Upload File

gordey - risk vs compliance

17
Контроль защищенности и… Сергей Гордейчик CTO

Upload: qqlan

Post on 16-Jan-2015

879 views

Category:

Technology


1 download

Report

Tags:

DESCRIPTION

 

TRANSCRIPT

Page 1: Gordey - risk vs compliance

Контроль защищенности и…

Сергей Гордейчик

CTO

Page 2: Gordey - risk vs compliance

Капля статистики

Дмитрий Кузнецов, Positive Technologies

Page 3: Gordey - risk vs compliance

Как это бывает

СЕРВЕРЫ

СЕТЕВОЕ

ОБОРУДОВА

НИЕ

РАБОЧИЕ

СТАНЦИИ

ГОЛОВНОЙ

ОФИС

ФИЛИАЛРАБОЧИЕ

СТАНЦИИ

СЕРВЕРЫ

СЕТЕВОЕ

ОБОРУДОВА

НИЕ

MP SERVER

Рабочее

место

аудитора

WEB-

СЕРВЕР

ПОДОБРАН

ПАРОЛЬ

ПРОВЕДЕНИЕ

ПРОВЕРОК

ПРОВЕДЕНИЕ

ПРОВЕРОК

Внутренний пентест/аудит по

результатам пентеста

Внутренний пентест/аудит

по результатам пентеста

• Сканирование сети

• Успешно подобран пароль! – Эксплуатация SQL Injection

– Выполнение команд на сервере

– Повышение привилегий

– Атака на внутренние ресурсы

Внутренний пентест – Установка сканера MaxPatrol

– Поиск уязвимостей

– Эксплуатация уязвимостей

Перемещение в ИС ЦО – Проведение атаки на ресурсы ЦО

Получение максимальных привилегий во всей сети

Получение доступа к сети АСУТП

Page 4: Gordey - risk vs compliance

Основные движители

Требования регуляторов

Риски

Page 5: Gordey - risk vs compliance

Требования регуляторов

«Жесткий» Compliance РД ФСТЭК vs PCI DSS

«Мягкий» Compliance ISO 27001/SOX/СТО БР

Ключевая разница - риск

Page 6: Gordey - risk vs compliance

«Мягкий» vs «Жесткий»

«Жесткий» по требованиям

РД ФСТЭК, PCI DSS

«Жесткий» по контролю

PCI DSS

Ключевая разница - риск

Page 7: Gordey - risk vs compliance

Россия не готова к 152 ФЗ

152 ФЗ … 58 ФСТЭК

«мягкий»??? compliance по требованиям

«жесткий»??? compliance по контролю

Page 8: Gordey - risk vs compliance

Россия не готова к 152 ФЗ

Откуда взять «конфигурации без ошибок»?

Что будут проверять?!

Page 9: Gordey - risk vs compliance

NIST 800/CIS/NVD?...

Защитные механизмы

Защитные механизмы

Ин

фо

рм

аци

он

ная си

стема

Oracle 11g

SAP

Технический

стандарт

Технический

стандарт

Технический

стандарт

Защитные механизмы

Solaris 10

Page 10: Gordey - risk vs compliance

10000 «крутилок»…

Что крутить?

Page 11: Gordey - risk vs compliance

Риски, риски, риски….

Регулятивные

Бизнес-риски

Page 12: Gordey - risk vs compliance

Регулятивные риски

Подлежат анализу и управлению • угроза и ущерб – возможные последствия

нарушения, обозначенные регулятором;

• уязвимость - несоблюдение требований;

• атака - проверка регулятора;

• контрмера (защитный механизм, средство защиты) - соблюдение требований.

http://sgordey.blogspot.com/2009/05/compliance.html

Page 13: Gordey - risk vs compliance

Бизнес-риски

Зачастую подменяются техническими

Обещают «счастье» а продают NetForensics

Технические риски - считаются

Рассматриваются в рамках защитных механизмов

Page 14: Gordey - risk vs compliance

Технические риски

Page 15: Gordey - risk vs compliance

Защитные механизмы и риски

«Неуправляемые риски» – принимаются

«Управляемые риски» - эффективность контрмер

«Эффективность контрмер» - Соответствие внутренних требований рискам

Эффективность внедрения внутренних требований

Page 16: Gordey - risk vs compliance

Плюсы ++

Compliance «как услуга» SOC, технологические сети, АСУТП

Управление угрозами Привязка требований (orchestration) Оперативное отслеживание рисков Риски привязанные к ресурсам ………MaxPatrol 9 coming soon……..

