LOGmanager a dodržování požadavků bezpečnostních standardů PCI DSS v3.2

Podobné dokumenty
LOGmanager a soulad s požadavky GDPR

Vzdálená správa v cloudu až pro 250 počítačů

Akceptace platebních karet je specifická činnost a v souvislosti s ní je třeba si z hlediska zájemce vyjasnit řadu otázek, např.:

Příklad druhý, Politika používání mobilních PC (mpc)

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Bezpečnostní politika společnosti synlab czech s.r.o.

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Bezpečnostní politika společnosti synlab czech s.r.o.

Technická a organizační opatření pro ochranu údajů

Bezpečnostní zásady. Příloha č. 1 k Podmínkám České národní banky pro používání služby ABO-K internetové bankovnictví

AleFIT MAB Keeper & Office Locator

CENTRUM ZABEZPEČENÍ VERVE

Poliklinika Prosek a.s.

Identity Manager 4. Poskytujte okamžitý přístup ke zdrojům v rámci celého podniku

Jak efektivně ochránit Informix?

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

LINUX - INSTALACE & KONFIGURACE

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

PŘÍLOHA C Požadavky na Dokumentaci

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

1.05 Informační systémy a technologie

WORKWATCH ON-LINE EVIDENCE PRÁCE A ZAKÁZEK

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

eidas electronic IDENTITY PORTAL SOLUTION DEFINICE PRODUKTU TS-MyeID PORTAL

Zákon o kybernetické bezpečnosti: kdo je připraven?

1.05 Informační systémy a technologie

FlowMon Vaše síť pod kontrolou

Zákon o kybernetické bezpečnosti

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Nezávislá zpráva o ověření prohlášení společnosti Heureka Shopping s.r.o týkající se zpracování zákaznických ových adres

Flow monitoring a NBA

Zálohování v MS Windows 10

PRO ZAJIŠTĚNÍ AŽ 50% ÚSPORY MULTIFUNKČNÍ VÝDEJNÍ AUTOMATY / / S DISTRIBUČNÍ APLIKACÍ IDS

Monitorování datových sítí: Dnes

Enterprise Mobility Management

Dotazník pro sebehodnocení a šablona pro plánování Global Network

OBCHODNÍ SLUŽBY SPOLEČNOSTI WORLDLINE. Technická a organizační opatření a Seznam Oprávněných subdodavatelů

Metodický pokyn k uvedení registru do produkčního provozu

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0


BISON. B udování a I mplementace S oftwarových O pen source N ástrojů, z. s.

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o.

Řešení ochrany databázových dat

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

PB169 Operační systémy a sítě

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

LICENČNÍ PODMÍNKY pro užití softwarového programu FINYS a souvísejících služeb

Příručka pro správu systému

IT v průmyslu MES systémy Leoš Hons. Bezpečnost v oblasti MES systémů - kde začít?

IntraVUE Co je nového

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

Tomáš Kantůrek. IT Evangelist, Microsoft

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, SDM600 Stručný popis a reference.

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Koncept. Centrálního monitoringu a IP správy sítě

Microsoft Windows Server System

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Základní informace: vysoce komfortnímu prostředí je možné se systémem CP Recorder efektivně pracovat prakticky okamžitě po krátké zaškolení.

VARONIS A STANDARDY. Varonis a standardy ISO PŘEHLED

Český olympijský výbor. Směrnice o ochraně osobních údajů v rámci kamerového systému

Sjednocení dohledových systémů a CMDB

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOSTI profiq s.r.o.

Rozšíření systému na sledování státní a veřejné podpory pro Ministerstvo financí

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Je Smart Grid bezpečný?

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Nintex Workflow 2007 je nutné instalovat na Microsoft Windows Server 2003 nebo 2008.

INTERNÍ TECHNICKÝ STANDARD ITS

EXTRAKT z mezinárodní normy

Úvod - Podniková informační bezpečnost PS1-2

ASV testy - podmínky služby

Koncept centrálního monitoringu a IP správy sítě

Snížení skrytých nákladů spojených se zvýšením kapacity napájení datových středisek

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Symantec Mobile Management for Configuration Manager 7.2

VPCO - video pult centrální ochrany

ČD Telematika a.s. Efektivní správa infrastruktury. 11. května Konference FÓRUM e-time, Kongresové centrum Praha. Ing.

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Aplikace na čipových kartách

Příloha Partner. Subjekt C&A: C&A Moda, s.r.o. Datum revize Revizi provedl/a. Aktuální verze 0.5. Stupeň důvěrnosti

Flow Monitoring & NBA. Pavel Minařík

Konfigurace pracovní stanice pro ISOP-Centrum verze

Koncept BYOD. Jak řešit systémově? Petr Špringl

Bezepečnost IS v organizaci

FlowMon Monitoring IP provozu

plussystem Příručka k instalaci systému

Stručný návod na připojení NVR/DVR ke cloudovým službám a P2P

Stručná instalační příručka SUSE Linux Enterprise Server 11

Provozní pokyny Aplikační stránky

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Transkript:

LOGmanager a dodržování požadavků bezpečnostních standardů PCI DSS v3.2 Whitepaper ilustrující, jak nasazení platformy LOGmanager napomáhá zajistit dodržování požadavků standardu PCI DSS Mnoho organizací řeší otázku, jaká kontrolní opatření a v jakých oblastech jsou dle požadavků PCI DSS povinny dodržovat. Také se zamýšlejí na tím, jaké systémy a řešení jim mohou spolehlivé dodržování těchto požadavků zajistit. Tento dokument popisuje, jak lze dosáhnout splnění některých důležitých požadavků standardu PCI DSS zavedením vhodného systému řízení bezpečnostních událostí postaveného na platformě LOGmanager. Stručný přehled pro vedoucí pracovníky na pozicích CISO/CIO požadavky standardu PCI DSS a platforma LOGmanager Standard PCI DSS (Payment Card Industry Data Security Standard) byl vyvinut s cílem podpořit a posílit bezpečnost dat držitelů karet a podpořit co nejširší zavádění jednotných opatření k zabezpečení těchto dat. PCI DSS stanovuje základní technické a provozní požadavky, jejichž cílem je zajistit ochranu zákaznických dat. Ve stručnosti se jedná o soubor požadavků, testovacích postupů a doporučení týkajících se postupů, které musí splňovat všechny subjekty zpracovávající údaje o platbách platebními kartami. Standard PCI-DSS pokrývá celkem 12 oblastí a zájemcům o jeho prostudováni je v úplném znění zdarma k dispozici na následující adrese: https://www.pcisecuritystandards.org/. LOGmanager byl vyvinut jako systém pro centralizovanou správu protokolů událostí (logů) poskytující jednoduché zobrazení všech strojově generovaných dat v organizaci. V prvním kroku LOGmanager shromažďuje, sjednocuje a dlouhodobě uchovává protokoly událostí a záznamy o událostech z aktivních síťových prvků, bezpečnostních zařízení, operačních systémů a aplikačního softwaru. Následně téměř v reálném čase převádí shromážděná data do dobře definované výkonné databáze, ke které mohou IT specialisté přistupovat prostřednictvím předdefinovaných řídicích panelů a strukturovaného a fulltextového vyhledávání s grafickým zobrazením výsledků. Poskytuje také výkonné aplikační rozhraní podporující integraci s dalšími nástroji používanými ve firmě pro účely monitorování a zabezpečení. LOGmanager pomáhá organizacím především s dodržováním požadavku č. 10 standardu PCI DSS: Sledovat a monitorovat všechny přístupy k síťovým zdrojům a datům držitelů karet. Poskytuje mechanismy protokolování a zajišťuje schopnost zpětně dohledat uživatelské aktivity, což je kriticky důležité pro prevenci, odhalování nebo minimalizaci dopadů narušení (kompromitace) dat. Vzhledem k tomu, že LOGmanager v rámci jednoduchého zobrazení poskytuje přístup ke všem

strojovým datům, lze v případě, že je zjištěn problém, provádět podrobné sledování, aktivovat výstrahy a zajistit analýzu. Nemáte-li k dispozici kompletní databázi protokolů, jakou poskytuje např. LOGmanager, je stanovení příčiny narušení dat velmi obtížné nebo téměř nemožné. Ve zkratce se jedná o aplikaci pro shromažďování, ukládání a analýzu protokolů událostí, která umožňuje nákladově efektivní automatizaci auditů PCI a proaktivní ochranu dat držitelů karet. Požadavky standardu PCI DSS a jak LOGmanager přispívá k jejich naplňování OBLAST 1 Vybudování a udržování bezpečné sítě a systémů 1.2.x Vytvořit takovou konfiguraci firewallu a routerů, která zamezuje navázání spojení mezi nedůvěryhodnými sítěmi a jakýmikoli systémovými komponentami v prostředí dat držitelů karet. Díky schopnosti systému LOGmanager parsovat a analyzovat protokoly generované na základě nastavení pravidel firewallu a protokoly obsahující záznamy o přístupu k routeru můžete s pomocí LOGmanageru zjistit, které síťové toky jsou blokovány nebo naopak povoleny. Poskytuje rychlou analýzu, na jejímž základě lze upravit nastavení příslušných zařízení, a zamezit veškerému provozu, který není generován 1.4.x Instalovat osobní firewall nebo systém zajišťující obdobnou funkci na veškerá přenosná výpočetní zařízení (včetně zařízení vlastněných firmou a/nebo zaměstnancem), která se připojují na internet mimo firemní síť (například notebooky používané zaměstnanci), a které se zároveň používají k přístupu do prostředí dat držitele karty. Konfigurace firewallů (nebo jejich ekvivalentů) zahrnuje následující kroky: - definování konkrétních nastavení, - zajištění aktivního běhu osobního firewallu (nebo systému zajišťujícího ekvivalentní funkci), - uživatelé přenosných výpočetních zařízení nesmějí mít možnost měnit nastavení osobního firewallu (nebo systému zajišťujícího ekvivalentní funkci). důvěryhodnými operacemi. Díky schopnosti LOGmanageru sledovat provoz osobního firewallu může tento systém napomoci při odhalování nežádoucích operací včetně poruch, změn v konfiguraci nebo odchylek od firemní politiky upravující používání osobního firewallu. Umožňuje také centrálně shromažďovat a analyzovat protokoly a záznamy o událostech z jednotlivých zařízení a systémů a generovat odpovídající výstrahy.

OBLAST 2 Nepoužívat výchozí nastavení od dodavatele pro systémová hesla a jiné bezpečnostní parametry 2.1 Vždy změnit výchozí nastavení od dodavatele a odstranit nebo deaktivovat zbytečné výchozí účty před instalací systému do sítě. LOGmanager může detekovat použití výchozích účtu, které by se neměly používat nebo které mají speciální nebo privilegovaná přístupová práva, jež nejsou pro dané systémy povolena, a může 2.1.1 U bezdrátových technologií připojených k prostředí dat držitelů karet nebo přenášejících data držitelů karet je nutné změnit VŠECHNA výchozí nastavení od dodavatelů bezdrátových technologií včetně výchozích bezdrátových šifrovací klíčů, hesel a řetězců SNMP community strings. 2.2.1 Implementovat na každém serveru pouze jednu primární funkci, aby se na jednom serveru zabránilo současné existenci funkcí vyžadujících různé úrovně zabezpečení. (Např. webové servery, databázové servery a DNS servery by měly být provozovány na oddělených serverech.) 2.4 Spravovat inventář systémových komponent, na něž se vztahují požadavky PCI DSS. v takovém případě generovat výstrahu. LOGmanager je schopen parsovat strojová data generovaná bezdrátovými zařízeními od všech hlavních výrobců včetně SNMP TRAP zpráv. Dokáže detekovat změny konfigurace, neoprávněné úpravy a porušení politik týkajících se bezdrátového přístupu a vytvořit odpovídající výstrahu. Také dokáže detekovat útoky hrubou silou a upozornit na ně. LOGmanager může pomoci odhalit zdroje, na nichž je současně provozováno více služeb. LOGmanager dokáže vytvořit zprávu obsahující informace o systémech zjištěných v definované bezpečnostní zóně a upozornit na nové systémy, které se objeví v monitorovaných zónách, na něž se vztahují požadavky PCI DSS.

OBLAST 5 Chránit všechny systémy proti malwaru a pravidelně aktualizovat antivirový software nebo programy 5.2 Zajistit, aby všechny antivirové mechanismy byly spravovány podle následujících bodů: LOGmanager dokáže detekovat případy, kdy soubory protokolu obsahují informace o - byly udržovány aktuální, nefunkčních nebo zakázaných funkcích běžného - prováděly pravidelné skenování, antivirového softwaru, a upozornit na ně. Lze - generovaly auditní protokoly (audit logs) uchovávané v souladu s požadavkem 10.7 PCI DSS. vytvořit řídicí panel zobrazující téměř v reálném čase informace o aktuálním stavu antivirového softwaru nasazeného v prostředí podléhajícím 5.3 Zajistit, aby byly aktivní antivirové mechanismy a nemohly být deaktivovány ani změněny uživateli, pokud to není výslovně schváleno vedením, a to případ od případu a na omezenou dobu požadavkům PCI DSS. Viz výše. OBLAST 6 Vyvíjet a udržovat bezpečné systémy a aplikace 6.2 Zajistit, aby všechny systémové komponenty a veškerý software byly chráněny před známými zranitelnostmi instalací příslušných bezpečnostních záplat dodávaných výrobcem. Instalovat kriticky důležité bezpečnostní záplaty do jednoho měsíce od jejich vydání. LOGmanager dokáže detekovat dobu běhu jednotlivých serverových platforem, sledovat instalaci bezpečnostních záplat a vytvořit řídicí panel zobrazující nejméně aktulizované systémy. 6.3 Odstranit vývojové, testovací a/nebo běžné aplikační účty, uživatelská ID a hesla před uvedením aplikace do produkčního stavu nebo před jejím předáním uživateli. LOGmanager dokáže detekovat použití testovacích nebo uživatelsky upravených aplikačních účtů, které by se v produkčních systémech neměly používat, a zobrazit příslušnou výstrahu.

OBLAST 10 Sledovat a monitorovat všechny přístupy k síťovým zdrojům a datům držitelů karet. Toto je oblast, kde může LOGmanager přispět k dodržování požadavků PCI DSS nejvíce. 10.1 Zajistit vytvoření auditních záznamů, které umožní u všech přístupů k systémovým komponentům určit konkrétního uživatele. Pokud je jako cílový systém pro uchovávání auditních záznamů používán LOGmanager, mohou bezpečnostní technici rychle zjistit, jaké zdroje podléhají požadavkům PCI DSS, a získat informace o přístupu každého jednotlivého uživatele k systémovým komponentám 10.2.x Zajistit u všech systémových komponent automatizované vytváření auditních záznamů, které umožní provést rekonstrukci následujících události:.1 všechny individuální přístupy uživatele k datům držitelů karet,.2 všechny činnosti jednotlivých uživatelů provedené s oprávněními administrátora nebo root,.3 přístup ke všem auditním záznamům,.4 neplatné pokusy o logický přístup,.5 použití a změny identifikačních a autentizačních mechanismů včetně vytváření nových účtů a zvyšování úrovně oprávnění a všechny změny, doplnění nebo odstranění účtů s oprávněními administrátora nebo root,.6 spuštění, zastavení nebo pozastavení vytváření auditních protokolů,.7 vytvoření a mazání objektů na systémové úrovni. podléhajícím požadavkům PCI DSS. Při správné implementaci na zdroje poskytující informace o systémových událostech zajistí LOGmanager shromažďování, parsování a vhodné zobrazení informací o těchto událostech. Následně lze vytvořit výstrahy reagující na výskyt předem definovaných událostí, takže je o nich bezpečnostní technik bezodkladně informován. 10.3.x Uchovávat u všech systémových komponent a jednotlivých událostí alespoň následující záznamy pro potřeby auditu:.1 identifikace uživatele,.2 typ události,.3 datum a čas,.4 informace o úspěchu či neúspěchu,.5 původ události,.6 identita nebo název dotčených dat, systémové komponenty či zdroje. Při správné implementaci na zdroje poskytující informace o systémových událostech zajistí LOGmanager uchovávání těchto auditních záznamů.

10.4.x S použitím technologie pro synchronizaci času synchronizovat všechny systémové hodiny a časy kritických systémů a zajistit, aby byly pro získání, distribuci a ukládání informací o času učiněny následující kroky. LOGmanager ve svém výchozím nastavení nedůvěřuje časovým údajům poskytnutým jednotlivými zdroji a přidává k záznamům své vlastní časové razítko vytvořené na základě údaje o přesném čase získaného z redundantních NTP severů. Spolu s každou obdrženou událostí je uloženo také časové razítko poskytnuté zdrojovým systémem a časové razítko vytvořené LOGmanagerem. 10.5 Zabezpečit auditní záznamy proti změnám LOGmanager nedovoluje jakékoli úpravy či mazání shromážděných logů a událostí. Po zápisu dat do databáze funguje v režimu umožňujícím pouze čtení. Jediná možnost, jak získaná data smazat, je prostřednictvím funkce výchozí tovární nastavení přístupné pod právy superadmin při plném fyzickém přístupu k systému LOGmanager. Pokud je vyčerpána úložná kapacita dostupná v systému LOGmanager pro databázi, je o tom informován operátor systému LOGmanager a je zahájen proces přesunu uložených dat. LOGmanager je navržen tak, aby dokázal při zachování plného vstupního výkonu uchovávat data za období alespoň 12 měsíců. 10.5.1 Umožnit prohlížení auditních záznamů pouze osobám, které to potřebují k výkonu svých pracovních povinností. LOGmanager umožňuje poskytnout uživatelům s omezenými oprávněními pouze omezený přístup k uživatelskému rozhraní i datovým zdrojům. 10.5.2 Chránit soubory s auditními záznamy před neoprávněnými úpravami. Viz č. 10.5. 10.5.3 Bezodkladně zálohovat soubory s auditními záznamy na centralizovaný server pro uchovávání protokolů událostí nebo na médium, které se obtížně pozměňuje. 10.5.4 Zapisovat protokoly technologií, které jsou v kontaktu s vnějším prostředím, na bezpečný, centralizovaný, interní server pro uchovávání protokolů událostí nebo zařízení používající záznamová média. LOGmanager je řešením poskytujícím tuto funkcionalitu. LOGmanager je řešením poskytujícím tuto funkcionalitu.

10.5.5 Použít software pro ověřování integrity Viz č. 10.5. souborů a sledování prováděných změn na souborech protokolů s cílem zajistit, aby údaje obsažené v existujících protokolech nemohly být bez vygenerování výstrahy změněny (přidání nových dat by ale výstrahu spustit nemělo). 10.6.x Zkontrolovat protokoly a informace o událostech týkajících se bezpečnosti ze všech systémových komponent a identifikovat neobvyklé nebo podezřelé aktivity. Poznámka: Pro účely splnění tohoto požadavku je možné použít nástroje pro sběr dat, jejich parsování a generování výstrah. LOGmanager je platforma určená pro tuto činnost. OBLAST 11 Pravidelně testovat bezpečnostní systémy a procesy 11.1 Zavést procesy k otestování přítomnosti bodů bezdrátového přístupu (802.11) a čtvrtletně detekovat a identifikovat všechny autorizované a neautorizované body bezdrátového přístupu. Moderní systémy pro bezdrátový přístup poskytují funkce umožňující detekovat a ukládat informace o neautorizovaných zařízeních. LOGmanager může tyto informace shromažďovat a vytvářet automatické výstrahy. 11.5 Nasadit mechanismus detekce změn (například nástroje monitorování integrity souborů) pro upozornění pracovníků na neautorizované úpravy (včetně změn, doplnění a odstranění) kritických systémových souborů, konfiguračních souborů nebo obsahových souborů a konfigurovat software k provádění porovnání kritických souborů alespoň jednou týdně. LOGmanager shromažďuje upozornění na provedené změny a může vydat výstrahu určenou bezpečnostnímu technikovi. K dispozici je řídicí panel pro práci s protokoly o změnách konfigurace. Autor: Ing. Miroslav Knapovský, CISSP,CEH, CCSK Security Solution Architect Email: knapovsky@logmanager.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář