Biztonság mindenek felett Varga Zsolt operatív igazgató Novell PSH zvarga@novell.com
Megfelelőség - Compliance Mit is jelent: megfelelni? A megfelelés nem egy fekete vagy fehér döntés eredménye hanem egy mérték. Egy komplex mérőszám, amely számos jellemző figyelembe vételével képződik, melyek egy része objektív, másik része szubjektív. megfelelni azt jelenti, hogy a szervezet összességében jól teljesít legalábbis a szabályozók szemszögéből. Ha valami erős, ellensúlyozza gyengeségünket más területen. A megfelelés nem vásárolható meg dobozból ez egy kockázatkezelési folyamat, amelyet a szervezetnek folyamatosan kell végeznie. 2
Megfelelőség - Compliance Célok a megfelelőséghez: Nem a 100%-os megfelelőség a cél. Ez nem praktikus. A megfelelőség a szervezeti működés és a szabályozás szinergiája. A cél az, hogy lényegesen ne hágjuk át az előírásokat, és rendelkezzünk megfelelő belső folyamatokkal és rendszerekkel, hogy elősegítsük (nem biztos, hogy garantáljuk) a kellő szintű megfelelést. Más szavakkal, a célunk az legyen, hogy a nem megfelelőség kockázatát kezeljük. 3
Az informatika szerepe... Szinte minden szabályozás az érzékeny információk módszeres felügyeletét írja elő. Az informatikai rendszerek alkalmasak lehetnek az ilyen előírások betartására, de: ez nem egy elengedhetetlen előírás. Alternatívaként a módszeres felügyelet ellátható manuális úton is. ez nem egy elegendő előírás. A módszeres felügyelet egy nagy követelmény halmaz részét képezi csak. 4
Az információ védelem legfontosabb céljai: Megőrizni a szervezet információinak: bizalmasságát (confidentiality), sértetlenség (integrity) és hozzáférhetőségét (availability) (CIA) bizalmasság szavatolása annak, hogy az információk kizárólag a jogosult személyek között kerül megosztásra. sértetlenség szavatolása annak, hogy az adatok teljessége és tartalma kontrol nélkül nem sérülhet. Az információk a felhasználás céljainak megfelelően pontosak. hozzáférhetőség szavatolása annak, hogy a rendszerek elérhetőek az információk szolgáltatása, tárolása és feldolgozása céljából, azok számára akiknek az szükséges. Bármelyik cél lényeges tévesztése, akár a legnagyobb vállalatok számára is veszélyt jelenthet. 5
Az információ védelem kulcsszava: "AAA" vagy "Tripla A": Azonosítás (Authentication) a személy ellenőrzésének folyamat, amely alapulhat azon (1) amit tud, (2) amilye van, (3) ami maga. Engedély kezelés (Authorization) annak meghatározása, amit a személy tehet. A megfelelő jogosultságoknak és jogosítványoknak az ellenőrzése. Naplózás (Accounting) annak követése, rögzítése és dokumentálása, amikor a felhasználó a rendszerben aktív. A hozzáférés szabályozás (Access Control) egy olyan biztonsági szolgáltatás, amely a fentieken alapul, és szabályozza a felhasználók és rendszerek interakcióját. 6
Integrált felügyelet Megoldás az információ védelmi célok eléréséhez Integrált személyazonosság- & biztonság felügyelet hozzáférés felügyelet személyazonosság felügyelet Információ védelmi rendszer biztonsági információ- és esemény felügyelet 7
Integrált felügyelet Kulcs komponensek Személyazonosság kezelés Felhasználó fiókok & jelszavak jogosultságok Konfigurációs adatbázis Rendszer és erőforrás felügyelet Leltár, Patch, és Alkalmazás felügyelet Biztonsági előírások Információ védelmi rendszer Korrelációk, esemény gyűjtés Hozzáférés felügyelet Hozzáférés és elérés szabályozás, naplózás Monitorok, riportok Biztonság & Megfelelőség Monitor Monitor, Elemzés, Riportok minden eseményről 8
és akkor szedjük szét a rubik kockát...
Kulcsfontosságú biztonsági célok Bizalmasság Megakadályozni a szándékos vagy véletlen jogosulatlan vagy helytelen információ közzétételt. Sértetlenség Olyan műszaki megoldás és folyamat, amely megvéd a szándékos vagy véletlen adatmódosítástól, és garantálja hogy az információink és IT rendszereink adatbázisok, weboldalak más kapcsolódó információk megőrzik konzisztenciájukat. Amennyiben lehetséges az információk valódiságát a források alapján ellenőrizni kell. Hozzáférhetőség Az információs rendszerek és a benne tárolt adatok elérhetőnek kell lennie a felhasználás céljaira. Egy rendszer kiesése nem okozhatja kulcs szolgáltatások hosszú távú sérülését. Redundanciával a tárolás, a feldolgozás a hálózat kapcsán, valamint mentésekkel és visszaállítási eljárásokkal kell garantálni a szükséges rendelkezésre állást. Használat szabályozás Annak garantálása és ellenőrzése, hogy az adatainak és információinkat jogosult felhasználók megfelelő módon használják, valamint annak megakadályozása hogy jogosult felhasználó nem megfelelően, vagy nem jogosult felhasználó használja. Naplózhatóság Az információ védelem felelősségét kijelölt személyhez kell rendelni, és meg kell teremteni a lehetőségét, hogy az információs rendszerek használata visszakövethető legyen. A Systematic, Comprehensive Approach to Information Security, Burton Group, Dan Blum, October 15., 2007 10
Biztonságirányítási rendszer Irányítási rendszer SOX, EuroSOX, HIPAA, ISO 27001/27002, PCI-DSS Megfelelőségi kritériumok Bizalmasság, sértetlenség, valódiság és így tovább... Megelőző Kontroll Security Information and Event Management Kontrollrendszer Identity and Policy Management (User Provisioning) Feltáró Security and Access Management Resources Javító Directory Database Appliance Server Workstation 11
Novell kontrollrendszer Novell Identity Manager Konfigurációs adatbázis Novell ZENworks Felhasználó fiókok & jelszavak jogosultságok Leltár, Patch, és Alkalmazás felügyelet Biztonsági előírások Információ védelmi rendszer Korrelációk, esemény gyűjtés Novell Access Manager Sentinel from Novell Hozzáférés és elérés szabályozás, naplózás Monitorok, riportok Monitor, Elemzés, Riportok minden eseményről 12
Novell kontrollrendszer Novell Identity Manager Felhasználó fiókok & jelszavak jogosultságok Életciklus kezelés Gyors és egyszerű jogosultság kiosztás Hatékony változás követés Megfelelőségi riportok Jelszó kezelés Hatékony megvalósítás Gyári csatolás az alkalmazásokhoz Digitális identitás kezelés Security Information and Event Management Security and Access Management Resources Directory Database Appliance Server Identity and Policy Management (User Provisioning) Workstation 13
Novell kontrollrendszer Novell Access Manager Hozzáférés és elérés szabályozás, naplózás Biztonságos hozzáférés biztosítása bármely csatornán, bárhonnan Jogosultság alapú hozzáférés single sign-on Központi adminisztráció Security Information and Event Management Security and Access Management Resources Identity and Policy Management (User Provisioning) Egyszerű integráció Directory Database Appliance Server Workstation 14
Novell kontrollrendszer Sentinel from Novell Monitor, Elemzés, Riportok minden eseményről Valós idejű monitoring Valós idejű elemzés Napló gyűjtés és konszolidálás Valós idejű megfelelőség Hatékony üzembe helyezés Security Information and Event Management Security and Access Management Resources Identity and Policy Management (User Provisioning) Directory Database Appliance Server Workstation 15
Célok elérése - Novellel Bizalmasság Novell Identity Manager and Novell Access Manager Megakadályozni a szándékos vagy véletlen jogosulatlan vagy helytelen információ közzétételt. Sértetlenség Novell Identity Manager and Novell Access Manager Olyan műszaki megoldás és folyamat, amely megvéd a szándékos vagy véletlen adatmódosítástól, és garantálja hogy az információink és IT rendszereink adatbázisok, weboldalak más kapcsolódó információk megőrzik konzisztenciájukat. Amennyiben lehetséges az információk valódiságát a források alapján ellenőrizni kell. Hozzáférhetőség Novell ZENworks Orchestrator Az információs rendszerek és a benne tárolt adatok elérhetőnek kell lennie a felhasználás céljaira. Egy rendszer kiesése nem okozhatja kulcs szolgáltatások hosszú távú sérülését. Redundanciával a tárolás, a feldolgozás a hálózat kapcsán, valamint mentésekkel és visszaállítási eljárásokkal kell garantálni a szükséges rendelkezésre állást. Használat szabályozás Novell Identity Manager and Novell Access Manager Annak garantálása és ellenőrzése, hogy az adatainak és információinkat jogosult felhasználók megfelelő módon használják, valamint annak megakadályozása hogy jogosult felhasználó nem megfelelően, vagy nem jogosult felhasználó használja. Naplózhatóság Sentinel from Novell Az információ védelem felelősségét kijelölt személyhez kell rendelni, és meg kell teremteni a lehetőségét, hogy az információs rendszerek használata visszakövethető legyen. A Systematic, Comprehensive Approach to Information Security, Burton Group, Dan Blum, October 15., 2007 16
Összefoglalva... A megfelelőség... A megfelelés nem egy fekete vagy fehér döntés, és nem bevásárolható A célunk az, hogy a nem megfelelőség kockázatát folyamatosan kezeljük Az információ biztonság kapcsán elvárás... Megakadályozni, feltárni és megoldani a biztonsági problémákat Megőrizni a bizalmasságot, sértetlenség és hozzáférhetőségét (CIA) Az információ védelem mozgatórugóinak betartása, azonosítás, engedély kezelés, naplózás (AAA): Személyazonosság és biztonság felügyelet... A megadott elvárásoknak való megfelelés eszköze 17 A Novell az integrált személyazonossági és biztonság felügyeleti megoldás vezető szállítója
Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.