Ассоциация профессионалов в области информационной безопасности RISSPA проводит семинар «Безопасность бизнес-приложений» на площадке международной выставки InfoSecurity Russia. StorageExpo. Documation’2011.
Всегда актуальную тему раскроют и обсудят настоящие гуру в области информационной безопасности и ведущие специалисты в своих вопросах.
Итак, в программе:
1. Александр Поляков, технический Директор компании DigitalSecurity, руководитель DSecRG.
Один из наиболее известных в мире экспертов по безопасности ERP-систем и баз данных, получивший благодарности за обнаруженные уязвимости в продуктах производителей SAP и Oracle. Автор книги «Безопасность Oracleглазами аудитора: нападение и защита».
Специалист в области безопасности приложений ERP,CRM, SRM, RDBMS и прочих. Архитектор сканера «ERPScan- сканер безопасности SAP». Руководитель проекта OWASP-EAS. Постоянный докладчик международных конференций по безопасности: BlackHat, HITB, Source, Confinence, DeepSEC, Troopers, SecurityByte и др.
Доклад «Взломать SAP за 60 секунд из сети Интернет»
Проблемы безопасности SAP систем делятся на 3 уровня: разграничение доступа (SOD), ошибки конфигурации и программные уязвимости, безопасность ABAP и JAVA кода.
Если на уровне SOD основной риск - получение прав одного легитимного пользователя другим легитимным пользователем, то проблемы ошибок конфигураций могут привести к несанкционированному доступу к системе, что зачастую возможно удалённо из сети Интернет. В докладе будут рассмотрены примеры таких ошибок.
Кроме того, на практических примерах будут проанализированы проблемы, которые образуются на стыке ответственности администраторов и разработчиков, администраторов и специалистов по безопасности, а также представлены наглядные демонстрации 0-day уязвимостей.
2. Сергей Кудряшов, директор, услуги по аудиту систем и процессов, PwC
Опытный эксперт в области аудита бизнес-процессов, систем финансового и информационного контроля и разработке рекомендаций по улучшению системы внутреннего контроля, включая разделение прав доступа. Член Института внутренних аудиторов, сертифицированный аудитор информационных систем (CISA) и сертифицированный специалист в области управления рисками и контроля информационных систем (CRISC).
Доклад «Контроль и оптимизация разделения полномочий в бизнес-приложениях»
В докладе будут рассмотрены: задачи в области оптимизации прав доступа, концепция эффективного разделения прав доступа, инструменты для контроля и оптимизации прав доступа, специфика оптимизации прав доступа в российских компаниях.
3. Андрей Петухов, основатель и руководитель отдела консалтинга Internal Security
Исследователь в области веб-безопасности, научный руководитель и лектор факультета ВМиК МГУ. Один из основателей и участник CTF-команды Bushwhackers. Руководитель проекта OWASP Access Control Rules Tester. Cisco Certified Security Professional.
Доклад «Обеспечение безопасности расширений в корпоративных информационных системах: как обстоят дела у «них» и у «нас»
Одни из самых распространенных платформ для корпоративных информационных систем в России - SAP и 1C Предприятие. В обеих основную ценность представляют так называемые расширения, обеспечивающие клиентам требуемую функциональность: для SAP – это модули на языке ABAP, для 1С Предприятия – конфигурации, для создания которых используется встроенный язык программирования. С точки зрения информационной безопасности ситуация неутешительна: к задаче обнаружения закладок в custom-коде расширений в последние годы добавилось выявление классических веб-уязвимостей из OWASP Top10. В докладе будет рассмотрена оценка защищенности расширений корпоративных информационных систем, а также подходы к решению этой задачи в отношении платформы SAPв зарубежных странах, и в отношении платформы 1С – в России.
4. Сергей Колосков, менеджер, Ernst& Young
Опыт работы в сфере информационных технологий - 12 лет, в области информационной безопасности - более 8 лет. Сертифицированный аудитор информационных систем (CISA) и сертифицированный специалист по ИТ рискам и контролям (CRISC).Специализируется на вопросах аудита информационной безопасности, соответствию ИБ компаний требованиям международных стандартов и оценки ИТ рисков.
Доклад «Аудит безопасности бизнес-приложений. Что находят аудиторы?»
Один из важнейших аспектов комплексного подхода к обеспечению информационной безопасности - безопасность бизнес приложений. Какие ключевые недостатки выявляются при аудите бизнес приложений? Чем опасны выявленные недостатки для работающего бизнеса? Почему аудиторы находят за один рабочий день так много проблем в безопасности приложений? Ответы на эти вопросы с практическими примерами будут представлены в докладе.
Мы вас ждем 29 сентября в 15.00 в зале №1 пав. 4 ЭкоЦентра «Сокольники».
Приходите, будет интересно!
Количество мест ограничено. Регистрация на семинар доступна по http://risspa22.eventbrite.com/