ekran system - iso 27001
TRANSCRIPT
WdrożenieEkranSystemdlauzyskaniazgodnościzestandardemISO/IEC27001.
RodzinanormISO27000pomagaorganizacjombezpiecznieprzechowywaćzasobyinformacyjne.
Korzystanieztejrodzinynormpomagawzarządzaniubezpieczeństwemaktywów,takichjakinformacjefinansowe,własnośćintelektualna,danepracownikówlubinformacjepowierzoneprzezosobytrzecie.
ISO/IEC27001jestnajbardziejznanymstandardemwrodzinie,określającymwymaganiadlasystemuzarządzaniabezpieczeństweminformacji(SZBI).
PoniższatabelkaprzedstawiawjakisposóboprogramowanieEkranSystempomagaspełnićdanewymagania:
Wymaganie Opis JakEkranSystempomagaA.6.1.Organizacjawewnętrzna.
Ustanowićstrukturęzarządzaniawceluzainicjowaniaoraznadzorowania,wdrażaniaieksploatacjibezpieczeństwainformacjiworganizacji.
Częściowo.Woparciuozaawansowanątechnologięprzetwarzaniazrzutówekranu,EkranSystemtworzykompletnezapisywideozwszystkiego,coodbywasięnaekranachwsieci-dziękiczemumożnakontrolowaćwdrażanieicodziennefunkcjonowaniestrategiibezpieczeństwainformacji.
A.6.1.2.Rozdzielanieobowiązków.
Kolidującezesobąobowiązkiizakresodpowiedzialnościpowinnybyćoddzielonewceluzmniejszeniamożliwościnieautoryzowanejlubniezamierzonejmodyfikacjilubniewłaściwegowykorzystaniaaktywóworganizacji.
EkranSystempozwalanakontrolęiaudytwszystkichaktywnościużytkowników,wtymużytkownikówuprzywilejowanychorazadministratorówserwerów.Toznaczniepomagaznaleźćbłędyludzkieizmniejszamożliwościwewnętrznegonadużycia.EkransystemujestzintegrowanyzusługąActiveDirectory,więcrozwiązaniebędziepoprostukontynuowaćistniejącymodeluprawnień.
A.9.2.Zarządzaniedostępemużytkowników.
Zapewnićdostępuprawnionymużytkownikomizapobiecnieuprawnionemudostępowidosystemuiusług.
Częściowo.EkranSystemrejestrującwszystkiesesjezapisujeinformacjeonazwieużytkownika/nazwiehosta.Dajetomożliwośćdowiedzeniasięczypodejrzanasesjamiałamiejsceczynie,orazczywszystkiekontaużytkownikówsąlegalniezarejestrowane.
A.9.2.3.Zarządzanieprawamiuprzywilejowanegodostępu.
Przydziałiwykorzystanieuprzywilejowanychpraw
EkranSystemśledziwszystkiedziałaniaużytkownikówuprzywilejowanychijestto
dostępupowinnobyćograniczoneikontrolowane.
praktycznieniemożliwedouniknięcia.Będzieszmiećświadomośćjakiejkolwiekaktywnościnaserwerze,wtymzmianykontiuprawnieńużytkowników.
A.9.2.6.OdbieranielubDostosowywanieprawdostępu.
Prawadostępudozasobówinformacyjnychwszystkichpracownikówiużytkownikówzewnętrznychfirmpowinnybyćodebranepozakończeniustosunkupracy,umowylubporozumienia,lubdostosowanepojejzmianie.
EkranSystemrejestrujewszystkiesesjeużytkowników,wtymuprzywilejowanych.Dziękiniemujesteśwstaniekontrolować,czywszystkieprawadostępu/kontazostałyusunięteiwykryćnielegalnesesjeużytkowników.
A.9.4.Kontroladostępudosystemówiaplikacji.
Zapobiecnieautoryzowanemudostępowidosystemówiaplikacji.
Częściowo.EkranSystempozwalakontrolowaćdostępdokluczowychsystemówiaplikacjiorazpozwalawykryć,czyjakieśnieautoryzowanekontamajądostępdozasobów.
A.9.4.1.Ograniczeniedostępudoinformacji.
Dostępdoinformacjiifunkcjisystemowychaplikacjipowinienbyćograniczonyzgodniezpolitykąkontrolidostępu.
EkranSystemfunkcjonujewmodeluuprawnieńopartymorole,atakżewspieraintegracjęzActiveDirectory.Wsystemachaplikacjikorporacyjnychmożnaśledzićwszelkiedziałanianiezależnieodtypuaplikacji.
A.12.1.Proceduryeksploatacyjneiodpowiedzialność.
Zapewnićpoprawnąibezpiecznąeksploatacjęśrodkówprzetwarzaniainformacji.
Częściowo.Nagrywaniewszystkichtypówsesjiuprzywilejowanychużytkowników.
A.12.1.2.Zarządzaniezmianami.
Zmianyworganizacji,procesachbiznesowych,urządzeniachdoprzetwarzaniainformacjiisystemach,któremająwpływnabezpieczeństwoinformacjipowinnybyćkontrolowane.
NagrywanieEkranSystemjestuniwersalne,ponieważkażdaakcjawykonanaprzezużytkownikawyświetlanajestnaekranie,atymsamymjestrejestrowana.EkranSystemrejestrujeaktywnośćużytkownikówuprzywilejowanych,przezcowszystkiezmianydokonanewsystemiebędąśledzone.
A.12.4.Rejestrowaniezdarzeńimonitorowanie.
Należyrejestrowaćzdarzeniaigenerowaćdowody.
EkranSystemjestuniwersalnymnarzędziemdorejestrowanialokalnych,terminalowychizdalnychsesji.
A.12.4.1.Dziennikaudytu. Dziennikizdarzeńrejestrująceczynnościużytkownika,wyjątki,zakłóceniaizdarzenia
Ekransystemurejestrujeekranużytkownikapodczaspracywsesjachterminalowych,
związanezbezpieczeństweminformacjimusząbyćgenerowane,przechowywaneiregularniesprawdzane.
lokalnychizdalnych.Woparciuozaawansowanątechnologięprzetwarzaniascreenshotów,rozwiązanietworzykompletnezapisywideozmożliwościąprzeszukiwania,wszystkiegocoodbywasięnaekranachkomputerówwsieci.Wszystkiedziałaniaużytkownikamożnałatwoprzeglądaćwkażdejchwili.
A.12.4.2.Ochronainformacjizawartychwdziennikach.
Podsystemylogowaniaorazinformacjezawartewdziennikachpowinnybyćchronioneprzedmanipulacjąinieautoryzowanymdostępem.
Wszystkiezapisanedanesązapisywanenaserwerzewformacieskompresowanym.Administratorzymogąuzyskaćdostępdotychdanychwyłączniezgodniezichuprawnieniami.
A.12.4.3.Rejestrowaniedziałańadministratorówioperatorów.
Działaniaadministratoraioperatorasystemupowinnybyćlogowane,adziennikilogówchronioneipoddawaneregularnymprzeglądom.
Ekransystemurejestrujewszystkiesesjeużytkowników,wtymuprzywilejowanych,więcdziałaniaadministratorówsąpodkontrolą.Wszystkiezapisanedanesązapisywanenaserwerzewformacieskompresowanymimogąbyćłatwoanalizowane.
A.12.4.4.Synchronizacjazegarów.
Zegarywszystkichstosownychsystemówprzetwarzaniainformacjiwramachorganizacjilubdomenyzabezpieczeńpowinnybyćzsynchronizowanezjednegoźródłaczasuodniesienia.
EkranSystemautomatyczniesynchronizujecałyczaswsiecizczasemserwera.Takwięc,ścieżkiaudytuzostanązsynchronizowane.
A.13.1.Zarządzaniebezpieczeństwemsieci.
Zapewnićochronęinformacjiwsieciachorazochronęinfrastrukturywspomagającej.
Częściowo.OferujemyuniwersalnemonitorowaniekażdejinfrastrukturyzsystememWindows.EkranSystemdziaładlakażdegoprotokołusieciowego.
A.13.1.1.Zabezpieczeniasieci. Siecipowinnybyćzarządzaneikontrolowanewceluochronyinformacjiwsystemachiaplikacjach.
Podczasgdywielesystemówmonitorowaniasiecimożnauniknąć,lubnieobejmująwszystkichzakresówirodzajówaktywnościużytkownika,metodanagrywaniaEkranSystemjestuniwersalna,ponieważkażdaakcjawykonanaprzezużytkownikawyświetlanajestnaekranie,atymsamymjest
rejestrowana.EkranSystemmożerównieżmonitorowaćsesjeterminalowewykorzystywanedopołączeniasiędourządzeńsieciowychwceluuzyskaniadostępudodowolnegoprotokołusieciowego.
A.15.2Zarządzanieusługamidostarczanymiprzezdostawców.
Utrzymaćuzgodnionypoziombezpieczeństwainformacjiiświadczonychusługzgodniezumowamizdostawcami.
Częściowo.Nagrywaniewszystkichsesjiuprzywilejowanychużytkowników,wtymzewnętrznychdostawcówusług.
A.15.2.1Monitorowanieiprzeglądusługświadczonychprzezdostawców.
Usługi,raportyizapisydostarczaneprzezstronętrzeciąpowinnybyćregularniemonitorowaneiprzeglądane,zaśichwpływnaśrodowiskopracyorganizacjipowinienpodlegaćbadaniomwramachaudytówwewnętrznych.
EkranSystemtodoskonałerozwiązaniedomonitorowania,przeglądaniaiaudyturealizacjiusługdostawcy.Zapewniaodtwarzanieiprzeszukiwaniepełnejiszczegółowejścieżkiaudytu,atakżeraportydziałańzewnętrznychdostawcówusług.
A.16.1Zgłaszaniezdarzeńzwiązanychzbezpieczeństweminformacjiorazudoskonaleniami.
Zapewnić,spójneiskutecznepodejściedozarządzaniaincydentamizwiązanymizbezpieczeństweminformacjizuwzględnienieminformowaniaozdarzeniachisłabościach.
Częściowo.EkranSystemtworzykompletnerejestrywideozwszystkichakcjiużytkownika,któremożnaprzeszukiwać–sątojasneiłatwedoanalizowaniadowodydlakażdegozdarzenia.
A.16.1.7Gromadzeniemateriałudowodowego.
Organizacjapowinnaokreślićistosowaćproceduryidentyfikacji,gromadzenia,nabywaniaizachowywaniainformacji,któremogąsłużyćjakodowód.
EkranSystemzbierainformacjeniezależniezklientamiiserweramiidlategoniemożebyćprzetwarzany.Wszystkiezapisanedanesąprzechowywanenaserwerzewskompresowanymformacie,abyzapobiecmanipulacjilubnadużyć.Każdyrekordmożebyćeksportowanedoformatuwideozewnętrznego,abyzapewnićmudoekspertówzewnętrznych.