bg-intro-1-banner

Conformità al DEFCON 658

Thales permette di conformarsi alle disposizioni chiave del DEFCON 658 del Ministero della difesa del Regno Unito.

DEFCON 658

Test

Il DEFCON 658 del Ministero della difesa del Regno Unito (MOD) mira a proteggere la catena di approvvigionamento della difesa dalle minacce informatiche e per questo motivo si rivolge alle aziende che forniscono o desiderano fornire al MOD contratti che interessino il trattamento di informazioni identificabili da quest'ultimo (MODII).

Le soluzioni Thales forniscono strumenti per aiutarvi ad attenervi al DEFCON 658, tra cui:

  • Individuazione e classificazione dei dati sensibili per trovare i dati da proteggere
  • Controllo degli accessi, in modo tale da garantire che solamente gli utenti dotati di credenziali possano recuperare i dati sensibili
  • Registri di security intelligence per identificare pattern di accesso irregolari e violazioni in corso
  • Crittografia e gestione delle chiavi solide, che rendono i dati sensibili inutilizzabili dagli utenti non autorizzati
  • Regolamento
  • Conformità

Sommario

Il DEFCON 658 è un protocollo riguardante l'approvvigionamento in materia di sicurezza informatica. Impone a tutti i provider del Ministero della difesa del Regno Unito, che presentano offerte per nuovi contratti richiedenti il trasferimento di MODII, di attenersi al DEFCON 658 e soddisfare i requisiti previsti dal DEFSTAN 05-138. In particolare, l'adesione al DEFCON 658 si estende alle catene di approvvigionamento (subappaltatori) degli stessi provider.

Mancata conformità

Il DEFCON 658 si applica a tutti i provider lungo tutta la catena di approvvigionamento MOD, quando il MODII sia coinvolto, e le aziende che non aderiscono ai suoi requisiti non potranno partecipare ai contratti MOD.

Sintesi della messa in conformità

Il DEF STAN 05-138 indica le misure che i provider della Difesa sono tenuti a rispettare a livello di ciascuno dei cinque potenziali stadi di rischio informatico di un contratto e include diversi controlli specifici per la protezione delle informazioni sensibili, come illustrato di seguito.

Thales fornisce soluzioni per la sicurezza dei dati che aiutano ad affrontare questi controlli, come indicato. Si noti che mentre i controlli sono definiti in base ai rischi associati al contratto (Basso, Medio o Alto), le soluzioni di Thales si applicano contemporaneamente a controlli simili, e sono quindi consolidate di seguito.

Misure di controllo

L.07 Definire e implementare una policy per controllare l'accesso alle informazioni e alle strutture di elaborazione delle informazioni.
M.06 Assicurarsi che l'azienda abbia identificato i proprietari degli asset e che questi ne controllino l'accesso.
L.12 Definire e implementare una policy per gestire i diritti di accesso degli account utente.

Soluzioni Thales

Thales offre una serie completa di soluzioni che possono aiutare le aziende a prepararsi e a ottemperare al DEFCON 658 in tutte le aree in cui i dati debbano essere protetti, che siano a riposo, in movimento e in uso, tra cui:

  • Discovery e classificazione dei dati sensibili
  • Gestione degli accessi e autenticazione
  • Crittografia dei dati a riposo e in movimento
  • Protezione certificata delle chiavi di crittografia
  • Tokenizzazione con mascheramento dinamico dei dati

Discovery e classificazione dei dati sensibili

Il primo passo nella protezione dei dati sensibili è trovare i dati ovunque si trovino nell’azienda, classificarli e registrarli come sensibili (ad es. informazioni di identificazione personale, finanziarie, proprietà intellettuale, HHI, riservate del cliente, ecc.) in modo da poter applicare le tecniche di protezione dei dati più appropriate. È anche importante monitorare e valutare regolarmente i dati per garantire che le nuove informazioni non vengano trascurate e che la vostra azienda continui a essere conforme alle normative.

