Auditní stopa a věrohodnost dokumentu Tomáš Řemelka Delivery Director ISSS 2013, Hradec Králové
Co vás čeká? Auditní stopa a věrohodnost dokumentu Úřad a komunikující skupiny osob Řízení přístupů Řízení identit Závěr 2 / 18
Co je to věrohodný dokument? Papírové dokumenty Vlastnoruční podpis OPRÁVNĚNÉ osoby Případně opatřený úředně ověřeným podpisem Elektronické dokumenty Elektronický podpis (Zaručený el. Podpis) OPRÁVNĚNÉ osoby Kvalifikované časové razítko 3 / 18
Co víme o podepisující osobě? Podpisy/časová razítka neříkají nic o osobě, která dokument podepsala. Jak ověříme, že měla oprávnění dokument vystavit/podepsat? Nijak. Musí to ošetřit samotný úřad, z nějž daný dokument pochází. Jak? Řízením přístupu a uživatelských identit. 4 / 18
Úřad a komunikující skupiny osob 5 / 18
Situace na úřadech Příspěvkové organizace Úřad Právnické osoby Podnikající fyzické osoby Úředníci z příspěvkových organizací Úředníci z vlastního úřadu Fyzické osoby Úřad zaměstnává vlastní úředníky, případně do jeho aplikací přistupují úředníci z jiných institucí (např. příspěvkových organizací) Úřad komunikuje s právnickými osobami, podnikateli a fyzickými osobami 6 / 18
Kde jsou uloženy uživatelské účty úředníků? Příspěvkové organizace Úřad Právnické osoby Podnikající fyzické osoby Úředníci z příspěvkových organizací Úředníci z OVM Fyzické osoby JIP Czech POINT Uživatelské účty úředníků z OVM (příp. příspěvkových organizací) jsou uloženy v JIP Czech POINT 7 / 18
A co účty PO/podnikatelů/FO? Příspěvkové organizace Úřad Právnické osoby Podnikající fyzické osoby Úředníci z příspěvkových organizací Úředníci z OVM Fyzické osoby JIP Czech POINT Identitní prostor ISDS Právnické osoby, podnikatelé mají zřízenu datovou schránku, fyzické osoby na žádost tedy mají vlastní uživatelský účet v identitním prostoru ISDS. 8 / 18
Jak lze tyto účty využívat? Řízení přístupů a identit Příspěvkové organizace Úřad Právnické osoby Podnikající fyzické osoby Úředníci z příspěvkových organizací Úředníci z OVM Fyzické osoby JIP Czech POINT Identitní prostor ISDS Pomocí řešení pro řízení přístupů a identit, které je napojeno na tyto adresáře uživatelských identit. 9 / 18
Řízení identit 10 / 18
LDAP2JIP_konektor Úřad Czech POINT zakládání, změna, blokování uživatelů Lokální Active Directory/ edirectory LDAP2JIP agendové činnostní role KAAS JIP Czech POINT Obousměrná synchronizace uživatelských identit mezi lokálním adresářem a JIP Czech POINT 11 / 18
LDAP2JIP - přínosy Správa uživatelů na jediném místě uvnitř úřadu nebo v JIP Jeden uživatelský účet pro přístup do lokálních aplikací, ale i do Czech POINT, Czech POINT@office, AIS RPP Působnostní, ISUI Agendové činnostní role pro přístup do ZR Eliminace rizika zapomenutého uživatele Eliminace rizika neopr. přístupu k datům 12 / 18
Řízení přístupů 13 / 18
Ověřování uživatelů Řízení přístupů AGW KAAS ExtIS Lokální Active Directory/ edirectory JIP Czech POINT Úředníci z vlastního úřadu nebo příspěvkových organizací Identitní prostor ISDS Právnické osoby, podnikající fyzické osoby, fyzické osoby AGW ověřuje přistupující úředníky do aplikací vůči lokálnímu adresáři (AD, edirectory) v úřadu a/nebo vůči JIP Czech POINT prostřednictvím rozhraní KAAS. AGW ověřuje PO/PFO/FO vůči ISDS pomocí nového rozhraní ExtIS. 14 / 18
AGW přístupová brána Přístupový bod uživatelů do aplikací úřadu Zajišťuje auditní stopu přístupů uživatele Ověřování uživatelů vůči více zdrojům (adresářům) uživatelských identit Vícefaktorová autentizace Uživatelské jméno a heslo Certifikáty OTP (HW/SW token, nebo SMS) 15 / 18
Shrnutí AGW řešení pro řízení přístupů ověřování OPRÁVNĚNÝCH uživatelů z více zdrojů vícefaktorová autentizace Auditní stopa přístupů uživatele LDAP2JIP řešení pro řízení identit umožňuje správu uživatelů na jednom místě agendové činnostní role eliminace rizika zapomenutého uživatele 16 / 18
Děkuji za pozornost tremelka@newps.cz