1 / 13

Compliance, compliance, compliance

Комплайнс - очень модное слово РД и т.д. PCI DSS Стандарт ЦБ РФ ISO 27001/17799/27002 SOX 404 Закон о персональных данных (1Д). Compliance, compliance, compliance. Большинство стандартов носят общий характер 27001 – построение процессов Стандарт ЦБ РФ – очень близок к 27001

kibo-lucas
Download Presentation

Compliance, compliance, compliance

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Комплайнс - очень модное слово РД и т.д. PCI DSS Стандарт ЦБ РФ ISO 27001/17799/27002 SOX 404 Закон о персональных данных (1Д) Compliance, compliance, compliance

  2. Большинство стандартов носят общий характер 27001 – построение процессов Стандарт ЦБ РФ – очень близок к 27001 SOX 404 – всего 4 абзаца PCI DSS – исключение От общего…

  3. Настройки ИС/Процессы Результат… Концепция Политики/Требования Регламенты/Базовые настройки

  4. Результат…

  5. Большое количество «рекомендаций», «лучших практик» Производители Microsoft Cisco Linux Sun Компетентные организации NIST NSA CIS WASC К частному

  6. Огромное количество уязвимостей Уязвимости реализации 25 сентября 2007 CVE-2007-5079

  7. Проверка систем на соответствие техническим требованиям Контроль уязвимостей Решаемая задача Переход от «хакерских» методик к «мягким» методам аудита Web-приложения – исключение (но мы работаем над этим) Контроль конфигурации Достаточно сложная задача Различные форматы «настройки по умолчанию» «тихий» ввод новых возможностей Система должна быть адаптируемой Что русскому хорошо… Контроль изменений Контроль изменений в уязвимостях и конфигурациях Технологический Compliance

  8. Комплексный подход

  9. Проверка соответсвия

  10. Настройки ИС/Процессы Собственно Compliance Концепция Политика аутентификации Политики/Требования Управление обновлениями Настройки «по умолчанию» Регламенты/Базовые настройки CVE-XXX-2007 Пароль 12345 SNMP public

  11. Контроль изменений

  12. Вопросы • Positive Technologies • +7 495 744 01 44 • pt@ptsecurity.ru

More Related