Беcпроигрышная комбинация стратегических преимуществ Виктор Буряков Sun Microsystems Global Solutions Engagement manager, CIS region Дмитрий Романов Sun Microsystems Комплексная архитектура гарантированной защиты персональных данных

ГЛАВНАЯ ЦЕЛЬ АТАК

Бизнес-пользователи IT-эксплуатация Сисадмины HR РАСПРЕДЕЛЕНИЕ ВЕЛИЧИНЫ ВЕРОЯТНОСТИ ИНЦИДЕНТА ИБ И УЩЕРБА ОТ ИНЦИДЕНТА

Принят в 2002 году после грандиозного скандала с Enron, WorlCom и Arthur Andersen Сенатор Paul Sarbanes Paul Sarbanes Конгрессмен Mike Oxley Mike Oxley С 15 июля 2006 г. обязателен в полном объеме для всех публичных компаний США или компаний других стран (с оборотом>700 m$), чьи акции размещены на биржах США Требует предоставления в жесткие сроки точных доказательств правильности любых исходных данных финансовой отчетности Sarbanes-Oxley Act Sarbanes-Oxley Act Закон США

Усиливает юридическую персональную ответственность руководства (СЕО+CFO) компаний за правильность финансовой отчетности Предусматривает административную (много- миллионные штрафы) и уголовную ответственность руководства (до 20 лет тюрьмы) за невыполнение данного закона SEGREGATION OF DUTIES SOX - ОСОБО:

Критически важные транзакции или действия не могут быть выполнены единолично одним человеком Жесткие oпределения сфер кoнфликта интересoв при дoступе к разным финансoвым системам Жесткие требования по ограничению единоличного накопления привилегий доступа к системам, в том числе ИТ Особо- Разделение пoлнoмoчий по Особо- Разделение пoлнoмoчий по SOX: SEGREGATION OF DUTIES

АНАРХИЯ DIGITAL IDENTITY ERP LDAP A39485 идентификаторов В среднем в ИТ ресурсе 5% of пользователей имееют 2 и более идентификаторов Clayton Woo Exchange: claytonw NT: c_woo Clayton Woo ERP: cwoo Clayton Woo AD: woo Clayton Woo LDAP: A49382 Clayton Woo SecurID: A49382 Clayton Woo

VIRTUAL Виртуальное централизованное Identity & Audit management Без создания единой глобальной точки отказа

Identity Manager SPE Identity Auditor Identity Manager Управление разными атрибутами идентификации там, где они естественно находятся, при этом осуществляется отображение этих атрибутов на данные об одном и том же физическим лице Virtual Identity-минимум данных Digital Identity Virtual Identity-минимум данных Digital Identity Атрибуты Virtual Identity Геном Digital Identity HR Joe Smith Sun Virtual Identity Directory

Sun Virtual IdM HR Virtual CREATEUPDATE Sun Identity Manager управляет и контролирует данные идентичности пользователей там, где данные естественно находятся, т.е. в самих ресурсах), не копируя эти данные ActiveSync SmartPolling Event Listener Используя технологии ActiveSync, SmartPolling, Event Listener для контроля всех изменения в ресурсах и принятия немедленных мер реагирования на эти изменения или сбора журнальной статистики (в том числе Activity Log)

Sun Virtual IdM HRVirtual Пользователи сохраняют пути доступ в приложения как было и до внедрения IdM IdM вмешивается только в случае изменений прав доступа Что произойдет при катастрофе IdM ???? НИЧЕГО !!!! DISABLE ENABLE IdM после восстановления сам узнает какие изменения в базе HR сделаны в период своего простоя и сделает update

Role Manager решает вопросЧТО ДЕЛАТЬ в отношении прав доступа к информационым системам > Определяет Роли и Правила, применяемые к правам доступа > Определяет и отвечает на вопрос «Кто и какие имеет Права Доступа Куда? > Отвечает за аудит прав доступа Identity Manager решает вопросКАК ДЕЛАТЬ в отношении прав доступа к информационым системам > Предоставляпет права доступа и контролирует сохранение/ модификацию/лишение прав доступа к информационным ресурсам > Является посредником между информационными ресурсами и HR-database + Role manager УПРАВЛЕНИЕ РАЗДЕЛЕНИЕМ ПОЛНОМОЧИЙ

Audit Scan Report: следующие пользователи в AD: xxxxxxxxxxx xxxxxxxxxxx и в SunONE: xxxxxxxxxxx xxxxxxxxxxx принадлежат лицам не числящимися в базе данных HR как постоянные сотрудникм Устранить нарушение автоматически ? Yes No SAP ЗАЧИСТКА ДИРЕКТОРИЙ И РЕСУРСОВ Политика 1: Только официальные сотрудники, внесенные в базу данных HR, могут иметь доступ к ресурсам Запускает сканирование всех ресурсов и пользователей Remediate Notify

Мониторинг активности пользователя в течение определенного времени по всем доступным ему ИТ ресурсам ЖУРНАЛ ПОСЕЩЕНИЙ РЕСУРСОВ

Интеграция с системой оповещения Symantec Security Event Management Сервис Identity for SEM Срочное блокирование доступа пользователя при грубых (по заранее введенным критериям) нарушениях правил Интеграция с системами мониторинга доступа Преконфигурированные отчеты по аудиту (SOX), требуемые законодательно Настроенные отчеты (по внутреннему корпоративному кодексу ) Отчеты о нарушениях Суммарные сводные отчеты о нарушениях Гибкое конфигурирование(фильтрование) нарушений: по политике, по ресурсам, по департаментам, пользователям и т.д. Суммарные отчеты высокого уровня Авто-скан ресурсов: регулярный автоматический (по расписанию) или по особому случаю Автоматическое определение нарушений, извещение о них и устранение нарушений Гибкое обнаружение нарушения выполнения политик Преконфигурированные /best practices/ наиболее часто используемые политики контроля Кастомизированные политики Политики ИТ- безопасности и аудита ОписаниеФункция IDENTITY AUDITOR: ОПЕРАТИВНЫЙ КОНТРОЛЬ

Portal, Apps, Web Services Managed Resource LDAP Directory Provisioning Transaction Manager Pluggable Audit Event Tracking SPML RDBMS store for auditing and transactions SPE Users, Configuration & Tracked Event Data User Server LDAP Delegated Admin SPE Dashboard SPE Configuration Web Interface Workflow Engine Sync Engine Admin Server IDM Repository SPML Approval Requests View Tracked Event Data SPE Delegated Admins SPE Configuration Backup IDM Workflow Tasks, Forms, Rules SPE Context API Provisioning / Sync Transactions Agent-less Connectivity to target Systems SPE Context API Identity Manager SPE Управление учетными записями миллионов внешних пользователей Sun Identity Management - Service Provider Edition Поставлятся как стандартный функционал Sun IdM 7/8

ДОКАЗАННАЯ МАСШТАБИРУЕМОСТЬ И ПРОИЗВОДИТЕЛЬНОСТЬ: > Employees Самая большая система в продуктиве- 600 тысяч пользователей 1000 Систем в эксплуатации и 14 миллионов идентичностей под контролем 75% всех систем – в больших и средних компаниях

ПЕРВАЯ СИСТЕМА В РОССИИ: 16 тысяч пoльзoвателей

Ресурсы внутреннего контура Программный комплекс защищенного терминального доступа Терминальные рабочие места HR DATABASE ПЕРСОНАЛЬНЫЕ И CONFIDENTIAL ДАННЫЕ Внешние ресурсы Интернет

Рабочее место Windows Полноценная работа с Windows Удаленное управление сессиями на Windows Доступ к своей сессии с разных Sun Ray Лицензированный клиент RDP CВЕРХ-ТОНКИЙ КЛИЕНТ

Сеть B Сеть А ПЕРСОНАЛЬНЫЕ ДАННЫЕ Сеть C Сеть D Сеть A Сеть C Сеть D Безопасный доступ к приложениям (Secure Network Access Platform, SNAP) При помощи Trusted Solaris, возможен доступ к сетям с различным уровнем секретности CВЕРХ-ТОНКИЙ КЛИЕНТ

Solaris 10 Trusted Extensions Мандатный контроль доступа и действий по степеням грифов объектов SEGREGATION OF DUTIES Обычная НовостиМузыка Чаты Solaris 10 или Trusted Extensions Бизнес- иерархия Персональ- ные данные Совет директоров Вице- президенты Управляющие Trusted Extensions Гос.иерархия Сов.секретно секретно Персональные данные ДСП Trusted Extensions Все объекты могут различаться по степени важности, в том числе -персональные данные Доступ и действия регулируются по иерархическим отношением грифов

Тотальный контроль действий ЗАГОЛОВОК 'Restricted' ЗАГОЛОВОК 'Internal' Попытки копирования секретной (или персональной) информации в несекретный файл пресекаются Не допускается передача информации по почте

Работа с различными периферийными устройствами USB HID Клавиатуры Мыши Сканеры штрих-кодов Считыватели магнитных карт USB Принтеры USB Принтеры (Post Script) Другие принтеры при помощи Ghostscript/ Vividata SW Специфичные устройства USB Сканеры (SANE) USB фотокамеры (gPhoto) Serial принтеры USB биометрические сканеры USB/Serial кассовая/банковская периферия Open Source драйвера через LIBUSB API USB MASS STORAGE Внешний HDD Zip Drive Flash диск C ЗАПРЕТОМ / КОНТРОЛЕМ КОПИРОВАНИЯ ПЕРСОНАЛЬНЫХ И СЕКРЕТНЫХ ДАННЫХ

2007 ГОД- НОВОЕ FRAMEWORK ОЕМ – СОГЛАШЕНИЕ с компанией Свемел: 1. Предоставлены исходные коды SOLARIS 10+TRUSTED EXTENTION для SPARC и x86 архитектур 2. РАСШИРЕН СПИСОК Source Codes ДЛЯ разработки Derivatives, ОЕМ –СБОРКИ, СЕРТИФИКАЦИИ И РАСПРОСТРАНЕНИЯ

«Доверенная операционная система «Циркон» (на базе ОС Trusted Solaris 8) производимая «Свемел» получила сертификат соответствия ФСТЭК России 1303 от 20 декабря 2006 года. Это означает, что на основе доверенной операционной среды «Циркон» возможно создание защищенных автоматизированных систем для обработки информации содержащей конфиденциальные сведения. Технология Trusted Solaris 8 + Sun Ray - российская ОЕМ- версия

РУССКИЙ SOLARIS 8,9,10…..

Спасибо за внимание!