среда, 30 декабря 2009 г.

ПРЕСС-РЕЛИЗ "Новая версия Oracle Audit Vault расширяет возможности автоматического аудита и мониторинга баз данных"

Новые функции отчетности и оповещения помогут организациям снизить расходы, связанные с соблюдением нормативных требований и обеспечить защиту от внутренних угроз

REDWOOD SHORES, штат Калифорния, Москва, 24 ноября 2009 г. — Корпорация Oracle объявила о начале продаж Oracle® Audit Vault Release 10.2.3.2. Новая версия продукта позволит организациям обеспечить безопасность своих баз данных и соответствие требованиям регулирующих органов.

Oracle Audit Vault Release 10.2.3.2 поддерживает ряд важных усовершенствований при создании отчетов и формировании предупреждений, которые упрощают процесс аудита баз данных и помогают снизить его стоимость.

«Новая версия Oracle Audit Vault позволит организациям в еще большей мере автоматизировать процессы мониторинга работы и аудита баз данных, помогая сократить совокупные расходы на соблюдение нормативных требований регулирующих органов и защиты критически важных данных, — подчеркнул Випин Самар (Vipin Samar), вице-президент Oracle по технологиям безопасности баз данных (подразделение Database Security). — Oracle специально консультировалась с ИТ-аудиторами, чтобы определить состав необходимой для аудиторов информации, поэтому новые специальные отчеты, включенные в состав Oracle Audit Vault содержат всю информацию, необходимую для прохождения реального аудита баз данных».

Oracle Audit Vault Release 10.2.3.2 - комплексное решение для аудита баз данных и мониторинга в процессе работы с ними - автоматизирует процесс аудита баз данных с помощью новых функций, которые обеспечивают:
  • планирование отчетности, генерацию предупреждений, подтверждение соответствия и архивирование данных, что помогает организациям снизить затраты, связанные с соблюдением нормативных требований к безопасности и конфиденциальности внутренних и внешних данных;
  • формирование «отчетов о полномочиях» с актуальными сведениями (мгновенными снимками данных) о пользователях базы данных Oracle, в которых содержатся их права доступа и профили, что позволяет аудиторам отслеживать изменения, связанные с доступом к базам данных;
  • формирование отчетов о соответствии требованиям законодательства и стандартов для мониторинга и аудита баз данных. В частности, таких, как закон Сарбейнса-Оксли (Sarbanes-Oxley Act, SOX) о финансовой отчетности, закон о страховании здоровья и медицинской ответственности (Health Insurance Portability and Accountability Act, HIPAA) и отраслевой стандарт защиты информации для систем карточных платежей (Payment Card Industry Data Security Standard, PCI DSS).
  • автоматизированную очистку данных аудита в целевых базах данных Oracle и базах данных сторонних разработчиков, после того как эти данные переданы на сервер Oracle Audit Vault и надежно защищены в нем, что помогает снизить операционные расходы на аудит баз данных.
Полная версия пресс-релиза доступна по ссылке http://www.oracle.com/global/ru/press/ppr/24112009.html

ПРЕСС-РЕЛИЗ "Oracle Database Vault повышает защищенность данных в приложениях SAP"

Готовые средства обеспечения безопасности способствуют защите конфиденциальных данных и выполнению регулирующих норм

Oracle OpenWorld, Сан-Франциско, штат Калифорния, Москва, 9 ноября 2009 года. — Продолжая оказывать клиентам помощь в обеспечении более надежной защиты важнейших для бизнеса данных, корпорация Oracle объявила о сертификации Oracle® Database Vault для использования с приложениями SAP®.

Oracle Database Vault позволяет организациям эффективно повышать уровень безопасности и выполнять регулирующие нормы, полностью контролируя доступ к данным приложений SAP, в том числе доступ привилегированных пользователей, таких как администраторы баз данных.

«Данные чрезвычайно важны для любого бизнеса, и они должны защищаться не только для выполнения регулирующих норм, но и для поддержки доверительных отношений между организацией и ее клиентами, — отметил Випин Самар (Vipin Samar), вице-президент Oracle по безопасности СУБД. — Oracle Database Vault эффективно и прозрачно защищает данные приложений, предотвращая несанкционированный доступ и предоставляя клиентам технологии защиты баз данных, необходимые для выполнения нормативных требований. Очередная сертификация распространяет эту защиту на приложения SAP, позволяя клиентам обеспечивать безопасность важнейшей для их бизнеса информации».

Oracle Database Vault создает защитные области вокруг объектов баз данных приложений SAP, чтобы предотвратить несанкционированный доступ пользователей баз данных, в том числе и привилегированных, к конфиденциальной информации, а также для более строго разграничения полномочий пользователей в соответствии с их функциональными обязанностями.

