Соответствие международным и отраслевым стандартам Технологические аспекты.

Февраль 15, 2021

Главная
Разное
Соответствие международным и отраслевым стандартам Технологические аспекты.

Содержание

2. Compliance, compliance, compliance Комплайнс - очень модное слово РД и т.д. PCI DSS Стандарт ЦБ РФ
3. От общего… Большинство стандартов носят общий характер 27001 – построение процессов Стандарт ЦБ РФ – очень
4. Результат… Концепция Политики/Требования Регламенты/Базовые настройки
5. Результат…
6. К частному Большое количество «рекомендаций», «лучших практик» Производители Microsoft Cisco Linux Sun Компетентные организации NIST NSA
7. Уязвимости реализации Огромное количество уязвимостей 25 сентября 2007 CVE-2007-5079
8. Технологический Compliance Проверка систем на соответствие техническим требованиям Контроль уязвимостей Решаемая задача Переход от «хакерских» методик
9. Комплексный подход
10. Проверка соответсвия
11. Собственно Compliance Концепция Политики/Требования Регламенты/Базовые настройки CVE-XXX-2007 Пароль 12345 SNMP public Управление обновлениями Настройки «по умолчанию»
12. Контроль изменений
14. Скачать презентацию

Слайд 2

Compliance, compliance, compliance
Комплайнс - очень модное слово
РД и т.д.
PCI DSS
Стандарт ЦБ РФ
ISO

Compliance, compliance, compliance Комплайнс - очень модное слово РД и т.д. PCI

27001/17799/27002
SOX 404
Закон о персональных данных (1Д)

Слайд 3

От общего…
Большинство стандартов носят общий характер
27001 – построение процессов
Стандарт ЦБ РФ –

От общего… Большинство стандартов носят общий характер 27001 – построение процессов Стандарт

очень близок к 27001
SOX 404 – всего 4 абзаца
PCI DSS – исключение

Слайд 4

Результат…
Концепция
Политики/Требования
Регламенты/Базовые настройки

Результат… Концепция Политики/Требования Регламенты/Базовые настройки

Слайд 5

Результат…

Результат…

Слайд 6

К частному
Большое количество «рекомендаций», «лучших практик»
Производители
Microsoft
Cisco
Linux
Sun
Компетентные организации
NIST
NSA
CIS
WASC

К частному Большое количество «рекомендаций», «лучших практик» Производители Microsoft Cisco Linux Sun

Слайд 7

Уязвимости реализации
Огромное количество уязвимостей
25 сентября 2007 CVE-2007-5079

Уязвимости реализации Огромное количество уязвимостей 25 сентября 2007 CVE-2007-5079

Слайд 8

Технологический Compliance
Проверка систем на соответствие техническим требованиям
Контроль уязвимостей
Решаемая задача
Переход от «хакерских» методик

Технологический Compliance Проверка систем на соответствие техническим требованиям Контроль уязвимостей Решаемая задача

к «мягким» методам аудита
Web-приложения – исключение (но мы работаем над этим)
Контроль конфигурации
Достаточно сложная задача
Различные форматы
«настройки по умолчанию»
«тихий» ввод новых возможностей
Система должна быть адаптируемой
Что русскому хорошо…
Контроль изменений
Контроль изменений в уязвимостях и конфигурациях

Слайд 9

Комплексный подход

Комплексный подход

Слайд 10

Проверка соответсвия

Проверка соответсвия

Слайд 11

Собственно Compliance
Концепция
Политики/Требования
Регламенты/Базовые настройки
CVE-XXX-2007
Пароль 12345
SNMP public
Управление обновлениями
Настройки «по умолчанию»
Политика аутентификации

Собственно Compliance Концепция Политики/Требования Регламенты/Базовые настройки CVE-XXX-2007 Пароль 12345 SNMP public Управление

Слайд 12

Контроль изменений

Контроль изменений