SlideShare a Scribd company logo

Gordey - risk vs compliance

Q
qqlan

Related slideshows

Св��дный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
 
Контроль доступа пользователей к ЛВС
Контроль доступа пользователей к ЛВСКонтроль доступа пользователей к ЛВС
Контроль доступа пользователей к ЛВС
 
Обзор архитектуры маршрутизатора ISR 4451-X и новинки продуктовой линейки мар...
Обзор архитектуры маршрутизатора ISR 4451-X и новинки продуктовой линейки мар...Обзор архитектуры маршрутизатора ISR 4451-X и новинки продуктовой линейки мар...
Обзор архитектуры маршрутизатора ISR 4451-X и новинки продуктовой линейки мар...
 
1 of 17
Download to read offline
Контроль защищенности и… Сергей Гордейчик CTO
Капля статистики Дмитрий Кузнецов, Positive Technologies
Как это бывает СЕТЕВ��Е ОБОРУДОВА СЕТЕВОЕ НИЕ ФИЛИАЛ РАБОЧИЕ ОБОРУДОВА СТАНЦИИ НИЕ Внутренний пентест/аудит по результатам пентеста • Сканирование сети Внутренний пентест/аудит • Успешно подобран пароль! по результатам пентеста – Эксплуатация SQL Injection WEB- СЕРВЕР – Выполнение команд на сервере СЕРВЕРЫ – Повышение привилегий – Атака на внутренние ресурсы СЕРВЕРЫ ПОДОБРАН Внутренний пентест ПАРОЛЬ – Установка сканера MaxPatrol – Поиск уязвимостей РАБОЧИЕ – Эксплуатация уязвимостей СТАНЦИИ ПРОВЕДЕНИЕ ПРОВЕРОК Перемещение в ИС ЦО – Проведение атаки на ресурсы ЦО ПРОВЕДЕНИЕ MP SERVER ПРОВЕРОК ГОЛОВНОЙ Получение максимальных привилегий во всей сети ОФИС Рабочее Получение доступа к сети АСУТП место аудитора
Основные движители Требования регуляторов Риски
Требования регуляторов «Жесткий» Compliance РД ФСТЭК vs PCI DSS «Мягкий» Compliance ISO 27001/SOX/СТО БР Ключевая разница - риск
«Мягкий» vs «Жесткий» «Жесткий» по требованиям РД ФСТЭК, PCI DSS «Жесткий» по контролю PCI DSS Ключевая разница - риск
Россия не готова к 152 ФЗ 152 ФЗ … 58 ФСТЭК «мягкий»??? compliance по требованиям «жесткий»??? compliance по контролю
Россия не готова к 152 ФЗ Откуда взять «конфигурации без ошибок»? Что будут проверять?!
NIST 800/CIS/NVD?... Solaris 10 Информационная система Защитные механизмы Технический стандарт Oracle 11g Защитные механизмы Технический стандарт SAP Технический Защитные механизмы стандарт
10000 «крутилок»… Что крутить?
Риски, риски, риски…. Регулятивные Бизнес-риски
Регулятивные риски Подлежат анализу и управлению • угроза и ущерб – возможные последствия нарушения, обозначенные регулятором; • уязвимость - несоблюдение требований; • атака - проверка регулятора; • контрмера (защитный механизм, средство защиты) - соблюдение требований. http://sgordey.blogspot.com/2009/05/compliance.html
Бизнес-риски Зачастую подменяются техническими Обещают «счастье» а продают NetForensics Технические риски - считаются Рассматриваются в рамках защитных механизмов
Технические риски
Защитные механизмы и риски «Неуправляемые риски» – принимаются «Управляемые риски» - эффективность контрмер «Эффективность контрмер» - Соответствие внутренних требований рискам Эффективность внедрения внутренних требований
Плюсы ++ Compliance «как услуга» SOC, технологические сети, АСУТП Управление угрозами Привязка требований (orchestration) Оперативное отслеживание рисков Риски привязанные к ресурсам ………MaxPatrol 9 coming soon……..
Спасибо! http://sgordey.blogspot.com

More Related Content

Gordey - risk vs compliance

  • 1. Контроль защищенности и… Сергей Гордейчик CTO
  • 2. Капля статистики Дмитрий Кузнецов, Positive Technologies
  • 3. Как это бывает СЕТЕВОЕ ОБОРУДОВА СЕТЕВОЕ НИЕ ФИЛИАЛ РАБОЧИЕ ОБОРУДОВА СТАНЦИИ НИЕ Внутренний пентест/аудит по результатам пентеста • Сканирование сети Внутренний пентест/аудит • Успешно подобран пароль! по результатам пентеста – Эксплуатация SQL Injection WEB- СЕРВЕР – Выполнение команд на сервере СЕРВЕРЫ – Повышение привилегий – Атака на внутренние ресурсы СЕРВЕРЫ ПОДОБРАН Внутренний пентест ПАРОЛЬ – Установка сканера MaxPatrol – Поиск уязвимостей РАБОЧИЕ – Эксплуатация уязвимостей СТАНЦИИ ПРОВЕДЕНИЕ ПРОВЕРОК Перемещение в ИС ЦО – Проведение атаки на ресурсы ЦО ПРОВЕДЕНИЕ MP SERVER ПРОВЕРОК ГОЛОВНОЙ Получение максимальных привилегий во всей сети ОФИС Рабочее Получение доступа к сети АСУТП место аудитора
  • 5. Требования регуляторов «Жесткий» Compliance РД ФСТЭК vs PCI DSS «Мягкий» Compliance ISO 27001/SOX/СТО БР Ключевая разница - риск
  • 6. «Мягкий» vs «Жесткий» «Жесткий» по требованиям РД ФСТЭК, PCI DSS «Жесткий» по контролю PCI DSS Ключевая разница - риск
  • 7. Россия не готова к 152 ФЗ 152 ФЗ … 58 ФСТЭК «мягкий»??? compliance по требованиям «жесткий»??? compliance по контролю
  • 8. Росс��я не готова к 152 ФЗ Откуда взять «конфигурации без ошибок»? Что будут проверять?!
  • 9. NIST 800/CIS/NVD?... Solaris 10 Информационная система Защитные механизмы Технический стандарт Oracle 11g Защитные механизмы Технический стандарт SAP Технический Защитные механизмы стандарт
  • 10. 10000 «крутилок»… Что крутить?
  • 12. Регулятивные риски Подлежат анализу и управлению • угроза и ущерб – возможные последствия нарушения, обозначенные регулятором; • уязвимость - несоблюдение требований; • атака - проверка регулятора; • контрмера (защитный механизм, средство защиты) - соблюдение требований. http://sgordey.blogspot.com/2009/05/compliance.html
  • 13. Бизнес-риски Зачастую подменяются техническими Обещают «счастье» а продают NetForensics Технические риски - считаются Рассматриваются в рамках защитных механизмов
  • 15. Защитные механизмы и риски «Неуправляемые риски» – принимаются «Управляемые риски» - эффективность контрмер «Эффективность контрмер» - Соответствие внутренних требований рискам Эффективность внедрения внутренних требований
  • 16. Плюсы ++ Compliance «как услуга» SOC, технологические сети, АСУТП Управление угрозами Привязка требований (orchestration) Оперативное отслеживание рисков Риски привязанные к ресурсам ………MaxPatrol 9 coming soon……..