descargar para leer sin conexión
Saugumo auditas: mitai ir realybė Miroslav Lučinskij, UAB Critical Security direktorius
Saugumo auditas: kas tai? • Saugumo auditas – tai sistemingas duomenų apie esamą informacinio saugumo užtikrinimo situaciją objektuose, veiksmuose ir įvykiuose, egzistuojančiuose tikrinamoje informacinėje infrastruktūroje rinkimas, analizė ir atitikties nustatytiems kriterijams įvertinimas • Paprasčiau tariant...
Saugumo audito tikslas • Informacinės saugos užtikrinimo procesų tyrimas sistemose, dirbančiose pagal tiesioginę paskirtį – vartotojų poreikių tenkinimą • Sistema tai - konkreti aplikacija, konkretus serveris ar jų grupė, visa įmonė ir t.t.
Šiuolaikinių informacinių sistemų savybės • Vyksta daug procesų ir situacijų, kurių kontekstas ir parametrai nebūtinai tinkamai fiksuojami ir aprašomi • Pažeidžiamumų, leidžiančių apeiti egzistuojančius saugumo apribojimus skaičius nuolat auga • Informacinio saugumo užtikrinimas suvedamas į tam tikrą produktų rinkinį
Saugumo auditas: realybė • Saugumo auditas – tai SVARBU • Saugumo auditas – tai REIKALINGA • Saugumo auditas – tai NAUDINGA
Tai svarbu, nes: • Ekonominiai nuostoliai dėl IT saugumo pažeidimų nuolat sparčiai auga • Informacijos apsaugai skirtų priemonių rinka vystosi nevisuomet aiškia kryptimi: ko gi iš tiesų reikia? • Mums yra reikalingas atsakymas į klausimą: Kas yra gerai, o kas yra blogai?
Tai reikalinga, nes: • Tik nepriklausoma ekspertizė gali parodyti objektyvią informacinio saugumo užtikrinimo priemonių būklę • Reikia įvertinti visus informacijos apsaugos aspektus ir nustatyti jų sąryšius • IT saugumo modelio pažeidimai yra latentiški, todėl geriau vykdyti prevenciją nei šalinti pasekmes
Tai naudinga, nes: • Atsiranda informacijos saugumo užtikrinimo strategija, atitinkanti realią situaciją • Atsiranda galimybė surasti balansą tarp organizacinių ir techninių IT saugumo sudedamųjų dalių • Išlaidos auditui atsiperka ateityje dėl IT saugumo užtikrinimo optimizacijos
Saugumo auditas: mitai • Saugumo auditas – tai ISO 17799 standartas • Saugumo auditas – tai ISO 15408 standartas • Saugumo auditas – tai automatinis skenavimas ir atakų aptikimas
Mitas Nr 1: Standartas ISO 17799 • ISO 17799 labiau reikalingas informacinio saugumo užtikrinimo vadybos lygio įvertinimui, kadangi: • Yra galimybė įvertinti tik informacijos apsaugos valdymo būklę • Neleidžia realiai įvertinti sistemų apsaugos lygio • Lieka neišspręstas klausimas: ar pakanka esamų priemonių ir kiek efektyviai jos veikia?
Mitas Nr 2: Standartas ISO 15408 • ISO 15408 galima taikyti sudarant reikalavimus informacijos apsaugai ir vertinant apsaugos priemones, kadangi: • Numatyta tik reikalavimų produktams ar technologijoms formavimo metodika • Reikalauja “saugumo profilio” ir “saugumo užduočių” sukūrimo norint įvertinti saugumo funkcijų realizacijos taisyklingumą • Lieka neišspręstas klausimas: ar visos realios grėsmės nagrinėjamame objekte yra įvertintos ir gali būti pašalintos?
Mitas Nr 3: Automatinis skenavimas • Praverčia palaikant norimą saugumo būklę, tačiau to neužtenka: • Automatizuoti skeneriai klysta • Automatizuoti sprendimai negali išspręsti loginių ar “žmogiškųjų” klausimų • Lieka neišspręstas klausimas: jei skenavimo metu nebuvo aptikta jokių pažeidžiamumų, tai jų išties nėra?
Saugumo auditų tipai • Procedūrinis saugumo auditas (organizacijos atitikimas ISO-xxxxx) • Technologinis saugumo auditas • Įsibrovimo testas + kompleksinis saugumo auditas • Planinis saugumo įvertinimas (kontrolinis auditas)
Kiek galima (reikia) išleisti saugumo auditui? • Saugumo auditas – tai prevencinė priemonė (pvz. draudimas), neturinti tiesioginės investicijų grąžos • Tačiau yra netiesioginė nauda – esamos situacijos pagerinimas, rizikos sumažinimas, aiški saugumo užtikrinimo strategija ir t.t. • Vieni sako, jog reikia išleisti 2-5% nuo galimos žalos, kiti teigia, jog 10-15% IT biudžeto. Tretiems saugumo nereikia. Įvertinti padėtį yra sudėtinga – universalios formulės čia nėra, o spręsti vis tiek Jums.
Ačiū! Miroslav Lučinskij miroslav.lucinskij@critical.lt http://corporate.critical.lt | http://www.critical.lt

Recomendados

[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjamsVilius Benetis
 
Sifiliz
SifilizSifiliz
SifilizYihuv
 
Malards slide show
Malards slide showMalards slide show
Malards slide showdaun0
 
Adding notes in_flickr
Adding notes in_flickrAdding notes in_flickr
Adding notes in_flickrleoliberty07
 
HRO Summit Presentation April 2011
HRO Summit Presentation April 2011HRO Summit Presentation April 2011
HRO Summit Presentation April 2011hugh_mcpherson
 
Bloom's taxonomy
Bloom's taxonomyBloom's taxonomy
Bloom's taxonomyDavid Herrera Peña
 
Chuyện đời tôi - Quỳnh dao
Chuyện đời tôi - Quỳnh daoChuyện đời tôi - Quỳnh dao
Chuyện đời tôi - Quỳnh daoNguyễn Quang
 
Counting
CountingCounting
Countingleoliberty07
 

Recomendados

[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjamsVilius Benetis
 
Sifiliz
SifilizSifiliz
SifilizYihuv
 
Malards slide show
Malards slide showMalards slide show
Malards slide showdaun0
 
Adding notes in_flickr
Adding notes in_flickrAdding notes in_flickr
Adding notes in_flickrleoliberty07
 
HRO Summit Presentation April 2011
HRO Summit Presentation April 2011HRO Summit Presentation April 2011
HRO Summit Presentation April 2011hugh_mcpherson
 
Bloom's taxonomy
Bloom's taxonomyBloom's taxonomy
Bloom's taxonomyDavid Herrera Peña
 
Chuyện đời tôi - Quỳnh dao
Chuyện đời tôi - Quỳnh daoChuyện đời tôi - Quỳnh dao
Chuyện đời tôi - Quỳnh daoNguyễn Quang
 
Counting
CountingCounting
Countingleoliberty07
 
processHR introduction October 2011
processHR introduction October 2011processHR introduction October 2011
processHR introduction October 2011hugh_mcpherson
 
Peacepresentation
PeacepresentationPeacepresentation
Peacepresentationleoliberty07
 
Malards roches
Malards rochesMalards roches
Malards rochesdaun0
 
Brochure Neumann International
Brochure Neumann InternationalBrochure Neumann International
Brochure Neumann InternationalvirginieM
 
HRO Summit Presentation April 2011
HRO Summit Presentation April 2011HRO Summit Presentation April 2011
HRO Summit Presentation April 2011hugh_mcpherson
 
Laëtitia Work, Home & Food
Laëtitia Work, Home & FoodLaëtitia Work, Home & Food
Laëtitia Work, Home & Fooddaun0
 
Normans in england
Normans in englandNormans in england
Normans in englandDavid Herrera Peña
 
My godchild & i
My godchild & iMy godchild & i
My godchild & ianamcfly
 
How does our media product represent a particular
How does our media product represent a particularHow does our media product represent a particular
How does our media product represent a particularRobyn-Eliza Dickinson
 
Evaluation question 3
Evaluation question 3Evaluation question 3
Evaluation question 3JackGlennon
 
My portfolio
My portfolioMy portfolio
My portfolioLiceo de Santa Librada Femenino
 
Citizen Science - Insights, opportunities and approaches for biomedical research
Citizen Science - Insights, opportunities and approaches for biomedical researchCitizen Science - Insights, opportunities and approaches for biomedical research
Citizen Science - Insights, opportunities and approaches for biomedical researchErinma Ochu
 
Context audience understanding plus 2013
Context audience understanding plus 2013Context audience understanding plus 2013
Context audience understanding plus 2013Les Bicknell
 
Verslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasVerslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasMiroslav Lučinskij
 
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.LečickisKibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.LečickisBKA (Baltijos kompiuteriu akademija)
 
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimasAudrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimasBaltic Data Center (BDC)
 
COBIT sertifikacija
COBIT sertifikacijaCOBIT sertifikacija
COBIT sertifikacijaBKA (Baltijos kompiuteriu akademija)
 
Penetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovasPenetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovasBaltic Data Center (BDC)
 
Rizikos valdymas procesinėje organizacijoje
Rizikos valdymas procesinėje organizacijojeRizikos valdymas procesinėje organizacijoje
Rizikos valdymas procesinėje organizacijojeISM University of Management and Economics
 
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)Marijus Stroncikas
 
Kaip sėkmingiau pirkti IT sistemas
Kaip sėkmingiau pirkti IT sistemasKaip sėkmingiau pirkti IT sistemas
Kaip sėkmingiau pirkti IT sistemasMarijus Stroncikas
 
IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?
IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?
IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?Marijus Stroncikas
 

Más contenido relacionado

Destacado

processHR introduction October 2011
processHR introduction October 2011processHR introduction October 2011
processHR introduction October 2011hugh_mcpherson
 
Malards roches
Malards rochesMalards roches
Malards rochesdaun0
 
Brochure Neumann International
Brochure Neumann InternationalBrochure Neumann International
Brochure Neumann InternationalvirginieM
 
HRO Summit Presentation April 2011
HRO Summit Presentation April 2011HRO Summit Presentation April 2011
HRO Summit Presentation April 2011hugh_mcpherson
 
Laëtitia Work, Home & Food
Laëtitia Work, Home & FoodLaëtitia Work, Home & Food
Laëtitia Work, Home & Fooddaun0
 
My godchild & i
My godchild & iMy godchild & i
My godchild & ianamcfly
 
How does our media product represent a particular
How does our media product represent a particularHow does our media product represent a particular
How does our media product represent a particularRobyn-Eliza Dickinson
 
Evaluation question 3
Evaluation question 3Evaluation question 3
Evaluation question 3JackGlennon
 
Citizen Science - Insights, opportunities and approaches for biomedical research
Citizen Science - Insights, opportunities and approaches for biomedical researchCitizen Science - Insights, opportunities and approaches for biomedical research
Citizen Science - Insights, opportunities and approaches for biomedical researchErinma Ochu
 
Context audience understanding plus 2013
Context audience understanding plus 2013Context audience understanding plus 2013
Context audience understanding plus 2013Les Bicknell
 

Destacado (13)

processHR introduction October 2011
processHR introduction October 2011processHR introduction October 2011
processHR introduction October 2011
 
Peacepresentation
PeacepresentationPeacepresentation
Peacepresentation
 
Malards roches
Malards rochesMalards roches
Malards roches
 
Brochure Neumann International
Brochure Neumann InternationalBrochure Neumann International
Brochure Neumann International
 
HRO Summit Presentation April 2011
HRO Summit Presentation April 2011HRO Summit Presentation April 2011
HRO Summit Presentation April 2011
 
Laëtitia Work, Home & Food
Laëtitia Work, Home & FoodLaëtitia Work, Home & Food
Laëtitia Work, Home & Food
 
Normans in england
Normans in englandNormans in england
Normans in england
 
My godchild & i
My godchild & iMy godchild & i
My godchild & i
 
How does our media product represent a particular
How does our media product represent a particularHow does our media product represent a particular
How does our media product represent a particular
 
