Upload
duongdung
View
219
Download
0
Embed Size (px)
Citation preview
Marko Hočevar
Premisa d.o.o.
Sistem za zagotavljanje revizijske sledi zbirk podatkov
Iztok Lasič
Hic Salta d.o.o.
• Namen revizijske sledi
• Znane težave pri zajemanju revizijske sledi
• Zakaj je sistem za revizijsko sled potreben?
O revizijski sledi
• Sledenje spremembam in dostopom do podatkov
• Občutljivi podatki � osebni podatki
• Zavedanje uporabnikov, da je potrebna previdnost
• Informacijski pooblaščenec ...
Namen revizijske sledi
� 24. člen ZVOP-1: ... pa tudi vpogled v osebne podatke. Tudi vpogled v osebne podatke ... pomeni obdelavo osebnih podatkov.
... tudi priporočilo državnih nadzornikov za varstvo osebnih podatkov...
... prekršek odgovarjal sam, poleg tega bo odgovarjal tudi za kršitev obveznosti zavarovanja.
� Kakšne so kazni:� 4.170 - 12.510 EUR za pravno osebo/s.p. � najvišja izrečena 112.000 EUR� 830 - 2.080 EUR za odgovorno osebo ���� najvišja izrečena 20.000 EUR� 200 - 830 EUR za posameznika, ki stori prekršek
� Zakaj so izrečene kazni tako visoke?Ker predpisana kazen velja za eno kršitev. Če torej razkrijemo podatke treh oseb je izrečena kazen enaka trikratniku predpisane kazni.
Namen revizijske sledi
Informacijski pooblaščenec priporoča:
� Vprašanje nadzora nadzornikov se nanaša predvsem na vprašanje pooblastil administratorjev z najvišjimi pravicami.
� Revizijska sled obdelave osebnih podatkov mora namreč biti avtentična in celovita,
... nadzor tudi nad dejanji administratorjev z najvišjimi pooblastili.
� ... najvišjim (sistemskim) administratorjem ne sme biti dana možnost naknadnega popravljanja, spreminjanja ali brisanja dela ali celotne revizijske sledi.
� Ukrepi
� ločeno shranjevanje revizijskih sledi (na lokacije izven dosega oseb, katerih aktivnosti so zabeležene)
� sistem »štirih oči«
� shranjevanje revizijskih sledi na neizbrisen način
� shranjevanje podatkov o dostopu do revizijskih sledi
Namen revizijske sledi
• Velikost aplikacijskih podatkovnih baz• Obremenjenost najboljših diskov�slabša odzivnost aplikacij!• Velika količina transakcijskih LOG-ov • Velike varnostne kopije• Dolg backup/recovery
• Vse to za podatke, ki sploh niso
potrebni za poslovni proces
Znane težave
• Heterogeno okolje• avtonomne, kooperativne aplikacije• različni podatkovni strežniki• več podatkovnih baz• heterogene rešitve za revizijsko sled• v večini primerov sledijo samo spremembam
Znane težave
• Uporabniki z najvišjimi privilegiji (DBA, SYS, sa, ...)• Ne dostopajo preko uporabniških aplikacij
ampak preko skrbniških orodijORACLE SQL DeveloperSQL Server Management Studio... � je to zabeleženo?
• Naredim varnostno kopijo na zahtevo �?• Izključim “audit” triggerje �?• Revizijsko sled lahko izključim/spremenim/zbrišem � ?• Zunanji izvajalci so ponavadi uporabniki z najvišjimi privilegiji
Znane težave
• Razbremenitev aplikacij in podatkovnih baz• Ločitev revizijske sledi od aplikacij – povišana varnost
Sistem za revizijsko sled
Sistem za zagotavljanje revizijske sledi zbirk podatkov
DemoKaj se je dogajalo s podatki Kate Winslet?
Kaj je na podatkovni bazi počel JBOND?
Kaj so počeli uporabniki z najvišjimi privilegiji?
Kako vključim nov strežnik, novo tabelo?
www.premisa.si
Sistem za zagotavljanje revizijske sledi zbirk podatkov
• Je dopolnitev za:• varnostno politiko• pristopno kontrolo (uporabniško ime/geslo)• uporabniške aplikacije• ...
• Se namesti v IT okolje, ne da bi bilo potrebno karkoli spreminjati, dodatno razvijati, ipd.
• Vaša organizacija postane skladna z ZVOP-1 in HIPAA
• Je enostaven in intuitiven za uporabo• navodil za uporabo ne potrebujete
• Je t.i. podatkovna kamera
Sequi
• Namestitev traja toliko kot odmor za kosilo
• Izdelek se namestiin ni potreben razvoj, ni projektnih skupin, ni usklajevanja kaj JA in kaj NE, ni pisanja specifikacij, ni dodatnega dela zaradi vpeljevanja
sistema, itd.
• Kot že rečeno: spremembe v vašem obstoječem ITokolju niso potrebne
Sequi
• Mi imamo revizijsko sled urejeno v aplikacijah in tega ne potrebujemo ...
• Dobro, lepo, ampak ker gre za ogromno količino podatkov ne bomo zdaj kupovali še novega dodatnega prostora ... in ne bomo zdaj celoten informacijski sistem postavljali na novo ...
• Pri nas za to skrbijo naši DBA in SA, vedno najdejo kar iščemo ... tako ali tako smo v petih letih to potrebovali samo trikrat ...
Q & A