Page 17: Gordey - risk vs compliance

Спасибо!

http://sgordey.blogspot.com


DAA and GEP Orlando 20081 Audit & Compliance or Audit vs. Compliance

Industry leading Education Today’s Webinar … · § The Age of Ransomware: New threats to the Healthcare industry, Data Security, ... Compliance vs. Security Fines vs. Risk *2016

New Developments in Hearing Technology Dave Gordey, M. Sc. AUD (c)

Pain Compliance Vs Joint Manipulation

Effective Compliance Oversight - HCCA Official Site...Effective Compliance Oversight: The Role of Compliance vs. The Role of Operations Your Speakers Today Richard Merino Managing

Compliance Management: Coverage & Exclusions & Important ... · Compliance Management: Coverage & Exclusions & Important Definitions ... Vs Civil enactments. Civil laws affects

THOMSON REUTERS ACCELUS The Future of Regulation The Cost of Compliance vs The Cost of non-Compliance

EMI Compliance Test vs. EMI Pre-Compliance Test

Transition Tips Julie Gordey, LMS Assistant Principal Christine Simpson, LMS Principal

Compliance of declared vs. analysed values with EU

General Ag. Compliance & Chesapeake Bay UpdateCompliance vs. Enforcement • Compliance Baseline = Posted Speed Limit • Enforcement = Issuing Tickets 3 Tiers of AG & Water Quality

Compliance (Risk) Auditing vs. Forensic Auditingaapcperfect.s3.amazonaws.com/a3c7c3fe-6fa1-4d67... · Risk Analysis vs. Forensic Auditing ... –Forensic (Error) Auditing: An audit

GENDER ISSUE/GAPS VS COMPLIANCE TO EDUCATION FOR FO2

PERCEPTION VS. REALITY€¦ · strategy compliance, and high stakeholder ratings. Experience and compliance leaders drive more spending to the right supplier, at the right price,

Compliance vs Continuous improvement

Adapting to Meet Today’s Trends and Technologies– Compliance vs. Enforcement

CIP-003-6 vs CIP-003-7 - WECC vs CIP-003-7_GStory.pdf · CIP-003-6 vs CIP-003-7 Garret Story Compliance Auditor, Cyber Security WECC Compliance Workshop –Boise ID–March 29, 2018

Charles Martin, GOLD COAST AIRPORT - Customer service vs security compliance

PBCS and Communication Service Providers Meetings Seminars and... · 2018. 2. 21. · CSP Compliance. Charter vs. contract • Ensuring the compliance of CSP allocations through the

Security vs. Compliance: SC Magazine Special Report | RSA · security and compliance. But if security and compliance were in a kindergarten class together, both would get a failing

Consultancy vs compliance

Gordey Perepechko PCC arch portfolio

Performance Based vs. Compliance Based Auditing The Similarities …/67531/metadc683501/... · Performance Based vs. Compliance Based Auditing The Similarities and the Differences*

Coalition Interoperability vs Full Standards Compliance · PDF fileCoalition Interoperability vs Full Standards Compliance – Balancing the Scales Aerosystems International a Company

Working in Compliance vs. Working On Compliance

LEED Light Pollution Reduction Credit Compliance vs .../media/Files/CDD/EconDev/lighting... · LEED Light Pollution Reduction Credit Compliance vs. Prescriptive Standard Compliance

Practical EMI Troubleshooting - Testforce · Overview EMI/EMC Definitions –Radiated and Conducted Emissions –Pre-compliance vs. compliance –Basic configurations Pre-Compliance

EMC for test engineers€¦ · Introduction Page 3 The EU Directive Page 3 The EMC Standards. Page 3 Compliance strategies Page 4 Pre-Compliance vs Compliance Page 5 Background Basics

Strategic Compliance through Labour Inspection - ilo.org · Traditional Compliance Model vs Strategic Compliance Model Traditional The Labour Inspectorate is the entity mandated to

”Health of Nations”: Civilization Differences and Human Development in Post-Socialist Countries Anna Krasilova Gordey Yastrebov Ovsey Shkaratan National

Case Studies in Pediatric Amplification: Challenges and ... · Case Studies in Pediatric Amplification: Challenges and Considerations for Clinicians Dave Gordey, ... more personal

Newborn © 2007 Sheila T. Moodie, MClSc, PhD Candidate The University of Western Ontario, National Centre for Audiology, London, Canada Dave Gordey, MSc,

Balancing cGMP vs. SOX Compliance Guidancesasqraleigh.org/wp/wp-content/files/2009/07/balancingcgmp... · 2009-07-31 · Balancing cGMP vs. SOX Compliance Guidances ... FDA regulatory

Developing and Implementing a Thriving Compliance Program · 1 Developing and Implementing a Thriving Compliance Program: Bird's Eye View vs. Fish Eye View Barbara Harmon, CCEP Compliance

2016: Second Quarter Compliance Digest - SBE479 Second Quarter Compliance Bulletins Released April-June ... Implications Small vs. Large ... HIPAA imposes signi cant non-compliance