22 Октября, 2012

СОИБ. Анализ. Вызовы для ИБ

Сергей Борисов

В ряде случаев возникает необходимость привести примеры инцидентов ИБ и других сложных ситуаций, которые возникают у ответственных за ИБ в случае отсутствия комплексной системы обеспечения информационной безопасности.
Привожу ниже те случаи и инциденты, которые связаны с наиболее ценной защищаемой информацией (остальные остались за границами данной заметки):
1.      Администратор бизнес приложения или БД, используя локальный доступ к консоли сервера, сделал копию большого объема данных и записал её на свой АРМ или съемный носитель;
2.      Пользователь бизнес приложения за короткий промежуток времени выполнил просмотр ценной информации по большому количеству ключевых клиентов (в том числе тех, с которыми ранее не работал), распечатал или сохранил информацию в файл
3.      Пользователь бизнес приложения, скачал в сети Интернет клиентское ПО для подключения к БД, подключился напрямую к БД с использованием своей учетной записи и получил доступ к ценной информации, которая обычно не отображается в  бизнес приложении;
4.      Сотрудник  Организации, знал, подсмотрел или подслушал пароль другого сотрудника; подключился к бизнес приложению со своего АРМ от имени другого пользователя и получил несанкционированный доступ к информации
5.      На АРМ сотрудника Организации произошло заражение и выполнение вредоносного кода, который автоматически просканировал сервера приложений и БД и получил несанкционированный доступ к ним через не устранённую уязвимость
6.      Клиент Организации, используя уязвимость фильтрации данных в бизнес приложении выполнил атаку (например, SQL injection) и получил несанкционированный доступ к ценной информации
7.      В рамках контроля выполнения требований ФЗ в области защиты ПДн, аудитор просит предоставить свидетельства регистрации всех фактов доступа к персональным данным
8.      В рамках контроля выполнения требований PCI DSS, аудитор просит предоставить свидетельства регистрации всех фактов доступа к информации о пластиковых картах (Cardholder Data)
9.      В рамках контроля выполнения требований ЦБ РФ, аудитор просит предоставить свидетельства регистрации всех фактов доступа к платежной информации
10.   В результате жалобы клиента банка обнаружено, что одним из сотрудников месяц назад была выполнена несанкционированная операция (например, перевод денежных средств); Необходимо расследование инцидента

Хотелось бы услышать что произойдет в вашей организации не имеющей СОИБ? (будет ли что-то зарегистрировано в журналах, будет ли предотвращено автоматически какое-то нарушение, будет ли кто-то автоматически уведомлен, будет ли у вас необходимая информация для свидетельств)

Хотелось бы услышать что произойдет в вашей организации имеющей СОИБ?

Что предложите использовать в качестве контрмеры для данных инцидентов или случаев ИБ?

Можно по части пунктов.
Потом, соответственно, я приведу свои варианты.
или введите имя

CAPTCHA
23 Октября, 2012
Хорошие примеры. можно еще добавить "1. вынесли системный блок/сервер/жесткий диск, 2. ИТ-админ уничтожил БД и все резервные копии. 3. Сотрудник, не допущенный к ценной информации, подсмотрел ее на мониторе у соседа. 4. Органы регуляторы отказывают в консультировании по блоку нормативных актов, приостановили лицензию на вид деятельности." Думаю, в организации с СОИБ произойдет реагирование на инцидент в соответствии с установленными стандартами и регламентами. А инцидент - он разный, многогранный, где-то сложный, а где-то уборщица шваброй махнула ) А еще есть жуткий анекдот: Больница. Утренний обход. Идут врач в белом халате и санитар с бензопилой. Врач: - Иванову правую руку ампутировать. В-жжжжж-ик. - Петрову левую руку ампутировать. В-жжжжж-ик. - Сидорову правую ногу ампутировать. В-жжжжж-к. - Я сказал правую. В-жжжжж-к. - Я сказал ногу. В-жжжжж-к. - Я сказал Сидорову!!! Человеческий фактор, ошибки первого и второго рода.. все в кучу. и нам с этим жить. (с)
0 |
  • Поделиться
  • Ссылка
23 Октября, 2012
Предлагаю обсуждать в одном месте. http://www.blogger.com/comment.g?blogID=7314557066073505547&postID=5800061070108610606 По 4 уже ответил. 1-2 чуть позже
0 |
  • Поделиться
  • Ссылка