SlideShare una empresa de Scribd logo

Марат Хазиев (Астерит) - Аудит информационной безопасности

Descargar como PPTX, PDF
E
Expolink

Марат Хазиев (Астерит) - Аудит информационной безопасности

Empresariales
1 de 18
Аудит информационной безопасности – всё начинается с него, но им не заканчивается! Марат Хазиев Руководитель отдела #URALCIO
Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности предприятия в соответствии с определенными критериями и показателями безопасности #URALCIO
Подходы к проведению аудита ИБ Комбинирование активного и экспертного аудитов ИБ ISO Использование стандартов ИБ RISK Использование методологии анализа рисков Комбинирование анализа рисков и стандартов для определения критериев проведения аудита ИБ #URALCIO
Области проведения экспертного аудита Подразделения компании Корпоративные информационные системы Направления информационной безопасности: - Внешние угрозы - Внутренние угрозы - Управление СОИБ Требования к информационной безопасности: - Международные стандарты - Национальные стандарты - Внутренние регламенты ОБЛАСТИ ЭКСПЕРТНОГО АУДИТА #URALCIO
Области проведения активного аудита Инфраструктурный анализ: - Инвентаризации применяемых средств и механизмов защиты - Анализ информационных потоков - Анализ защищенности периметра сети - Анализ защищенности конечных устройств Анализ внутренних технических регламентов Тестирование на проникновение: - Внешний тест на проникновение - Внутренний тест на проникновение Проверка знаний и осведомленности сотрудников: - Правила работы с документацией - Степень ответственности, - Требования регламентов - ФЗ №152 «О персональных данных» - ФЗ №98 «О коммерческой тайне» - Требования стандартов СОИБ ОБЛАСТИ АКТИВНОГО АУДИТА #URALCIO
Цели проведения аудита Независимая оценка текущего состояния ИБ Анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС Идентификация и ликвидация уязвимостей Технико-экономическое обоснование механизмов ИБ Обеспечение требованиям внутренних, отраслевых регламентов и действующего законодательства РФ Минимизация ущерба от инцидентов безопасности #URALCIO
Система обеспечения информационной безопасности (СОИБ) СОИБ СУИБ Силы обеспечения Методы обеспечения Средства обеспечения ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ПОДСИСТЕМЫ Правовые, технические и экономические СУИБ Система управления информационной безопасностью Силы обеспечения Департамент автоматизации (ИТ-отдел), Департамент безопасности (Служба безопасности) Методы обеспечения Организационно-технические, экономические Средства обеспечения #URALCIO
Этапы проведения аудита ИБ Завершение аудита ИБ Подготовка к проведению аудита ИБ Анализ внутренних документов Проведение аудита ИБ на месте Подготовка, утверждение отчета по аудиту ИБ включающего рекомендации и технико-экономическое обоснование #URALCIO
Применяемые стандарты и методологии при проведении аудита ИБ 1. ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.» 2. ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.» 3. ГОСТ Р ИСО/МЭК 27005 «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности.» 4. ГОСТ Р ИСО/МЭК 27006 «Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью» 5. ГОСТ Р ИСО/МЭК 13335 «Информационная технология. Методы и средства обеспечения безопасности» 6. ГОСТ Р ИСО/МЭК 15026 «Информационная технология. Уровни целостности систем и программных средств» 7. ГОСТ Р ИСО/МЭК ТО 18044 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» 8. ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» 9. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» #URALCIO
Основной стандарт ИБ ISO 27001 ISO 27001 (СУИБ) Основная часть Приложение А Общие требования Создание и управление СУИБ Требования к документированию Приверженность руководства Управление ресурсами Внутренние аудиты Анализ СУИБ Совершенствование СУИБ Политика безопасности Организация ИБ Управление активами Безопасность людских ресурсов Управление коммуникациями и операциями Контроль доступа Приобретение, разработка и внедрение ИС Управление инцидентами ИБ Физическая безопасность Безопасность окружающей среды Соблюдение требований Управление непрерывностью бизнеса #URALCIO
Система Управления Информационной Безопасностью Поддержка руководства Область действия СУИБ Политика ИБ Роли и ответственность Стратегическое управление ИБ Управление рисками Управление документацией Обучение персонала Аудиты ИБ Мониторинг и анализ эффективности СУИБ Анализ СУИБ высшим руководством Совершенствование СУИБ Операционное управление ИБ Операционное обеспечение ИБ Управление персоналом Управление ИТ- инфраструктурой Управление доступом Управление носителями Резервное копирование и восстановление Управление инцидентами Управление непрерывностью бизнеса Допустимое использование активов Физическая безопасность Обмен информацией Сетевая безопасность Антивирусная защита Криптография Соответствие требованиям Требования ИБ #URALCIO
Защищенность устройств Антивирусная защита Анализ уязвимостей Обнаружение и предотвращение вторжений (IDS/IPS) Персональный сетевой экран (Firewall) Контроль утечек Информации (DLP) Контроль внешних носителей и устройств Контроль устанавливаемого ПО Шифрование #URALCIO
Тестирование на проникновение Внутренний тест на проникновение Попытки получения учетных записей и паролей пользователей и администраторов информационных систем путём перехвата сетевого трафика Сбор информации о доступных ресурсах сети (сетевых сервисах, операционных системах и приложениях) и определение мест возможного хранения/обработки критичных данных Поиск уязвимостей ресурсов, способных привести к возможности осуществления несанкционированных воздействий на них Разработка векторов атак и методов получения несанкционированного доступа к критичным данным Попытки получения несанкционированного доступа к серверам, базам данных, компьютерам пользователей с использованием уязвимостей программного обеспечения, сетевого оборудования, некорректных настроек #URALCIO
Тестирование на проникновение Внешний тест на проникновение Сбор общедоступной информации о Заказчике с помощью поисковых систем, через регистрационные базы данных (регистраторы имен и адресов, DNS, Whois и т.п.) и других публичных источников информации Сбор информации о доступных из сетей общего доступа ресурсах (сетевых сервисах, операционных системах и приложениях) Определение мест возможного хранения/обработки критичных данных, доступных извне Сбор публично доступной информации о сотрудниках Заказчика (корпоративные электронные адреса, посещение веб-сайтов, Интернет форумов, социальные сети, личная информации о человеке) Поиск уязвимостей в веб-приложениях Заказчика, эксплуатация которых может привести к неавторизированному доступу к критичным данным Выявление уязвимостей ресурсов внешнего сетевого периметра, эксплуатация которых может привести к компрометации ресурса и/или использована для получения неавторизованного доступа к критичным данным Разработка векторов и методов проникновения #URALCIO
Тестирование на проникновение получение информации из открытых источников сканирование внешнего периметра поиск / создание эксплойтов взлом внешнего периметра / DMZ сканирование внутренней сети поиск / создание эксплойта взлом узла локальной сети вступление в контакт с персоналом размещение троянской программы атака на человека получение доступа к узлу локальной сети сканирование локальной сети взлом остальных узлов локальной сети Техническаясоставляющая Социальнаясоставляющая #URALCIO
Результаты проведения аудита ИБ Лучшее понимание руководством и сотрудниками целей, задач, проблем организации в области ИБ Осознание ценности информационных ресурсов Надлежащее документирование процедур и моделей ИС с позиции ИБ Принятие ответственности за остаточные риски #URALCIO
Обеспечение информационной безопасности - это непрерывный процесс, основное содержание которого составляет управление (управление людьми, рисками, ресурсами, средствами защиты и т.п.). Люди (обслуживающий персонал и конечные пользователи) являются неотъемлемой частью автоматизированной (то есть «человеко- машинной») системы. От того, каким образом реализованы функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность. #URALCIO
Спасибо за внимание! Вопросы? #URALCIO

