Symantec Control Compliance Suite 8.6

Transkript

1 Automatisierung und Management der IT-Richtlinieneinhaltung ein kontinuierlicher Prozess, um Kosten und Komplexität zu reduzieren Übersicht Mit Symantec Control Compliance Suite können Unternehmen wichtige IT-Compliance-Prozesse automatisieren. Die Lösung unterstützt sie dabei, externe Vorschriften zu erfüllen. Dazu werden Richtlinien erstellt, verbreitet, deren Akzeptanz verfolgt und Ausnahmen geregelt. Darüber hinaus können Unternehmen mit Hilfe von Symantec Control Compliance Suite die Einhaltung von externen und internen Richtlinien nachweisen. Zu diesem Zweck wird die Analyse technischer und verfahrensbezogener Kontrollen automatisiert und die Analyse in Bezug auf Risikokriterien geprüft. Compliance- Nachweise können zu Konfigurationen, Genehmigungen, Patches, und Schwachstellen erfasst werden ohne dass zusätzlich Agenten notwendig sind. Auch der manuelle Nachweis verfahrensorientierter Aktivitäten ist möglich. Symantec Control Compliance Suite hilft Unternehmen zudem dabei, Abweichungen von Standards zu beheben. Es können umgehend Korrekturmaßnahmen eingeleitet oder Reaktionen durch Workflow-Systeme Dritter angestoßen werden. Warum wichtige IT-Compliance-Prozesse automatisiert werden sollten Für Unternehmen wird die ohnehin komplizierte Einhaltung von Richtlinien und das Sicherstellen einer starken IT-Governance durch die zahlreichen unterschiedlichen Sicherheitsrisiken zusätzlich erschwert. Diese Risiken müssen kontrolliert und zahlreiche externe Vorschriften eingehalten werden. Aktuelle Untersuchungen zeigen, dass Unternehmen, die in punktuelle Lösungen für einzelne Compliance-Vorgaben investieren, hierbei deutlich mehr ausgeben als Unternehmen mit einer einzigen Lösung für viele verschiedene Vorgaben und Vorschriften. Um bei der Einhaltung von Richtlinien erstklassige Ergebnisse zu erzielen, ist es entscheidend, dass IT-basierte Kontrollen, Richtlinien und Prüfergebnisse in regelmäßigen, kurzen Abständen unter die Lupe genommen werden. Branchenführende Unternehmen führen die Überwachung, Messung und Berichterstellung dieser Werte alle 21 Tage durch. Interne Prüfungen und IT-Sicherheitsüberwachungen werden in diesen Unternehmen achtmal häufiger vorgenommen als bei Unternehmen, die nicht an der Spitze stehen. Unglücklicherweise entstehen die meisten Kosten bei der Umsetzung einer leistungsstarken IT-Richtlinieneinhaltung durch häufig wiederholte, zeitaufwändige Prozesse: die Erstellung, Definition und Verbreitung von Richtlinien, das Verfolgen von Ausnahmen, die Ver-waltung von Standards, die Verwaltung von Berechtigungen, die Korrektur von Abweichungen und die Durchführung von Verfahrens- und technischen Analysen. Daher müssen Unternehmen unbedingt einen Weg finden, um diese kostenaufwändigen Prozesse effizienter zu gestalten. Für Unternehmen ist es nicht nur schwierig, die IT-Compliance nachhaltig zu sichern, sondern auch zu erkennen, welche Richtlinien und Standards implementiert werden müssen, um dieses Ziel zu erreichen. Ein Unternehmen ist typischerweise eine komplexe, heterogene Umgebung mit zahlreichen Plattformen und verschiedensten Kontrollzielen. Um die Anforderungen zu erkennen und die IT-Compliance nachhaltig zu sichern, sind umfassende Kenntnisse zu Regelungen, Rahmenbedingungen und den relevanten bewährten Verfahren erforderlich. 1. Verbesserung der IT-Compliance: 2006 IT Compliance Benchmark Report, 2006 Seite 1 von 6

