Weekly Status Review
Download
Report
Transcript Weekly Status Review
Практические подходы по минимизации
ИТ-рисков от Symantec
Андрей Зеленский
Консультант, Symantec Global Services, Russia
31 мая 2007
Повестка дня
Symantec Global Services – портфель решений
ИТ-риски вызывают сенсации
Базовый подход к управлению ИТ-рисками
Примеры методик – Аудит ИБ, Программа по
Управлению Непрерывностью Бизнеса
С чего начать?
Минимизация ИТ-рисков
2
Портфель – Symantec Global Services
Услуги по
обучению
Консалтинговые
услуги
Консультации по
– безопасности
– производительнос
ти
– Непрерывности
– Управлению,
Соответствию
Услуги по
подготовке
помещений
Оценка
квалификации
Очное обучение
Специальное
обучение
Виртуальная
академия
eLearning
Самостоятельно
е обучение
Сертификация
Минимизация ИТ-рисков
Корпоративная
Службы раннего
Управляемые
службы безопасности предупреждения
поддержка
Экстренные
услуги
Усиленная
поддержка
Базовая
поддержка
Управление
инцидентами
Решение
проблем
Поддержка на
месте и
практические
рекомендации
Контроль
Управление
Реагирование
Система
предотвращен
ия угроз
DeepSight
Службы
оповещения
DeepSight
3
Портфель – Symantec Global Services
• Консультационные услуги (Advisory Service)
– Аудит ИБ (ISO27001)
– Тестирование приложений на уязвимости (Ethical Hacking)
– Программы по Управлению Непрерывностью Бизнеса (BSI
PAS56 -> BS25999)
– Разработка стратегий ИБ и обеспечения Доступности данных
– Программы по обеспечению соответствия - Compliance
(ISO27001, SOX, отраслевые и внутрикорпоративные
нормативы)
– Построение Центров Управления ИБ (SOC)
– Управление Идентификацией (Identity Management)
– Управление рисками в области ИБ
Минимизация ИТ-рисков
4
Портфель – Symantec Global Services
• Услуги, ориентированные на продукты (Solution
Enablement Services)
– NetBackup – анализ требований, проектирование, внедрение;
миграция; анализ конфигурации; повышение
производительности
– Storage Foundation/VCS – анализ требований, проектирование,
внедрение; заказная разработка кластерных агентов;
– Enterprise Vault – проектирование, внедрение; анализ
конфигурации;
– Symantec Antivirus – внедрение; донастройка;
– BindView, ESM – проектирование политик соответствия;
внедрение;
– CommandCentral Storage, Veritas Backup Reporter – внедрение,
настройка SLA отчетов
– Altiris – анализ требований, внедрение;
Минимизация ИТ-рисков
5
Повестка дня
Symantec Global Services - портфолио
ИТ-риски вызывают сенсации
Базовый подход к управлению ИТ-рисками
Примеры методик – Аудит ИБ, Программа по
Управлению Непрерывностью Бизнеса
С чего начать?
Минимизация ИТ-рисков
7
ИТ-риски вызывают сенсации
Не допускать ничего вредного
Сохранять все полезное
Безопасность
Внутр. и внешние
угрозы
Поддерживать
работоспособность
систем
Гарантировать
Доступность быстрое
восстановление
Природные катастрофы
и аварии систем
ИТ-правила и
внешние нормативы
Соответствие
Адекватные средства
управления
Автоматизированный сбор
свидетельств
Минимизация ИТ-рисков
Время отклика
приложений
Производительность
Оптимизированные ресурсы
Гарантия правильной
конфигурации
8
Влияние ИТ-рисков на ваш бизнес
Искажение информации
Мошенничество
«Кража личности»
Хищение денег
Риск для репутации и бренда
Разрыв соглашений и потеря продаж
Ослабление доверия заказчиков,
партнеров и сотрудников
Влияние на критически важные бизнеспроцессы/простои
Повреждение ресурсов
Снижение производительности труда
ИТ-персонала
Штрафы
Разрыв соглашений и потеря продаж
Ущерб для репутации
Меньшая удовлетворенность клиентов
Нарушение конфиденциальности
клиентов
Влияние на лояльность
клиентов/партнеров
Судебные иски
Эффективность руководства
Снижение производительности труда
пользователей
Влияние на критически важные бизнеспроцессы
Снижение производительности труда
Минимизация ИТ-рисков
9
Сегодняшние бизнес-требования повышают
ИТ-риски. Требования к управлению ИТ-рисками.
Риск для
безопасности
Все более сложная
картина угроз
Растущее разнообразие
платформ и типов
взаимодействия
Риск для
готовности
IM, мобильные, SOA, и т.п.
Защита интеллектуальной
собственности компании
Природные катастрофы
Нарушение
инфраструктуры
Повседневные угрозы
для высокой готовности
Все больше бизнесприложений становятся
критически важными
Защита от кражи
личности
Данные все больше
перемещаются «на
периферию»
Нужно гарантировать
непрерывность бизнеса
Риск для производительности
Повышенные ожидания
пользователей в отношении
производительности
Проблемы
масштабируемости
ограничивают рост бизнеса
Слияния и
приобретения/подвижность
бизнеса
Требование повышенной
утилизации ресурсов
Сложность инфраструктуры
вызывает потребность в
стандартизации и
консолидации
Email, удаленная работа
Потребность в разных
способах доступа к
данным
Требование более надежных
ИТ-процессов
Риск для
соответствия
Растущие
государственные,
отраслевые нормативы и
требования по хранению
данных
Отсутствие
формализованных
независимых стандартов
соответствия
Распространение
требований из центра к
периферии
Все большее число ИТправил влияет на работу
Глобализация
Трудность круглосуточной поддержки все более распределенных организаций
Трудность привлечения, обучения, удержания высококвалифицированного ИТ-персонала
Минимизация ИТ-рисков
10
Почему управление ИТ-рисками так важно для
бизнеса?
Бизнес-риск
Операционные
риски
Финансовые
риски
ИТ-риски
Не-ИТ-риски
Риски для
безопасности
Риски для
готовности
Минимизация ИТ-рисков
Риски для производительности
Риски для
соответствия
11
Почему управление ИТ-рисками так важно
для бизнеса?
Бизнес
Business
риск
Risk
Финансовые
риски
•
•
•
•
Рынок
Кредит
Спрос
Валюта
Операционные
риски
Не ИТРиски
Риски
Безопасности
• Взломы
• Внутренние
уязвимости
Риски
Доступности
• Изменения
конфигурации
• Недостаточная
отказоустойчивость
• Человеческий
фактор
Минимизация ИТ-рисков
•
•
•
•
Бизнес-процессы
Люди
Инженерное обеспечение
Здания, помещения.....
Риски
Соответствия
Риски
Производительности
• Распределенная
архитектура
• Пиковые нагрузки
• Разнородная –
многоуровневая
архитектура
ИТ-Риски
• Отраслевые
нормативы
• Государственные
•
регулирующие
требования
Внутренние
политики
12
Повестка дня
Symantec Global Services – портфель решений
ИТ-риски вызывают сенсации
Базовый подход к управлению ИТ-рисками
Примеры методик – Аудит ИБ, Программа по
Управлению Непрерывностью Бизнеса
С чего начать?
Минимизация ИТ-рисков
13
Symantec Global Services
Наш метод управления ИТ-рисками
Шаг 1
Обеспечение
осведомленн
ости об ИТрисках
Действия
• Высокоуровневая
оценка риска
Шаг 2
Оценка
влияния
на бизнес
Действия
• Анализ
влияния
рисков на
бизнес
• Составление
примеров
Минимизация ИТ-рисков
Шаг 3
Разработка
решения
Действия
• Детальный
анализ текущего
состояния
• Разработка
решения
Шаг 5
Шаг 4
Сопоставление
значения для ИТ
/ бизнеса
решения по
модернизации
Действия
• Сопоставление
решений с
потребностями
направлений
бизнеса
Создание и
администрирование
единой
системы
Действия
• Реализация
дополнительной
программы контроля
за управлением ИТрисками
• Внедрение решения
14
Symantec Consulting Services
Всесторонние услуги по управлению рисками
Develop
Awareness
of IT Risks
Действия
Анализ
Quantify
Business
Impacts
Действия
Design
Solution
Align IT /
Business Value
& Implement
Solution
Проектирование и
внедрение
Действия
Действия
• Detailed current по технической
• Alignment of solutions
Проекты
with needs of
state analysis
business units
• Solutionмодернизации
design
• Business case
generation
+ • Solution
Службы и инструменты
implementation
для оценки/квалификации Управление реализацией
программы управления
ИТ-рисками
• High-level risk
assessment
• Business risk
impact analysis
Минимизация ИТ-рисков
Build &
Manage
Unified
Capability
Управление
Действия
Услуги
по упр.
• Implementation of
overarching IT risk
оборудованием/
management
governance
program
объектами
+
Службы
постоянного
управления
ИТ-рисками
15
Шаг 1: Достижение осведомленности
1
Достижен
ие
осведомл
енности
об ИТрисках
2
3
Quantify
Business
Impacts
4
Design
Solution
5
Align IT /
Business
Value &
Implement
Solution
Build &
Manage
Unified
Capability
Управление корпоративными сообщениями
Безопасность
Готовность
Производит.
Соответствие
Информация и
данные
4
4
3
2
Структура и
сети
4
3
2
3
Люди и
правила
2
3
3
1
Сторонние
участники
1
2
3
1
Организация
1
2
3
1
Минимизация ИТ-рисков
16
Шаг 2: Оценка влияния на бизнес
Приоритизация и создание наглядных примеров
1
2
Develop
Awareness
of IT Risks
3
Оценка
влияния
на
бизнес
Красный флаг:
исправить
немедленно
4
Design
Solution
Align IT /
Business
Value &
Implement
Solution
5
Запланировать
исправление
Влияние на
бизнес
Принять риск
или оставить
на
усмотрение
клиента
Низкий риск:
Исправить на
усмотрение
клиента
Минимизация ИТ-рисков
Build &
Manage
Unified
Capability
Business
Impact:
High
Low
17
Шаг 3: Design Solution
Design program plan & technical design in line with business needs
1
2
3
Develop
Awareness
of IT Risks
Quantify
Business
Impacts
Разрабо
тка
решени
я
4
Align IT /
Business
Value &
Implement
Solution
5
Build &
Manage
Unified
Capability
Обзор проекта модернизации
Информация
и данные
Инфраструктура
и сети
Процессы и
правила
Сторонние
участники
Контроль
инфраструкт.
Разработка
AV
TOI для избранных
участников
Модернизация
инфраструктуры
Программа непрерывного совершенствования
Переговоры по SLA
Утверждение политики AV
Переговоры по
контрактам
Управление сторонними участниками
Перевод внутр. персонала
Организация
Оценка и повышение
квалификации
6 месяцев
Минимизация ИТ-рисков
12 месяцев
18 месяцев
24 месяца
18
Шаг 4: Внедрение ИТ-решений
Создание и развертывание решений на
основе практических рекомендаций
1
2
Develop
Awareness
of IT Risks
Минимизация ИТ-рисков
3
Quantify
Business
Impacts
4
Design
Solution
Сопоставлен
ие значения
для ИТ /
бизнеса
решения по
модернизаци
и
5
Build &
Manage
Unified
Capability
19
Шаг 5: Создание организационных возможностей
Управление ИТ-рисками как постоянная программа
1
2
Develop
Awareness of
IT Risks
3
Quantify
Business
Impacts
4
Align IT /
Business
Value &
Implement
Solution
Design
Solution
5
Создание
и
администр
и-рование
единой
системы
План развития программы
Уровень 1 –
начальный
Управление ИТ
Уровень 2 –
Повторяемый
Уровень 3
Определен.
Уровень 4 Управляем.
Уровень 5 Оптимизир.
Стратегия
Управление
Культура и осведомленность
Развитие
программы
Согласование с бизнесом
1
Минимизация ИТ-рисков
2
3
Уровень развития
4
5
20
Повестка дня
Symantec Global Services – портфель решений
ИТ-риски вызывают сенсации
Базовый подход к управлению ИТ-рисками
Примеры методик – Аудит ИБ, Программа по
Управлению Непрерывностью Бизнеса
С чего начать?
Минимизация ИТ-рисков
21
Аудит ИБ - методика
Сетевая
Инфраструктура
Интервью
План необходимых
Карта Балов
ИБ
Анализ
изменений
Документация
Анализ
Уязвимостей
Опционально
Минимизация ИТ-рисков
22
Оценка текущего состояния – Карта Балов
ИБ
Security Self-Assessment Key Indicators
Security Management
RATING
WEIGHT
1.1
An executive-level Steering Committee is in place to create and manage the security mandate
Non-Existent
Essential
1.2
A cross-functional forum of representatives exist to drive business requirements for security
Considered
Best-Practice
1.25
1.3
Responsibility for the security of individual information assets are clearly defined
Non-Existent
Best-Practice
-
1.4
Management receives regular and comprehensive reports on the enterprise security status
Non-Existent
Essential
-
1.5
Security initiatives are registered and managed as formal projects with clear deliverables
Defined
Best-Practice
1.6
Direct responsibility for security is vested in a named individual appointed at management level
Non-Existent
Essential
-
1.7
Directors know that they are accountable for the implementation of adequate security controls
Non-Existent
Best-Practice
-
1.20
Specific processes are in place to mitigate/resolve security incidents without delay
Non-Existent
Best-Practice
-
1
VALUE
-
3.75
0.74
System Security
RATING
WEIGHT
2.1
A comprehensive database of all information assets exists and is kept updated
Considered
Best-Practice
1.25
2.2
Information assets are classified with respect to confidentiality, integrity and availability
Non-Existent
Best-Practice
-
2.3
Security standards exist for each category of server, gateway and client technology
Considered
Essential
2
Минимизация ИТ-рисков
VALUE
1.38
23
Радар - карта
Information
Security
Self-Assessment
Security Management
10.00
Security Technologies
System Security
8.00
6.00
Physical Security
Access Control
4.00
2.00
Systems Development
-
Networking Security
Risk Assessment Auditing
Alerting & Response
Personnel Security
Compliance
BCP/DRP
Self-Assessment
Минимизация ИТ-рисков
Benchmark
24
Аудит ИБ
График Рисков
100%
90%
80%
78%
70%
60%
50%
46%
43%
40%
37%
39%
37%
33%
30%
25%
20%
15%
20%
25%
15%
23%
14%
15%
10%
0%
Physical Security
Network
Infrastructure
Security
Infrastructure
Internet Services
System & Security
Management
25%
20%
37%
25%
46%
39%
37%
33%
78%
43%
15%
15%
14%
15%
23%
Текущий Уровень Риска
Residual Risk
(afetr the application of critical
countermeasures)
Residual Risk
(afetr the application of all countermeasures)
Минимизация ИТ-рисков
25
План первоначального снижения рисков
• Усовершенствовать безопасность корпоративной сети за счет
пересмотрения сетевой архитектуры:
–
Обеспечить выделенные сетевые сегменты для непубличных
серверных платформ
–
Исключить множественную маршрутизацию в/из Internet
–
Установить фильтрацию для сетевых сегментов с ПК и соединений
с удаленными площадками
–
Наладить процессы аутентификации ПК во внутренних и внешних
сегментах Инцедент Инцидент
• Рассмотреть возможность внедрения решения по Управлению
Идентификациями (Indentity Management) для упрощения и
рационализации процессов управления учетными записями
• Рассмотреть возможность внедрения решения по Управлению
Инцидентами по ИБ на основе Symantec SIM, организации Центра
Управления ИБ (SOC)
Минимизация ИТ-рисков
26
Минимизация ИТ-рисков
КОММУНИКАЦИИ И ПИАР
ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ
КАДРОВЫЕ РЕСУРСЫ
УПРАВЛЕНИЕ ЗНАНИЯМИ
КРИЗИСНОЕ УПРАВЛЕНИЕ
УПРАВЛЕНИЕ СРЕДОЙ
УПРАВЛЕНИЕ КАЧЕСТВОМ
УПРАВЛЕНИЕ ЦЕПОЧКОЙ ПОСТАВОК
УПРАВЛЕНИЕ РЕСУРСАМИ
ПОСЛЕАВАРИЙНОЕ
ВОССТАНОВЛЕНИЕ ИТ
ЧРЕЗВЫЧАЙНОЕ УПРАВЛЕНИЕ
УПРАВЛЕНИЕ РИСКАМИ
Контекст ВСМ – о чем идет речь ?
Управление непрерывностью
бизнеса
Source: BSI PAS56
27
Общедоступная спецификация (PAS) BSI 56
•
Устоявшиеся принципы, процессы и терминология ВСМ
•
Содержит описание практических приемов, шагов и
результатов
•
Простая модель из 6 шагов охватывает весь жизненный цикл
ВСМ
•
Подходит для всех отраслей и секторов
•
Единое средство для обеспечения согласованности действий
организации в случае ЧС
Минимизация ИТ-рисков
28
Жизненный цикл ВСМ
Жизненный цикл
BSI PAS 56 -
Учения,
поддержка и
контроль
Создание и воспитание
культуры непрерывности
бизнеса
Минимизация ИТ-рисков
Понимание
своего бизнеса
Стратегии
непрерывности
бизнеса
Управление
программой
Планы обеспечения
непрерывности бизнеса и
реагирования
30
Управление программой
•
Обеспечение руководства и выполнения
целей
•
Роли, распределение ответственности и
структура
•
Связь с другими проектами по управлению
рисками
•
Связь с процессами управления изменениями
•
Часть политики компании
•
Измерения и информационно-управляющая
система
Минимизация ИТ-рисков
31
Если можно измерить, то можно и
управлять – отслеживание прогресса
Управление
BCM Programпрограммой
m e ManagemВСМ
ent
100
Контроль
Audit
BCM
Policy ВСМ
Политика
90
80
Maintenance
Поддержка
BCM Assurance
Обеспечение
ВСМ
70
60
50
43
Exercising
Учения
40
38
46
BIA
30
16
20
10
28
3
38
3
0
54
Training/Aw areness
Обучение/осведомленность
60
Crisis управление
Managem ent
Кризисное
45
58
62
Solutions
Решения
47
68
Risk
Assessm
ent
Оценка
рисков
Organisation
(Corporate)
Организационная
Strategy стратегия
(корпоративная)
Process
Strategy
Стратегия
процесса
Planning
Планирование
Минимизация ИТ-рисков
Resource
Recovery
Strategy ресурсов
Стратегия
восстановления
32
%
120%
$35m
Объект DR
100%
Снижение рисков
80%
Базовая
инфраструктура
Расширение
DR
Базовое DR
60%
Расширенное DR
Полное DR
40%
20%
0%
4
-0
n
Ju
S
4
-0
p
e
D
4
-0
c
e
M
5
-0
ar
Минимизация ИТ-рисков
5
-0
n
Ju
S
5
-0
p
e
D
5
-0
c
e
M
6
-0
ar
6
-0
n
Ju
S
6
-0
p
e
D
6
-0
c
e
M
7
-0
ar
7
-0
n
Ju
% риска
% бюджета
Это должно быть как можно меньше
$2b
Начало
Бюджетные расходы
Это должно быть как можно больше
Снижение рисков и затрат – например,
путем реализации программы BCM
33
Понимание своего бизнеса
•
Карты процессов
•
Определение критичных бизнес процессов (Mission Critical Activity)
•
Выявление, определение и оценка рисков
– На уровне компании
– На уровне офиса
– На уровне процесса
•
Готовность рисковать (желание организации принимать определенный
уровень риска)
•
Анализ влияния на бизнес
–
Опора всего процесса ВСМ
–
Производственное и финансовое влияние
–
Восходящие/нисходящие зависимости
–
RTO, RPO и уровень непрерывности бизнеса
Минимизация ИТ-рисков
34
Практические аспекты.
Что дает оценка стоимости простоев ?
Нед
Дни
Часы
Мин
Сек
Сек
Мин
Часы
Дни
Мес
Потеря данных
Простой
(целевая точка восстановления)
(целевое время восстановления)
• Потеря данных/наработок
– Целевая точка восстановления (Recovery Point Objective, RPO)
- точка, определяющая состояние данных, в котором они должны
быть восстановлены
• Простой
– Целевое время восстановления (Recovery Time Objective, RTO время, за которое функционирование бизнес процессов должно
быть восстановлено
Минимизация ИТ-рисков
35
Практические аспекты.
Приоритезация задач с точки зрения восстановления
Нед
Дни
Часы
Мин
Сек
Сек
Мин
Часы
Дни
Мес
Потеря данных
Простой
(целевая точка восстановления)
(целевое время восстановления)
Биржевые сделки
Денежные переводы
Поддержка банкоматов
Электронная
почта
Биржевые сделки
Поддержка банкоматов
Электронная почта
Денежные
переводы
Минимизация ИТ-рисков
36
Стратегии непрерывности бизнеса
•
Корпоративный уровень
– Стратегия ВСМ организации
– Общий подход
– Подчиненность сверху вниз
– “Что надо защищать – чем можно пожертвовать”
•
Уровень процесса
– Восстановление ключевых процессов
•
Восстановление ресурсов
– Корпоративный уровень или уровень процессов
– Экстренные меры и ресурсы
Минимизация ИТ-рисков
37
Планы и процессы обеспечения непрерывности бизнеса
•
Планы непрерывности бизнеса – Что, как и где
– Удовлетворение RTO, RPO
– Процедуры реагирования
•
Внедрение решений по
восстановлению
– ИТ ресурсы и телекоммуникации (IT
DR)
– Технические средства
– Внешние хранилища данных,
бункеры, командные центры
– Организационные мероприятия
Минимизация ИТ-рисков
38
Воспитание культуры ОНБ
•
Зачем ? – Люди – это главная “движущая сила”
•
Поддержка ВСМ высшим руководством
•
Осведомленность по всей организации
•
Материалы по пропаганде ВСМ
•
Все изменения, происходящие в организации должны
отражаться на программе ВСМ
. . . часть повседневной деятельности.
Минимизация ИТ-рисков
39
Учения, поддержка и контроль
Почти все планы при первой реализации проваливаются!
•
Определение программы учений
–
–
•
•
Типы
•
Имитационные, теоретические, функциональные или полномасштабные
•
Включают проверку: схем оповещения, технологических решений, Резервных ВЦ, действий команд восстановления
График проведения и Приоритеты
Определение режима управления
–
Частота пересмотра программы
–
Связь с процессами управления изменениями
Аудит и контроль
–
Политика, стратегия, структура, PAS 56 и т.п.
–
Проверка процедур и процессов кризисного управления
Минимизация ИТ-рисков
40
В чем причина несерьезного отношения к ВСМ ?
•
Недопонимание проблемы
•
«Страусиная политика» и «Авось»
•
Выдача желаемого за действительное
•
Дороговизна решений по ВСМ
•
Некоторые компании не так подвержены риску
•
Прагматизм зачастую означает, что делается
только половина работы
•
Внедрение ВСМ часто выявляет
фундаментальные проблемы в организации
•
Недостаточная мотивация
Минимизация ИТ-рисков
41
Примеры НЕработающих программ ВСМ
Технология
ТераБайты данных, одновременно
восстанавливаемые в случае ЧС
«Холодное» восстановление >100
систем
Использование старого оборудования
для восстановления ИТ систем
Организация
Планы восстановления,
ориентированные на команды, а не
процессы
Аутсорсинг команд кризисного
реагирования
Восстановление организации в изоляции
от внешнего мира
Минимизация ИТ-рисков
Помещения
Резервные ВЦ в центре города
Совместное использование офисных
помещений с другими компаниями
Использование помещений не
соответствующих требованиям ИТ
Процессы
Фокус на восстановлении, а не обеспечении
надежности
Восстановление ИТ систем без кризисного
управления и восстановления рабочих мест
Планы восстановления на 100 стр
Ограничение тестов только ИТ
42
Повестка дня
Symantec Global Services – портфель решений
ИТ-риски вызывают сенсации
Базовый подход к управлению ИТ-рисками
Пример методик – Аудит ИБ, Программа по
Управлению Непрерывностью Бизнеса
С чего начать?
Минимизация ИТ-рисков
43
Как использовать уникальный опыт
Symantec в области ИТ-рисков
Поговорите с представителями Symantec об ИТ-рисках и BCM
Оценка фундаментальных ИТ-рисков
Углубленная оценка конкретных ИТ-рисков в следующих
областях:
Безопасность
Эксплуатационная готовность
Производительность
Соблюдение нормативов
Проверка системы реагирования на инциденты и кризисного
управления
Оценка реального положения с обеспечением непрерывности
бизнеса
Минимизация ИТ-рисков
44
Спасибо!
Андрей Зеленский
[email protected]
© 2006 Symantec Corporation. All rights reserved.
THIS DOCUMENT IS PROVIDED FOR INFORMATIONAL PURPOSES ONLY AND IS NOT INTENDED AS ADVERTISING. ALL WARRANTIES RELATING TO THE INFORMATION
IN THIS DOCUMENT, EITHER EXPRESS OR IMPLIED, ARE DISCLAIMED TO THE MAXIMUM EXTENT ALLOWED BY LAW. THE INFORMATION IN THIS DOCUMENT IS
SUBJECT TO CHANGE WITHOUT NOTICE.
Минимизация ИТ-рисков
45
Symantec Ethical Hacking Services
• Symantec Application and
Infrastructure Security Services
born from the acquisition of @stake
in 2004.
• Public referenses:
• @stake was the most famous
white-hat company, based both in
the US and in the UK.
• With the acquisition of @stake,
Symantec gathered best-of-breed
consultants, methodologies and
tools which now forms the core of
Symantec Professional Services
Assessment Team.
• Currently Symantec Security
Assessment Team is made up of
200+ consultants worldwide.
Минимизация ИТ-рисков
46
Secure application services portfolio
Requirements
• ADA - Application Design Assessment: identifies
potential security risks and recommends remediation
related to an application’s design
ADA
Design
ACR
Implement
ADLR
Test
APT
• ACR - Application Code Review: helps organizations
identify, prioritize, and remediate security vulnerabilities
within source code
Deploy
• APT - Application Penetration Tests: evaluate security
of web-based applications, commercial products, and new
or updated software
• ADLR - Application Development Lifecycle Review:
evaluates processes and provides recommendations for
establishing security across entire application
development lifecycle
Maintain
Минимизация ИТ-рисков
47