Bezpieczny dokument elektroniczny czy papierowy?

Prezentacja na temat: "Bezpieczny dokument elektroniczny czy papierowy?"— Zapis prezentacji:

1 Bezpieczny dokument elektroniczny czy papierowy?
Kraków, 26 lutego 2013 r. Michał Tabor Dyrektor ds. operacyjnych CISSP

2 Cel: Niezmiennik: Narzędzie:
Zakres prezentacji Cel: Przekładanie procesów papierowych na elektroniczne Niezmiennik: Zaufanie do dokumentu Narzędzie: Adekwatne zabezpieczenia do procesu biznesowego

3 PRZYKŁAD

4 Historia: książeczka oszczędnościowa
Źródło: Wikipedia

5 Wyobraźmy sobie elektroniczną książeczkę oszczędnościową:
Zła Informatyzacja Wyobraźmy sobie elektroniczną książeczkę oszczędnościową: Każdy ma na swoim komputerze Na nośniku nosi do banku przy każdej wpłacie i wypłacie Dzięki temu każdy czuje się bezpieczniej – bo książeczkę ma przy sobie i zna jej stan; bank natomiast nie może dodać i odjąć wpisu

6 Teraźniejszość bankowości elektronicznej
Książeczka oszczędnościowa nie ma postaci dokumentu elektronicznego!!! Zinformatyzowano procesy!!!

7 Bezpieczeństwo informacji

8 Spojrzenie na bezpieczeństwo

9 Spojrzenie na bezpieczeństwo

10 Definicja bezpieczeństwa
Koszty zabezpieczeń Wartość aktywów Prawdopodobieństwo ich utraty

11 Trzy filary bezpieczeństwa
Podpis elektroniczny Repozytoria Wiązanie elementów Znaczniki czasu Integralność Szyfrowanie Autoryzacja Poufność Redundancja Procedury awaryjne SLA Dostępność

12 Zaufanie do dokumentu (elektronicznego)
Pieczęć

13 ZAPEWNIENIE ZAUFANIA

14 Centralne zarządzanie dokumentami
Zapewnienie zaufania Centralne zarządzanie dokumentami Centralne zarządzanie poświadczeniami dokumentów Zarządzenie rozproszone oparte o poświadczenia osób

15 Zabezpieczenie centralne

16 Proces gdzie dokument zabezpiecza EOD

17 Zabezpieczenie centralne
Wyciągi bankowe i potwierdzenia przelewu Dziennik ustaw CIDG ZALETY Niezależność Oparcie o zaufanie do instytucji WADY Konieczność tworzenia zabezpieczeń po stronie serwerowej Rozpoznawalność tylko lokalna Konieczna dostępność on-line w procesie umieszczania i czytania

18 Przykład - CEIDG

19 Centralne zarządzanie poświadczeniami 1

20 Zabezpieczenie podpisem elektronicznym

21 Centralne zarządzanie poświadczeniami
Profil zaufany Web 2.0 Signature DocuSign, EchoSign ZALETY Powszechna rozpoznawalność Kontrola nad przepływającymi dokumentami Możliwość centralnego zarządzania Możliwość czytania off-line WADY Konieczność dostępu on-line w procesie podpisywania

22 Przykład Profil Zaufany
Pieczęć złożona przez ePUAP i potwierdzająca, że osoba ujawniona w profilu zaufanym zleciła podpisanie dokumentu Pieczęć

23 DocuSign

24 Zarządzenie oparte o poświadczenia osób

25 Zabezpieczenie między uczestnikami

26 Zarządzenie oparte o poświadczenia osób
PRZYKŁADY Podpis kwalifikowany ZALETY Powszechna rozpoznawalność WADY Brak kontroli nad podpisywanymi dokumentami Brak gwarancji dotyczących dokumentu Konieczność dostępu on-line w procesie weryfikacji

27 Potrzeba podpisu elektronicznego?

28 Podpis elektroniczny Użytkownik podpisu Ten, który potrzebuje podpisać
Ten, który potrzebuje zrealizować proces biznesowy (zawierający podpis)

29 Użytkownik podpisu elektronicznego:
Nowa definicja Użytkownik podpisu elektronicznego: Osoba lub podmiot, który definiuje potrzebę posiadania podpisanych elektronicznie dokumentów w swoim procesie biznesowym Podejmujący działanie i ryzyko na podstawie zaufania podpisowi elektronicznemu

30 Jakie informacje przechowujemy i czy potrzebnie
Analiza do wykonania Jakie informacje przechowujemy i czy potrzebnie Jaka jest ich wartość – czyli ile są one dla nas warte Jak i od kogo zbieramy informacje Jak zabezpieczamy informacje by nie traciły na wartości … dobór narzędzi.

31 Kilka przykładów

32 Przykład 1 Rozwiązanie Deklaracje PIT Właściciel procesu Ministerstwo Finansów Cel Zebranie obowiązkowych deklaracji podatkowych Użytkownik MF / Urzędy skarbowe – właściciel procesu Podpisujący Obywatel / Przedsiębiorca Bezpieczeństwo Niskie ryzyko oszustwa i łatwa jego wykrywalność Koszty Za rozwiązanie płaci MF i nie ponosi kosztów podpisujący

33 Przykład 2 Rozwiązanie Portal Allegro Właściciel procesu Zarządca allegro Cel Zabezpieczenie transakcji kupna - sprzedaży Użytkownik Sprzedający, Kupujący - podejmujący ryzyko Podpisujący Sprzedający/Kupujący Bezpieczeństwo Historia zleceń, oznaczenie zaufania, płatność Koszty Koszt po stronie sprzedającego, ale finansowane z marży

34 Przykład 3: DocuSign Import dokumentu do podpisania
Ustalenie procesu biznesowego Żądanie podpisów i rozsyłanie Podpisywanie Powiadomienie o zakończeniu procesu biznesowego

35 Przykład 3 Rozwiązanie DocuSign Właściciel procesu Wysyłający Cel Zabezpieczenie transakcji opisanej workflow Użytkownik Wysyłający do podpisu – żądający transakcji Podpisujący Adresat dokumentu Bezpieczeństwo podpisującego, IP z którego podpisano, historia Koszty Koszt po stronie wysyłającego

36 Posiadacz certyfikatu Bezpieczeństwo Zapewnione prawnie Koszty
A jak jest źle!!! Rozwiązanie Podpis kwalifikowany Właściciel procesu Brak Cel Dowolny Użytkownik Podpisujący? Podpisujący Posiadacz certyfikatu Bezpieczeństwo Zapewnione prawnie Koszty Koszt posiadania certyfikatu, koszt zabezpieczenia podpisu W tym układzie to nigdy nie będzie narzędzie biznesowe – bo nie jest dostarczane w wyniku potrzeby biznesowej.

37 Dziękuję za uwagę Q&A Michał Tabor Tel. 501 557 094