2 Symantec Control Compliance Suite Symantec Control Compliance Suite vereint Technologien für die wichtigsten Prozesse zur Einhaltung von IT-Richtlinien und Aufrechterhaltung der IT-Compliance. Indem diese verschiedenen Technologien in nur einer Lösung zusammengefasst werden, können Unternehmen den Prozess zur Einhaltung von Richtlinien und Vorschriften einfacher und kosteneffizienter gestalten. Policy Module: Erstellung von Richtlinien Das Policy Module (Richtlinienmodul) bietet Unterstützung bei der Definition und der Übertragung von Richtlinien auf bewährte Verfahren, Rahmenbedingungen und Regelungen. Zudem lassen sich damit Überschneidungen bei Kontrollzielen ermitteln, um doppelten Analyseaufwand zu vermeiden. Das Modul automatisiert zudem die Verbreitung schriftlicher Richtlinien im gesamten Unternehmen und verfolgt die Akzeptanz beim Anwender sowie Ausnahmeanfragen. Es erfasst Compliance-Informationen zur Kontrolle von Richtwerten. Dies ist durch die Integration in andere Komponenten von Symantec Control Compliance Suite möglich, die sowohl verfahrensorientierte als auch technische Einschätzungen liefern, so dass die Anstrengungen zur Einhaltung von Richtlinien und Vorschriften analysiert und in Berichten festgehalten werden können. Das Richtlinienmodul enthält zudem über 125 Musterrichtlinien und Richtlinienvorlagen und lässt sich komplett und einfach anpassen. Abbildung 1. Policy Module - Trendanalyse Entitlement Module: Erteilung von Berechtigungen Das Entitlement Module (Berechtigungsmodul) erfasst gültige Berechtigungen für Daten im gesamten Unternehmen, wandelt sie in ein konsistentes lesbares Format um, verbindet Daten mit Verwaltungsklassifizierungen und leitet die Informationen elektronisch an die zuständigen Personen weiter, so dass der Zugriff genehmigt werden kann. Die Berechtigungsgenehmigungen werden erfasst und als Kontrollnachweis mit den Analyse-/Prüfberichten verknüpft. Abbildung 2. Auffinden und Konfigurieren von Berechtigungskontrollpunkten Seite 2 von 6

3 Response Assessment Module: Automatisierung von Kontrollen Das Response Assessment Module (Reaktionsprüfmodul) automatisiert die Analyse nicht programmbezogener Kontrollen. Sie bilden die Mehrheit der Ziele, die in Regelungen/Rahmenbedingungen festgelegt sind. Unternehmen verwenden häufig Analysen in Papierform. Diese sind kostenaufwändig und schwer zu verwalten. Das Reaktionsprüfmodul übernimmt den manuellen Analyseprozess von der Erstellung von Fragebögen und der Verteilung bis hin zur Analyse der Antwortdaten. Das Modul ist in Symantec Control Compliance Suite integriert und bietet dadurch eine umfassende Übersicht über verfahrensorientierte und technische Kontrollen, so dass die Richtlinienabdeckung gesichert ist. Abbildung 3. Technische Kontrollbewertung und Berichterstattung Technische Spezifikationen Unterstützte Plattformen für das Standards-Modul Standards Module: Umgang mit Abweichungen Mit dem Standards Module (Standardsmodul) wird der Umgang mit Abweichungen von technischen Standards automatisiert. Zudem wird die Korrektur von fehlerhaften Konfigurationen ermöglicht. Das Standards-Modul umfasst vordefinierte technische Standards, die detailliert bewährte Verfahren für die Sicherung von Servern und Datenbanken bestimmen, und fördert die Einhaltung dieser Standards. Darüber hinaus bietet dieses Modul von Symantec Control Compliance Suite detaillierte Korrekturanleitungen für die Behebung von Abweichungen. Es lässt sich auch in vorhandene Change-Control-Ticketing-Systeme integrieren. So wird sichergestellt, dass Änderungen erst nach einer entsprechenden Genehmigung und unter angemessener Aufsicht vorgenommen werden. Seite 3 von 6

4 Schlüsselfunktionen und Vorteile Policy Module (Richtlinienmodul) Definition und Management schriftlicher Richtlinien Beinhaltet Regelungs- und Vorschrifteninhalte für Sarbanes-Oxley, PCI DSS, FISMA, HIPAA, GLBA, Basel II und NERC Mit Rahmenbedingungen für ISO 17799, COBIT (v3 und v4) und NIST SP Musterrichtlinien und Richtlinienvorlagen als Ausgangspunkt für eine nachhaltige IT-Richtlinieneinhaltung Verbreiten von Richtlinien und Verfolgen der Akzeptanz Gezielte Verbreitung von Richtlinien an bestimmte Anwendergruppen Aufzeichnen aller Akzeptanzinformationen für die Berichterstellung und Audits Sicherstellen, dass alle Ausnahmen geprüft und durch den zuständigen Richtlinienverantwortlichen genehmigt werden; Aufzeichnung mit Ablaufdatum Verknüpfung von Richtlinien mit Regelungen oder Rahmenbedingungen zur Gewährleistung und als Nachweis der Erfassung Statusberichte in Bezug auf verschiedene Vorschriften Eindeutiger Nachweis der Richtlinieneinhaltung durch Sammeln von Nachweisen aus verfahrensorientierten und technischen Datenquellen Sammeln und Anzeigen von Nachweisen für Kontrollziele Anleitungen für bewährte Verfahren, die vage behördliche Anforderungen in aussagefähige Richtlinien und erfasste Nachweise umsetzen Durchführen von risikobasierten Analysen über einen Impact-Index (mit den Attributen Vertraulichkeit, Integrität und Verfügbarkeit für die gesammelten Nachweise) Direkte Zuordnung der Nachweise zu den Kontrollanweisungen zur besseren Nachvollziehbarkeit von Nachweisen und Rahmenbedingungen/Regelungen Entitlement Module (Berechtigungsmodul) Einholen gültiger Genehmigungen Unterstützung verschiedener Windows -, UNIX-, Linux und Novell -Plattformen Automatische Erkennung von Kontrollpunkten auf Basis von Dateien/Verzeichnissen/Gruppen Berichte zu gültigen Genehmigungen Umwandeln der Genehmigungen in ein konsistentes, lesbares Format Datenrechte einfach suchen und finden Workflow für eine effektive Verwaltung von Berechtigungen Zuweisung der Verantwortlichen zu Betriebsdaten Weiterleitung von Berechtigungen zu den Datenverantwortlichen zur Überprüfung und Genehmigung Sicherstellen regelmäßiger Überprüfung und Bestätigung von Berechtigungen Festlegen von Verwaltungsklassifizierungen Ermöglicht den Verantwortlichen die effektive Aufnahme der Zusammenarbeit mit dem IT-Bereich, wenn Änderungen erforderlich sind Seite 4 von 6

5 Response Assessment Module (Reaktionsprüfmodul) Erstellen und Verteilen von Fragenbögen Analysieren, Speichern und Berichterstellung zu den Antworten für verfahrensorientierte Kontrolldaten Sofort nutzbare Inhalte auf Grundlage gängiger Standards und Rahmenwerke: BS 7799, COBIT, COSO, CSC, C-TPAP, HIPAA, FAA, FERPA, FFIEC, FISMA, GLBA, ISO 14001, ISO 27001, ISO 27799, ISO 20858, ITIL, MDA, OHSAS 18001, ONR 17700, PCI, NERC, NIST und SOX Ermöglicht schnelles Erstellen von benutzerdefinierten Fragebögen Ermöglicht Prüffragen mit mehreren Pfaden (Verzweigungen) Unterstützt verschiedenste Antworttypen, u.a. Optionsfelder, Freihandformen und Kontrollkästchen Mit Web-basierten Diensten einfach implementierbar und skalierbar Konsolidierte Berichte Speichert unvollständige Fragebögen und gestattet auch nicht regelgerechte Antworteinträge Ermöglicht die risikobasierte Bewertung von Fragen und Antworten Anwenderbefragung und -zertifizierung Standards Module (Standards-Modul) Erstellen oder Auswählen technischer Standards Umfassende, heterogene Plattformunterstützung für eine unternehmensweite Gültigkeit (siehe Tabelle Technische Spezifikationen ) Stellt gesetzliche Inhalte für Sarbanes-Oxley, FISMA, HIPAA, GLBA und Basel II sowie Rahmenbedingungen für ISO 17799, COBIT und NIST SP bereit Beinhaltet Tests für bewährte Verfahren, die auf den Bezugswerten des Center for Internet Security Standards (CIS), der National Security Agency (NSA) sowie den Daten von Symantec-Sicherheitsexperten basieren Zugangskontrollen Technologie ohne Agenten vereinfacht die Installation und die Instandhaltung Planung von Aufträgen, um die Kosten für redundante und häufig wiederholte technische Analysen zu reduzieren Integrierter Internet-Scanner beinhaltet eine Schwachstellenanalyseansicht Dashboard-Tool erstellt benutzerdefinierbare Berichte über den Compliance-Status Erkennen von Abweichungen Erstellt Berichte mit Pass/Fail-Ergebnissen in Bezug auf Standards, um die Sicherheit und die Einhaltung von Richtlinien anzuzeigen Bearbeitet Ausnahmen bei technischen Tests und sichert somit eine ordnungsgemäße Prüfung und Genehmigung ab; Ausnahmen werden in Berichten automatisch berücksichtigt Schwachstellen beheben Ticketing-System wird in bestehenden Change-Control- Prozess des Unternehmens integriert Systemanforderungen Server/Web-Portal/Hardware-Mindestanforderungen an die Datenbank CPU 3,0 GHz Seite 5 von 6

6 1 GB RAM 1 GB freier Festplattenspeicher Monitor mit einer Auflösung von mind x 768 Pixel Microsoft Windows 2000, Windows Server 2003, Windows XP oder höher Microsoft.NET Framework 2.0 Hardware-Mindestanforderungen für den Client CPU 1,2 GHz 512 MB RAM Monitor mit einer Auflösung von mind x 768 Pixel Microsoft Windows 2000, Windows Server 2003, Windows XP oder höher Empfehlungen Readers Choice Award 2007 des Information Security Magazine IDC-Hintergrundartikel: Optimizing Your IT Controls Environment for Compliance with Multiple Regulations Charles Kolodgy, Dezember 2005 Best Policy Monitor: 2004 Network Computing Well- Connect Awards Best Policy Management Solution: 2004 SC Magazine Global Awards 2003 Network Computing Editor s Choice Award Weitere Informationen Besuchen Sie unsere Website Jetzt kontaktieren Rufen Sie folgende Rufnummer an: +49 (0) Um mit einem Produktspezialisten außerhalb der USA zu sprechen Die Adressen und Telefonnummern der Niederlassungen in den einzelnen Ländern finden Sie auf unserer Webseite. Über Symantec Symantec ist einer der weltweit führenden Anbieter von Infrastruktur-Software, die es Unternehmen und Privatpersonen ermöglicht, sich sicher in einer vernetzten Welt zu bewegen. Mithilfe von Softwareprogrammen und Dienstleistungen, die Sicherheitsrisiken abbauen, die Einhaltung gesetzlicher Vorschriften erleichtern sowie die Verfügbarkeit und Leistungsfähigkeit von Systemen steigern, trägt Symantec zum Schutz der Infrastruktur, Informationen und Interaktionen seiner Kunden bei. Das Unternehmen hat seinen Hauptsitz in Cupertino, Kalifornien, und vertreibt seine Produkte in 40 Ländern. Weitere Informationen finden Sie unter Symantec Dublin Ballycoolin Business Park Blanchardstown Dublin 15 Ireland Phone: Fax: Copyright 2008 Symantec Corporation. Alle Rechte vorbehalten. Symantec und das Symantec Logo sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer verbundenen Unternehmen in den USA oder in anderen Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein. Seite 6 von 6