It security 2011 v3 2003
description
Transcript of It security 2011 v3 2003
Аудит безопасности бизнес-приложенийСергей Колосков, Старший менеджер, CISA, CRISC
29 сентября 2011
Аудит безопасности бизнес-приложенийСтраница 2 29 сентября 2011
О чём пойдет речь?
► Типовые бизнес приложения: ERP, CRM, АБС, OSS/BSS, клиент - банк, интернет - банкинг
► Примеры аудитов: A&P, general security review, M&A review, SOD specific, SOX, PCI DSS, ISO 27XXX review и др.
► Что обнаруживается в рамках аудитов
Аудит безопасности бизнес-приложенийСтраница 3 29 сентября 2011
Почему корректно делать выводы?
► 200+ аудитов на территории РФ в год
► Вовлечение в глобальные аудиты в составе международных команд
► Проведение собственных исследований в области информационных технологий и информационной безопасности
► Наличие специализированных центров информационной безопасности
Аудит безопасности бизнес-приложенийСтраница 4 29 сентября 2011
Типичные недостатки (1)
Управление доступом к бизнес приложениям
► Непрозрачные правила управления доступом к бизнес-приложениям
► Отсутствие функционала системы по настройке требований к паролям
► Ненастроенная парольная политика
► Незаблокированные учетные записи уволенных сотрудников
► Незаблокированные учетные записи временных пользователей (временные сотрудники, с частичной занятостью, представители внешних организаций)
► Отзыв прав при перемещении сотрудников внутри компании
► Использование общих учетных записей (Generic accounts)
► Использование встроенных учетных записей со стандартными паролями
Аудит безопасности бизнес-приложенийСтраница 5 29 сентября 2011
Неавторизованный доступ – в TOП3 проблем безопасности
11%
13%
15%
17%
18%
22%
29%
34%
39%
52%
Performance management risks
Capacity management risks
Challenges in updating internal audit and compliance plans
Availability risks
Contract risks
Increased collaboration with individuals outside the enterprise
Dif f iculty in technical and procedural monitoring
Unauthorized access
Loss of visibility of what happens to company data
Data leakage risks
По результатам глобального исследования Ernst & Young в области информационной безопасности
Аудит безопасности бизнес-приложенийСтраница 6 29 сентября 2011
Типичные недостатки (2)
Безопасность транзакций и бизнес операций
► Разделение критических полномочий в бизнес процессах (Segregation of incompatible duties)
► Работа в закрытых периодах► Избыточный доступ к справочникам► Проведение изменений в
авторизованных транзакциях► Параметры резервного копирования
бизнес-приложений не соответствуют бизнес-требованиям, включая случаи отсутствия оценки RTO/RPO
► Отсутствие включенного мониторинга действий пользователей
Аудит безопасности бизнес-приложенийСтраница 7 29 сентября 2011
Типичные недостатки (3)
Безопасность на уровне архитектуры
► Небезопасная организация доступа к различным средами (разработка, тестирование, промышленная эксплуатация)
► Безопасность интерфейсов / безопасность передачи данных между информационными системами
► Предоставление бизнес-партнерам стандартных отчетов ИС с избыточной бизнес-информацией
Аудит безопасности бизнес-приложенийСтраница 8 29 сентября 2011
Использует ли ваша организация решения на базе облачных вычислений?
Актуальные угрозы бизнес приложений
55%
15%
7%
23%
No, and no plans to use in the next 12 months
No, but planned within the next 12 months
Yes, under evaluation use
Yes, currently in use2010
2011
По результатам глобальных исследований Ernst & Young в области информационной безопасности
Аудит безопасности бизнес-приложенийСтраница 9 29 сентября 2011
Какие наиболее актуальные пути повышения уровня информационной безопасности вашей организации?
По результатам глобального исследования Ernst & Young в области информационной безопасности
Спасибо за внимание
Сергей КолосковСтарший менеджер, CISA, CRISC
Тел: +7 (495) 755-9676E-mail: [email protected]