Conformità al DEFCON 658

Sommario

Il DEFCON 658 è un protocollo riguardante l'approvvigionamento in materia di sicurezza informatica. Impone a tutti i provider del Ministero della difesa del Regno Unito, che presentano offerte per nuovi contratti richiedenti il trasferimento di MODII, di attenersi al DEFCON 658 e soddisfare i requisiti previsti dal DEFSTAN 05-138. In particolare, l'adesione al DEFCON 658 si estende alle catene di approvvigionamento (subappaltatori) degli stessi provider.

Mancata conformità

Il DEFCON 658 si applica a tutti i provider lungo tutta la catena di approvvigionamento MOD, quando il MODII sia coinvolto, e le aziende che non aderiscono ai suoi requisiti non potranno partecipare ai contratti MOD.

Sintesi della messa in conformità

Il DEF STAN 05-138 indica le misure che i provider della Difesa sono tenuti a rispettare a livello di ciascuno dei cinque potenziali stadi di rischio informatico di un contratto e include diversi controlli specifici per la protezione delle informazioni sensibili, come illustrato di seguito.

Thales fornisce soluzioni per la sicurezza dei dati che aiutano ad affrontare questi controlli, come indicato. Si noti che mentre i controlli sono definiti in base ai rischi associati al contratto (Basso, Medio o Alto), le soluzioni di Thales si applicano contemporaneamente a controlli simili, e sono quindi consolidate di seguito.

Misure di controllo

L.07 Definire e implementare una policy per controllare l'accesso alle informazioni e alle strutture di elaborazione delle informazioni.
M.06 Assicurarsi che l'azienda abbia identificato i proprietari degli asset e che questi ne controllino l'accesso.
L.12 Definire e implementare una policy per gestire i diritti di accesso degli account utente.

Soluzioni Thales

Thales offre una serie completa di soluzioni che possono aiutare le aziende a prepararsi e a ottemperare al DEFCON 658 in tutte le aree in cui i dati debbano essere protetti, che siano a riposo, in movimento e in uso, tra cui:

• Discovery e classificazione dei dati sensibili
• Gestione degli accessi e autenticazione
• Crittografia dei dati a riposo e in movimento
• Protezione certificata delle chiavi di crittografia
• Tokenizzazione con mascheramento dinamico dei dati

Discovery e classificazione dei dati sensibili

Il primo passo nella protezione dei dati sensibili è trovare i dati ovunque si trovino nell’azienda, classificarli e registrarli come sensibili (ad es. informazioni di identificazione personale, finanziarie, proprietà intellettuale, HHI, riservate del cliente, ecc.) in modo da poter applicare le tecniche di protezione dei dati più appropriate. È anche importante monitorare e valutare regolarmente i dati per garantire che le nuove informazioni non vengano trascurate e che la vostra azienda continui a essere conforme alle normative.

CipherTrust Data Discovery and Classification di Thales individua efficacemente dati sensibili, strutturati e non, nel cloud e on-premise. Supportando modelli di deployment con o senza agenti, la soluzione fornisce modelli integrati che permettono un’identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza e l’individuazione di lacune relative alla conformità. Un flusso di lavoro efficiente rivela i punti ciechi relativi alla sicurezza e diminuisce i tempi di risanamento. Le relazioni dettagliate supportano i programmi di conformità e facilitano la comunicazione tra dirigenti.

Protezione dei dati sensibili a riposo

Separazione di utenti con accesso privilegiato e dati sensibili

Grazie alla CipherTrust Data Security Platform, gli amministratori possono garantire una separazione completa delle responsabilità tra gli amministratori privilegiati e i titolari dei dati. CipherTrust Transparent Encryption crittografa i file lasciando in chiaro i loro metadati. In questo modo gli amministratori IT (inclusi gli amministratori di hypervisor, cloud, archivi e server) possono eseguire le proprie attività di amministrazione del sistema senza ottenere l’accesso ai dati sensibili che si trovano nei sistemi che gestiscono.

Separazione delle responsabilità amministrative

È possibile implementare solidi criteri di separazione delle responsabilità per garantire che un unico amministratore non detenga il controllo completo su attività di sicurezza dei dati, chiavi di crittografia o amministrazione. Inoltre, CipherTrust Manager supporta un’autenticazione a due fattori per l'accesso amministrativo.

Controlli granulari degli accessi privilegiati

La CipherTrust Data Security Platform può implementare criteri di gestione degli accessi molto granulari secondo il principio del privilegio minimo, garantendo la protezione dei dati da utilizzi impropri da parte di utenti privilegiati e minacce persistenti avanzate. I criteri granulari di gestione degli accessi ai dati da parte degli utenti privilegiati possono essere implementati in base a utente, processo, tipo di file, ora del giorno e altri parametri. Le opzioni di implementazione possono controllare non solo il permesso di accesso a dati con testo in chiaro, ma anche i comandi a livello di file system disponibili all'utente.

Autenticazione e gestione degli accessi avanzate

Le soluzioni di Thales di autenticazione e gestione degli accessi garantiscono i meccanismi di sicurezza e le funzionalità di reportistica di cui le aziende hanno bisogno per rispettare i requisiti relativi alla messa in sicurezza dei dati. Le nostre soluzioni proteggono i dati sensibili applicando adeguati controlli degli accessi quando gli utenti accedono ad applicazioni contenenti informazioni riservate. Supportando un'ampia gamma di metodi di autenticazione e criteri di accesso basati sui ruoli, le nostre soluzioni aiutano le aziende a limitare i rischi di violazione dei dati causati dalla compromissione o sottrazione delle credenziali o da utilizzi impropri da parte di insider.

Il supporto per l'autenticazione Smart Single Sign-On e Step-Up permette alle aziende di ottimizzare la comodità per gli utenti finali, che devono autenticarsi soltanto quando ce n’è bisogno. I report approfonditi permettono alle aziende di produrre un audit trail dettagliato di tutti gli eventi di accesso e autenticazione, garantendo un rispetto comprovato degli obblighi previsti da un'ampia gamma di regolamenti.

Misure di controllo

L.10 Definire e implementare una policy di sicurezza delle informazioni, i relativi processi e le relative procedure.
M.04 Definire e implementare una policy per conservare, accedere e gestire le informazioni sensibili in modo sicuro.

Soluzioni Thales

Policy di sicurezza complete. La CipherTrust Data Security Platform offre controlli centralizzati che consentono una gestione coerente e standardizzata della crittografia, delle politiche di accesso e della security intelligence per tutti i vostri dati strutturati e non. È disponibile sotto forma di appliance virtuale e fisica certificata FIPS 140-2 e Common Criteria.

Estensibilità. Costruiti su un'infrastruttura estensibile, i componenti della CipherTrust Data Security Platform possono essere distribuiti individualmente, pur offrendo una gestione efficiente e centralizzata delle chiavi e delle policy.

Sicurezza consolidata per i dati sensibili. Thales aiuta a proteggere i dati sensibili attraverso CipherTrust Transparent Encryption con una gestione integrata delle chiavi per i dati a riposo, Application Data Protection e tokenizzazione con mascheramento dinamico. Queste tecniche rendono i dati illeggibili e inutili in caso di mancanza di chiavi per decriptarli.

Misure di controllo

L.16 Definire e implementare una policy di gestione degli incidenti che includa il rilevamento, la risoluzione e il recupero.

Soluzioni Thales

Security intelligence. La CipherTrust Data Security Platform fornisce registri di Security Intelligence che rivelano quali processi e utenti hanno avuto accesso ai dati protetti, con quali criteri e se le richieste di accesso sono state accettate o negate. I registri di gestione riveleranno inoltre i tentativi da parte di un utente privilegiato di inviare un comando come "cambia utente" per emulare, e potenzialmente sfruttare, le credenziali di un altro utente. Condividere questi registri con una piattaforma SIEM (Security Information and Event Management) aiuta a rilevare pattern anomali nei processi e negli accessi utente che possono richiedere indagini successive. Ad esempio, un amministratore o un processo può improvvisamente accedere a volumi di dati molto più grandi del normale o tentare di effettuare il download non autorizzato di uno o più file. Questi eventi potrebbero indicare un attacco mirato o persistente o addirittura attività interne illecite.

Misure di controllo

M.16 Definire e implementare una policy per proteggere i beni dell'azienda quando gli individui cessano di lavorarvi.

Soluzioni Thales

Controlli di accesso privilegiato e log di intelligence. Le policy di gestione granulare degli accessi della CipherTrust Data Security Platform possono essere applicate in base all'utente e l'accesso può essere revocato per gli individui che non lavorano più presso l'azienda. Qualsiasi tentativo negato di accesso ai dati sensibili sarà registrato dai registri di Security Intelligence di CipherTrust.