Utilizar clase PROGRAM - RACF

Todo lo relacionado con seguridad y Security Server (RACF, LDAP, Etc)
Responder
TEST
Usuario
Usuario
Mensajes: 28
Registrado: 14 Oct 2007, 09:59
País: PERU
Ciudad: LIMA
Ocupación: Administrador de seguridad
Ubicación: Lima, Peru

Utilizar clase PROGRAM - RACF

Mensaje por TEST » 14 Jul 2009, 23:07

Estimados....
Quiero utilizar la clase Program en RACF...
A la fecha tengo creado un recurso ** con el UACC=READ y los SYSTEM PROGRAMMER con UPDATE... mi pregunta es:
Cuales son la mejores practicas para definir recursos en esta clase.
Se definen los recursos con el nombre del programa de aplicación y en el MEMBER se de define el nombre de la libreria...? es correcto...?
Los usuarios a los que se les entrega permiso en el ACCESS LIST son los que tendrian permiso al programa o a la libreria...?
Si tuvieran alguna información adicional o donde conseguir, quedare muy agradecido.

NJB
Su anfitrion
Su anfitrion
Mensajes: 1114
Registrado: 12 Oct 2003, 16:27
País: Argentina
Ciudad: Capilla del Señor
Ocupación: System Programmer
Contactar:

Re: Utilizar clase PROGRAM - RACF

Mensaje por NJB » 15 Jul 2009, 05:57

Hola

NUNCA salvo que las normas de auditoría te lo exijan uses la clase program para programas de tu instalación.

Se lo usa para proteger programas sensitivos y aquellos que desees limitar en su uso a determinados usuarios.

Ya vas a tener mejores respuestas, pero se cuidadoso ya que cuando defines un programa controlado es muy probable que tengas que agregar otros (llamados o llamadores por/del protegido).

Te mando un cordial saludo
Norberto Bocalandro

Avatar de Usuario
Luislp2004
Usuario avanzado
Usuario avanzado
Mensajes: 71
Registrado: 15 Mar 2006, 12:32
País: Argentina
Ciudad: Capital Federal
Ocupación: Auditor de sistemas certificado

Re: Utilizar clase PROGRAM - RACF

Mensaje por Luislp2004 » 22 Jul 2009, 21:52

TEST escribió:Estimados....
Quiero utilizar la clase Program en RACF...
A la fecha tengo creado un recurso ** con el UACC=READ y los SYSTEM PROGRAMMER con UPDATE... mi pregunta es:
Cuales son la mejores practicas para definir recursos en esta clase.
Se definen los recursos con el nombre del programa de aplicación y en el MEMBER se de define el nombre de la libreria...? es correcto...?
Los usuarios a los que se les entrega permiso en el ACCESS LIST son los que tendrian permiso al programa o a la libreria...?
Si tuvieran alguna información adicional o donde conseguir, quedare muy agradecido.
Al definir un programa en la clase PROGRAM es NECESARIO especificar en que biblioteca se encuentra localizado.
En la clase PROGRAM basicamente solo se tienen en cuenta tres posibles permisos NONE, READ y EXECUTE.
NONE impide el uso de dicho programa
READ permite el uso y la copia de dicho programa (a otra biblioteca)
EXECUTE permite solo el uso de dicho programa

Estos permisos se especifican en el UACC o en la lista de acceso.

Es decir que actualmente el efecto que estas teniendo sobre la clase program con la definicion que indicas tener, entiendo no cumple ninguna restriccion (el UPDATE implicaria READ, y el UACC esta en READ).

Ahora, dado que el programa es un miembro de una biblioteca particionada, es necesario que quienes tengan que hacer uso de dicho programa TAMBIEN tengan acceso a la biblioteca y los permisos son los tradicionales de proteccion de una biblioteca mediante RACF.

No concuerdo con Norberto respecto a que debes fijarte que indican las 'normas de auditoria'. Auditoria solo evalúa si se cumplen o no las 'normas de seguridad', las reglamentaciones de entes de control, las leyes, etc.
En caso que alguna situacion no este contemplada por una norma de seguridad (y si resultara necesario definir una norma al respecto) auditoria sugiere definirla, pero esa definicion DEBE realizarla el administrador de Seguridad.
Es un tema que suele dar a largas discusiones e interpretaciones y no es mi idea que se genere una charla sobre ese tema, solo queria aclarar esos conceptos.


Es realmente interesante, facil de usar y muy importante para impedir que cualquier usuario capacitado pueda utilizar programas sensibles de la instalacion (la idea no es limitar a los usuarios que si requieren dichos programas).
Programas como el IFASMFDP, IEHINIT, IMAZAP, algunos IRDB*, IRRUT* (y muchos otros) resulta adecuado protegerlos para evitar usos indebidos por personal que no debiera acceder a ellos.
Hay algunos programas que no requerirían una proteccion especial, dadoq eu en algunos casos es necsario contar con algun atributo de la instalacion para poder hacer uso de los mismos (SPECIAL o AUDITOR por ejemplo), tal el caso de algunos programas de administracion de seguridad (RDEFINE por nombrar uno) o el ICHDSMON.

Te paso estos links donde esta bien explicado el tema de la proteccion mediante la clase PROGRAM

http://publib.boulder.ibm.com/infocente ... /racf1.htm

y

http://publib.boulder.ibm.com/infocente ... otexec.htm


Espero te sirva.
LuisLP - (CISA - CGEIT - CRISC)

TEST
Usuario
Usuario
Mensajes: 28
Registrado: 14 Oct 2007, 09:59
País: PERU
Ciudad: LIMA
Ocupación: Administrador de seguridad
Ubicación: Lima, Peru

Re: Utilizar clase PROGRAM - RACF

Mensaje por TEST » 23 Sep 2016, 01:03

Muchas gracias por vuestras sugerencias... queda claro la sensibilidad de la protección de programas.
Una consulta adicional...?
Considerando que los programas se protegen referenciando a una librería... puedo en esta clase también proteger los members de una librería como si estos fueran programas...? Es decir una librería tipo ENDEVOR tienen muchos miembros y quiero proteger solo algunos puedo usar esta clase o existe otra clase para este tipo de protección...?
Gracias siempre...!!!
DS

Responder