1 / 29

Komplexní řešení bezpečnosti informací rezortu zdravotnictví

Komplexní řešení bezpečnosti informací rezortu zdravotnictví. Jaroslav Šustr, ICZ a. s. 29.11.2010. BVZ. UI. KBD. BKI. ISMS. I AM. Bezpečná výpočetní základna. Metodika pro implementaci sítí založených na Microsoft Windows a Active Directory

natalie-lara
Download Presentation

Komplexní řešení bezpečnosti informací rezortu zdravotnictví

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Komplexní řešení bezpečnosti informací rezortu zdravotnictví Jaroslav Šustr, ICZ a. s. 29.11.2010

  2. BVZ UI

  3. KBD BKI

  4. ISMS IAM

  5. Bezpečná výpočetní základna • Metodika pro implementaci sítí založených na Microsoft Windowsa Active Directory • Infrastruktura pro provoz informačních systémů, která poskytuje prostředky pro řízení přístupu k aktivům podle norem • Bezpečnostní politika organizace • ČSN ISO/IEC 27001 a ČSN ISO/IEC 17799 • Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti

  6. Začlenění BVZ do infrastruktury ICT

  7. Bezpečná výpočetní základna • Součásti BVZ • Návrh bezpečnostní architektury • Infrastrukturní síťové služby • Operační systémy Windows • Adresářové služby Active Directory • Síťové uživatelské prostředí • Zabezpečení strategických dat • PKI pro podporu služeb BVZ • Bezpečnostní aktualizace • Správa serverů a stanic • Kancelářské prostředí Office a Exchange • Spolupráce při zprovoznění IS v prostředí BVZ

  8. Architektura infrastruktury Logická topologie – les a domény Fyzická topologie – lokality a propojení

  9. Cíle BVZ • Integrace organizací do jednoho lesa AD • Centralizovaná i decentralizovaná správa • Zjednodušení správy prostředí • Jeden společný globální katalog – adres list • Možnost budovat centrální aplikace pro resort • Prosazení bezpečnostních politik do technologie • Zvýšení bezpečnosti a rozšíření funkcionality použitím aktuálních verzí sw • Podpora životního cyklu počítačů

  10. Koncepce řešení UI Pro stanovení konceptu bude proveden průzkum s cílem shromáždit požadavky na skutečný rozsah a funkcionalitu systémů na zpracování UI v resortu Průzkum v oblastech: Identifikovat organizace rezortu, které mají nakládání s UI ve své působnosti Ověřit požadavky na potřebnou techniku Ověřit skutečné provozní potřeby zpracování UI Ověřit záměr navázat na stávající IS MZ-SP-T Koncepce řešení počítá s následujícími postupy: Bezpečnostní správu ISů provádět pracovníky MZ Dodavatelsky zajistit- Podporu v oblasti řízení schvalovacího procesu - Pro zajištění provozu dodávat služby HotLine

  11. Koncepce řešení UI pokračování UI zpracovávat na samostatných počítačích na pracovištích zpracování UI. Tato pracoviště zřizovat jen u těch organizací rezortu, které mají nakládání s UI ve své působnosti, potřebují je zpracovávat v elektronické formě a s takovou frekvencí a rozsahem, který ospravedlňuje vynaložené náklady. Při velmi nízké potřebě zpracovávat UI na pracovišti nadřízené organizace/ministerstva Bezpečnostní správu systémů provádět pracovníky, které jmenuje MZ resp. organizace resortu MZ z řad svých zaměstnanců. Rovněž zajištění fyzické bezpečnosti pracovišť IS, personální bezpečnost uživatelů IS a administrativní bezpečnost budou v působnosti MZ

  12. Zpracování UI Vyhrazené a Důvěrné Pro zpracování UI stupně utajení Vyhrazené a stupně utajení Důvěrné vytvořit jeden IS MZ-SP, jehož hlavním provozovatelem je MZ ČR, a má až 20 pracovišť na místech, které určí hlavní provozovatel. Řešení s užitím samostatných počítačů (notebooků), nutno vyhovět požadavkům na ochranu proti kompromitujícímu vyzařování Soupravy počítačů pro zpracování UI musí být převedeny do majetku MZ Zpracovávány a uchovávány budou dokumenty ke komunikaci se subjekty státní správy dokumenty krizového plánování dokumenty obsahujících UI souvisící s náplní práce provozující organizace bezpečnostní dokumentace projektů a systémů

  13. Cíle projektu Bezpečná komunikační infrastruktura (BKI) • Sjednocení způsobu zabezpečení komunikační infrastruktury (technické prostředky, technologie ...) • Sjednocení konceptu Managed Security Services (procesy kontinuálního řízení zabezpečení ...) • Sjednocení bezpečnostních politik (přístupy na zařízení, pravidla pro filtrování provozu ...) • Sjednocení auditních metodik a postupů (rozsah a postup penetračního testování ...)

  14. BKI - Sjednocení způsobu zabezpečení komunikační infrastruktury • Návrh architektury a koncept cílových systémů určených pro navýšení zabezpečení komunikační infrastruktury: • Firewally • Intrusion detection/prevention systémy (IDS/IPS) • Email a Web security systémy • Content filtering systémy • Virtuální privátní sítě (VPN) • Zabezpečení komunikační infrastruktury jednotlivých subsystémů (Wireless LAN ...) • Systémy pro řízení přístupu do sítě (802.1x, NAC ...)

