際際滷

際際滷Share a Scribd company logo

Saugumo Auditas Mitai Ir Realybe

Miroslav Luinskij
Miroslav Luinskij

i邸 www.critical.lt

1 of 15
Download to read offline
Saugumo auditas: mitai ir realyb Miroslav Luinskij, UAB Critical Security direktorius
Saugumo auditas: kas tai? Saugumo auditas tai sistemingas duomen迭 apie esam informacinio saugumo u転tikrinimo situacij objektuose, veiksmuose ir 眺vykiuose, egzistuojaniuose tikrinamoje informacinje infrastrukt笛roje rinkimas, analiz ir atitikties nustatytiems kriterijams 眺vertinimas Paprasiau tariant...
Saugumo audito tikslas Informacins saugos u転tikrinimo proces迭 tyrimas sistemose, dirbaniose pagal tiesiogin paskirt眺 vartotoj迭 poreiki迭 tenkinim Sistema tai - konkreti aplikacija, konkretus serveris ar j迭 grup, visa 眺mon ir t.t.
iuolaikini迭 informacini迭 sistem迭 savybs Vyksta daug proces迭 ir situacij迭, kuri迭 kontekstas ir parametrai neb笛tinai tinkamai fiksuojami ir apra邸omi Pa転eid転iamum迭, leid転iani迭 apeiti egzistuojanius saugumo apribojimus skaiius nuolat auga Informacinio saugumo u転tikrinimas suvedamas 眺 tam tikr produkt迭 rinkin眺
Saugumo auditas: realyb Saugumo auditas tai SVARBU Saugumo auditas tai REIKALINGA Saugumo auditas tai NAUDINGA
Tai svarbu, nes: Ekonominiai nuostoliai dl IT saugumo pa転eidim迭 nuolat spariai auga Informacijos apsaugai skirt迭 priemoni迭 rinka vystosi nevisuomet ai邸kia kryptimi: ko gi i邸 ties迭 reikia? Mums yra reikalingas atsakymas 眺 klausim: Kas yra gerai, o kas yra blogai?
Tai reikalinga, nes: Tik nepriklausoma ekspertiz gali parodyti objektyvi informacinio saugumo u転tikrinimo priemoni迭 b笛kl Reikia 眺vertinti visus informacijos apsaugos aspektus ir nustatyti j迭 sry邸ius IT saugumo modelio pa転eidimai yra latenti邸ki, todl geriau vykdyti prevencij nei 邸alinti pasekmes
Tai naudinga, nes: Atsiranda informacijos saugumo u転tikrinimo strategija, atitinkanti reali situacij Atsiranda galimyb surasti balans tarp organizacini迭 ir technini迭 IT saugumo sudedam迭j迭 dali迭 I邸laidos auditui atsiperka ateityje dl IT saugumo u転tikrinimo optimizacijos
Saugumo auditas: mitai Saugumo auditas tai ISO 17799 standartas Saugumo auditas tai ISO 15408 standartas Saugumo auditas tai automatinis skenavimas ir atak迭 aptikimas
Mitas Nr 1: Standartas ISO 17799 ISO 17799 labiau reikalingas informacinio saugumo u転tikrinimo vadybos lygio 眺vertinimui, kadangi: Yra galimyb 眺vertinti tik informacijos apsaugos valdymo b笛kl Neleid転ia realiai 眺vertinti sistem迭 apsaugos lygio Lieka nei邸sprstas klausimas: ar pakanka esam迭 priemoni迭 ir kiek efektyviai jos veikia?
Mitas Nr 2: Standartas ISO 15408 ISO 15408 galima taikyti sudarant reikalavimus informacijos apsaugai ir vertinant apsaugos priemones, kadangi: Numatyta tik reikalavim迭 produktams ar technologijoms formavimo metodika Reikalauja saugumo profilio ir saugumo u転duoi迭 suk笛rimo norint 眺vertinti saugumo funkcij迭 realizacijos taisyklingum Lieka nei邸sprstas klausimas: ar visos realios grsms nagrinjamame objekte yra 眺vertintos ir gali b笛ti pa邸alintos?
Mitas Nr 3: Automatinis skenavimas Praveria palaikant norim saugumo b笛kl, taiau to neu転tenka: Automatizuoti skeneriai klysta Automatizuoti sprendimai negali i邸sprsti logini迭 ar 転mogi邸k迭j迭 klausim迭 Lieka nei邸sprstas klausimas: jei skenavimo metu nebuvo aptikta joki迭 pa転eid転iamum迭, tai j迭 i邸ties nra?
Saugumo audit迭 tipai Proced笛rinis saugumo auditas (organizacijos atitikimas ISO-xxxxx) Technologinis saugumo auditas 町sibrovimo testas + kompleksinis saugumo auditas Planinis saugumo 眺vertinimas (kontrolinis auditas)
Kiek galima (reikia) i邸leisti saugumo auditui? Saugumo auditas tai prevencin priemon (pvz. draudimas), neturinti tiesiogins investicij迭 gr転os Taiau yra netiesiogin nauda esamos situacijos pagerinimas, rizikos suma転inimas, ai邸ki saugumo u転tikrinimo strategija ir t.t. Vieni sako, jog reikia i邸leisti 2-5% nuo galimos 転alos, kiti teigia, jog 10-15% IT biud転eto. Tretiems saugumo nereikia. 町vertinti padt眺 yra sudtinga universalios formuls ia nra, o sprsti vis tiek Jums.
粥庄笛! Miroslav Luinskij miroslav.lucinskij@critical.lt http://corporate.critical.lt | http://www.critical.lt

More Related Content

Saugumo Auditas Mitai Ir Realybe

  • 1. Saugumo auditas: mitai ir realyb Miroslav Luinskij, UAB Critical Security direktorius
  • 2. Saugumo auditas: kas tai? Saugumo auditas tai sistemingas duomen迭 apie esam informacinio saugumo u転tikrinimo situacij objektuose, veiksmuose ir 眺vykiuose, egzistuojaniuose tikrinamoje informacinje infrastrukt笛roje rinkimas, analiz ir atitikties nustatytiems kriterijams 眺vertinimas Paprasiau tariant...
  • 3. Saugumo audito tikslas Informacins saugos u転tikrinimo proces迭 tyrimas sistemose, dirbaniose pagal tiesiogin paskirt眺 vartotoj迭 poreiki迭 tenkinim Sistema tai - konkreti aplikacija, konkretus serveris ar j迭 grup, visa 眺mon ir t.t.
  • 4. iuolaikini迭 informacini迭 sistem迭 savybs Vyksta daug proces迭 ir situacij迭, kuri迭 kontekstas ir parametrai neb笛tinai tinkamai fiksuojami ir apra邸omi Pa転eid転iamum迭, leid転iani迭 apeiti egzistuojanius saugumo apribojimus skaiius nuolat auga Informacinio saugumo u転tikrinimas suvedamas 眺 tam tikr produkt迭 rinkin眺
  • 5. Saugumo auditas: realyb Saugumo auditas tai SVARBU Saugumo auditas tai REIKALINGA Saugumo auditas tai NAUDINGA
  • 6. Tai svarbu, nes: Ekonominiai nuostoliai dl IT saugumo pa転eidim迭 nuolat spariai auga Informacijos apsaugai skirt迭 priemoni迭 rinka vystosi nevisuomet ai邸kia kryptimi: ko gi i邸 ties迭 reikia? Mums yra reikalingas atsakymas 眺 klausim: Kas yra gerai, o kas yra blogai?
  • 7. Tai reikalinga, nes: Tik nepriklausoma ekspertiz gali parodyti objektyvi informacinio saugumo u転tikrinimo priemoni迭 b笛kl Reikia 眺vertinti visus informacijos apsaugos aspektus ir nustatyti j迭 sry邸ius IT saugumo modelio pa転eidimai yra latenti邸ki, todl geriau vykdyti prevencij nei 邸alinti pasekmes
  • 8. Tai naudinga, nes: Atsiranda informacijos saugumo u転tikrinimo strategija, atitinkanti reali situacij Atsiranda galimyb surasti balans tarp organizacini迭 ir technini迭 IT saugumo sudedam迭j迭 dali迭 I邸laidos auditui atsiperka ateityje dl IT saugumo u転tikrinimo optimizacijos
  • 9. Saugumo auditas: mitai Saugumo auditas tai ISO 17799 standartas Saugumo auditas tai ISO 15408 standartas Saugumo auditas tai automatinis skenavimas ir atak迭 aptikimas
  • 10. Mitas Nr 1: Standartas ISO 17799 ISO 17799 labiau reikalingas informacinio saugumo u転tikrinimo vadybos lygio 眺vertinimui, kadangi: Yra galimyb 眺vertinti tik informacijos apsaugos valdymo b笛kl Neleid転ia realiai 眺vertinti sistem迭 apsaugos lygio Lieka nei邸sprstas klausimas: ar pakanka esam迭 priemoni迭 ir kiek efektyviai jos veikia?
  • 11. Mitas Nr 2: Standartas ISO 15408 ISO 15408 galima taikyti sudarant reikalavimus informacijos apsaugai ir vertinant apsaugos priemones, kadangi: Numatyta tik reikalavim迭 produktams ar technologijoms formavimo metodika Reikalauja saugumo profilio ir saugumo u転duoi迭 suk笛rimo norint 眺vertinti saugumo funkcij迭 realizacijos taisyklingum Lieka nei邸sprstas klausimas: ar visos realios grsms nagrinjamame objekte yra 眺vertintos ir gali b笛ti pa邸alintos?
  • 12. Mitas Nr 3: Automatinis skenavimas Praveria palaikant norim saugumo b笛kl, taiau to neu転tenka: Automatizuoti skeneriai klysta Automatizuoti sprendimai negali i邸sprsti logini迭 ar 転mogi邸k迭j迭 klausim迭 Lieka nei邸sprstas klausimas: jei skenavimo metu nebuvo aptikta joki迭 pa転eid転iamum迭, tai j迭 i邸ties nra?
  • 13. Saugumo audit迭 tipai Proced笛rinis saugumo auditas (organizacijos atitikimas ISO-xxxxx) Technologinis saugumo auditas 町sibrovimo testas + kompleksinis saugumo auditas Planinis saugumo 眺vertinimas (kontrolinis auditas)
  • 14. Kiek galima (reikia) i邸leisti saugumo auditui? Saugumo auditas tai prevencin priemon (pvz. draudimas), neturinti tiesiogins investicij迭 gr転os Taiau yra netiesiogin nauda esamos situacijos pagerinimas, rizikos suma転inimas, ai邸ki saugumo u転tikrinimo strategija ir t.t. Vieni sako, jog reikia i邸leisti 2-5% nuo galimos 転alos, kiti teigia, jog 10-15% IT biud転eto. Tretiems saugumo nereikia. 町vertinti padt眺 yra sudtinga universalios formuls ia nra, o sprsti vis tiek Jums.
  • 15. 粥庄笛! Miroslav Luinskij miroslav.lucinskij@critical.lt http://corporate.critical.lt | http://www.critical.lt