Czerwiec 2007 Koncepcja budowy platformy do wymiany informacji objętych tajemnicą służbową w oparciu o LotusNotes i produkty firmy MALKOM www.malkom.pl.

Slides:



Advertisements
Podobne prezentacje
AKTUALIZACJA STANU PRAWNEGO W ZAKRESIE KONTROLI WYMOGÓW I KONTROLI IDENTYFIKACJI I REJESTRACJI ZWIERZĄT Puławy, ; r.;
Advertisements

STRUKTURA PRAWNEJ REGULACJI DOKUMENTACJI ELEKTRONICZNEJ
KRK – na Uniwersytecie Warszawskim Marta Kicińska-Habior
1. Geneza projektu 2. Założenia i cele projektu 3. Harmonogram projektu 4. Produkty projektu 5. Założenia techniczne i wydajnościowe 6. Wizja systemu 7.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
Kompleksowe zarządzanie bezpieczeństwem informacji
Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.
Platforma A2A PA2A.
Krajowy System Informatyczny (KSI) – rola KSI w kontekście działań kontrolnych i procesu informowania o nieprawidłowościach,
PRZYGOTOWANIA DO REACH W POLSCE PIOTR ZABADAŁA MINISTERSTWO GOSPODARKI
elektronicznego fakturowania
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Temat: Doświadczenie z wdrożenia usług elektronicznych w województwie podlaskim w latach na przykładzie Wojewódzkiego Centrum Zarządzania Siecią
Projekt współfinansowany przez Unię Europejską Europejski Fundusz Rozwoju Regionalnego Plan Informatyzacji Państwa na lata elektroniczna Platforma.
Dr Dariusz Adamski Prof. dr hab. Mirosław Kutyłowski
BEZPIECZEŃSTWO WEWNĘTRZNE W WIELKOPOLSCE
Eksploatacja zasobów informatycznych przedsiębiorstwa
Mirosław BarszczWarszawa, 7 lipca 2005 r. Jerzy Martini Piotr Maksymiuk Marek Wojda Faktura elektroniczna Elektroniczna korespondencja z organami podatkowymi.
Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT
Podstawy prawne informatyzacji administracji publicznej
Aktualne zagadnienia prawne.
Praca Inżynierska „Analiza i projekt aplikacji informatycznej do wspomagania wybranych zadań ośrodków sportowych” Dyplomant: Marcin Iwanicki Promotor:
Kierunki rozwoju systemów teleinformatycznych PZGiK wynikające z wprowadzonych i projektowanych zmian legislacyjnych eAdministracja.
Środki bezpieczeństwa
Jakość, efektywność i skuteczność w pomocy społecznej
Hot Spot - korzyści 1. Zaspokojenie rosnących oczekiwań klientów 2. Przewaga nad konkurencją 3. Prestiż lokalizacji – miejsce spotkań biznesowych.
Elektroniczny Obieg Dokumentów i Elektroniczna Skrzynka Podawcza
Urząd Marszałkowski Województwa Warmińsko-Mazurskiego w Olsztynie Cyfrowy Urząd
Mobilny ePodpis już w Plusie Polkomtel i MobiTrust Warszawa, 7 stycznia 2009 – w ofercie Plus dla Firm od 9 stycznia 2009 roku.
Informatyzacja Urzędu – Obowiązki Prawne
QR-CERT Centrum Certyfikacji i Personalizacji
Zarządzanie dokumentacją medyczną w modelu zdecentralizowanym
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
Usługi BDO - odpowiedź na realne potrzeby rynku
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Podpis elektroniczny Przesyłanie i składowanie faktur elektronicznych
2/13 Portal Podatkowy e-Deklaracje 2.
Aleph Raporty, raport danych osobowych, ubytki OPAC.
Znaczenia Biuletynu Informacji Publicznej w realizacji prawa do informacji publicznej Katowice, dr Grzegorz Sibiga Instytut Nauk Prawnych PAN.
Ochrona danych osobowych i informacji niejawnych
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Ochrona danych osobowych i informacji niejawnych
Ochrona danych osobowych i informacji niejawnych
Zgłaszanie prac geodezyjnych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
SIO źródło danych o kształceniu zawodowym i planowane zmiany.
 Przedmiotem zamówienia jest wykonanie usług ochroniarskich i usług portierskich na terenie domów pomocy społecznej, wchodzących.
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
Przygotowali: Anna Farion Dariusz Droździel
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
Eksploatacja zasobów informatycznych przedsiębiorstwa.
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Moduł e-Kontroli Grzegorz Dziurla.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Bezpieczeństwo informacyjne i informatyczne państwa
Wybór optymalnego rozwiązania podpisu elektronicznego EDM Marcin Pusz CSIOZ, 17.II.2016.
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
OCHRONA INFORMACJI NIEJAWNYCH podstawowe pojęcia i wymagania Warszawa, 15 marca 2016 r. mgr inż. Zbysław Antoni KUCZA.
Analiza, projekt i częściowa implementacja systemu wspomagania pracy Referatu Reprografii Promotor: mgr inż. Dariusz OlczykWykonała: Katarzyna Ściwiarska.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Praktyczne aspekty procesu opracowywania dokumentów
Prezentacja systemu eDokumenty
Problematykę ochrony osób, mienia i informacji niejawnych normują:
TRANSPORTOWY DOZÓR TECHNICZNY
Departament Rozwoju Regionalnego i Funduszy Europejskich
TEMAT KLASYFIKOWANIE INFORMACJI NIEJAWNYCH. KLAUZULE TAJNOŚCI
MINISTERSTWO OBRONY NARODOWEJ
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
Zapis prezentacji:

Czerwiec 2007 Koncepcja budowy platformy do wymiany informacji objętych tajemnicą służbową w oparciu o LotusNotes i produkty firmy MALKOM www.malkom.pl

Platforma i technologie Mechanizmy krytyczne Strategia wdrażania Agenda Ustawodawstwo Platforma i technologie Mechanizmy krytyczne Strategia wdrażania

Ustawodawstwo - UoOIN USTAWA z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz.U. 1999 Nr 11 poz. 95) Art. 60. 1. Systemy i sieci teleinformatyczne, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego przez służby ochrony państwa. 3. Urządzenia i narzędzia kryptograficzne, służące do ochrony informacji niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową oznaczonych klauzulą „poufne”, podlegają badaniom i certyfikacji prowadzonym przez służby ochrony państwa.

Rozporządzenie do UoOIN ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego § 3. 1. Bezpieczeństwo teleinformatyczne zapewnia się, chroniąc informacje przetwarzane w systemach i sieciach teleinformatycznych przed utratą właściwości gwarantujących to bezpieczeństwo, w szczególności przed utratą poufności, dostępności i integralności. § 4. Za właściwą organizację bezpieczeństwa teleinformatycznego odpowiada kierownik jednostki organizacyjnej, który w szczególności: 1) realizuje ochronę fizyczną, elektromagnetyczną i kryptograficzną systemu lub sieci teleinformatycznej;

Rozporządzenie do UoOIN ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego § 7. Ochrona kryptograficzna informacji niejawnych przetwarzanych w systemie lub sieci teleinformatycznej polega na zastosowaniu mechanizmów gwarantujących ich poufność, integralność oraz uwierzytelnienie. Ochronę kryptograficzną stosuje się przy przekazywaniu informacji niejawnych w formie transmisji poza strefę kontrolowanego dostępu. Przekazywanie informacji niejawnych utrwalonych na elektronicznych nośnikach danych poza strefę kontrolowanego dostępu odbywa się z zapewnieniem, odpowiedniej do klauzuli tajności tych informacji, ochrony kryptograficznej lub po spełnieniu wymagań, o których mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów, w celu ich zabezpieczenia przed nieuprawnionym ujawnieniem, utratą, uszkodzeniem lub zniszczeniem.

Rozporządzenie do UoOIN - SWB Sposób opracowywania dokumentacji bezpieczeństwa teleinformatycznego § 12. Dokumenty szczególnych wymagań bezpieczeństwa opracowuje się po przeprowadzeniu szacowania ryzyka dla informacji niejawnych, które mają być przetwarzane w danym systemie lub sieci teleinformatycznej, z uwzględnieniem warunków charakterystycznych dla jednostki organizacyjnej. § 13. 1. Przy opracowaniu szczególnych wymagań bezpieczeństwa systemu lub sieci teleinformatycznej uwzględnia się w szczególności dane o budowie oraz charakterystykę systemu lub sieci teleinformatycznej. 2. Dane o budowie systemu lub sieci teleinformatycznej obejmują dane dotyczące elementów wchodzących w skład tego systemu lub sieci w zakresie: 1) lokalizacji; 2) typu wykorzystywanych urządzeń oraz oprogramowania; 3) sposobu realizowania połączeń wewnętrznych oraz zewnętrznych; 4) konfiguracji sprzętowej i ustawień mechanizmów zabezpieczających; 5) środowiska eksploatacji.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Ustawodawstwo - UoODO Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. ( Dz.U. 1997 nr 133 poz. 883) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024)

Rozporządzenie do UoODO § 6. 1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: 1) podstawowy; 2) podwyższony; 3) wysoki. § 6. 4. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczna. § 6. 5. Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia. Załącznik do rozporządzenia: C. Środki bezpieczeństwa na poziomie wysokim XIII Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Inne ustawy krajowe Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U. 2001 nr 130 poz. 1450) Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. 2005 nr 64 poz. 565)

Ustawodawstwo Europejskie DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 1999 on a Community framework for electronic signatures CWA 14167-1 Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements CWA 15264-1 Architecture for a European interoperable eID system within a smart card infrastructure

Platforma i technologie (1) IBM Lotus Domino i LotusNotes MALKOM QR-CERT Technologie: MALKOM Sec.QR MCL Development Suite MALKOM Sec.QR Audit Framework

QR-CERT Najważniejsze funkcje realizowane przez pakiet oprogramowania QR-CERT: Wydawanie certyfikatów cyfrowych zgodnych ze standardem X.509 Wydawanie i publikacja list certyfikatów unieważnionych (CRL) Unieważnianie i zawieszanie certyfikatów cyfrowych Personalizacja masowa i indywidualna kart mikroprocesorowych Zarządzanie cyklem życia kart w systemie Archiwizacja kluczy (opcja) Obsługa przy pomocy zdalnych punktów rejestracji (opcja) Usługa weryfikacji statusu certyfikatu w czasie rzeczywistym (OCSP) zgodna ze standardem RFC2560 (opcja) Usługa znacznika czasu (TSA) zgodna ze standardem RFC3161 (opcja)

Sec.QR-MCL Development Suite Najważniejsze funkcje realizowane przez pakiet oprogramowania Sec.QR MCL Development Suite: Gotowy zestaw narzędzi i bibliotek programistycznych wykorzystujących kryptografię, przeznaczony do budowy bezpiecznych aplikacji z wykorzystaniem środków ochrony kryptograficznej. Prosta, modułowa, skalowalna architektura. Zestaw funkcjonalności do zabezpieczenia informacji w całym cyklu życia (od wytworzenia, przez utrzymywanie i przetwarzanie w systemie oraz backup do momentu archiwizacji włącznie). Wsparcie dla wielu platform: np. Windows, Linux, AIX, HP-UX, SOLARIS. Wsparcie dla modułów sprzętowej ochrony materiału kryptograficznego. Uwzględnia specyficzne wymagania polskiego ustawodawstwa. Lokalne wsparcie (wytworzone w całości i wspierane w Polsce). Autorskie rozwiązanie firmy MALKOM.

Sec.QR-AF Audit Framework Najważniejsze funkcje realizowane przez pakiet oprogramowania Sec.QR-AF Audit Framework: Gotowy zestaw narzędzi i bibliotek programistycznych wykorzystujących kryptografię, przeznaczony do budowy zaufanego repozytorium rejestrów. Przygotowany do współpracy z precyzyjnymi wzorcami czasu Prosta, modułowa, skalowalna architektura. Zestaw funkcjonalności do obsługi rejestracji, potwierdzania rejestracji i udostępniania rejestrów na żądanie. Wsparcie dla wielu platform: Windows, Linux, AIX, HP-UX, SOLARIS. Wsparcie dla modułów sprzętowej ochrony materiału kryptograficznego. Uwzględnia specyficzne wymagania polskiego ustawodawstwa. Lokalne wsparcie (wytworzone w całości i wspierane w Polsce). Autorskie rozwiązanie firmy MALKOM.

Sec.QR-AF Audit Framework

Sec.QR-AF VIEW

Mechanizmy krytyczne Mechanizmy krytyczne zaimplementowane w systemie to takie, których błędne działanie lub przełamanie spowoduje utratę poufności lub integralności lub rozliczalności danych. Do podstawowych mechanizmów krytycznych można zaliczyć: Kontrola dostępu (funkcje uwierzytelnienia i autoryzacji w systemie Szyfrowanie (mechanizmy zabezpieczenia poufności danych) Podpis elektroniczny (zapewnienie integralności danych i rozliczalności źródła pochodzenia) Rejestrowanie zdarzeń (rozliczalność wykonanych w systemie operacji i możliwość przeprowadzenia audytu) Inne mechanizmy zabezpieczające

Modele wymiany informacji Przy implementacji systemu można rozważyć kilka modeli wymiany informacji: Model End-to-End - tylko nadawca i wskazani przy tworzeniu dokumentu odbiorcy są upoważnieni do zapoznania się z treścią wiadomości. W modelu tym nigdzie na drodze transmisji nie jest możliwe przetwarzanie informacji w postaci jawnej. Tylko nadawca ma możliwość decydowania kto będzie mógł zapoznać się z przesyłanymi danymi. Model Klient-Serwer - dane są wytwarzane i przesyłane przez użytkowników do współdzielonego zaufanego systemu. We wspólnym systemie dane przetwarzane są w postaci jawnej. Uprawnienia nadane użytkownikowi w systemie decydują do jakich zakresów danych będzie miał on dostęp. Model Hybrydowy - model w którym występują oba powyższe warianty.

Model End-to-End

Implementacja modelu End-to-End

Model Klient-Serwer

Implementacja modelu Klient-Serwer

Strategia wdrażania Ważne etapy przy wdrażaniu systemu: Szacowanie ryzyka dla informacji niejawnych Opracowanie założeń i koncepcji systemu uwzględniających wymogi prawa i mechanizmy bezpieczeństwa (w tym mechanizmy krytyczne) - Szablon SWB Uzgodnienia koncepcji z właściwymi służbami (np. ABW) Wykonanie szczegółowego projektu technicznego zapewniającego pokrycie wszystkich krytycznych mechanizmów bezpieczeństwa Wdrożenie systemu z uwzględnieniem bezpiecznego środowiska pracy Opracowanie dokumentacji systemu Opracowanie dokumentów wymaganych przez UOIN (szczególne wymagania bezpieczeństwa (SWB) oraz procedury bezpiecznej eksploatacji (PBE).

Podsumowanie Wykorzystując połączenie rozwiązań i technologii firmy IBM oraz firmy MALKOM przy budowie platformy do wymiany informacji w systemach objętych tajemnicą służbową osiąga się następujące elementy: Zgodność rozwiązania z polskim ustawodawstwem Zgodność rozwiązania ze standardami europejskimi Zgodność rozwiązanie z obowiązującymi normami branżowymi i standardami de-facto Lokalne wsparcie na terenie polski przez personel posiadający niezbędne poświadczenia bezpieczeństwa Dostęp do dokumentacji w języku polskim Dostęp do szkoleń w języku polskim Dostępu do uaktualnień oprogramowania zmieniającego się w raz polskim ustawodawstwem.

Pytania i odpowiedzi

Zakończenie Dziękuję za uwagę www.malkom.pl