TRANSPARENTNOST A KYBERNETICKÁ BEZPEČNOST VE STÁTNÍ SPRÁVĚ. Radek Holý, Manažer ISMS

TRANSPARENTNOST A KYBERNETICKÁ BEZPEČNOST VE STÁTNÍ SPRÁVĚ Radek Holý, Manažer ISMS

AGENDA Transparentnost v oblasti VZ Elektronizace agend Procesní modely Uživatele Role v systému PKI Elektronické dokumenty

ELEKTRONIZACE VEŘEJNÝCH ZAKÁZEK Hlavní přínosy elektronizace VZ: Úspora nákladů spojených s procesem zadávání VZ na straně zadavatelů i dodavatelů. Snížení jednotkových cen nakupovaných komodit. Zvýšení vyjednávací síly zadavatelů. Zlepšení konkurenčního prostředí. Možnost zkrácení lhůt v zadávacím řízení. Minimalizace chyb v zadávacích postupech. Zrychlení komunikace mezi zadavateli a dodavateli. Zjednodušení administrativy, zefektivnění celé agendy VZ. Rovný přístup ke všem uchazečům, zvýšení transparentnosti procesu zadávání VZ. Zpřehlednění VZ zadavatele pro účely analýz a optimalizace nákupu.

VELKÝ ELEKTRONICKÝ NÁSTROJ ZADÁVÁNÍ A ADMINISTRACI VEŘEJNÝCH ZAKÁZEK Soulad se zákonem č. 137/2006 Sb., o veřejných zakázkách. Certifikace nezávislou certifikační autoritou. Jednotné prostředí s odlišnostmi dle specifik jednotlivých druhů zadávacích řízení. Zneužití dat neoprávněnými subjekty je znemožněno díky používání šifrovaných protokolů. Zajišťuje rovný přístup ke všem dodavatelům. Průběžná aktualizace nástroje dle novelizací zákona č. 137/2006 Sb., o veřejných zakázkách.

VELKÝ ELEKTRONICKÝ NÁSTROJ PRO ZADÁVÁNÍ A ADMINISTRACI VEŘEJNÝCH ZAKÁZEK Zadavatelům umožňuje pokrytí celého životního cyklu VZ: Založení a editaci profilu zadavatele. Založení, předběžné oznámení a správu veřejných zakázek. Vytvoření profilu administrátorské organizace pro správu zakázky. Správu dodatečných informací. Příjem nabídek. Jmenování Komise pro otevírání obálek a Hodnotící komise. Otevírání obálek. Hodnocení nabídek. Výběr nejvhodnějšího uchazeče

VELKÝ ELEKTRONICKÝ NÁSTROJ PRO ZADÁVÁNÍ A ADMINISTRACI VEŘEJNÝCH ZAKÁZEK Dodavatelé mohou v nástroji: Vytvářet a spravovat své profily. Přistupovat k seznamu veřejných zakázek. Žádat o dodatečné informace k veřejných zakázkám. Podávat nabídky. Komunikovat se zadavateli. Sledovat VZ ve všech jejích fázích

INTERNÍ OBLAST SLEDOVÁNÍ POŽADAVKŮ NA VZ Sběr požadavků (předpokládaných nákupů) a interních poptávek - Trasovatelnost nákupu od požadavku až po odbavení Vyhodnocení a rozhodnutí o způsobu uspokojení sebraných požadavků a poptávek Plán veřejných zakázek a podklady pro proces zadávacích řízení Tvorba žádanky a podkladů pro objednávky Evidence a práce s komoditními katalogy Náhradu e-mailové komunikace dovnitř organizace Schvalovací workflow nákupu, VZ (zadávací dokumentace, technická specifikace, dodatečné informace)

ROZSAH INTEGRACE

ELEKTRONIZACE PROCESŮ Bez papírový svět informace ukládá strukturovaně do databází a dovoluje tak získávat informace o stavu procesů. možnost okamžitého sledování a řízení procesů v reálném čase, což dosud nebylo možné. Každá akce (cestovní příkaz, nepřítomnost, likvidační list aj.) založí samostatný formulář postupný elektronický posun (workflow) k pracovníkům zodpovědným za provádění jednotlivých operací.

DEFINICE PROCESŮ

UŽIVATELÉ ROLE, PRÁVA Uživatel IS Jednoznačná identifikace Definice rolí Bussiness role ( např. Ředitel, zaměstnanec aj.) Technická role ( provozní systém - Např. Účetní aj.) Životní cyklus Ukončení PPV = zrušení rolí v systému

UŽIVATELÉ ROLE, PRÁVA Autentizace Jméno x heslo Pravidla pro tvorbu hesla Autorizace Elektronicky podpis Osobní Systémový

ELEKTRONICKÝ PODPIS Použitím elektronického podpisu změna toho, co je podepsáno, způsobuje i změnu samotného podpisu - tzv. integrita podepsaného dokumentu V případě elektronického podpisu lze věrohodně prokázat, že podpis nemohl vytvořit nikdo jiný - takže autor nemůže své autorství později popřít (jde o tzv. nepopiratelnost elektronického podpisu).

FUNKCE CERTIFIKAČNÍ AUTORITY Důvěryhodná třetí strana (Trusted Third Party TTP) Plní 2 základní funkce certifikační zaručuje, že deklarovaný veřejný klíč patří dané osobě validační potvrzuje platnost certifikátu offline seznam odvolaných certifikátů CRL (Certificate Revocation List) online zjišťování platnosti certifikátu OCSP (Online Certificate Status Protocol)

ZÁKLADNÍ VLASTNOSTI Kvalifikovaný certifikát označení kvalifikovanosti identifikace vydavatele a podepisující osoby (pseudonym) má unikátní číslo v rámci vydavatele počátek a konec platnosti omezení použití podpis vydavatele

PKI (PUBLIC KEY INFRASTRUCTURE) Systém veřejných klíčů PKI - kombinace hardware a software, politik a procedur PKI: bezpečnostní politika, certifikační autorita, registrační autorita, certifikační distribuční a manipulační systém a aplikace na bázi PKI (Web komunikace, e-mail, EDI, VPN, transakce elektronického obchodování atp.)

BEZPEČNOST EP Souvislost s ochranou privátního a veřejného klíče Nedošlo k narušení tajnosti privátního klíče? Nebyl prolomen kryptoalgoritmus? Nedošlo k porušení autentičnosti veřejného klíče a tím nedodržení záruky jednoznačné vazby s osobou, která zprávu podepsala? Největší slabinou šifrovacích systémů jsou jejich uživatelé

ELEKTRONICKÝ PODPIS Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. (použitelné od 1. července 2016)

ELEKTRONICKÉ DOKUMENTY Principem elektronické archivace je uchování digitální informace v čase - jak docílit toho, abychom byli schopni dokumenty v elektronické podobě přečíst a bezpečně zachovat informační náplň Otázky dlouhodobé archivace: Problematická životnost datových nosičů Volba vhodných datových formátů nezávislých na výrobci počítačového programu Zabezpečení obsahu elektronických dokumentů (konzistence) Zabezpečení věrohodnosti dat (autenticita) Definování rozhraní systémů: elektronická spisovna ISO 16363 Audit and certification of trustworthy digital repositories

DLOUHODOBÉ ULOŽENÍ Ověření úplnosti a konzistence předávaných dat Přerazítkování OCR konverze do textu, do PDF/A-1a Kontrola podpisu a razítka Kontroly a ukládání CA a CRL v době ověření Revize a doplnění povinných metadat pro potřeby SIP

AUDITNÍ STOPA Tvůrce dokumentu a jeho ověření Historie provedených činností Persistentní uložení tokenů pro přístup Rozesílání tokenů e-mailem, eskalace Prokazatelné vyzvednutí dokumentů

DLOUHODOBÝ DIGITÁLNÍ ARCHÍV

KONEC Děkuji za pozornost Radek Holý Manager ISMS

HP Enterprise Services Speaker s name / Day/ Month, 2012 Bezpečnost a transparentnost Marek Novotný Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Agenda Úvod Transparentnost státní správy Zákon o kybernetické bezpečnosti a jeho dopady Řešení pro pokrytí požadavků zákona 27 Copyright 2013 Hewlett-Packard HP Autonomy. All Development rights reserved. Company, Other trademarks L.P. The information are registered contained trademarks herein and is subject the properties to change of their without respective notice. owners.

HP- dodavatel prověřený na stupeň utajení T Čím disponujeme: Více než 5 000 certifikovaných bezpečnostních specialistů celosvětově Více než 2 600 pracovníků výzkumu a vývoje v oblasti bezpečnosti Dodáváme služby v oblasti bezpečnosti déle než 40 let Identifikujeme čtyřikrát více kritických hrozeb než zbytek trhu dohromady Chráníme uživatele před 1.7 miliardami spamu měsíčně Téměř 80% světových finančních společností používá bezpečnostní řešní od HP Dodáváme 6,000+ firewallů a 3,000+ systémů pro detekci průniků Více než 800 státních organizací používá naše řešení Identity management Zabezpečujeme více než milion aplikací a 2.6 miliard řádků kódu u našich zákazníků 28 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Agenda Úvod Transparentnost státní správy Zákon o kybernetické bezpečnosti a jeho dopady Řešení pro pokrytí požadavků zákona 29 Copyright 2013 Hewlett-Packard HP Autonomy. All Development rights reserved. Company, Other trademarks L.P. The information are registered contained trademarks herein and is subject the properties to change of their without respective notice. owners.

Je naše státní správa dostatečně transparentní? Transparentnost = viditelnost, jaké akce jsou prováděny 30 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Jak řeší transparentnost soukromý sektor? 31 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Jak zlepšit transparentnost pomocí informačních technologií? 1. Zpětná vazba průběžné informování občana o stavu a průběhu řízení 1 2 3 4 digitální identita zpráva zpráva zpráva zpráva email a/nebo SMS 32 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Jak zlepšit transparentnost pomocí informačních technologií? 1. Zpětná vazba průběžné informování občana o stavu a průběhu řízení 33 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Jak zlepšit transparentnost pomocí informačních technologií? 2. Veškeré zasílané dokumenty i emailem 4 digitální identita email 34 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Agenda Úvod Transparentnost státní správy Zákon o kybernetické bezpečnosti a jeho dopady Řešení pro pokrytí požadavků zákona 35 Copyright 2013 Hewlett-Packard HP Autonomy. All Development rights reserved. Company, Other trademarks L.P. The information are registered contained trademarks herein and is subject the properties to change of their without respective notice. owners.

Dopady zákona č. 181/2014 Sb. (ISO 2700x) Co musím dělat, abych byl v souladu se zákonem Mít implementovánu zákonem požadovanou úroveň bezpečnosti Mít schopnost detekovat definované incidenty Umět podávat hlášení na Národní centrum kybernetické bezpečnosti Umět přijímat požadavky na protiopatření Umět protiopatření zavést Opatření a protiopatření Vyhodnocení Komunikační rozhraní 36 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Technická opatření pro kybernetickou bezpečnost Zákon č. 181/2014 o kybernetické bezpečnosti, 5 (3) Technickými bezpečnostními opatřeními jsou a) fyzická bezpečnost, b) nástroj pro ochranu integrity komunikačních sítí, c) nástroj pro ověřování identity uživatelů, d) nástroj pro řízení přístupových oprávnění, e) nástroj pro ochranu před škodlivým kódem, f) nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů, g) nástroj pro detekci kybernetických bezpečnostních událostí, h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí, i) aplikační bezpečnost, j) kryptografické prostředky, k) nástroj pro zajišťování úrovně dostupnosti informací a l) bezpečnost průmyslových a řídících systémů. 37 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Agenda Úvod Transparentnost státní správy Zákon o kybernetické bezpečnosti a jeho dopady Řešení pro pokrytí požadavků zákona 38 Copyright 2013 Hewlett-Packard HP Autonomy. All Development rights reserved. Company, Other trademarks L.P. The information are registered contained trademarks herein and is subject the properties to change of their without respective notice. owners.

Komplexní pohled na informační bezpečnost Dům Bezpečnostní strategie si klade za cíl zajistit spolehlivou ochranu informací a zároveň podpořit efektivní provoz IT (opakovatelnost, jednoduchost řešení). Jednotlivé oblasti pro naplnění naší strategie si lze představit jako dům. 39 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Zhodnocení stavu kybernetické bezpečnosti Jaká je moje úroveň bezpečnosti? Je třeba něco dělat? Základní kroky : Zhodnocení stavu připravenosti 1. Zhodnocení stavu 2. Analýza procesu vytváření incidentů 3. Analýza komunikačních rozhraní 40 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Ochrana sítě HP Tipping Point chrání od perimetru po datové centrum Blokuje hrozby útoků na aplikace, OS a síť Ochrana pro fyzickou, virtuální a cloudovou architekturu Fyzické a virtuální servery Dislokovaná pracoviště Škálovatelný: infrastruktura umožňuje budoucí rozvoj a nové modely nasazení Dynamický: analýza a nasazení politik v reálném čase + kompletní management WLAN Data center WAN Prediktivní : proaktivní ochrana proti současným a budoucím hrozbám Core Campus LAN Edge Pracovníci v terénu, partneři, zákazníci Internet IPS bezpečnostní zóna 41 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Řízení bezpečnostních informací a událostí servery síť OS databáze aplikace uživatel Log Log Log Log Log Log SIEM HP ArcSight Security Information and Event Management sběr analýza korelace reporting 42 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Řízení bezpečnostních informací a událostí - SIEM HP ArcSight není jen chytřejší logger - jako CPU není jen chytřejší tranzistor Automatická odpověď Nejen bezpečnostní dohled Obecně bezpečnost (nejen datová) Event Alert Incident Korelace událostí Správa bezpečnostních událostí Monitoring uživatelů SIEM Monitoring řízení App Logy jsou stále na jedné hromadě, ale je v nich pořádek Víme, co se stalo, komu, jak, kdy a snad i proč Jsme schopni prokázat, kolik se toho stalo za dnešek, minulý týden nebo rok Monitoring fraudu Řízení logů Monitoring aplikací 43 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Jak se postavit k zákonu o kybernetické bezpečnosti? 1. Zhodnocení stavu připravenosti na požadavky Zákona o kybernetické bezpečnosti 2. Bezpečnostní audit 3. Tvorba bezpečnostní dokumentace 4. Implementace jednotlivých organizačních opatření 5. Implementace jednotlivých technických bezpečnostních opatření a) řešení pro aktivní ochranu sítě IPS b) řešení pro správu a vyhodnocování bezpečnostních událostí SIEM c) řešení pro správu identit a řízení přístupu IDM d) řešení kontinuity provozu organizace BCM e) řešení plánu obnovy DRP f) 44 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Díky za pozornost! Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.