Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Identity-Powered Security
Hargitai Zsoltüzletfejlesztési vezető2014. szeptember 30.
3 NetIQ, Novell, SUSE Magyarországi Képviselet
Mai téma
Aktuális kihívások a biztonság területén
Törvényi és iparági előírások
Megoldásaink
Egyedülálló portfólió a Novell és a NetIQ termékek
integrációjával
A legteljesebb termékkör a compliance területén
A probléma
5
A fenyegetések egyreösszetettebbek
• APT támadások (Advanced
Persistent Threats)
• Belső támadások
• Véletlen adatpublikálás
A „hekkelés” nagy üzlet
A környezet egyre bonyolultabb
Felhő Mobil BYOD Közösség
8
A jelenlegi megközelítés
már nem működik
9
A válaszNEM a több adat
• A biztonsági osztályoknak már most is
több adata van, mint amit fel tudnak
dolgozni
• Új eszközök és új infrastruktúra
szükséges
10
Egyszerűen kifejezve…
Túl sok a zaj éstúl kevés az információ
Mi a kulcs?
A személyazonosság
12
Identity-Powered Security
Személyazonosság alapú biztonság
13
IntegrációSzemályazonosság, hozzáférés, biztonság
14
A NetIQ és Novell
megoldásokkal…
• … menedzseljük a rendszergazdai jogokat és
monitorozzuk a tevékenységet
• … biztosítjuk, hogy mindenkinek csak annyi
jogosultsága legyen, ami feltétlenül szükséges
• … hamarabb észrevesszük a biztonsági
eseményeket és hatékonyabban tudunk reagálni
rájuk
Új előírások a biztonság területén
© 2013 NetIQ Corporation. All rights reserved.16
Aktualitások, új és régi előírások
2013. évi L törvény – Az
elektronikus
információbiztonságról
77/2013 (XII.19.) NFM
rendelet
További előírások, amikről
még szó lesz 2012-es adatvédelmi törvény
PCI DSS
ISO27001:2005 Controls
© 2013 NetIQ Corporation. All rights reserved.17
Kikre vonatkozik az új „infobiztonsági törvény”?
• A teljes közigazgatás
• plusz
aki számukra adatkezelést
végez
aki a nemzeti adatvagyon
adatfeldolgozója
aki kritikus információs
infrastruktúrát szolgáltat
Követelmények, megoldások
© 2013 NetIQ Corporation. All rights reserved.19
Általános követelmények
Biztonsági osztályba sorolás Felülvizsgálat három évente
90 napon belül cselekvési terv az
esetleges hiányosság
megszüntetésére
2 éven belül megoldás a
magasabb szintekre, 1 éven belül
az egyes szintre
Biztonsági szabályzat
készítése
Biztonsági felelős kinevezése
Munkatársak oktatása
...
© 2013 NetIQ Corporation. All rights reserved.20
Logikai védelmi intézkedések
3.3.1. Konfigurációkezelés
3.3.2. Üzletmenet (ügymenet) folytonosság tervezése
3.3.3. Karbantartás
3.3.4. Adathordozók védelme
3.3.5. Azonosítás, hitelesítés
3.3.6. Hozzáférés ellenőrzése
3.3.7. Rendszer- és információsértetlenség
3.3.8. Naplózás és elszámoltathatóság
3.3.9. Rendszer és kommunikációvédelem
3.3.10. Reagálás a biztonsági eseményekre
© 2013 NetIQ Corporation. All rights reserved.21
Konfigurációkezelés
Infobiztonsági törvény végrehajtási rendelet 3.3.1. Konfigurációkezelés
PCI DSS 2.2 Develop configuration standards for all
system components
Megoldás ZENworks Configuration Management
© 2013 NetIQ Corporation. All rights reserved.22
Üzletmenet (ügymenet) folytonosság
tervezése
Infobiztonsági törvény végrehajtási rendelet
3.3.2. Üzletmenet (ügymenet) folytonosság tervezése
Adatvédelmi törvény
7.5.e A telepített rendszerek üzemzavar esetén történő
helyreállíthatóságát biztosítani kell.
ISO 27001
14. fejezet: Business Continuity Management
Megoldás
PlateSpin Forge
© 2013 NetIQ Corporation. All rights reserved.23
Adathordozók védelme
Infobiztonsági törvény végrehajtási rendelet
3.3.4. Adathordozók védelme
ISO 27001
11.7 Mobile computing and teleworking
12.3 Cryptographic controls
Megoldás
ZENworks Full Disk Encryption
ZENworks Endpoint Security
© 2013 NetIQ Corporation. All rights reserved.24
Azonosítás, hitelesítés
Infobiztonsági törvény végrehajtási rendelet 3.3.5. Azonosítás, hitelesítés
Adatvédelmi törvény 7.5.b Jogosulatlan személyek hozzáférésének megakadályozása
ISO 27001 11. Access control
PCI DSS 2. Do not use vendor supplied defaults for system passwords and other security
parameters
Megoldások Access Manager, CloudAccess, MobileAccess
Advanced Authentication Framework
Privileged User Manager
© 2013 NetIQ Corporation. All rights reserved.25
Hozzáférés ellenőrzése
Infobiztonsági törvény végrehajtási rendelet 3.3.6. Hozzáférés ellenőrzése
Adatvédelmi törvény 7.5.a Jogosulatlan adatbevitel megakadályozása
ISO 27001 8. Human resource security
11.2.4. Review of user access rights
PCI DSS 7. Restrict access to cardholder data by business need to know
8. Assign a unique ID to each person with computer access
Megoldások Access Governance Suite
Identity Manager
Privileged User Manager
© 2013 NetIQ Corporation. All rights reserved.26
Rendszer- és információsértetlenség
Infobiztonsági törvény végrehajtási rendelet 3.3.7. Rendszer- és információsértetlenség
ISO27001 12.4: Security of System Files
PCI DSS 11. 5. Deploy file integrity monitoring tools
Megoldások Secure Configuration Manager
Change Guardian
© 2013 NetIQ Corporation. All rights reserved.27
Naplózás és elszámoltathatóság
Infobiztonsági törvény végrehajtási rendelet I3.3.8. Naplózás és elszámoltathatóság
ISO 27001 13.1. Reporting Information Security Events
PCI DSS 10. Track and monitor all access to network resources and cardholder data
Megoldások Sentinel Log Manager
© 2013 NetIQ Corporation. All rights reserved.28
Rendszer és kommunikációvédelem
Infobiztonsági törvény végrehajtási rendelet 3.3.9. Rendszer és kommunikációvédelem
3.3.9.2 Alkalmazás szétválasztás
Adatvédelmi törvény 7.5.c. Személyes adatok továbbításának ellenőrizhetősége
7.5.d. Személyes adatok felvitelének ellenőrizhetősége
ISO 27001 11.6.2 Sensitive system isolation
Megoldások ZENworks Application Virtualization
© 2013 NetIQ Corporation. All rights reserved.29
Biztonsági események kezelése
Infobiztonsági törvény végrehajtási rendelet 3.3.10. Reagálás a biztonsági eseményekre
ISO27001 13.1. fejezet Management of Information Security Incidents
PCI DSS 12.9 Implement an incident response plan. Be prepared to respond
immediately to a system breach.
Megoldások Sentinel
30 NetIQ, Novell, SUSE Magyarországi Képviselet
Összefoglaló
Identity-Powered security
Megoldás az új kihívásokra
Törvényi és iparági előírások
Megoldásaink
Egyedülálló portfólió a Novell és a NetIQ termékek
integrációjával
A legteljesebb termékkör a compliance területén
© 2014 NetIQ Corporation and its affiliates. All Rights Reserved.31
+1 713.548.1700 (Worldwide)888.323.6768 (Toll-free)[email protected]
Worldwide Headquarters1233 West Loop South Suite 810 Houston, TX 77027 USA
www.netiq.com/communities
This document could include technical inaccuracies or typographical errors. Changes are
periodically made to the information herein. These changes may be incorporated in new
editions of this document. NetIQ Corporation may make improvements in or changes to the
software described in this document at any time.
Copyright © 2014 NetIQ Corporation. All rights reserved.
ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the
cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration
Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy
Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit,
PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite,
Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ
Corporation or its subsidiaries in the United States and other countries.