22 Октября, 2012

СОИБ. Анализ. Вызовы для ИБ

Сергей Борисов

В ряде случаев возникает необходимость привести примеры инцидентов ИБ и других сложных ситуаций, которые возникают у ответственных за ИБ в случае отсутствия комплексной системы обеспечения информационной безопасности.
Привожу ниже те случаи и инциденты, которые связаны с наиболее ценной защищаемой информацией (остальные остались за границами данной заметки):
1.      Администратор бизнес приложения или БД, используя локальный доступ к консоли сервера, сделал копию большого объема данных и записал её на свой АРМ или съемный носитель;
2.      Пользователь бизнес приложения за короткий промежуток времени выполнил просмотр ценной информации по большому количеству ключевых клиентов (в том числе тех, с которыми ранее не работал), распечатал или сохранил информацию в файл
3.      Пользователь бизнес приложения, скачал в сети Интернет клиентское ПО для подключения к БД, подключился напрямую к БД с использованием своей учетной записи и получил доступ к ценной информации, которая обычно не отображается в  бизнес приложении;
4.      Сотрудник  Организации, знал, подсмотрел или подслушал пароль другого сотрудника; подключился к бизнес приложению со своего АРМ от имени другого пользователя и получил несанкционированный доступ к информации
5.      На АРМ сотрудника Организации произошло заражение и выполнение вредоносного кода, который автоматически просканировал сервера приложений и БД и получил несанкционированный доступ к ним через не устранённую уязвимость
6.      Клиент Организации, используя уязвимость фильтрации данных в бизнес приложении выполнил атаку (например, SQL injection) и получил несанкционированный доступ к ценной информации
7.      В рамках контроля выполнения требований ФЗ в области защиты ПДн, аудитор просит предоставить свидетельства регистрации всех фактов доступа к персональным данным
8.      В рамках контроля выполнения требований PCI DSS, аудитор просит предоставить свидетельства регистрации всех фактов доступа к информации о пластиковых картах (Cardholder Data)
9.      В рамках контроля выполнения требований ЦБ РФ, аудитор просит предоставить свидетельства регистрации всех фактов доступа к платежной информации
10.   В результате жалобы клиента банка обнаружено, что одним из сотрудников месяц назад была выполнена несанкционированная операция (например, перевод денежных средств); Необходимо расследование инцидента

Хотелось бы услышать что произойдет в вашей организации не имеющей СОИБ? (будет ли что-то зарегистрировано в журналах, будет ли предотвращено автоматически какое-то нарушение, будет ли кто-то автоматически уведомлен, будет ли у вас необходимая информация для свидетельств)

Хотелось бы услышать что произойдет в вашей организации имеющей СОИБ?

Что предложите использовать в качестве контрмеры для данных инцидентов или случаев ИБ?

Можно по части пунктов.
Потом, соответственно, я приведу свои варианты.
comments powered by Disqus