Biztonság mindenek felett. Varga Zsolt operatív igazgató Novell PSH zvarga@novell.com

Hasonló dokumentumok
Könnyen bevezethető ITIL alapú megoldások a Novell ZENworks segítségével. Hargitai Zsolt Sales Support Manager Novell Hungary

Nemzetközi vállalat - a vállalati szoftvermegoldások egyik vezető szállítója

A HUEDU OpenLab iskolai alkalmazáscsomag Kovács Lajos

Nagyvállalati Linux üzemeltetés Horváth Gábor Kálmán

SUSE Success Stories Varga Zsolt

SUSE Studio 1.3 Hargitai Zsolt

Novell Sentinel Novell Sentinel Log Manager. Horváth Gábor K. vezető konzultáns Novell PSH

Nemzetközi vállalat - a vállalati szoftvermegoldások egyik vezető szállítója

SUSE Konferencia 2013 Szittya Tamás

Felhőszolgáltatások Varga Zsolt

Üzleti alkalmazások Linux platformon Az új SUSE Linux Enterprise 11 termékcsalád bemutatása

Az opensuse alapjai. Kéménczy Kálmán. October 13, 2006

Személyazonosság-kezelési (IDM) projektek tipikus célkitűzései és azok elérése

Novell HUEDU program. Az OpenLab iskolai alkalmazáscsomag. Kovács Lajos. Rendszermérnök

A SUSE Linux Enterprise portfólió Hargitai Zsolt

Oracle E-Business Suite auditok tapasztalatai. Gáspár Gyula Senior Manager Oracle License Management Services, Central Europe április 6.

Kovács Lajos. vezető konzultáns

NetIQ Novell SUSE újdonságok

Identity and Security Management. Kormány Zoltán konzultáns

Adóhatósági ellenőrzési adatszolgáltatás funkció Számla XML. Koltai Szilvia Lokalizációs vezető Termékfejlesztés 2015 október 7

Identity-Powered Security. Hargitai Zsolt üzletfejlesztési vezető szeptember 30.

Open Workgroup Suite rövid áttekintés. Kéménczy Kálmán service delivery manager Novell PSH

Eladni könnyedén? Oracle Sales Cloud. Horváth Tünde Principal Sales Consultant március 23.

Linux nagyvállalati környezetben. Kéménczy Kálmán Novell Inc.

ELO Digital Office ERP integráció

Novell Identity Manager. Kormány Zoltán konzultáns

Quick Talk: R12 E-business Tax versus Budapest Bank adózási követelmények

A legújabb Novell és Linux technológiák áttekintése PartnerNet2005 konferencia, Budapest április 21. Kéménczy Kálmán kkemenczy@novell.

VÁLLALATI MOBILITÁS MOBIL ESZKÖZ FELÜGYELETTEL ÉS BIZTONSÁGOS WIFI-VEL

Számlakezelés az ELO DocXtraktor modullal

Vállalatirányítási rendszerek

ELOECMSzakmai Kongresszus2013

Database upgrade és migrációs helyzet, Support és ACS szolgáltatások

Felhő alkalmazások sikerének biztosítása. Petrohán Zsolt

This document has been provided by the International Center for Not-for-Profit Law (ICNL).

A Novell edirectory felügyelete. Novell PSH Kft.

Hoszting környezetből publikus felhőbe való áttérés kérdései tervezés, migráció, üzemeltetés

ZENworks Comprehensive Endpoint management

EN United in diversity EN A8-0206/419. Amendment

Budapest, május 04. Mit tehet a munkahely a dolgozók egészségéért?

MŰANYAGOK ÉS A FENNTARTHATÓ FEJLŐDÉS. Nyéki Anikó, december 7.

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Melyek az újdonságok a Microsoft Dynamics AX 2012-ben? Sasfi Imre

1 Copyright 2012, Oracle and/or its affiliates. All rights reserved. Insert Information Protection Policy Classification from Slide 7

12. Haszongépjármű Műszaki Konferencia Június 2-3.

This document has been provided by the International Center for Not-for-Profit Law (ICNL).

Megfelelés az új iratkezelési rendeletnek az ELOik modullal

Inventor 2019 újdonságok

Szakmai felelősségbiztosítási program a MNMNK tagjai részére

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Utolsó módosítás:

This document has been provided by the International Center for Not-for-Profit Law (ICNL).

Copyright 2011, Oracle and/or its affiliates. All rights reserved.

Oracle Big Data koncepció. Stadler Gellért Vezető tanácsadó Oracle ConsulKng HTE 2015 Konferencia

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

Payment Center. Rövid útmutató. Verzió 1.0.1

USA Befektetési Útmutató

ACO burkolható fedlapok. ACO műszaki katalógus ACO Burkolható fedlapok UNIFACE PAVING SOLID

Magas hatásfokú, kétoldalas hetero-junction napelem cella gyártás Magyarországon.

2012. szeptember 6. Munkavállalói jóllét, elkötelezettség, vállalati eredményesség

Az Open Data jogi háttere. Dr. Telek Eszter

EU általános adatvédelmi rendelet Fábián Péter

Információbiztonság irányítása

A szoftverszolgáltatások kockázatai üzleti szemmel - DRAFT. Horváth Csaba PwC Magyarország

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

Cashback 2015 Deposit Promotion teljes szabályzat

Continuous delivery: cél a működő szoftver

Sun Identity Management megoldások Vértes Miklós

A belső védelmi rendszer megerősítése SIEM megoldások kiegészítése jogosultsági információkkal, konfigurációkezeléssel és tevékenységfigyeléssel

Magas hőmérsékletű teljesítmény-korlátozó fűtőkábel

2013 L. - tapasztalatok Antidotum 2015

Vállalati kockázatkezelés jelentősége

Egy atomerőmű építés beszállítójával szembeni irányítási rendszerkövetelmények

S/4HANA - az intelligens vállalat ERP rendszere

White Paper. Grounding Patch Panels

Aktuális adózási és szabályozási kérdések a turizmusban 2012-es adóváltozások Személyi jövedelemadó

Az igazság egyedüli forrása avagy hatékony törzsadatkezelés a közigazgatásban (MDM)

Kültér és közvilágítás LED világítási megoldások

A USER Kft - mint Open Text partner - bemutatása

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Mobil eszközökön tárolt adatok biztonsága

IT ADVISORY. Biztonság a felhőben. Gaidosch Tamás CISA, CISM, CISSP január 20.

Az Euclid Vegyipari Vállalat. Euco Diamond Hard. Liquid Densifier and Sealer

Business Solution ELO HR Recruiting Digitális munkaerőfelvétel-menedzsment

2 x M25, 1 x M20, 1 x M16 Közvetlen fűtőkábel-bemenet az egységbe M25 csatlakozó készlettel

Motherson. Proud to be part of the most exciting industries. 3. I. sz. melléklet Ügyfelekkel, üzleti partnerekkel szembeni etikus üzleti magatartás

Hogyan mérhet és javítható az informatikai szolgáltatások értékteremtése? Polgár Endre

Geológiai adatgyűjtés

Tenant szeparáció Exadata platformon Koncepció

ELO Knowledge. Business Solution. Business Solution ELO Knowledge. Digitális tudásmenedzsment. A digitális tudásmenedzsment

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Oracle Exalogic Elastic Cloud

Making security business-meaningful április 16.

Oracle identity & access management. peter.markovits@oracle.com Markovits Péter

Kiértékelési módszer és kockázat csoportosítás

Adózási kérdések az innováció és a K+F területén február 28.

Az áfa alapkérdései October 2010 PricewaterhouseCoopers

IT Szolgáltatás Menedzsment az oktatási szektorban - 90 nap alatt költséghatékonyan

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Átírás:

Biztonság mindenek felett Varga Zsolt operatív igazgató Novell PSH zvarga@novell.com

Megfelelőség - Compliance Mit is jelent: megfelelni? A megfelelés nem egy fekete vagy fehér döntés eredménye hanem egy mérték. Egy komplex mérőszám, amely számos jellemző figyelembe vételével képződik, melyek egy része objektív, másik része szubjektív. megfelelni azt jelenti, hogy a szervezet összességében jól teljesít legalábbis a szabályozók szemszögéből. Ha valami erős, ellensúlyozza gyengeségünket más területen. A megfelelés nem vásárolható meg dobozból ez egy kockázatkezelési folyamat, amelyet a szervezetnek folyamatosan kell végeznie. 2

Megfelelőség - Compliance Célok a megfelelőséghez: Nem a 100%-os megfelelőség a cél. Ez nem praktikus. A megfelelőség a szervezeti működés és a szabályozás szinergiája. A cél az, hogy lényegesen ne hágjuk át az előírásokat, és rendelkezzünk megfelelő belső folyamatokkal és rendszerekkel, hogy elősegítsük (nem biztos, hogy garantáljuk) a kellő szintű megfelelést. Más szavakkal, a célunk az legyen, hogy a nem megfelelőség kockázatát kezeljük. 3

Az informatika szerepe... Szinte minden szabályozás az érzékeny információk módszeres felügyeletét írja elő. Az informatikai rendszerek alkalmasak lehetnek az ilyen előírások betartására, de: ez nem egy elengedhetetlen előírás. Alternatívaként a módszeres felügyelet ellátható manuális úton is. ez nem egy elegendő előírás. A módszeres felügyelet egy nagy követelmény halmaz részét képezi csak. 4

Az információ védelem legfontosabb céljai: Megőrizni a szervezet információinak: bizalmasságát (confidentiality), sértetlenség (integrity) és hozzáférhetőségét (availability) (CIA) bizalmasság szavatolása annak, hogy az információk kizárólag a jogosult személyek között kerül megosztásra. sértetlenség szavatolása annak, hogy az adatok teljessége és tartalma kontrol nélkül nem sérülhet. Az információk a felhasználás céljainak megfelelően pontosak. hozzáférhetőség szavatolása annak, hogy a rendszerek elérhetőek az információk szolgáltatása, tárolása és feldolgozása céljából, azok számára akiknek az szükséges. Bármelyik cél lényeges tévesztése, akár a legnagyobb vállalatok számára is veszélyt jelenthet. 5

Az információ védelem kulcsszava: "AAA" vagy "Tripla A": Azonosítás (Authentication) a személy ellenőrzésének folyamat, amely alapulhat azon (1) amit tud, (2) amilye van, (3) ami maga. Engedély kezelés (Authorization) annak meghatározása, amit a személy tehet. A megfelelő jogosultságoknak és jogosítványoknak az ellenőrzése. Naplózás (Accounting) annak követése, rögzítése és dokumentálása, amikor a felhasználó a rendszerben aktív. A hozzáférés szabályozás (Access Control) egy olyan biztonsági szolgáltatás, amely a fentieken alapul, és szabályozza a felhasználók és rendszerek interakcióját. 6

Integrált felügyelet Megoldás az információ védelmi célok eléréséhez Integrált személyazonosság- & biztonság felügyelet hozzáférés felügyelet személyazonosság felügyelet Információ védelmi rendszer biztonsági információ- és esemény felügyelet 7

Integrált felügyelet Kulcs komponensek Személyazonosság kezelés Felhasználó fiókok & jelszavak jogosultságok Konfigurációs adatbázis Rendszer és erőforrás felügyelet Leltár, Patch, és Alkalmazás felügyelet Biztonsági előírások Információ védelmi rendszer Korrelációk, esemény gyűjtés Hozzáférés felügyelet Hozzáférés és elérés szabályozás, naplózás Monitorok, riportok Biztonság & Megfelelőség Monitor Monitor, Elemzés, Riportok minden eseményről 8

és akkor szedjük szét a rubik kockát...

Kulcsfontosságú biztonsági célok Bizalmasság Megakadályozni a szándékos vagy véletlen jogosulatlan vagy helytelen információ közzétételt. Sértetlenség Olyan műszaki megoldás és folyamat, amely megvéd a szándékos vagy véletlen adatmódosítástól, és garantálja hogy az információink és IT rendszereink adatbázisok, weboldalak más kapcsolódó információk megőrzik konzisztenciájukat. Amennyiben lehetséges az információk valódiságát a források alapján ellenőrizni kell. Hozzáférhetőség Az információs rendszerek és a benne tárolt adatok elérhetőnek kell lennie a felhasználás céljaira. Egy rendszer kiesése nem okozhatja kulcs szolgáltatások hosszú távú sérülését. Redundanciával a tárolás, a feldolgozás a hálózat kapcsán, valamint mentésekkel és visszaállítási eljárásokkal kell garantálni a szükséges rendelkezésre állást. Használat szabályozás Annak garantálása és ellenőrzése, hogy az adatainak és információinkat jogosult felhasználók megfelelő módon használják, valamint annak megakadályozása hogy jogosult felhasználó nem megfelelően, vagy nem jogosult felhasználó használja. Naplózhatóság Az információ védelem felelősségét kijelölt személyhez kell rendelni, és meg kell teremteni a lehetőségét, hogy az információs rendszerek használata visszakövethető legyen. A Systematic, Comprehensive Approach to Information Security, Burton Group, Dan Blum, October 15., 2007 10

