A legkisebb jogosultság ( need-to-know / least privilege ) elv betartásának támogatása, elsősorban üzleti alkalmazásoknál

Hasonló dokumentumok
Gara Péter, senior technikai tanácsadó. Identity Management rendszerek

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

K&H Központosított felhasználó adminisztráció gyakorlati megvalósítása

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

Jogosultság-monitorozó rendszer kialakítása

Seacon Access and Role Management

Jogosultság igénylési folyamatok egységesítése a Magyar Telekom csoportnál. Magyar Telekom IAM rendszer Pálfy Zsolt Levente , 1.

Újdonságok az AX2012-ben! Hauserné Kozák Veronika

IT biztonsági törvény hatása

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

IIR Internal Audit 2011 Hogyan segítheti az IT háttér a hatékony kockázatkezelést?

AEO Tanácsadás. Megfelelés az informatikai és biztonsági követelményeknek. Bozsik Tibor IT csoport vezető

3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

Nemzeti Fejlesztési Ügynökség

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

Legjobb gyakorlati alkalmazások

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

A minőségbiztosítás folyamata, szereplők

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

IT üzemeltetés és IT biztonság a Takarékbankban

Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

IT Biztonsági és Adatvédelmi Incidenskezelési Szabályzat. Hatályos: május 25-től visszavonásig

Projektkövetés a 148/2002 (VII.1.) Kormány rendelet alapján

SZ-06 Belső ellenőrzési szabályzat

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

Informatikai prevalidációs módszertan

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

SZAKTUDÁS MENEDZSMENT CSOMAG. Gazdálkodói szakértelem

Hogyan használjuk ki a digitális HR lehetőségeit a munkaidő nyilvántartás kihívásainak kezelésére?

Általános Szerződési Feltételei

EU általános adatvédelmi rendelet Fábián Péter

Közigazgatási kutatások megvalósítása a TÁMOP számú projekt

Műszaki dokumentációkezelés az ELO-ban Ajkai Elektronikai Kft. esettanulmánya

Folyamat menedzsment Workflow

Információbiztonság irányítása

A LICENSZGAZDÁLKODÁS ÚTVESZTŐI. Gintli Sándor - Neubauer János

Kitaposatlan úton - az akkreditáció felé

Big Data az ellenőrzésben: Kihívás vagy lehetőség?

Közzététel a helyénvalósági kritériumokról

KIR 2.0 A KIR MEGÚJÍTÁSÁNAK ELSŐ LÉPÉSEI BARCSÁNSZKY PÉTER OKTATÁSI HIVATAL. TÁMOP-3.1.5/ PEDAGÓGUSKÉPZÉS Támogatása

Jogosultságkezelés felhasználói leírás

TÁJÉKOZTATÓ az OTH Szakrendszeri Információs Rendszerbe (OSZIR) történő regisztráció és belépés menetéről belföldi partner nevében

Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

IRÁNYTŰ A SZABÁLYTENGERBEN

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

General Data Protection Regulation G D P R. általános adatvédelmi rendelet. Dr. Czelleng Arnold 1

Projektmenedzsment sikertényezők Információ biztonsági projektek

BIZTONSÁGI KÉRDÉSEK AZ ÜZEMELTETÉS FOLYAMÁN V AZ IT ÜZEMELTETÉS RELEVÁNS SZABVÁNYAI

A minisztériumok és háttérintézményeik központi ellátását támogató web-es portál és munkafolyamat menedzsment-rendszer funkcionális működése

Információbiztonság fejlesztése önértékeléssel

A túszul ejtett szervezet

Vállalati folyamatok támogatása ELO-val Beszerzés management

OE-NIK 2010/11 ősz OE-NIK ősz

Közbeszerzési eljárások alapján szerződött termékek elektronikus megrendelése

PTE központi portál igénylés ELJÁRÁSREND

Az Informatikai kontrollok és számítógépes elemzı technikák használata a könyvvizsgálati munkában. Nagy Péter, CISA, ACCA

Elvárási rés a könyvvizsgálati tevékenység folyamatában. Dr. Füredi-Fülöp Judit Ternován Bernadett

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Biztonság mindenek felett. Varga Zsolt operatív igazgató Novell PSH

SFC2007 Jogosultságkezelési szabályzat

grpr.info.hu

IT Szolgáltatás Menedzsment az oktatási szektorban - 90 nap alatt költséghatékonyan

Fókuszban az információbiztonság

A januártól életbe lépő jogszabály jelentős változást hoz a köztulajdonú szervezetek irányításával kapcsolatos követelményekben, elsősorban

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

M e o > \ Főigazgatói Utasítás FIGU M ISK O L C jg J V fc V _/. o V. (A FIGU érvénybelépésének időpontja: ) Módosított oldalszám

A kormányzati informatika konszolidációja. Vályi-Nagy Vilmos. Helyettes államtitkár

Az ilex - The Corporate Law Centre fő jellemzői

Magyar joganyagok - 3/2016. (II. 18.) ORFK utasítás - a Robotzsaru integrált ügyviteli 2. oldal 8/B. Amennyiben az ügy hozzáférési szintjét a vezető s

QSA assessment tapasztalatok az auditor szemszögéből Tassi Miklós Tátrai Péter

Adatfeldolgozói megállapodás

OEME és az emelőgépekre vonatkozó jogi szabályozások Dr. Kása László elnök

CÉLOK ÉS ELŐIRÁNYZATOK, KÖRNYEZETKÖZPONTÚ IRÁNYÍTÁSI ÉS MEB PROGRAMOK

Budapest Bank Panaszkezelés. Túl egy sikeres PSZÁF vizsgálaton. Pataki István

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

ÜTA ECO csomag tartalmi leírása

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

Testnevelési Egyetem VPN beállítása és használata

Minőségirányítási eljárás készítése ME/42-01

A Pénzügyi Szervezetek Állami Felügyelete Elnökének 1/2010. számú ajánlása a javadalmazási politika alkalmazásáról. I. Az ajánlás célja és hatálya

Milyen feladatai vannak a csatlakozóknak az Elektronikus Egészségügyi Szolgáltatási Térhez csatlakozással kapcsolatban?

TÁJÉKOZTATÓ FEBRUÁR ELŐADÓ: DR. SZEPESI GÁBOR KRUCSÓ BALÁZS AZ ÖNKORMÁNYZATI ASP ORSZÁGOS KITERJESZTÉSE KAPCSÁN A CSATLAKOZTATÁSI KONSTRUKCIÓRÓL

esettanulmány minta

Megoldás. Feladat 1. Statikus teszt Specifikáció felülvizsgálat

8. Felhasználókezelés, jogosultságkezelés

Enterprise User Security

Vállalatirányítás könnyedén.

JOGI, MEGFELELŐSÉGI ELEMZÉS

2013 L. - tapasztalatok Antidotum 2015

Webleltár rendszer. Készítette: ABACOM Kft november. Abacom Kft.

4. Napirend ELŐ TERJESZTÉS évi belső ellenőrzési terv

Átírás:

A legkisebb jogosultság ( need-to-know / least privilege ) elv betartásának támogatása, elsősorban üzleti alkalmazásoknál Mihály Tamás CISA, CISM mtamas@xsmatrix.com, www.xsmatrix.com

Agenda 1. Az előadóról 2. Mit jelent a need-to-know elv, és hol kell, hogy megjelenjen az informatikai környezetben? 3. Ki(k)nek kell betartatnia? Milyen területeket érint? 4. Milyen kockázatok jelennek meg a fel nem ismert többletjogosultságok miatt? 5. Hogyan történt eddig ezek kezelése az üzleti alkalmazások szintjén? Milyen problémákkal lehetett szembesülni? 6. Milyen eszközzel tehetjük a kockázatokat mérhetővé és könnyebben kezelhetővé? 7. Hogyan lehet automatizált folyamatot kialakítani a jogosultságok rendszeres felülvizsgálatára? XS Matrix INC. 2

Az előadóról 20 éve az IT biztonsági szakmában IT security tanácsadó, IT belső ellenőr, IT biztonsági felelős, IT biztonsági vezető 10+ év CISO-ként jelentős hazai kereskedelmi bankokban Főbb tapasztalatok: Törvényi megfelelőség, nemzetközi szabványok Biztonság szervezés, kontroll folyamatok Kockázatfelmérés Csalásfelderítés / csalásmegelőzés Adatszivárgás gátlás Jogosultság felülvizsgálat XS Matrix INC. 3

Mit jelent a need-to-know elv, és hol kell, hogy megjelenjen az informatikai környezetben? Alapelvek, fogalmak Need-to-know, vagy Least privilege elve: Csak annyi adatot érhessen el és olyan funkciókat végezhessen a munkavállaló, ami a munkavégzéshez, a kijelölt belső folyamatok és tevékenységek ellátásához feltétlenül szükséges. Nem a számítástechnika térnyerése hozta létre ezt az elvet már a tisztán papíralapú világban is létezett (ki hová léphet be, mivel mit csinálhat, mihez kap kulcsot, stb.)! XS Matrix INC. 4

Mit jelent a need-to-know elv, és hol kell, hogy megjelenjen az informatikai környezetben? Szabályozási háttér Lényegében az összes ismert, IT biztonsággal foglalkozó, új, vagy hosszú múltra visszatekintő nemzetközi szabvány, vagy törvény tartalmazza. Például: ISO 27002 (9.2), COBIT (DS 5.3, 5.4), PCI DSS (7.1, 7.2), NIST 800-53 (AC6), GDPR, SOX, HIPAA Emiatt a megfelelésben a gazdálkodó szervezetek nagy része érintett! XS Matrix INC. 5

Mit jelent a need-to-know elv, és hol kell, hogy megjelenjen az informatikai környezetben? Gyakorlati megjelenése Az informatikai rendszerekben a felhasználók számára engedélyezett rendszerfunkciók, adatelérések jellemzően többszintűen: szerepkörökként, azon belül különböző (elemi) jogosultságokként (többféle paraméterrel meghatározható jogosultsági objektumokként) jelennek meg. Ettől eltérő, jóval komplexebb jogosultsági struktúrák is létezhetnek, de előfordul egyszintű, csak elemi jogosultsági objektumok kiosztási modellje is! XS Matrix INC. 6

Ki(k)nek kell betartatnia? Milyen területeket érint? Elsődlegesen érintett területek: Adatgazdák (Üzleti vagy szakmai területek vezetői, mint jóváhagyók) Jogosultságkezelési folyamat végrehajtói (pl. IT adminisztrátorok, IT biztonsági adminisztrátorok) Jogosultságkezelési folyamatot rendszeresen, operatívan ellenőrző területek (pl. IT biztonsági csoport) További érintett területek: Rendszer- és folyamatszervezők (a belső folyamatok módosulásának mindig lehet jogosultsági vonatkozása) Belső ellenőrzés (az éves tervezett üzleti/szakterületi vizsgálatai során, vagy IT biztonság vizsgálatakor) Egyéb biztonsági területek (pl. fizikai biztonság vagy bankbiztonság) Esetlegesen jogi vagy compliance területek (összeférhetetlenségek meghatározása, változó törvényi követelmények feltárása, stb.) XS Matrix INC. 7

Milyen kockázatok jelennek meg a fel nem ismert többletjogosultságok miatt? Az alábbi típusú belső incidensek esélye növekszik jelentősen: Egy felhasználó általi illetéktelen adathozzáférése munkacélhoz nem kapcsolható lekérdezések, legyűjtések, rátekintések (majd ebből adatszivárgás ) Egy felhasználó általi jogosulatlan funkcióhasználata Szándékos kontrollok kijátszása, belső visszaélések Véletlen hibás, nem szándékolt, ismeretlen funkciók használata Rendszerműködést befolyásoló események főleg kiemelt, adminisztratív jogokhoz köthető funkciók illetéktelen használata, pl. konfigurációs változtatások, üzleti paraméteradatok változtatása, feladatütemezések módosítása, stb. Több felhasználó belső összejátszása összeférhetetlen funkciók halmozódása esetén, többlépcsős folyamatok lerövidítése, ebből visszaélések XS Matrix INC. 8

Milyen kockázatok jelennek meg a fel nem ismert többletjogosultságok miatt? Azonosságlopáson alapuló külső támadások esetén: Nem kell jól védett privilegizált usereket támadni, az átlagos felhasználók körében könnyebb azonosítókat, jelszavak szerezni, szélesebb kör támadható pl. spear phishinggel. A széles jogkörök miatt nagyobb lehet az illetéktelenül elérhető adatok köre és/vagy Értékesebb, magasabb szintű jogosultságok szerezhetők meg. Az összeférhetetlen jogok miatt kevesebb belső felhasználói hitelesítő adatot is elég megszerezni. Külsős-belsős összejátszások ( önmagában is nehezen felderíthető és bizonyítható) esetén: Összeférhetetlen funkciók halmozódása esetén kevesebb belső felhasználó bevonására van szükség Kiemelt jogokkal több a lehetőség a belső nyomok eltüntetésére, véletlenként vagy hibajelenségnek feltüntethető tevékenység, amit a beavatott külsős kihasznál XS Matrix INC. 9

Hogyan történt eddig ezek kezelése az üzleti alkalmazások szintjén? Milyen problémákkal lehetett szembesülni? Tipikus megoldások a jogosultság kezelési folyamatra: 1. IDM (Identity Management) rendszer Kifejezetten a jogosultsági workflow-t és dokumentálást támogatja Akár automatizáltan be is állít jogokat 2. Helpdesk ticketing rendszer Nem céleszköz, de az igénylések, jóváhagyások dokumentálását akár workflowszerűen meg tudja oldani, visszakereshetőség is megoldott A jogok beállítására, illetve lekérdezésére biztosan nem képes 3. Excel tábla, Word űrlap + levelező rendszer Nem workflow jellegű működés, csak igénylések, jóváhagyások dokumentálására jó, visszakereshetőség nehéz A jogok beállítására, illetve lekérdezésére ez se képes 4. Papír alapon Kérelmezés, jóváhagyás, dokumentálás megoldott, visszakereshetőség nehéz Mára már talán teljesen kikopott ez a megoldás XS Matrix INC. 10

Hogyan történt eddig ezek kezelése az üzleti alkalmazások szintjén? Milyen problémákkal lehetett szembesülni? Tipikus problémák a jogosultság kezelési folyamatban (ezek mind a többlet jogok bővüléséhez vezetnek): Meglévő felhasználót (munkakört) tipizálnak (legyen olyan joga, mint XY-é!) Nem megfelelő szerepeket (jogosultságot) igényelnek Nem teljes körű az igényelhető szerepek köre Nem ismert a szerepek tartalma A szerepkörök elnevezésből nem látszik különbség Többszintű szerepkörök esetén nem a megfelelő szintet igénylik meg (hanem sokkal többet) A szerepkör tartalom már elavult A szerepkör tartalom már a kialakítása során sem volt megfelelő Az igényelt szerepkörök nem fedik le az adott munkakörben szükségeseket Munkakörre csoportosított (többszintű) szerepkörök is felesleges jogokat tartalmaztak Az új szerepkör nem is volt jóváhagyva A szerepkör jóváhagyás nélkül módosult (pl. a szerepkör módosítás nem is eleme a workflow-nak) XS Matrix INC. 11

Hogyan történt eddig ezek kezelése az üzleti alkalmazások szintjén? Milyen problémákkal lehetett szembesülni? Tipikus problémák a jogosultság kezelési folyamatban (ezek mind a többlet jogok bővüléséhez vezetnek): A módosuló folyamatok miatt nem dolgozzák át a szerepkör tartalmat, csak bővítik azokat (régi tartalmat nem veszik ki), esetleg más meglévővel összevonják A szerepkörök struktúráját nem akarják változtatni, hogy átlátható és könnyen kezelhető maradjon Az új szerepkörök nem lettek letesztelve, határidők szorításában gyorsan és jelentősen bővítik azokat ( majd a projekt után kitisztítjuk ) A jóváhagyások hanyag/tudatlan módon zajlanak (időhiány, nem megfelelő ismeret a rendszerről, folyamatokról) lényegében minden igény elfogadásra kerül A jóváhagyónak nem jelzi senki és semmi, ha érzékeny jogok vannak az igénylésben A jóváhagyók változása nincs időben lekezelve Nem a jóváhagyott jogokat állítják be (pl. emberi tévedés miatt) XS Matrix INC. 12

Hogyan történt eddig ezek kezelése az üzleti alkalmazások szintjén? Milyen problémákkal lehetett szembesülni? Tipikus problémák a jogosultság kezelési folyamatban (ezek mind a többlet jogok bővüléséhez vezetnek): Abelső áthelyezéskor nem kerülnek visszavonásra a régi jogok, csak újakat kap a dolgozó A távozó dolgozónak nem vonják vissza a jogait, nem törlik a rendszerből Nincs rendszeres felülvizsgálat a jogosultság kezelési folyamaton Nincs rendszeres felülvizsgálat a szerepkör tartalmakon (egészen a legalacsonyabb jogosultsági objektumok mélységéig), azok változását nem figyelik Ha van IDM rendszer, és van felülvizsgálat, akkor csak az általa gyűjtött adatokon alapszik a felülvizsgálat (holott a vizsgált rendszerben még lehet, hogy sokkal több felhasználó és jogosultság is van!) Ha van az IDM-ben összeférhetetlenségi / kiemelt jogi vizsgálat, akkor az csak munkakör, esetleg szerep mélységig vizsgál, esetleg a beírt szabályok is elavultak már Stb. XS Matrix INC. 13

Hogyan történt eddig ezek kezelése az üzleti alkalmazások szintjén? Milyen problémákkal lehetett szembesülni? Haennyiproblémavanvele,akkormiért nem ez van a fókuszban? Miért nem kezelik ezeket jobban? A felelősség megosztott: elsődleges felelősség ugyan a szakmai jóváhagyón, de ő tovább tudja tolni az IT-ra, IT security-ra, egyéb ellenőrző funkciókra arra hivatkozik, hogy a jogosultságok, szerepkörök túl technikaiak, nem elvárható, hogy mélységében ismerje a rendszert, nem kap támogatást a kockázatokról, stb. Komplex ismeretet igényel kell a rendszerről, üzleti/szakmai folyamatokról, kockázatokról, és a változásokat is követni kell A probléma magja nem is szerepkörökben, hanem mélyebben, az elemi jogosultsági objektumokban van, ez valóban technikai szint! Nincs erőforrás rendszeres felülvizsgálatra a szerepkör tartalmakra (egészen a legalacsonyabb jogosultsági objektumok mélységéig), azok változását nem figyelik Nincs megfelelő eszköz, amellyel natív módon kiemelhetők a rendszerekből a jogosultságok (hogy ezzel az IDM működése is kontrollálható legyen) Stb. XS Matrix INC. 14

Milyen eszközzel tehetjük a kockázatokat mérhetővé és könnyebben kezelhetővé? Gyakorlati tapasztalatom alapján az alábbi elvárások teljesítése kell ahhoz, hogy a túlzott jogokat (a vizsgálati területeken pl. IT security) a probléma gyökerénél lehessen kezelni: Natív, közvetlen módon ki kell tudni emelni a felhasználók jogosultsági adatait az elemi jogosultságok szintjéig a vizsgálandó rendszerekből Az elemi jogosultsági adatok elemzésére van szükség, amely során kiválogathatók a kiemelt, összeférhetetlen, vagy egyéb túlzott jogosultságok! Ezeket a jogosultságokat szabályokkal leírhatóvá kell tenni (egyedi, fejlesztett funkciókhoz tartozó jogosultságokhoz is!) A szabályokhoz kockázatokat kell rendelni A kockázatokat skálázhatóvá és felhasználókra, szerepkörökre összesíthetővé kell tenni Az elemzést, kockázatok kimutatása rendszeres workflow-vá alakítható legyen, hogy folyamatosan nyomon követhetőek legyenek a felesleges jogok IDM workflow-ba is integrálható legyen XS Matrix INC. 15

Hogyan lehet automatizált folyamatot kialakítani a jogosultságok rendszeres felülvizsgálatára? Amegfelelő eszköz birtokában az alábbiakat kell elvégezni ehhez: Meg kell határozni a vizsgált rendszerek körét! Be kell állítani a kapcsolatot a jogosultság felülvizsgáló eszköz és a vizsgálandó rendszer között! Meg kell határozni, hogy milyen rendszerességgel gyűjtenénk és vizsgálnánk az egyes jogosultságokat! (pl. napi, heti, havi, negyedéves szinten?) Meg kell győződni arról, hogy vannak-e megfelelő szabályaink, amikkel a jogokat vizsgáljuk (egyedi rendszereknél ezt mindig egyedileg kell megtenni), és be kell állítani, hogy milyen szabályrendszer szerint vizsgálunk! Meg kell határozni, hogy mely területek, milyen rendszeres riportokat kapjanak a rendszertől (és ki, mit csináljon vele)! XS Matrix INC. 16

KÉRDÉSEK? További információért keress bátran! Mihály Tamás CISA, CISM mtamas@xsmatrix.com, www.xsmatrix.com

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés