Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

Podobné dokumenty
ZIFO, AIFO a bezpečnost osobních údajů

Thursday, September 8, Informační systém ORG Eva Vrbová ředitelka Odboru základních identifikátorů

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Nová kompetence Úřadu pro ochranu osobních údajů po přijetí zákona o základních registrech. Jiří Krump náměstek předsedy

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2

Michal Kolařík ISZR - Brána k základním registrům

Informatika / bezpečnost

OKsmart a správa karet v systému OKbase

ORG generátor identifikátorů

Není cloud jako cloud, rozhodujte se podle bezpečnosti

egov se z vizí pomalu stává realitou

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2. Pavel Smolík Top Account Manager

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Úpravy agendového informačního systému v návaznosti na základní registry

Prezentace platebního systému PAIMA

Garantovaná a bezpečná archivace dokumentů. Miroslav Šedivý, Telefónica CZ

Užít si eidas. Richard Kaucký, pracovní skupina eidas při ICT UNII

Monday, June 13, Garantovaná a bezpečná archivace dokumentů

Elektronická identifikace prostřednictvím národního bodu. Petr Kuchař, hlavní architekt eg, MV

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

Základní registry ČR

SIM karty a bezpečnost v mobilních sítích

Směry rozvoje v oblasti ochrany informací PS 7

l Kontakt s klientem SSP Popis automatizované komunikace s ÚP ČR v součinnosti a exekuci

IDENTIFIKAČNÍ DOKLADY V ČESKÉ REPUBLICE. František MALEČ STÁTNÍ TISKÁRNA CENIN, státní podnik

Archivujeme pro budoucnost, nikoliv pro současnost. Miroslav Šedivý Telefónica ČR

JUDr. Alena Kučerová Úřad pro ochranu osobních údajů OCHRANA OSOBNÍCH ÚDAJŮ V PROCESU DIGITALIZACE ZDRAVOTNICKÉ DOKUMENTACE

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Jak efektivně ochránit Informix?

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému

Design systému. Komponentová versus procesní architektura

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

Zkušenosti s budováním základního registru obyvatel

AC Trezor - důvěryhodné úložiště (nejen) pro komunikaci přes datové schránky. Otakar Kalina AutoCont CZ, oddělení ECM

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Klíčové aspekty životního cyklu essl

1. Integrační koncept

Konference Integrovaná doprava Prahy a Středočeského kraje Dana Jurášková, Eltodo, a.s.

Základní změny v architektuře e-governmentu ČR. Ondřej Felix hlavní architekt e-governmentu MV ČR ISSS, duben 2009

Základní registry ve veřejné správě

František Maleč technický ředitel Státní tiskárna cenin, s.p. Libor Šmíd vedoucí obchodní skupiny Státní správa Monet+, a.s.

STORK Secure Identity Across Borders Linked

Pravidla komunikace registrátora Web4u s.r.o.

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

PV157 Autentizace a řízení přístupu

S GDPR za hranice tradiční ICT bezpečnosti. Petr Stoklasa, AGORA Plus,

MS WINDOWS II. Jádro. Správa objektů. Správa procesů. Zabezpečení. Správa paměti

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

Federativní přístup k autentizaci

Metodický list č.1. Vladimír Smejkal: Grada, 1999, ISBN (a další vydání)

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Praktické zkušenosti s nasazením. na KÚ Vysočina v oblasti ehealth. Libor Neumann, ANECT a.s. Petr Pavlinec, KÚ Vysočina. Pojednání o PEIGu 1

Bezepečnost IS v organizaci

Správa stanic a uživatelského desktopu

Technická a organizační opatření Českých Radiokomunikací

Výsledky bezpečnostního auditu TrueCryptu. Ing. Josef Kokeš. CryptoFest 2015

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

Zabezpečená videokonference a hlas v IP a GSM komunikačním prostředí. Jiří DOUŠA Červen 2014

Koncept centrálního monitoringu a IP správy sítě

SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY. Základní registry a eidas

CESTA K REGISTRŮM. SZR MICHAL PEŠEK Jihlava neděle, 4. března 12

SODATSW Case Study 2009 Nasazení řešení Datový trezor ve společnosti CETELEM, a.s.

eid Kolokvium eid a EGON Ondřej Felix

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

erecept mýty, fakta a jak dál

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Základní registry ČR

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

Elektronické doklady v ČR. Kam jsme se dostali a kde to ještě vázne?

