Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Podobné dokumenty
Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému

2 Vymezení pojmů. Pro účely této vyhlášky se rozumí

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Fyzická bezpečnost z hlediska ochrany utajovaných informací

3/2.2 LEGISLATIVA K IT BEZPEČNOSTI VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ

Bezpečností politiky a pravidla

Zabezpečená videokonference a hlas v IP a GSM komunikačním prostředí. Jiří DOUŠA Červen 2014

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic

Komunikace mezi doménami s různou bezpečnostní klasifikací

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Bezpečnostní dokumentace informačních a komunikačních systémů (IKS)

Bezpečnostní politika společnosti synlab czech s.r.o.

SBÍRKA ZÁKONŮ. Ročník 2011 ČESKÁ REPUBLIKA. Částka 155 Rozeslána dne 29. prosince 2011 Cena Kč 65, O B S A H :

MOŽNOSTI FINANCOVÁNÍ PROJEKTŮ EGOVERNMENTU A KYBERNETICKÉ BEZPEČNOSTI Z INTEGROVANÉHO REGIONÁLNÍHO OPERAČNÍHO PROGRAMU (IROP) V PROGRAMOVÉM OBDOBÍ

Bezpečnostní politika společnosti synlab czech s.r.o.

ČESKÁ TECHNICKÁ NORMA

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Z internetu do nemocnice bezpečně a snadno

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Policejní akademie ČR. Bezpečnostní seminář JUDr. Josef Veselý 1

Organizační opatření, řízení přístupu k informacím

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Kybernetická bezpečnost

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

Systém Přenos verze 3.0

Vaše jistota na trhu IT. Národní distribuce oficiálních dokumentů EU. IS EU Extranet ČR. Jiří Truxa, S.ICZ a.s , Hradec Králové.

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

9/2011 Sb. VYHLÁŠKA ze dne 10. ledna 2011,

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Obecné nařízení o ochraně osobních údajů

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Ochrana utajovaných informací v komunikačních a informačních systémech. Jan Svoboda

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Částka 4 ČÁST PRVNÍ OBECNÁ USTANOVENÍ

Federační politika eduid.cz

Certifikace pro výrobu čipové karty třetí stranou

Tonda Beneš Ochrana informace podzim 2011

Bezepečnost IS v organizaci

Technická a organizační opatření pro ochranu údajů

Fyzická bezpečnost. Druhy zajištění ochrany utajovaných informací (OUI) Ing. Oldřich Luňáček, Ph.D.

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

BISON. B udování a I mplementace S oftwarových O pen source N ástrojů, z. s.

Úvod - Podniková informační bezpečnost PS1-2

Pojem bezpečnost ICT v českém právním řádu

Informace o zpracování osobních údajů

Provozní hlediska systémového auditu v aplikacích a systémech

ISVS - VODA v kontextu směrnice INSPIRE. Zdeněk Hošek Sekce vodního hospodářství Sekce pro ekonomiku a informační technologie

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

FVL FB. Bezpečnostní normy. Ing. Oldřich Luňáček, Ph.D.

EXTRAKT z české technické normy

seznam je seřazen podle (implementační) složitosti, které tentokrát přímo úměrně odpovídá kvalita poskytované ochrany

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Věstník ČNB částka 5/2011 ze dne 7. června ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 27. května 2011

Zásady ochrany údajů v evropském regionu

Ministerstvo pro místní rozvoj stanoví podle 213 odst. 3 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, (dále jen zákon ): 2 Vymezení pojmů

srpen 2008 Ing. Jan Káda

Čl. I Vyhláška č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací, ve znění vyhlášky č. 55/2008 Sb.

ČESKÁ TECHNICKÁ NORMA

Úplné znění zákona č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů

1. Integrační koncept

Technická a organizační opatření Českých Radiokomunikací

PRINCIPY OPERAČNÍCH SYSTÉMŮ

SSL Secure Sockets Layer

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Konsolidace rezortních registrů. 4. dubna 2011

Jak efektivně ochránit Informix?

SBÍRKA ZÁKONŮ. Ročník 2012 ČESKÁ REPUBLIKA. Částka 47 Rozeslána dne 16. dubna 2012 Cena Kč 128, O B S A H :

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

/2011 Sb. Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních. s utajovanými informacemi a o certifikaci stínicích

Aktuality z elektronické identifikace. Jaromír Talíř

PV157 Autentizace a řízení přístupu

Podmínky ochrany osobních údajů

Příklad druhý, Politika používání mobilních PC (mpc)

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Aktuální situace čerpání v oblasti egovernmentu a kybernetické bezpečnosti v Integrovaném regionálním operačním programu 4. 4.

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Elektronická evidence tržeb. Produkční prostředí Přístupové a provozní informace

Certifikační autorita v praxi

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

PRODEJ Prodej je pochopitelně základní funkcí pokladního systému. Systému MERCATOR umožňuje prodej realizovat ve 3 režimech:

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Informatika / bezpečnost

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Zajištění provozu multifunkčních, multimediálních elektronických zařízení určených pro zpracování utajovaných informací

Zákon o kybernetické bezpečnosti

GDPR compliance v Cloudu. Jiří Černý CELA

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

Transkript:

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení a o certifikaci stínicích komor, ve znění vyhlášky č. 453/2011 Sb. listopad 2013 1

Bezpečnostní provozní módy vyhrazený s nejvyšší úrovní s nejvyšší úrovní s formálním řízením přístupu k informacím víceúrovňový definovány v předpisech NATO, EU, národních (vyhláška č. 523/2005 Sb.) prvé tři jsou jednoúrovňové, nicméně opětovně zavedený bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím ( compartmented ) přináší zvýšený dohled nad přístupy uživatelů k informacím listopad 2013 2

Bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím (Compartmented) Prostředí umožňující zpracování utajovaných informací různého stupně utajení, přičemž všichni uživatelé musí splňovat podmínky pro přístup k utajované informaci nejvyššího stupně utajení, se kterým se může v IS nakládat, avšak nejsou oprávněni pracovat se všemi informacemi obsaženými v IS. Je umožněno pouze formální řízení přístupu zajišťované formální centrální správou kontroly přístupu. Požadavky: splnit všechny minimální požadavky počítačové bezpečnosti, opatření administrativní, personální a fyzické bezpečnosti a zabezpečení dat během přenosu na úrovni požadované pro nejvyšší stupeň utajení informací v IS. Zajistit výlučně formální centrální správu přístupových práv. listopad 2013 3

Poznámka IS v bezpečnostním provozním módu vyhrazeném, s nejvyšší úrovní a s nejvyšší úrovní s formálním řízením přístupu k informacím nemají implementovány takové bezpečnostní mechanismy, které by zaručovaly rozlišování stupně utajení objektů. Proto v těchto IS jsou veškeré informace v IS chráněny na úrovni odpovídající nejvyššímu stupni utajení, pro jaký je daný IS určen. Pokud z IS vystupují informace, musí být buďto uživatelem, bezpečnostním správcem apod. určen jejich skutečný stupeň utajení nebo se s nimi musí i nadále nakládat jako s utajovanou informací nejvyššího stupně utajení, který může být IS obsažen. listopad 2013 4

Bezpečnostní provozní mód víceúrovňový Bezpečnostní provozní mód víceúrovňový je takové prostředí, které umožňuje v jednom informačním systému současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém nemusí všichni uživatelé splňovat podmínky přístupu k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. listopad 2013 5

Bezpečnostní funkce jednoznačná identifikace a autentizaci uživatele informačního systému, ochrana důvěrnosti a integrity autentizační informace, volitelné řízení přístupu k objektům informačního systému na základě přístupových práv uživatele a jeho identity nebo členství ve skupině uživatelů, nepřetržité zaznamenávání bezpečnostně relevantních událostí do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením listopad 2013 6

Bezpečnostní funkce možnost zkoumání auditních záznamů a stanovení odpovědnosti jednotlivého uživatele, ošetření paměťových objektů před jejich dalším použitím, zejména před přidělením jinému subjektu informačního systému, které znemožní zjistit jejich předchozí obsah, ochrana důvěrnosti dat během přenosu mezi zdrojem a cílem, a dále povinné řízení přístupu listopad 2013 7

Povinné řízení přístupu Funkce povinného řízení přístupu subjektů IS k objektům IS musí zabezpečit trvalé spojení každého subjektu a objektu IS s bezpečnostním atributem, který - pro subjekt IS vyjadřuje úroveň jeho oprávnění - pro objekt IS jeho stupeň utajení, ochranu integrity bezpečnostního atributu, listopad 2013 8

Povinné řízení přístupu výlučné oprávnění bezpečnostního správce IS k provádění změn bezpečnostních atributů subjektů i objektů informačního systému přidělení předem definovaných hodnot atributů pro nově vytvořené objekty IS a zachování atributu při kopírování objektu IS listopad 2013 9

Povinné řízení přístupu bezpečnostní funkce povinného řízení přístupu musí zajistit tyto zásady subjekt informačního systému může číst informace v objektu informačního systému pouze tehdy, je-li úroveň jeho oprávnění stejná nebo vyšší než stupeň utajení objektu informačního systému, subjekt informačního systému může zapisovat informaci do objektu informačního systému pouze tehdy, je-li úroveň jeho oprávnění stejná nebo nižší než stupeň utajení objektu informačního systému, listopad 2013 10

Povinné řízení přístupu přístup subjektu IS k informaci obsažené v objektu IS je možný, jestliže jej povolují jak pravidla povinného řízení přístupu, tak pravidla volitelného řízení přístupu, IS v bezpečnostním provozním módu víceúrovňovém, musí být schopen přesně označit stupněm utajení utajované informace vystupující z IS a umožnit přiřadit stupeň utajení utajované informaci vstupující do IS, bezpečnostní funkce musí být realizovány identifikovatelnými programově technickými mechanismy, dokumentovány tak, aby bylo možné jejich nezávislé prověření a zhodnocení. listopad 2013 11

Bellův a LaPadulův formální model bezpečnostní politiky Bell D.E., La Padula L.J., 1976, zpráva MITRE Corporation, vyvinut pro DoD US vliv na TCSEC vliv na ITSEC vliv na profily v CC listopad 2013 12

Bellův a LaPadulův formální model bezpečnostní politiky bezpečnost formálně popsána a dokázána stavový model - stav je bezpečný pokud je v souladu s bezpečnostní politikou pro přístup subjektu k objektu; porovnává se úroveň prověření subjektu a stupeň utajení objektu + need-to-know subjektu k objektu; přechod do dalšího stavu zajišťován tak, že nový stav je opět bezpečný základní zásady bezpečnostní politiky pro MAC: - Simple Security Condition: subjekt nesmí číst z objektu vyšší bezpečnostní úrovně (no read-up) - * Property: subjekt nesmí zapisovat do objektu nižší bezpečnostní úrovně (no write-down) - Discretionary security property (dle přístupových práv, jako v jednoúrovňovém IS) listopad 2013 13

Bezpečná realizace víceúrovňový operační systém ohodnocený podle některých z kritérií bezpečnosti (CC) na aplikační úrovni obtížné navrhnout, implementovat, poté prokázat bezpečnost využití kryptografické ochrany - obtížnost návrhu, implementace, prokázání bezpečnosti listopad 2013 14

Bezpečná realizace aktuálně stále neznáme v oblasti utajovaných informací realizaci víceúrovňového IS v NATO ani EU některé operační systémy hodnocené podle CC mají modul zajišťující povinné řízení přístupu (IBM z/os v módu Labeled Security mode, některé UNIX/LINUX se zabudovaným volitelným i povinným řízením přístupu, které ale musí být aktivováno, např. Free BSD, Red Hat,AIX, Solaris) režie na správu víceúrovňového systému je údajně vysoká, funkce MAC není využívána listopad 2013 15

Bezpečná realizace Poznámky stěžejním problémem je přesná implementace Bell- LaPadula modelu, zejména udržení integrity atributů subjektů a objektů a neobejitelnost pravidel pro přístup některé certifikované IS v bezpečnostním provozním módu s nejvyšší úrovní využívají labelů s označením stupně utajení a kategorie informace připojených k některým objektům (např. e-mailová zpráva); to z nich ještě nedělá víceúrovňový systém přímo na OS Windows postavit víceúrovňový systém nelze listopad 2013 16

Bezpečné propojení informačních systémů Novela vyhlášky č. 523/2005, kterou je vyhláška č. 453/2011 Sb., Propojením informačních systémů (IS) se zde rozumí: propojení dvou nebo více informačních systémů za účelem jednosměrného nebo vícesměrného sdílení údajů a dalších informačních zdrojů POZN. Může se jednat o IS pro nakládání s utajovanými informacemi i IS pro nakládání s neutajovanými informacemi listopad 2013 17

Bezpečné propojení informačních systémů Novela vyhlášky č. 523/2005, kterou je vyhláška č. 453/2011 Sb., Propojení informačního systému pro nakládání s utajovanými informacemi s informačním systémem pro nakládání s neutajovanými informacemi lze realizovat pouze v případě nezbytné provozní potřeby. listopad 2013 18

Bezpečné propojení informačních systémů Novela vyhlášky č. 523/2005, kterou je vyhláška č. 453/2011 Sb., Vzájemné propojení certifikovaných IS lze realizovat, pokud - je propojení na základě analýzy rizik schváleno v rámci jejich certifikace, - je mezi nimi realizováno bezpečnostní rozhraní a - jsou buďto certifikovány pro nakládání s utajovanými informacemi stejného stupně utajení, nebo je propojení realizováno tak, aby bylo zabráněno přenosu utajované informace vyššího stupně utajení, nežli je stupeň utajení, pro který je IS certifikován. listopad 2013 19

Bezpečné propojení informačních systémů Novela vyhlášky č. 523/2005, kterou je vyhláška č. 453/2011 Sb Pokud by nastala nezbytná provozní potřeba pro propojení certifikovaného IS s veřejnou komunikační sítí, pak pouze v případě, že je instalováno vhodné bezpečnostní rozhraní schválené na základě analýzy rizik v rámci certifikace IS tak, aby bylo zamezeno průniku do certifikovaného IS a byl umožněn pouze kontrolovaný přenos dat, nenarušující důvěrnost, integritu a dostupnost utajované informace a dostupnost služeb certifikovaného IS. Zakázáno pro Přísně tajné. listopad 2013 20

Bezpečné propojení informačních systémů Novela vyhlášky č. 523/2005, kterou je vyhláška č. 453/2011 Sb Pokud je veřejná komunikační síť využívána výhradně k přenosu dat mezi certifikovanými IS nebo mezi lokalitami certifikovaného IS a přenášené informace jsou chráněny certifikovaným kryptografickým prostředkem, nepovažuje se takové spojení za propojení. Opět musí být ale realizováno vhodné bezpečnostní rozhraní, zamezující průniku do IS (analýza rizik, schválení v rámci certifikace IS). listopad 2013 21

Dotazy? Národní bezpečnostní úřad RNDr. Anna Mašková, Csc. odbor informačních technologií a.maskova@nbu.cz tel. 527 583 348 listopad 2013 22

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář