2. 2www.pointlane.ru
• Привилегированные учетные записи: что это?
• Какие риски с ними связаны?
• Как правильно управлять привилегированными
учетными записями?
• Как выбрать эффективное средство управления?
• На что обратить внимание при внедрении.
О чем будем говорить
3. 3www.pointlane.ru
• 16 лет в информационной безопасности
• Более 7 лет в банках (Альфа-банк, Societe Generale,
HSBC, JP Morgan)
• Создал службу ИБ «с нуля» в российском офисе
HSBC
• Генеральный директор Pointlane
• CISSP, CISA
О спикере
4. 4www.pointlane.ru
• Аудит информационной безопасности (включая
pentest)
• Разработка и внедрение стратегии, политик и
процессов управления ИБ
• Обеспечение соответствия (ПДн, СТО БР)
• Расследование инцидентов ИБ
Услуги компании Pointlane
5. 5www.pointlane.ru
• Внедрение систем и средств защиты информации
• Защита периметра сети и конечных устройств
• Защита от утечек конфиденциальной информации
• Безопасный удаленный доступ
• Защита от целевых атак
• Управление привилегированными учетными записями
Услуги компании Pointlane
7. 7www.pointlane.ru
• Неконтролируемый доступ
неперсонифицированных пользователей
• Злой умысел
• Финансовые риски
• Утечка конфиденциальной информации (ПДн, КТ,
интеллектуальной собственности)
• Целевые атаки
• Неосторожность
• Доступность информационных систем
Какие риски с ними связаны
8. 8www.pointlane.ru
• CISO пришел на работу в новую компанию
• Решил первоочередные задачи
• Взялся за управление привилегированными учетными
записями
• Как ему понять, что проблема действительно актуальна
• Как оценить необходимость решать эту проблему прямо
сейчас
• Как оценить ресурсы, необходимые для решения этой
проблемы
• Как обосновать руководству необходимость затрат,
чтобы искать решение
• Как выбрать необходимое решение
Сценарий
9. 9www.pointlane.ru
• Оценить существующие ИС
• Выделить критичные
• Посчитать количество привилегированных учетных
записей, которые нужны на периодической основе
• Минимизировать это количество
• > 7-10 – проблема актуальна
• Особенно если
• Администраторы работают удаленно или по выходным
• Аутсорсеры - однозначно
Как понять, что проблема актуальна
10. 10www.pointlane.ru
• Собственные ресурсы на разработку и внедрение
необходимых политик и процедур
• Ресурсы смежных подразделений, участвующих в
процессе (ИТ, бизнес-подразделения)
• Собственные ресурсы на изучение существующих
решений
• Ресурсы вендоров/интеграторов
Как оценить ресурсы, необходимые для
решения проблемы
11. 11www.pointlane.ru
• Собственные ресурсы на разработку требований по
выбору решений
• Собственные ресурсы и ресурсы смежных
подразделений на пилотирование решений (ИТ и
бизнес)
• Внутренние и внешние ресурсы для внедрения
• Обучение
• Внутренние и внешние ресурсы на поддержку
решения
Как оценить ресурсы, необходимые для
решения проблемы
12. 12www.pointlane.ru
• Внешний аудит
• Внутренний аудит
• В рамках комитетов ИТ, ИБ, операционных рисков
• Регуляторные требования (PCI DSS, СТО БР, ПДн)
• Кейсы
• Как это делают другие участники рынка
Как обосновать необходимость затрат
на то, чтобы находить решение
13. 13www.pointlane.ru
• В каждом конкретном случае свои требования
• Необходимый функционал
• Ограничения по бюджету
• Ограничения инфраструктуры
Как выбирать решение
14. 14www.pointlane.ru
Функционал
• Расширенное управление учетными записями
• Видеофиксация действий администраторов на
физических и виртуальных серверах
• Поиск по ключевым словам
• Поддерживаемые протоколы
Как выбирать решение
15. 15www.pointlane.ru
Функционал
• Дополнительная авторизация владельцем
системы/администратором ИБ при подключении
(принцип 4-х глаз или 2-х рук)
• Блокирование доступа к конфиденциальным данным
• Блокирование выполнения критичных команд
Как выбирать решение
Интегратор и консультант по информационной безопасности полного цикла
Начиная от аудита заканчивая расследованиями инцидентов
Работа с Microsoft
мы делали заключение о соответствии Office365 требованиям законодательства о персональных данных
Интегратор и консультант по информационной безопасности полного цикла
Начиная от аудита заканчивая расследованиями инцидентов
Работа с Microsoft
мы делали заключение о соответствии Office365 требованиям законодательства о персональных данных
Следить за подрядчиком
Мы заняты, говорят админы. А чем?
Кейсы:
Админы накосячили где-то
Положили важные сервисы
Удалили базу данных
Перезапустили сервер и никто не признается
А кому в принципе актуальна эта тема
У кого есть комитеты?
А как вы проталкиваете свои решения?
В мире более 20 решений
Какие-то достаточно хорошо представлены в россии и уже имеют внедрения и успешные кейсы
Достаточно контролировать администраторов AD – берите решение от MS Just enough administration
Технология Just in time – динамической назначение привилегий
Необходимо стать Админом - стал
Time to live для членства в группах