4. Je ová adresa tvaru osobním údajem nebo nikoliv? Ne - Záleží na postoji majitele této adresy Ano

Informatika Ochrana dat

Autentizace uživatelů

InternetovéTechnologie

INFORMAČNÍ BEZPEČNOST

Implementace GDPR v obcích. Benešov, Mgr. Miroslava Sobková

Legislativní hranice identifikovatelnosti pacienta. Mgr. Konstantin Lavrushin

Základní registr obyvatel - ROB

Wichterlovo gymnázium, Ostrava-Poruba, příspěvková organizace. Maturitní otázky z předmětu INFORMATIKA A VÝPOČETNÍ TECHNIKA

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic

eidentita 2019 NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ PRAHA 24. DUBNA 2019

Úvod do počítačových sítí

Jste připojeni k základním registrům?

Akreditovaná certifikační autorita eidentity

Základní registr agend orgánů veřejné moci a některých práv a povinností: údaje informačního systému a jejich využití

9. Může dojít k situaci, že ZP je nutno aktualizovat (změna vzhledu, změna příjmení, změna -1- dále ZP).

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

Sdílení zdravotnické dokumentace v souladu s GDPR

Komunikace mezi doménami s různou bezpečnostní klasifikací

Transkript:

Zabezpečení citlivých dat informačních systémů státní správy Ing. Michal Vackář Mgr. Boleslav Bobčík

Citlivá data? Co to je? Kde to je? Kdo to za to odpovídá? Jak je ochránit? Jak se z toho nezbláznit Jak se v džungli neztratit 4. - 5. 4. 2011 2

Virtuální identita osoby Citlivé informace Osoba-jednotlivec v elektronickém prostředí Aspekty identity: množiny atributů popisující osobu v určitém kontextu Identita: souhrn všech aspektů Nežádoucí stav Nekontrolované propojení všech aspektů do jednoho celku Zneužitelnost Velký bratr 3

Velký bratr Centralizované databáze identit Velké množství zahrnutých jednotlivců Velké množství atributů Zneužitelnost Decentralizované databáze Obsahují jen vybrané aspekty identit Záznamy musí obsahovat identifikátor osoby Identifikátory jsou obvykle dlouhodobě neměnné Propojitelnost databází... pomocí známých identifikátorů Příklady identifikátorů: Číslo občanského průkazu Číslo cestovního pasu Číslo řidičského průkazu Rodné číslo E-mail... a mnoho dalších...

Propojitelnost informací

Řešení problému vazeb mezi informacemi (daty) Aspekty identity mají různé identifikátory Identifikátory přiděluje centrální autorita Každý identifikátor platí jen ve vymezené oblasti Mezi všemi identifikátory jedné identity existuje vazba... ale tuto vazbu zná pouze centrální autorita Propojení záznamů identity Centrální autorita sdělí identifikátory platné pro vybrané oblasti Podléhá řízení přístupových práv, auditu apod. Příklady Rakousko: Bereichsabgrenzungsverordnung (sourcepin, sspin) ČR: základní registry veřejné správy (ZIFO, AIFO)

Vazba pomocí bezpečných identifikátorů Agenda osob Bankovní konta? Agenda osob ID=361046 Centrální autorita Bankovní konta ID=660001

Řešení T-Systems Informační systém bezpečných identifikátorů ISBI Principy Doména: oblast, ve které je potřeba aspekt identity opatřit identifikátorem Doménový identifikátor: identifikátor vztahující se k osobě, platný v jedné doméně Virtuální identita: souhrn všech doménových identifikátorů, které pro osobu existují Informační systém bezpečných identifikátorů (ISBI) Identifikátorová autorita: vydává doménové identifikátory a řídí jejich životní cyklus Bezkoliznost: garance, že se doménové identifikátory různých osob v jedné doméně liší Anonymita: ISBI neobsahuje žádné osobní údaje (propojení virtuální identity s konkrétní osobou pouze na základě údajů v některé z domén) Bezpečnost: odolnost vůči vnějším útočníkům i privilegovaným insiderům Robustnost: schopnost zotavení po rozsáhlé havárii nebo masivním útoku

Ilustrace principů ISBI domény Doména 1 Doména 2 ISBI Vstupní transformace Převodní matice Výstupní transformace

Ilustrace principů ISBI doménové identifikátory Doménový identifikátor platný v doméně 1 Doménový identifikátor platný v doméně 2 ISBI Virtuální identita

Ilustrace principů ISBI princip činnosti ISBI doména=1 id=769239 doména=2 id=175836 doména=1 id=870403 doména=2 id=826739

Doménové identifikátory Doménový identifikátor 128-bitové číslo náhodného charakteru Mimo ISBI nelze: určit, zda dva identifikátory patří stejné osobě určit, zda dva identifikátory patří do téže domény převést identifikátor mezi dvěma doménami Kolize (stejný identifikátor) v jedné doméně jsou z principu vyloučené Kódování 8123456 ABCDEFG ZYXWVUT 579KMNP Posloupnost 28 alfanumerických symbolů (bez rozlišení velikosti písmen) Zabudovaný kontrolní mechanismus (CRC) Robustní přenos pomocí analogových komunikačních prostředků (hlas, tisk...)

Architektura ISBI Rozhraní systému Autentizace a autorizace Funkční jádro Kryptografický modul Datové úložiště Rozhraní Autentizace Funkční Kryptografický Datové úložiště jádro systému a autorizace modul vytváří bezpečně uchovává jediný ověřuje, způsob, nové zda převodní uchovává identifikátory uživatel kterým matici šifrovací / klientská mohou v zakódované klíče další aplikace aplikace podobě má využívat přístup k služeb požadované ISBI službě typicky protokoluje ověřuje provádí neobsahuje implementováno validitu citlivé prováděné žádná operace identifikátorů osobní činnosti v nenarušitelném formou data WebServices prostředí transformuje akceleruje vybudováno kryptografické na identifikátory standardech algoritmy mezi vysoce různými škálovatelných doménami technologií

Vlastnosti systému bezpečných identifikátorů Teoretické hranice Limit počtu domén: více než 1 milion Limit počtu virtuálních identit: více než 4 miliardy Maximální počet doménových identifikátorů: více než 18 trilionů Způsob zabezpečení Moderní kryptografické algoritmy Certifikace pro šifrování i přísně tajných informací Odolnost i vůči kvantové kryptoanalýze Kryptografické klíče (velikost 512 bitů) Využití bezpečnostních HW zařízení pro uložení a správu klíčů Ani správce systému nemá možnost získat klíče

Citlivá data a ISBI Rekapitulace Proč ISBI Abychom pomohli v zamezení zneužití citlivých dat Jak nám ISBI pomůže Rozdělí data do oddělených domén Databáze bez ISBI nemá potřebnou vypovídající hodnotu Bez ISBI nelze data provázat a vytěžit potřebné informace Proti čemu ISBI chrání Proti přístupu neautorizovaných uživatelů Proti zcizení datové základny Proti zneužití dat administrátory databází Čemu ISBI nezabrání Zneužití dat oprávněným uživatelem - umožní ale dohledání potřebných informací v auditu 4. - 5. 4. 2011 15

Pomůžeme Vám v ICT džungli.

Děkuji za pozornost

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář