XSecure - Direttiva Del Garante - Amministratori Di Sistema
-
Upload
xech -
Category
Technology
-
view
819 -
download
0
Transcript of XSecure - Direttiva Del Garante - Amministratori Di Sistema
XSecure
Direttiva del Garante - Misure relative
agli Amministratori di Sistema
1. Normativa
2. Requisiti
3. Crowe Horwath – Misure organizzative
4. Xech-XSecure – Misure tecniche
1. Performance, scalabilità, alta affidabilità
2. Monitoraggio
Agenda
Normativa di riferimento
Provvedimento a carattere generale del Garante per la protezione dei dati personali del 27 Novembre 2008 riguardante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle funzioni di amministratore di sistema” (G.U. n. 300 del 24 dicembre 2008)
Il Provvedimento si coordina con il disciplinare tecnico in materia di misure minime di sicurezza di cui all'allegato B del Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196)
Destinatari e misure tecniche e organizzative
Il provvedimento si rivolge a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, invitandoli a prestare la massima attenzione ai rischi inerenti alle attivitàdegli amministratori di sistema.
Per gestire adeguatamente tali rischi, il provvedimento impone le seguenti misure e accorgimenti di carattere tecnico (T) o organizzativo (O):
• attivazione degli “access log” relativi alle attività degli amministratori di sistema e conservazione per almeno sei mesi in archivi immodificabili, inalterabili e verificabili (T)• elenco aggiornato degli amministratori di sistema (O)• verifica annuale dell’effettiva operatività delle misure e degli accorgimenti a presidio dei rischi (O)• designazione individuale, puntuale e ponderata degli amministratori di sistema (O)
1. Figure coinvolte • amministratori di sistema di backup/restore e manutenzione hardware• amministratori di sistemi software complessi (ERP, CRM, ...)• amministratori di reti e di apparati di sicurezza• amministratori di database (DBA)
2. Ambienti coinvolti• Ambienti di Produzione• Ambienti di Integrazione, Collaudo, Formazione• Ambienti di Disaster Recovery
3. Ambienti NON coinvolti• Amministrativo Contabili
4. Log Retention• Storicizzazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici• Gli access log devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha
generate• Storicizzazione degli access log per un minimo di 6 mesi
5. Protezione dei dati• Completezza• Inalterabilità• Possibilità di verifica dell’integrità
Misure Tecniche - principali requisiti tecnologici
1. Figure coinvolte • Titolare/i e Responsabile/i preposti al trattamento dei dati
personali• Amministratori dei diversi livelli dell’infrastruttura IT (physical,
system, network, application, DB)• Internal Audit
2. Ambito• Attività di amministrazione di sistema interna• Attività di amministrazione di sistema affidata in outsourcing
3. Strumenti/Documentazione • Elenco nominativo amministratori con riepilogo funzioni attribuite• Lettera di designazione amministratori con valutazione
caratteristiche soggettive, riepilogo responsabilità e profilo autorizzativo assegnato
• Strumenti e documenti di testing di conformità• Audit clause ed altre integrazioni contrattuali con outsourcer di
servizi di amministrazione di sistema
Misure Organizzative - principali requisiti
Misure Organizzative – La nostra offerta
Con il supporto di Crowe Horwath, la nostra offerta include anche i seguenti servizi:
• supporto nell’identificazione delle attività di amministrazione di sistema e nella predisposizione dell’elenco nominativo• analisi dei rischi inerenti alle attività degli amministratori del sistema e adeguamento dei controlli interni• predisposizione degli strumenti per le verifiche periodiche• svolgimento in out-sourcing e documentazione delle verifiche periodiche
Crowe Horwath è una società di consulenza specializzata in materia di rischi e controlli interni e opera con risorse professionali realmente qualificate e senior
E’ una soluzione di Log Collection & Aggregationspecializzata per rispondere in modo preciso e puntuale alle richieste del Garante della Privacy relativamente al decreto degli amministratori di sistema
Misure Tecniche – XSecure
- soddisfa i requisiti del Garante (consente l'archiviazione delle sole informazionirichieste dal Garante)- consente il cost saving in relazione all'infrastruttura necessaria (riduzione del 70% dello storage richiesto utilizzando tecniche di compressione evolute)- facilita le analisi forensi (alte performance nella ricerca degli eventi)- permette una gestione sicura dei log archiviati- ha un potente sistema di archiviazione dei log (sicurezza, unicità, ...)- consente l'alta affidabilità
- è caratterizzata da una interfaccia web- offre la possibilità di adattamento ad eventuali modifiche della normativa- soluzione in alta affidabilità- realizzata ed operativa dal 2005 (direttiva Data Retention – tracciamento dati di
traffico Internet per gli ISP/TLC)- allarmistica
La soluzione Xech per volumi elevati: XSecure + XStore
LOG
COLLECTION
CORRELATION
ENCRYPTION
COLLECTION
CORRELATION
ENCRYPTION
ACC
J2EE APP. SERVER
JDBC
XSTORE QUERY ENGINE
XSTORE DATABASE LOADER
LOGLOG LOG LOGLOG
HTTPs
External System
GW
WebServices
DBDB
Sistema di accesso
1. Performance• Insert rate: up to 400.000 record/sec (35 miliardi di record al
giorno) per ciascuna CPU
• Query su 1.000.000.000 di record: < 5 sec
2. Scalabilità• Scalabilità lineare con l’aggiunta di nuove CPU e/o nuovi server
3. Alta affidabilità• Tutti gli elementi dell’architettura sono completamente ridondati
• Nessuna perdita di dati in caso di fault
• Disservizio limitatissimo (< 1 sec) in caso di switch del cluster
Performance, scalabilità, alta affidabilità
XStore system benefit
Number of CDR Storage Requirements (TB)
Required CPUs
Daily (Milion)
Avg x sec
Peak x sec
Optimized DWH
XStore Optimized DWH
XStore
1.000 12.000 20.000 60 + 60 6 6 + 6 2 + 2
2.000 24.000 40.000 120 + 120 11 12 + 8 2 + 2
5.000 60.000 100.000 300 + 300 27 24 + 8 4 + 4
1. Collettori Standard• Syslog Collector (Standard Edition)• NetFlow Collector• SNMP Collector• HTTP/HTTPS Collector• FTP/SFTP Collector• JDBC Database Collector (Standard Edition)
2. Collettori General Purpose• General Purpose Log Collector (Standard Edition)• UDP Generic Collector• TCP Generic Collector
3. Collettori Proprietari• Windows Event Viewer Collector (Standard Edition)• Checkpoint OPSEC LEA Collector• Cisco SCE Collector• Cisco CSG Collector• Snort IDS Collector• IBM-ISS IDS Collector• CiscoWorks LMS Collector• Juniper SBR Radius Collector• Alcatel-Lucent IOO Collector• Nortel EAI Collector• Marconi PFM Collector
Log and Event Collectors
1. Crittografia• I log (o data file) vengono criptati
• Gestione delle chiavi di crittografia
2. Impronta• Memorizzazione delle checksum (impronte digitali)
• Sistema di verifica di integrità
3. Indicizzazione• Indici interni o esterni ai “data file”
• Indici multipli (username, server, ...)
Inalterabilità e accesso ai log
1. Database distribuito: elevatissime performance• Partizionamento dei dati• Elaborazione parallela
2. Compressione dei dati• Riduzione dello storage necessario
3. Protezione dei dati• Crittografia (3DES, AES)• Data file binari e indicizzati
4. Affidabilità e semplicità di gestione• Ciascun data file è auto-consistente• Sistema di backup/restore basato sul file system
5. Zero administration• Non sono richiesti DBA
Database XStore
Schema Logico
LOG
COLLECTION
CORRELATION
LOGLOG LOG LOGLOGDBDB
LOG LOG LOG LOG
ENCRYPTION
XYZ XYZ XYZ XYZ
INDEXING
SIGNATURE
XYZ XYZ XYZ XYZ
Indexes Signatures
Sistema di accesso
Alta affidabilità
Monitoraggio Applicativo (XSpotter)
• Monitoraggio real-time della disponibilità e delle performance• Cruscotti e consolle real-time• Reportistica su base storica• Integrabile con altre soluzioni di monitoraggio