Delete this box and insert your firm logo. Top of the wing should sit on the gridline above «САНГРАНТ» Лого клиента В. Мельничук, директор сервиса ИТ аудита и консалтинга Информационная НЕбезопасность предприятия Семинар «Международные стандарты в банковской деятельности» 20 февраля 2015
26
Embed
Защита информации при удаленной идентификации клиентов с помощью информационных технологий.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Delete this box and insert your firm logo. Top of the wing should sit on the gridline above
«САНГРАНТ»
Лого клиента
В. Мельничук, директор сервиса ИТ аудита и консалтинга
Информационная НЕбезопасность предприятия
Семинар«Международные стандарты в банковской деятельности»20 февраля 2015
Корпоративные риски
• Несостоятельность поддерживать критические услуги
• Уменьшение рыночных позиций или рыночной стоимости
ВРЕДНЫЕ СОВЕТЫКак попасться «на удочку»?- Кликните по одной из указанных ссылок и в открывшейся привычной веб-странице укажите свой логин и пароль
Социальная инженерия
ВРЕДНЫЕ СОВЕТЫЕсли у входа в офисное помещение незнакомец попросит вас открыть дверь, поскольку свой бейдж он забыл дома – будьте приветливы и помогите ему попасть в «свой» офис.
Хак-девайсы
ВРЕДНЫЕ СОВЕТЫЕсли вам «подарили» некий «ускоритель» клавиатуры, обязательно вставьте его, как показано на картинке.
Dos/DDoS атака
ВРЕДНЫЕ СОВЕТЫКак стать «зомби»?- Установите коммерческое программное обеспечение и воспользуйтесь генератором ключей или «ломалкой» («кряк», «ключеделалка» , «лекарство», «таблетка», «пилюля», «вылеченный» исполняемый файл, «genkey», «fix»)
Трояны, Ransomware
ВРЕДНЫЕ СОВЕТЫЕсли вам пришло письмо от незнакомки с «фотографиями со вчерашней вечеринки», обязательно откройте эти «фотографии»!
Web-атака
Новая угроза.
Security Research Labs: Karsten Nohl, Jakob Lell
Новая угроза - BadUSB
ВРЕДНЫЕ СОВЕТЫЕсли у входа в офис вам дарят бесплатную «флешку» с рекламным роликом компании «Рога и копыта» – обязательно примите подарок и посмотрите этот ролик на рабочем компьютере! Если антивирусная программа мешает смотреть ролик – отключите антивирус, чтобы не мешал.
Менеджеры паролей
Жертвы аттак или внутреннего мошенничества
• JPMorgan Chase• UBS• Société Générale• CitiGroup Inc• RSA (SecurID)• PayPal, VISA, MasterCard• Saudi Adamco• Международное агентство по атомной энергии (МАГАТЭ)• eBay• Google• Cisco• Motorola• IBM• Intel• Home Depot• Associated Press• Facebook• LinkedIn• Одноклассники• Twitter (Дмитрий Медведев)
Реальные случаи взломов – Sony Pictures
Компьютерная сеть одной из крупнейших киностудий мира Sony Pictures Entertainment была взломана 24 ноября 2014 года. Хакеры выложили в открытый доступ персональные данные 47 тыс. бывших и действующих сотрудников компании. Кроме того, в Сети появилась конфиденциальная информация о звездах, работавших с этой киностудией. По состоянию на первую декаду декабря, полностью устранить последствия взлома Sony Pictures так и не удалось.
Есть детальные зарплаты всей компании, список уволенных в 2014 году, включая причины и различные связанные с этим затраты, данные о больничных, пенсионных выплатах и прибыльности фильмов.
Процессы построения информационной защиты
• Поддержка конфиденциальности• Анализ рисков• Построение архитектуры
защиты• Безопасная разработка кода• Реагирование на инциденты• Поддержка процедур ИБ
Классификация активов
• Зачем классифицировать активы?• Кто владеет информационным
активом?• У кого есть права и полномочия?• Кто определяет права и уровни
доступа?• Кто утверждает политики доступа и
изменения в них?• Где хранится документация?
• Как часто обновлять???
Виды информационных активов
• Бумажные документы• Критическое оборудование и системы
• Системы управления сетями и серверами (базы данных, почтовые сервера)
• Системы бухучета и управления предприятием• Системы управления производством• Системы управления логистикой• прочее
обязательства)• Корпоративная интеллектуальная собственность• Персональные и корпоративные данные клиентов• Финансовые средства клиентов• Ключи и доступ к управлению платежными
системами (системы клиент-банк, доступ к удаленным ресурсам)
• Периферийное, серверное и сетевое оборудование
Полномочия доступа
• Физический доступ• Доступ в помещения• Доступ к оборудованию
• Логический доступ• Доступ к оборудованию• Доступ к системам и приложениям• Сетевые ресурсы, платформы,
сервера, базы данных• Правила доступа, роли, полномочия
Ключевые роли и ответственности
• Поддержка высшего руководства• Разработанный комплект политик и процедур• Организация и планирование• Осведомление об опасностях и обучение• Комплаенс (compliance), тестирование и мониторинг• Обработка инцидентов и ответные меры
Международные и отечественные стандарты
Статус по банковской индустрии:• Формальное отношение банков к реализации стандарта• Отсутствие объективной и регулярной оценки рисков• Отсутствие работающих процедур обработки рисков• Статичная нормативная документация• Нежелание вникать и как следствие - экономия на персонале ИБ и делегирование
ответственности на подразделение ИТ
СОУ Н НБУ 65.x СУІБVS
Тренд сертификации ISO 27001
Украина - 12
Польша - 307
Япония - 7084
Принцип “do not need to outrun the shark, just your buddy” – не работает
Угадай героя
Jessica Harper - head of fraud and security for online digital banking of Lloyds Banking Group