Evaluation question 3
Evaluation question 3Evaluation question 3
Evaluation question 3
 
My portfolio
My portfolioMy portfolio
My portfolio
 
Citizen Science - Insights, opportunities and approaches for biomedical research
Citizen Science - Insights, opportunities and approaches for biomedical researchCitizen Science - Insights, opportunities and approaches for biomedical research
Citizen Science - Insights, opportunities and approaches for biomedical research
 
Context audience understanding plus 2013
Context audience understanding plus 2013Context audience understanding plus 2013
Context audience understanding plus 2013
 

Similar a Saugumo Auditas Mitai Ir Realybe

Verslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasVerslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasMiroslav Lučinskij
 
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimasAudrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimasBaltic Data Center (BDC)
 
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)Marijus Stroncikas
 
Kaip sėkmingiau pirkti IT sistemas
Kaip sėkmingiau pirkti IT sistemasKaip sėkmingiau pirkti IT sistemas
Kaip sėkmingiau pirkti IT sistemasMarijus Stroncikas
 
IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?
IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?
IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?Marijus Stroncikas
 
Kaip gauti daugiau naudos iš verslo valdymo sistemos
Kaip gauti daugiau naudos iš verslo valdymo sistemosKaip gauti daugiau naudos iš verslo valdymo sistemos
Kaip gauti daugiau naudos iš verslo valdymo sistemosvvsprendimai
 
Agile projektu valdymas kas tai - Vaidas Adomauskas
Agile projektu valdymas kas tai - Vaidas AdomauskasAgile projektu valdymas kas tai - Vaidas Adomauskas
Agile projektu valdymas kas tai - Vaidas AdomauskasAgile Lietuva
 
Aleksej Kovaliov - Pirkimo sutarties ir techninės specifikacijos pavyzdžiai k...
Aleksej Kovaliov - Pirkimo sutarties ir techninės specifikacijos pavyzdžiai k...Aleksej Kovaliov - Pirkimo sutarties ir techninės specifikacijos pavyzdžiai k...
Aleksej Kovaliov - Pirkimo sutarties ir techninės specifikacijos pavyzdžiai k...Agile Lietuva
 
Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)ikv2009
 
Audito Klasifikavimas
Audito KlasifikavimasAudito Klasifikavimas
Audito KlasifikavimasMindis09
 
Iteracinio‐inkrementinio (angl. Agile) metodo naudojimo naudos ir rizikos už...
Iteracinio‐inkrementinio (angl. Agile) metodo naudojimo naudos ir rizikos už...Iteracinio‐inkrementinio (angl. Agile) metodo naudojimo naudos ir rizikos už...
Iteracinio‐inkrementinio (angl. Agile) metodo naudojimo naudos ir rizikos už...Vaidas Adomauskas
 
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. RekomendacijosA. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. RekomendacijosAgile Lietuva
 
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)Alexey Kovalyov
 
Programinė įranga tik žaisliukas ar naudą nešantis įrankis
Programinė įranga tik žaisliukas ar naudą nešantis įrankisPrograminė įranga tik žaisliukas ar naudą nešantis įrankis
Programinė įranga tik žaisliukas ar naudą nešantis įrankisebuc
 
Programinė įranga tik žaisliukas ar naudą nešantis įrankis
Programinė įranga tik žaisliukas ar naudą nešantis įrankisPrograminė įranga tik žaisliukas ar naudą nešantis įrankis
Programinė įranga tik žaisliukas ar naudą nešantis įrankisebuc
 

Similar a Saugumo Auditas Mitai Ir Realybe (20)

Verslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasVerslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT Saugumas
 
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.LečickisKibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
 
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimasAudrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
 
COBIT sertifikacija
COBIT sertifikacijaCOBIT sertifikacija
COBIT sertifikacija
 
Penetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovasPenetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovas
 
Rizikos valdymas procesinėje organizacijoje
Rizikos valdymas procesinėje organizacijojeRizikos valdymas procesinėje organizacijoje
Rizikos valdymas procesinėje organizacijoje
 
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
 
Kaip sėkmingiau pirkti IT sistemas
Kaip sėkmingiau pirkti IT sistemasKaip sėkmingiau pirkti IT sistemas
Kaip sėkmingiau pirkti IT sistemas
 
IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?
IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?
IT pirkimų iššūkiai: pirkti ar ne? Ką ir Kaip?
 
