1 / 18

Държавна политика за мрежова и информационна сигурност в административните информационни системи

Държавна политика за мрежова и информационна сигурност в административните информационни системи Представя: Ст.н.с. д-р инж. Славчо Манолов – съветник на Председателя на ДАИТС член на Управителния съвет на ENISA Конференция A СТЕЛ 2008 “Цифрова демокрация”. Закон за електронното управление.

reuel
Download Presentation

Държавна политика за мрежова и информационна сигурност в административните информационни системи

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Държавна политика за мрежова и информационна сигурност в административните информационни системи Представя:Ст.н.с. д-р инж. Славчо Манолов – съветник на Председателя на ДАИТС член на Управителния съвет на ENISA Конференция AСТЕЛ 2008 “Цифрова демокрация”

  2. Закон за електронното управление Законът за електронното управление, приет на 12.06.2007 г. и влизащ в сила след едногодишен подготвителен период, урежда дейността на административните органи при работа с електронни документи, предоставянето на административни услуги по електронен път и обмена на електронни документи между административните органи. В глава четвърта “Оперативна съвместимост и информационна сигурност” Законът ясно регламентира изискванията за постигане на мрежова и информационна сигурност в информационни системи на административните органи. В същата глава Законът посочва държавния орган, отговорен за разработването и провеждането на политиката в областта на мрежовата и информационна сигурност, включително за упражняването на контрол – Държавната агенция за информационни технологии и съобщения.

  3. Особено внимание към мрежовата и информационна сигурност За разлика от преобладаващата понастоящем практика на автономно развитие на информационни системи във всяка отделна администрация, изискването на Закона за еднократно въвеждане на данни от гражданите и фирмите предизвиква необходимост от интензивен информационен обмен между административните системи. Това създава нов тип заплахи: - пренос на уязвимост от една система в друга; - блокиране на електронна административна услуга на една система при нарушена достъпност на друга и пр. При това постигането на определено приемливо ниво в мрежовата и информационна сигурност на всички системи става задължително условие за взаимодействието им. Предстоящото включване в системите за пан-Европейски транс-гранични електронни услуги също е свързано с това условие. Затова Законът и наредбите към него предвиждат изисквания и мерки за постигане на това ниво. Определение (синхронизирано с терминологията на Европейската комисия): „мрежова и информационна сигурност” е способността на мрежите и информационните системи да се противопоставят на определено ниво на въздействие или на случайни събития, които могат да нарушат достъпността, автентичността, интегритета и конфиденциалността на съхраняваните или предаваните данни и на услугите, свързани с тези мрежи и системи.

  4. Обхват на държавната политика Съгласно “Наръчника на ITU за национална самооценка по киберсигурност” това включва преди всичко: 1. Определяне на водеща институция 2. Идентифициране на основните организации с опре- делена роля в киберсигурността 3. Определяне на водещи личности или звена в основ- ните организации 4. Формулиране на националната политика 5. Формулиране на механизмите за координация 6. Изграждане на национален център за действие при инциденти в сигурността (N-CSIRT) 7. Установяване на интегриран процес за управление на риска 8. Установяване процес на оценки и самооценки 9. Установяване сътрудничество с частния сектор 10. Национална кампания за култура на киберсигурността

  5. Наредба за общите изисквания към оперативната съвместимост и информационната сигурност Определена част от тези етапи са формулирани в този основен подзаконов нормативен акт, регламентиращ мрежовата и информационна сигурност на административните информационни системи. В своята трета глава Наредбата формулира както политиката, така и конкретните изисквания към мрежовата и информационна сигурност на системите на административните органи. Основни раздели: 1. Политика за мрежова и информационна сигурност; 2. Организация на мрежовата и информационна сигурност; 3. Управление на достъпа и защита срещу неправомерен достъп; 4. Управление на комуникациите и експлоатационните процеси; 5. Защита срещу нежелан софтуер; 6. Мониторинг; 7. Физическа сигурност и защита на околната среда; 8. Управление на инциденти; 9. Сигурност, свързана със служителите в администрацията

  6. На какво е основана конкретната разработка на политиката 1. Международни стандарти: - ISO/IEC 270ХХ (Information security management systems) – предвид факта, че тази серия обединява и някои съществуващи до сега отделно стандарти, например, ISO 13335(IT security management) става 21005, ISO/IEC 16028(IT network security) става 27033 и пр.; - ISO / IEC 15408-2 (Common Criteria); - по отношение на мрежовата сигур- ност – препоръки Х.800 и Х.805 на ITU 2. Разработката на IBM-България “Security Аrchitecture” в рамките на PHARE-проект за българската централна администрация 3. Добрите европейски практики, систематизирани от ENISA

  7. Организация на мрежовата и информационна сигурност на две нива 1. Централно ниво: 1.1. Управление на Националната електронна съобщителна мрежа (НЕСМ) от определен от Министерския съвет администратор под методическия контрол на ДАИТС; 1.2. Национален център за действие при инциденти в компютърната сигурност(N-СSIRТ), изграждан понастоящем от ДАИТС със съдействието на ENISA и CERT-Унгария; 1.3. Единна среда за обмен на електронни документи (ЕСОД); 1.4. Съвет за мрежова и информационна сигурност на информационните системи на административните органи – консултативен орган към ДАИТС; 1.5. Звено за планов и текущ контрол на мрежовата и информационна сигурност към ДАИТС. 2. Ниво “Административен орган” – въз основа на: 2.1. Вътрешни правила по модела на „Системи за управление на информационната сигурност”, регламентиран от ISO 27001:2005; 2.2. Сертификация на административните информационни системи в съответствие с глава шеста от Наредбата

  8. Централно ниво 1. НЕСМ - съгласно Наредбата, администраторът на НЕСМ отговаря за прилагане на мерките за мрежова сигурност в съответствие с препоръки Х.800 и Х.805 на ITU, включително защитата на Интернет-комуникациите на администрациите. 2. Национален център за действие при инциденти в компютърната сигурност

  9. Единна среда за обмен на електронни документи (ЕСОД) ЕСОД е управляема среда за сигуренстандартизиран обмен на документи, вписани в регистъра на информационните обекти, между лица, регистрирани за участие в обмена. Единен портал Gateway to .. ЕСОД- клиент ЕСОД- клиент ЕСОД- сървър ЕСОД- клиент ЕСОД- клиент ●●● АИС АИС

  10. Някои характеристики на ЕСОД Регистрация на участниците: • Данни, идентифициращи администрацията • Наименование на участника • IP-адрес • УРИ на регистрация • Цифров сертификат • Други данни Нива на адресация при обмен: • Адресация на ниво “съобщение”- чрез IP; • Адресация на ниво “пренос на документ”- УРИ на регистрация на участник; • Адресация на ниво услуга или процедура- УРИ на регистрация на документ-заявление. Криптиране/декриптиране на съобщенията чрез асиметрична криптография посредством публичния ключ на цифровите сертификати на ЕСОД-сървъра и ЕСОД-клиентите. Удостоверенията се издават от вътрешната инфраструктура на публичния ключ за всички администрации, изграждана и поддържана от Министъра на държавната администрация и административната реформа.

  11. Схема на изпълнение на двете сесии за обмен на документ Document “A” OSCI Message“A” OSCI Message“B” Document “A” OSCI Receipt “B” OSCI Receipt “A”

  12. Ниво “Административен орган” - групи действия В изпълнение на Наредбата за оперативна съвместимост и информационна сигурност, административният орган трябва да предприеме три групи действия (изброяването не ги ранжира нито по важност, нито по хронология): Действия по включване към НЕСМ и ЕСОД (осигурява централното ниво на мрежовата и информационна сигурност) Сертифициране на определени информационни системи по смисъла на глава шеста от Наредбата Сертифициране на административния орган (всички информационни системи) по ISO 27001:2005

  13. Сертификация за мрежова и информационна сигурност По същество, Наредбата за оперативна съвместимост и информационна сигурностпредвижда две сертификации: 1. Специфична сертификация на информационни системи и продукти, формулирана в глава шеста на Наредбата и осъществявана от акредитирани от Председателя на ДАИТС лица. Това е задължително за новите системи и продукти, а за съществуващите ще се направи график в съответствие с резултатите от прегледа по § 5 от ПЗР на Закона. Тази сертификация обхваща точно определени административните информационни системи; 2. Сертификация на вътрешните правила на административния орган като „Система за управление на информационната сигурност” по смисъла на ISO 27001:2005 от оправомощена за това организация. Наредбата предвижда това да стане в срок от 18 месеца. Тази сертификация обхваща всички информационни системи на административния орган.

  14. Сертифициране на информационните системи по глава шеста на Наредбата Кои системи се сертифицират: А. Административните информационни системи по смисъла на чл. 4 от Наредбата за вътрешния оборот на електронни документи; Б. Специализираните информационни системи, осигуряващи изцяло или частично функциите на административна информационна система, доколкото генерират електронни документи, регламентирани в Наредбата за вътрешния оборот на електронни документи. Сертифицирането на информационната система за информационна сигурност по глава шеста от наредбата включва: 1. Проверка на изискванията по отношение на съхранението и достъпа до данните в системата. 2. Проверка на нивото на защита на достъпа до ресурсите на информационната система. 3. Проверка по отношение на функциите по заключване и отключване на документи. 4. Проверка на изпълнението на изискванията за преносимост на всички съдържащи се в системата данни.

  15. Акредитация на проверяващи лица • Председателят на ДАИТС: • оценява лицата, подали заявление за акредитация; • поддържа публично достъпен списък (по същество, регистър) от • акредитирани лица; • овластява длъжностни лица, които контролират • акредитираните оценители. • Кандидатстващите лица представят: • Справка за компетентността на персонала, извършващ оценките; • Списък на използваните технически средства, с които разполагат в лабораториите си за изпитване и/или в лабораториите, с които има сключени договори; • Договор за застраховка за вредите, които могат да настъпят вследствие на неизпълнение на задълженията; • Прилаганите методики и процедури.

  16. Сертифициране на административните органи Това е сертификация на вътрешните правила на административния орган като „Система за управление на информационната сигурност” по смисъла на ISO 27001:2005 от оправомощена за това организация. Проектът за наредба предвижда това да стане в срок от 18 месеца. Този тип сертификация обхваща всички информационни системи на административния орган. Какво конкретно включва това? - класификация на информационните активи; - оценка и управление на риска; - управление на достъпа; - управление на експл. процеси; - защита срещу нежелан софтуер; - мониторинг и упр-ние на инциденти; - мерки за физическа сигурност; - сигурност на персонала.

  17. Нива на защита от неправомерен достъп Наредбата за общите изисквания за оперативна съвместимост и информационна сигурност определя четири нива на защита от неправомерен достъп до всеки информационен актив: - ниво „0” или “D” – ниво на свободен достъп; - ниво „1” или „С” – ниво на произволно управление на достъпа; - ниво „2” или „В” – ниво на принудително управление на достъпа; - ниво „3” или „А” – ниво на проверена сигурност. Ръководителите на административните звена класифицират информационните активи в съответното звено по посочените нива. Всяко самостоятелно звено на администрацията управлява идентификаторите на ползвателите на информационните системи.

  18. Мерки за сигурност при управление на експлоатационните процеси Като основно средство се препоръчва създаване на зони на сигурност, произтичащи от международния стандарт ISO / IEC 15408-2 “Common Criteria”. Зоните на сигурност са области от софтуерната архитектура на системата, адекватно разделени една от друга, като преносите на данни от една зона в друга са строго регламентирани и се осъществяват през контролни обекти, като защитни стени, прокси-сървъри и др. Важна роля играе т.н. „демилитаризирана зона (DMZ)” – мрежова област, разположена между публичната неконтролируема част на системата и вътрешната защитена част. DMZ организира информационни услуги към двете части на мрежата, като защищава вътрешната част от нерегламентиран достъп. Сертифициране на административните информационни системи по “Common Criteria” се предвижда за по-късен период.

More Related