Identity-Powered Security

Hargitai Zsoltüzletfejlesztési vezető2014. szeptember 30.

3 NetIQ, Novell, SUSE Magyarországi Képviselet

Mai téma

Aktuális kihívások a biztonság területén

Törvényi és iparági előírások

Megoldásaink

Egyedülálló portfólió a Novell és a NetIQ termékek

integrációjával

A legteljesebb termékkör a compliance területén

A probléma

5

A fenyegetések egyreösszetettebbek

• APT támadások (Advanced

Persistent Threats)

• Belső támadások

• Véletlen adatpublikálás

A „hekkelés” nagy üzlet

A környezet egyre bonyolultabb

Felhő Mobil BYOD Közösség

8

A jelenlegi megközelítés

már nem működik

9

A válaszNEM a több adat

• A biztonsági osztályoknak már most is

több adata van, mint amit fel tudnak

dolgozni

• Új eszközök és új infrastruktúra

szükséges

10

Egyszerűen kifejezve…

Túl sok a zaj éstúl kevés az információ

Mi a kulcs?

A személyazonosság

12

Identity-Powered Security

Személyazonosság alapú biztonság

13

IntegrációSzemályazonosság, hozzáférés, biztonság

14

A NetIQ és Novell

megoldásokkal…

• … menedzseljük a rendszergazdai jogokat és

monitorozzuk a tevékenységet

• … biztosítjuk, hogy mindenkinek csak annyi

jogosultsága legyen, ami feltétlenül szükséges

• … hamarabb észrevesszük a biztonsági

eseményeket és hatékonyabban tudunk reagálni

rájuk

Új előírások a biztonság területén

© 2013 NetIQ Corporation. All rights reserved.16

Aktualitások, új és régi előírások

2013. évi L törvény – Az

elektronikus

információbiztonságról

77/2013 (XII.19.) NFM

rendelet

További előírások, amikről

még szó lesz 2012-es adatvédelmi törvény

PCI DSS

ISO27001:2005 Controls

© 2013 NetIQ Corporation. All rights reserved.17

Kikre vonatkozik az új „infobiztonsági törvény”?

• A teljes közigazgatás

• plusz

aki számukra adatkezelést

végez

aki a nemzeti adatvagyon

adatfeldolgozója

aki kritikus információs

infrastruktúrát szolgáltat

Követelmények, megoldások

© 2013 NetIQ Corporation. All rights reserved.19

Általános követelmények

Biztonsági osztályba sorolás Felülvizsgálat három évente

90 napon belül cselekvési terv az

esetleges hiányosság

megszüntetésére

2 éven belül megoldás a

magasabb szintekre, 1 éven belül

az egyes szintre

Biztonsági szabályzat

készítése

Biztonsági felelős kinevezése

Munkatársak oktatása

...

© 2013 NetIQ Corporation. All rights reserved.20

Logikai védelmi intézkedések

3.3.1. Konfigurációkezelés

3.3.2. Üzletmenet (ügymenet) folytonosság tervezése

3.3.3. Karbantartás

3.3.4. Adathordozók védelme

3.3.5. Azonosítás, hitelesítés

3.3.6. Hozzáférés ellenőrzése

3.3.7. Rendszer- és információsértetlenség

3.3.8. Naplózás és elszámoltathatóság

3.3.9. Rendszer és kommunikációvédelem

3.3.10. Reagálás a biztonsági eseményekre

© 2013 NetIQ Corporation. All rights reserved.21

Konfigurációkezelés

Infobiztonsági törvény végrehajtási rendelet 3.3.1. Konfigurációkezelés

PCI DSS 2.2 Develop configuration standards for all

system components

Megoldás ZENworks Configuration Management

© 2013 NetIQ Corporation. All rights reserved.22

Üzletmenet (ügymenet) folytonosság

tervezése

Infobiztonsági törvény végrehajtási rendelet

3.3.2. Üzletmenet (ügymenet) folytonosság tervezése

Adatvédelmi törvény

7.5.e A telepített rendszerek üzemzavar esetén történő

helyreállíthatóságát biztosítani kell.

ISO 27001

14. fejezet: Business Continuity Management

Megoldás

PlateSpin Forge

© 2013 NetIQ Corporation. All rights reserved.23

Adathordozók védelme

Infobiztonsági törvény végrehajtási rendelet

3.3.4. Adathordozók védelme

ISO 27001

11.7 Mobile computing and teleworking

12.3 Cryptographic controls

Megoldás

ZENworks Full Disk Encryption

ZENworks Endpoint Security

© 2013 NetIQ Corporation. All rights reserved.24

Azonosítás, hitelesítés

Infobiztonsági törvény végrehajtási rendelet 3.3.5. Azonosítás, hitelesítés

Adatvédelmi törvény 7.5.b Jogosulatlan személyek hozzáférésének megakadályozása

ISO 27001 11. Access control

PCI DSS 2. Do not use vendor supplied defaults for system passwords and other security

parameters

Megoldások Access Manager, CloudAccess, MobileAccess

Advanced Authentication Framework

Privileged User Manager

© 2013 NetIQ Corporation. All rights reserved.25

Hozzáférés ellenőrzése

Infobiztonsági törvény végrehajtási rendelet 3.3.6. Hozzáférés ellenőrzése

Adatvédelmi törvény 7.5.a Jogosulatlan adatbevitel megakadályozása

ISO 27001 8. Human resource security

11.2.4. Review of user access rights

PCI DSS 7. Restrict access to cardholder data by business need to know

8. Assign a unique ID to each person with computer access

Megoldások Access Governance Suite

Identity Manager

Privileged User Manager

© 2013 NetIQ Corporation. All rights reserved.26

Rendszer- és információsértetlenség

Infobiztonsági törvény végrehajtási rendelet 3.3.7. Rendszer- és információsértetlenség

ISO27001 12.4: Security of System Files

PCI DSS 11. 5. Deploy file integrity monitoring tools

Megoldások Secure Configuration Manager

Change Guardian

© 2013 NetIQ Corporation. All rights reserved.27

Naplózás és elszámoltathatóság

Infobiztonsági törvény végrehajtási rendelet I3.3.8. Naplózás és elszámoltathatóság

ISO 27001 13.1. Reporting Information Security Events

PCI DSS 10. Track and monitor all access to network resources and cardholder data

Megoldások Sentinel Log Manager

© 2013 NetIQ Corporation. All rights reserved.28

Rendszer és kommunikációvédelem

Infobiztonsági törvény végrehajtási rendelet 3.3.9. Rendszer és kommunikációvédelem

3.3.9.2 Alkalmazás szétválasztás

Adatvédelmi törvény 7.5.c. Személyes adatok továbbításának ellenőrizhetősége

7.5.d. Személyes adatok felvitelének ellenőrizhetősége

ISO 27001 11.6.2 Sensitive system isolation

Megoldások ZENworks Application Virtualization

© 2013 NetIQ Corporation. All rights reserved.29

Biztonsági események kezelése

Infobiztonsági törvény végrehajtási rendelet 3.3.10. Reagálás a biztonsági eseményekre

ISO27001 13.1. fejezet Management of Information Security Incidents

PCI DSS 12.9 Implement an incident response plan. Be prepared to respond

immediately to a system breach.

Megoldások Sentinel

30 NetIQ, Novell, SUSE Magyarországi Képviselet

Összefoglaló

Identity-Powered security

Megoldás az új kihívásokra

Törvényi és iparági előírások

Megoldásaink

Egyedülálló portfólió a Novell és a NetIQ termékek

integrációjával

A legteljesebb termékkör a compliance területén

© 2014 NetIQ Corporation and its affiliates. All Rights Reserved.31

+1 713.548.1700 (Worldwide)888.323.6768 (Toll-free)info@netiq.comNetIQ.com

Worldwide Headquarters1233 West Loop South Suite 810 Houston, TX 77027 USA

www.netiq.com/communities

This document could include technical inaccuracies or typographical errors. Changes are

periodically made to the information herein. These changes may be incorporated in new

editions of this document. NetIQ Corporation may make improvements in or changes to the

software described in this document at any time.

Copyright © 2014 NetIQ Corporation. All rights reserved.

ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the

cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration

Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy

Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit,

PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite,

Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ

Corporation or its subsidiaries in the United States and other countries.