Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Podobné dokumenty
Certifikační prováděcí směrnice

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Certifikační politika MERO ČR, a. s.

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

Archivace Elektronických Dokumentů

ZPRÁVA PRO UŽIVATELE

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

SMĚRNICE. Certifikační politika k certifikátu šifrování dat pro pracovníka PČS nebo externího uživatele PKI-PČS

Úložiště certifikátů pro vzdálené podepisování

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek

ING Public Key Infrastructure ING PKI Postup při vydávaní certifikátů. Verze 5.2 květen 2012

MFF UK Praha, 29. duben 2008

Zpráva pro uživatele TSA

Zpráva pro uživatele TSA

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

VYHLÁŠKA ze dne. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek

AUDIT STATEMENT REPORT POSTSIGNUM ROOT QCA

ZPRÁVA PRO UŽIVATELE

Elektronické záznamy, elektronické podpisy

SMĚRNICE. Certifikační politika k certifikátu pro elektronický podpis a ověření pracovníka PČS nebo externího uživatele PKI-PČS Číselná řada: 5/2006

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

Zpráva pro uživatele CA

Zpráva pro uživatele CA

Zpráva pro uživatele CA

194/2009 Sb. VYHLÁKA

Zpráva pro uživatele CA

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

AUDIT STATEMENT REPORT - I.CA ETSI ASSESSMENT 2018

Zpráva pro uživatele CA

Infrastruktura veřejných klíčů (PKI) v Komerční bance

Důležité otázky při výběru biometrické modality. Roman Cinkais, Jiří Vábek Wincor Nixdorf s.r.o.

OKsmart a správa karet v systému OKbase

ČÁST PRVNÍ OBECNÁ USTANOVENÍ

ZPRÁVA PRO UŽIVATELE

Zpráva pro uživatele CA

Digitální důvěra osnova přednášky

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

Zpráva pro uživatele CA

Verze: 1.4 Odpovídá: Jiří Hejl Datum: Utajení: Veřejný dokument

Certifikační autorita a uživatel. Bezpečné prostředí.

Prováděcí směrnice. vydávání časových razítek. První certifikační autorita, a.s. (algoritmus RSA) Verze 1.11

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Pedagogická fakulta Jihočeské univerzity České Budějovice katedra informatiky

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant

Jak na GDPR? Petr Mayer, duben 2017

Zpráva pro uživatele CA

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Příloha: Dodatečné informace, včetně přesného znění žádosti dodavatele o dodatečné informace

Problematika archivace elektronických dokumentů v CR a EU normy, standardy. M.Širl

NCA Prováděcí směrnice vydávání kvalifikovaných elektronických časových razítek systémem TSA

GDPR, eidas Procesní nebo technologický problém?

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20

Certifikační autorita PostSignum České pošty, s.p.

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Elektronický podpis. Marek Kumpošt Kamil Malinka

Elektronické záznamy, elektronické podpisy

Bezpečnostní normy a standardy KS - 6

1. Integrační koncept

Projekt 2 - Nejčastější chyby. Ing. Dominik Breitenbacher

Příloha č. 7. Politika vydávání kvalifikovaných časových razítek PostSignum TSA. Verze 1.3

Metodický list č.1. Vladimír Smejkal: Grada, 1999, ISBN (a další vydání)

Informatika / bezpečnost

Certifikační autorita v praxi

Certifikační politika kořenové kvalifikované certifikační autority (algoritmus RSA) je

Microsoft Windows Server System

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Evropská Unie a elektronický podpis. Legislativa a normy.

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Bezpečnostní politika společnosti synlab czech s.r.o.

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

Time-Stamp. protokol

1.05 Informační systémy a technologie

NOVÉ SLUŽBY CESNET PRO eidas. Jiří Bořík CESNET. konference e-infrastruktury CESNET 2019 Praha

Certifikační prováděcí směrnice

O2 a jeho komplexní řešení pro nařízení GDPR

Pokročilé Webové služby a Caché security. Š. Havlíček

Jan Hřídel Regional Sales Manager - Public Administration

Adobe Inteligentní elektronické dokumenty a jejich uplatnění v práci úřadu

Úvod do validace počítačových systémů Ing. Miroslav Mík. Obsah

Zkušenosti s budováním základního registru obyvatel

Politika vydávání. časových razítek. První certifikační autorita, a.s. (algoritmus RSA) Verze 1.01

General Data Protection Regulation (GDPR) Jak na to?

Politika PostSignum Qualified CA pro vydávání kvalifikovaných prostředků pro vytváření elektronických pečetí

1.05 Informační systémy a technologie

Koncepce rozvoje ICT ve státní a veřejné správě. Koncepce rozvoje ICT ve státní a veřejné správě (materiál pro jednání tripartity)

Centrální přístupový bod k informačním zdrojům resortu Ministerstva zemědělství Portál MZe a Portál eagri

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Programové vybavení OKsmart pro využití čipových karet

Certifikační autorita EET. Veřejný souhrn certifikační politiky

Nasazení CA Role & Compliance Manager

CS OTE. Dokumentace pro externí uživatele

Zpráva pro uživatele TSA

Česká pošta, s.p. Certifikační autorita PostSignum

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Transkript:

Zavádění PKI infrastruktury v organizaci - procesní aspekty Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Agenda Zavádění PKI v organizaci úvod Proč je procesní bezpečnost někdy náročnější než technická? Bezpečnostní standardy PKI Které normy v oblasti PKI můžeme využít? Procesy zavádění PKI v organizaci Na jaké kroky bychom určitě neměli zapomenout? Nejčastější problémy z praxe Na co si dát při zavádění PKI pozor?