  15. BKI - Sjednocení konceptu Managed Security Services • Sběr informací • Analýza a korelace • Audit – prověření zranitelností , penetrační testování • Aplikace nových opatření do bezpečnostních politik

  16. BKI - Sjednocení bezpečnostních politik a auditních metodik • Analýza současných a návrh jednotných politik • Politika přístupu na zařízení • Politika pro vytváření filtračních pravidel • Audit • Rozsah, četnost a pravidlenost prováděných penetračních testů • Auditování vybraných OS a web.aplikací (LAMP)

  17. Zavedení bezpečnostní politiky a systému řízení bezpečnosti ICT (ISMS) • Cíl: Sjednotit a zlepšit řízení bezpečnosti ICT v rezortu a tím • zlepšit bezpečnost • zvýšit efektivitu použitých zdrojů

  18. ISMS – Cílový stav Přístup k zajištění bezpečnosti ICT ve všech organizacích metodicky sjednocen a koordinován Řízení bezpečnosti ICT v organizacích vychází z ČSN ISO/IEC 27001 Bezpečnostní opatření v každé organizaci přizpůsobena konkrétní situaci – řízení rizik Udržování bezpečnosti a reakce na změny zajištěny soustavným zlepšováním a opakováním cyklů Vybraná bezpečnostní opatření jsou implementována centrálně Minimální úroveň bezpečnosti napříč všemi organizacemi 18

  19. ISMS – Cílový stav MZ stanovuje politiku řízení bezpečnosti ICT rezortu postupy a metody řízení bezpečnosti, řízení rizik atd. minimální úroveň bezpečnosti Jednotlivé organizace zajišťují hodnocení rizik a rozhodnutí o zvládání rizik bezpečnosti ICT implementaci bezpečnostních opatření monitorování, kontrolu, interní audity informování o stavu bezpečnosti MZ a KŘB ICT MZ nebo Komise pro řízení bezpečnosti ICT vyhodnocuje informace z organizací doporučuje další postup a změny postupů a metod řízení bezpečnosti, hodnocení a řízení rizik, minimální úrovně bezpečnosti 19

  20. ISMS – Cílový stav 20

  21. ISMS – Rozsah prací Pro rezort Koncepce řízení bezpečnosti ICT Politika řízení bezpečnosti ICT Zjištění stávajícího stavu Konzultace k požadavkům na organizace V každé organizaci Návrh politiky systému řízení bezpečnosti ICT Návrh řídících struktur bezpečnosti ICT Analýza rizik Výběr z variant zvládání rizik a možných opatření Zavádění vybraných opatření První provedení interních auditů Podpora při prvním přezkoumání ISMS vedením 21

  22. Správa identit a řízení přístupu (IAM) • Předpokládaný cílový stav • Jeden centralizovaný systém (centralizovaná databáze uživatelů) spravující uživatelské identity v následujících systémech • Systémy uvedené v nabídce • Bezpečná výpočetní základna (Microsoft Active Directory – adresářové služby pro správu operačních systémů Microsoft Windows) • Systém elektronické pošty (Exchange) • Provozní informační systém rezortu zdravotnictví (jeden centrální) • Další systémy identifikované v rámci projektu (výhledově) • LDAP KSRZIS, LDAP SUKL, … • Docházkové systémy a systémy objektové bezpečnosti (řízení přístupů)

  23. Správa identit a řízení přístupu (IAM) • Předpokládaný cílový stav (pokračování) • Primárním zdrojem dat o uživatelích bude centralizovaný modul lidských zdrojů Provozního informačního systému rezortu zdravotnictví • V průběhu analýzy bude nutné identifkovat potřebu a formu „sekundárního zdroje“. • Funkcionalita • jednotná, automatizovaná a auditovatelná správa uživatelských účtů • správa přihlašovacích údajů – hesel (a případně certifikátů) • podpora správy čipových karet na 21 pracovištích; kontaktní část bude použita pro ukládání klíčů a certifikátů

  24. Správa identit a řízení přístupu (IAM) • Předpokládaný cílový stav (pokračování) • Řešení bude spolupracovat s centrální PKI autoritou vybudovanou v rámci dodávky řešení. • Informace z auditu uživatelů budou předávány do systému řešení kontinuálního bezpečnostního dohledu. • Předpokládané technologie • CA Identity Manager • CA Role Manager Systém • iCMS (ICZ Card Management System)

  25. Správa identit a řízení přístupu (IAM)

  26. Kontinuální bezpečnostní dohled (KBD)

  27. Kontinuální bezpečnostní dohled (KBD) • Dodávané technologie • CA Enterprise Log Manager (CA ELM) • Výkonný sběr auditních hlášení • Efektivní komprese logů a archivace • Prohledávání • Automatické aktualizace • Integrace s ostatními bezpečnostními produkty • Podpora mnoha formátů logů

  28. Kontinuální bezpečnostní dohled (KBD)

  29. Děkuji za vaši pozornost Jaroslav Šustr Jaroslav.Sustr@i.cz +420 724 429 916 S.ICZ a.s. Bezpečnost www.i.cz

More Related