Modul HP Security HP Security Service Service module
Pro HP Proactive 24,24, Critical Service a Mission Critical Partnership For Proactive Critical Service, or Mission Critical Partnership HP Services Services HP
Modul HP Security Service je řešení podpory The HP Security Service module is an IT security & bezpečnosti IT a správy rizik, které vhodně doplňuje risk management support solution that seamlessly mission critical a proaktivní servisní kontrakty HP, complements HP mission criticalService, and proactive jmenovitě Proactive 24, Critical nebo Missupport contracts, namely Proactive 24, Critical sion Critical Partnership. Service or Mission Critical Partnership. Hrozby bezpečnosti IT během posledních let IT securityvzrostly, threats have increased znatelně zvýšila se jejich significantly frekvence a over the past few years, with increasing frequency and závažnost v krátkodobém i dlouhodobém horizontu. severity trends over both short and long term. It’s no Není tedy divu, že bezpečnost se stala středem wonderpro then, that security has becomena a major zájmu veškerý business, nezávisle jeho concern for all businesses regardless of their size. velikosti.
rozsahu a původu hrozby a pochopení terminologie One of the critical success factors in avoiding security a nejlepších postupů v rámci správy bezpečnosti a issue is to fully understand theHP scope nature of rizik IT. Bezpečnostní expert dodáand jednorázový threats, as well as reaching a common Security Awareness seminář, který zlepší vzájemné understanding terminology andHP best practices porozumění a of komunikace mezi a Vaším IT around the challenging topic of IT security oddělením a bezpečnostními zaměstnanci.& risk management. The HP security expert will deliver a Váš HP account manager následně vypracuone-time Securitysupport Awareness Seminar in order to je a přidá k account support plánu část speciálně help establish that common understanding and zaměřenou na bezpečnost a obsahující bezpečnost language between HP and your IT and security staff. jako vnitřní součást plánování onsite podpory a Your HP account support manager will then produce provozních porad. and add a specific security focused section to your As a result, management & riskklíčová is Správa bezpečnosti a rizikofITITjesecurity ve výsledku Srdce modulu Security Service security pro P24,asCS account supportHPplan and include an essential for any organization to achievecílů their pro dosažení obchodních a provozních jakýcha MCP tvoří assessment založený na ITIL a and nasintegral part of the onsite support planning business objectives and operational goals. Service koliv organizací. Metodologie a procesy IT IT Service tavený sessions. pro správu bezpečnosti a rizik. Cíl tohoto review Managementu („ITSM“)methodologies využívají prověřených Management (“ITSM”) and processes assessmentu je identifikace silných a slabých míst nejlepších praktik best jakopractices je ITIL k úspěšnému Vašich bezpečnostních praktik IT, politik a procesů are using proven such as ITILzavádění to The heart of the HP Security Service module for P24,v správy bezpečnosti a rizikmanagement IT do provozu. Modul porovnání praktikami v průmyslu a mezoperationalize successful of IT security CS or MCPsisnejlepšími an ITIL-based assessment, tailored for HP Security Service proService Proactive 24 („P24“), inárodními správy bezpečnosti & risk. The HP Security module for Proactive security andstandardy risk management. The goal ofinformací. this broad Critical Service („CS“) a Mission Critical PartnerTato službu je určena k objevení potenciál24 (“P24”), Critical Service (“CS”) and Mission based assessment is tonejen identify the strengths and ship („MCP“) Vás bude provádět kontinuálním ních slabších oblastí, ale i k doporučení priorit pro Critical Partnership (“MCP”) will guide you in the weaknesses of your IT security practices, policies and zlepšováním bezpečnosti business-critical infrastrukzlepšení služeb IT. continual improvement of your business-critical tury. Je založen na dlouhodobých zkušenostech HP a processes against industry best practices and infrastructure’s It is based HP’s long-term international standards for information security vedoucí pozici security. v poskytování ITSMon a bezpečnostních Dalším základním prvkem modulu HP Secuexperience and leadership in providing ITSM and management. This service is not