Zavádění PKI v organizaci - úvod Technická vs. Procesní náročnost zavádění PKI Vybudování PKI infrastruktury nám automaticky neřeší problémy Použití certifikátů v uživatelských aplikacích Začlenění správy životního cyklu certifikátů mezi ostatní IT procesy dané organizace Uživatelská přívětivost v použití certifikátů Velké nároky na procesní bezpečnost při zavádění i provozu PKI

Bezpečnostní standardy PKI Existuje řada mezinárodních norem v oblasti PKI ETSI TS 101 456 - Policy requirements for certification authorities issuing qualified certificates ETSI TS 102 042 - Policy requirements for certification authorities issuing public key certificates CWA 14167-1 - Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures WebTrust for Certificate Authorities ISO 21188:2006 - Public Key Infrastructure for financial services -- Practices and policy framework

Procesy zavádění PKI I. Definice bezpečnostních služeb PKI II. Kategorizace uživatelů a bezpečnostní role III. Návrh technického řešení PKI IV. Stanovení bezpečnostních požadavků na PKI V. Stanovení požadavků na životní cyklus certifikátů VI. Instalace PKI a ceremoniál generování kryptografických klíčů CA VII. Školení koncových uživatelů

Procesy zavádění PKI I. I. Definice bezpečnostních služeb PKI Které služby PKI v naší organizaci potřebujeme? elektronický podpis e-mailů, šífrování e-mailů, autentizace technických zařízení, šifrování datových úložišť, atd. Jaké aplikace bude PKI podporovat? E-mail Přístupový systém Požadavky na poskytované PKI služby (certifikáty) by měly vždy vyplývat z řídící dokumentace organizace v oblasti klasifikace dat!

Procesy zavádění PKI II. II. Kategorizace uživatelů a bezpečnostní role Kdo bude poskytované PKI služby v naší organizaci používat? Interní zaměstnanci (všichni zaměstnanci vs. vybrané skupiny uživatelů) Externí subjekty (problémy se vzdálenou identifikací a autentizací, bezpečné předání žádosti o certifikát, atd.) Technické zařízení (je potřeba určit vlastníky těchto zařízení) Kdo bude zastávat jednotlivé bezpečnostní role v rámci PKI? Je třeba obsadit technické a procesní bezpečnostní role PKI (Bezpečnostní úředník PKI, Administrátor CA, Správce certifikátů, Auditor CA, atd.) Požadavky SOD (Segregation Of Duties)

Procesy zavádění PKI III. III. Návrh technického řešení PKI Volba technologie PKI Microsoft Certification Authority VS. Jiné řešení Návrh architektury PKI Jedno, dvou, tří vrstvá architektura CA Napojení PKI na další ICT systémy (LDAP, webové rozhraní, card management system, HSM, atd.) Návrh úložišť kryptografických klíčů Uložení soukromých klíčů CA (HSM, souborový systém) Uložení soukromých klíčů uživatelů (souborový systém, chipové karty, USB token,..)

Procesy zavádění PKI IV. IV. Stanovení bezpečnostních požadavků na PKI (Systémová bezpečnostní politika CA) Parametry kryptografických klíčů a použitých algoritmů Personální bezpečnost (bezpečnostní role, SOD) Uložení soukromých klíčů CA a soukromých klíčů uživatelů Řízení přístupu Síťová bezpečnost Zajištění dostupnosti PKI infrastruktury a PKI služeb Zálohování a obnova dat a soukromých klíčů Fyzická a environmentální bezpečnost PKI

Procesy zavádění PKI V. V. Stanovení požadavků na životní cyklus certifikátů a kryptografických klíčů Certifikační politika (CP) Certifikační prováděcí směrnice (CPS) Struktura CP, CPS např. dle RFC 3647 Revokace certifikátu Vydání následného certifikátu Žádost o vydání certifikátu Publikace certifikátu a CRL Registrace uživatele a ověření identity Generování a vydávání certifikátu a CRL

Procesy zavádění PKI VI. VI. Instalace PKI a Ceremoniál generování kryptografických klíčů CA Cílem ceremoniálu je řízeným procesem za účasti osob v bezpečnostních rolích vytvořit základy PKI infrastruktury: Instalace CA Vygenerování klíčového páru CA Zálohování soukromých klíčů CA Bezpečné uložení záloh klíčů a CA Jedná se o klíčový moment v důvěryhodnosti celé PKI infrastruktury!

Procesy zavádění PKI VII. VII.Školení koncových uživatelů Vytvoření pravidel použití certifikátů pro uživatele Psáno jazykem koncových uživatelů Koncoví uživatelé by měli mít jasně dáno, kdy mají danou PKI službu (certifikát) použít (vyplývá z klasifikace dat)

PKI nejčastější problémy z praxe Budování PKI bez provedené identifikace a klasifikace informačních aktiv Chybějící bezpečnostní požadavky na nakládání s informačními aktivy (dle jejich klasifikace) Nejasné požadavky na použití PKI služeb Chybějící podpora vedení organizace pro vybudování PKI nebo při implementaci => vyplývá z nejasných požadavků na PKI služby

PKI nejčastější problémy z praxe Problémy s obsazením do bezpečnostních rolí PKI Role se netýkají pouze oddělení IT Chybějící ceremoniál generování klíčů Instalaci PKI provádí interní IT nebo externí dodavatel a co důvěryhodnost PKI?? Nedostatky v procesní dokumentaci (CP, CPS) Problémy se zaváděním certifikátů do užívání koncovými uživateli Jak přesvědčit koncové uživatele k používání certifikátů? Chybějící školení koncových uživatelů

Děkujeme za pozornost. Vlastimil Červený, CIA, CISA vcerveny@deloittece.com Kateřina Minaříková, CISA, CISSP kminarikova@deloittece.com Deloitte Advisory, s.r.o.? PROSTOR PRO OTÁZKY

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář