1 / 15

Be SOxy!

Be SOxy!. IT megfelelőség a mindennapokban. Hogyan hat a SOx itthon?. A SOx hatása inkább trendszerű, mint közvetlen Közvetlenül: amerikai tőzsdén jegyzett anyacég Közvetve: Euro SOx (EU Company Law 8th Directive 2005) Basel II ( Basel Committee on Banking Supervision 2004)

addison-giles
Télécharger la présentation

Be SOxy!

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Be SOxy! IT megfelelőség a mindennapokban

  2. Hogyan hat a SOx itthon? A SOx hatása inkább trendszerű, mint közvetlen • Közvetlenül: amerikai tőzsdén jegyzett anyacég • Közvetve: • Euro SOx (EU Company Law 8th Directive 2005) • Basel II (Basel Committee on Banking Supervision 2004) • PCI DSS (Payment Card Industry Data Security Standard 2004) • ISO 27000 szabványcsalád (2005) • Hazai szabályozások (ÁSZ, PSZÁF, NHH, stb…)

  3. Mi lesz még ebből? • A folyamat elején tartunk • Az IT rendszer maga a szervezet, ami rengeteg megbízhatósági kérdést vet fel • Állam: Mennyi profit után adóztál? • Tulajdonos: Mennyi profit után kaptad a fizetésed? • Ügyfél: Mi alapján számlázol? • A szabályzások további bővülése várható.

  4. Mindennek az alapja: COBIT • ISACA 1992 • Az informatikai irányítás és ellenőrzés de facto, naprakész szabványa • Az üzleti / hivatali igényekből indul ki • Folyamat szemléletű • Segít megérteni, és kezelni az informatikai kockázatokat • Egyértelmű irányelveket és bevált gyakorlatokat ad az IT biztonsághoz és ellenőrzéshez

  5. Mire kell gondolni a mindennapokban? • Belső szabályzatot és monitoring rendszert kell alkotni • Egyértelmű felelőségi és számonkérési rendszert kell alkotni • Sértetlenség, bizalmasság, rendelkezésre állás

  6. Még konkrétabban? • Az alapelvek a körülményekhez igazított adaptációja A rendszer automatikusan készítsen audit trail állományokat minden kritikus adathozzáféréshez. Alakítson ki a „szükséges tudnia” alapelv szerint működő jogosultsági rendszert, amely alapesetben mindent tilt. A rendszerhez való minden hozzáférés legyen egyértelműen személyhez köthető. Biztosítsa a távadatátvitel bizalmasságát, sértetlenségét és hitelességét!

  7. Ki is az a szerver adminisztrátor? A rendszergazda a vállalat egyik legszélesebb operatív jogkörrel rendelkező tagja minimális felelőséggel. Miért? Tulajdonképp korlátlan jogosultságokkal rendelkezik beleértve a nyomok eltüntetésének lehetőségét is, ami rengetek előírásnak mond ellent.

  8. És a rendszergazda? • Az alapelvek a körülményekhez igazított adaptációja A rendszer automatikusan készítsen audit trail állományokat minden kritikus adathozzáféréshez. Alakítson ki a „szükséges tudnia” alapelv szerint működő jogosultsági rendszert, amely alapesetben mindent tilt. A rendszerhez való minden hozzáférés legyen egyértelműen személyhez köthető. Biztosítsa a távadatátvitel bizalmasságát, sértetlenségét és hitelességét!

  9. A lehetséges megoldások és gyengeségeik • 1. Központi naplózás • A megfelelő naplózási szint beállítása nehézségekbe ütközhet, vagy akát lehetlen is • Bonyolult üzemeltetni egy inhomogén hálózatban • A naplóbejegyzések olyan helyen generálódnak, amely nem független a rendszer adminisztrátorától • Újra felépíteni egy sessiont sok szakértelmet és időt (pénzt) kíván • A naplózó kliensek üzemeltetése is jelentős emberi erőforrást igényelhet • 2. Fraud detection / Network forensics • Nincs kontroll csak naplózás • Nem kezeli a titkosított adminisztratív csatornákat (SSH, RDP)

  10. A mi megoldásunk Transzparens felügyelet az SSH, Telnet és RDP forgalom felett Sun X2100 and X2200 alapokon

  11. A távoli hozzáférések kontrollálása • Beágyazott csatornák ki/be kapcsolása • Nincs lefedetlen csatorna • A rendszergazdáktól független eszköz • Erős authentikáció és titkosítás kikényszerítése • Rugalmas integrációs lehetőségek a meglévő hálózat átalakítása nélkül (pl: LDAP)

  12. A teljes session archiválása • A kapcsolat minden részletének naplózása, auditja • A munkamenetek kereshető visszajátszása • Tömörített és titkosított audit-trail fájlok • „4-eyes” elv betartatása a hálózaton

  13. Elfogtunk egy videót…

  14. Kinek jó ez? • Ki szeret minket? • A rendszergazda? – Esetleg… • Az auditor? – Minden bizonnyal! • A tulajdonos? – Nem kérdéses. • CIO? – Az nem kifejezés! 

  15. Vége Köszönjük a figyelmet! Illés Márton illes.marton@balabit.hu

More Related