Юридические аспекты консалтинга в области ИБ

Содержание

Слайд 2

Обвинительное заключение 1

Так называемые пентесты (тесты на проникновение) часто проводятся с использованием

Обвинительное заключение 1 Так называемые пентесты (тесты на проникновение) часто проводятся с
вредоносных программ. Тот факт, что обладатель информации и оператор ИС дал своё согласие на доступ, никак не влияет на квалификацию действий пентестера по ст.273 УК. Доступ – это одно, а программы – совсем другое.
http://infowatch.livejournal.com/43369.html

Слайд 3

Обвинительное заключение 2

В этой ситуации практически любой практикующий юрист заявит вам, что

Обвинительное заключение 2 В этой ситуации практически любой практикующий юрист заявит вам,
согласно букве российского законодательства без наличия такого разрешения компрометация банковской тайны или персональных данных не только может, но и должна повлечь за собой уголовную ответственность.
http://www.plusworld.ru/journal/page163_1242.php

Слайд 4

Обвинительное заключение 3

Если, например, представить, что в результате проведения тестовой атаки компьютерная

Обвинительное заключение 3 Если, например, представить, что в результате проведения тестовой атаки
система, <…>, была заблокирована или уничтожена, можно говорить об умышленно совершенном неправомерном доступе к компьютерной информации – ст. 272 УК Российской Федерации.
http://www.plusworld.ru/journal/page163_1242.php

Слайд 5

Вместо «хакеров»…

Вместо «хакеров»…

Слайд 6

Всех пентестеров «посодют?»

Всех пентестеров «посодют?»

Слайд 7

Почему пентесты?

Заказчики (и исполнители) зачастую не понимают сути и методик Penetration Testing
По

Почему пентесты? Заказчики (и исполнители) зачастую не понимают сути и методик Penetration
конференциям ходят странные люди, рассуждающие о «пентестах, как эмуляции действий злоумышленника»
PCI DSS делает Pentest обязательным, для процессингов
Pentest с высокой вероятностью будет «успешен»
Если «не взломали», то вы нашли плохого подрядчика.
Если «взломали», то вы плохо работаете.

Слайд 8

Почему 273?

формальный состав преступления статьи 273 УК , т.е. наказуемы сами действия

Почему 273? формальный состав преступления статьи 273 УК , т.е. наказуемы сами
по созданию программ для ЭВМ
отсутствие четких критериев отделения вредоносного ПО от легальных программ

Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами

Слайд 9

Что такое «вредоносное ПО»?

Скопируем функцию …. (ресурсы TechNetСкопируем функцию …. (ресурсы TechNet,

Что такое «вредоносное ПО»? Скопируем функцию …. (ресурсы TechNetСкопируем функцию …. (ресурсы
репозитарий скриптов).
Запишем функцию "GetHTTPCRL" в произвольный файл с расширением vbs.
Удалим все комментарии из этого сценария и сохраним его.
http://devteev.blogspot.com/2009/10/blog-post.html

Слайд 10

Что такое «вредоносное ПО»?

Периодически «вредоносным» оказывается самое разное ПО
http://www.securitylab.ru/news/264376.php
http://www.securitylab.ru/news/363228.php

Что такое «вредоносное ПО»? Периодически «вредоносным» оказывается самое разное ПО http://www.securitylab.ru/news/264376.php http://www.securitylab.ru/news/363228.php

Слайд 11

Что делать?

Не использовать вредоносное ПО
Не использовать общедоступные образцы вредоносного ПО.
Фиксировать согласие

Что делать? Не использовать вредоносное ПО Не использовать общедоступные образцы вредоносного ПО.
Заказчика на проведение конкретных атак на конкретные объекты для фиксации санкционированного доступа.
Взаимодействовать с антивирусными вендорами в рамках политики «Ответственного разглашения» для устранения обнаруженных недочетов в антивирусных программах.
Закладывать в разрабатываемое ПО ограничения, с целью предотвращения его несанкционированное использование.

Слайд 12

Pentest vs Avir

Но иногда, в ходе глубоких Red Team Pentest заказчика интересует,

Pentest vs Avir Но иногда, в ходе глубоких Red Team Pentest заказчика
сумеет ли "продвинутый" злоумышленник обойти комплекс средств защиты, куда входят и антивирусы... В этой ситуации пентестерам приходится искать недостатки в антивирусных программах и разрабатывать "утилиты удаленного управления", обходящие защиту.
http://sgordey.blogspot.com/2009/09/blog-post.html

Слайд 13

Ищем, закрываем… снова ищем…
http://www.securitylab.ru/lab/

Ищем, закрываем… снова ищем… http://www.securitylab.ru/lab/

Слайд 14

Доступ к банковской тайне

Потенциальная угроза нарушения положений п. 2 ст. 857 ГК

Доступ к банковской тайне Потенциальная угроза нарушения положений п. 2 ст. 857
РФ
Ст. 26 Федерального закона «О банках и банковской деятельности» упоминает аудиторские организации в контексте Федерального закона «Об аудиторской деятельности».
Статья 183 УК, формальный состав преступлений, предусмотренный ч.1 и ч. 2.
Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

Слайд 15

Только ли Pentest?

ВСЕ РАБОТЫ, СВЯЗАННЫЕ С ДОСТУПОМ К ДАННЫМ!

Только ли Pentest? ВСЕ РАБОТЫ, СВЯЗАННЫЕ С ДОСТУПОМ К ДАННЫМ!

Слайд 16

МЫ НЕ ПОЛУЧАЕМ ДОСТУП К ДАННЫМ!

СТО БР ИББС 1.1 2009 - 7.2.10

МЫ НЕ ПОЛУЧАЕМ ДОСТУП К ДАННЫМ! СТО БР ИББС 1.1 2009 -
– аудит процессов
У вас все хорошо?
Pentest – анализ уязвимостей систем
Мы взломали сервер 1.1.1.1, там простой пароль.
Нет, мы не смотрели, что в этом Oracle.
PCI DSS, раздел 4 (шифрование данных)
У вас все зашифровано? Ну и отлично.
А покажите… Нет, лучше не надо.

Слайд 17

Как «лечить»?

Предоставить это Заказчику
Совместные работы.
Выполнение «опасных» операций представителем заказчика.
«Обезличивание» результатов.
Обходить опасные места
Не

Как «лечить»? Предоставить это Заказчику Совместные работы. Выполнение «опасных» операций представителем заказчика.
работать с данными ☺
Переложить на клиента
включать в договоры с клиентами

Слайд 18

Крайний случай

Ноутбук Заказчика

Исполнитель

Представитель Заказчика

Система
протоколирования

Крайний случай Ноутбук Заказчика Исполнитель Представитель Заказчика Система протоколирования

Слайд 19

Крайний случай

Ноутбук Заказчика

Исполнитель

Представитель Заказчика

Система
протоколирования

Это ОН получал доступ к данным!

Крайний случай Ноутбук Заказчика Исполнитель Представитель Заказчика Система протоколирования Это ОН получал доступ к данным!

Слайд 20

Только ли аудиторы?

Техническая поддержка систем DLP
У нас XXX не обрабатывает письма от

Только ли аудиторы? Техническая поддержка систем DLP У нас XXX не обрабатывает
YYY.
Пришлите, пожалуйста перехваченную сессию.
Внедрение и поддержка систем АБС
Даже подумать страшно!
Практически любые работы, связанные с ERP
Он заходил в нашу 1С-Кадры!
Имя файла: Юридические-аспекты-консалтинга-в-области-ИБ.pptx
Количество просмотров: 56
Количество скачиваний: 0