Юридические аспекты консалтинга в области ИБ

Содержание

Слайд 2

Обвинительное заключение 1

Так называемые пентесты (тесты на проникновение) часто проводятся с использованием

Обвинительное заключение 1 Так называемые пентесты (тесты на проникновение) часто проводятся с
вредоносных программ. Тот факт, что обладатель информации и оператор ИС дал своё согласие на доступ, никак не влияет на квалификацию действий пентестера по ст.273 УК. Доступ – это одно, а программы – совсем другое.
http://infowatch.livejournal.com/43369.html

Слайд 3

Обвинительное заключение 2

В этой ситуации практически любой практикующий юрист заявит вам, что

Обвинительное заключение 2 В этой ситуации практически любой практикующий юрист заявит вам,
согласно букве российского законодательства без наличия такого разрешения компрометация банковской тайны или персональных данных не только может, но и должна повлечь за собой уголовную ответственность.
http://www.plusworld.ru/journal/page163_1242.php

Слайд 4

Обвинительное заключение 3

Если, например, представить, что в результате проведения тестовой атаки компьютерная

Обвинительное заключение 3 Если, например, представить, что в результате проведения тестовой атаки
система, <…>, была заблокирована или уничтожена, можно говорить об умышленно совершенном неправомерном доступе к компьютерной информации – ст. 272 УК Российской Федерации.
http://www.plusworld.ru/journal/page163_1242.php

Слайд 5

Вместо «хакеров»…

Вместо «хакеров»…

Слайд 6

Всех пентестеров «посодют?»

Всех пентестеров «посодют?»

Слайд 7

Почему пентесты?

Заказчики (и исполнители) зачастую не понимают сути и методик Penetration Testing
По

Почему пентесты? Заказчики (и исполнители) зачастую не понимают сути и методик Penetration
конференциям ходят странные люди, рассуждающие о «пентестах, как эмуляции действий злоумышленника»
PCI DSS делает Pentest обязательным, для процессингов
Pentest с высокой вероятностью будет «успешен»
Если «не взломали», то вы нашли плохого подрядчика.
Если «взломали», то вы плохо работаете.

Слайд 8

Почему 273?

формальный состав преступления статьи 273 УК , т.е. наказуемы сами действия

Почему 273? формальный состав преступления статьи 273 УК , т.е. наказуемы сами
по созданию программ для ЭВМ
отсутствие четких критериев отделения вредоносного ПО от легальных программ

Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами

Слайд 9

Что такое «вредоносное ПО»?

Скопируем функцию …. (ресурсы TechNetСкопируем функцию …. (ресурсы TechNet,

Что такое «вредоносное ПО»? Скопируем функцию …. (ресурсы TechNetСкопируем функцию …. (ресурсы
репозитарий скриптов).
Запишем функцию "GetHTTPCRL" в произвольный файл с расширением vbs.
Удалим все комментарии из этого сценария и сохраним его.
http://devteev.blogspot.com/2009/10/blog-post.html

Слайд 10

Что такое «вредоносное ПО»?

Периодически «вредоносным» оказывается самое разное ПО
http://www.securitylab.ru/news/264376.php
http://www.securitylab.ru/news/363228.php

Что такое «вредоносное ПО»? Периодически «вредоносным» оказывается самое разное ПО http://www.securitylab.ru/news/264376.php http://www.securitylab.ru/news/363228.php

Слайд 11

Что делать?

Не использовать вредоносное ПО
Не использовать общедоступные образцы вредоносного ПО.
Фиксировать согласие

Что делать? Не использовать вредоносное ПО Не использовать общедоступные образцы вредоносного ПО.
Заказчика на проведение конкретных атак на конкретные объекты для фиксации санкционированного доступа.
Взаимодействовать с антивирусными вендорами в рамках политики «Ответственного разглашения» для устранения обнаруженных недочетов в антивирусных программах.
Закладывать в разрабатываемое ПО ограничения, с целью предотвращения его несанкционированное использование.

Слайд 12

Pentest vs Avir

Но иногда, в ходе глубоких Red Team Pentest заказчика интересует,

Pentest vs Avir Но иногда, в ходе глубоких Red Team Pentest заказчика
сумеет ли "продвинутый" злоумышленник обойти комплекс средств защиты, куда входят и антивирусы... В этой ситуации пентестерам приходится искать недостатки в антивирусных программах и разрабатывать "утилиты удаленного управления", обходящие защиту.
http://sgordey.blogspot.com/2009/09/blog-post.html

Слайд 13

Ищем, закрываем… снова ищем…
http://www.securitylab.ru/lab/

Ищем, закрываем… снова ищем… http://www.securitylab.ru/lab/

Слайд 14

Доступ к банковской тайне

Потенциальная угроза нарушения положений п. 2 ст. 857 ГК

Доступ к банковской тайне Потенциальная угроза нарушения положений п. 2 ст. 857
РФ
Ст. 26 Федерального закона «О банках и банковской деятельности» упоминает аудиторские организации в контексте Федерального закона «Об аудиторской деятельности».
Статья 183 УК, формальный состав преступлений, предусмотренный ч.1 и ч. 2.
Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

Слайд 15

Только ли Pentest?

ВСЕ РАБОТЫ, СВЯЗАННЫЕ С ДОСТУПОМ К ДАННЫМ!

Только ли Pentest? ВСЕ РАБОТЫ, СВЯЗАННЫЕ С ДОСТУПОМ К ДАННЫМ!

Слайд 16

МЫ НЕ ПОЛУЧАЕМ ДОСТУП К ДАННЫМ!

СТО БР ИББС 1.1 2009 - 7.2.10

МЫ НЕ ПОЛУЧАЕМ ДОСТУП К ДАННЫМ! СТО БР ИББС 1.1 2009 -
– аудит процессов
У вас все хорошо?
Pentest – анализ уязвимостей систем
Мы взломали сервер 1.1.1.1, там простой пароль.
Нет, мы не смотрели, что в этом Oracle.
PCI DSS, раздел 4 (шифрование данных)
У вас все зашифровано? Ну и отлично.
А покажите… Нет, лучше не надо.

Слайд 17

Как «лечить»?

Предоставить это Заказчику
Совместные работы.
Выполнение «опасных» операций представителем заказчика.
«Обезличивание» результатов.
Обходить опасные места
Не

Как «лечить»? Предоставить это Заказчику Совместные работы. Выполнение «опасных» операций представителем заказчика.
работать с данными ☺
Переложить на клиента
включать в договоры с клиентами

Слайд 18

Крайний случай

Ноутбук Заказчика

Исполнитель

Представитель Заказчика

Система
протоколирования

Крайний случай Ноутбук Заказчика Исполнитель Представитель Заказчика Система протоколирования

Слайд 19

Крайний случай

Ноутбук Заказчика

Исполнитель

Представитель Заказчика

Система
протоколирования

Это ОН получал доступ к данным!

Крайний случай Ноутбук Заказчика Исполнитель Представитель Заказчика Система протоколирования Это ОН получал доступ к данным!

Слайд 20

Только ли аудиторы?

Техническая поддержка систем DLP
У нас XXX не обрабатывает письма от

Только ли аудиторы? Техническая поддержка систем DLP У нас XXX не обрабатывает
YYY.
Пришлите, пожалуйста перехваченную сессию.
Внедрение и поддержка систем АБС
Даже подумать страшно!
Практически любые работы, связанные с ERP
Он заходил в нашу 1С-Кадры!
Имя файла: Юридические-аспекты-консалтинга-в-области-ИБ.pptx
Количество просмотров: 33
Количество скачиваний: 0
- Предыдущая
Искусство древних шумеров
Следующая -
Герои моего народа - герои России. Я помню! Я горжусь!

Похожие презентации

Рецепты для правильного питания
Classic Cars
Австралия (2 класс)
Презентация на тему Национальные символы России
Женское образование: история и перспективы
Продающий текст
ДПО
Основные направления совершенствования финансового механизма в РФ
Лабораторно-практическая установка по теплотехнике для измерения изменения температуры при увеличении влажности воздуха
Дети должны быть вместе
ETROPetronas Базовые масла III группы
Георгиевская ленточка
Вклад в культуру Shrek (2001)
Институциональная экономика
Sea Battle
Структура профессиональной компетентности учителя
Этическая основа культуры
Инновации для бизнеса
ПОП-АРТ
пионеры-герои
Адаптация ребенка к детскому саду
МБОУ «Сосновская средняя общеобразовательная школа»
Путешествие в прошлое России (4 класс)
Презентация на тему Производство и издержки
Исследование особенностей действия излучения, генерируемого Серпуховским ускорителем, на различные биологические объекты.
Решение логарифмических уравнений
Читаешь книги – хорошо. Не читаешь - плохо
Технологиии деятельностно-компетентностного подхода
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть