Защита информации: Часть 2. Аудит и соблюдение нормативов

"SAFER" - возможности защиты информации

Защита информации является одной из типичных точек входа для организаций, начинающих работу с управлением информацией. Защита конфиденциальных данных служит удовлетворению очевидной потребности бизнеса и является темой многих действующих нормативных документов. В 2008 году средняя стоимость ущерба от нарушений безопасности данных в организациях составила 6,5 миллионов долларов - и это только по известным случаям. В своем большинстве эти нарушения были внутренними.

В первой статье этой серии, состоящей из двух частей (EN), мы рассмотрели информационную безопасность и аспекты конфиденциальности защиты данных. Во второй части мы обратим наше внимание на аудит и соблюдение нормативов.

Марк Симмондс, старший менеджер по маркетингу, подразделение Information Management, System z, IBM

Марк Симмондс (Mark Simmonds), старший менеджер по маркетингу продуктов в IBM Software Group Information Management, занимается продуктами Data Governance, Master Data Management и SOA for the System z®. Он работает в IBM 15 лет. Предыдущие 10 лет он работал в подразделении WebSphere® Product Marketing. У него есть серьезный практический опыт – в течение трех лет он был архитектором систем IBM, ответственным за проектирование инфраструктуры и корпоративной технической архитектуры в крупных финансовых учреждениях. Он имеет ряд авторских наград за статьи для технических и деловых журналов.



Эрни Мэнсилл, ведущий ИТ-специалист, System Z, IBM

Эрни Мэнсилл (Ernie Mancill) является ведущим ИТ-специалистом и одним из основателей группы IBM z/Series Database Tools, которая помогает клиентам в оценке и реализации инструментов базы данных IBM DB2. Эрни специализируется на управлении данными и безопасности DB2 и IMS на System z. Особое внимание он уделяет аудиту, конфиденциальности данных и технологии шифрования данных. До прихода в IBM в 1999 году Эрни работал системным программистом DB2 и CICS; имеет более чем 35-летний опыт работы на самых разных должностях в различных отраслях.

Эрни имеет сертификационный статус Certified DB2 for z/OS V9 Database Administrator; он выступал с докладами на форумах IDUG, DB2 Conference Information-On-Demand, SHARE, а также в местных группах пользователей DB2 по всей Америке. Эрни является соавтором трех книг IBM Redbook: "A Deep Blue View of DB2 Performance – IBM Tivoli OMEGAMON for DB2 Performance Expert on z/OS", "Keeping Your Data in its Place with DB2 Data Archive Expert" и "Securing and Auditing Data on DB2 for z/OS". В свободное время Эрни является страстным любителем морской рыбалки на мушку.



12.09.2011

Обзор

Кратко напомним содержание первой статьи. IBM предоставляет полный набор возможностей по защите информации для аппаратных платформ IBM, которые помогают организациям выяснить, какие данные должны быть защищены, реализовать безопасный доступ к этим данным, обеспечить шифрование данных и быть уверенным в том, что конфиденциальность будет соблюдаться в течение всего жизненного цикла информации. Кроме того, IBM предоставляет организациям мощные и гибкие инструментальные средства анализа, аудита в реальном времени и создания отчетов.

Рисунок 1. IBM предоставляет организациям полный набор возможностей по защите информации
Рисунок 1. IBM предоставляет организациям полный набор возможностей по защите информации

Защита информации для IBM System Z

По оценкам, 95% компаний, входящих в список Fortune 1000, хранят бизнес-данные на IBM System z®. Бизнес-ориентированные возможности платформы System Z (продвинутые функции обеспечения непрерывности бизнес-процессов, безопасность, целостность транзакций, масштабируемость, способность равномерно распределять динамическую рабочую нагрузку, а также мощные инструменты управления доступом и его защиты) делают ее отличным выбором для хранения и обработки критически важной бизнес-информации.

Однако организации должны демонстрировать подотчетность, следуя отраслевым, финансовым и регулятивным нормативным документам, и быть в состоянии ответить на вопросы кто, что, когда, где и как в том, что касается доступа к данным. В дополнение к государственным и местным законам и нормативным документам необходимо соблюдать ряд международны нормативных актов. Закон Сарбейнса-Оксли (SOX), Payment Card Industry Data Security Standard (PCI DSS), Federal Information Security Management Act (FISMA), Health Insurance Portability and Accountability Act (HIPAA), Basel II и U.S. Senate Bill 1396 - вот лишь несколько нормативных актов, которые должны соблюдать организации. Исследования показывают, что ощущаемое качество корпоративного управления компанией может влиять на цену ее акций, а также на стоимость привлечения капитала.

Давайте пристальнее посмотрим на защиту информации на платформе System Z, сосредоточившись на аудите и соблюдении нормативов на z/OS.


Аудит и серверы данных IBM на z/OS

RACF - ведущее в отрасли средство обеспечения безопасности для z/OS, отлично подходящее для защиты доступа к защищенным активам на серверах данных для z/OS. Однако его недостаточно для получения информации о доступе и активности. Необходимы механизмы аудита, которые могли бы собирать и предоставлять информацию об активности операций на серверах данных для z/OS с относительно невысокими накладными расходами. Аудит не обеспечивает выполнение политик безопасности, поэтому для надежной реализации безопасности необходимы как защита на основе RACF, так и поддержка аудита. Целью аудита является обеспечение соответствующего контроля в целях выявления несанкционированного доступа и использования производственных данных. Хотя аудит не обеспечивает соблюдение схем доступа или реализацию систем безопасности, он предоставляет объективную информацию для анализа действий пользователей после получения доступа. Важно помнить, что решения аудита не занимаются защитой доступа к данным или другим ресурсам базы данных.


Проблема привилегированного пользователя

Обеспечение бесперебойной работоспособности любой системы управления базами данных (СУБД), в том числе DB2 и IMS на z/OS, требует выполнения на регулярной основе определенной совокупности действий как со стороны системы, так и со стороны администраторов баз данных. Хотя эти действия хорошо контролируются процессами обеспечения внешней безопасности, такими как RACF, они являются всепроникающими и могут быть использованы в целях, противоречащих политике безопасности. Представим, например, что в некоторой таблице DB2 хранятся важные данные, а приложения, обращающиеся к этой таблице, такие как IMS или IBM CICS®, хорошо защищены RACF. У администратора базы данных нет RACF-полномочий для выполнения приложения CICS, но есть полномочия DBADM (администрирование базы данных) для администрирования таблицы. Администратор базы данных выполняет утилиту UNLOAD, извлекая все данные, содержащиеся в таблице. Затем он может передать эти данные внешнему объекту посредством любых механизмов (FTP, Flash/USB, CSV в электронную таблицу и т.д.). Так как пользователь имеет особые привилегии в отношении таблицы, не будет никаких признаков нарушения безопасности, о которых мог бы сообщить RACF.

С другой стороны, если бы среда была защищена при помощи решений аудита, у нас были бы механизмы, способные представить информацию об этом разрешенном, но подозрительном использовании специальных полномочий. Одним из рекомендованных применений аудита является мониторинг всех SQL-запросов и вызовов служебных утилит со стороны привилегированных пользователей. И наоборот, можно отслеживать каждый вызов утилиты или их комбинаций для поиска одного или обоих классов событий в пределах заданного временного интервала. Таким образом, хотя доступ в течение рабочего дня администратора базы данных к таблицам, находящимся под аудитом, может быть допустимым действием, параметры аудита можно настроить на поиск необычных схем доступа вне обычного рабочего времени. Проблема состоит в том, что характер полномочий дает возможность привилегированным пользователям обращаться к ресурсам и данным DB2 и IMS вне рамок хорошо защищенной программной среды. В итоге они имеют неограниченный доступ к данным и возможность обхода стандартной защиты на уровне транзакций RACF. В среде СУБД, где имеются полномочия привилегированных пользователей, должен быть какой-то механизм для отслеживания и фиксации действий, которые выполняются от имени этих привилегированных пользователей.

Рисунок 2. Guardium обеспечивает масштабируемый аудит, управление доступом и возможности мониторинга в гетерогенных средах
Рисунок 2. Guardium обеспечивает масштабируемый аудит, управление доступом и возможности мониторинга в гетерогенных средах

Разделение ролей

Любой механизм, используемый для аудита активности доверенных пользователей, должен быть реализован таким образом, чтобы предотвратить вмешательство привилегированного пользователя в сбор данных аудита или искажение источника этих данных. Механизмы аудита на серверах данных для z/OS должны поддерживать необходимое разделение обязанностей, чтобы обеспечить целостность данных аудита и точность отчетов. Администраторы баз данных выполняют свои должностные обязанности, а аудиторы выполняют свои отчеты независимо от администраторов баз данных, что делает аудит более простым и точным. Аудиторы должны иметь возможность опираться на опубликованные отраслевые стандарты и внешний аудит, не полагаясь на помощь со стороны персонала, в отношении которого проводится мониторинг.


Guardium for z

Аудитору, использующему Guardium for z, для доступа к данным не нужно обращаться ко множеству источников и не требуются идентификаторы пользователей DB2 или операционной системы. Чтобы получить полный обзор всех объектов аудита, администратору достаточно просто войти в Guardium. Аудитор может отображать собранные в центральном репозитории данные для всех экземпляров DB2 или только для интересующих его экземпляров. Централизованный репозиторий создает единый источник для отчетности, ведомственного контроля и обобщения данных, включая высокоуровневый анализ аномалий аудита и возможность детализации (один уровень за раз), а также надежный уровень событий отчетности, контролируемых аудитором без участия администратора базы данных. Надежные данные аудита находятся под замком в защищенном репозитории, который не может быть изменен никем, в том числе администраторами баз данных и другими привилегированными пользователями; тем самым поддерживается разделение обязанностей и выполнение ключевых требований аудита. Храня данные аудита в защищенной среде, такой как Guardium for z, организации могут лучше управлять доступом и защитой данных аудита.

Во многих организациях от среды всестороннего аудита требуется гораздо больше, чем просто механизмы сбора, хранения и предоставления отчетности. Большинству клиентов уже сегодня требуется поддержка сред гетерогенных СУБД, распределенных между различными аппаратными средствами, операционными системами и менеджерами баз данных. Эффективные средства аудита комбинируют данные из этих разнородных сред в единой панели просмотра. Guardium как часть более крупных гетерогенных реализаций предоставляет дополнительную поддержку, удовлетворяющую многим общим требованиям аудита и отчетности, а также обеспечивает значительно более надежную функциональность. Guardium помогает удовлетворить широкий спектр требований мониторинга и оповещения без ущерба для производительности и соглашений об уровне обслуживания (SLA), а также без необходимости внесения изменений в базы данных или приложения, в том числе:

  • Оптимизирует процесс соблюдения нормативов путем автоматизации документооборота, при которой отчеты о соблюдении нормативов автоматически передаются в группы контроля для электронного утверждения, эскалации и разбора.
  • Предоставляет масштабируемую многоуровневую архитектуру, которая легко расширяется при росте рабочих нагрузок, появлении дополнительных приложений и центров обработки данных.
  • Предотвращает несанкционированные изменения схем баз данных и самих данных.
  • Позволяет реализовать автоматизированную синхронизацию управления изменениями путем сравнения санкционированных запросов на изменение с фактическими изменениями, осуществленными администраторами баз данных.
  • Предоставляет библиотеку оптимальных методик с сотнями предварительно сконфигурированных (в соответствии с нормативными документами и стандартами, такими как SOX, PCI и HIPAA) отчетов и методик, а также простой в использовании, основанный на принципе перетаскивания конструктор для создания специализированных отчетов и политик.

Информирование о потенциальных угрозах в режиме реального времени позволяет организации быть на шаг впереди конкурентов. Зачем устранять проблемы, если можно предотвратить их при помощи Guardium for z?


Заключение

Решения IBM Information Management по защите информации для z/OS предлагают широкий спектр возможностей для обеспечения безопасности на всех уровнях, помогающих управлять бизнес-рисками, снизить угрозу повреждения данных и риски нарушения безопасности, где бы ни находились данные, кто бы ни использовал их и когда бы они ни использовались. IBM поможет вам найти способы обеспечить контроль информации и быть в безопасности (S.A.F.E.R.).

Ресурсы

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=Information Management, SOA и web-сервисы
ArticleID=756986
ArticleTitle=Защита информации: Часть 2. Аудит и соблюдение нормативов
publish-date=09122011