Biztonságirányítási rendszer Irányítási rendszer SOX, EuroSOX, HIPAA, ISO 27001/27002, PCI-DSS Megfelelőségi kritériumok Bizalmasság, sértetlenség, valódiság és így tovább... Megelőző Kontroll Security Information and Event Management Kontrollrendszer Identity and Policy Management (User Provisioning) Feltáró Security and Access Management Resources Javító Directory Database Appliance Server Workstation 11

Novell kontrollrendszer Novell Identity Manager Konfigurációs adatbázis Novell ZENworks Felhasználó fiókok & jelszavak jogosultságok Leltár, Patch, és Alkalmazás felügyelet Biztonsági előírások Információ védelmi rendszer Korrelációk, esemény gyűjtés Novell Access Manager Sentinel from Novell Hozzáférés és elérés szabályozás, naplózás Monitorok, riportok Monitor, Elemzés, Riportok minden eseményről 12

Novell kontrollrendszer Novell Identity Manager Felhasználó fiókok & jelszavak jogosultságok Életciklus kezelés Gyors és egyszerű jogosultság kiosztás Hatékony változás követés Megfelelőségi riportok Jelszó kezelés Hatékony megvalósítás Gyári csatolás az alkalmazásokhoz Digitális identitás kezelés Security Information and Event Management Security and Access Management Resources Directory Database Appliance Server Identity and Policy Management (User Provisioning) Workstation 13

Novell kontrollrendszer Novell Access Manager Hozzáférés és elérés szabályozás, naplózás Biztonságos hozzáférés biztosítása bármely csatornán, bárhonnan Jogosultság alapú hozzáférés single sign-on Központi adminisztráció Security Information and Event Management Security and Access Management Resources Identity and Policy Management (User Provisioning) Egyszerű integráció Directory Database Appliance Server Workstation 14

Novell kontrollrendszer Sentinel from Novell Monitor, Elemzés, Riportok minden eseményről Valós idejű monitoring Valós idejű elemzés Napló gyűjtés és konszolidálás Valós idejű megfelelőség Hatékony üzembe helyezés Security Information and Event Management Security and Access Management Resources Identity and Policy Management (User Provisioning) Directory Database Appliance Server Workstation 15

Célok elérése - Novellel Bizalmasság Novell Identity Manager and Novell Access Manager Megakadályozni a szándékos vagy véletlen jogosulatlan vagy helytelen információ közzétételt. Sértetlenség Novell Identity Manager and Novell Access Manager Olyan műszaki megoldás és folyamat, amely megvéd a szándékos vagy véletlen adatmódosítástól, és garantálja hogy az információink és IT rendszereink adatbázisok, weboldalak más kapcsolódó információk megőrzik konzisztenciájukat. Amennyiben lehetséges az információk valódiságát a források alapján ellenőrizni kell. Hozzáférhetőség Novell ZENworks Orchestrator Az információs rendszerek és a benne tárolt adatok elérhetőnek kell lennie a felhasználás céljaira. Egy rendszer kiesése nem okozhatja kulcs szolgáltatások hosszú távú sérülését. Redundanciával a tárolás, a feldolgozás a hálózat kapcsán, valamint mentésekkel és visszaállítási eljárásokkal kell garantálni a szükséges rendelkezésre állást. Használat szabályozás Novell Identity Manager and Novell Access Manager Annak garantálása és ellenőrzése, hogy az adatainak és információinkat jogosult felhasználók megfelelő módon használják, valamint annak megakadályozása hogy jogosult felhasználó nem megfelelően, vagy nem jogosult felhasználó használja. Naplózhatóság Sentinel from Novell Az információ védelem felelősségét kijelölt személyhez kell rendelni, és meg kell teremteni a lehetőségét, hogy az információs rendszerek használata visszakövethető legyen. A Systematic, Comprehensive Approach to Information Security, Burton Group, Dan Blum, October 15., 2007 16

Összefoglalva... A megfelelőség... A megfelelés nem egy fekete vagy fehér döntés, és nem bevásárolható A célunk az, hogy a nem megfelelőség kockázatát folyamatosan kezeljük Az információ biztonság kapcsán elvárás... Megakadályozni, feltárni és megoldani a biztonsági problémákat Megőrizni a bizalmasságot, sértetlenség és hozzáférhetőségét (CIA) Az információ védelem mozgatórugóinak betartása, azonosítás, engedély kezelés, naplózás (AAA): Személyazonosság és biztonság felügyelet... A megadott elvárásoknak való megfelelés eszköze 17 A Novell az integrált személyazonossági és biztonság felügyeleti megoldás vezető szállítója

Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.