Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałMiłosław Siemieniec Został zmieniony 11 lat temu
1
Czerwiec 2007 Koncepcja budowy platformy do wymiany informacji objętych tajemnicą służbową w oparciu o LotusNotes i produkty firmy MALKOM
2
Platforma i technologie Mechanizmy krytyczne Strategia wdrażania
Agenda Ustawodawstwo Platforma i technologie Mechanizmy krytyczne Strategia wdrażania
3
Ustawodawstwo - UoOIN USTAWA z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz.U Nr 11 poz. 95) Art. 60. 1. Systemy i sieci teleinformatyczne, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego przez służby ochrony państwa. 3. Urządzenia i narzędzia kryptograficzne, służące do ochrony informacji niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową oznaczonych klauzulą „poufne”, podlegają badaniom i certyfikacji prowadzonym przez służby ochrony państwa.
4
Rozporządzenie do UoOIN
ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego § 3. 1. Bezpieczeństwo teleinformatyczne zapewnia się, chroniąc informacje przetwarzane w systemach i sieciach teleinformatycznych przed utratą właściwości gwarantujących to bezpieczeństwo, w szczególności przed utratą poufności, dostępności i integralności. § 4. Za właściwą organizację bezpieczeństwa teleinformatycznego odpowiada kierownik jednostki organizacyjnej, który w szczególności: 1) realizuje ochronę fizyczną, elektromagnetyczną i kryptograficzną systemu lub sieci teleinformatycznej;
5
Rozporządzenie do UoOIN
ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego § 7. Ochrona kryptograficzna informacji niejawnych przetwarzanych w systemie lub sieci teleinformatycznej polega na zastosowaniu mechanizmów gwarantujących ich poufność, integralność oraz uwierzytelnienie. Ochronę kryptograficzną stosuje się przy przekazywaniu informacji niejawnych w formie transmisji poza strefę kontrolowanego dostępu. Przekazywanie informacji niejawnych utrwalonych na elektronicznych nośnikach danych poza strefę kontrolowanego dostępu odbywa się z zapewnieniem, odpowiedniej do klauzuli tajności tych informacji, ochrony kryptograficznej lub po spełnieniu wymagań, o których mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów, w celu ich zabezpieczenia przed nieuprawnionym ujawnieniem, utratą, uszkodzeniem lub zniszczeniem.
6
Rozporządzenie do UoOIN - SWB
Sposób opracowywania dokumentacji bezpieczeństwa teleinformatycznego § 12. Dokumenty szczególnych wymagań bezpieczeństwa opracowuje się po przeprowadzeniu szacowania ryzyka dla informacji niejawnych, które mają być przetwarzane w danym systemie lub sieci teleinformatycznej, z uwzględnieniem warunków charakterystycznych dla jednostki organizacyjnej. § 13. 1. Przy opracowaniu szczególnych wymagań bezpieczeństwa systemu lub sieci teleinformatycznej uwzględnia się w szczególności dane o budowie oraz charakterystykę systemu lub sieci teleinformatycznej. 2. Dane o budowie systemu lub sieci teleinformatycznej obejmują dane dotyczące elementów wchodzących w skład tego systemu lub sieci w zakresie: 1) lokalizacji; 2) typu wykorzystywanych urządzeń oraz oprogramowania; 3) sposobu realizowania połączeń wewnętrznych oraz zewnętrznych; 4) konfiguracji sprzętowej i ustawień mechanizmów zabezpieczających; 5) środowiska eksploatacji.
7
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Ustawodawstwo - UoODO Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. ( Dz.U nr 133 poz. 883) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U nr 100 poz. 1024)
8
Rozporządzenie do UoODO
§ Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: 1) podstawowy; 2) podwyższony; 3) wysoki. § Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczna. § Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia. Załącznik do rozporządzenia: C. Środki bezpieczeństwa na poziomie wysokim XIII Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.
9
Inne ustawy krajowe Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U nr 130 poz. 1450) Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U nr 64 poz. 565)
10
Ustawodawstwo Europejskie
DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 1999 on a Community framework for electronic signatures CWA Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements CWA Architecture for a European interoperable eID system within a smart card infrastructure
11
Platforma i technologie (1)
IBM Lotus Domino i LotusNotes MALKOM QR-CERT Technologie: MALKOM Sec.QR MCL Development Suite MALKOM Sec.QR Audit Framework
12
QR-CERT Najważniejsze funkcje realizowane przez pakiet oprogramowania QR-CERT: Wydawanie certyfikatów cyfrowych zgodnych ze standardem X.509 Wydawanie i publikacja list certyfikatów unieważnionych (CRL) Unieważnianie i zawieszanie certyfikatów cyfrowych Personalizacja masowa i indywidualna kart mikroprocesorowych Zarządzanie cyklem życia kart w systemie Archiwizacja kluczy (opcja) Obsługa przy pomocy zdalnych punktów rejestracji (opcja) Usługa weryfikacji statusu certyfikatu w czasie rzeczywistym (OCSP) zgodna ze standardem RFC2560 (opcja) Usługa znacznika czasu (TSA) zgodna ze standardem RFC3161 (opcja)
13
Sec.QR-MCL Development Suite
Najważniejsze funkcje realizowane przez pakiet oprogramowania Sec.QR MCL Development Suite: Gotowy zestaw narzędzi i bibliotek programistycznych wykorzystujących kryptografię, przeznaczony do budowy bezpiecznych aplikacji z wykorzystaniem środków ochrony kryptograficznej. Prosta, modułowa, skalowalna architektura. Zestaw funkcjonalności do zabezpieczenia informacji w całym cyklu życia (od wytworzenia, przez utrzymywanie i przetwarzanie w systemie oraz backup do momentu archiwizacji włącznie). Wsparcie dla wielu platform: np. Windows, Linux, AIX, HP-UX, SOLARIS. Wsparcie dla modułów sprzętowej ochrony materiału kryptograficznego. Uwzględnia specyficzne wymagania polskiego ustawodawstwa. Lokalne wsparcie (wytworzone w całości i wspierane w Polsce). Autorskie rozwiązanie firmy MALKOM.
14
Sec.QR-AF Audit Framework
Najważniejsze funkcje realizowane przez pakiet oprogramowania Sec.QR-AF Audit Framework: Gotowy zestaw narzędzi i bibliotek programistycznych wykorzystujących kryptografię, przeznaczony do budowy zaufanego repozytorium rejestrów. Przygotowany do współpracy z precyzyjnymi wzorcami czasu Prosta, modułowa, skalowalna architektura. Zestaw funkcjonalności do obsługi rejestracji, potwierdzania rejestracji i udostępniania rejestrów na żądanie. Wsparcie dla wielu platform: Windows, Linux, AIX, HP-UX, SOLARIS. Wsparcie dla modułów sprzętowej ochrony materiału kryptograficznego. Uwzględnia specyficzne wymagania polskiego ustawodawstwa. Lokalne wsparcie (wytworzone w całości i wspierane w Polsce). Autorskie rozwiązanie firmy MALKOM.
15
Sec.QR-AF Audit Framework
16
Sec.QR-AF VIEW
17
Mechanizmy krytyczne Mechanizmy krytyczne zaimplementowane w systemie to takie, których błędne działanie lub przełamanie spowoduje utratę poufności lub integralności lub rozliczalności danych. Do podstawowych mechanizmów krytycznych można zaliczyć: Kontrola dostępu (funkcje uwierzytelnienia i autoryzacji w systemie Szyfrowanie (mechanizmy zabezpieczenia poufności danych) Podpis elektroniczny (zapewnienie integralności danych i rozliczalności źródła pochodzenia) Rejestrowanie zdarzeń (rozliczalność wykonanych w systemie operacji i możliwość przeprowadzenia audytu) Inne mechanizmy zabezpieczające
18
Modele wymiany informacji
Przy implementacji systemu można rozważyć kilka modeli wymiany informacji: Model End-to-End - tylko nadawca i wskazani przy tworzeniu dokumentu odbiorcy są upoważnieni do zapoznania się z treścią wiadomości. W modelu tym nigdzie na drodze transmisji nie jest możliwe przetwarzanie informacji w postaci jawnej. Tylko nadawca ma możliwość decydowania kto będzie mógł zapoznać się z przesyłanymi danymi. Model Klient-Serwer - dane są wytwarzane i przesyłane przez użytkowników do współdzielonego zaufanego systemu. We wspólnym systemie dane przetwarzane są w postaci jawnej. Uprawnienia nadane użytkownikowi w systemie decydują do jakich zakresów danych będzie miał on dostęp. Model Hybrydowy - model w którym występują oba powyższe warianty.
19
Model End-to-End
20
Implementacja modelu End-to-End
21
Model Klient-Serwer
22
Implementacja modelu Klient-Serwer
23
Strategia wdrażania Ważne etapy przy wdrażaniu systemu:
Szacowanie ryzyka dla informacji niejawnych Opracowanie założeń i koncepcji systemu uwzględniających wymogi prawa i mechanizmy bezpieczeństwa (w tym mechanizmy krytyczne) - Szablon SWB Uzgodnienia koncepcji z właściwymi służbami (np. ABW) Wykonanie szczegółowego projektu technicznego zapewniającego pokrycie wszystkich krytycznych mechanizmów bezpieczeństwa Wdrożenie systemu z uwzględnieniem bezpiecznego środowiska pracy Opracowanie dokumentacji systemu Opracowanie dokumentów wymaganych przez UOIN (szczególne wymagania bezpieczeństwa (SWB) oraz procedury bezpiecznej eksploatacji (PBE).
24
Podsumowanie Wykorzystując połączenie rozwiązań i technologii firmy IBM oraz firmy MALKOM przy budowie platformy do wymiany informacji w systemach objętych tajemnicą służbową osiąga się następujące elementy: Zgodność rozwiązania z polskim ustawodawstwem Zgodność rozwiązania ze standardami europejskimi Zgodność rozwiązanie z obowiązującymi normami branżowymi i standardami de-facto Lokalne wsparcie na terenie polski przez personel posiadający niezbędne poświadczenia bezpieczeństwa Dostęp do dokumentacji w języku polskim Dostęp do szkoleń w języku polskim Dostępu do uaktualnień oprogramowania zmieniającego się w raz polskim ustawodawstwem.
25
Pytania i odpowiedzi
26
Zakończenie Dziękuję za uwagę
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.