Юридические аспекты консалтинга в области ИБ

Содержание

Слайд 2

Обвинительное заключение 1

Так называемые пентесты (тесты на проникновение) часто проводятся с использованием

Обвинительное заключение 1 Так называемые пентесты (тесты на проникновение) часто проводятся с
вредоносных программ. Тот факт, что обладатель информации и оператор ИС дал своё согласие на доступ, никак не влияет на квалификацию действий пентестера по ст.273 УК. Доступ – это одно, а программы – совсем другое.
http://infowatch.livejournal.com/43369.html

Слайд 3

Обвинительное заключение 2

В этой ситуации практически любой практикующий юрист заявит вам, что

Обвинительное заключение 2 В этой ситуации практически любой практикующий юрист заявит вам,
согласно букве российского законодательства без наличия такого разрешения компрометация банковской тайны или персональных данных не только может, но и должна повлечь за собой уголовную ответственность.
http://www.plusworld.ru/journal/page163_1242.php

Слайд 4

Обвинительное заключение 3

Если, например, представить, что в результате проведения тестовой атаки компьютерная

Обвинительное заключение 3 Если, например, представить, что в результате проведения тестовой атаки
система, <…>, была заблокирована или уничтожена, можно говорить об умышленно совершенном неправомерном доступе к компьютерной информации – ст. 272 УК Российской Федерации.
http://www.plusworld.ru/journal/page163_1242.php

Слайд 5

Вместо «хакеров»…

Вместо «хакеров»…

Слайд 6

Всех пентестеров «посодют?»

Всех пентестеров «посодют?»

Слайд 7

Почему пентесты?

Заказчики (и исполнители) зачастую не понимают сути и методик Penetration Testing
По

Почему пентесты? Заказчики (и исполнители) зачастую не понимают сути и методик Penetration
конференциям ходят странные люди, рассуждающие о «пентестах, как эмуляции действий злоумышленника»
PCI DSS делает Pentest обязательным, для процессингов
Pentest с высокой вероятностью будет «успешен»
Если «не взломали», то вы нашли плохого подрядчика.
Если «взломали», то вы плохо работаете.

Слайд 8

Почему 273?

формальный состав преступления статьи 273 УК , т.е. наказуемы сами действия

Почему 273? формальный состав преступления статьи 273 УК , т.е. наказуемы сами
по созданию программ для ЭВМ
отсутствие четких критериев отделения вредоносного ПО от легальных программ

Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами

Слайд 9

Что такое «вредоносное ПО»?

Скопируем функцию …. (ресурсы TechNetСкопируем функцию …. (ресурсы TechNet,

Что такое «вредоносное ПО»? Скопируем функцию …. (ресурсы TechNetСкопируем функцию …. (ресурсы
репозитарий скриптов).
Запишем функцию "GetHTTPCRL" в произвольный файл с расширением vbs.
Удалим все комментарии из этого сценария и сохраним его.
http://devteev.blogspot.com/2009/10/blog-post.html

Слайд 10

Что такое «вредоносное ПО»?

Периодически «вредоносным» оказывается самое разное ПО
http://www.securitylab.ru/news/264376.php
http://www.securitylab.ru/news/363228.php

Что такое «вредоносное ПО»? Периодически «вредоносным» оказывается самое разное ПО http://www.securitylab.ru/news/264376.php http://www.securitylab.ru/news/363228.php

Слайд 11

Что делать?

Не использовать вредоносное ПО
Не использовать общедоступные образцы вредоносного ПО.
Фиксировать согласие

Что делать? Не использовать вредоносное ПО Не использовать общедоступные образцы вредоносного ПО.
Заказчика на проведение конкретных атак на конкретные объекты для фиксации санкционированного доступа.
Взаимодействовать с антивирусными вендорами в рамках политики «Ответственного разглашения» для устранения обнаруженных недочетов в антивирусных программах.
Закладывать в разрабатываемое ПО ограничения, с целью предотвращения его несанкционированное использование.

Слайд 12

Pentest vs Avir

Но иногда, в ходе глубоких Red Team Pentest заказчика интересует,

Pentest vs Avir Но иногда, в ходе глубоких Red Team Pentest заказчика
сумеет ли "продвинутый" злоумышленник обойти комплекс средств защиты, куда входят и антивирусы... В этой ситуации пентестерам приходится искать недостатки в антивирусных программах и разрабатывать "утилиты удаленного управления", обходящие защиту.
http://sgordey.blogspot.com/2009/09/blog-post.html

Слайд 13

Ищем, закрываем… снова ищем…
http://www.securitylab.ru/lab/

Ищем, закрываем… снова ищем… http://www.securitylab.ru/lab/

Слайд 14

Доступ к банковской тайне

Потенциальная угроза нарушения положений п. 2 ст. 857 ГК

Доступ к банковской тайне Потенциальная угроза нарушения положений п. 2 ст. 857
РФ
Ст. 26 Федерального закона «О банках и банковской деятельности» упоминает аудиторские организации в контексте Федерального закона «Об аудиторской деятельности».
Статья 183 УК, формальный состав преступлений, предусмотренный ч.1 и ч. 2.
Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

Слайд 15

Только ли Pentest?

ВСЕ РАБОТЫ, СВЯЗАННЫЕ С ДОСТУПОМ К ДАННЫМ!

Только ли Pentest? ВСЕ РАБОТЫ, СВЯЗАННЫЕ С ДОСТУПОМ К ДАННЫМ!

Слайд 16

МЫ НЕ ПОЛУЧАЕМ ДОСТУП К ДАННЫМ!

СТО БР ИББС 1.1 2009 - 7.2.10

МЫ НЕ ПОЛУЧАЕМ ДОСТУП К ДАННЫМ! СТО БР ИББС 1.1 2009 -
– аудит процессов
У вас все хорошо?
Pentest – анализ уязвимостей систем
Мы взломали сервер 1.1.1.1, там простой пароль.
Нет, мы не смотрели, что в этом Oracle.
PCI DSS, раздел 4 (шифрование данных)
У вас все зашифровано? Ну и отлично.
А покажите… Нет, лучше не надо.

Слайд 17

Как «лечить»?

Предоставить это Заказчику
Совместные работы.
Выполнение «опасных» операций представителем заказчика.
«Обезличивание» результатов.
Обходить опасные места
Не

Как «лечить»? Предоставить это Заказчику Совместные работы. Выполнение «опасных» операций представителем заказчика.
работать с данными ☺
Переложить на клиента
включать в договоры с клиентами

Слайд 18

Крайний случай

Ноутбук Заказчика

Исполнитель

Представитель Заказчика

Система
протоколирования

Крайний случай Ноутбук Заказчика Исполнитель Представитель Заказчика Система протоколирования

Слайд 19

Крайний случай

Ноутбук Заказчика

Исполнитель

Представитель Заказчика

Система
протоколирования

Это ОН получал доступ к данным!

Крайний случай Ноутбук Заказчика Исполнитель Представитель Заказчика Система протоколирования Это ОН получал доступ к данным!

Слайд 20

Только ли аудиторы?

Техническая поддержка систем DLP
У нас XXX не обрабатывает письма от

Только ли аудиторы? Техническая поддержка систем DLP У нас XXX не обрабатывает
YYY.
Пришлите, пожалуйста перехваченную сессию.
Внедрение и поддержка систем АБС
Даже подумать страшно!
Практически любые работы, связанные с ERP
Он заходил в нашу 1С-Кадры!
Имя файла: Юридические-аспекты-консалтинга-в-области-ИБ.pptx
Количество просмотров: 109
Количество скачиваний: 0
- Предыдущая
Искусство древних шумеров
Следующая -
Герои моего народа - герои России. Я помню! Я горжусь!

Похожие презентации

Право и органы социального обеспечения. Своя игра
Гимнастика
Календарь праздников Германии
Синдром Дауна
День открытых дверей по информированию граждан о налоговом законодательстве и порядке исчисления и уплаты имущественных налогов
ОРГАНИЗАЦИЯ АНЕСТЕЗИОЛОГИЧЕСКОЙ И РЕАНИАМАТОЛОГИЧЕСКОЙ СЛУЖБЫ
Вариации оптической и инфракрасной прозрачности атмосферы Земли под действием космических лучей и изменение термодинамических
Году кино посвящается
Неопределенные местоимения 4 класс
КАЗНЕТ СЕГОДНЯ. - презентация
Christmas in Germanу
Храмы России
Понятия и виды государственной службы
Центр языковых переводов «GMC Translation Service» – это международная компания с 15-летним опытом работы в сфере языковых переводов. Сегодня
Презентация на тему: Торгово-промышленная ярмарка и выставка
Автор: Лемешевская Евгения 8 класс
技术和科学的新形式在因特网的作用, 互联网实际应用 以及建设领域和科学知识的传播和流行 Применение Интернета в распространении научно-популярных знаний Лекция №6
Зерно и зернопродукты. Мука
Тема: Решение задач по теме «Вычисление углов между прямыми и плоскостью»
Power and politics
Гагарин Юрий Алексеевич – первый в мире летчик-космонавт.Хачатрян Гаяне 7 Б2006-07г.
Вербное воскресенье
Биография Горького
Истоки педагогической теории в Древней Греции
Государственное бюджетное общеобразовательное учреждение Самарской области основная общеобразовательная школа с. Аксаково муни
Законодательное и нормативное регулирование делопроизводственных процессов
Аборт и последствия
Схема высоковольтной линии передачи
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть