ALUCID a řízení bezpečnosti informačních systémů

Podobné dokumenty
Praktické zkušenosti s nasazením. na KÚ Vysočina v oblasti ehealth. Libor Neumann, ANECT a.s. Petr Pavlinec, KÚ Vysočina. Pojednání o PEIGu 1

ALUCID elektronická identita nové generace

Je Smart Grid bezpečný?

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

eidas - zkušenosti s implementací řízení přístupu a federací identit ISSS 2016 Hradec Králové

Úvod - Podniková informační bezpečnost PS1-2

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY. Základní registry a eidas

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

MĚSTSKÝ ROK INFORMATIKY KLADNO

Efektivní správa ICT jako základ poskytování služby outsourcing IT

Bezpečnostní aspekty informačních a komunikačních systémů KS2

NÁCHOD JIHOČESKÝ KRAJ ING. PETR VOBEJDA

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

Sluţba Karlovarského kraje pro ukládání dokumentů a dat na území kraje

Informační systém pro vedení ţivnostenského rejstříku IS RŢP

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Microsoft Windows Server System

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant

BEZPEČNOST CLOUDOVÝCH SLUŽEB

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

Místo plastu lidská dlaň

eidentita 2019 NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ PRAHA 24. DUBNA 2019

VIZE INFORMATIKY V PRAZE

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

SYSGO Group, SYSGO s.r.o. Úskalí propojeného světa nejen pro průmyslové aplikace

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

1. Integrační koncept

Digitální identita Moderní přístup k identifikaci klienta. Pavel Šiška, Štěpán Húsek, Deloitte Digital - Technology Services

Rizika implementace rozvoje IS HMP Josef Beneš. Úspěšné řízení úspěšných projektů

Rozvoj služeb egovernmentu na České poště

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

Cloud. Nebo zatím jen mlha? Workshop Day 2011 WG06 Jaromír Šlesinger, CA Technologies Bratislava, 13. október 2011

Projekt výměny zdravotní dokumentace na regionální úrovni

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

Bezpečná autentizace nezaměnitelný základ ochrany

NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ ROK INFORMATIKY SLAVKOV U BRNA 6. ČERVNA 2019

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Koncept centrálního monitoringu a IP správy sítě

Certifikace pro výrobu čipové karty třetí stranou

Nástroje IT manažera

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o.

Nařízení eidas aneb elektronická identifikace nezná hranice

Co pro nás bude znamenat eidas (aneb Lokální JIP) Ing. Aleš Kučera

eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost

Elektronický podpis význam pro komunikaci. elektronickými prostředky

Nástroje IT manažera

KYBERNETICKÁ BEZPEČNOST A AUTENTIZACE MONET+

Elektronická identifikace prostřednictvím národního bodu. Petr Kuchař, hlavní architekt eg, MV

Bezpečnost sítí

Outsourcing v podmínkách Statutárního města Ostravy

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Využití sdílených služeb Jednotného identitního prostoru (JIP) a Katalogu autentizačních a autorizačních služeb (KAAS)

Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun. Slávek Licehammer

P ístup k centrálním sdíleným službám z pohledu kraje

Elektronické záznamy, elektronické podpisy

Úložiště certifikátů pro vzdálené podepisování

Technologický seminář Simac Technik ČR, a.s. Praha,

STORK Secure Identity Across Borders Linked

O2 ENTERPRISE SECURITY. Vít Jergl, Vladimír Kajš

GDPR, eidas Procesní nebo technologický problém?

OKsmart a správa karet v systému OKbase

M e m b e r o f N E W P S G r o u p

PV157 Autentizace a řízení přístupu

Zákon o elektronickém zdravotnictví. Řízení identitních prostředků zdravotnických pracovníků a důsledky pro práci se zdravotnickou dokumentací

Korporátní systém řízení ÚSC přístup v Liberci. Ing. Jaroslav Bureš

MOŽNOSTI FINANCOVÁNÍ PROJEKTŮ EGOVERNMENTU A KYBERNETICKÉ BEZPEČNOSTI Z INTEGROVANÉHO REGIONÁLNÍHO OPERAČNÍHO PROGRAMU (IROP) V PROGRAMOVÉM OBDOBÍ

Využití moderních přístupů při budování Technologického centra kraje

MOBILNÍ ZAŘÍZENÍ JAKO AUTENTIZAČNÍ NÁSTROJ A JEHO INTEGRACE DO SYSTÉMŮ MILAN HRDLIČKA MONET+ BŘEZEN 2015

Aktuální situace čerpání v oblasti egovernmentu a kybernetické bezpečnosti v Integrovaném regionálním operačním programu 4. 4.

KLÍČ K e-identitě. PhDr. Radek Muška. STÁTNÍ TISKÁRNA CENIN, státní podnik

eidas... aneb co nám přináší nařízení EU č. 910/2014 ze dne

STRATEGICKÉ ŘÍZENÍ A KVALITA MĚST

Federativní přístup k autentizaci

w w w. u l t i m u m t e c h n o l o g i e s. c z Infrastructure-as-a-Service na platformě OpenStack

Koncepce rozvoje ICT ve státní a veřejné správě. Koncepce rozvoje ICT ve státní a veřejné správě (materiál pro jednání tripartity)

Rok informatiky 2016 SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY SZR JE NYNÍ EIDENTITA READY

Atos pro veřejnou správu. Dalibor Škovronek, ředitel pro veřejnou správu, zdravotnictví a dopravu Atos IT Solutions and Services, s.r.o.

Zabezpečení mobilních bankovnictví

Garant karty projektového okruhu:

Konsolidace rezortních registrů. 4. dubna 2011

Účel dokumentu. Uveřejnění jakékoli části tohoto dokumentu podléhá schválení příslušných pracovníků Ministerstva vnitra České republiky.

Bezpečná autentizace přístupu do firemní sítě

Jak být online a ušetřit? Ing. Ondřej Helar

Informatika / bezpečnost

SIM karty a bezpečnost v mobilních sítích

Služba Rychlý výpis umožňuje on-line službám získat elektronický a snadno zpracovatelný výpis z bankovního účtu klienta.

Z internetu do nemocnice bezpečně a snadno

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Transkript:

EVROPSKÁ UNIE EVROPSKÝ FOND PRO REGIONÁLNÍ ROZVOJ INVESTICE DO VAŠÍ BUDOUCNOSTI Libor Neumann, ANECT a.s. ALUCID a řízení bezpečnosti informačních systémů Pojednání o PEIGu 1

Agenda Celkový kontext Výsledky analýz současného stavu a trendů Základní principy Vrstvový model Ověření fyzické identity Systémová řešení Praktická ukázka

Kontext v rámci ISMS IAM (Identity and Access Management) je limitujícím faktorem celkové bezpečnosti bez odlišení oprávněného uţivatele od útočníka nelze aplikovat bezpečnostní opatření Omezování moţností pouţívat opatření fyzické bezpečnosti (lokální přístup -> vzdálený přístup) potřeba nahradit klasická opatření fyzické bezpečnosti ICT technologickými opatřeními > vzdálená autentizace a autorizace

Kontext v rámci ISMS Nové trendy Vzdálený přístup k interním systémům ICT jako služba (hosting, cloud computing) Rozšiřující se počet služeb ICT používaných jedním uživatelem Personifikace služeb Schopnosti koncového uživatele nelze vylepšit Důsledky Autentizace a autorizace je limitujícím faktorem současné informační bezpečnosti Koncový uživatel je limitujícím faktorem autentizace a autorizace

Analýza I proč nová technologie? Hledání vhodného produktu pro naše zákazníky Rok 2007 systematická analýza v celoevropském kontextu 6 kritérií: Orientace na uživatele (User Centricity) Technologická neutralita Škálovatelná úroveň bezpečnosti (včetně vysoké bezpečnosti) Ochrana proti síťovým útokům Ochrana soukromí Podpora e-governmentu Výsledek ţádná technologie nevyhovuje ve všech kritériích

Analýza I výsledky analýzy Usercentric Technology neutrality Scalable level of security, including high security Network attacks protection Privacy protecttion e government support Login/password No Partially No No No No One-time password No No No scalability. High level of security. Yes Partially No Certificate No Yes No scalability. High level of security. Yes Partially Partially Biometrics Theoretic ally, yes No Currently no scalability. Middle level of security. Currently unsolved No No Federative ID No Yes No scalability. High level of security. Yes Partially No Identity management Local only No Yes Yes No Local only State-issued identity No No No scalability. High level of security. Yes Partially Yes

Analýza II současné limity Analýzy trendů a limitů při hromadném nasazování Principielní limity v oblasti vzdálené autentizace (komunikace člověk počítač). Počítač pracuje při autentizaci s tajemstvím (secret). V ICT není možné rozpoznat originál a kopii informace (ve skutečnosti se při vzdálené komunikaci přenáší kopie) Lidské schopnosti práce s tajemstvím jsou limitovány Stále platí Moorův zákon (růst výkonu ICT v čase) Roste výkon a dostupnost ICT prostředků použitelných útočníky

Analýza II faktory Co jsem biometrie Uživatelsky centristický Spolehlivost klesá s růstem počtu osob Neobsahuje tajemství biometrické informace nelze chránit u zdroje Neexistuje přijatelné zotavení při kompromitaci Co znám hesla, PIN, Nejrozšířenější způsob Potřeba pamatovat velké množství informace (více a komplikovanějších hesel měnících se v čase) Entropie už dnes nevyhovuje Kompromitace používáním neschopnost člověka dělat kryptografické operace Co mám tokeny, karty, notebooky,.. Rostoucí výkon miniaturních přenosných zařízení Zvládá správu tajemství (secrets) s potřebnou entropií i kryptografické operace Platí Moorův zákon lze udržet tempo s útočníky

