2. Докладчик
Сергей Борисов
Заместитель генерального директора по ИБ,
ООО Информационные системы и аутсорсинг
ГК РосИнтеграци
http://isoit.ru/
http://docshell.ru/
s.borisov@krasnodar.pro
Анализ
уязвимостей
6. Что делали до недавнего времени
• Автоматическое сканирование - часто
• Пентест / аудит – редко
• BugBounty - еденицы
Анализ
уязвимостей
7. Ситуация постепенно меняется
• Анализ уязвимостей в НПА регуляторов
• Появляется больше продуктов в области защиты
приложений
• Спрос со стороны владельцев и операторов ИС
Анализ
уязвимостей
15. Проект Положения ЦБ РФ №382-П
Защита платежной информации
Анализ
уязвимостей
16. За рамками данного доклада
• ГОСТ Р 56545-2015 Уязвимости информационных систем. Правила
описания уязвимостей
• ГОСТ Р 56546-2015 Уязвимости информационных систем.
Классификация уязвимостей информационных систем
• Планируемый Методический документ ФСТЭК России по анализу
уязвимостей и отсутствию НДВ в ПО
• Методический документ ФСТЭК России «Меры защиты информации в
ГИС»
• Требования к регулярному анализу и устранению уязвимостей,
заложенные во все последние профили защиты СЗИ
• и другие
Анализ
уязвимостей
17. Востребованность анализа
уязвимостей на практике
Оператор или владелец ИС: анализ уязвимостей ИС при
создании, экспертиза кода ПО внешнего разработчика,
регулярный анализ защищенности
Разработчик: первоначальный и регулярный анализ исходного
кода, анализ известных уязвимостей, динамический анализ
Орган по аттестации: анализ известных уязвимостей, анализ
конфигурации СЗИ
Орган по сертификации: анализ исходного кода, анализ
известных уязвимостей
Анализ
уязвимостей