Слайд 2Compliance, compliance, compliance
Комплайнс - очень модное слово
РД и т.д.
PCI DSS
Стандарт ЦБ РФ
ISO
27001/17799/27002
SOX 404
Закон о персональных данных (1Д)
Слайд 3От общего…
Большинство стандартов носят общий характер
27001 – построение процессов
Стандарт ЦБ РФ –
очень близок к 27001
SOX 404 – всего 4 абзаца
PCI DSS – исключение
Слайд 4Результат…
Концепция
Политики/Требования
Регламенты/Базовые настройки
Слайд 6К частному
Большое количество «рекомендаций», «лучших практик»
Производители
Microsoft
Cisco
Linux
Sun
Компетентные организации
NIST
NSA
CIS
WASC
Слайд 7Уязвимости реализации
Огромное количество уязвимостей
25 сентября 2007 CVE-2007-5079
Слайд 8Технологический Compliance
Проверка систем на соответствие техническим требованиям
Контроль уязвимостей
Решаемая задача
Переход от «хакерских» методик
к «мягким» методам аудита
Web-приложения – исключение (но мы работаем над этим)
Контроль конфигурации
Достаточно сложная задача
Различные форматы
«настройки по умолчанию»
«тихий» ввод новых возможностей
Система должна быть адаптируемой
Что русскому хорошо…
Контроль изменений
Контроль изменений в уязвимостях и конфигурациях
Слайд 11Собственно Compliance
Концепция
Политики/Требования
Регламенты/Базовые настройки
CVE-XXX-2007
Пароль 12345
SNMP public
Управление обновлениями
Настройки «по умолчанию»
Политика аутентификации