TRANSPARENTNOST A KYBERNETICKÁ BEZPEČNOST VE STÁTNÍ SPRÁVĚ. Radek Holý, Manažer ISMS

TRANSPARENTNOST A KYBERNETICKÁ BEZPEČNOST VE STÁTNÍ SPRÁVĚ

Radek Holý, Manažer ISMS

AGENDA •

Transparentnost v oblasti VZ

•

Elektronizace agend

•

Procesní modely

•

Uživatele

•

•

Role v systému

•

PKI

Elektronické dokumenty

ELEKTRONIZACE VEŘEJNÝCH ZAKÁZEK Hlavní přínosy elektronizace VZ: •

Úspora nákladů spojených s procesem zadávání VZ na straně zadavatelů i dodavatelů.

•

Snížení jednotkových cen nakupovaných komodit.

•

Zvýšení vyjednávací síly zadavatelů.

•

Zlepšení konkurenčního prostředí.

•

Možnost zkrácení lhůt v zadávacím řízení.

•

Minimalizace chyb v zadávacích postupech.

•

Zrychlení komunikace mezi zadavateli a dodavateli.

•

Zjednodušení administrativy, zefektivnění celé agendy VZ.

•

Rovný přístup ke všem uchazečům, zvýšení transparentnosti procesu zadávání VZ.

•

Zpřehlednění VZ zadavatele pro účely analýz a optimalizace nákupu.

VELKÝ ELEKTRONICKÝ NÁSTROJ ZADÁVÁNÍ A ADMINISTRACI VEŘEJNÝCH ZAKÁZEK Soulad se zákonem č. 137/2006 Sb., o veřejných zakázkách. •

Certifikace nezávislou certifikační autoritou.

•

Jednotné prostředí s odlišnostmi dle specifik jednotlivých druhů zadávacích řízení.

•

Zneužití dat neoprávněnými subjekty je znemožněno díky používání šifrovaných protokolů.

•

Zajišťuje rovný přístup ke všem dodavatelům.

•

Průběžná aktualizace nástroje dle novelizací zákona č. 137/2006 Sb., o veřejných zakázkách.

VELKÝ ELEKTRONICKÝ NÁSTROJ PRO ZADÁVÁNÍ A ADMINISTRACI VEŘEJNÝCH ZAKÁZEK Zadavatelům umožňuje pokrytí celého životního cyklu VZ: •

Založení a editaci profilu zadavatele.

•

Založení, předběžné oznámení a správu veřejných zakázek.

•

Vytvoření profilu administrátorské organizace pro správu zakázky.

•

Správu dodatečných informací.

•

Příjem nabídek.

•

Jmenování Komise pro otevírání obálek a Hodnotící komise.

•

Otevírání obálek.

•

Hodnocení nabídek.

•

Výběr nejvhodnějšího uchazeče

VELKÝ ELEKTRONICKÝ NÁSTROJ PRO ZADÁVÁNÍ A ADMINISTRACI VEŘEJNÝCH ZAKÁZEK Dodavatelé mohou v nástroji: •

Vytvářet a spravovat své profily.

•

Přistupovat k seznamu veřejných zakázek.

•

Žádat o dodatečné informace k veřejných zakázkám.

•

Podávat nabídky.

•

Komunikovat se zadavateli.

•

Sledovat VZ ve všech jejích fázích

INTERNÍ OBLAST SLEDOVÁNÍ POŽADAVKŮ NA VZ •

Sběr požadavků (předpokládaných nákupů) a interních poptávek - Trasovatelnost nákupu od požadavku až po odbavení

•

Vyhodnocení a rozhodnutí o způsobu uspokojení sebraných požadavků a poptávek

•

Plán veřejných zakázek a podklady pro proces zadávacích řízení

•

Tvorba žádanky a podkladů pro objednávky

•

Evidence a práce s komoditními katalogy

•

Náhradu e-mailové komunikace dovnitř organizace

•

Schvalovací workflow nákupu, VZ (zadávací dokumentace, technická specifikace, dodatečné informace)

ROZSAH INTEGRACE

ELEKTRONIZACE PROCESŮ •

Bez papírový svět

•

informace ukládá strukturovaně do databází a dovoluje tak získávat informace o stavu procesů.

•

možnost okamžitého sledování a řízení procesů v reálném čase, což dosud nebylo možné.

•

Každá akce (cestovní příkaz, nepřítomnost, likvidační list aj.) založí samostatný formulář •

postupný elektronický posun (workflow) k pracovníkům zodpovědným za provádění jednotlivých operací.

DEFINICE PROCESŮ

UŽIVATELÉ – ROLE, PRÁVA Uživatel IS •

Jednoznačná identifikace

•

Definice rolí

•

•

Bussiness role ( např. Ředitel, zaměstnanec aj.)

•

Technická role ( provozní systém - Např. Účetní aj.)

Životní cyklus •

Ukončení PPV = zrušení rolí v systému

UŽIVATELÉ – ROLE, PRÁVA Autentizace •

Jméno x heslo •

Pravidla pro tvorbu hesla

Autorizace •

Elektronicky podpis •

Osobní

•

Systémový

ELEKTRONICKÝ PODPIS •

Použitím elektronického podpisu změna toho, co je podepsáno, způsobuje i změnu samotného podpisu tzv. integrita podepsaného dokumentu

•

V případě elektronického podpisu lze věrohodně prokázat, že podpis nemohl vytvořit nikdo jiný - takže autor nemůže své autorství později popřít (jde o tzv. nepopiratelnost elektronického podpisu).

FUNKCE CERTIFIKAČNÍ AUTORITY •

Důvěryhodná třetí strana (Trusted Third Party – TTP)

•

Plní 2 základní funkce •

certifikační – zaručuje, že deklarovaný veřejný klíč patří dané osobě

•

validační – potvrzuje platnost certifikátu •

offline seznam odvolaných certifikátů – CRL (Certificate Revocation List)

•

online zjišťování platnosti certifikátu – OCSP (Online Certificate Status Protocol)

ZÁKLADNÍ VLASTNOSTI •

Kvalifikovaný certifikát •

označení „kvalifikovanosti“

•

identifikace vydavatele a podepisující osoby (pseudonym)

•

má unikátní číslo v rámci vydavatele

•

počátek a konec platnosti

•

omezení použití

•

podpis vydavatele

PKI (PUBLIC KEY INFRASTRUCTURE) •

Systém veřejných klíčů

•

PKI - kombinace hardware a software, politik a procedur

•

PKI: bezpečnostní politika, certifikační autorita, registrační autorita, certifikační distribuční a manipulační systém a aplikace na bázi PKI (Web komunikace, e-mail, EDI, VPN, transakce elektronického obchodování atp.)

BEZPEČNOST EP •

•

Souvislost s ochranou privátního a veřejného klíče •

Nedošlo k narušení tajnosti privátního klíče?

•

Nebyl prolomen kryptoalgoritmus ?

•

Nedošlo k porušení autentičnosti veřejného klíče a tím nedodržení záruky jednoznačné vazby s osobou, která zprávu podepsala?

Největší slabinou šifrovacích systémů jsou jejich uživatelé

ELEKTRONICKÝ PODPIS •

Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. (použitelné od 1. července 2016)

ELEKTRONICKÉ DOKUMENTY •

•

•

Principem elektronické archivace je uchování digitální informace v čase - jak docílit toho, abychom byli schopni dokumenty v elektronické podobě přečíst a bezpečně zachovat informační náplň Otázky dlouhodobé archivace: • Problematická životnost datových nosičů • Volba vhodných datových formátů nezávislých na výrobci počítačového programu • Zabezpečení obsahu elektronických dokumentů (konzistence) • Zabezpečení věrohodnosti dat (autenticita) • Definování rozhraní systémů: elektronická spisovna ISO 16363 – Audit and certification of trustworthy digital repositories

DLOUHODOBÉ ULOŽENÍ •

Ověření úplnosti a konzistence předávaných dat

•

Přerazítkování

•

OCR konverze do textu, do PDF/A-1a

•

Kontrola podpisu a razítka

•

Kontroly a ukládání CA a CRL v době ověření

•

Revize a doplnění povinných metadat pro potřeby SIP

AUDITNÍ STOPA •

Tvůrce dokumentu a jeho ověření

•

Historie provedených činností

•

Persistentní uložení tokenů pro přístup

•

Rozesílání tokenů e-mailem, eskalace

•

Prokazatelné vyzvednutí dokumentů

DLOUHODOBÝ DIGITÁLNÍ ARCHÍV

KONEC

Děkuji za pozornost Radek Holý

Manager ISMS

HP Enterprise Enterprise Services Services Speaker’s name / Day/ Month, 2012

Bezpečnost a transparentnost Marek Novotný © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Agenda    

Úvod Transparentnost státní správy Zákon o kybernetické bezpečnosti a jeho dopady Řešení pro pokrytí požadavků zákona

27

© Copyright Company, L.P. The information contained herein is subject to change without notice. owners. Copyright © 2013 Hewlett-Packard HP Autonomy. AllDevelopment rights reserved. Other trademarks are registered trademarks and the properties of their respective

HP- dodavatel prověřený na stupeň utajení „T“ Čím disponujeme: • • • • • • • • •

28

Více než 5 000 certifikovaných bezpečnostních specialistů celosvětově Více než 2 600 pracovníků výzkumu a vývoje v oblasti bezpečnosti Dodáváme služby v oblasti bezpečnosti déle než 40 let Identifikujeme čtyřikrát více kritických hrozeb než zbytek trhu dohromady Chráníme uživatele před 1.7 miliardami spamu měsíčně Téměř 80% světových finančních společností používá bezpečnostní řešní od HP Dodáváme 6,000+ firewallů a 3,000+ systémů pro detekci průniků Více než 800 státních organizací používá naše řešení Identity management Zabezpečujeme více než milion aplikací a 2.6 miliard řádků kódu u našich zákazníků

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.