Analýza II třetí strany Certifikační autority, poskytovatelé identit, federace, Organizační a logistické problémy závislých stran Atributy Postupy ověřování Zodpovědnost Prosazení nápravných opatření Komplikovaný organizační vztah 3 subjektů Princip důvěry (závislosti) není slučitelný s principy řízení informační bezpečnosti

ALUCID základní principy Automatic Liberal User Centric electronic IDentity Navrţeno od základů ne vylepšování stávajícího Navrţeno jako ICT infrastruktura metodami systémového návrhu Nové způsoby myšlení o eid odděluje identifikaci od pojmenování Nové principy, nové metody Interní dynamika a externí stabilita

ALUCID základní principy Uţivatelská centričnost univerzálně pouţitelný token PEIG - Personal Electronic Identity Gadget Plná automatizace celého ţivotního cyklu eid Uţivatelem téměř neviditelné fungování Nulový informační obsah eid pseudonáhodná čísla Ţádná třetí strana

ALUCID základní principy Integrovaná automatizovaná správa bezpečnosti Kompletní autentizační sluţba pro aplikace (informační systémy) Rozhraní dle mezinárodních standardů (SOAP WS) Standardní kryptografie Dobrovolné pouţívání Otevřenost pro budoucí rozvoj

ALUCID základní principy Dvě základní komponenty PEIG univerzální zhmotněná elektronická identita v ruce uživatele AIM (ALUCID Identity Machine) síťová služba elektronické identity pro poskytovatele (provozovatele ICT) virtuální appliance Dvě základní uţivatelské abstrakce Permanent Secure Link pevná bezpečná vazba mezi PEIG a interním záznamem v informačním systému Personal Object obecný kontejner pro informace o uživateli včetně potřebné funkčnosti

ALUCID základní principy

ALUCID pohled uţivatele

ALUCID pohled provozovatele ICT systému

ALUCID vrstvový model Standardní způsob popisu sítí Umoţňuje zjednodušeně popsat sloţité systémy Kaţdá vrstva popisuje specielní problematiku Používá služeb nižších vrstev Poskytuje služby vyšším vrstvám (a cílovému užití)

ALUCID vrstvový model

ALUCID vrstva elektronické identity

ALUCID vrstva osobních objektů

ALUCID ţivotní cyklus identity

Ověření fyzické identity Identity Proofing Bezpečné ověření údajů o fyzické identitě (a přístupových právech) a svázání elektronickou identitou UIM User Identity Management Scénáře: Aktivační klíč Podepsaný formulář

Ošetření krizových stavů Zajištění přístupu v nestandardní situaci - dočasné zapomenutí PEIG - poškození PEIG - změna osobních údajů uţivatele - vypršení platnosti prostředků elektronické identity Řešení: Zamezení přístupu v nestandardní situaci Řešení: - náhradní /rezervní PEIG - nova verifikace údajů bez změny el. identity - automatické prodluţování platnosti - ztráta / odcizení PEIG (HW nosiče) - pokus o neoprávněný přístup s odcizeným PEIG - ukončení pracovního poměru, ukončení oprávnění přístupu, změna oprávnění - přechodné zablokování přístupu - zničení elektronické identity při zneuţití - změna přístupových práv přímo v databázi

Systémová řešení Integrace s cílovými aplikacemi Adaptery Přizpůsobení aplikace Sdílení správy uţivatelů Sdílený AIM Provázání fyzických identit bez propojení elektronických identit - Identity Link Vícevrstvá ochrana IS

Shrnutí Technologie ALUCID je přihlášena na patentových úřadech v EU, Spojených státech, Brazílii, Číně, Indie, Mexiku, Kanadě, Japonsku, Rusku První pilotní implementace: - Ministerstvo kultury ČR (od r. 2009), - Krajský úřad kraje Vysočina krajský projekt ehealth (od 12/2010) Spolupráce s odborníky: např. kryptografie - RNDr. Vlastimil Klíma ANECT je členem mezinárodního konsorcia projektu PASSIVE financovaného Evropskou komisí (Policy-Assessed system-level Security of Sensitive Information processing in Virtualized Environments); cílem projektu je vývoj řešení nebo metody pro zpracování citlivých informací ve virtuálním prostředí. ALUCID bude využit jako nástroj pro autentizaci (6/2010 6/2012). ANECT je členem evropské tematické sítě SSEDIC (Scoping the Single European Digital Identity Community) podporované Evropskou komisí (od 6/2010), jejímž cíle je formulovat podklady pro strategii univerzální evropské elektronické identity. Takţe:

Praktická ukázka ANECT a.s.

Děkuji za pozornost Otázky? Komentáře?

ALUCID přibliţuje digitální svět všem - bez potřeby technických znalostí Pojednání o PEIGu 29

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář