Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Bezpieczny dokument elektroniczny czy papierowy? Michał Tabor Dyrektor ds. operacyjnych CISSP Kraków, 26 lutego 2013 r.

Podobne prezentacje


Prezentacja na temat: "Bezpieczny dokument elektroniczny czy papierowy? Michał Tabor Dyrektor ds. operacyjnych CISSP Kraków, 26 lutego 2013 r."— Zapis prezentacji:

1 Bezpieczny dokument elektroniczny czy papierowy? Michał Tabor Dyrektor ds. operacyjnych CISSP Kraków, 26 lutego 2013 r.

2 Zakres prezentacji Cel: Przekładanie procesów papierowych na elektroniczne Niezmiennik: Zaufanie do dokumentu Narzędzie: Adekwatne zabezpieczenia do procesu biznesowego 2

3 PRZYKŁAD 3

4 Historia: książeczka oszczędnościowa 4 Źródło: Wikipedia

5 Zła Informatyzacja Wyobraźmy sobie elektroniczną książeczkę oszczędnościową: Każdy ma na swoim komputerze Na nośniku nosi do banku przy każdej wpłacie i wypłacie Dzięki temu każdy czuje się bezpieczniej – bo książeczkę ma przy sobie i zna jej stan; bank natomiast nie może dodać i odjąć wpisu 5

6 Teraźniejszość bankowości elektronicznej 6 Książeczka oszczędnościowa nie ma postaci dokumentu elektronicznego!!! Zinformatyzowano procesy!!!

7 BEZPIECZEŃSTWO INFORMACJI 7

8 Spojrzenie na bezpieczeństwo 8

9 9

10 Definicja bezpieczeństwa Koszty zabezpieczeń Wartość aktywów Prawdopodobieństwo ich utraty 10

11 Trzy filary bezpieczeństwa 11 Podpis elektroniczny Repozytoria Wiązanie elementów Znaczniki czasu Integralność Szyfrowanie Autoryzacja Poufność Redundancja Procedury awaryjne SLA Dostępność

12 Zaufanie 12 Zaufanie do dokumentu (elektronicznego) Pieczęć

13 ZAPEWNIENIE ZAUFANIA 13

14 Zapewnienie zaufania Centralne zarządzanie dokumentami Centralne zarządzanie poświadczeniami dokumentów Zarządzenie rozproszone oparte o poświadczenia osób 14

15 Zabezpieczenie centralne 15

16 Proces gdzie dokument zabezpiecza EOD 16

17 Zabezpieczenie centralne Wyciągi bankowe i potwierdzenia przelewu Dziennik ustaw CIDG 17 ZALETY Niezależność Oparcie o zaufanie do instytucji WADY Konieczność tworzenia zabezpieczeń po stronie serwerowej Rozpoznawalność tylko lokalna Konieczna dostępność on-line w procesie umieszczania i czytania

18 Przykład - CEIDG 18

19 Centralne zarządzanie poświadczeniami 1 19

20 Zabezpieczenie podpisem elektronicznym 20

21 Centralne zarządzanie poświadczeniami Profil zaufany Web 2.0 Signature DocuSign, EchoSign 21 ZALETY Powszechna rozpoznawalność Kontrola nad przepływającymi dokumentami Możliwość centralnego zarządzania Możliwość czytania off- line WADY Konieczność dostępu on-line w procesie podpisywania

22 Przykład Profil Zaufany Pieczęć Pieczęć złożona przez ePUAP i potwierdzająca, że osoba ujawniona w profilu zaufanym zleciła podpisanie dokumentu

23 DocuSign 23

24 Zarządzenie oparte o poświadczenia osób 24

25 Zabezpieczenie między uczestnikami 25

26 Zarządzenie oparte o poświadczenia osób PRZYKŁADY Podpis kwalifikowany 26 ZALETY Powszechna rozpoznawalność WADY Brak kontroli nad podpisywanymi dokumentami Brak gwarancji dotyczących dokumentu Konieczność dostępu on-line w procesie weryfikacji

27 POTRZEBA PODPISU ELEKTRONICZNEGO? 27

28 Użytkownik podpisu 28 Podpis elektroniczny Ten, który potrzebuje zrealizować proces biznesowy (zawierający podpis) Ten, który potrzebuje podpisać

29 Nowa definicja Użytkownik podpisu elektronicznego: Osoba lub podmiot, który definiuje potrzebę posiadania podpisanych elektronicznie dokumentów w swoim procesie biznesowym Podejmujący działanie i ryzyko na podstawie zaufania podpisowi elektronicznemu 29

30 Analiza do wykonania Jakie informacje przechowujemy i czy potrzebnie Jaka jest ich wartość – czyli ile są one dla nas warte Jak i od kogo zbieramy informacje Jak zabezpieczamy informacje by nie traciły na wartości … dobór narzędzi. 30

31 KILKA PRZYKŁADÓW 31

32 Przykład 1 RozwiązanieDeklaracje PIT Właściciel procesuMinisterstwo Finansów CelZebranie obowiązkowych deklaracji podatkowych UżytkownikMF / Urzędy skarbowe – właściciel procesu PodpisującyObywatel / Przedsiębiorca BezpieczeństwoNiskie ryzyko oszustwa i łatwa jego wykrywalność KosztyZa rozwiązanie płaci MF i nie ponosi kosztów podpisujący 32

33 Przykład 2 RozwiązaniePortal Allegro Właściciel procesuZarządca allegro CelZabezpieczenie transakcji kupna - sprzedaży UżytkownikSprzedający, Kupujący - podejmujący ryzyko PodpisującySprzedający/Kupujący BezpieczeństwoHistoria zleceń, oznaczenie zaufania, płatność KosztyKoszt po stronie sprzedającego, ale finansowane z marży 33

34 Przykład 3: DocuSign Import dokumentu do podpisania Ustalenie procesu biznesowego Żądanie podpisów i rozsyłanie Podpisywanie Powiadomienie o zakończeniu procesu biznesowego 34

35 Przykład 3 RozwiązanieDocuSign Właściciel procesuWysyłający CelZabezpieczenie transakcji opisanej workflow UżytkownikWysyłający do podpisu – żądający transakcji PodpisującyAdresat dokumentu Bezpieczeństwo podpisującego, IP z którego podpisano, historia KosztyKoszt po stronie wysyłającego 35

36 A jak jest źle!!! RozwiązaniePodpis kwalifikowany Właściciel procesuBrak CelDowolny UżytkownikPodpisujący? PodpisującyPosiadacz certyfikatu BezpieczeństwoZapewnione prawnie KosztyKoszt posiadania certyfikatu, koszt zabezpieczenia podpisu 36 W tym układzie to nigdy nie będzie narzędzie biznesowe – bo nie jest dostarczane w wyniku potrzeby biznesowej.

37 37 Q&A Michał Tabor Tel Dziękuję za uwagę


Pobierz ppt "Bezpieczny dokument elektroniczny czy papierowy? Michał Tabor Dyrektor ds. operacyjnych CISSP Kraków, 26 lutego 2013 r."

Podobne prezentacje


Reklamy Google