1 / 26

malkom.pl

Czerwiec 2007. Koncepcja budowy platformy do wymiany informacji objętych tajemnicą służbową w oparciu o LotusNotes i produkty firmy MALKOM. www.malkom.pl. Agenda. Ustawodawstwo Platforma i technologie Mechanizmy krytyczne Strategia wdrażania. Ustawodawstwo - UoOIN.

isaura
Download Presentation

malkom.pl

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Czerwiec 2007 Koncepcja budowy platformy do wymiany informacji objętych tajemnicą służbową w oparciu o LotusNotes i produkty firmy MALKOM www.malkom.pl

  2. Agenda • Ustawodawstwo • Platforma i technologie • Mechanizmy krytyczne • Strategia wdrażania

  3. Ustawodawstwo - UoOIN USTAWA z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz.U. 1999 Nr 11 poz. 95) Art. 60. 1. Systemy i sieci teleinformatyczne, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego przez służby ochrony państwa. 3. Urządzenia i narzędzia kryptograficzne, służące do ochrony informacji niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową oznaczonych klauzulą „poufne”, podlegają badaniom i certyfikacji prowadzonym przez służby ochrony państwa.

  4. Rozporządzenie do UoOIN ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego § 3. 1. Bezpieczeństwo teleinformatyczne zapewnia się, chroniąc informacje przetwarzane w systemach i sieciach teleinformatycznych przed utratą właściwości gwarantujących to bezpieczeństwo, w szczególności przed utratą poufności, dostępności i integralności. § 4. Za właściwą organizację bezpieczeństwa teleinformatycznego odpowiada kierownik jednostki organizacyjnej, który w szczególności: 1) realizuje ochronę fizyczną, elektromagnetyczną i kryptograficzną systemu lub sieci teleinformatycznej;

  5. Rozporządzenie do UoOIN • ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego • § 7. • Ochrona kryptograficzna informacji niejawnych przetwarzanych w systemie lub sieci teleinformatycznej polega na zastosowaniu mechanizmów gwarantujących ich poufność, integralność oraz uwierzytelnienie. • Ochronę kryptograficzną stosuje się przy przekazywaniu informacji niejawnych w formie transmisji poza strefę kontrolowanego dostępu. • Przekazywanie informacji niejawnych utrwalonych na elektronicznych nośnikach danych poza strefę kontrolowanego dostępu odbywa się z zapewnieniem, odpowiedniej do klauzuli tajności tych informacji, ochrony kryptograficznej lub po spełnieniu wymagań, o których mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów, w celu ich zabezpieczenia przed nieuprawnionym ujawnieniem, utratą, uszkodzeniem lub zniszczeniem.

  6. Rozporządzenie do UoOIN - SWB • Sposób opracowywania dokumentacji bezpieczeństwa teleinformatycznego • § 12. • Dokumenty szczególnych wymagań bezpieczeństwa opracowuje się po przeprowadzeniu szacowania ryzyka dla informacji niejawnych, które mają być przetwarzane w danym systemie lub sieci teleinformatycznej, z uwzględnieniem warunków charakterystycznych dla jednostki organizacyjnej. • § 13. • 1. Przy opracowaniu szczególnych wymagań bezpieczeństwa systemu lub sieci teleinformatycznej uwzględnia się w szczególności dane o budowie oraz charakterystykę systemu lub sieci teleinformatycznej. • 2. Dane o budowie systemu lub sieci teleinformatycznej obejmują dane dotyczące elementów wchodzących w skład tego systemu lub sieci w zakresie: • 1) lokalizacji; • 2) typu wykorzystywanych urządzeń oraz oprogramowania; • 3) sposobu realizowania połączeń wewnętrznych oraz zewnętrznych; • 4) konfiguracji sprzętowej i ustawień mechanizmów zabezpieczających; • 5) środowiska eksploatacji.

  7. Ustawodawstwo - UoODO Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. ( Dz.U. 1997 nr 133 poz. 883) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024)

  8. Rozporządzenie do UoODO § 6. 1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: 1) podstawowy; 2) podwyższony; 3) wysoki. § 6. 4. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczna. § 6. 5. Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia. Załącznik do rozporządzenia: C. Środki bezpieczeństwa na poziomie wysokim XIII Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

  9. Inne ustawy krajowe • Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U. 2001 nr 130 poz. 1450) • Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. 2005 nr 64 poz. 565)

  10. Ustawodawstwo Europejskie • DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 1999 on a Community framework for electronic signatures • CWA 14167-1 Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 1: System Security Requirements • CWA 15264-1 Architecture for a European interoperable eID system within a smart card infrastructure

  11. Platforma i technologie (1) Platforma: • IBM Lotus Domino i LotusNotes • MALKOM QR-CERT Technologie: • MALKOM Sec.QR MCL Development Suite • MALKOM Sec.QR Audit Framework

  12. QR-CERT Najważniejsze funkcje realizowane przez pakiet oprogramowania QR-CERT: • Wydawanie certyfikatów cyfrowych zgodnych ze standardem X.509 • Wydawanie i publikacja list certyfikatów unieważnionych (CRL) • Unieważnianie i zawieszanie certyfikatów cyfrowych • Personalizacja masowa i indywidualna kart mikroprocesorowych • Zarządzanie cyklem życia kart w systemie • Archiwizacja kluczy (opcja) • Obsługa przy pomocy zdalnych punktów rejestracji (opcja) • Usługa weryfikacji statusu certyfikatu w czasie rzeczywistym (OCSP) zgodna ze standardem RFC2560 (opcja) • Usługa znacznika czasu (TSA) zgodna ze standardem RFC3161 (opcja)

  13. Sec.QR-MCL Development Suite Najważniejsze funkcje realizowane przez pakiet oprogramowania Sec.QR MCL Development Suite: • Gotowy zestaw narzędzi i bibliotek programistycznych wykorzystujących kryptografię, przeznaczony do budowy bezpiecznych aplikacji z wykorzystaniem środków ochrony kryptograficznej. • Prosta, modułowa, skalowalna architektura. • Zestaw funkcjonalności do zabezpieczenia informacji w całym cyklu życia (od wytworzenia, przez utrzymywanie i przetwarzanie w systemie oraz backup do momentu archiwizacji włącznie). • Wsparcie dla wielu platform: np. Windows, Linux, AIX, HP-UX, SOLARIS. • Wsparcie dla modułów sprzętowej ochrony materiału kryptograficznego. • Uwzględnia specyficzne wymagania polskiego ustawodawstwa. • Lokalne wsparcie (wytworzone w całości i wspierane w Polsce). • Autorskie rozwiązanie firmy MALKOM.

  14. Sec.QR-AF Audit Framework Najważniejsze funkcje realizowane przez pakiet oprogramowania Sec.QR-AF Audit Framework: • Gotowy zestaw narzędzi i bibliotek programistycznych wykorzystujących kryptografię, przeznaczony do budowy zaufanego repozytorium rejestrów. • Przygotowany do współpracy z precyzyjnymi wzorcami czasu • Prosta, modułowa, skalowalna architektura. • Zestaw funkcjonalności do obsługi rejestracji, potwierdzania rejestracji i udostępniania rejestrów na żądanie. • Wsparcie dla wielu platform: Windows, Linux, AIX, HP-UX, SOLARIS. • Wsparcie dla modułów sprzętowej ochrony materiału kryptograficznego. • Uwzględnia specyficzne wymagania polskiego ustawodawstwa. • Lokalne wsparcie (wytworzone w całości i wspierane w Polsce). • Autorskie rozwiązanie firmy MALKOM.

  15. Sec.QR-AF Audit Framework

  16. Sec.QR-AF VIEW

  17. Mechanizmy krytyczne Mechanizmy krytyczne zaimplementowane w systemie to takie, których błędne działanie lub przełamanie spowoduje utratę poufności lub integralności lub rozliczalności danych. Do podstawowych mechanizmów krytycznych można zaliczyć: • Kontrola dostępu (funkcje uwierzytelnienia i autoryzacji w systemie • Szyfrowanie (mechanizmy zabezpieczenia poufności danych) • Podpis elektroniczny (zapewnienie integralności danych i rozliczalności źródła pochodzenia) • Rejestrowanie zdarzeń (rozliczalność wykonanych w systemie operacji i możliwość przeprowadzenia audytu) • Inne mechanizmy zabezpieczające

  18. Modele wymiany informacji Przy implementacji systemu można rozważyć kilka modeli wymiany informacji: • Model End-to-End - tylko nadawca i wskazani przy tworzeniu dokumentu odbiorcy są upoważnieni do zapoznania się z treścią wiadomości. W modelu tym nigdzie na drodze transmisji nie jest możliwe przetwarzanie informacji w postaci jawnej. Tylko nadawca ma możliwość decydowania kto będzie mógł zapoznać się z przesyłanymi danymi. • Model Klient-Serwer - dane są wytwarzane i przesyłane przez użytkowników do współdzielonego zaufanego systemu. We wspólnym systemie dane przetwarzane są w postaci jawnej. Uprawnienia nadane użytkownikowi w systemie decydują do jakich zakresów danych będzie miał on dostęp. • Model Hybrydowy - model w którym występują oba powyższe warianty.

  19. Model End-to-End

  20. Implementacja modelu End-to-End

  21. Model Klient-Serwer

  22. Implementacja modelu Klient-Serwer

  23. Strategia wdrażania Ważne etapy przy wdrażaniu systemu: • Szacowanie ryzyka dla informacji niejawnych • Opracowanie założeń i koncepcji systemu uwzględniających wymogi prawa i mechanizmy bezpieczeństwa (w tym mechanizmy krytyczne) - Szablon SWB • Uzgodnienia koncepcji z właściwymi służbami (np. ABW) • Wykonanie szczegółowego projektu technicznego zapewniającego pokrycie wszystkich krytycznych mechanizmów bezpieczeństwa • Wdrożenie systemu z uwzględnieniem bezpiecznego środowiska pracy • Opracowanie dokumentacji systemu • Opracowanie dokumentów wymaganych przez UOIN (szczególne wymagania bezpieczeństwa (SWB) oraz procedury bezpiecznej eksploatacji (PBE).

  24. Podsumowanie Wykorzystując połączenie rozwiązań i technologii firmy IBM oraz firmy MALKOM przy budowie platformy do wymiany informacji w systemach objętych tajemnicą służbową osiąga się następujące elementy: • Zgodność rozwiązania z polskim ustawodawstwem • Zgodność rozwiązania ze standardami europejskimi • Zgodność rozwiązanie z obowiązującymi normami branżowymi i standardami de-facto • Lokalne wsparcie na terenie polski przez personel posiadający niezbędne poświadczenia bezpieczeństwa • Dostęp do dokumentacji w języku polskim • Dostęp do szkoleń w języku polskim • Dostępu do uaktualnień oprogramowania zmieniającego się w raz polskim ustawodawstwem.

  25. Pytania i odpowiedzi

  26. Zakończenie Dziękuję za uwagę www.malkom.pl

More Related