ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ Взгляд со стороны злоумышленника.

Презентация:



Advertisements
Похожие презентации
Информационная безопасность в медицине С чего начать?
Advertisements

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм.
НИУ ВШЭ ГНИВЦ ФНС РОССИИ О некоторых аспектах автоматизированной информационной поддержки управления информационной безопасностью на примере крупной территориально.
Анна Кожина Консультант отдела информационной безопасности
Организация корпоративной защиты от вредоносных программ Алексей Неверов Пермский государственный университет, кафедра Процессов управления и информационной.
Нагрузочное тестирование информационных систем с использованием облачных вычислений Исполнитель: Макрушин Д.Н. Руководитель: д.т.н., проф. Запечников С.В.
Защита баз данных. Повестка дня Реалии сегодняшнего дня … Источники атак Уязвимости СУБД Что делать ? Кто поможет ? DbProtect – новое предлагаемое решение.
Технологии и продукты Microsoft в обеспечении ИБ Лекция 19. Аудит информационной безопасности.
«Безопасность облаков - опыт оператора связи». 2 Создана фокус группы по облачным вычислениям МСЭ-Т.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
«Создание и внедрение автоматизированной системы управления ИТ-услугами в ОАО «Белинвестбанк» ОАО «Белинвестбанк» Начальник отдела поддержки пользователей.
Риски информационной безопасности при передаче систем на аутсорсинг Докладчик: Мелехин Иван Начальник отдела консалтинга.
Г. Саратов 2009 г. ОСНОВНЫЕ ПОЛОЖЕНИЯ ДЕПАРТАМЕНТА ВНУТРЕННЕГО АУДИТА ОАО «МРСК ВОЛГИ»
Обеспечение защиты системы ДБО от мошеннических действий Руслан О. Нестеров 16 июня 2010 г.
Методы и средства защиты компьютерной информации (МиСЗКИ)
Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.
ISM4 Управление рисками ИБ ПРЕДСТАВЛЕНИЕ ТЕХНОЛОГИИ КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISM4.
Информационная безопасность Лекция 3 Административный уровень.
«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)
Компьютерная безопасность: современные технологии и математические методы защиты информации.
Транксрипт:

ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ Взгляд со стороны злоумышленника

Всеобщая информатизация государственных учреждений Перевод услуг в «электронный формат» Предоставление удаленного доступа к своим ресурсам Появление новых уязвимостей Причины «проблемы»

Стремление освоить бюджет в заданный срок Пренебрежение анализом безопасности Наличие уязвимостей компонент системы

Не проводится оценка рисков Нет налаженных процедур контроля обновлений и изменений Отсутствие базовых процессов управления ИБ

Не внедряются процессы регистрацией и мониторингом событий и управления инцидентами SOC в государственных учреждениях будет внедряться еще не скоро IDS/IPS используются скорее для защиты от вторжений регуляторов, нежели злоумышленников Проблемы со своевременным обнаружением и последующим расследованием инцидентов Отсутствие мониторинга атак

совмещение ИТ и ИБ служб недостаток высококвалифицированных кадров в области ИБ отсутствие налаженного взаимодействия служб внутреннего контроля и ИБ приверженность к «бумажной» безопасности Недостаток квалифицированных кадров

Отказ в обслуживании Исчерпание ресурсов Ошибки приложения

Атаки на web-ресурсы Для государственных учреждений характерно: отсутствие проверки исходного кода web- приложения отсутствие тестирования на проникновение отсутствие периодического пересмотра применяемых контролей

Социальная инженерия Успешность проведения атак методом социальной инженерии за последние 3 года

Собственная служба ИБ Возможные варианты решения Аутсорсинг аудита ИБ

Определяется перечень проверяемых объектов Производится идентификация рисков ИБ Риски ИБ транслируются в риски функций Разрабатывается набор рекомендаций

Выделение объектов аудита Территориально распределенные площадки Отдельные системы и сервисы (например, web- сервисы, системы предоставления удаленного доступа и др.)

Определение и тестирование контролей Аудит применяемых защитных мер Проверка на соответствие best practice Проведение penetration test

Разработка рекомендаций Разработка рекомендаций, позволяющих снизить существующие риски ИБ предоставляемых электронных услуг

Внедрение утвержденных рекомендаций Рекомендации утверждаются руководством По утвержденным рекомендациям составляется action-plan План реализуется совместно с ИТ- подразделением и службой внутреннего контроля

Периодичность аудита Выделение объекта аудита Оценка контролей Определение последствий реализации угроз Разработка рекомендаций Снижение рисков ИБ

Резюме Аутсорсинг тестирования защитных мер – инструмент для оценки «реальной» защищенности электронных сервисов

Вопросы? Хлапов Денис Консультант Отдела консалтинга Департамента консалтинга и аудита