1 / 27

Datové schránky „ante portas“

Datové schránky „ante portas“. tak „Nepropadejte panice!“. Hlavní služby ISDS. Co systém je versus co systém není! Identifikace subjektů pro doručování Příjem a zaručené doručování zpráv Záznam veškeré manipulace se zprávami Dlouhodobá právní prokazatelnost

tia
Download Presentation

Datové schránky „ante portas“

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Datové schránky „ante portas“

  2. tak „Nepropadejte panice!“

  3. Hlavní služby ISDS • Co systém je versus co systém není! • Identifikace subjektů pro doručování • Příjem a zaručené doručování zpráv • Záznam veškeré manipulace se zprávami • Dlouhodobá právní prokazatelnost • Nepopiratelný institucionální archív • Důvěrnost, integrita a vysoká dostupnost

  4. Bezpečnostní koncept ISDS

  5. Kde se bezpečnost odehrává?

  6. Vnitřní bezpečnost ISDS • Důsledné oddělení rolí na všech úrovních • Formát datové zprávy obsahující metadata • Silné šifrování, nepřístupnost schránek • Dokonalá ochrana osobních údajů i obsahu • Časově neomezená prokazatelnost úkonů • Účinná opatření proti aplikačním útokům • Fyzická bezpečnost, personální opatření

  7. Formát datové zprávy • ZFO jako formát zprávy • Digitálně podepsaný, časovým razítkem označený, veřejný XML formát • K jeho ukládání slouží 602XML Filler plug-in • ZFO jako formát souboru • Souborový formát pro 602XML Form Server • De fakto ZIPované XML (proprietární formát společnosti Software 602)

  8. Archivace v datovém trezoru • Uživatel splňuje některou z následujících charakteristik: • Malý rozpočet, nezvládá archivační řešení • Preference provozních nákladů před investičními • Žádná nebo velmi jednoduchá lokální síť • Pouze základní vybavení technologií • Využívání externích IT kapacit • Typickým uživatelem datového trezoru je OSVČ, fyzická osoba, menší firma nebo menší OVM

  9. Takhle to u Vás asi nevypadá…

  10. A takhle bychom to jednou rádi…

  11. Tenký klient, proč plug-in? Účelem filleru není číst formuláře, ale především ukládat zprávy ve správném formátu pro „institucionální archivaci“

  12. Bezpečná architektura

  13. Definovaná rozhraní ISDS

  14. Přihlašování do ISDS

  15. Doporučené připojení k portálu • Použití komerčního certifikátu pro přístup • Uložení v technickém prostředku • Příklad: IronKey Personal S200 • HW šifrování AES 256-bitů • Kapacita až 16GB • Čtení 30MB/s – zápis 28MB/s • Vzdálená správa • Aktivní obrana proti kódům

  16. Doporučené připojení ESS/HSS • Vzdálená správa úložišť certifikátů • Zničení ukradených či ztracených • Připojení výlučně k podnikovým PC • Virtuální desktop pro vzdálené uživatele

  17. Antiphishingová opatření • Prokazujeme se systémovým certifikátem • E-mailové notifikace jsou podepsány • Notifikační servery mají nastaveno SPF • Připravujeme implementaci DNSSEC • Všechny zprávy mají vzor v dokumentaci • Informace o posledním přihlášení k systému • Vzdělávání uživatele (antiphishingová hra)

  18. Bezpečnost prohlížečů • Použití zvláštních technik ochrany cookie • Všechny bezpečnostní parametry cookie • Ochrana proti přihlašování se skriptem • Příprava k nasazení softwarové klávesnice • Portálové cookie nelze použít pro WS • Bezpečnostní opatření proti XSS, CSRF… • Digitálně podepsaný plug-in 602XML Filler

  19. Aplikace 3. stran • Základní požadavky na ESS/HSS a další: • Žádné ukládání přihlašovacích údajů (§9 Z) • Certifikáty v technických prostředcích (§2 V) • Doporučujeme použití standardního keystore • Vizuální kontrola při vkládání certifikátu • Šifrovaná komunikace aplikace s klientem • Design aplikace založený na analýze rizik • Zveřejnění zdrojového kódu klientské části

  20. Zajímavý tip pro Vás

  21. Odstranění rizika phishingu

  22. Žádné ukradené relace

  23. Eliminace M-i-M útoků

  24. Odstranění phishingové pošty • Reaguje na skutečnost, že všechny e-mailové notifikace ISDS jsou digitálně podepsány a odchozí server má nastaveno SPF: • Odstraní e-maily bez platného podpisu • Odstraní e-maily s jinou než definovanou trasou doručení (obálka vs. zpráva)

  25. Autoritativní DNS

  26. Kontakt Radek Smolík Bezpečnostní architekt +420 606 655 625 smolikr@e-trends.cz

More Related