Software Cloud Services Экспертиза информационной безопасности в банковской организации Таран Дмитрий Консультант по информационной безопасности +375 (17)
Экспертиза информационной безопасности – комплекс мероприятий по обследованию информационных систем или процессов компании на предмет их защищенности или соответствия определенным стандартам. Что такое экспертиза информационной безопасности? Экспертиза ИБ позволяет руководству компании оценить общий уровень обеспечения ИБ, выявить уязвимые места и проанализировать риски, а также получить рекомендации по устранению выявленных проблемных областей и внедрению систем безопасности.
Получить профессиональную независимую экспертизу состояния ИБ организации. Получить структурированное описание текущего состояния ИБ в организации. Выявить узкие места в организации ИБ для дальнейшего улучшения и развития. Снизить потенциальные риски, возможные убытки. Возможность быстрого восстановления ключевых процессов и продолжения бизнеса в условиях непредвиденных обстоятельств. Получить рекомендации по развитию собственной ИТ-инфраструктуры и внедрению новых систем безопасности. Выявить соответствие инфраструктуры, документации и общей структуры управления ИБ международным методикам и стандартам. Зачем нужна экспертиза информационной безопасности?
Преимущества независимой экспертизы ИБ Экспертиза представляет собой независимое исследование, что повышает степень объективности результатов. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации. Дешевле поручить выполнение работ по экспертизе информационной безопасности специализированной организации, чем организовывать их самостоятельно.
Виды экспертиз информационной безопасности Специализированная техническая экспертиза. Оценка соответствия нормативных документов. Оценка соответствия международным практикам и стандартам. Комплексная экспертиза ИБ.
Описание работ по проведению экспертизы Постановка задачи и уточнение границ экспертизы. Сбор информации. Анализ собранных данных. Создание стратегии развития и выработка рекомендаций.
Постановка задачи на проведение экспертизы Определение области действия проведения экспертизы. Формирование перечня объектов автоматизации и средств защиты информации. Формирование перечня работ по проведению экспертизы. Согласование технического задания.
Сбор информации Проведение анкетирования и интервьюирования сотрудников компании. Осмотр помещений и офисов компании. Формирование перечня используемых в организации нормативных документов. Проводится сбор данных о состоянии оборудования, его настроек и параметров. Считываются журналы событий серверов, приложений, физических устройств.
Анализ данных Анализ собранных на предыдущем этапе данных. Анализ ИТ-инфраструктуры и процессов управления информационной безопасностью. Проведение специализированных тестов в соответствии с техническим заданием.
Выработка рекомендаций и создание стратегии развития Формирование отчета по проведенной экспертизе. Формирование аналитического заключения по выявленным недостаткам и уязвимостям. Формирование рекомендаций по устранению выявленных недостатков. Выработка стратегии развития ИБ.
Специфика проведения экспертиз ИБ в банковских организациях Экспертиза на соответствие PCI DSS. Рекомендуется платежными системами для финансовых учреждений. Экспертиза на соответствие ISO Международная практика при создании стратегии развития ИБ
Специфика проведения экспертиз ИБ в банковских организациях Тестирование на проникновение Аудит систем ДБО Экспертиза безопасности АБС Банка Экспертиза ИБ web-сайта, портала Анализ защищенности мобильных решений и беспроводных сетей Аудит безопасности кода, декомпиляция, деобфускация
Результат проведенной экспертизы Результатом проведенной экспертизы будет являться отчет, содержащий: краткие выводы для руководства, содержащие общую оценку уровня обеспечения ИБ; результаты экспертизы, содержащие описание существующего положения ИБ; аналитическое заключение по существующим уязвимым местам и рискам; рекомендации по устранению выявленных проблемных областей и внедрению (модернизации) систем безопасности; стратегию развития ИБ.
Примеры проведенных аудитов 1. Крупный Банк. Задача: Попытаться добраться до персональных данных владельцев банковских карт. Цель: Протестировать уровень защищенности периметра сети Банка Исходные данные: Техническому специалисту, проводящему тестирование на проникновение, ничего не известно об ИТ- инфраструктуре Банка. Особенности: Банк получил сертификат соответствия PCI DSS Результат: Специалист, используя различные методы проникновения, получил доступ к базе данных владельцев пластиковых карт
Примеры проведенных аудитов 2. Банк. Задача: Выполнение глубокого аудита безопасности кода, написанного ИТ-отделом Банка для расширения функциональности АБС Банка. Что передавалось: Описание АБС Банка. Исходные коды доработок без описания. Что было сделано: был проведен двух этапный аудит. Первый этап: работа с документацией, исходными кодами, работа с приложением на стенде. Второй этап:непосредственный анализ кода. В работе применялись статические и динамические средства анализа кода. Полностью системы сканировали в полуавтоматическом режиме, критичные по доступу к пользовательским данным и финансовым показателям методы специалисты обрабатывали вручную. Итог - заказчику были выданы описания найденных уязвимостей, ранжированные по степени рисков в соответствии с мировой классификацией. Были предоставлены описания основных сценариев "вторжения, которые доступны злоумышленникам как изнутри, так и снаружи. Отчет содержал подробное описание способов устранения найденных уязвимостей в коде.
Специалисты компании Softline имеют богатый опыт проведения различного рода экспертиз. В Республике Беларусь нет законодательных требований к аттестации специалистов, проводящих экспертизы (аудит) информационной безопасности. Компания Softline сотрудничает с некоторыми аудиторскими компаниями, для которых отчет о проведенной экспертизы будет являться документальным подтверждением соответствия требованиям информационной безопасности. Компания Softline осуществляет помощь в подготовке к сертификации на соответствие ISO 27001, но не проводит непосредственно саму сертификацию, так как это противоречит принципу проведения сертификации (сами проверили свою работу). В заключение.
Почему Softline? Клиенты Softline – лидеры белорусской экономики.
Вопросы ? Спасибо за внимание Таран Дмитрий +375 (17)