Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Czerwiec 2007 Koncepcja budowy platformy do wymiany informacji objętych tajemnicą służbową w oparciu o LotusNotes i produkty firmy MALKOM www.malkom.pl.

OpublikowałMiłosław Siemieniec Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Czerwiec 2007 Koncepcja budowy platformy do wymiany informacji objętych tajemnicą służbową w oparciu o LotusNotes i produkty firmy MALKOM www.malkom.pl."— Zapis prezentacji:

1 Czerwiec 2007 Koncepcja budowy platformy do wymiany informacji objętych tajemnicą służbową w oparciu o LotusNotes i produkty firmy MALKOM

2 Platforma i technologie Mechanizmy krytyczne Strategia wdrażania
Agenda Ustawodawstwo Platforma i technologie Mechanizmy krytyczne Strategia wdrażania

3 Ustawodawstwo - UoOIN USTAWA z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz.U Nr 11 poz. 95) Art. 60. 1. Systemy i sieci teleinformatyczne, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego przez służby ochrony państwa. 3. Urządzenia i narzędzia kryptograficzne, służące do ochrony informacji niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową oznaczonych klauzulą „poufne”, podlegają badaniom i certyfikacji prowadzonym przez służby ochrony państwa.

4 Rozporządzenie do UoOIN
ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego § 3. 1. Bezpieczeństwo teleinformatyczne zapewnia się, chroniąc informacje przetwarzane w systemach i sieciach teleinformatycznych przed utratą właściwości gwarantujących to bezpieczeństwo, w szczególności przed utratą poufności, dostępności i integralności. § 4. Za właściwą organizację bezpieczeństwa teleinformatycznego odpowiada kierownik jednostki organizacyjnej, który w szczególności: 1) realizuje ochronę fizyczną, elektromagnetyczną i kryptograficzną systemu lub sieci teleinformatycznej;

5 Rozporządzenie do UoOIN
ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego § 7. Ochrona kryptograficzna informacji niejawnych przetwarzanych w systemie lub sieci teleinformatycznej polega na zastosowaniu mechanizmów gwarantujących ich poufność, integralność oraz uwierzytelnienie. Ochronę kryptograficzną stosuje się przy przekazywaniu informacji niejawnych w formie transmisji poza strefę kontrolowanego dostępu. Przekazywanie informacji niejawnych utrwalonych na elektronicznych nośnikach danych poza strefę kontrolowanego dostępu odbywa się z zapewnieniem, odpowiedniej do klauzuli tajności tych informacji, ochrony kryptograficznej lub po spełnieniu wymagań, o których mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów, w celu ich zabezpieczenia przed nieuprawnionym ujawnieniem, utratą, uszkodzeniem lub zniszczeniem.

6 Rozporządzenie do UoOIN - SWB
Sposób opracowywania dokumentacji bezpieczeństwa teleinformatycznego § 12. Dokumenty szczególnych wymagań bezpieczeństwa opracowuje się po przeprowadzeniu szacowania ryzyka dla informacji niejawnych, które mają być przetwarzane w danym systemie lub sieci teleinformatycznej, z uwzględnieniem warunków charakterystycznych dla jednostki organizacyjnej. § 13. 1. Przy opracowaniu szczególnych wymagań bezpieczeństwa systemu lub sieci teleinformatycznej uwzględnia się w szczególności dane o budowie oraz charakterystykę systemu lub sieci teleinformatycznej. 2. Dane o budowie systemu lub sieci teleinformatycznej obejmują dane dotyczące elementów wchodzących w skład tego systemu lub sieci w zakresie: 1) lokalizacji; 2) typu wykorzystywanych urządzeń oraz oprogramowania; 3) sposobu realizowania połączeń wewnętrznych oraz zewnętrznych; 4) konfiguracji sprzętowej i ustawień mechanizmów zabezpieczających; 5) środowiska eksploatacji.

7 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Ustawodawstwo - UoODO Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. ( Dz.U nr 133 poz. 883) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U nr 100 poz. 1024)

8 Rozporządzenie do UoODO
§ Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: 1) podstawowy; 2) podwyższony; 3) wysoki. § Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczna. § Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia. Załącznik do rozporządzenia: C. Środki bezpieczeństwa na poziomie wysokim XIII Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

9 Inne ustawy krajowe Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U nr 130 poz. 1450) Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U nr 64 poz. 565)

10 Ustawodawstwo Europejskie
DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 1999 on a Community framework for electronic signatures CWA Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements CWA Architecture for a European interoperable eID system within a smart card infrastructure

11 Platforma i technologie (1)
IBM Lotus Domino i LotusNotes MALKOM QR-CERT Technologie: MALKOM Sec.QR MCL Development Suite MALKOM Sec.QR Audit Framework

12 QR-CERT Najważniejsze funkcje realizowane przez pakiet oprogramowania QR-CERT: Wydawanie certyfikatów cyfrowych zgodnych ze standardem X.509 Wydawanie i publikacja list certyfikatów unieważnionych (CRL) Unieważnianie i zawieszanie certyfikatów cyfrowych Personalizacja masowa i indywidualna kart mikroprocesorowych Zarządzanie cyklem życia kart w systemie Archiwizacja kluczy (opcja) Obsługa przy pomocy zdalnych punktów rejestracji (opcja) Usługa weryfikacji statusu certyfikatu w czasie rzeczywistym (OCSP) zgodna ze standardem RFC2560 (opcja) Usługa znacznika czasu (TSA) zgodna ze standardem RFC3161 (opcja)

13 Sec.QR-MCL Development Suite
Najważniejsze funkcje realizowane przez pakiet oprogramowania Sec.QR MCL Development Suite: Gotowy zestaw narzędzi i bibliotek programistycznych wykorzystujących kryptografię, przeznaczony do budowy bezpiecznych aplikacji z wykorzystaniem środków ochrony kryptograficznej. Prosta, modułowa, skalowalna architektura. Zestaw funkcjonalności do zabezpieczenia informacji w całym cyklu życia (od wytworzenia, przez utrzymywanie i przetwarzanie w systemie oraz backup do momentu archiwizacji włącznie). Wsparcie dla wielu platform: np. Windows, Linux, AIX, HP-UX, SOLARIS. Wsparcie dla modułów sprzętowej ochrony materiału kryptograficznego. Uwzględnia specyficzne wymagania polskiego ustawodawstwa. Lokalne wsparcie (wytworzone w całości i wspierane w Polsce). Autorskie rozwiązanie firmy MALKOM.

14 Sec.QR-AF Audit Framework
Najważniejsze funkcje realizowane przez pakiet oprogramowania Sec.QR-AF Audit Framework: Gotowy zestaw narzędzi i bibliotek programistycznych wykorzystujących kryptografię, przeznaczony do budowy zaufanego repozytorium rejestrów. Przygotowany do współpracy z precyzyjnymi wzorcami czasu Prosta, modułowa, skalowalna architektura. Zestaw funkcjonalności do obsługi rejestracji, potwierdzania rejestracji i udostępniania rejestrów na żądanie. Wsparcie dla wielu platform: Windows, Linux, AIX, HP-UX, SOLARIS. Wsparcie dla modułów sprzętowej ochrony materiału kryptograficznego. Uwzględnia specyficzne wymagania polskiego ustawodawstwa. Lokalne wsparcie (wytworzone w całości i wspierane w Polsce). Autorskie rozwiązanie firmy MALKOM.

15 Sec.QR-AF Audit Framework

16 Sec.QR-AF VIEW

17 Mechanizmy krytyczne Mechanizmy krytyczne zaimplementowane w systemie to takie, których błędne działanie lub przełamanie spowoduje utratę poufności lub integralności lub rozliczalności danych. Do podstawowych mechanizmów krytycznych można zaliczyć: Kontrola dostępu (funkcje uwierzytelnienia i autoryzacji w systemie Szyfrowanie (mechanizmy zabezpieczenia poufności danych) Podpis elektroniczny (zapewnienie integralności danych i rozliczalności źródła pochodzenia) Rejestrowanie zdarzeń (rozliczalność wykonanych w systemie operacji i możliwość przeprowadzenia audytu) Inne mechanizmy zabezpieczające

18 Modele wymiany informacji
Przy implementacji systemu można rozważyć kilka modeli wymiany informacji: Model End-to-End - tylko nadawca i wskazani przy tworzeniu dokumentu odbiorcy są upoważnieni do zapoznania się z treścią wiadomości. W modelu tym nigdzie na drodze transmisji nie jest możliwe przetwarzanie informacji w postaci jawnej. Tylko nadawca ma możliwość decydowania kto będzie mógł zapoznać się z przesyłanymi danymi. Model Klient-Serwer - dane są wytwarzane i przesyłane przez użytkowników do współdzielonego zaufanego systemu. We wspólnym systemie dane przetwarzane są w postaci jawnej. Uprawnienia nadane użytkownikowi w systemie decydują do jakich zakresów danych będzie miał on dostęp. Model Hybrydowy - model w którym występują oba powyższe warianty.

19 Model End-to-End

20 Implementacja modelu End-to-End

21 Model Klient-Serwer

22 Implementacja modelu Klient-Serwer

23 Strategia wdrażania Ważne etapy przy wdrażaniu systemu:
Szacowanie ryzyka dla informacji niejawnych Opracowanie założeń i koncepcji systemu uwzględniających wymogi prawa i mechanizmy bezpieczeństwa (w tym mechanizmy krytyczne) - Szablon SWB Uzgodnienia koncepcji z właściwymi służbami (np. ABW) Wykonanie szczegółowego projektu technicznego zapewniającego pokrycie wszystkich krytycznych mechanizmów bezpieczeństwa Wdrożenie systemu z uwzględnieniem bezpiecznego środowiska pracy Opracowanie dokumentacji systemu Opracowanie dokumentów wymaganych przez UOIN (szczególne wymagania bezpieczeństwa (SWB) oraz procedury bezpiecznej eksploatacji (PBE).

24 Podsumowanie Wykorzystując połączenie rozwiązań i technologii firmy IBM oraz firmy MALKOM przy budowie platformy do wymiany informacji w systemach objętych tajemnicą służbową osiąga się następujące elementy: Zgodność rozwiązania z polskim ustawodawstwem Zgodność rozwiązania ze standardami europejskimi Zgodność rozwiązanie z obowiązującymi normami branżowymi i standardami de-facto Lokalne wsparcie na terenie polski przez personel posiadający niezbędne poświadczenia bezpieczeństwa Dostęp do dokumentacji w języku polskim Dostęp do szkoleń w języku polskim Dostępu do uaktualnień oprogramowania zmieniającego się w raz polskim ustawodawstwem.

25 Pytania i odpowiedzi

26 Zakończenie Dziękuję za uwagę

Pobierz ppt "Czerwiec 2007 Koncepcja budowy platformy do wymiany informacji objętych tajemnicą służbową w oparciu o LotusNotes i produkty firmy MALKOM www.malkom.pl."

Podobne prezentacje

AKTUALIZACJA STANU PRAWNEGO W ZAKRESIE KONTROLI WYMOGÓW I KONTROLI IDENTYFIKACJI I REJESTRACJI ZWIERZĄT Puławy, 23-24.11; 1-2.12.2010 r.; 11-12.01.2011.

AKTUALIZACJA STANU PRAWNEGO W ZAKRESIE KONTROLI WYMOGÓW I KONTROLI IDENTYFIKACJI I REJESTRACJI ZWIERZĄT Puławy, ; r.;
STRUKTURA PRAWNEJ REGULACJI DOKUMENTACJI ELEKTRONICZNEJ

STRUKTURA PRAWNEJ REGULACJI DOKUMENTACJI ELEKTRONICZNEJ
KRK – na Uniwersytecie Warszawskim Marta Kicińska-Habior

KRK – na Uniwersytecie Warszawskim Marta Kicińska-Habior
1. Geneza projektu 2. Założenia i cele projektu 3. Harmonogram projektu 4. Produkty projektu 5. Założenia techniczne i wydajnościowe 6. Wizja systemu 7.

1. Geneza projektu 2. Założenia i cele projektu 3. Harmonogram projektu 4. Produkty projektu 5. Założenia techniczne i wydajnościowe 6. Wizja systemu 7.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN

ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
Kompleksowe zarządzanie bezpieczeństwem informacji

Kompleksowe zarządzanie bezpieczeństwem informacji
Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.

Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.
Platforma A2A PA2A.

Platforma A2A PA2A.
Krajowy System Informatyczny (KSI) – rola KSI w kontekście działań kontrolnych i procesu informowania o nieprawidłowościach,

Krajowy System Informatyczny (KSI) – rola KSI w kontekście działań kontrolnych i procesu informowania o nieprawidłowościach,
PRZYGOTOWANIA DO REACH W POLSCE PIOTR ZABADAŁA MINISTERSTWO GOSPODARKI

PRZYGOTOWANIA DO REACH W POLSCE PIOTR ZABADAŁA MINISTERSTWO GOSPODARKI
elektronicznego fakturowania

elektronicznego fakturowania
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Temat: Doświadczenie z wdrożenia usług elektronicznych w województwie podlaskim w latach 2004-2006 na przykładzie Wojewódzkiego Centrum Zarządzania Siecią

Temat: Doświadczenie z wdrożenia usług elektronicznych w województwie podlaskim w latach na przykładzie Wojewódzkiego Centrum Zarządzania Siecią
Projekt współfinansowany przez Unię Europejską Europejski Fundusz Rozwoju Regionalnego Plan Informatyzacji Państwa na lata 2007-2010 elektroniczna Platforma.

Projekt współfinansowany przez Unię Europejską Europejski Fundusz Rozwoju Regionalnego Plan Informatyzacji Państwa na lata elektroniczna Platforma.
Dr Dariusz Adamski Prof. dr hab. Mirosław Kutyłowski

Dr Dariusz Adamski Prof. dr hab. Mirosław Kutyłowski
BEZPIECZEŃSTWO WEWNĘTRZNE W WIELKOPOLSCE

BEZPIECZEŃSTWO WEWNĘTRZNE W WIELKOPOLSCE
Eksploatacja zasobów informatycznych przedsiębiorstwa

Eksploatacja zasobów informatycznych przedsiębiorstwa
Mirosław BarszczWarszawa, 7 lipca 2005 r. Jerzy Martini Piotr Maksymiuk Marek Wojda Faktura elektroniczna Elektroniczna korespondencja z organami podatkowymi.

Mirosław BarszczWarszawa, 7 lipca 2005 r. Jerzy Martini Piotr Maksymiuk Marek Wojda Faktura elektroniczna Elektroniczna korespondencja z organami podatkowymi.
Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT

Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT
Podstawy prawne informatyzacji administracji publicznej

Podstawy prawne informatyzacji administracji publicznej

Podobne prezentacje

Reklamy Google