BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant



Podobné dokumenty
ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant

ÚŘAD BEZ PRAXI. Jan Tejchman Senior Solution Consultant

Úvod - Podniková informační bezpečnost PS1-2

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

JAK NA PAPERLESS. Petr Dolejší Senior Solution Consultant

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Hybridní čipové karty

Důvěryhodný elektronický dokument optikou evropských nařízení. Jan Tejchman Senior Solution Consultant

0x5DLaBAKx5FC517D0FEA3

DŮVĚRYHODNÁ ELEKTRONICKÁ ARCHIVACE. Petr Dolejší Senior Solution Consultant

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Úložiště certifikátů pro vzdálené podepisování

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Koncept centrálního monitoringu a IP správy sítě

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

Prezentace platebního systému PAIMA

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

finančním trhem s kompetencemi správního úřadu

Technická bezpečnostní opatření nejen ve smyslu ZKB. Jan Zdvořáček ASKON International s.r.o.

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

OKsmart a správa karet v systému OKbase

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Mobilní komunikace a bezpečnost. Edward Plch, System4u

Z internetu do nemocnice bezpečně a snadno

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Zákon o kybernetické bezpečnosti

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

Nástroje IT manažera

Kybernetická bezpečnost Kam jsme se posunuli po přijetí zákona?

MĚSTSKÝ ROK INFORMATIKY - ZKUŠENOSTI S NASAZENÍM STANDARDNÍCH APLIKAČNÍCH ŘEŠENÍ V PROSTŘEDÍ STATUTÁRNÍHO MĚSTA LIBEREC

Zajištění komplexních sluţeb pro provoz systémové infrastruktury OSMS ZADÁVACÍ DOKUMENTACE

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Informatika / bezpečnost

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

Bezpečnostní politika a dokumentace

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

e-sbírka a e-legislativa architektura Odbor legislativy a koordinace předpisů Ministerstvo vnitra 13. července 2016

Firewall II. Písemná zpráva zadavatele

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Použití čipových karet v IT úřadu

Není cloud jako cloud, rozhodujte se podle bezpečnosti

DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

Nástroje IT manažera

Bezpečnostní politika společnosti synlab czech s.r.o.

Aktuální informace o rozvoji EOC na bázi konceptu MAP a další aktuality. Veřejná doprava ON-LINE" Ing. Vladimír Matoušek, technický ředitel

Kybernetická bezpečnost

Microsoft Day Dačice - Rok informatiky

Citidea monitorovací a řídicí centrála pro smart řešení

Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

Technické aspekty zákona o kybernetické bezpečnosti

LEX UNO ORE OMNES ALLOQUITUR

TECHNICKÁ SPECIFIKACE PŘEDMĚTU VEŘEJNÉ ZAKÁZKY

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

Zkušenosti s budováním základního registru obyvatel

Certifikace pro výrobu čipové karty třetí stranou

VYSVĚTLENÍ / ZMĚNA ZADÁVACÍ DOKUMENTACE Č. 3

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Směry rozvoje v oblasti ochrany informací PS 7

Chytrá systémová architektura jako základ Smart Administration

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Posuzování na základě rizika

Enterprise Mobility Management & GDPR AirWatch - představení řešení

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Elektronický podpis. Marek Kumpošt Kamil Malinka

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Outsourcing v podmínkách Statutárního města Ostravy

Ne-bezpeční zemědělci

ICZ DESA střednědobé a dlouhodobé ukládání dokumentů

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

SIEM a 6 let provozu Od požadavků ČNB přes Disaster Recovery až k Log Managementu. Peter Jankovský, Karel Šimeček, David Doležal AXENTA, PPF banka

Zaručená archivace elektronických dokumentů

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

EMBARCADERO TECHNOLOGIES. Jak na BYOD chytře? Možnosti zapojování různých mobilních zařízení do podnikových informačních systémů.

Agendový Informační Systém Města Brna

Garantované úložiště dokumentů IBM

Zákon o kybernetické bezpečnosti: kdo je připraven?

Programové vybavení OKsmart pro využití čipových karet

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Poskytujeme komplexní IT řešení

Cloud Slovník pojmů. J. Vrzal, verze 0.9

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Obnova základního registru osob ROS Český statistický úřad

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Realizace datového centra kraje Vysočina Regionální SAN kraje Vysočina

Transkript:

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant

OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj pro ochranu integrity komunikačních sítí kryptografické prostředky pro vzdálený přístup, vzdálenou správu nebo pro přístup pomocí bezdrátových technologií v 25 kryptografické prostředky ochrana důvěrnosti a integrity předávaných nebo ukládaných dat prokázání odpovědnosti za provedené činnosti systém správy klíčů (životní cyklus) generování, distribuce, archivace, změny, ničení, kontroly a audit Algoritmy v souladu s doporučením příloha č. 3 Vyhlášky

HSM HARDWARE SECURITY MODULE Co to vlastně je? Specializované vysoce bezpečné zařízení pro: generování silných kryptografických klíčů ochranu privátních klíčů poskytování kryptografických služeb el. podpis, šifrování/dešifrování, výměna klíčů, správu a archivaci kryptografických klíčů Typické způsoby nasazení: sdílené pro více serverů nasazení v HA architektuře

HSM HARDWARE SECURITY MODULE Typické příklady správného využití HSM Zabezpečení klíčů pro certifikační autority Zabezpečení klíčů pro provádění el. podpisů v systémech Archivace klíčů elektronická pošta S/MIME šifrování dat šifrování FS, disků Podpora šifrování v databázi Akcelerace SSL/TLS komunikace

HSM HARDWARE SECURITY MODULE Podporované standardy a zabezpečení Certifikace FIPS 140-2 Level-3, ISO15408 (CC) EAL4+ symetrické algoritmy (včetně AES) asymetrické algoritmy (1024-4096) algoritmy pro výměnu klíčů hashovací funkce generátor náhodných posloupností Dostupné API CSP pro MS CryptoAPI/CNG Java JCE/JCA CSP PKCS#11 Detekce narušení fyzické integrity zařízení Odolnost vůči vniknutí rozdělení zařízení na přístupnou (možný servis) a nepřístupnou část neprůhledný epoxid, speciální šrouby detekce otevření senzory světla, teploty Detekce SW narušení testy integrity s automatickou reakcí (smazání dat) v případě detekce Narušené zařízení nelze použít bez provedení továrního resetu

MOŽNOSTI UPLATNĚNÍ HSM V ORGANIZACI Partneři Nedůvěryhodná síť DMZ Důvěryhodná síť email web Autentizační server Aplikační servery Databáze Vývoj Router FW SW Access Point Mobilní zařízení uživatelů IDS CA HSM Externí uživatelé Logování / reportování (SIEM)

PŘÍPADOVÁ STUDIE IMPLEMENTACE HSM MODULŮ V ČNB

ČESKÁ NÁRODNÍ BANKA ČNB je ústřední centrální bankou České Republiky je součástí Evropského systému centrálních bank je součástí Evropského dohledu nad finančními trhy Vykonává tyto základní funkce péči o cenovou stabilitu, určuje měnovou politiku, vydává bankovky a mince dohlíží na peněžní oběh, platební styk a zúčtování bank vykonává dohled nad finančními trhy poskytuje bankovní služby státu a veřejnému sektoru vede účty organizacím a osobám napojeným na státní rozpočet

POUŽÍVÁNÍ E-PODPISU A KRYPTOGRAFIE V ČNB Příklady, kde se používají kryptografické prostředky Pro externí subjekty internetové bankovnictví služby zúčtovacího centra bank Pro interní potřebu interní PKI infrastruktura interní provozní systémy integrace na externí IS státní správy

ZADÁNÍ PROJEKTU Z pohledu ICT a bezpečnosti Zvýšení ochrany pro kritická firemní aktiva (klíče) Uplatnění pro certifikační autority provozované informační systémy podpora pro vývoj vlastních aplikací Režim vysoké dostupnosti a bezpečnosti dvě vzdálené lokality systém více očí separace rolí pro správu

ROZSAH POŽADOVANÝCH SLUŽEB Implementace HSM modulů V ČNB Podrobná implementační studie zavedení HSM modulů Dodávka a implementace síťových HSM modulů (FIPS 140-1 level 3 certifikace) v rámci veřejné zakázky vybrána technologie Thales nshield Connect 1500+ F3 Podpora migrace stávajících informačních systémů na HSM moduly včetně přípravy postupů migrace klíčů Migrace stávajících interních CA na HSM moduly včetně podpory provozu v clusteru Zátěžové testy a školení obsluhy Podrobná dokumentace implementace a správy řešení

IMPLEMENTACE V PROSTŘEDÍ ČNB Základní vlastnosti vybudované HSM infrastruktury HSM infrastruktura je vybudována jako vysoce dostupná umístění HSM ve dvou lokalitách, podpora napojení přes nezávislé sítě vybrané systémy využívají 2 HSM moduly v režimu active/active Implementace systému více očí pro správu HSM používání čipových karet správců v režimu min. 2 z N pro autorizaci vybraných úkonů Separace rolí při správě klíčů různých systémů a prostředí (PROD/TEST) Migrace stávající interní PKI infrastruktury včetně zachování stávajících klíčů Vytvoření prototypů aplikací s napojením na služby HSM modulů pro potřeby interního vývojového týmu

PŘÍNOSY PROJEKTU Jednotná robustní platforma pro správu klíčů v režimu vysoké dostupnosti pro všechna používaná prostředí Centralizace správy a dohledu nad životním cyklem klíčů oddělení správy klíčů pro jednotlivé systémy, systém více očí napojení na dohledové systémy banky Podpora standardních rozhraní pro napojování případných dalších systémů např. šifrování DB, SSL/TLS komunikace,

HSM HARDWARE SECURITY MODULE Shrnutí Vysoce bezpečné zařízení pro ukládání klíčů Jedno z organizačních opatření podle ZoKB kryptografický prostředek - 5, odst. 1, pís. j) Univerzální použití Dnes není výsadou pouze bank a mezinárodních korporací širší použití v komerční sféře především s ohledem na elektronický podpis

www.sefira.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář