ݺߣ

ݺߣShare a Scribd company logo

Внутреннее качество в процедурах информационной безопасности

Download as PPTX, PDF
Alex Babenko
Alex Babenko

Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение. Более подробно - в заметках к слайдам.

1 of 16
Download to read offline
Использование встроенного качества в процедурах информационной безопасности Алексей Бабенко руководитель направления
Где самое уязвимое место? ? ! ! ! ? ? ! !
Использование социальной инженерии Неудача 27% Успех 73% Источник: внутренняя статистика Информзащиты по проведенным тестам на проникновение за 2012 год Социальная инженерия проводилась в 67% от общего числа проектов по анализу защищенности
Методы противодействия Обучение Тестирование Отладка процессов Разбор полетов
Встроенное качество «Покончите с зависимостью от массового контроля: Уничтожайте потребность в массовых проверках и инспекции как способе достижения качества, прежде всего путем «встраивания» качества в продукцию» 14 ключевых принципов Деминга
Встроенное качество Встроенное качество – это такие решения, которые делают невозможным неправильные действия пользователя системы.
Встроенное качество – примеры из жизни
Встроенное качество в ИБ К чему уже привыкли: – Парольная политика (невозможно задать простой пароль) – Ограничение подключаемых устройств (невозможно скопировать информацию) – Автоматическое блокирование экрана (невозможно оставить активный экран) – Ограничение прав доступа (невозможно выполнить несанкционированные действия) – Контроль передаваемых «во вне» файлов (невозможно скопировать информацию) – и так далее.
Встроенное качество в ИБ Пример 1: оператор банка. Проблема – проведение несанкционированных действий, без предъявления аутентифицирующей информации Решение – изменение сценария работы, было: проверка кодового слова по отображаемому значению, стало: до ввода кодового слова возможна только блокировка карты
Встроенное качество в ИБ Пример 2: пропускной режим. Проблема – посетители не сдают пропуск, несколько человек проходят по одному пропуску Решение – система «сдал пропуск – проходи», шлюзовые кабины
Встроенное качество в ИБ Пример 3: контроль кода. Проблема – разработчики не соблюдают требования по безопасному программированию Решение – автоматизированный контроль кода, до компиляции продукта
Встроенное качество в ИБ Идеи: реагирование на события ИБ. Проблема – реагирование на события ИБ осуществляются не оперативно, откладываются Решение – сообщение об ошибке на весь экран.
Встроенное качество в ИБ Идеи: лишние права доступа Проблема – пользователи обладают лишними правами доступа в прикладном ПО Решение – обеспечивать сотрудников работой в соответствии с предоставленными правами доступа
Встроенное качество в ИБ Идеи: съем информации с экрана Проблема – пользователи могут сфотографировать содержимое экрана Решение – добавить дополнительный спектр, не видимый человеку, но «засвечивающий» камеру
Заключение – Думая о новых угрозах, не надо забывать о старых; – При проектировании систем, процессов важно продумывать не как заставить сотрудников выполнять что-то, а как сделать неправильное выполнение невозможным; – Решать проблему, а не следствие; – Не забыть про бизнес. Безопасность ради бизнеса. – Мониторинг. Работает сейчас, а завтра? См. также: Идеальный конечный результат (Теория решения изобретательских задач) Встроенное качество (Концепция бережливого производства)
Вопросы? Алексей Бабенко руководитель направления, PA&PCI QSA a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 +7 905 991-99-19 skype: arekusux www.infosec.ru arekusux.blogspot.com

Recommended

Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
Alex Babenko
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
Alex Babenko
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
Alex Babenko
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
Alexey Kachalin
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
SelectedPresentations
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
Pointlane
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
RISClubSPb
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
Positive Development User Group
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
Alexey Kachalin
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
Positive Development User Group
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
RISSPA_SPb
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
Alex Babenko
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Aleksey Lukatskiy
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
Valery Boronin
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителей
Valery Boronin
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
Alexey Evmenkov
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
Alexander Kolybelnikov
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
Sergey Soldatov
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
Aleksey Lukatskiy
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
Alexey Evmenkov
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
Solar Security
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
jet_information_security
Игорь Лужанский “Потери в процессе разработки ПО”
Игорь Лужанский “Потери в процессе разработки ПО”Игорь Лужанский “Потери в процессе разработки ПО”
Игорь Лужанский “Потери в процессе разработки ПО”
Agile Base Camp
Image-based automation
Image-based automationImage-based automation
Image-based automation
Vitali Shulha

More Related Content

What's hot (20)

Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
Alexey Kachalin
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
Positive Development User Group
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
RISSPA_SPb
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
Alex Babenko
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Aleksey Lukatskiy
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
Valery Boronin
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителей
Valery Boronin
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
Alexey Evmenkov
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
Alexander Kolybelnikov
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
Sergey Soldatov
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
Aleksey Lukatskiy
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
Alexey Evmenkov
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
Solar Security
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
jet_information_security
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
Alexey Kachalin
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
Positive Development User Group
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
RISSPA_SPb
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
Alex Babenko
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Aleksey Lukatskiy
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
Valery Boronin
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителей
Valery Boronin
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
Alexey Evmenkov
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
Alexander Kolybelnikov
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
Sergey Soldatov
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
Aleksey Lukatskiy
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
Alexey Evmenkov
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
Solar Security
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
jet_information_security

Similar to Внутреннее качество в процедурах информационной безопасности (20)

Игорь Лужанский “Потери в процессе разработки ПО”
Игорь Лужанский “Потери в процессе разработки ПО”Игорь Лужанский “Потери в процессе разработки ПО”
Игорь Лужанский “Потери в процессе разработки ПО”
Agile Base Camp
Image-based automation
Image-based automationImage-based automation
Image-based automation
Vitali Shulha
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
a_a_a
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
Expolink
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
Expolink
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
RST2014_Volgograd_AutomatedISMS
RST2014_Volgograd_AutomatedISMSRST2014_Volgograd_AutomatedISMS
RST2014_Volgograd_AutomatedISMS
RussianStartupTour
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
Expolink
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
Компания УЦСБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
InfoWatch
Проблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС WindowsПроблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС Windows
imbasoft ru
Image-based automation
Image-based automationImage-based automation
Image-based automation
Vitali Shulha
Автоматизация с помощью скриншотов. Как научить скрипт видеть графический инт...
Автоматизация с помощью скриншотов. Как научить скрипт видеть графический инт...Автоматизация с помощью скриншотов. Как научить скрипт видеть графический инт...
Автоматизация с помощью скриншотов. Как научить скрипт видеть графический инт...
SQALab
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Alexey Kachalin
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Expolink
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014
Expolink
Оценка и тестирование ПИ
Оценка и тестирование ПИОценка и тестирование ПИ
Оценка и тестирование ПИ
Ivan Burmistrov
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
Expolink
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Yuri Bubnov
Когнитивный SOC — будущее или уже реальность?
Когнитивный SOC — будущее или уже реальность?Когнитивный SOC — будущее или уже реальность?
Когнитивный SOC — будущее или уже реальность?
Positive Hack Days
Игорь Лужанский “Потери в процессе разработки ПО”
Игорь Лужанский “Потери в процессе разработки ПО”Игорь Лужанский “Потери в процессе разработки ПО”
Игорь Лужанский “Потери в процессе разработки ПО”
Agile Base Camp
Image-based automation
Image-based automationImage-based automation
Image-based automation
Vitali Shulha
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
a_a_a
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
Expolink
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
Expolink
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
RST2014_Volgograd_AutomatedISMS
RST2014_Volgograd_AutomatedISMSRST2014_Volgograd_AutomatedISMS
RST2014_Volgograd_AutomatedISMS
RussianStartupTour
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
Expolink
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
Компания УЦСБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
InfoWatch
Проблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС WindowsПроблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС Windows
imbasoft ru
Image-based automation
Image-based automationImage-based automation
Image-based automation
Vitali Shulha
Автоматизация с помощью скриншотов. Как научить скрипт видеть графический инт...
Автоматизация с помощью скриншотов. Как научить скрипт видеть графический инт...Автоматизация с помощью скриншотов. Как научить скрипт видеть графический инт...
Автоматизация с помощью скриншотов. Как научить скрипт видеть графический инт...
SQALab
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Alexey Kachalin
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Expolink
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014
Expolink
Оценка и тестирование ПИ
Оценка и тестирование ПИОценка и тестирование ПИ
Оценка и тестирование ПИ
Ivan Burmistrov
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
Expolink
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Yuri Bubnov
Когнитивный SOC — будущее или уже реальность?
Когнитивный SOC — будущее или уже реальность?Когнитивный SOC — будущее или уже реальность?
Когнитивный SOC — будущее или уже реальность?
Positive Hack Days

More from Alex Babenko (8)

Антифрод на полную мощность
Антифрод на полную мощностьАнтифрод на полную мощность
Антифрод на полную мощность
Alex Babenko
Антифрод в ДБО
Антифрод в ДБОАнтифрод в ДБО
Антифрод в ДБО
Alex Babenko
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Alex Babenko
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
Alex Babenko
Анализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкингаАнализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкинга
Alex Babenko
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствия
Alex Babenko
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижение
Alex Babenko
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
Alex Babenko
Антифрод на полную мощность
Антифрод на полную мощностьАнтифрод на полную мощность
Антифрод на полную мощность
Alex Babenko
Антифрод в ДБО
Антифрод в ДБОАнтифрод в ДБО
Антифрод в ДБО
Alex Babenko
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Alex Babenko
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
Alex Babenko
Анализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкингаАнализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкинга
Alex Babenko
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствия
Alex Babenko
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижение
Alex Babenko
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
Alex Babenko

Внутреннее качество в процедурах информационной безопасности

  • 1. Использование встроенного качества в процедурах информационной безопасности Алексей Бабенко руководитель направления
  • 2. Где самое уязвимое место? ? ! ! ! ? ? ! !
  • 3. Использование социальной инженерии Неудача 27% Успех 73% Источник: внутренняя статистика Информзащиты по проведенным тестам на проникновение за 2012 год Социальная инженерия проводилась в 67% от общего числа проектов по анализу защищенности
  • 5. Встроенное качество «Покончите с зависимостью от массового контроля: Уничтожайте потребность в массовых проверках и инспекции как способе достижения качества, прежде всего путем «встраивания» качества в продукцию» 14 ключевых принципов Деминга
  • 6. Встроенное качество Встроенное качество – это такие решения, которые делают невозможным неправильные действия пользователя системы.
  • 7. Встроенное качество – примеры из жизни
  • 8. Встроенное качество в ИБ К чему уже привыкли: – Парольная политика (невозможно задать простой пароль) – Ограничение подключаемых устройств (невозможно скопировать информацию) – Автоматическое блокирование экрана (невозможно оставить активный экран) – Ограничение прав доступа (невозможно выполнить несанкционированные действия) – Контроль передаваемых «во вне» файлов (невозможно скопировать информацию) – и так далее.
  • 9. Встроенное качество в ИБ Пример 1: оператор банка. Проблема – проведение несанкционированных действий, без предъявления аутентифицирующей информации Решение – изменение сценария работы, было: проверка кодового слова по отображаемому значению, стало: до ввода кодового слова возможна только блокировка карты
  • 10. Встроенное качество в ИБ Пример 2: пропускной режим. Проблема – посетители не сдают пропуск, несколько человек проходят по одному пропуску Решение – система «сдал пропуск – проходи», шлюзовые кабины
  • 11. Встроенное качество в ИБ Пример 3: контроль кода. Проблема – разработчики не соблюдают требования по безопасному программированию Решение – автоматизированный контроль кода, до компиляции продукта
  • 12. Встроенное качество в ИБ Идеи: реагирование на события ИБ. Проблема – реагирование на события ИБ осуществляются не оперативно, откладываются Решение – сообщение об ошибке на весь экран.
  • 13. Встроенное качество в ИБ Идеи: лишние права доступа Проблема – пользователи обладают лишними правами доступа в прикладном ПО Решение – обеспечивать сотрудников работой в соответствии с предоставленными правами доступа
  • 14. Встроенное качество в ИБ Идеи: съем информации с экрана Проблема – пользователи могут сфотографировать содержимое экрана Решение – добавить дополнительный спектр, не видимый человеку, но «засвечивающий» камеру
  • 15. Заключение – Думая о новых угрозах, не надо забывать о старых; – При проектировании систем, процессов важно продумывать не как заставить сотрудников выполнять что-то, а как сделать неправильное выполнение невозможным; – Решать проблему, а не следствие; – Не забыть про бизнес. Безопасность ради бизнеса. – Мониторинг. Работает сейчас, а завтра? См. также: Идеальный конечный результат (Теория решения изобретательских задач) Встроенное качество (Концепция бережливого производства)
  • 16. Вопросы? Алексей Бабенко руководитель направления, PA&PCI QSA a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 +7 905 991-99-19 skype: arekusux www.infosec.ru arekusux.blogspot.com