Полная версия пресс-релиза доступна по ссылке http://www.oracle.com/global/ru/press/ppr/09112009.html

четверг, 17 декабря 2009 г.

Интервью Дмитрия Шепелявого журналу "Информационная безопасность"


"Заказчик чувствует себя уверенно, используя прошедшие сертификацию решения"

На вопросы редакции отвечает Дмитрий Шепелявый, руководитель департамента интеграционных решений Oracle, СНГ

– Каково различие российских и зарубежных подходов к защите информации в целом и персональных данных в частности?
– Россия, безусловно, отличается более жестким подходом к защите персональных данных. За рубежом информационная безопасность основана, в первую очередь, на рисках и процессах. В политике безопасности компании, обрабатывающей персональные данные, должно содержаться описание основных бизнес-процессов безопасности, а управление безопасностью должно быть основано на модели угроз и рисков. Зарубежные организации ориентируются на европейские, международные стандарты защиты информации, которые, в основном, не предписывают конкретных технологических решений – этот выбор отдан на откуп конечному пользователю. Единственное требование – решения должны быть обоснованы с точки зрения моделей угроз, рисков, политик, основанных на международных стандартах.
Российский же подход является комбинированным. С одной стороны, он включает в себя процессную составляющую: касающиеся персональных данных документы и подзаконные акты требуют создания модели нарушителя, моделей угроз. С другой стороны, такой подход содержит в себе и конкретные рекомендации по использованию технических средств защиты. Это относится и к антивирусам, межсетевым экранам, системам обнаружения вторжений, система защиты от НСД, аудита, мониторинга и т.д. Таким образом, наши заказчики, пользователи, которые обрабатывают персональные данные, поставлены в более жесткие условия, потому что им четко предписано, какие средства защиты, сертифицированные по какому классу они должны использовать.

С другой стороны, это дает им больше определенности. И меньше шансов ошибиться при выборе технологии защиты персональных данных, тем более если компания выходит на аттестацию. Все четко и ясно: какие средства, какой класс защищенности, какие сертификаты установленного образца нужны. Так что компания заранее будет знать, пройдет ли она аттестацию или нет.

– Как в крупных компаниях принято учитывать требования международного законодательства и требования РФ в области ИБ?
– Для соответствия регулирующим нормам международного законодательства разработки глобальных корпораций, в том числе Oracle, проходят сертификацию и по Common Criteria, и по различным национальным стандартам. В России практика может отличаться. Это зависит, ведется ли компанией разработка в России, насколько официальная сертификация РФ в области информационной безопасности необходима для продаж продуктов, является ли этот фактор критическим требованием потенциальных заказчиков. Для государственного сектора это, безусловно, так.
Поэтому мы, например, придерживаемся той же практики, что и штаб-квартира Oracle, сертифицируя наши средства защиты в соответствии с требованиями российского законодательства, которые со своей стороны государство предъявляет российским компаниям. Получение сертификатов соответствия служит дополнительным подтверждением надежности и безопасности продукта и в дальнейшем позволит расширить сферу его использования, особенно в тех компаниях, которые в своей деятельности руководствуются требованиями регулирующих органов, предписывающих использование сертифицированных средств защиты информации.

Заказчик чувствует себя более уверенно, когда все решения, обеспечивающие информационную безопасность на его предприятии, прошли сертификацию. Это и решения для централизованного управления IT-привилегиями и контроля доступа (identity and access management), и технологии однократной аутентификации пользователей (enterprise single sign-on), и системы защиты баз данных, и системы защиты электронного документооборота (information rights management).

– Каковы Ваши рекомендации по организации защиты ПДн для бизнес-приложений?
– Производителям программного обеспечения часто задают вопрос: "Когда вы будете сертифицировать тот или иной продукт?" Бизнес-приложений очень много, и немалая их часть при конкретном применении может обрабатывать в том числе конфиденциальную информацию. Сертифицировать каждый из несколько тысяч продуктов на соответствие безопасности может оказаться дорого, долго и неоправданно. Безусловно, дополнительные
расходы в результате отразятся на стоимости лицензий бизнес-приложений. И вряд ли заказчики простят это поставщику.
Один из подходов, который мы можем предложить для соблюдения буквы закона и выполнения требований по защите персональных данных в бизнес-приложениях, – сертификация средств защиты информации. Класс таких решений включает решения для централизованного управления IT-привилегиями и контроля доступа, технологии однократной аутентификации пользователей, системы защиты баз данных, системы защиты электронного документооборота и др. Эти средства используются в том числе и для защиты бизнес-приложений.
Применив сертифицированное средство защиты, заказчик в итоге получит автоматизированную систему, которая может быть аттестована как комплекс по требованиям безопасности информации.

Ваше мнение и вопросы присылайте по адресу infosec@groteck.ru