only intended to služeb napříč všemi IT prostředími na podnikové rity Service je notifikace ze strany HP o kritických Security Services across enterprise-class IT reveal potential vulnerabilities, but also to suggest úrovni. informačně bezpečnostních upozorněních 24 hodin environments. priorities improvement. denně 7 for dníITv service týdnu, pokrývající široký výběr zdrojů Protože potřeby zákazníka spojené s bezpečností a a technologií. Na závěr, po určitý počet dní za rok Because customers’ serviceaneeds related to samotné IT As anotherstanovených core elementkontraktem of the HP Security riziky IT mohou být široké různorodé jako specificky - bude k Service dispozici security & risk management may be as diverse and module, HP will notify you about critical information téma, je modul HP Security Service flexibilní a uprav- bezpečnostní expert HP, aby poradil a asistoval u broad Obsahuje as the topicsadu itself, the HP Security security on a 24x7 basis, coveringčinností a very týkawide itelný. základních prvků,Service specifickpředemalerts probraných a odsouhlasených module flexible and scalable. It contains a set of range of sources and technologies. ých pro is jednotlivé úrovně podpůrných kontraktů, a jících se managementu bezpečnosti.Finally, for a seznam volitelných jež mohou býtsupport zakoupeny contractually defined amount of days per year, an HP core features which prvků, are specific to each kcontract uspokojení IT of a bezpečnostního Výsledkem je mnohem bezpečnější, dobřeand/or spravolevel,potřeb as wellVašeho as a list optional features Security Expert will be available, to advise prostředí. Tyto volitelné prvky navíc nabízejí vaná a adaptibilní infrastruktura IT, která poskytuje that may be purchased to meet the specific needs of assist you in security management related tasks that možnost rozšířit službu na dodatečné operační lepší been službypreviously vašemu businessu. menším potem your IT and security environments. These optional have discussed S and agreed. systémy („OS“), a tudíž i dodávku do heterogenních bezpečnostních incidentů a výpadků businessu bufeatures also offer the possibility to extend the service prostředí. deteresult schopni a optimalizovatadaptive výhody The is a snížit more náklady secure, well-managed, coverage to additional operating systems (“OS”), váš business a operace plynoucí z bezpečnější service to your ITpro infrastructure that delivers better across heterogeneous andzačátek: as such, váš deliver Pro HP account support manager – infrastruktury business. WithIT.fewer security incidents and less environments. vedoucí Vašeho dedikovaného týmu – pověří tento business disruptions, you will be able to reduce costs tým dodávkou služby P24, CS nebo MCP spolu To start with, your HP account support manager – the and optimize the benefits for your business and s bezpečnostním expertem HP, který má ITSM a leader of yourcertifikáty assigned aaccount team – will extend operations from a more secure and trusted IT bezpečnostní dostatek zkušeností s the support team in charge of delivering your P24, infrastructure. dodávkou služby. CS or MCP service with an HP security expert that carrieszboth ITSM and security certifications, and Jeden kritických faktorů úspěchu pro eliminaci service delivery experience. bezpečnostních problémů je plné porozumění
HP Technology Services are governed by the applicable HP terms and conditions of service provided or indicated to Customer at the time of purchase. HP Technology Services are governed by the applicable HP terms and conditions of service provided or indicated to Customer at the time of purchase.
Výhody služby • Hladce integrujete aspekty bezpečnosti s existujícími Mission Critical a Proaktivními službami HP • Srovnáte svůj současný management bezpečnosti a rizik IT s nejlepšími praktikami v oboru • Snížíte operační rizika, což povede ke zvýšené produktivitě Vašeho businessu:
- Zlepšíte schopnost své organizace čelit zneužití bezpečnostních chyb
- Snížíte riziko ztráty IT zdrojů
- Snížíte dopad na příjem a věrnost zákazníků,
způsobený bezpečnostními chybami • Zlepšíte shodu s regulatorními požadavky (regulatory compliance) • Zvýšíte důvěru ve váši správu bezpečnosti informací • Zvýšíte agilnost businessu díky zlepšené úspěšnosti při spravování bezpečnosti a rizik IT • Zvýšíte úroveň důvěry mezi IT a business jednotkami, zákazníky a investory.
Nejdůležitější prvky služby Tým zákaznické podpory:
Volitelné prvky:
• Bezpečnostní expert(i) HP doplňuje tým pověřen dodávkou ostatních prvků a modulů vašeho kontraktu podpory.
• Podpora dalších OS
Základní prvky:
• Pravidelné skenování zranitelnosti – od prosince 2007
• Security Awareness seminář • Security Support plán • Security Quick Assessment (pro kontrakty P24 a CS)
• Další dny bezpečnostních asistencí navíc • Testováni penetrace (externí a/nebo interní, na místě nebo dálkově)
• Upgrade na Security Intermediate Asessment (pro kontrakty P24 a CS) • Security Custom assessment
• Fundamental Security Improvement Service (pouze pro MCP kontrakty)
• Fundamental Security Improvement Service (pouze pro kontrakty P24 a CS)
• Security Support plánování a hodnocení
• Enhanced Security Bulletin Check (HP-UX)
• Upravitelné kriticko-bezpečnostní upozornění
• Security Bulletin upozornění (HP-UX) – od prosince 07
• Bezpečnostní rady a asistence
• Technical Security Audit (HP-UX)
Specifikace
Customer Support tým Bezpečnostní expert
Bezpečnostní expert HP doplní tým kontraktu Proactive 24 („P24“), Critical Service („CS“) nebo Mission Critical Partnership („MCP“). Bezpečnostní experti HP mají dvojí expertízu, jako Business Critical konzultanti HP, s bezpečnostními certifikáty a zkušenostmi. Business Critical konzultanti jsou ITSM specialisté, ověřeni ITIL Service Manager. Zároveň jsou certifikovaní bezpečnostní inženýři (úrovně certifikátů se liší podle lokace), kteří mají zkušenosti s dodávkou bezpečnostních služeb.
Základní prvky Security Awareness seminář
Security Awareness seminář je poskytován jednou, na začátku kontraktu. Týká se bezpečnostních rizik, problémů a nejmodernějších metodologií. Zároveň pomáhá najít společnou řeč se zákazníkovým IT a bezpečnostním personálem a managementem, což povede k efektivnější dodávce služby HP.
Security Support plán
Security Support plán je nadstavba k běžnému Account Support plánu (viz základní specifikace P24, CS nebo MCP). Bude sestaven Account support managerem na začátku dodávky Security Service HP, za asistence bezpečnostního experta HP, po schůzce s IT a/nebo bezpečnostním personálem zákazníka. Popisuje služby, které HP poskytne, definuje role a odpovědnosti a dokumentuje prostředí bezpečnostních služeb zákazníka. Security Support plán definuje veškeré dohodnuté aktivity a dodávky, a obsahuje kompletní seznam veškerého personálu HP a partnerů HP, zúčastněného na podpoře kritických IT služeb zákazníka, s detaily o jakýchkoliv základních podpůrných kontraktech a začlenění třetích stran. Security Plan zároveň doplňuje běžný Account Support Plan uvedením seznamu personálu zákazníka, zabývajícího se bezpečností IT.
Security Support Plán je aktualizován společně s běžným Account Support Plánem, tedy půlročně pro P24 a čtvrtročně pro CS nebo MCP kontrakty (viz Support Planning a popis služby).
HP Technology Services are governed by the applicable HP terms and conditions of service provided or indicated to Customer at the time of purchase.
2
Security Quick Assessment
HP Security Quick Assessment je celodenní workshop moderovaný HP, který umožňuje zákazníkovi porovnat své bezpečnostní politiky, procesy a infrastrukturu IT s nejlepšími postupy v průmyslu a standardy správy bezpečnosti informací. Poskytuje: •
Dotazník založený na kritériích, vyvinutý na základě standardů v průmyslu a zkušeností HP;
•
Informovanost o bezpečnostních konceptech, nejlepších postupech v oblasti managementu bezpečnosti a identifikaci silných a slabých stránek v doručování spolehlivé IT služby.
•
Analýzu a prezentaci výsledků workshopu s doporučeními založenými na nejlepších praktikách.
Tato služba je doporučena zákazníkům hledajícím potenciální bezpečnostní slabá místa personálu, procesů a technologií podporujících jejich business.
Základní služba zlepšující bezpečnost (jen MCP)
Základní služba zlepšující bezpečnost je klíčový prvek modulu HP Security Service pro MCP, který pomůže zákazníkovi při stálém zlepšování správy bezpečnosti IT. Služba obsahuje: •
Bezpečnostní assessment středního (intermediate) rozsahu, identifikující bezpečnostní rizika spojená s infrastrukturou IT a prostředí informačního businessu (detaily viz níže uvedené volitelné prvky);
•
Plánu zlepšování bezpečnosti, který definuje způsob adresování a snížení rizik identifikovaných během assessmentu;
•
Správu a aktualizaci plánu směřující k rychlejšímu dosažení cílů v plánu obsažených;
•
Asistenci zákazníkovi při stálém zlepšování v souladu s plánem. Doporučeno jako základní součást MCP kontraktů, tato služba je zároveň dostupná jako volitelná u P24 a CS kontraktů.
Plánování a kontrola bezpečnostní podpory
Jednou za půl roku pro P24 a jednou za čtvrt roku pro CS nebo MCP uspořádá dedikovaný Account manager schůzku u zákazníka týkající se plánování a kontroly podpory (viz P24, CS nebo MCP pro další specifikace). Tato schůze bude zaměřena na diskuzi o bezpečnostní podpoře a jejích výsledcích. Zákazník a Account support manager probírají, hodnotí a upravují Plán bezpečnostní podpory, změny v IT prostředí zákazníka a v politikách IT. Za zákazníka se budou schůzky účastnit zaměstnanci zaměření na bezpečnost, zatímco Account support managerovi HP bude asistovat bezpečnostní expert HP.
Přizpůsobená kritická bezpečnostní upozornění
Poskytování kritických bezpečnostních upozornění (Critical Security Alerts) zajišťuje rychlou a jednotnou informovanost o nových slabých místech v bezpečnosti softwaru, hardwaru i prvků defenzivních systému (např. firewallů) které by mohly ohrozit dodávku služby. Upozornění procházejí inteligentním filtrovacím procesem, a bezpečnostní experti HP provádějí assessment kritičnosti, který je jednotný napříč platformami. Upozornění zároveň obsahují poslední hodnocené informace o dostupných protiopatřeních. Se souhlasem zákazníka jsou notifikace upraveny podle zákazníkovy specifické infrastruktury, a personálu jsou předávány pouze relevantní upozornění.
Tato služba je umožněna interním Bezpečnostním operačním centrem HP (SOC), které monitoruje 24 hodin denně širokou škálu zdrojů informací o bezpečnostních hrozbách, jako jsou editoři SW, oficiální a neformální bezpečnostní komunity a ostatní informace publikované na internetu.
Bezpečnostní rady a asistence Modul HP Security Service obsahuje 2 konzultační dny ročně určené bezpečnostním radám a asistencím v rámci kontraktu P24 a 4 dny ročně v rámci kontraktu CS. Pro MCP je doporučeno minimum 4 dny ročně.