Kaip gauti daugiau naudos iš verslo valdymo sistemos
Kaip gauti daugiau naudos iš verslo valdymo sistemosKaip gauti daugiau naudos iš verslo valdymo sistemos
Kaip gauti daugiau naudos iš verslo valdymo sistemos
 
Gamybos srauto analitika
Gamybos srauto analitikaGamybos srauto analitika
Gamybos srauto analitika
 
Agile projektu valdymas kas tai - Vaidas Adomauskas
Agile projektu valdymas kas tai - Vaidas AdomauskasAgile projektu valdymas kas tai - Vaidas Adomauskas
Agile projektu valdymas kas tai - Vaidas Adomauskas
 
Aleksej Kovaliov - Pirkimo sutarties ir techninės specifikacijos pavyzdžiai k...
Aleksej Kovaliov - Pirkimo sutarties ir techninės specifikacijos pavyzdžiai k...Aleksej Kovaliov - Pirkimo sutarties ir techninės specifikacijos pavyzdžiai k...
Aleksej Kovaliov - Pirkimo sutarties ir techninės specifikacijos pavyzdžiai k...
 
Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)
 
Audito Klasifikavimas
Audito KlasifikavimasAudito Klasifikavimas
Audito Klasifikavimas
 
Iteracinio‐inkrementinio (angl. Agile) metodo naudojimo naudos ir rizikos už...
Iteracinio‐inkrementinio (angl. Agile) metodo naudojimo naudos ir rizikos už...Iteracinio‐inkrementinio (angl. Agile) metodo naudojimo naudos ir rizikos už...
Iteracinio‐inkrementinio (angl. Agile) metodo naudojimo naudos ir rizikos už...
 
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. RekomendacijosA. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
 
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
 
Programinė įranga tik žaisliukas ar naudą nešantis įrankis
Programinė įranga tik žaisliukas ar naudą nešantis įrankisPrograminė įranga tik žaisliukas ar naudą nešantis įrankis
Programinė įranga tik žaisliukas ar naudą nešantis įrankis
 
Programinė įranga tik žaisliukas ar naudą nešantis įrankis
Programinė įranga tik žaisliukas ar naudą nešantis įrankisPrograminė įranga tik žaisliukas ar naudą nešantis įrankis
Programinė įranga tik žaisliukas ar naudą nešantis įrankis
 

