Аудит безопасности бизнес-приложенийСергей Колосков, Старший менеджер, CISA, CRISC

29 сентября 2011

Аудит безопасности бизнес-приложенийСтраница 2 29 сентября 2011

О чём пойдет речь?

► Типовые бизнес приложения: ERP, CRM, АБС, OSS/BSS, клиент - банк, интернет - банкинг

► Примеры аудитов: A&P, general security review, M&A review, SOD specific, SOX, PCI DSS, ISO 27XXX review и др.

► Что обнаруживается в рамках аудитов

Аудит безопасности бизнес-приложенийСтраница 3 29 сентября 2011

Почему корректно делать выводы?

► 200+ аудитов на территории РФ в год

► Вовлечение в глобальные аудиты в составе международных команд

► Проведение собственных исследований в области информационных технологий и информационной безопасности

► Наличие специализированных центров информационной безопасности

Аудит безопасности бизнес-приложенийСтраница 4 29 сентября 2011

Типичные недостатки (1)

Управление доступом к бизнес приложениям

► Непрозрачные правила управления доступом к бизнес-приложениям

► Отсутствие функционала системы по настройке требований к паролям

► Ненастроенная парольная политика

► Незаблокированные учетные записи уволенных сотрудников

► Незаблокированные учетные записи временных пользователей (временные сотрудники, с частичной занятостью, представители внешних организаций)

► Отзыв прав при перемещении сотрудников внутри компании

► Использование общих учетных записей (Generic accounts)

► Использование встроенных учетных записей со стандартными паролями

Аудит безопасности бизнес-приложенийСтраница 5 29 сентября 2011

Неавторизованный доступ – в TOП3 проблем безопасности

11%

13%

15%

17%

18%

22%

29%

34%

39%

52%

Performance management risks

Capacity management risks

Challenges in updating internal audit and compliance plans

Availability risks

Contract risks

Increased collaboration with individuals outside the enterprise

Dif f iculty in technical and procedural monitoring

Unauthorized access

Loss of visibility of what happens to company data

Data leakage risks

По результатам глобального исследования Ernst & Young в области информационной безопасности

Аудит безопасности бизнес-приложенийСтраница 6 29 сентября 2011

Типичные недостатки (2)

Безопасность транзакций и бизнес операций

► Разделение критических полномочий в бизнес процессах (Segregation of incompatible duties)

► Работа в закрытых периодах► Избыточный доступ к справочникам► Проведение изменений в

авторизованных транзакциях► Параметры резервного копирования

бизнес-приложений не соответствуют бизнес-требованиям, включая случаи отсутствия оценки RTO/RPO

► Отсутствие включенного мониторинга действий пользователей

Аудит безопасности бизнес-приложенийСтраница 7 29 сентября 2011

Типичные недостатки (3)

Безопасность на уровне архитектуры

► Небезопасная организация доступа к различным средами (разработка, тестирование, промышленная эксплуатация)

► Безопасность интерфейсов / безопасность передачи данных между информационными системами

► Предоставление бизнес-партнерам стандартных отчетов ИС с избыточной бизнес-информацией

Аудит безопасности бизнес-приложенийСтраница 8 29 сентября 2011

Использует ли ваша организация решения на базе облачных вычислений?

Актуальные угрозы бизнес приложений

55%

15%

7%

23%

No, and no plans to use in the next 12 months

No, but planned within the next 12 months

Yes, under evaluation use

Yes, currently in use2010

2011

По результатам глобальных исследований Ernst & Young в области информационной безопасности

Аудит безопасности бизнес-приложенийСтраница 9 29 сентября 2011

Какие наиболее актуальные пути повышения уровня информационной безопасности вашей организации?

По результатам глобального исследования Ernst & Young в области информационной безопасности

Спасибо за внимание

Сергей КолосковСтарший менеджер, CISA, CRISC

Тел: +7 (495) 755-9676E-mail: Sergey.Koloskov@ru.ey.com