1 / 28

Бе c проигрышная комбинация стратегических преимуществ

Комплексная архитектура гарантированной защиты персональных данных. Бе c проигрышная комбинация стратегических преимуществ. Виктор Буряков Sun Microsystems Global S olutions Engage m ent manager , CIS region e-mail:Victor.Bouryakov@sun.com. Дмитрий Романов Sun Microsystems

ivan
Download Presentation

Бе c проигрышная комбинация стратегических преимуществ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Комплексная архитектура гарантированной защиты персональных данных Беcпроигрышная комбинация стратегических преимуществ Виктор Буряков Sun Microsystems Global Solutions Engagement manager, CIS region e-mail:Victor.Bouryakov@sun.com Дмитрий Романов Sun Microsystems dmitri.romanov@sun.com

  2. ГЛАВНАЯ ЦЕЛЬ АТАК

  3. РАСПРЕДЕЛЕНИЕ ВЕЛИЧИНЫ ВЕРОЯТНОСТИ ИНЦИДЕНТА ИБ Бизнес-пользователи И УЩЕРБА ОТ ИНЦИДЕНТА IT-эксплуатация Сисадмины HR

  4. Конгрессмен Mike Oxley Sarbanes-Oxley Act Закон США Сенатор Paul Sarbanes • Принят в 2002 году после грандиозного скандала с Enron, WorlCom и Arthur Andersen • С 15 июля 2006 г. обязателен в полном объеме для всех публичных компаний США или компаний других стран (с оборотом>700m$), чьи акции размещены на биржах США • Требует предоставления в жесткие сроки точных доказательств правильности любых исходных данных финансовой отчетности

  5. SOX - ОСОБО: • Усиливает юридическую персональную ответственность руководства (СЕО+CFO) компаний за правильность финансовой отчетности • Предусматривает административную (много-миллионные штрафы) и уголовную ответственность руководства (до 20 лет тюрьмы) за невыполнение данного закона SEGREGATION OF DUTIES

  6. Особо- Разделение пoлнoмoчий по SOX: • Критически важные транзакции или действия не могут быть выполнены единолично одним человеком • Жесткие oпределения сфер кoнфликта интересoв при дoступе к разным финансoвым системам • Жесткие требования по ограничению единоличного накопления привилегий доступа к системам, в том числе ИТ SEGREGATION OF DUTIES

  7. АНАРХИЯ DIGITAL IDENTITY Clayton Woo Clayton Woo LDAP ERP Clayton Woo Clayton Woo Clayton Woo Clayton Woo NT: c_woo Exchange: claytonw AD: woo • ERP: cwoo LDAP: A49382 SecurID: A49382 В среднем в ИТ ресурсе 5% of пользователей имееют 2 и болееидентификаторов A39485 Clayton Woo

  8. Виртуальное централизованное Identity & Audit management VIRTUAL Без создания единой глобальной точки отказа

  9. Virtual Identity-минимум данных Digital Identity Sun Virtual Identity Directory Identity Manager SPE Joe Smith Identity Manager Identity Auditor Управление разными атрибутами идентификации там, где они естественно находятся, при этом осуществляется отображение этих атрибутов на данные об одноми том же физическим лице Атрибуты Virtual Identity Геном Digital Identity HR

  10. Sun Virtual IdM ActiveSync SmartPolling Event Listener Используя технологии ActiveSync, SmartPolling, Event Listenerдля контроля всех изменения в ресурсах и принятия немедленных мер реагирования на эти изменения или сборажурнальной статистики (в том числе Activity Log) Sun Identity Manager управляет и контролирует данные идентичности пользователей там, где данные естественно находятся, т.е. в самих ресурсах), не копируя эти данные CREATE UPDATE Virtual HR

  11. Sun Virtual IdM Пользователи сохраняют пути доступ в приложения как было и до внедрения IdM IdM после восстановления сам узнает какие изменения в базе HR сделаны в период своего простоя и сделает update Что произойдет при катастрофе IdM ???? IdM вмешивается только в случае изменений прав доступа НИЧЕГО !!!! ENABLE DISABLE Virtual HR

  12. УПРАВЛЕНИЕ РАЗДЕЛЕНИЕМ ПОЛНОМОЧИЙ • Role Manager решает вопрос “ЧТО ДЕЛАТЬ” в отношении прав доступа к информационым системам • Определяет Роли и Правила, применяемые к правам доступа • Определяет и отвечает на вопрос «Кто и какие имеет Права Доступа Куда?” • Отвечает за аудит прав доступа • Identity Manager решает вопрос “КАК ДЕЛАТЬ” в отношении прав доступа к информационым системам • Предоставляпет права доступа и контролирует сохранение/ модификацию/лишение прав доступа к информационным ресурсам • Является посредником междуинформационными ресурсами и HR-database + Role manager

  13. “ЗАЧИСТКА” ДИРЕКТОРИЙ И РЕСУРСОВ Политика 1: Только официальные сотрудники, внесенные в базу данных HR, могут иметь доступ к ресурсам Запускает сканирование всех ресурсов и пользователей Audit Scan Report: следующие пользователи в AD: xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx и в SunONE: xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx принадлежат лицам не числящимися в базе данных HR как постоянные сотрудникм Устранить нарушение автоматически ? Yes No SAP Remediate Notify

  14. ЖУРНАЛ ПОСЕЩЕНИЙ РЕСУРСОВ Мониторинг активности пользователя в течение определенного времени по всем доступным ему ИТ ресурсам

  15. IDENTITY AUDITOR: ОПЕРАТИВНЫЙ КОНТРОЛЬ Функция Описание Политики ИТ-безопасности и аудита • Преконфигурированные /best practices/ наиболее часто используемые политики контроля • Кастомизированные политики • Авто-скан ресурсов: регулярный автоматический (по расписанию) или по особому случаю • Автоматическое определение нарушений, извещение о них и устранение нарушений Гибкое обнаружение нарушения выполнения политик Суммарные отчеты высокого уровня • Суммарные сводные отчеты о нарушениях • Гибкое конфигурирование(фильтрование) нарушений: по политике, по ресурсам, по департаментам, пользователям и т.д. • Преконфигурированные отчеты по аудиту (SOX),требуемые законодательно • Настроенные отчеты (по внутреннему корпоративному кодексу) Отчеты о нарушениях Сервис “Identity for SEM” • Интеграция с системой оповещения Symantec Security Event Management Интеграция с системами мониторинга доступа • Срочное блокирование доступа пользователяпри грубых (по заранее введенным критериям) нарушениях правил

  16. Sun Identity Management - Service Provider Edition Portal, Apps, Web Services Web Interface SPML SPML SPE Configuration SPE Dashboard LDAP Delegated Admin SPE Context API Approval Requests User Server Admin Server Pluggable Audit Provisioning Transaction Manager Workflow Engine Sync Engine SPE Context API Event Tracking Provisioning / Sync Transactions RDBMS store for auditing and transactions View Tracked Event Data IDM Repository Agent-less Connectivity to target Systems LDAP Directory Managed Resource SPE Delegated Admins SPE Configuration Backup IDM Workflow Tasks, Forms, Rules SPE Users, Configuration & Tracked Event Data Управление учетными записями миллионов внешних пользователей Поставлятся как стандартный функционал Sun IdM 7/8 Identity Manager SPE

  17. ДОКАЗАННАЯ МАСШТАБИРУЕМОСТЬ И ПРОИЗВОДИТЕЛЬНОСТЬ: 1000 Систем в эксплуатации и 14 миллионов идентичностей под контролем 75% всех систем – в больших и средних компаниях Самая большая система в продуктиве- 600 тысяч пользователей >500000 Employees

  18. ПЕРВАЯ СИСТЕМА В РОССИИ: 16 тысяч пoльзoвателей

  19. Внешние ресурсы Интернет Программный комплекс защищенноготерминального доступа Ресурсы внутреннего контура ПЕРСОНАЛЬНЫЕ И “CONFIDENTIAL” ДАННЫЕ HR DATABASE Терминальные рабочие места

  20. CВЕРХ-ТОНКИЙ КЛИЕНТ Рабочее место Windows • Полноценная работа с Windows • Удаленное управление сессиями на Windows • Доступ к своей сессии с разных Sun Ray • Лицензированный клиент RDP

  21. CВЕРХ-ТОНКИЙ КЛИЕНТ При помощи Trusted Solaris, возможен доступ к сетям с различным уровнем секретности Безопасный доступ к приложениям (Secure Network Access Platform, SNAP) Сеть“D” Сеть А Сеть“B” Сеть“C” Сеть“A” ПЕРСОНАЛЬНЫЕ ДАННЫЕ Сеть C Сеть D

  22. Бизнес- иерархия Гос.иерархия Персональ-ные данные Сов.секретно Совет директоров секретно Вице-президенты Персональные данные Управляющие ДСП Trusted Extensions Trusted Extensions Solaris 10 Trusted Extensions • Все объекты могут различаться по степени важности, в том числе -”персональные данные” • Доступ и действия регулируются по иерархическим отношением грифов Обычная Новости Музыка Чаты Solaris 10 или Trusted Extensions Мандатный контроль доступа и действий по степеням грифов объектов SEGREGATION OF DUTIES

  23. Тотальный контроль действий ЗАГОЛОВОК 'Restricted' ЗАГОЛОВОК 'Internal' Попытки копирования секретной (или персональной) информации в несекретный файл пресекаются Не допускается передача информации по почте

  24. C ЗАПРЕТОМ / КОНТРОЛЕМ КОПИРОВАНИЯ Специфичные устройства USB Сканеры (SANE) USB фотокамеры (gPhoto) Serial принтеры USB биометрические сканеры USB/Serial кассовая/банковская периферия Open Source драйвера через LIBUSB API USB MASS STORAGE Внешний HDD Zip Drive Flash диск ПЕРСОНАЛЬНЫХ И СЕКРЕТНЫХ ДАННЫХ Работа с различными периферийными устройствами USB HID • Клавиатуры • Мыши • Сканеры штрих-кодов • Считыватели магнитных карт USB Принтеры • USB Принтеры (Post Script) • Другие принтеры при помощи Ghostscript/ Vividata SW

  25. 2007 ГОД- НОВОЕ FRAMEWORK ОЕМ – СОГЛАШЕНИЕс компанией Свемел: 1. Предоставлены исходные коды SOLARIS 10+TRUSTED EXTENTION для SPARC и x86 архитектур 2. РАСШИРЕН СПИСОК Source Codes ДЛЯ разработки “Derivatives”, ОЕМ–СБОРКИ, СЕРТИФИКАЦИИ И РАСПРОСТРАНЕНИЯ

  26. Технология Trusted Solaris 8+Sun Ray - российская ОЕМ-версия «Доверенная операционная система «Циркон» (на базе ОС Trusted Solaris 8) производимая «Свемел» получила сертификат соответствия ФСТЭК России № 1303 от 20 декабря 2006 года. Это означает, что на основе доверенной операционной среды «Циркон» возможно создание защищенных автоматизированных систем для обработки информации содержащей конфиденциальные сведения.

  27. РУССКИЙ SOLARIS 8,9,10…..

  28. Спасибо за внимание!

More Related