Saugumo Auditas Mitai Ir Realybe

  • 1. Saugumo auditas: mitai ir realybė Miroslav Lučinskij, UAB Critical Security direktorius
  • 2. Saugumo auditas: kas tai? • Saugumo auditas – tai sistemingas duomenų apie esamą informacinio saugumo užtikrinimo situaciją objektuose, veiksmuose ir įvykiuose, egzistuojančiuose tikrinamoje informacinėje infrastruktūroje rinkimas, analizė ir atitikties nustatytiems kriterijams įvertinimas • Paprasčiau tariant...
  • 3. Saugumo audito tikslas • Informacinės saugos užtikrinimo procesų tyrimas sistemose, dirbančiose pagal tiesioginę paskirtį – vartotojų poreikių tenkinimą • Sistema tai - konkreti aplikacija, konkretus serveris ar jų grupė, visa įmonė ir t.t.
  • 4. Šiuolaikinių informacinių sistemų savybės • Vyksta daug procesų ir situacijų, kurių kontekstas ir parametrai nebūtinai tinkamai fiksuojami ir aprašomi • Pažeidžiamumų, leidžiančių apeiti egzistuojančius saugumo apribojimus skaičius nuolat auga • Informacinio saugumo užtikrinimas suvedamas į tam tikrą produktų rinkinį
  • 5. Saugumo auditas: realybė • Saugumo auditas – tai SVARBU • Saugumo auditas – tai REIKALINGA • Saugumo auditas – tai NAUDINGA
  • 6. Tai svarbu, nes: • Ekonominiai nuostoliai dėl IT saugumo pažeidimų nuolat sparčiai auga • Informacijos apsaugai skirtų priemonių rinka vystosi nevisuomet aiškia kryptimi: ko gi iš tiesų reikia? • Mums yra reikalingas atsakymas į klausimą: Kas yra gerai, o kas yra blogai?
  • 7. Tai reikalinga, nes: • Tik nepriklausoma ekspertizė gali parodyti objektyvią informacinio saugumo užtikrinimo priemonių būklę • Reikia įvertinti visus informacijos apsaugos aspektus ir nustatyti jų sąryšius • IT saugumo modelio pažeidimai yra latentiški, todėl geriau vykdyti prevenciją nei šalinti pasekmes
  • 8. Tai naudinga, nes: • Atsiranda informacijos saugumo užtikrinimo strategija, atitinkanti realią situaciją • Atsiranda galimybė surasti balansą tarp organizacinių ir techninių IT saugumo sudedamųjų dalių • Išlaidos auditui atsiperka ateityje dėl IT saugumo užtikrinimo optimizacijos
  • 9. Saugumo auditas: mitai • Saugumo auditas – tai ISO 17799 standartas • Saugumo auditas – tai ISO 15408 standartas • Saugumo auditas – tai automatinis skenavimas ir atakų aptikimas
  • 10. Mitas Nr 1: Standartas ISO 17799 • ISO 17799 labiau reikalingas informacinio saugumo užtikrinimo vadybos lygio įvertinimui, kadangi: • Yra galimybė įvertinti tik informacijos apsaugos valdymo būklę • Neleidžia realiai įvertinti sistemų apsaugos lygio • Lieka neišspręstas klausimas: ar pakanka esamų priemonių ir kiek efektyviai jos veikia?
  • 11. Mitas Nr 2: Standartas ISO 15408 • ISO 15408 galima taikyti sudarant reikalavimus informacijos apsaugai ir vertinant apsaugos priemones, kadangi: • Numatyta tik reikalavimų produktams ar technologijoms formavimo metodika • Reikalauja “saugumo profilio” ir “saugumo užduočių” sukūrimo norint įvertinti saugumo funkcijų realizacijos taisyklingumą • Lieka neišspręstas klausimas: ar visos realios grėsmės nagrinėjamame objekte yra įvertintos ir gali būti pašalintos?
  • 12. Mitas Nr 3: Automatinis skenavimas • Praverčia palaikant norimą saugumo būklę, tačiau to neužtenka: • Automatizuoti skeneriai klysta • Automatizuoti sprendimai negali išspręsti loginių ar “žmogiškųjų” klausimų • Lieka neišspręstas klausimas: jei skenavimo metu nebuvo aptikta jokių pažeidžiamumų, tai jų išties nėra?
  • 13. Saugumo auditų tipai • Procedūrinis saugumo auditas (organizacijos atitikimas ISO-xxxxx) • Technologinis saugumo auditas • Įsibrovimo testas + kompleksinis saugumo auditas • Planinis saugumo įvertinimas (kontrolinis auditas)
  • 14. Kiek galima (reikia) išleisti saugumo auditui? • Saugumo auditas – tai prevencinė priemonė (pvz. draudimas), neturinti tiesioginės investicijų grąžos • Tačiau yra netiesioginė nauda – esamos situacijos pagerinimas, rizikos sumažinimas, aiški saugumo užtikrinimo strategija ir t.t. • Vieni sako, jog reikia išleisti 2-5% nuo galimos žalos, kiti teigia, jog 10-15% IT biudžeto. Tretiems saugumo nereikia. Įvertinti padėtį yra sudėtinga – universalios formulės čia nėra, o spręsti vis tiek Jums.
  • 15. Ačiū! Miroslav Lučinskij miroslav.lucinskij@critical.lt http://corporate.critical.lt | http://www.critical.lt