Biztonság mindenek felett Varga Zsolt operatív igazgató Novell PSH
[email protected]
Megfelelőség - Compliance •
2
Mit is jelent: megfelelni? –
A megfelelés nem egy “fekete vagy fehér” döntés eredménye – hanem egy mérték. Egy komplex mérőszám, amely számos jellemző figyelembe vételével képződik, melyek egy része objektív, másik része szubjektív.
–
“megfelelni” azt jelenti, hogy a szervezet “összességében jól teljesít” legalábbis a szabályozók szemszögéből. Ha valami erős, ellensúlyozza gyengeségünket más területen.
–
A megfelelés nem vásárolható meg dobozból – ez egy kockázatkezelési folyamat, amelyet a szervezetnek folyamatosan kell végeznie.
© Novell Inc. All rights reserved
Megfelelőség - Compliance •
3
Célok a megfelelőséghez: –
Nem a 100%-os megfelelőség a cél. Ez nem praktikus. A megfelelőség a szervezeti működés és a szabályozás szinergiája.
–
A cél az, hogy lényegesen ne hágjuk át az előírásokat, és rendelkezzünk megfelelő belső folyamatokkal és rendszerekkel, hogy elősegítsük (nem biztos, hogy garantáljuk) a kellő szintű megfelelést.
–
Más szavakkal, a célunk az legyen, hogy a nem megfelelőség kockázatát kezeljük.
© Novell Inc. All rights reserved
Az informatika szerepe...
4
•
Szinte minden szabályozás az érzékeny információk módszeres felügyeletét írja elő.
•
Az informatikai rendszerek alkalmasak lehetnek az ilyen előírások betartására, de: –
ez nem egy elengedhetetlen előírás. Alternatívaként a módszeres felügyelet ellátható manuális úton is.
–
ez nem egy elegendő előírás. A módszeres felügyelet egy nagy követelmény halmaz részét képezi csak.
© Novell Inc. All rights reserved
Az információ védelem legfontosabb céljai: •
•
5
Megőrizni a szervezet információinak: bizalmasságát (confidentiality), sértetlenség (integrity) és hozzáférhetőségét (availability) (CIA) –
bizalmasság – szavatolása annak, hogy az információk kizárólag a jogosult személyek között kerül megosztásra.
–
sértetlenség – szavatolása annak, hogy az adatok teljessége és tartalma kontrol nélkül nem sérülhet. Az információk a felhasználás céljainak megfelelően pontosak.
–
hozzáférhetőség – szavatolása annak, hogy a rendszerek elérhetőek az információk szolgáltatása, tárolása és feldolgozása céljából, azok számára akiknek az szükséges.
Bármelyik cél lényeges tévesztése, akár a legnagyobb vállalatok számára is veszélyt jelenthet.
© Novell Inc. All rights reserved
Az információ védelem kulcsszava: •
•
6
"AAA" vagy "Tripla A": –
Azonosítás (Authentication) – a személy ellenőrzésének folyamat, amely alapulhat azon (1) amit tud, (2) amilye van, (3) ami maga.
–
Engedély kezelés (Authorization) – annak meghatározása, amit a személy tehet. A megfelelő jogosultságoknak és jogosítványoknak az ellenőrzése.
–
Naplózás (Accounting) – annak követése, rögzítése és dokumentálása, amikor a felhasználó a rendszerben aktív.
A hozzáférés szabályozás (Access Control) egy olyan biztonsági szolgáltatás, amely a fentieken alapul, és szabályozza a felhasználók és rendszerek interakcióját.
© Novell Inc. All rights reserved
Integrált felügyelet
Megoldás az információ védelmi célok eléréséhez
Integrált személyazonosság& biztonság felügyelet hozzáférés felügyelet Információ védelmi rendszer
személyazonosság felügyelet
7
© Novell Inc. All rights reserved
biztonsági információ- és esemény felügyelet
Integrált felügyelet Kulcs komponensek
Személyazonosság kezelés
Konfigurációs adatbázis
Felhasználó fiókok & jelszavak jogosultságok
Leltár, Patch, és Alkalmazás felügyelet
Biztonsági előírások
Információ védelmi rendszer
Korrelációk, esemény gyűjtés
Hozzáférés felügyelet
Biztonság & Megfelelőség Monitor
Hozzáférés és elérés szabályozás, naplózás
Monitor, Elemzés, Riportok minden eseményről
Monitorok, riportok 8
Rendszer és erőforrás felügyelet
© Novell Inc. All rights reserved
és akkor szedjük szét a rubik kockát...
Kulcsfontosságú biztonsági célok Bizalmasság Megakadályozni a szándékos vagy véletlen jogosulatlan vagy helytelen információ közzétételt.
Sértetlenség Olyan műszaki megoldás és folyamat, amely megvéd a szándékos vagy véletlen adatmódosítástól, és garantálja hogy az információink és IT rendszereink – adatbázisok, weboldalak más kapcsolódó információk – megőrzik konzisztenciájukat. Amennyiben lehetséges az információk valódiságát a források alapján ellenőrizni kell.
Hozzáférhetőség Az információs rendszerek és a benne tárolt adatok elérhetőnek kell lennie a felhasználás céljaira. Egy rendszer kiesése nem okozhatja kulcs szolgáltatások hosszú távú sérülését. Redundanciával a tárolás, a feldolgozás a hálózat kapcsán, valamint mentésekkel és visszaállítási eljárásokkal kell garantálni a szükséges rendelkezésre állást.
Használat szabályozás Annak garantálása és ellenőrzése, hogy az adatainak és információinkat jogosult felhasználók megfelelő módon használják, valamint annak megakadályozása hogy jogosult felhasználó nem megfelelően, vagy nem jogosult felhasználó használja.
Naplózhatóság Az információ védelem felelősségét kijelölt személyhez kell rendelni, és meg kell teremteni a lehetőségét, hogy az információs rendszerek használata visszakövethető legyen. “A Systematic, Comprehensive Approach to Information Security”, Burton Group, Dan Blum, October 15., 2007 10
© Novell Inc. All rights reserved
Biztonságirányítási rendszer Irányítási rendszer SOX, EuroSOX, HIPAA, ISO 27001/27002, PCI-DSS
Megfelelőségi kritériumok Bizalmasság, sértetlenség, valódiság és így tovább...
Kontroll •
•
Megelőző
Kontrollrendszer Security Information and Event Management
Identity and Policy Management (User Provisioning)
Security and Access Management
Feltáró
Resources
•
Javító Directory
11
© Novell Inc. All rights reserved
Database
Appliance
Server
Workstation
Novell kontrollrendszer ®
Novell Identity Manager
Konfigurációs adatbázis
Felhasználó fiókok & jelszavak jogosultságok
Biztonsági előírások
Leltár, Patch, és Alkalmazás felügyelet
Információ védelmi rendszer
Korrelációk, esemény gyűjtés
Novell Access Manager
Sentinel from Novell
Hozzáférés és elérés szabályozás, naplózás
Monitor, Elemzés, Riportok minden eseményről
Monitorok, riportok 12
Novell ZENworks
© Novell Inc. All rights reserved
Novell kontrollrendszer ®
Novell Identity Manager Felhasználó fiókok & jelszavak jogosultságok Életciklus kezelés
•
13
Gyors és egyszerű jogosultság kiosztás
•
Hatékony változás követés
•
Megfelelőségi riportok
•
Jelszó kezelés
•
Hatékony megvalósítás
•
Gyári csatolás az alkalmazásokhoz
•
Digitális identitás kezelés
© Novell Inc. All rights reserved
Identity and Policy Management (User Provisioning)
Security Information and Event Management
Security and Access Management
Resources
Directory
Database
Appliance
Server
Workstation
Novell kontrollrendszer ®
Novell Access Manager Hozzáférés és elérés szabályozás, naplózás
•
Biztonságos hozzáférés biztosítása bármely csatornán, bárhonnan
•
Jogosultság alapú hozzáférés
•
single sign-on
•
Központi adminisztráció
•
Egyszerű integráció
Security Information and Event Management
Security and Access Management
Resources
Directory
14
© Novell Inc. All rights reserved
Identity and Policy Management (User Provisioning)
Database
Appliance
Server
Workstation
Novell kontrollrendszer ®
Sentinel from Novell Monitor, Elemzés, Riportok minden eseményről
•
Valós idejű monitoring
•
Valós idejű elemzés
•
Napló gyűjtés és konszolidálás
•
Valós idejű megfelelőség
•
Hatékony üzembe helyezés
Security Information and Event Management
Security and Access Management
Resources
Directory
15
© Novell Inc. All rights reserved
Identity and Policy Management (User Provisioning)
Database
Appliance
Server
Workstation
Célok elérése - Novellel Bizalmasság – Novell Identity Manager and Novell Access Manager Megakadályozni a szándékos vagy véletlen jogosulatlan vagy helytelen információ közzétételt.
Sértetlenség – Novell Identity Manager and Novell Access Manager Olyan műszaki megoldás és folyamat, amely megvéd a szándékos vagy véletlen adatmódosítástól, és garantálja hogy az információink és IT rendszereink – adatbázisok, weboldalak más kapcsolódó információk – megőrzik konzisztenciájukat. Amennyiben lehetséges az információk valódiságát a források alapján ellenőrizni kell.
Hozzáférhetőség – Novell ZENworks Orchestrator Az információs rendszerek és a benne tárolt adatok elérhetőnek kell lennie a felhasználás céljaira. Egy rendszer kiesése nem okozhatja kulcs szolgáltatások hosszú távú sérülését. Redundanciával a tárolás, a feldolgozás a hálózat kapcsán, valamint mentésekkel és visszaállítási eljárásokkal kell garantálni a szükséges rendelkezésre állást.
Használat szabályozás – Novell Identity Manager and Novell Access Manager Annak garantálása és ellenőrzése, hogy az adatainak és információinkat jogosult felhasználók megfelelő módon használják, valamint annak megakadályozása hogy jogosult felhasználó nem megfelelően, vagy nem jogosult felhasználó használja.
Naplózhatóság – Sentinel from Novell Az információ védelem felelősségét kijelölt személyhez kell rendelni, és meg kell teremteni a lehetőségét, hogy az információs rendszerek használata visszakövethető legyen. “A Systematic, Comprehensive Approach to Information Security”, Burton Group, Dan Blum, October 15., 2007 16
© Novell Inc. All rights reserved
Összefoglalva... •
•
•
17
A megfelelőség... –
A megfelelés nem egy “fekete vagy fehér” döntés, és nem bevásárolható
–
A célunk az, hogy a nem megfelelőség kockázatát folyamatosan kezeljük
Az információ biztonság kapcsán elvárás... –
Megakadályozni, feltárni és megoldani a biztonsági problémákat
–
Megőrizni a bizalmasságot , sértetlenség és hozzáférhetőségét (CIA)
–
Az információ védelem mozgatórugóinak betartása, azonosítás, engedély kezelés, naplózás (AAA):
Személyazonosság és biztonság felügyelet... –
A megadott elvárásoknak való megfelelés eszköze
–
A Novell az integrált személyazonossági és biztonság felügyeleti megoldás vezető szállítója ®
© Novell Inc. All rights reserved
Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability.
General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.
