Bezpečné používání Datových schránek

1. IT ADVISORY Bezpečné používání Datových schránek Jan Krob Security World 2009, 6. října 2009 ADVISORY

2. Úvod • Informační systém Datových schránek • ISDS je prezentován jako systém s řadou zajímavých vlastností v oblasti elektronizace oběhu dokumentů • Většina společností bude ISDS v „jisté míře“ používat díky politice jeho nasazení • Implementace ISDS do procesů a IT společnosti, ale přináší nové typy hrozeb (rizik) s významným dopadem, na které je potřeba správně reagovat • Cíl této prezentace • Poukázat obecně na hlavní bezpečnostní aspekty implementace ISDS • Krátce zmínit specifika elektronizace fakturace • Nabídnout správný sled kroků a rozhodnutí pro úspěšnou a bezpečnou implementaci ISDS

3. Bezpečné používání ISDS • Funkce IS pro oběh a ukládání elektronických dokumentů • Přijímat a zpracovávat ISDS zprávy • Ukládat, archivovat ISDS zprávy a dokumenty • Vytvářet a posílat ISDS zprávy • Co vlastně je potřeba chránit? • ISDS zprávy a dokumenty • ISDS autentizační prostředky • Podpisové certifikáty

4. Bezpečnostní aspekty implementace ISDS do procesů a IS společnosti I • 1. Přijímat ISDS zprávy • Ochrana autentizačních prostředků (hesla, přístupové certifikáty) • Ochrana počítačového prostředí klienta ISDS • Pravidla, postupy a směrnice • Manipulace se schránkou • Hierarchie osob v ISDS (primárně oprávněná osoba, administrátor, pověřená osoba) • Oddělení odpovědností osob/rolí • 2. Zpracovávat přijaté ISDS zprávy • Ochrana zpráv/dokumentů v počítačovém prostředí (PC, LAN, souborové servery, další systémy) • Pravidla, postupy a směrnice • Pravidla distribuce a zpracování zpráv, dokumentů

5. Bezpečnostní aspekty implementace ISDS do procesů a IS společnosti II • 3. Ukládat a archivovat ISDS zprávy a dokumenty • Zajištění ochrany všech potřebných atributů zpráv a dokumentů v požadované době • Reflektovat legislativní požadavky • Dokumenty, zprávy, Elektronický podpis, časová značka • Zajištění časové kontinuity i po skončení platnosti certifikátů • Zabezpečení úložiště (elektronického archivu) • Pravidla, postupy a směrnice • Práce s elektronickým archivem

6. Bezpečnostní aspekty implementace ISDS do procesů a IS společnosti III • 4. Vytvářet dokumenty • Ochrana zpráv v počítačovém prostředí (PC, LAN, souborové servery, další systémy) • Ochrana podpisových certifikátů • Pravidla, postupy a směrnice • Úprava pravidel podepisování • 5. Posílat ISDS zprávy • Ochrana autentizačních prostředků (hesla, přístupové certifikáty) • Ochrana počítačového prostředí klienta ISDS • Pravidla, postupy a směrnice • Manipulace se schránkou

7. Specifické aspekty v elektronické fakturaci • Specifické aspekty pro elektronizaci fakturace • Legislativní požadavky na zpracování elektronických dokladů (výběr) • Věrohodnost původu dokladu • Neporušitelnost obsahu dokladu • Čitelnost dokladu • Archivace elektronického dokladu musí být elektronická • Specifické body, které je potřeba respektovat při řešení elektronizace faktur • Struktura, náležitosti a technická forma dokladu a nutnost dohody obou stran • Povinnost potvrzení příjmu dokladu druhou stranou (dobropisy) • Přeshraniční elektronickou fakturaci • Fakturace za jinou právnickou/fyzickou osobu • Opravy a storna daňových dokladů • Archivaci elektronických faktur vydaných i přijatých • ... a další specifické potřeby konkrétní společnosti v oběhu faktur

8. Kroky implementace ISDS • Na co tedy nezapomenout, jak postupovat 1. Analyzovat možnosti a rozhodnout se o rozsahu využití ISDS, cost-benefit analýza 2. Analyzovat relevantní firemní procesy 2. Analyzovat bezpečnost (nová informační aktiva a hrozby) • Identifikovat a řídit rizika, stanovit bezpečnostní opatření • Zajistit důvěrnost, integritu, dostupnost a nepopiratelnost 3. Navrhnout řešení • V oblasti firemních procesů a jejich IT podpory • Neztratit u dokumentů aspekty nepopiratelnosti a integrity • Zajistit je také v průběhu požadovaného času uložení • Zabezpečit relevantní IT komponenty (řídit rizika)

9. Kroky implementace ISDS II • Na co tedy nezapomenout, jak postupovat 4. Nastavit provozní pravidla, postupy a směrnice • Manipulace se schránkou • Manipulace se zprávami a dokumenty • Manipulace s autentizačními prostředky • Pravidla podepisování • Manipulace s podpisovými certifikáty • ... další potřebné, např. dokumentace oběhu faktur 4. Implementovat řešení 5. Prověřit správnost řešení jako celku

10. Shrnutí • Závěrečné body shrnutí • K implementaci ISDS postupovat komplexně a s rozvahou • Při analýze nezapomenout na procesy oběhu a zpracování dokumentů • Vnímat legislativu tam, kde je to nutné • Nepodceňovat nová rizika, která implementace přináší • Při rozhodování o rozsahu implementace vnímat přínosy i náklady • Prověřit řešení před spuštěním do provozu • Dotazy?

11. The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavour to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. Informace zde obsažené jsou obecného charakteru a nejsou určeny k řešení situace konkrétní osoby či subjektu. Ačkoliv se snažíme zajistit, aby poskytované informace byly přesné a aktuální, nelze zaručit, že budou odpovídat skutečnosti k datu, ke kterému jsou doručeny, či že budou platné i v budoucnosti. Bez důkladného prošetření konkrétní situace a řádné odborné konzultace by neměla na základě těchto informací být činěna žádná opatření. Mgr. Jan Krob, CISAKPMG Česká republika+420 222 123 965jkrob@kpmg.czwww.kpmg.cz