Account support tým pracuje na porozumění obchodních cílů zákazníka a jeho IT prostředí, a poskytuje technické služby a znalosti nejlepších postupů, aby zlepšil bezpečnost a integritu podporované infrastruktury. Zákazníkovu týmu bezpečnostního managementu bude k dispozici Bezpečnostní expert HP, aby mu pomohl identifikovat bezpečnostní rizika a nabídnout nápravu, spolu s příležitostmi k efektivnímu zlepšení správy zranitelnosti (Vulnerability management).
Další dny Bezpečnostních rad a asistence mohou být zakoupeny jako volitelný prvek
Volitelné prvky Funkce nebo služba
Popis
Další operační systém (OS)
Pokud IT prostředí zákazníka obsahuje více než jeden operační systém (OS), musí být zakoupena přídavná bezpečnostní služba pro každý další OS, aby byla podpora platná pro všechny OS.
Další dny Bezpečnostních rad a asistence
K zákazníkovu kontraktu mohou být dodány další dny bezpečnostních rad a asistence, popsané výše. Toto může být provedeno během uzavírání kontraktu, nebo ad-hoc způsobem - zjistí-li zákazník náhlou potřebu dalších rad a asistencí při řešení bezpečnostních problémů.
Interní a externí testování penetrace
Penetrační test usiluje o získání maximální úrovně kontroly nad určeným systémem, provedený předstíraným interním či externím útočníkem. V interním penetračním testu je útočníkem někdo s přístupem
HP Technology Services are governed by the applicable HP terms and conditions of service provided or indicated to Customer at the time of purchase.
3
k vnitřní síti (vetřelec, mající fyzický přístup k zařízením – subdodavatel, účastník z třetí stany, nebo dokonce zaměstnanec); zatímco v externím penetračním testu může být útočníkem kdokoliv s internetovým připojením.
Za účelem ověření bezpečnosti zákazníkova prostředí a nalezení relevantních slabých míst se při provádění těchto testů HP drží standardních metodologií jako OSSTMM (Open Source Security Testing Methodology Manual) nebo doporučení v OWASP (Open Web Application Security), a zároveň i těch vnitřně vyvinutých, které kombinují nejlepší technologie ze světa undergroundu a výzkum bezpečnostních expertů HP.
Zařízení, jimiž se penetrační test zabývá, mohou zahrnovat síťové zařízení (jako např. routery a switche), servery základní infrastruktury a aplikace jako email, aplikační servery, firewally a IDS zařízení.
Zákazníkovi je prezentována zpráva vysvětlující provedené testy, kategorizující zranitelná místa podle rizika, shrnující zneužitá zranitelná místa a stopy zanechané na každém použitém hostu a doporučující vhodná opatření.
Rozsah a způsob realizace testu musí být probrán a schválen ještě před začátkem dodávky služby.
Pravidelné skenování zranitelných míst (dostupné od prosince 2007)
Službou Pravidelné skenování zranitelných míst HP pravidelně detekuje a identifikuje síťová zařízení připojená k internetu a porovnává je s extenzivní databází zranitelných míst. HP pak předá zákazníkovi analýzu skenování a písemnou zprávu obsahující klíčová zjištění a návrhy příslušných opatření.
Pokud není dohodnuto jinak, skenování zranitelných míst je prováděno čtvrtletně.
Je rovněž možno provést interní síťová skenování, která by měla být předmětem specifického Statementu of Work pro upřesnění frekvence a rozsáhlosti služby.
Upgrade na Security Intermediate Assessment
HP Security Intermediate Assessment je podrobnější verze Security Quick Assessment, popsané výše v základních prvcích. Služba obsahuje: •
8 až 12 rozhovorů s příslušnými zaměstnanci zákazníka
•
Identifikaci rizikových oblastí v následujících doménách (s klíčovými doporučeními k řešení):
o
Zákazníkovy bezpečnostní praktiky, politiky a procesy;
o
Fyzická bezpečnost (kontroly přístupu, umístění systému, monitorování bezpečnosti, rozvržení a bezpečnost pracoviště);
o
Infrastruktura IT (silné a slabé stránky bezpečnosti na systémové úrovni včetně fyzickému přístupu ke konzolím, správa hesel, konfigurace hardwaru a softwaru, existence známých bezpečnostně slabých míst);
o
Správa firewallů
o
Bezpečnost aplikací a databází;
o
Bezpečnost (a úprava politik) přenosného vybavení (PDA, notebooků, MP3 přehrávačů...);
o
Interní bezpečnost a bezpečnost sítě
•
Zdokumentované zprávy s prezentací zjištěných skutečností
Tato služba je doporučena zákazníkům, kteří potřebují identifikovat specifické bezpečnostní hrozby ohrožující kvalitu služeb IT a zákazníkům, kteří mají podporu na úrovni HP Critical Services.
Security Custom Assessment
Bezpečnostní assessment může být upraven na úroveň požadovanou zákazníkem. Tato služba může nahradit nebo doplnit rychlý (quick) nebo střední (intermediate) bezpečnostní assessment. Poskytuje assessment bezpečnostních rizik spojených s infrastrukturou IT a business information prostředím zákazníka, plus strukturovaný Statement of Work (SOW), sloužící k identifikaci klíčových oblastí, které mají být hodnoceny. Jak je obsaženo v SOW, služba může zahrnovat prozkoumání více bezpečnostních domén, jako správa bezpečnosti, infrastruktury, IT service management, správa uživatelů a vývoj systému a služeb. Typické servisní aktivity bez omezení mohou obsahovat:
•
Analýza celkového bezpečnostního stavu a procedur, včetně analýzy politik (BS7799), hodnocení procesů a procedur a školení personálu;
•
Hodnocení fyzických bezpečnostních opatření, včetně kontroly přístupu, umístění systému, monitorování bezpečnosti, rozvržení a bezpečnost pracoviště;
•
Hodnocení bezpečnostních silných a slabých míst na systémové úrovni, včetně fyzického přístupu ke konzolím, správy hesel, existence známých slabých míst systému, konfigurační problémy a redundantní (nepotřebné) procesy nebo démony Windows na systémové úrovni;
•
Hodnocení interní a síťové bezpečnosti, včetně kontroly přístupu přes dial-up, detekce vniknutí, existence známých slabých míst, problémy se síťovou konfigurací a problémy týkající se provozu (traffic);
•
Hodnocení firewallu a obrany, včetně konfigurace pravidel, monitorování alarmů, ochrana proti virům a detekce vniknutí v reálném čase;
•
Hodnocení aplikační a databázové bezpečnosti, včetně zpevnění (hardening), heslové a uživatelské autentifikace, integrity dat, zálohovacích procedur a vývoje softwaru;
•
Hodnocení bezpečnosti klienta, včetně bezpečnosti desktopů, správy PDA a mobilních telefonů, přístupu na internet, práce z domu, povolení k přístupu a ochrany proti virům;
•
Identifikace bezpečnostních mezer na základě kombinace rozhovorů s klíčovými IT a bezpečnostními
HP Technology Services are governed by the applicable HP terms and conditions of service provided or indicated to Customer at the time of purchase.
4
zaměstnanci a auditů. Audity mohou obsahovat assessment dodržování bezpečnostních politik a procedur firmy, konfigurační audity a hodnocení fyzické bezpečnosti na místě. Automatizované nástroje mohou být použity k přístupu k síťovým, systémovým a databázovým slabým místům za účelem vyhodnocení online bezpečnosti a shody s politikami. •
Písemné zprávy obsahující výsledky zhodnocení bezpečnostních rizik a doporučení pro zlepšení situace.
Fundamental Security Improvement Service (jen P24 a CS)
Služba Fundamental Security Improvement Service, popsaná ve specifikacích základních prvků, je dostupná i pro kontrakty P24 a CS – jako volitelný prvek. V takovém případě bude quick assessment nahrazen intermediate bezpečnostním assessmentem obsaženým v základní službě zlepšující bezpečnost.
Enhanced Security Bulletin Check (HP-UX)
Enhanced Security Bulletin Check HP-UX poskytuje užitečné směrnice a efektivní a spolehlivou identifikací konkrétních bezpečnostních bulletinů vhodných pro HP-UX serverové prostředí zákazníka. (viz poznámka) Kontrola bezpečnostních bulletinů HP-UX zároveň verifikuje efektivní implementaci relevantních bulletinů do zákazníkových serverů. Slabá místa jsou identifikována a uveřejněna ve zprávě. Zákazník dostane jasný přehled současného stavu bezpečnosti a konkrétních míst, které vyžadují pozornost. Klíčové výhody jsou: •
Klíčový prvek k snížení bezpečnostních rizik;
•
Znatelně levnější než použití vlastního IT personálu;
•
Není třeba žádné intervence na serverech a nulový dopad na zdroje zákazníka v případě použití technologie dálkové podpory HP (Instant Support Enterprise Edition);
•
Při pravidelném používání pomáhá zajistit stálé dodržování bezpečnosti a obecně její lepší stav.
Pro další detaily ohledně služby se prosím obraťte na konkrétní list o HP Enhanced Security Bulletin Check
Sužba Enhanced Security Bulletin Check je zahrnuta jako kontraktuální nárok u kontraktů P24, CS a MCP a pravidelně poskytuje zprávy o analýze – dvakrát, čtyřikrát nebo šestkrát ročně.
Tento volitelný prvek modulů P24, CS nebo MCP sestává z obohacené verze kontrola bezpečnostních bulletinů HP-UX, která obsahuje: Vyšší frekvenci dodávky – čtyři, šest a dvanáct kontrol ročně; Rady a asistence v interpretaci hlášení kontroly bezpečnostních bulletinů a v tvoření akčního plánu pro každé doručení služby – prováděno minimálně jednou ročně na pracovišti.
Poznámka: Některé bezpečnostní bulletiny vyžadují manuální nápravnou akci. Implementace takovéto manuální akce nemusí být automaticky zkontrolována, nicméně celkové aplikování bulletinu na server ověřeno bude.
Notifikace o bezpečnostním bulletinu (HP-UX) (Dostupné od prosince 2007)
Notifikace o bezpečnostním bulletinu HP-UX (SBN) poskytuje efektivní způsob rychlého vyhodnocení dopadu nového HP-UX bulletinu na zákazníkovu organizaci a přehled serverů, které byly: •
zasaženy - bezpečnostní bulletin použitelný, nápravné akce musí ještě být implementovány;
•
napraveny - bezpečnostní bulletin použitelný, nápravné akce byly implementovány;
•
nezasaženy - bezpečnostní bulletin se těchto serverů netýká.
Na základě těchto informací jsou plánovány akce potřebné k eliminaci identifikovaných zranitelností.
Pomocí služby Notifikace o bezpečnostním bulletinu jsou servery HP-UX porovnávány s konkrétním specifickým bezpečnostním bulletinem (zpravidla nového vydání). Tato služba je doplňková k službě Kontrola bezpečnostních bulletinů HP-UX, pomocí které jsou servery konfrontovány se všemi vydanými bezpečnostními bulletiny. Důležitá je zde rychlost reakce, protože identifikovaná slabá místa musí být opravena, než je někdo zneužije.
Technical Security Audit
Technical Security Audit je vyčerpávající hodnocení konfigurace operačního systému, které slouží k nalezení slabých míst ve způsobu užívání systému.
Konfigurace vícera oblastí (uživatelé a skupiny, ověření, audity, síťové služby, atd.) je získána přímo z vybraných systémů a srovnána s nejlepšími vybranými praktikami – jako jsou ty, jež jsou navržené Centrem Internetové Bezpečnosti, stejně jako ty navržené v HP.
Je vytvořena závěrečná zpráva pro zákazníka, obsahující seznam hodnocených věcí, identifikované neshody s nejlepšími praktikami, důvody, způsobující zranitelnosti a konečně, seznam doporučených akcí.
