Auditní stopa a věrohodnost dokumentu Tomáš Řemelka Delivery Director ISSS 2013, Hradec Králové
Co vás čeká? l l l l l
Auditní stopa a věrohodnost dokumentu Úřad a komunikující skupiny osob Řízení přístupů Řízení identit Závěr
2 / 18
Co je to „věrohodný“ dokument? l
Papírové dokumenty – –
l
Vlastnoruční podpis OPRÁVNĚNÉ osoby Případně opatřený úředně ověřeným podpisem
Elektronické dokumenty –
–
„Elektronický podpis“ (Zaručený el. Podpis) OPRÁVNĚNÉ osoby Kvalifikované časové razítko 3 / 18
Co víme o podepisující osobě? l
l
l
Podpisy/časová razítka neříkají nic o osobě, která dokument podepsala. Jak ověříme, že měla oprávnění dokument vystavit/podepsat? Nijak. –
l
Musí to ošetřit samotný úřad, z nějž daný dokument pochází.
Jak? –
Řízením přístupu a uživatelských identit. 4 / 18
Úřad a komunikující skupiny osob
5 / 18
Situace na úřadech Úřad
Příspěvkové organizace
Právnické osoby
Podnikající fyzické osoby Úředníci z příspěvkových organizací
l
l
Úředníci z vlastního úřadu
Fyzické osoby
Úřad zaměstnává vlastní úředníky, případně do jeho aplikací přistupují úředníci z jiných institucí (např. příspěvkových organizací) Úřad komunikuje s právnickými osobami, podnikateli a fyzickými osobami 6 / 18
Kde jsou uloženy uživatelské účty úředníků? Úřad
Příspěvkové organizace
Právnické osoby
Podnikající fyzické osoby Úředníci z příspěvkových organizací
Úředníci z OVM
Fyzické osoby
JIP Czech POINT
l
Uživatelské účty úředníků z OVM (příp. příspěvkových organizací) jsou uloženy v JIP Czech POINT 7 / 18
A co účty PO/podnikatelů/FO? Úřad
Příspěvkové organizace
Právnické osoby
Podnikající fyzické osoby Úředníci z příspěvkových organizací
Úředníci z OVM
JIP Czech POINT l
Fyzické osoby
Identitní prostor ISDS
Právnické osoby, podnikatelé mají zřízenu datovou schránku, fyzické osoby na žádost – tedy mají vlastní uživatelský účet v identitním prostoru ISDS.
8 / 18
Jak lze tyto účty využívat? Řízení přístupů a identit Úřad
Příspěvkové organizace
Právnické osoby
Podnikající fyzické osoby Úředníci z příspěvkových organizací
Úředníci z OVM
JIP Czech POINT l
Fyzické osoby
Identitní prostor ISDS
Pomocí řešení pro řízení přístupů a identit, které je napojeno na tyto adresáře uživatelských identit. 9 / 18
Řízení identit
10 / 18
LDAP2JIP_konektor Úřad
Czech POINT
zakládání, změna, blokování uživatelů
Lokální Active Directory/ eDirectory
l
LDAP2JIP
agendové činnostní role
KAAS
JIP Czech POINT
Obousměrná synchronizace uživatelských identit mezi lokálním adresářem a JIP Czech POINT 11 / 18
LDAP2JIP - přínosy l
l
l l l
Správa uživatelů na jediném místě – uvnitř úřadu nebo v JIP Jeden uživatelský účet pro přístup do lokálních aplikací, ale i do Czech POINT, Czech POINT@office, AIS RPP Působnostní, ISUI Agendové činnostní role pro přístup do ZR Eliminace rizika zapomenutého uživatele Eliminace rizika neopr. přístupu k datům 12 / 18
Řízení přístupů
13 / 18
Ověřování uživatelů Řízení přístupů AGW
KAAS
Lokální Active Directory/ eDirectory
JIP Czech POINT
Úředníci z vlastního úřadu nebo příspěvkových organizací l
l
ExtIS
Identitní prostor ISDS Právnické osoby, podnikající fyzické osoby, fyzické osoby
AGW ověřuje přistupující úředníky do aplikací vůči lokálnímu adresáři (AD, eDirectory) v úřadu a/nebo vůči JIP Czech POINT prostřednictvím rozhraní KAAS. AGW ověřuje PO/PFO/FO vůči ISDS pomocí nového rozhraní ExtIS. 14 / 18
AGW – přístupová brána l l l
l
Přístupový bod uživatelů do aplikací úřadu Zajišťuje auditní stopu přístupů uživatele Ověřování uživatelů vůči více zdrojům (adresářům) uživatelských identit Vícefaktorová autentizace – – –
Uživatelské jméno a heslo Certifikáty OTP (HW/SW token, nebo SMS) 15 / 18
Shrnutí l
AGW – řešení pro řízení přístupů –
– – l
ověřování OPRÁVNĚNÝCH uživatelů z více zdrojů vícefaktorová autentizace Auditní stopa přístupů uživatele
LDAP2JIP – řešení pro řízení identit – – –
umožňuje správu uživatelů na jednom místě agendové činnostní role eliminace rizika zapomenutého uživatele 16 / 18
Děkuji za pozornost
[email protected]
