Upload
ebuc
View
595
Download
7
Embed Size (px)
Citation preview
Auditora pieredze: 10 izplatītākās drošības kļūdas
organizāciju informācijas sistēmās
Didzis Balodis, CISSPIT drošības auditors
2011. gada 2. novembris
Saturs
- Kādēļ jārūpējas par IT drošību un kādas ir sekas, ja to nedara?
- Tipiskie apdraudējumu veidi- 10 izplatītākās drošības kļūdas uzņēmumos- Ieteicamie risinājumi
Kādēļ jārūpējas par IT drošību
Lai nodrošinātu informācijas konfidencialitāti, pieejamību, integritāti un ievērotu normatīvo aktu prasības:
Valsts pārvaldes iestādēm– Valsts informācijas sistēmu likums– Valsts informācijas sistēmu vispārējās drošības prasības– Informācijas tehnoloģiju drošības likums
Finanšu institūcijām– Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības
normatīvie noteikumi
Visiem - Fizisko personu datu aizsardzības likums
Sekas, ja par IT drošību nedomā
Organizācijai kopumā:• Pazaudēta, sabojāta vai publiskota informācija t.sk. konfidenciāla• Negatīva publicitāte un reputācija• Finanšu zaudējumi• Tiesu darbi
Atbildīgajām personām:• Rājiens, algu samazinājums• Pazemināšana amatā• Atlaišana!
Veiksmīgi realizētie uzbrukumi pēc to sarežģītības līmeņa
Avots: Verzion Data Breach Report 2011
Sarežģīti Vidēji Viegli Ļoti viegli0%
10%
20%
30%
40%
50%
60%
8%
49%
37%
6%
Gandrīz puse uzbrukumu
neprasa dziļas zināšanas un meistarību!
10 izplatītākās drošības kļūdas
1. Nav definēta un/vai netiek realizēta IS ielāpu pārvaldība
2. Izslēgta Log failu un auditācijas pierakstu veikšana
3. Ārpakalpojumu sniedzējiem piešķirtas neierobežotas un nekontrolētas piekļuves tiesības organizācijas IS
4. Sistēmu testa vidēs tiek izmantoti reāli dati
5. Nedroša bezvadu tīkla konfigurācija
10 izplatītākās drošības kļūdas
6. Vairāki sistēmu administratori izmanto vienu un to pašu kontu lai pieslēgtos IS
7. Uz serveriem, ugunsmūriem un tīkla ierīcēm paroles netiek mainītas
8. Lokālie sistēmu ugunsmūri nav ieslēgti
9. Nekontrolēta un vāji aizsargāta attālinātā piekļuve
10.Netiek veiktas lietotāju apmācības
Secinājumi
• Kļūdas nepieļauj tikai tas, kurš neko nedara• Nepieciešama risku un tā ietekmes novērtēšana• Nepieciešams skats no malas• Daudzus riskus var novērst, izmantojot jau esošos līdzekļus
Drošības audits
• Faktiskās drošības situācijas novērtējums organizācijā• Neatkarīgu ekspertu skatījums uz esošajiem drošības riskiem• «Īsta» hakera metožu pielietojums, mēģinot ielauzties
organizācijas datortīklā un piekļūt aizsargātiem datiem• Rekomendācijas IT drošības attīstības prioritātēm• Precīzas un realizējamas rekomendācijas:
– Veicamās darbības - konfigurāciju vai uzstādījumu nomaiņa– Atbildīgie par rekomendāciju realizāciju organizācijā– Realizācijas laikietilpība un izmaksu novērtējums
DPA drošības ekspertu komanda
Apvienota būtiska pieredze IT drošības jomā, risinājumu ieviešanā un uzturēšanā• Sertifikāti
– CISSP - Certified Information Systems Security Professional– CISA – Cerified Information Systems Auditor– MCSE, Microsoft Certified Systems Engineer: Security.
• Pieredzē – ievērojams skaits veikto drošības auditu gan Latvijā gan ārzemēs
Mūsu pieeja
IT procesu novērtēšana
• ISO 27002• CobiT• ITIL• PCI DSS• Likumdošanas
prasības• Regulatoru
prasības
Sistēmu izvērtējumi
Ielaušanās testi
Rezultātu apkopšana
Visu IS komponenšu pilnīga izvērtēšana, tai skaitā:• Microsoft• Oracle• Novell• IBM• HP
• Tīkla ielaušanās testi
• Bezvadu tīklu ielaušanās testi
• Aplikāciju un IS testēšana
• Komerciāla ranga testēšanas rīku izmantošana
• Detalizētu rekomendāciju izstrāde
• Reālo risku identificēšana
• Prioritizācija• Novēršanas
plāna izstrāde
Cita veida auditi un konsultācijas
• IT pārvaldības audits • Fizisko personu datu apstrādes audits• Licenču auditi• IT stratēģijas izstrāde• IT dokumentācijas izstrāde• Lietotāju apmācība
DIDZIS BALODISPaldies par uzmanību