CipherTrust Data Discovery and Classification di Thales individua efficacemente dati sensibili, strutturati e non, nel cloud e on-premise. Supportando modelli di deployment con o senza agenti, la soluzione fornisce modelli integrati che permettono un’identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza e l’individuazione di lacune relative alla conformità. Un flusso di lavoro efficiente rivela i punti ciechi relativi alla sicurezza e diminuisce i tempi di risanamento. Le relazioni dettagliate supportano i programmi di conformità e facilitano la comunicazione tra dirigenti.

Protezione dei dati sensibili a riposo

Separazione di utenti con accesso privilegiato e dati sensibili

Grazie alla CipherTrust Data Security Platform, gli amministratori possono garantire una separazione completa delle responsabilità tra gli amministratori privilegiati e i titolari dei dati. CipherTrust Transparent Encryption crittografa i file lasciando in chiaro i loro metadati. In questo modo gli amministratori IT (inclusi gli amministratori di hypervisor, cloud, archivi e server) possono eseguire le proprie attività di amministrazione del sistema senza ottenere l’accesso ai dati sensibili che si trovano nei sistemi che gestiscono.

Separazione delle responsabilità amministrative

È possibile implementare solidi criteri di separazione delle responsabilità per garantire che un unico amministratore non detenga il controllo completo su attività di sicurezza dei dati, chiavi di crittografia o amministrazione. Inoltre, CipherTrust Manager supporta un’autenticazione a due fattori per l'accesso amministrativo.

Controlli granulari degli accessi privilegiati

La CipherTrust Data Security Platform può implementare criteri di gestione degli accessi molto granulari secondo il principio del privilegio minimo, garantendo la protezione dei dati da utilizzi impropri da parte di utenti privilegiati e minacce persistenti avanzate. I criteri granulari di gestione degli accessi ai dati da parte degli utenti privilegiati possono essere implementati in base a utente, processo, tipo di file, ora del giorno e altri parametri. Le opzioni di implementazione possono controllare non solo il permesso di accesso a dati con testo in chiaro, ma anche i comandi a livello di file system disponibili all'utente.

Autenticazione e gestione degli accessi avanzate

Le soluzioni di Thales di autenticazione e gestione degli accessi garantiscono i meccanismi di sicurezza e le funzionalità di reportistica di cui le aziende hanno bisogno per rispettare i requisiti relativi alla messa in sicurezza dei dati. Le nostre soluzioni proteggono i dati sensibili applicando adeguati controlli degli accessi quando gli utenti accedono ad applicazioni contenenti informazioni riservate. Supportando un'ampia gamma di metodi di autenticazione e criteri di accesso basati sui ruoli, le nostre soluzioni aiutano le aziende a limitare i rischi di violazione dei dati causati dalla compromissione o sottrazione delle credenziali o da utilizzi impropri da parte di insider.

Il supporto per l'autenticazione Smart Single Sign-On e Step-Up permette alle aziende di ottimizzare la comodità per gli utenti finali, che devono autenticarsi soltanto quando ce n’è bisogno. I report approfonditi permettono alle aziende di produrre un audit trail dettagliato di tutti gli eventi di accesso e autenticazione, garantendo un rispetto comprovato degli obblighi previsti da un'ampia gamma di regolamenti.

Misure di controllo

L.10 Definire e implementare una policy di sicurezza delle informazioni, i relativi processi e le relative procedure.
M.04 Definire e implementare una policy per conservare, accedere e gestire le informazioni sensibili in modo sicuro.

Soluzioni Thales

Policy di sicurezza complete. La CipherTrust Data Security Platform offre controlli centralizzati che consentono una gestione coerente e standardizzata della crittografia, delle politiche di accesso e della security intelligence per tutti i vostri dati strutturati e non. È disponibile sotto forma di appliance virtuale e fisica certificata FIPS 140-2 e Common Criteria.

Estensibilità. Costruiti su un'infrastruttura estensibile, i componenti della CipherTrust Data Security Platform possono essere distribuiti individualmente, pur offrendo una gestione efficiente e centralizzata delle chiavi e delle policy.

Sicurezza consolidata per i dati sensibili. Thales aiuta a proteggere i dati sensibili attraverso CipherTrust Transparent Encryption con una gestione integrata delle chiavi per i dati a riposo, Application Data Protection e tokenizzazione con mascheramento dinamico. Queste tecniche rendono i dati illeggibili e inutili in caso di mancanza di chiavi per decriptarli.

Misure di controllo

L.16 Definire e implementare una policy di gestione degli incidenti che includa il rilevamento, la risoluzione e il recupero.

Soluzioni Thales

Security intelligence. La CipherTrust Data Security Platform fornisce registri di Security Intelligence che rivelano quali processi e utenti hanno avuto accesso ai dati protetti, con quali criteri e se le richieste di accesso sono state accettate o negate. I registri di gestione riveleranno inoltre i tentativi da parte di un utente privilegiato di inviare un comando come "cambia utente" per emulare, e potenzialmente sfruttare, le credenziali di un altro utente. Condividere questi registri con una piattaforma SIEM (Security Information and Event Management) aiuta a rilevare pattern anomali nei processi e negli accessi utente che possono richiedere indagini successive. Ad esempio, un amministratore o un processo può improvvisamente accedere a volumi di dati molto più grandi del normale o tentare di effettuare il download non autorizzato di uno o più file. Questi eventi potrebbero indicare un attacco mirato o persistente o addirittura attività interne illecite.

Misure di controllo

M.16 Definire e implementare una policy per proteggere i beni dell'azienda quando gli individui cessano di lavorarvi.

Soluzioni Thales

Controlli di accesso privilegiato e log di intelligence. Le policy di gestione granulare degli accessi della CipherTrust Data Security Platform possono essere applicate in base all'utente e l'accesso può essere revocato per gli individui che non lavorano più presso l'azienda. Qualsiasi tentativo negato di accesso ai dati sensibili sarà registrato dai registri di Security Intelligence di CipherTrust.

Proteggete le vostre risorse digitali, rispettate le normative e gli standard di settore e salvaguardate la reputazione della vostra azienda. Scoprite come Thales può aiutarvi.

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Thales CipherTrust Data Discovery and Classification

Thales CipherTrust Data Discovery and Classification - Product Brief

The crucial first step in privacy and data protection regulatory compliance is to understand what constitutes sensitive data, where it is stored, and how it is used. If you don't know what sensitive data you have, where it is, and why you have it, you cannot apply effective...

SafeNet Trusted Access - Solution Brief

SafeNet Trusted Access - Solution Brief

More and more cloud-based services are becoming an integral part of the enterprise, as they lower costs and management overhead while increasing flexibility. Cloud-based authentication services, especially when part of a broader access management service, are no exception, and...

Guide to Authentication Technologies - White Paper

A Comprehensive Guide to Authentication Technologies and Methods - White Paper

Authentication solutions need to be frictionless. Adopting methods with a higher Authentication Assurance Level and Stronger authentication, can effectively reduce the risk of attacks. Explore authentication technologies to learn: • Selecting authentication methods • Analysis...

CipherTrust Transparent Encryption - White Paper

CipherTrust Transparent Encryption - White Paper

Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption delivers data-at-rest encryption with centralized key management, privileged user access control, and detailed data access audit logging that helps organizations meet compliance and best practice requirements for protecting data, wherever it...

The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...

The Enterprise Encryption Blueprint - White Paper

The Enterprise Encryption Blueprint - White Paper

You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...

Unshare and Secure Sensitive Data - Encrypt Everything - eBook

Unshare and Secure Sensitive Data - Encrypt Everything - eBook

Business critical data is flowing everywhere. The boundaries are long gone. As an enterprise-wide data security expert, you are being asked to protect your organization’s valuable assets by setting and implementing an enterprise-wide encryption strategy. IT security teams are...

Altre norme fondamentali sulla protezione dei dati e sulla sicurezza

RGPD

REGOLAMENTO
ACTIVA ORA

Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.

PCI DSS

MANDATO
ACTIVA ORA

Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.

Leggi sulla notifica delle violazioni dei dati

REGOLAMENTO
ACTIVA ORA

I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".