Provvedimento Garante Privacy

1,422 views

Published on

Provvedimento Garante Privacy - IBM TIVOLI INSIGHT COMPLIANCE MANAGER

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,422
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
23
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Provvedimento Garante Privacy

  1. 1. IBM Tivoli Security Solutions Security Information Management L’audit degli amministratori di sistema Giuseppe Clerici Software Group - Tivoli Technical Sales © IBM Corporation 2009
  2. 2. IBM Tivoli Security Solutions Tivoli Compliance Insight Manager - l’Audit degli admin non può essere più un optional Other 13% Privileged Users Chi è l’autore degli incidenti interni? 87% Source: USSS/CET Insider Threat Survey è quello sperato o comportamento degli utenti Ve rifichiamo se l’effettiv Report/alert on Exceptions to policy! 2
  3. 3. IBM Tivoli Security Solutions Cosa aiutiamo a fare per la tematica PUMA Privileged User Monitoring and Audit Richieste da parte dell’IT e Business management: Siamo in grado di controllare se esistono manipolazioni di info sensibili? Possiamo verificare le attività degli outsourcers? Possiamo ottenere segnalazioni a fronte di attività non autorizzate? Riusciamo a dimostrare la validità della segregation of duties? Possiamo investigare su quanto accaduto in modo tempestivo? Richieste da parte degli auditor: Vengono tracciati e visionati i log di applicazioni, database, S.O. e device? Le attività dei system administrator, DBA e system operator sono tracciate nei log e sono verificate in maniera regolare? Sono tracciati gli accessi a dati sensibili – incluso root/administration e i DBA – nei vari log? Esistono dei tool automatici per i processi di audit? Gli incidenti di sicurezza e le attività sospette sono analizzate al fine di intraprendere delle azioni correttive? 3
  4. 4. IBM Tivoli Security Solutions Log management: Cosa rilevare Categoria Descrizione Eventi di autenticazione Eventi di logon / logoff Eventi di gestione Start di server, stop, back-up, restore Change management Modifiche di configurazione, modifiche sui processi di auditing, modifiche sulla struttura dei database, attività di manutenzione Gestione utenze Creazione di nuove utenze, modifica dei privilegi utente, attività di cambio password Diritti di accesso Comportamento di tutti i DBA includendo gli accessi ai dati, DBCC (Database Console Command), call a stored procedure Accesso ai dati sensibili Tutti gli accessi ai dati sensibili immagazzinati nei database e quindi operazioni di: select, insert, update, delete 4
  5. 5. IBM Tivoli Security Solutions La normativa: Il garante obbliga le aziende a gestire i log degli amministratori di sistema GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 27 novembre 2008 MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI AMMINISTRATORE DI SISTEMA. (Pubblicato sulla G.U. n. 300 del 24-12-2008 ) HINTS È la prima volta che sono esplicitati obblighi per la gestione dei log in sicurezza per tutte le aziende Impatti pervasivi per la sicurezza dei Sistemi Informativi dovuti alla definizione di “Amministratore di sistema” molto ampia Richiede misure organizzative, tecnologiche e procedurali br e Di ce m Tempi di adozione molto stretti – 120 gg dal 24 dicembre 2008 o ga a 9 Pror 200 5
  6. 6. IBM Tivoli Security Solutions La soluzione proposta da IBM Servizi consulenziali per: Asse valutare lo “stato dell’arte” del cliente rispetto alla normativa e sviluppare il piano di rientro Definire la gestione di “ruoli e profili” Piattaforma software per: la verifica periodica dell’attività degli amministratori “Tivoli Compliance Insight Manager” (TCIM) garantire l’archiviazione sicura dell’attività degli amministratori “System Storage Archive Manager” (SSAM) la gestione “automatizzata” di ruoli e profili “Tivoli Identity Management” (TIM) hardening dell’accesso ai log “Tivoli Access Manager for OS” (TAMOS) - “ISS Proventia” TIM Gestione automatizzata dei Ruoli e dei Profili TCIM Centralizzazione dei log Audit & Compliance L Verifica attività amministratori SSAM Conservazione e Protezione dei dati Sorgente Sistema di archiviazione sicura TAMOS - ISS Proventia Controllo e restrizioni per l’accesso ai log 6
  7. 7. IBM Tivoli Security Solutions IBM Tivoli Compliance Insight Manager Portal 7
  8. 8. IBM Tivoli Security Solutions Le tre C del TCIM: Capture, Comprehend, Communicate TCIM TCIM 8
  9. 9. IBM Tivoli Security Solutions Le tre C del TCIM: Capture – Enterprise Log Management Funzionalità: Centralizzazione sicura ed affidabile di log da numerose piattaforme Raccolta automatica dei syslogs Supporto su attività di raccolta di eventi da log nativi Memorizzazione efficiente ed in modalità compressa dei dati Possibilità di query e definizione di report custom oltre a quelli offerti nativamente Benefici: Riduzione dei costi grazie all’automatizzazione e centralizzazione delle attività di raccolta dei dati Garanzia di una costante condizione di “audit ready” 9
  10. 10. IBM Tivoli Security Solutions Le tre C del TCIM: Capture – Log Continuity Report Controllo automatico che evidenzia la continuità e la completezza del processo di log management 10
  11. 11. IBM Tivoli Security Solutions Le tre C del TCIM: Comprehend – Verifica delle attività degli utenti 87% degli incidenti interni sono causati da utenti privilegiati. 87% degli incidenti interni sono causati da utenti privilegiati. 11
  12. 12. IBM Tivoli Security Solutions Le tre C del TCIM: Comprehend – Normalizzazione dei log Windows z/OS AIX Oracle SAP ISS FireWall-1 Exchange IIS Solaris Traduzione dei logs in “Formato Unico” 1. Who 2. What Tivoli Compliance Insight Manager 3. On What 4. When 5. Where 6. Where From 7. To Where TCIM storicizza le informazioni di security eecompliance ottimizzando i itempi TCIM storicizza le informazioni di security compliance ottimizzando tempi ed i icosti attraverso l’automatizzazione dei processi di monitoraggio aziendale ed costi attraverso l’automatizzazione dei processi di monitoraggio aziendale 12
  13. 13. IBM Tivoli Security Solutions Le tre C del TCIM: Comprehend – Compliance Dashboard Dopo la normalizzazione W7 tutti i dati di log sono riassunti in un unico grafico 13
  14. 14. IBM Tivoli Security Solutions Le tre C del TCIM: Communicate – Reporting Funzionalità: Centinaia di reports Moduli di Compliance Alert di Special attention Reports Custom Benefici: Riduce l’impegno e del tempo richiesto per l’audit e per la definizione dei Reports Riduzione dei rischi di minacce a dati sensibili: Protezione dei dati Controllo sui change User management 14
  15. 15. IBM Tivoli Security Solutions Moduli di Compliance Compliance Modules 15
  16. 16. IBM Tivoli Security Solutions Moduli di Compliance Compliance Modules Tivoli Compliance Management Module for Sarbanes-Oxley Tivoli Compliance Management Module for ISO 27001 Tivoli Compliance Management Module for HIPAA Tivoli Compliance Management Module for GLBA Tivoli Compliance Management Module for Basel II Tivoli Compliance Management Module for PCI DSS 16
  17. 17. IBM Tivoli Security Solutions SOX 1.4.1.1 Le Utility di sistema devono essere usate esclusivamente da staff specializzato in determinate finestre temporali. Gli eventi che non rispondono a tale regola vengono evidenziate come exceptions. 17
  18. 18. IBM Tivoli Security Solutions Selezione delle informazioni 18
  19. 19. IBM Tivoli Security Solutions TCIM - Architettura Event Sources Collection Method IBM TCIM Application Output Enterprise Server log Web-base Applications Agent Dashboards & drill down log Databases Standard Servers Reports log Agent less Operating Systems Fase di collect completata Retrieve Log-files log IDS & IPS Third party integration Syslog/SNMP Log Depot log Fase di load completata Firewalls DB2 embedded alerts 19
  20. 20. IBM Tivoli Security Solutions TCIM - event sources supportati Applications: Tivoli Identity Manager Tivoli Access Manager for OS and for e-Business Servers: Devices: Tivoli Federated Identity Manager on: IBM AIX Audit logs Cisco Router AIX, Solaris, Windows, Red Hat ES, SUSE, HPUX IBM AIX syslog Hewlett-Packard ProCurve Switch Tivoli Directory Server on: IBM OS/400 & i5/OS journals Blue Coat Systems ProxySG Series AIX, Solaris, Windows, HPUX, Red Hat, SUSE Hewlett-Packard HP-UX Audit logs Check Point Firewall-1 SAP R/3 on Windows, Solaris, AIX, HP-UX Hewlett-Packard HP-UX syslog Cisco PIX mySAP Hewlett-Packard NonStop (Tandem) Cisco VPN Concentrator (3000 series) Misys OPICS Hewlett-Packard OpenVMS Symantec (Raptor) Enterprise Firewall BMC Identity Manager Hewlett-Packard Tru64 ISS RealSecure CA eTrust (Netegrity) SiteMinder Microsoft Windows ISS System Scanner RSA Authentication Server Novell Netware ISS SiteProtector Microsoft Exchange Novell NSure Audit McAfee IntruShield IPS Manager IBM Lotus Domino Server on Windows Novell Audit McAfee ePolicy Orchestrator Microsoft Internet Information server Novell Suse Linux Snort IDS SUN iPlanet Web Server on Solaris RedHat Linux Symantec Antivirus Stratus VOS Supported databases: TrendMicro ScanMail for Domino SUN Solaris BSM Audit logs IBM DB2 on z/OS TrendMicro ScanMail for MS Exchange SUN Solaris syslog IBM DB2 on Windows, Solaris, AIX, HPUX, Linux TrendMicro ServerProtect for Windows IBM DB2 / UDB on Windows, Solaris, AIX Microsoft SQL Server application logs Mainframe: Microsoft SQL Server trace files IBM z/OS + RACF Oracle DBMS on Windows, AIX, Solaris, HP-UX IBM z/OS + CA ACF2 Oracle DBMS FGA on Windows, AIX, Solaris, HP-UX IBM z/OS + CA Top Secret Sybase ASE on Windows, AIX, Solaris, HP-UX CA Top Secret for VSE/ESA IBM Informix Dynamic Server on Windows, AIX, Solaris and HPUX + TCIM CAN COLLECT FROM VIRTUALLY ANY EVENT SOURCE + Listed above are the event sources for which we have developed W7 mapping + Addditional mappers can be developed as needed based on customer requirements 20
  21. 21. IBM Tivoli Security Solutions Magic Quadrant for Security Information and Event Management (SIEM). 21
  22. 22. IBM Tivoli Security Solutions La soluzione proposta da IBM Servizi consulenziali per: Asse valutare lo “stato dell’arte” del cliente rispetto alla normativa e sviluppare il piano di rientro Definire la gestione di “ruoli e profili” Piattaforma software per: la verifica periodica dell’attività degli amministratori “Tivoli Compliance Insight Manager” (TCIM) garantire l’archiviazione sicura dell’attività degli amministratori “System Storage Archive Manager” (SSAM) la gestione “automatizzata” di ruoli e profili “Tivoli Identity Management” (TIM) hardening dell’accesso ai log “Tivoli Access Manager for OS” (TAMOS) - “ISS Proventia” TIM Gestione automatizzata dei Ruoli e dei Profili TCIM Centralizzazione dei log Audit & Compliance L Verifica attività amministratori SSAM Conservazione e Protezione dei dati Sorgente Sistema di archiviazione sicura TAMOS - ISS Proventia Controllo e restrizioni per l’accesso ai log 22
  23. 23. IBM Tivoli Security Solutions TCIM/SSAM: archiviazione sicura dei log Monitoring and retention of systems logs:: TCIM TCIM -Tivoli Compliance Insight Manager Enterprise / / Enterprise - System Storage Archive Manager TCIM Standard Server StandardServer TCIM Standard Server Standard Server Ambiente A Ambiente B Ambiente C S S S S S S A A A M M M ATTUATORI ATTUATORI C C C l l ATTUATORI l i i i e e e n n n t SORGENTI t SORGENTI t LAN/SAN Log Retention System Storage Archive Manager 23
  24. 24. IBM Tivoli Security Solutions TCIM/SSAM: archiviazione sicura dei log Ambiente A Ambiente B Ambiente C SORGENTI SORGENTI ATTUATORI ATTUATORI ATTUATORI TCIM TCIM TCIM TCIM Standard Server Standard Server Enterprise / / Enterprise SSAM Client Standard Server StandardServer SSAM Client LAN/SAN Log Retention System Storage Monitoring and retention of systems logs:: Archive Manager -Tivoli Compliance Insight Manager - System Storage Archive Manager 24
  25. 25. IBM Tivoli Security Solutions TCIM risponde agli obblighi previsti dal provvedimento di carattere generale del 27/11/08 – Cattura Gestisce i Log: – a livello Enterprise – li centralizza per periodi anche superiori ai 6 mesi – li conserva in formato originale – Comprende normalizza ed intepreta i LOG utilizzando un motore brevettato – Comunica Produce Report – ad uso e consumo degli auditor – per provare la compliance a specifiche normative 25
  26. 26. IBM Tivoli Security Solutions Stima servizi Analisi - 10gg - studio dell'ambiente - project plan - Documento di architettura logica e fisica NOTA: da inserire in tutti i bid che vengono costruiti Installazione Server - 2gg a server NOTA: per il dimensionamento del numero di server ogni server puo' governare 1000 event sources OPPURE 40GB di dati. Al superamento di uno di questi limiti scatta un altro server. Se il dimensionamento comporta piu' di un server, bisogna poi aggiungerne comunque uno di controllo: non esiste la configurazione da 2 server ma da 1,3,4,5 etc... Gestione Adapter su dispositivi standard (supportati) - 4gg per il primo di ogni tipologia e 0.25gg giorni per i successivi della stessa tipologia Gestione Adapter su dispositivi non standard (non supportati) - 12gg per il primo di ogni tipologia e 0.25gg giorni per i successivi della stessa tipologia 26
  27. 27. IBM Tivoli Security Solutions Hindi Traditional Chinese Thai Gracias Russian Spanish Thank English Obrigado Arabic You Danke Brazilian Portuguese German Grazie Italian Simplified Chinese Merci French Tamil Japanese Korean 27

×