29


Je naše státní správa dostatečně transparentní? Transparentnost = viditelnost, jaké akce jsou prováděny

30


Jak řeší transparentnost soukromý sektor?

31


Jak zlepšit transparentnost pomocí informačních technologií? 1. Zpětná vazba – průběžné informování občana o stavu a průběhu řízení

digitální identita

1

2

3

4

zpráva

zpráva

zpráva

zpráva

email a/nebo SMS

32


Jak zlepšit transparentnost pomocí informačních technologií? 1. Zpětná vazba – průběžné informování občana o stavu a průběhu řízení

33


Jak zlepšit transparentnost pomocí informačních technologií? 2. Veškeré zasílané dokumenty i emailem

4 digitální identita

email

34




35


Dopady zákona č. 181/2014 Sb. (ISO 2700x) Co musím dělat, abych byl v souladu se zákonem

• • • • •

Mít implementovánu zákonem požadovanou úroveň bezpečnosti Mít schopnost detekovat definované incidenty Umět podávat hlášení na Národní centrum kybernetické bezpečnosti Umět přijímat požadavky na protiopatření Umět protiopatření zavést Opatření a protiopatření

36

Vyhodnocení


Komunikační rozhraní

Technická opatření pro kybernetickou bezpečnost Zákon č. 181/2014 o kybernetické bezpečnosti, §5

(3) Technickými bezpečnostními opatřeními jsou a) fyzická bezpečnost, b) nástroj pro ochranu integrity komunikačních sítí, c) nástroj pro ověřování identity uživatelů, d) nástroj pro řízení přístupových oprávnění, e) nástroj pro ochranu před škodlivým kódem, f) nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů, g) nástroj pro detekci kybernetických bezpečnostních událostí, h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí, i) aplikační bezpečnost, j) kryptografické prostředky, k) nástroj pro zajišťování úrovně dostupnosti informací a l) bezpečnost průmyslových a řídících systémů. 37




38


Komplexní pohled na informační bezpečnost

Dům Bezpečnostní strategie si klade za cíl zajistit spolehlivou ochranu informací a zároveň podpořit efektivní provoz IT (opakovatelnost, jednoduchost řešení). Jednotlivé oblasti pro naplnění naší strategie si lze představit jako dům.

39


Zhodnocení stavu kybernetické bezpečnosti Jaká je moje úroveň bezpečnosti? Je třeba něco dělat?

Základní kroky : Zhodnocení stavu připravenosti

1. Zhodnocení stavu 2. Analýza procesu vytváření incidentů 3. Analýza komunikačních rozhraní

40


Ochrana sítě – HP Tipping Point chrání od perimetru po datové centrum •

Blokuje hrozby útoků na aplikace, OS a síť

•

Ochrana pro fyzickou, virtuální a cloudovou architekturu

Fyzické a virtuální servery

• Škálovatelný: infrastruktura umožňuje budoucí rozvoj a nové modely nasazení • Dynamický: analýza a nasazení politik v reálném čase + kompletní management

Dislokovaná pracoviště

Data center

WAN WLAN

• Prediktivní : proaktivní ochrana proti současným a budoucím hrozbám

Core Campus LAN Edge

Internet Pracovníci v terénu, partneři, zákazníci 41


IPS bezpečnostní zóna

Řízení bezpečnostních informací a událostí servery

Log

síť

OS

Log

Log

databáze

Log

SIEM HP ArcSight Security Information and Event Management 42

aplikace


Log

• sběr • analýza • korelace • reporting

uživatel

Log

Řízení bezpečnostních informací a událostí - SIEM HP ArcSight není jen chytřejší logger - jako CPU není jen chytřejší tranzistor Automatická odpověď

Nejen bezpečnostní dohled Obecně bezpečnost (nejen datová) Event 

Alert



Korelace událostí

Incident

Správa bezpečnostních událostí

Monitoring uživatelů

SIEM

Monitoring řízení App

Logy jsou stále na jedné hromadě, ale je v nich pořádek Víme, co se stalo, komu, jak, kdy a snad i proč Jsme schopni prokázat, kolik se toho stalo za dnešek, minulý týden nebo rok

43


Monitoring fraudu

Monitoring aplikací Řízení logů

Jak se postavit k zákonu o kybernetické bezpečnosti? 1. 2. 3. 4. 5.

44

Zhodnocení stavu připravenosti na požadavky Zákona o kybernetické bezpečnosti Bezpečnostní audit Tvorba bezpečnostní dokumentace Implementace jednotlivých organizačních opatření Implementace jednotlivých technických bezpečnostních opatření a) řešení pro aktivní ochranu sítě IPS b) řešení pro správu a vyhodnocování bezpečnostních událostí SIEM c) řešení pro správu identit a řízení přístupu IDM d) řešení kontinuity provozu organizace BCM e) řešení plánu obnovy DRP f) …


Díky za pozornost!


TRANSPARENTNOST A KYBERNETICKÁ BEZPEČNOST VE STÁTNÍ SPRÁVĚ. Radek Holý, Manažer ISMS

Recommend Documents