Frameworks geben eine Anleitung
zur Erreichung von Compliance zu
unterschiedlichen Verordnungen
� Frameworks:� COBIT
� ISO 27001 (formerly 17799)
� ITIL
3
� Andere (z.B.. Bundesamt für Sicherheit in der Informationstechnik - IT Sicherheitshandbuch, BSI 7105)
ITIL(Information Technology Infrastructure Library)
� ITIL ist eine Sammlung von „Best Practices“, die eine mögliche Umsetzung eines IT-Service-Managements beschreiben
� In der aktuellen Version orientieren sich die Inhalte des � In der aktuellen Version orientieren sich die Inhalte des Rahmenwerks am Lebenszyklus des Service: � Strategie (Strategy),
� Entwurf (Design),
� Überleitung in den Betrieb (Transition),
� Betrieb (Operation) und
� Verbesserung (Continual Improvement).
� In dem Regel- und Definitionswerk werden die für den Betrieb
5
� In dem Regel- und Definitionswerk werden die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, die Aufbauorganisation und die Werkzeuge beschrieben.
Service Operation Prozesse
• Event Management
• Request Fulfilment
• Incident Management
• Problem Management
• Access Management
• Data ManagementAccess Management ist der Prozess, welcher autorisierten
6
• Data Management
Quelle: Wikipedia
Access Management ist der Prozess, welcher autorisierten Benutzern die Rechte für die Nutzung der Services zuweist und damit gleichzeitig den unerlaubten Zugriff verhindert. Dieser Prozess wird oft auch Identity and Access Management (IAM) genannt.
ITIL V3 Access Management
• Richtlinien und Aktionen zur Umsetzung von Security und Availability Managementund Availability Management• Die richtige Information an die richtigen Personen zum richtigen
Zeitpunkt
• Access Management vollstreckt Entscheidungen
• Role basierte Richtlinien (Policies)
• Access Management wird initiert durch Service Request
7
beim Service Desk oder durch Katalogauswahl• Entitlement Management
• Access Monitoring und Kontrolle
Access Management
• Access, das heisst Zugriff und Zutritt auf Services, Daten und Einrichtungen.
• Identity, sprich die Identität der Benutzers oder des technischen Gerätes, welches den Zugriff benötigt. Die Identität muss eineindeutig der wirklichen Person und des Gerätes zuordenbar sein.
• Rights, sind die Rechte oder auch Privilegien, welche der Benutzer ausüben kann. Typische Rechte sind Lesen, Schreiben, Ausführen, Ändern oder Löschen.
• Services oder Service Gruppen, das sind Rollen, welche die Benutzer für ihre Tätigkeiten wahrnehmen. Die Rechte werden üblicherweise solchen Rollen zugewiesen. Der Benutzer kann mehre Rollen einnehmen und erbt
8
bei Zuteilung zu dieser Gruppe automatisch deren Rechte. Dies macht die Administration und Übersicht der verteilten Rechte einfacher und nachvollziehbarer.
• Directory Service, bezeichnet ein spezifisches Werkzeug, welches zur Administration von Identitäten, Rechten und Rollen genutzt werden kann.
Quelle: Wikipedia
Mgmt-System für Informationssicherheit Information Security Management System, ISMS
ITIL beschreibt einen Lebenszyklus mit folgenden Schritten:
Control, Plan, Implement, Evaluate and Maintain
PlanImplementCreate awarenessPlan
Service Level AgreementsUnderpinning contractsOperational Level AgreementsPolicy Statements
ImplementCreate awarenessClassification and registrationPersonnel securityPhysical securityNetworks, applications, computersManagement of access rightsSecurity incident proceduresControlControl
OrganiseOrganiseEstablish frameworkEstablish frameworkAllocate responsibilitiesAllocate responsibilities
10
MaintainLearnImprovePlanImplement
EvaluateInternal auditsExternal auditsSelf asessmentsSecurity incidents
Allocate responsibilitiesAllocate responsibilities
… dies entspricht dem Konzept von Identity Management
SimplifySimplify
Prepare To Prepare To
Do ItDo It
FacilliateFacilliate
Know What Know What
To DoTo Do
AnalyseAnalyse
SimplifySimplify
Know What Know What
You Do You Do
DocumentDocument
Say What Say What
You DoYou Do
ReportReport
Do What Do What
You Should You Should
EnforceEnforce
11
ProtectProtectMonitorMonitor
Abgestuftes Konzept für die Umsetzung von
Compliance Anforderungen
5. Policy Compliance Mgmt. (Phase 5)
4. Audit Log Konsolidierung(Phase 4)
3. Security Management Prozeduren (Phase 3)
2. Identity Management
12
2. Identity Management(Phase 2)
1. Authentifizierungs- & Zugriffskontrolle System/Datenbank Security (Phase 1)
Datenbank Security Levels
Securitylevel Standard:
Advanced Security Option
Central User Administration 4 DB
Audit Vault
Protocolserver, stores
Preventive / Corrective Controls Detective Controls Prev. /Corrective Controls
Securitylevel Standard Plus:
Advanced Security Option
Database Vault
Central Management for high privileged user
stores definined Audit Trails
Securitylevel High:
Advanced Security OptionDatabase Vault
Who is able to access and why ?
Who did what and when ?
LimitAccessTo System and Data
LimitAccessTo System and Data
13
Database Vault
Label Security
Securitylevel Test- and Development:
Data Masking Pack
High-Level Id&AM Architektur
Benutzer
Zert. validierung
3rd Parties
Dienste Anbieter
Zertifikat oder Passwd
Mitarbeiter oder Externer
VPN, Terminal server (z.B. Citrix)
Federation Access Manager Single Sign-On (SSO)Authentication & Authorization & Audit
Virtual Directory
Applic
atio
n 1
Oth
er
LD
AP
DB ..
LD
AP
Anbieter
Oth
er (tru
ste
d)
identity
sourc
es
HR
Applic
atio
n 2
Applic
atio
n 3
Applic
atio
n 4
Applic
atio
n 5
Applic
atio
n 6
Applic
atio
n 7
Applic
atio
n 8
Applic
atio
n 9
oder Passwd Externer server (z.B. Citrix) Terminal Server
14
Applic
atio
n 1
Oth
er
LD
AP
DB ..
Identity Manager und Role ManagerProfile Management - Provisioning - Reconciliation - Attestation - Compliance - Workflow Automation
LD
AP
Oth
er (tru
ste
d)
identity
sourc
es
Applic
atio
n 2
Applic
atio
n 3
Applic
atio
n 4
Applic
atio
n 5
Applic
atio
n 6
Applic
atio
n 7
Applic
atio
n 8
Applic
atio
n 9
Profiles, roles, policies, entitlements/responsabilities
= user store (provisioning required)
Identity Management ist ein fortlaufender ProzessIdM durchläuft wesentliche Phasen in einem 8-Stufenplan
1. Datenlieferant HR• Stammdaten, Organisationsdaten, Kostenstellen kommen aus der Personalabteilungen
• Quality-Check ist sinnvoll; Schlechte Daten sind für IdM ein Hindernis• Minimal: Wer ist wessen Vorgesetzter und wie sieht die Kostenstellenstruktur aus (Workflows)
2. Integration von IT-
Systemen
• Die IT-Abteilung ist für die Integration der verschiedenen IT-Systeme verantwortlich
• Insbesondere sind das Directory (wie MS AD), Mailsysteme und ERP-Systeme
• Die Integration der Hauptsysteme reicht für eine Quick-Win Lösung vollkommen aus
3. Zugriffskontrolle• Es muß sichergestellt werden, dass kein unerlaubter Zugriff auf Informationen und Services besteht
• Einbindung der Fachabteilungen in den Entscheidungsprozess• Reporting: Wer hatte wann Zugriff und war dieser Zugriff berechtigt?
4. Workflows• Aufbau von Antrags- und Genehmigungsworkflows, um den Verwaltungsaufwand zu senken
• Rollenbasierte Berechtigungsvergabe ist sehr komplex• Besser mit Einzelberechtigung ergänzen
5. Provisioning• Das Provisioning, d.h. Das Schreiben der Identitäten in die Zielsysteme findet automatisiert statt
• Wichtig: Automatische Sperrung, Reaktivierung und endgültige Löschen von Account miteinbeziehen• Stichwort: Vermeidung verwaister Benutzerkonten
6. Compliance• Gesetzliche Vorgaben in Regeln für die Vergabe von Benutzer- und Zugriffsrechten übersetzen
• Regeln können dann im Workflow abgebildet und ausgewertet werden• Für bereits bestehende Accounts zusätzliche detektives Reporting implementieren
15
IdM ist kein einmaliges Ereignis, sondern ein fortlaufender Prozess
• Für bereits bestehende Accounts zusätzliche detektives Reporting implementieren
7. Re-Zertifizierung von
Accounts
• Regelmäßige Verifizierung und Prüfung von Accounts ist notwendig
• Vorgänge und geschäftsabläufe werden transprent gemacht und unbefugte Tätigkeiten erkannt
8. Unternehmensrollen• Gesetzliche Vorgaben rücken die firmenweite Verwaltung von IT-Berechtigungen auf Basis von
Rollen der Mitarbeiter in der Fokus der Unternehmen.
• Mit Role-Mining wird eine Optimierung und Bereinigung von Unternehmensrollen durchgeführt
Quelle: Identity Management nach Plan, Silicon.de
Präventive Controls
GRCIDENTITY MANAGEMENT
��������
Set Up User Profile
Determine User Role
Validate withSOD Policies
ViolationsFound
!!
16
��������New Hire or
Transfer ProvisionApplication Access
Remediate: •Seek Approval•Apply Mitigating Control•Deny Access
No Violations
Präventive Controls
GRCIDENTITY MANAGEMENT
��������
Set Up User Profile
Determine User Role
Validate withSOD Policies
ViolationsFound
!!
Identity Event
ID Recon
Oracle Identity Manager
Role Assignment
Oracle Role Manager
Account
Enforce SoD Policy
Oracle Access Controls Governor
17
��������New Hire or
Transfer ProvisionApplication Access
Remediate: •Seek Approval•Apply Mitigating Control•Deny Access
No Violations
Event
HRMS
Account Provisioning
Oracle Identity Manager
Ausnahme Erkennung & Behandlung
!!Entitlements Out-of-bounds
��������
GRC IDENTITY MANAGEMENT
!!EntitlementsAdded out-of-
bounds
Out-of-bounds EntitlementsRemoved
��������
18
Deprovision Entitlements in Violation
Event Analysis
ViolationDetectionand Alert
Assign Remediation
Task
Ausnahme Erkennung & Behandlung
!!Entitlements Out-of-bounds
��������
GRC IDENTITY MANAGEMENT
Oracle E-Business Suite
Oracle E-Business Suite!!
EntitlementsAdded out-of-
bounds
Out-of-bounds EntitlementsRemoved
��������Business Suite Business Suite
Account Provisioning
Enforce SoD Policy
19
Deprovision Entitlements in Violation
Event Analysis
ViolationDetectionand Alert
Assign Remediation
Task
Oracle Identity Manager
Enforce SoD Policy
Oracle Access Controls Governor
OIM, ORM & SoD Architektur
Oracle Identity Manager
Oracle Role Manager Oracle Application
Access Control
Governor
Run time SOD check
IDENTITY MANAGEMENT GRC
Oracle Identity ManagerGovernor
Identity WarehouseRole
Membership Data
User and Entitlement
ORM Integration Library
Run time SOD check
20
Entitlement Data
Data Export to OAACG
Oracle’s Security Strategie bzgl. ITIL
• Security als Service implementieren
• kann durch ITIL mit verwaltet werden• kann durch ITIL mit verwaltet werden
• Infrastruktur und Anwendungen können zentral verwaltete
Security Services konsumieren
• Access Management sowohl für Anwendungen,
Middleware als auch Datenbanken
21
• zentrale Berechtigungs- und Zugriffskontrolle
• Einheitliche Durchsetzung von Richtlinien
• Compliance Reporting
Top Related