komplexn e en bezpe nosti informac rezortu zdravotnictv n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Komplexní řešení bezpečnosti informací rezortu zdravotnictví PowerPoint Presentation
Download Presentation
Komplexní řešení bezpečnosti informací rezortu zdravotnictví

Loading in 2 Seconds...

play fullscreen
1 / 29
natalie-lara

Komplexní řešení bezpečnosti informací rezortu zdravotnictví - PowerPoint PPT Presentation

60 Views
Download Presentation
Komplexní řešení bezpečnosti informací rezortu zdravotnictví
An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Komplexní řešení bezpečnosti informací rezortu zdravotnictví Jaroslav Šustr, ICZ a. s. 29.11.2010

  2. BVZ UI

  3. KBD BKI

  4. ISMS IAM

  5. Bezpečná výpočetní základna • Metodika pro implementaci sítí založených na Microsoft Windowsa Active Directory • Infrastruktura pro provoz informačních systémů, která poskytuje prostředky pro řízení přístupu k aktivům podle norem • Bezpečnostní politika organizace • ČSN ISO/IEC 27001 a ČSN ISO/IEC 17799 • Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti

  6. Začlenění BVZ do infrastruktury ICT

  7. Bezpečná výpočetní základna • Součásti BVZ • Návrh bezpečnostní architektury • Infrastrukturní síťové služby • Operační systémy Windows • Adresářové služby Active Directory • Síťové uživatelské prostředí • Zabezpečení strategických dat • PKI pro podporu služeb BVZ • Bezpečnostní aktualizace • Správa serverů a stanic • Kancelářské prostředí Office a Exchange • Spolupráce při zprovoznění IS v prostředí BVZ

  8. Architektura infrastruktury Logická topologie – les a domény Fyzická topologie – lokality a propojení

  9. Cíle BVZ • Integrace organizací do jednoho lesa AD • Centralizovaná i decentralizovaná správa • Zjednodušení správy prostředí • Jeden společný globální katalog – adres list • Možnost budovat centrální aplikace pro resort • Prosazení bezpečnostních politik do technologie • Zvýšení bezpečnosti a rozšíření funkcionality použitím aktuálních verzí sw • Podpora životního cyklu počítačů

  10. Koncepce řešení UI Pro stanovení konceptu bude proveden průzkum s cílem shromáždit požadavky na skutečný rozsah a funkcionalitu systémů na zpracování UI v resortu Průzkum v oblastech: Identifikovat organizace rezortu, které mají nakládání s UI ve své působnosti Ověřit požadavky na potřebnou techniku Ověřit skutečné provozní potřeby zpracování UI Ověřit záměr navázat na stávající IS MZ-SP-T Koncepce řešení počítá s následujícími postupy: Bezpečnostní správu ISů provádět pracovníky MZ Dodavatelsky zajistit- Podporu v oblasti řízení schvalovacího procesu - Pro zajištění provozu dodávat služby HotLine

  11. Koncepce řešení UI pokračování UI zpracovávat na samostatných počítačích na pracovištích zpracování UI. Tato pracoviště zřizovat jen u těch organizací rezortu, které mají nakládání s UI ve své působnosti, potřebují je zpracovávat v elektronické formě a s takovou frekvencí a rozsahem, který ospravedlňuje vynaložené náklady. Při velmi nízké potřebě zpracovávat UI na pracovišti nadřízené organizace/ministerstva Bezpečnostní správu systémů provádět pracovníky, které jmenuje MZ resp. organizace resortu MZ z řad svých zaměstnanců. Rovněž zajištění fyzické bezpečnosti pracovišť IS, personální bezpečnost uživatelů IS a administrativní bezpečnost budou v působnosti MZ

  12. Zpracování UI Vyhrazené a Důvěrné Pro zpracování UI stupně utajení Vyhrazené a stupně utajení Důvěrné vytvořit jeden IS MZ-SP, jehož hlavním provozovatelem je MZ ČR, a má až 20 pracovišť na místech, které určí hlavní provozovatel. Řešení s užitím samostatných počítačů (notebooků), nutno vyhovět požadavkům na ochranu proti kompromitujícímu vyzařování Soupravy počítačů pro zpracování UI musí být převedeny do majetku MZ Zpracovávány a uchovávány budou dokumenty ke komunikaci se subjekty státní správy dokumenty krizového plánování dokumenty obsahujících UI souvisící s náplní práce provozující organizace bezpečnostní dokumentace projektů a systémů

  13. Cíle projektu Bezpečná komunikační infrastruktura (BKI) • Sjednocení způsobu zabezpečení komunikační infrastruktury (technické prostředky, technologie ...) • Sjednocení konceptu Managed Security Services (procesy kontinuálního řízení zabezpečení ...) • Sjednocení bezpečnostních politik (přístupy na zařízení, pravidla pro filtrování provozu ...) • Sjednocení auditních metodik a postupů (rozsah a postup penetračního testování ...)

  14. BKI - Sjednocení způsobu zabezpečení komunikační infrastruktury • Návrh architektury a koncept cílových systémů určených pro navýšení zabezpečení komunikační infrastruktury: • Firewally • Intrusion detection/prevention systémy (IDS/IPS) • Email a Web security systémy • Content filtering systémy • Virtuální privátní sítě (VPN) • Zabezpečení komunikační infrastruktury jednotlivých subsystémů (Wireless LAN ...) • Systémy pro řízení přístupu do sítě (802.1x, NAC ...)

  15. BKI - Sjednocení konceptu Managed Security Services • Sběr informací • Analýza a korelace • Audit – prověření zranitelností , penetrační testování • Aplikace nových opatření do bezpečnostních politik

  16. BKI - Sjednocení bezpečnostních politik a auditních metodik • Analýza současných a návrh jednotných politik • Politika přístupu na zařízení • Politika pro vytváření filtračních pravidel • Audit • Rozsah, četnost a pravidlenost prováděných penetračních testů • Auditování vybraných OS a web.aplikací (LAMP)

  17. Zavedení bezpečnostní politiky a systému řízení bezpečnosti ICT (ISMS) • Cíl: Sjednotit a zlepšit řízení bezpečnosti ICT v rezortu a tím • zlepšit bezpečnost • zvýšit efektivitu použitých zdrojů

  18. ISMS – Cílový stav Přístup k zajištění bezpečnosti ICT ve všech organizacích metodicky sjednocen a koordinován Řízení bezpečnosti ICT v organizacích vychází z ČSN ISO/IEC 27001 Bezpečnostní opatření v každé organizaci přizpůsobena konkrétní situaci – řízení rizik Udržování bezpečnosti a reakce na změny zajištěny soustavným zlepšováním a opakováním cyklů Vybraná bezpečnostní opatření jsou implementována centrálně Minimální úroveň bezpečnosti napříč všemi organizacemi 18

  19. ISMS – Cílový stav MZ stanovuje politiku řízení bezpečnosti ICT rezortu postupy a metody řízení bezpečnosti, řízení rizik atd. minimální úroveň bezpečnosti Jednotlivé organizace zajišťují hodnocení rizik a rozhodnutí o zvládání rizik bezpečnosti ICT implementaci bezpečnostních opatření monitorování, kontrolu, interní audity informování o stavu bezpečnosti MZ a KŘB ICT MZ nebo Komise pro řízení bezpečnosti ICT vyhodnocuje informace z organizací doporučuje další postup a změny postupů a metod řízení bezpečnosti, hodnocení a řízení rizik, minimální úrovně bezpečnosti 19

  20. ISMS – Cílový stav 20

  21. ISMS – Rozsah prací Pro rezort Koncepce řízení bezpečnosti ICT Politika řízení bezpečnosti ICT Zjištění stávajícího stavu Konzultace k požadavkům na organizace V každé organizaci Návrh politiky systému řízení bezpečnosti ICT Návrh řídících struktur bezpečnosti ICT Analýza rizik Výběr z variant zvládání rizik a možných opatření Zavádění vybraných opatření První provedení interních auditů Podpora při prvním přezkoumání ISMS vedením 21

  22. Správa identit a řízení přístupu (IAM) • Předpokládaný cílový stav • Jeden centralizovaný systém (centralizovaná databáze uživatelů) spravující uživatelské identity v následujících systémech • Systémy uvedené v nabídce • Bezpečná výpočetní základna (Microsoft Active Directory – adresářové služby pro správu operačních systémů Microsoft Windows) • Systém elektronické pošty (Exchange) • Provozní informační systém rezortu zdravotnictví (jeden centrální) • Další systémy identifikované v rámci projektu (výhledově) • LDAP KSRZIS, LDAP SUKL, … • Docházkové systémy a systémy objektové bezpečnosti (řízení přístupů)

  23. Správa identit a řízení přístupu (IAM) • Předpokládaný cílový stav (pokračování) • Primárním zdrojem dat o uživatelích bude centralizovaný modul lidských zdrojů Provozního informačního systému rezortu zdravotnictví • V průběhu analýzy bude nutné identifkovat potřebu a formu „sekundárního zdroje“. • Funkcionalita • jednotná, automatizovaná a auditovatelná správa uživatelských účtů • správa přihlašovacích údajů – hesel (a případně certifikátů) • podpora správy čipových karet na 21 pracovištích; kontaktní část bude použita pro ukládání klíčů a certifikátů

  24. Správa identit a řízení přístupu (IAM) • Předpokládaný cílový stav (pokračování) • Řešení bude spolupracovat s centrální PKI autoritou vybudovanou v rámci dodávky řešení. • Informace z auditu uživatelů budou předávány do systému řešení kontinuálního bezpečnostního dohledu. • Předpokládané technologie • CA Identity Manager • CA Role Manager Systém • iCMS (ICZ Card Management System)

  25. Správa identit a řízení přístupu (IAM)

  26. Kontinuální bezpečnostní dohled (KBD)

  27. Kontinuální bezpečnostní dohled (KBD) • Dodávané technologie • CA Enterprise Log Manager (CA ELM) • Výkonný sběr auditních hlášení • Efektivní komprese logů a archivace • Prohledávání • Automatické aktualizace • Integrace s ostatními bezpečnostními produkty • Podpora mnoha formátů logů

  28. Kontinuální bezpečnostní dohled (KBD)

  29. Děkuji za vaši pozornost Jaroslav Šustr Jaroslav.Sustr@i.cz +420 724 429 916 S.ICZ a.s. Bezpečnost www.i.cz