Tato služba je momentálně omezena na servery HP-UX, ale pokrytí OS je pravidelně rozšiřováno. Ohledně dostupnosti služby kontaktujte prosím svého lokálního zástupce služeb HP.
HP Technology Services are governed by the applicable HP terms and conditions of service provided or indicated to Customer at the time of purchase.
5
Způsobilost k službě
Podmínky
Aby mohl zákazník zakoupit modulu HP Secu- rity service, musí mít uzavřen aktivní kontrakt Proactive 24, Critical Service nebo Mission Critical Partnership, který obsahuje buď modul služeb serverů, nebo modul služeb sítě.
Ačkoliv lze jednoduše upgradovat volitelnými prvky, zákazník může koupit pouze modul HP Security Service, odpovídající úrovni základního kontraktu podpory, tedy Proactive 24, Critical Service nebo Mission Critical Partnership.
Chce-li zákazník využít služeb Notifikace o bezpečnostním bulletinu (HP-UX) a Kontrola bezpečnostních bulletinů (HP-UX), musí být na veškerých serverech, kterých se služba týká, instalována služba Instant Support Enterprise Edition („ISEE“), s povoleným sbíráním konfigurace a přenosu do HP. Dodávka v případě, že zákazník ISEE nemá, je možné – ale vyžaduje urychlené poskytnutí potřebných informací o všech serverech (nedoporučeno).
Omezení služby
Odpovědnosti zákazníka
Zákazník identifikuje hlavní zaměření, sestaví interní tým pro práci s HP account support týmem a plní povinnosti zákazníka během vývoje, implementace a hodnocení plánu bezpečnostní podpory.
Služby poskytnuté v rozsahu jednoho kontraktu podpory jsou omezeny na IT prostředí, spadající pod každodenní správu jednoho IT managera.
Rozsah modulu HP Security Service je omezen na rozsah základního kontraktu podpory, tedy Proactive 24, Critical Service nebo Mission Critical Partnership.
Pro objednání informací o modulu HP Security Service pro Proactive 24, Critical Service nebo Mission Critical Partnership kontaktujte svého lokálního zástupce HP a odvolejte se na následující číslo produktu:
Modul Security Service může standardně být aplikován pouze na jeden operační systém („OS“). Pro rozšíření na více OS musí být zakoupeny další Security OS options.
HA330AC
Pokud není jinak uvedeno, proaktivní a konzultační služby jsou prováděny během normální pracovní doby HP. Dodávka volitelných prvků je závislá na předchozí koupi těchto prvků.
Modul HP Security Service je navržen a k dis- pozici ke koupi jako doplňkový servisní modul k integraci s Proactive 24, Critical Service nebo Mission Critical Partnership kontrakty. Veškeré obecné termíny a podmínky dokumentované v platných technických popisech pro tyto služby jsou tudíž aplikovatelné i na modul HP Security Service.
Objednání informací
Modul HP Security Service musí být zakoupen na minimální délku 12 měsíců, synchronizován se základním Proactive 24, Critical Service nebo Mission Critical Partnership a splatitelný předem - buď ročně, čtvrtročně, nebo měsíčně. Zákazník musí veškeré zakoupené služby a volitelné prvky zahrnout v první i každé následující obnovující objednávce. Dostupnost prvků HP Security Service se může lišit v závislosti na lokálních zdrojích.
Více informací Pro více informací na HP Security service nebo jiné služby HP Mission Critical kontaktujte jakoukoliv z našich prodejních kanceláří nebo navštivte naši internetovou stránku na www.hp.com/hps/support
© 2007 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. The only warranties for HP products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. HP shall not be liable for technical or editorial errors or omissions contained herein.
HP Technology Services are governed by the applicable HP terms and conditions of service
To learn more, visit www.hp.com provided or indicated to Customer at the time of purchase. 4AA1-5064EEE, June 2007
