Identity-Powered Security. Hargitai Zsolt üzletfejlesztési vezető szeptember 30

Identity-Powered Security Hargitai Zsolt üzletfejlesztési vezető 2014. szeptember 30.

Mai téma Aktuális kihívások a biztonság területén Törvényi és iparági előírások Megoldásaink 



3

Egyedülálló portfólió a Novell és a NetIQ termékek integrációjával A legteljesebb termékkör a compliance területén

NetIQ, Novell, SUSE Magyarországi Képviselet

A probléma

A fenyegetések egyre összetettebbek • APT

támadások (Advanced Persistent Threats) • Belső támadások • Véletlen adatpublikálás

5

A „hekkelés” nagy üzlet

A környezet egyre bonyolultabb

Felhő

Mobil

BYOD

Közösség

A jelenlegi megközelítés már nem működik

8

A válasz NEM a több adat

9

•

A biztonsági osztályoknak már most is több adata van, mint amit fel tudnak dolgozni

•

Új eszközök és új infrastruktúra szükséges

Egyszerűen kifejezve…

Túl sok a zaj és túl kevés az információ

10

Mi a kulcs?

A személyazonosság

Identity-Powered Security

Személyazonosság alapú biztonság

12

Integráció Szemályazonosság, hozzáférés, biztonság

13

A NetIQ és Novell megoldásokkal…

14

•

… menedzseljük a rendszergazdai jogokat és monitorozzuk a tevékenységet

•

… biztosítjuk, hogy mindenkinek csak annyi jogosultsága legyen, ami feltétlenül szükséges

•

… hamarabb észrevesszük a biztonsági eseményeket és hatékonyabban tudunk reagálni rájuk

Új előírások a biztonság területén

Aktualitások, új és régi előírások 





2013. évi L törvény – Az elektronikus információbiztonságról 77/2013 (XII.19.) NFM rendelet További előírások, amikről még szó lesz   

16

2012-es adatvédelmi törvény PCI DSS ISO27001:2005 Controls

© 2013 NetIQ Corporation. All rights reserved.

Kikre vonatkozik az új „infobiztonsági törvény”? •

•

17

A teljes közigazgatás plusz  aki számukra adatkezelést végez  aki a nemzeti adatvagyon adatfeldolgozója  aki kritikus információs infrastruktúrát szolgáltat

© 2013 NetIQ Corporation. All rights reserved.

Követelmények, megoldások

Általános követelmények 

Biztonsági osztályba sorolás  





  

19

Felülvizsgálat három évente 90 napon belül cselekvési terv az esetleges hiányosság megszüntetésére 2 éven belül megoldás a magasabb szintekre, 1 éven belül az egyes szintre

Biztonsági szabályzat készítése Biztonsági felelős kinevezése Munkatársak oktatása ...

© 2013 NetIQ Corporation. All rights reserved.

Logikai védelmi intézkedések          

20

3.3.1. Konfigurációkezelés 3.3.2. Üzletmenet (ügymenet) folytonosság tervezése 3.3.3. Karbantartás 3.3.4. Adathordozók védelme 3.3.5. Azonosítás, hitelesítés 3.3.6. Hozzáférés ellenőrzése 3.3.7. Rendszer- és információsértetlenség 3.3.8. Naplózás és elszámoltathatóság 3.3.9. Rendszer és kommunikációvédelem 3.3.10. Reagálás a biztonsági eseményekre

© 2013 NetIQ Corporation. All rights reserved.

Konfigurációkezelés Infobiztonsági törvény végrehajtási rendelet 

3.3.1. Konfigurációkezelés

PCI DSS 

2.2 Develop configuration standards for all system components

Megoldás 

21

ZENworks Configuration Management

© 2013 NetIQ Corporation. All rights reserved.

Üzletmenet (ügymenet) folytonosság tervezése Infobiztonsági törvény végrehajtási rendelet  3.3.2. Üzletmenet (ügymenet) folytonosság tervezése

Adatvédelmi törvény  7.5.e A telepített rendszerek üzemzavar esetén történő helyreállíthatóságát biztosítani kell. ISO 27001  14. fejezet: Business Continuity Management Megoldás  PlateSpin Forge

22

© 2013 NetIQ Corporation. All rights reserved.

Adathordozók védelme Infobiztonsági törvény végrehajtási rendelet  3.3.4. Adathordozók védelme

ISO 27001  11.7 Mobile computing and teleworking  12.3 Cryptographic controls Megoldás  ZENworks Full Disk Encryption  ZENworks Endpoint Security

23

© 2013 NetIQ Corporation. All rights reserved.

Azonosítás, hitelesítés Infobiztonsági törvény végrehajtási rendelet 

3.3.5. Azonosítás, hitelesítés

Adatvédelmi törvény 

7.5.b Jogosulatlan személyek hozzáférésének megakadályozása

ISO 27001 

11. Access control

PCI DSS 

2. Do not use vendor supplied defaults for system passwords and other security parameters

Megoldások 

 

24

Access Manager, CloudAccess, MobileAccess Advanced Authentication Framework Privileged User Manager

© 2013 NetIQ Corporation. All rights reserved.

Hozzáférés ellenőrzése Infobiztonsági törvény végrehajtási rendelet 

3.3.6. Hozzáférés ellenőrzése

Adatvédelmi törvény 

7.5.a Jogosulatlan adatbevitel megakadályozása

ISO 27001  

8. Human resource security 11.2.4. Review of user access rights

PCI DSS  

7. Restrict access to cardholder data by business need to know 8. Assign a unique ID to each person with computer access

Megoldások   

25

Access Governance Suite Identity Manager Privileged User Manager

© 2013 NetIQ Corporation. All rights reserved.

Rendszer- és információsértetlenség Infobiztonsági törvény végrehajtási rendelet 

3.3.7. Rendszer- és információsértetlenség

ISO27001 

12.4: Security of System Files

PCI DSS 

11. 5. Deploy file integrity monitoring tools

Megoldások  

26

Secure Configuration Manager Change Guardian

© 2013 NetIQ Corporation. All rights reserved.

Naplózás és elszámoltathatóság Infobiztonsági törvény végrehajtási rendelet 

I3.3.8. Naplózás és elszámoltathatóság

ISO 27001 

13.1. Reporting Information Security Events

PCI DSS 

10. Track and monitor all access to network resources and cardholder data

Megoldások 

27

Sentinel Log Manager

© 2013 NetIQ Corporation. All rights reserved.

Rendszer és kommunikációvédelem Infobiztonsági törvény végrehajtási rendelet  

3.3.9. Rendszer és kommunikációvédelem 3.3.9.2 Alkalmazás szétválasztás

Adatvédelmi törvény  

7.5.c. Személyes adatok továbbításának ellenőrizhetősége 7.5.d. Személyes adatok felvitelének ellenőrizhetősége

ISO 27001 

11.6.2 Sensitive system isolation

Megoldások 

28

ZENworks Application Virtualization

© 2013 NetIQ Corporation. All rights reserved.

Biztonsági események kezelése Infobiztonsági törvény végrehajtási rendelet 

3.3.10. Reagálás a biztonsági eseményekre

ISO27001 

13.1. fejezet Management of Information Security Incidents

PCI DSS 

12.9 Implement an incident response plan. Be prepared to respond immediately to a system breach.

Megoldások 

29

Sentinel

© 2013 NetIQ Corporation. All rights reserved.

Összefoglaló Identity-Powered security 

Megoldás az új kihívásokra

Törvényi és iparági előírások Megoldásaink 



30

Egyedülálló portfólió a Novell és a NetIQ termékek integrációjával A legteljesebb termékkör a compliance területén

NetIQ, Novell, SUSE Magyarországi Képviselet

Worldwide Headquarters 1233 West Loop South Suite 810 Houston, TX 77027 USA

31

+1 713.548.1700 (Worldwide) 888.323.6768 (Toll-free) [email protected] NetIQ.com

© 2014 NetIQ Corporation and its affiliates. All Rights Reserved.

www.netiq.com/communities

This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time. Copyright © 2014 NetIQ Corporation. All rights reserved. ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ Corporation or its subsidiaries in the United States and other countries.