Upload File

compliance, compliance, compliance

13
Соответствие международным и отраслевым стандартам Технологические аспекты Сергей Гордейчик gordey@ ptsecurity.ru

Upload: kibo-lucas

Post on 30-Dec-2015

125 views

Category:

Documents


5 download

Report

DESCRIPTION

Комплайнс - очень модное слово РД и т.д. PCI DSS Стандарт ЦБ РФ ISO 27001/17799/27002 SOX 404 Закон о персональных данных (1Д). Compliance, compliance, compliance. Большинство стандартов носят общий характер 27001 – построение процессов Стандарт ЦБ РФ – очень близок к 27001 - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

Сергей Гордейчик

[email protected]

Page 2: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

Compliance, compliance, compliance

Комплайнс - очень модное слово РД и т.д.РД и т.д.

PCI DSSPCI DSS

Стандарт ЦБ РФСтандарт ЦБ РФ

ISO 27001/17799/27002ISO 27001/17799/27002

SOX 404SOX 404

Закон о персональных данных (1Д)Закон о персональных данных (1Д)

Page 3: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

От общего…

Большинство стандартов носят общий характер

27001 – построение процессов27001 – построение процессов

Стандарт ЦБ РФ – очень близок к 27001 Стандарт ЦБ РФ – очень близок к 27001

SOX 404SOX 404 – всего 4 абзаца – всего 4 абзаца

PCI DSS – исключение

Page 4: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

Результат…

КонцепцияКонцепция

ПолитикиПолитики//ТребованияТребования

РегламентыРегламенты//Базовые настройкиБазовые настройки

Настройки ИСНастройки ИС//ПроцессыПроцессы

Page 5: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

Результат…

Page 6: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

К частному

Большое количество «рекомендаций», «лучших практик»

Производители Производители MicrosoftMicrosoft CiscoCisco LinuxLinux SunSun

Компетентные организации Компетентные организации NISTNIST NSANSA CISCIS WASCWASC

Page 7: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

Уязвимости реализации

Огромное количество уязвимостей25 сентября 2007 25 сентября 2007 CVE-2007-5079CVE-2007-5079

Page 8: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

Технологический Compliance

Проверка систем на соответствие техническим требованиям

Контроль уязвимостейКонтроль уязвимостей Решаемая задачаРешаемая задача Переход от «хакерских» методик к «мягким» методам аудитаПереход от «хакерских» методик к «мягким» методам аудита Web-Web-приложения – исключение (но мы работаем над этим)приложения – исключение (но мы работаем над этим)

Контроль конфигурацииКонтроль конфигурации Достаточно сложная задачаДостаточно сложная задача

• Различные форматы • «настройки по умолчанию»• «тихий» ввод новых возможностей

Система должна быть адаптируемойСистема должна быть адаптируемой• Что русскому хорошо…

Контроль измененийКонтроль изменений Контроль изменений в уязвимостях и конфигурацияхКонтроль изменений в уязвимостях и конфигурациях

Page 9: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

Комплексный подход

Сетевой сканер

Тестирование на проникновение

Системные проверки

Анализ безопасности баз данных

Анализ безопасности Web-приложений

Сетевые узлы

Открытые порты

Операционная система

Серверные приложения

Клиентские приложения

Информационные активы

Page 10: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

Проверка соответсвия

Рекомендации Microsoft, Cisco...

Стандарты ИБ ISO 17799, SOX...

«Best practice»NSA, NIST, CIS, DoD...

Внутренние стандартыОС, СУБД, приложения

Политика сканирования

Сетевой сканер

Тестирование на проникновение

Системные проверки

Анализ безопасности баз данных

Анализ безопасности Web-приложений

Отчет о соответствии

Критерии контроля

Модуль сканирования

Результаты сканирования

Шаблоны отчетов

Модуль отчетов

Page 11: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

Собственно Compliance

КонцепцияКонцепция

ПолитикиПолитики//ТребованияТребования

РегламентыРегламенты//Базовые настройкиБазовые настройки

Настройки ИСНастройки ИС//ПроцессыПроцессы

CVE-XXX-2007CVE-XXX-2007Пароль 12345Пароль 12345SNMP SNMP publicpublic

Управление обновлениямиУправление обновлениямиНастройки «по умолчанию»Настройки «по умолчанию»

Политика аутентификацииПолитика аутентификации

Page 12: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

Контроль изменений

Отчет об измененияхИнвентаризация

Контроль политик безопасности

Оценка защищенности

Эталонные настройки

Исторические данные

Результаты анализа Контроль изменений

Page 13: Compliance, compliance, compliance

Соответствие международным и отраслевым стандартамТехнологические аспекты

www.ptsecurity.ru / www.maxpatrol.ru

www.xspider.ru / online.xspider.ruwww.securitylab.ru

Вопросы

Positive TechnologiesPositive Technologies

++7 495 744 01 44 7 495 744 01 44

[email protected]@ptsecurity.ru


COMPLIANCE THE CORPORATE MELTDOWN? Compliance Lagerhuisdiscussie

Gas Compliance Reporting Manual Gas Compliance... · Gas Compliance Reporting Manual – January 2017 7 5 COMPLIANCE REPORTING Compliance reporting covers both the immediate notification

Compliance Report Construction Compliance Report 1

What Every Leader Should Know about Compliance, Compliance Officers and Compliance Programs

Compliance Case Study Compliance & Verhaltenskodex

FCC Compliance StatementFCC Compliance Statement

HEALTH CARE COMPLIANCE ASSOCIATION’S nd … · Reach 2,700+ healthcare compliance professionals ... Compliance Institute HEALTH CARE COMPLIANCE ASSOCIATION’S. Prospectus ... attendees

Compliance Case Study Compliance@SCHOTT

Cabling Compliance and MarksCabling Compliance and … · Cabling Compliance and MarksCabling Compliance and Marks ... • Nationally Recognized Testing Laboratories • Recognized

UNDP OECD MENA Bahrain 160310 Compliance Officer Sector Compliance Officers Compliance External Affairs & Training Cluster Compliance Officers Compliance Program, Management Compliance

Akademie Compliance- Management - ARS · » Compliance im Finanzbereich – Compliance-Regeln: Erfahrungen aus börsennotierten Unternehmen – Maßnahmen der Sicherstellung von Compliance

Compliance Brochure - Tutis Compliance Solutions

Compliance Auditor & Compliance Specialist

Corporate Compliance , o ¿ Corporate Compliance Penal ?

Compliance Index – Environmental Compliance/Performance Measure

International Health Care Systems Medtronic’s Approach to Compliance BCS Compliance Mechanisms BCS Compliance Training Distributor/Agent Compliance

ISO19600:2014: COMPLIANCE MANAGEMENT SELF … · Scope of the Compliance Management Systems (CMS) Compliance obligations and plans to achieve Compliance Policy Compliance risks and

DEFINITIVE GUIDE TO Ethics and Compliance Programmes · 3 THE COMPLIANCE GUIDE – INTRODUCTION THE COMPLIANCE GUIDE – INTRODUCTION 4 Defining Ethics and Compliance Compliance means

Commercial Compliance Compliance Monitoring: Take your

Sword Compliance Manager...Compliance Manager’s configurable, centralized, compliance repository. Import compliance mandates using Sword Compliance Manager’s sophisticated built-in,

Compliance Program, Code of Conduct, and HIPAA · Compliance Program •There are 7 elements to a compliance program: 1. Designating a compliance officer and compliance committee

MANUAL DE COMPLIANCE - patria.com · Manual de Compliance Parte 1 (“Manual”) Compliance Diretor de Risco e Compliance Trata-se de manual regulatório de Compliance, trazendo as

Policy Compliance, PCI Compliance

Compliance Update Graeme Stewart, Compliance Partner

COMPLIANCE ASSISTANCE PACKET - Stockton University · Compliance Assistance Packet NJDEP, HW Compliance & Enforcement “Introduction” INTRODUCTION Compliance Assistance Packet

Corporate Compliance 2017 - agoraceg.org · -compliance = responsabilidad penal de las personas juridicas.-compliance= requisitos legales o normativa.-compliance= cÓdigo Ético.-compliance=

COMPLIANCE COMPLIANCE DOM DOMINANCE

RoHS II Compliance Presentation - Assent Compliance

ADVERTISING COMPLIANCE - Lenders Compliance …lenderscompliancegroup.com/resources/Advertising+Compliance...This is a published magazine article, entitled “Advertising Compliance:

Compliance Challenges in Latin 1 Office of Global Compliance – Ethics & Compliance Group Utilities & Energy Compliance & Ethics Conference February 2012, Houston Texas Compliance

COMPLIANCE GUIDANCE - LexisNexis Banking Compliance... · with 100-plus banking compliance and risk ... this manual provides clear compliance guidance, ... Compliance Officer’s

Antitrust compliance and compliance programmes · Antitrust compliance and compliance programmes 2 3 PROMOTING A CULTURE OF COMPLIANCE WHY SET UP A COMPLIANCE PROGRAMME? HOW TO STRUCTURE

Corporate Compliance Management Compliance Disclosures and

Compliance Software For Proactive Compliance Management |

RND Compliance | Regulatory Compliance Consulting