Recomendados

Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
Expolink
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
Positive Hack Days
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр аналитика Info watch по утечкам информации 2014 04
пр аналитика Info watch по утечкам информации 2014 04пр аналитика Info watch по утечкам информации 2014 04
пр аналитика Info watch по утечкам информации 2014 04
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recomendados

Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
Expolink
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
Positive Hack Days
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр аналитика Info watch по утечкам информации 2014 04
пр аналитика Info watch по утечкам информации 2014 04пр аналитика Info watch по утечкам информации 2014 04
пр аналитика Info watch по утечкам информации 2014 04
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 small
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Компания УЦСБ
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
Отшельник
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
Aleksey Lukatskiy
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
Alexander Dorofeev
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аудит информационной безопасности
Аудит информационной безопасностиАудит информационной безопасности
Аудит информационной безопасности
Kaznetmedia
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink
 
Аудит информационной безопасности АСУ ТП
Аудит информационной безопасности АСУ ТПАудит информационной безопасности АСУ ТП
Аудит информационной безопасности АСУ ТП
Компания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
Компания УЦСБ
 

Más contenido relacionado

La actualidad más candente

пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 

La actualidad más candente (18)

пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 small
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)
 
Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
 

Destacado

Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink
 
Аудит информационной безопасности АСУ ТП
Аудит информационной безопасности АСУ ТПАудит информационной безопасности АСУ ТП
Аудит информационной безопасности АСУ ТП
Компания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
Компания УЦСБ
 
Система анализа уязвимостей программных продуктов
Система анализа уязвимостей программных продуктовСистема анализа уязвимостей программных продуктов
Система анализа уязвимостей программных продуктов
UNETA
 
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компанииСоздание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
DialogueScience
 
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...
Evgeniy Shauro
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ib
Expolink
 
Infosecurity 2011 - Менеджер по информационной безопасности 2.0
Infosecurity 2011 - Менеджер по информационной безопасности 2.0Infosecurity 2011 - Менеджер по информационной безопасности 2.0
Infosecurity 2011 - Менеджер по информационной безопасности 2.0
abondarenko
 
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Компания УЦСБ
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
 

Destacado (20)

Аудит информационной безопасности
Аудит информационной безопасностиАудит информационной безопасности
Аудит информационной безопасности
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
 
Аудит информационной безопасности АСУ ТП
Аудит информационной безопасности АСУ ТПАудит информационной безопасности АСУ ТП
Аудит информационной безопасности АСУ ТП
 
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
 
Система анализа уязвимостей программных продуктов
Система анализа уязвимостей программных продуктовСистема анализа уязвимостей программных продуктов
Система анализа уязвимостей программных продуктов
 
On line вещание лукацкого с базы
On line вещание лукацкого с базыOn line вещание лукацкого с базы
On line вещание лукацкого с базы
 
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компанииСоздание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
 
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
White hat. случаи из практики
White hat. случаи из практикиWhite hat. случаи из практики
White hat. случаи из практики
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ib
 
Лаборатория Каспеского: современные тенденции киберпреступности
Лаборатория Каспеского: современные тенденции киберпреступностиЛаборатория Каспеского: современные тенденции киберпреступности
Лаборатория Каспеского: современные тенденции киберпреступности
 
Infosecurity 2011 - Менеджер по информационной безопасности 2.0
Infosecurity 2011 - Менеджер по информационной безопасности 2.0Infosecurity 2011 - Менеджер по информационной безопасности 2.0
Infosecurity 2011 - Менеджер по информационной безопасности 2.0
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
 
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
 
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасность
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 

Similar a Марат Хазиев (Астерит) - Аудит информационной безопасности

Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
 
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
Константин Бажин
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
cnpo
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Компания УЦСБ
 

Similar a Марат Хазиев (Астерит) - Аудит информационной безопасности (20)

Астерит. Марат Хазиев: "Аудит информационной безопасности"
Астерит. Марат Хазиев: "Аудит информационной безопасности"Астерит. Марат Хазиев: "Аудит информационной безопасности"
Астерит. Марат Хазиев: "Аудит информационной безопасности"
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
 
Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...
 
Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев: "Аудит информационной безопасности - всё начинается с ...
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасности
 
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Безопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-СредеБезопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-Среде
 
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
 
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
 
13 03-7 презентация для мгу
13 03-7 презентация для мгу13 03-7 презентация для мгу
13 03-7 презентация для мгу
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
 

Más de Expolink

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Expolink
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Expolink
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Expolink
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
Expolink
 
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Expolink
 
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
Expolink
 
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Expolink
 
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Expolink
 

Más de Expolink (20)

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
 
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
 
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
 
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
 
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
 
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
 
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
 
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
 
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
 
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
 
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
 

Марат Хазиев (Астерит) - Аудит информационной безопасности

  • 1. Аудит информационной безопасности – всё начинается с него, но им не заканчивается! Марат Хазиев Руководитель отдела #URALCIO
  • 2. Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности предприятия в соответствии с определенными критериями и показателями безопасности #URALCIO
  • 3. Подходы к проведению аудита ИБ Комбинирование активного и экспертного аудитов ИБ ISO Использование стандартов ИБ RISK Использование методологии анализа рисков Комбинирование анализа рисков и стандартов для определения критериев проведения аудита ИБ #URALCIO
  • 4. Области проведения экспертного аудита Подразделения компании Корпоративные информационные системы Направления информационной безопасности: - Внешние угрозы - Внутренние угрозы - Управление СОИБ Требования к информационной безопасности: - Международные стандарты - Национальные стандарты - Внутренние регламенты ОБЛАСТИ ЭКСПЕРТНОГО АУДИТА #URALCIO
  • 5. Области проведения активного аудита Инфраструктурный анализ: - Инвентаризации применяемых средств и механизмов защиты - Анализ информационных потоков - Анализ защищенности периметра сети - Анализ защищенности конечных устройств Анализ внутренних технических регламентов Тестирование на проникновение: - Внешний тест на проникновение - Внутренний тест на проникновение Проверка знаний и осведомленности сотрудников: - Правила работы с документацией - Степень ответственности, - Требования регламентов - ФЗ №152 «О персональных данных» - ФЗ №98 «О коммерческой тайне» - Требования стандартов СОИБ ОБЛАСТИ АКТИВНОГО АУДИТА #URALCIO
  • 6. Цели проведения аудита Независимая оценка текущего состояния ИБ Анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС Идентификация и ликвидация уязвимостей Технико-экономическое обоснование механизмов ИБ Обеспечение требованиям внутренних, отраслевых регламентов и действующего законодательства РФ Минимизация ущерба от инцидентов безопасности #URALCIO
  • 7. Система обеспечения информационной безопасности (СОИБ) СОИБ СУИБ Силы обеспечения Методы обеспечения Средства обеспечения ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ПОДСИСТЕМЫ Правовые, технические и экономические СУИБ Система управления информационной безопасностью Силы обеспечения Департамент автоматизации (ИТ-отдел), Департамент безопасности (Служба безопасности) Методы обеспечения Организационно-технические, экономические Средства обеспечения #URALCIO
  • 8. Этапы проведения аудита ИБ Завершение аудита ИБ Подготовка к проведению аудита ИБ Анализ внутренних документов Проведение аудита ИБ на месте Подготовка, утверждение отчета по аудиту ИБ включающего рекомендации и технико-экономическое обоснование #URALCIO
  • 9. Применяемые стандарты и методологии при проведении аудита ИБ 1. ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.» 2. ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.» 3. ГОСТ Р ИСО/МЭК 27005 «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности.» 4. ГОСТ Р ИСО/МЭК 27006 «Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью» 5. ГОСТ Р ИСО/МЭК 13335 «Информационная технология. Методы и средства обеспечения безопасности» 6. ГОСТ Р ИСО/МЭК 15026 «Информационная технология. Уровни целостности систем и программных средств» 7. ГОСТ Р ИСО/МЭК ТО 18044 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» 8. ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» 9. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» #URALCIO
  • 10. Основной стандарт ИБ ISO 27001 ISO 27001 (СУИБ) Основная часть Приложение А Общие требования Создание и управление СУИБ Требования к документированию Приверженность руководства Управление ресурсами Внутренние аудиты Анализ СУИБ Совершенствование СУИБ Политика безопасности Организация ИБ Управление активами Безопасность людских ресурсов Управление коммуникациями и операциями Контроль доступа Приобретение, разработка и внедрение ИС Управление инцидентами ИБ Физическая безопасность Безопасность окружающей среды Соблюдение требований Управление непрерывностью бизнеса #URALCIO
  • 11. Система Управления Информационной Безопасностью Поддержка руководства Область действия СУИБ Политика ИБ Роли и ответственность Стратегическое управление ИБ Управление рисками Управление документацией Обучение персонала Аудиты ИБ Мониторинг и анализ эффективности СУИБ Анализ СУИБ высшим руководством Совершенствование СУИБ Операционное управление ИБ Операционное обеспечение ИБ Управление персоналом Управление ИТ- инфраструктурой Управление доступом Управление носителями Резервное копирование и восстановление Управление инцидентами Управление непрерывностью бизнеса Допустимое использование активов Физическая безопасность Обмен информацией Сетевая безопасность Антивирусная защита Криптография Соответствие требованиям Требования ИБ #URALCIO
  • 12. Защищенность устройств Антивирусная защита Анализ уязвимостей Обнаружение и предотвращение вторжений (IDS/IPS) Персональный сетевой экран (Firewall) Контроль утечек Информации (DLP) Контроль внешних носителей и устройств Контроль устанавливаемого ПО Шифрование #URALCIO
  • 13. Тестирование на проникновение Внутренний тест на проникновение Попытки получения учетных записей и паролей пользователей и администраторов информационных систем путём перехвата сетевого трафика Сбор информации о доступных ресурсах сети (сетевых сервисах, операционных системах и приложениях) и определение мест возможного хранения/обработки критичных данных Поиск уязвимостей ресурсов, способных привести к возможности осуществления несанкционированных воздействий на них Разработка векторов атак и методов получения несанкционированного доступа к критичным данным Попытки получения несанкционированного доступа к серверам, базам данных, компьютерам пользователей с использованием уязвимостей программного обеспечения, сетевого оборудования, некорректных настроек #URALCIO
  • 14. Тестирование на проникновение Внешний тест на проникновение Сбор общедоступной информации о Заказчике с помощью поисковых систем, через регистрационные базы данных (регистраторы имен и адресов, DNS, Whois и т.п.) и других публичных источников информации Сбор информации о доступных из сетей общего доступа ресурсах (сетевых сервисах, операционных системах и приложениях) Определение мест возможного хранения/обработки критичных данных, доступных извне Сбор публично доступной информации о сотрудниках Заказчика (корпоративные электронные адреса, посещение веб-сайтов, Интернет форумов, социальные сети, личная информации о человеке) Поиск уязвимостей в веб-приложениях Заказчика, эксплуатация которых может привести к неавторизированному доступу к критичным данным Выявление уязвимостей ресурсов внешнего сетевого периметра, эксплуатация которых может привести к компрометации ресурса и/или использована для получения неавторизованного доступа к критичным данным Разработка векторов и методов проникновения #URALCIO
  • 15. Тестирование на проникновение получение информации из открытых источников сканирование внешнего периметра поиск / создание эксплойтов взлом внешнего периметра / DMZ сканирование внутренней сети поиск / создание эксплойта взлом узла локальной сети вступление в контакт с персоналом размещение троянской программы атака на человека получение доступа к узлу локальной сети сканирование локальной сети взлом остальных узлов локальной сети Техническаясоставляющая Социальнаясоставляющая #URALCIO
  • 16. Результаты проведения аудита ИБ Лучшее понимание руководством и сотрудниками целей, задач, проблем организации в области ИБ Осознание ценности информационных ресурсов Надлежащее документирование процедур и моделей ИС с позиции ИБ Принятие ответственности за остаточные риски #URALCIO
  • 17. Обеспечение информационной безопасности - это непрерывный процесс, основное содержание которого составляет управление (управление людьми, рисками, ресурсами, средствами защиты и т.п.). Люди (обслуживающий персонал и конечные пользователи) являются неотъемлемой частью автоматизированной (то есть «человеко- машинной») системы. От того, каким образом реализованы функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность. #URALCIO