Соответствие международным и отраслевым стандартам Технологические аспекты.

Содержание

Слайд 2

Compliance, compliance, compliance

Комплайнс - очень модное слово
РД и т.д.
PCI DSS
Стандарт ЦБ РФ
ISO

Compliance, compliance, compliance Комплайнс - очень модное слово РД и т.д. PCI
27001/17799/27002
SOX 404
Закон о персональных данных (1Д)

Слайд 3

От общего…

Большинство стандартов носят общий характер
27001 – построение процессов
Стандарт ЦБ РФ –

От общего… Большинство стандартов носят общий характер 27001 – построение процессов Стандарт
очень близок к 27001
SOX 404 – всего 4 абзаца
PCI DSS – исключение

Слайд 4

Результат…

Концепция

Политики/Требования

Регламенты/Базовые настройки

Результат… Концепция Политики/Требования Регламенты/Базовые настройки

Слайд 5

Результат…

Результат…

Слайд 6

К частному

Большое количество «рекомендаций», «лучших практик»
Производители
Microsoft
Cisco
Linux
Sun
Компетентные организации
NIST
NSA
CIS
WASC

К частному Большое количество «рекомендаций», «лучших практик» Производители Microsoft Cisco Linux Sun

Слайд 7

Уязвимости реализации

Огромное количество уязвимостей

25 сентября 2007 CVE-2007-5079

Уязвимости реализации Огромное количество уязвимостей 25 сентября 2007 CVE-2007-5079

Слайд 8

Технологический Compliance

Проверка систем на соответствие техническим требованиям
Контроль уязвимостей
Решаемая задача
Переход от «хакерских» методик

Технологический Compliance Проверка систем на соответствие техническим требованиям Контроль уязвимостей Решаемая задача
к «мягким» методам аудита
Web-приложения – исключение (но мы работаем над этим)
Контроль конфигурации
Достаточно сложная задача
Различные форматы
«настройки по умолчанию»
«тихий» ввод новых возможностей
Система должна быть адаптируемой
Что русскому хорошо…
Контроль изменений
Контроль изменений в уязвимостях и конфигурациях

Слайд 9

Комплексный подход

Комплексный подход

Слайд 10

Проверка соответсвия

Проверка соответсвия

Слайд 11

Собственно Compliance

Концепция

Политики/Требования

Регламенты/Базовые настройки

CVE-XXX-2007
Пароль 12345
SNMP public

Управление обновлениями
Настройки «по умолчанию»

Политика аутентификации

Собственно Compliance Концепция Политики/Требования Регламенты/Базовые настройки CVE-XXX-2007 Пароль 12345 SNMP public Управление

Слайд 12

Контроль изменений

Контроль изменений
Имя файла: Соответствие-международным-и-отраслевым-стандартам-Технологические-аспекты..pptx
Количество просмотров: 165
Количество скачиваний: 0