Соответствие международным и отраслевым стандартам Технологические аспекты

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru Compliance, compliance, compliance Комплайнс - очень модное слово РД и т.д. РД и т.д. PCI DSS PCI DSS Стандарт ЦБ РФ Стандарт ЦБ РФ ISO 27001/17799/27002 ISO 27001/17799/27002 SOX 404 SOX 404 Закон о персональных данных (1Д) Закон о персональных данных (1Д)

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru От общего… Большинство стандартов носят общий характер – построение процессов – построение процессов Стандарт ЦБ РФ – очень близок к Стандарт ЦБ РФ – очень близок к SOX 404 – всего 4 абзаца SOX 404 – всего 4 абзаца PCI DSS – исключение

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru Результат… Концепция Политики/Требования Регламенты/Базовые настройки Настройки ИС/Процессы

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru Результат…

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru К частному Большое количество «рекомендаций», «лучших практик» Производители Производители Microsoft Microsoft Cisco Cisco Linux Linux Sun Sun Компетентные организации Компетентные организации NIST NIST NSA NSA CIS CIS WASC WASC

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru Уязвимости реализации Огромное количество уязвимостей 25 сентября 2007 CVE

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru Технологический Compliance Проверка систем на соответствие техническим требованиям Контроль уязвимостей Контроль уязвимостей Решаемая задача Решаемая задача Переход от «хакерских» методик к «мягким» методам аудита Переход от «хакерских» методик к «мягким» методам аудита Web-приложения – исключение (но мы работаем над этим) Web-приложения – исключение (но мы работаем над этим) Контроль конфигурации Контроль конфигурации Достаточно сложная задача Достаточно сложная задача Различные форматы «настройки по умолчанию» «тихий» ввод новых возможностей Система должна быть адаптируемой Система должна быть адаптируемой Что русскому хорошо… Контроль изменений Контроль изменений Контроль изменений в уязвимостях и конфигурациях Контроль изменений в уязвимостях и конфигурациях

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru Комплексный подход

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru Проверка соответсвия

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru Собственно Compliance Концепция Политики/Требования Регламенты/Базовые настройки Настройки ИС/Процессы Настройки ИС/Процессы CVE-XXX-2007 Пароль SNMP public Управление обновлениями Настройки «по умолчанию» Политика аутентификации

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru Контроль изменений

Соответствие международным и отраслевым стандартам Технологические аспекты / / online.xspider.ru Вопросы Positive Technologies