1 12 Jak garantovat bezpečnost systémů ve státní správě Tomáš Dvořáček Oracle Consulting3 Kvíz na začátek Čím se proslavil tento muž: Jménem Herve Fa...
Jak garantovat bezpečnost systémů ve státní správě Tomáš Dvořáček Oracle Consulting
Kvíz na začátek • Čím se proslavil tento muž: • Jménem Herve Falciani • Autor bezpečnostního SW pro HSBC • Do roku 2008 zodpovědný za zlepšování databází a bezpečnosti • Napsal nejhodnotnější email v dějinách daňové správy 3
...něco jednoduššího • Kdo jsou tito dva pánové: • Julian Assange – tvář WikiLeaks • Bradle Manning – poskytl přes 250 tis dokumentů získaných ze sítě SIPRNet
4
Jaká je situace ve státní správě? • Podle ankety z roku 2009 největší riziko vlastní zaměstnanci • Plánovaný vznik centrálních registrů a technologických center krajů • Rozpočtová omezení a restruktualizace • Standardy bezpečnostní pro dodavatele IS?
5
Oracle Security Inside Out Low level • Solaris / Linux / virtualizace • Šifrování a maskování dat • Kontrola privilegovaných uživatelů • Vícefaktorová autentizace • Sledování aktivit, audit • Zabezpečená konfigurace
Middleware • • • • •
Information
Správa identit Správa rolí Správa autorizací Adaptivní autentizace Virtuální adresářové služby
Infrastructure
Aplikace, dokumenty
Databases Applications Content
• • • •
Sledování a audit používaní dokumentů Správa přístupu Zabezpečení v / mimo firewall GRC
6
Oracle Security Inside Out Databázová bezpečnost • Šifrování a maskování dat • Kontrola privilegovaných uživatelů • Vícefaktorová autentizace • Sledování aktivit, audit • Zabezpečená konfigurace
Middleware Information
Aplikace, dokumenty
Infrastructure Databases Applications Content
7
Kompletní zabezpečení dat v databázi Virtual Private Database Label Security
Uživatelé Únik dat
Database Firewall
řeší problém Jak konsolidovat, ale nezpřístupnit data všem?
Data Masking
Test a vývoj
řeší problém Únik dat z testu/vývoje Bezpečnostní administrátor
řeší problém SQL Injection
Database Vault
řeší problém Zneužití pravomocí Dělba rolí ve správě db. Únik dat
Total Recall řeší problém Jak vypadala data v době incidentu?
Silná autentizace (ASO) řeší problém Převzetí přihlášení z Kerberos, MS Active Directory
Proxy authentication řeší problém Anonymní přístup přes společný technický účet
Transparent Data Encryption (ASO) řeší problém Únik dat přes operační systém Krádež záloh
Datové úložiště
Administrátoři
Audit Vault řeší problém Prokazatelnost Zahlazení stop Konsolidace auditu
Sledování a audit používaní dokumentů Správa přístupu Zabezpečení v / mimo firewall GRC
Information Infrastructure Databases Applications Content
12
Information Rights Management Zabezpečení informací mimo chráněná úložiště Aplikace
Obálka
Distribuce
Uživatelé
Oracle IRM Management Console
Oracle IRM Desktop Oracle IRM Oracle IRMServer Server
Sync práv a audit informací
Business Managers IT Admins
Audit
Secure offline cache
13
Správa autorizací (entitlements)
App
App
Application
Oracle Access Management Suite
App
App
Poté
App
Před
• Bezpečnostní politika zaprogramovaná do aplikace
• Definice a „psaní“ politik – posun od vývojáře k security
• Statická data – role z LDAP
• Centralizovaná správa bezpečnostních politik
14
Oracle pro GRC GRC reporty a analýzy Dashboardy
KRI, alerty
Reporty
GRC správa procesů Audit
Definice politik a procedur
Evidence problémů, jejich náprava
Event & Loss Mgmt
GRC kontroly v aplikacích SOD & Správa přístupů
Konfigurace aplikací
Monitorování transakcí
GRC kontrola infrastruktury Identity Mgmt
Data Security
Change Mgmt
Records Mgmt
Custom or Legacy Applications
Digital Rights
360º pokrytí • Jednotný zdroj informací • Předpřipravené dashboardy • Sledování KRI a problémů Centralizovaný náhled na GRC • Jednotné úložiště GRC • Audit kontrol • Správa nápravných opatření Zabudované kontrolní mechanismy • Detektivní, preventivní • Automatická kontrola • Předpřipravená knihovna Návaznost na systémy • Integrovaná správa identity a aplikačních kontrolních mechanismů • Ochrana sensitivních dat • Správa obsahu
