'

Соответствие международным и отраслевым стандартам Технологические аспекты.

Понравилась презентация – покажи это...





Слайд 0


Слайд 1

Compliance, compliance, compliance Комплайнс - очень модное слово РД и т.д. PCI DSS Стандарт ЦБ РФ ISO 27001/17799/27002 SOX 404 Закон о персональных данных (1Д)


Слайд 2

От общего… Большинство стандартов носят общий характер 27001 – построение процессов Стандарт ЦБ РФ – очень близок к 27001 SOX 404 – всего 4 абзаца PCI DSS – исключение


Слайд 3

Результат… Концепция Политики/Требования Регламенты/Базовые настройки


Слайд 4

Результат…


Слайд 5

К частному Большое количество «рекомендаций», «лучших практик» Производители Microsoft Cisco Linux Sun Компетентные организации NIST NSA CIS WASC


Слайд 6

Уязвимости реализации Огромное количество уязвимостей 25 сентября 2007 CVE-2007-5079


Слайд 7

Технологический Compliance Проверка систем на соответствие техническим требованиям Контроль уязвимостей Решаемая задача Переход от «хакерских» методик к «мягким» методам аудита Web-приложения – исключение (но мы работаем над этим) Контроль конфигурации Достаточно сложная задача Различные форматы «настройки по умолчанию» «тихий» ввод новых возможностей Система должна быть адаптируемой Что русскому хорошо… Контроль изменений Контроль изменений в уязвимостях и конфигурациях


Слайд 8

Комплексный подход


Слайд 9

Проверка соответсвия


Слайд 10

Собственно Compliance Концепция Политики/Требования Регламенты/Базовые настройки CVE-XXX-2007 Пароль 12345 SNMP public Управление обновлениями Настройки «по умолчанию» Политика аутентификации


Слайд 11

Контроль изменений


Слайд 12

Вопросы Positive Technologies +7 495 744 01 44 pt@ptsecurity.ru


×

HTML:





Ссылка: