slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Държавна политика за мрежова и информационна сигурност в административните информационни системи PowerPoint Presentation
Download Presentation
Държавна политика за мрежова и информационна сигурност в административните информационни системи

Loading in 2 Seconds...

play fullscreen
1 / 18

Държавна политика за мрежова и информационна сигурност в административните информационни системи - PowerPoint PPT Presentation


  • 148 Views
  • Uploaded on

Държавна политика за мрежова и информационна сигурност в административните информационни системи Представя: Ст.н.с. д-р инж. Славчо Манолов – съветник на Председателя на ДАИТС член на Управителния съвет на ENISA Конференция A СТЕЛ 2008 “Цифрова демокрация”. Закон за електронното управление.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Държавна политика за мрежова и информационна сигурност в административните информационни системи' - reuel


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

Държавна политика за мрежова и информационна сигурност в административните информационни системи

Представя:Ст.н.с. д-р инж. Славчо Манолов –

съветник на Председателя на ДАИТС

член на Управителния съвет на ENISA

Конференция AСТЕЛ 2008 “Цифрова демокрация”

slide2

Закон за електронното управление

Законът за електронното управление, приет на 12.06.2007 г. и влизащ в сила след едногодишен подготвителен период, урежда дейността на административните органи при работа с електронни документи, предоставянето на административни услуги по електронен път и обмена на електронни документи между административните органи.

В глава четвърта “Оперативна съвместимост и информационна сигурност” Законът ясно регламентира изискванията за постигане на мрежова и информационна сигурност в информационни системи на административните органи.

В същата глава Законът посочва държавния орган, отговорен за разработването и провеждането на политиката в областта на мрежовата и информационна сигурност, включително за упражняването на контрол – Държавната агенция за информационни технологии и съобщения.

slide3
Особено внимание към мрежовата и информационна сигурност

За разлика от преобладаващата понастоящем практика на автономно развитие на информационни системи във всяка отделна администрация, изискването на Закона за еднократно въвеждане на данни от гражданите и фирмите предизвиква необходимост от интензивен информационен обмен между административните системи. Това създава нов тип заплахи:

- пренос на уязвимост от една система в друга;

- блокиране на електронна административна услуга на една система при нарушена достъпност на друга и пр.

При това постигането на определено приемливо ниво в мрежовата и информационна сигурност на всички системи става задължително условие за взаимодействието им.

Предстоящото включване в системите за пан-Европейски транс-гранични електронни услуги също е свързано с това условие.

Затова Законът и наредбите към него предвиждат изисквания и мерки за постигане на това ниво.

Определение (синхронизирано с терминологията на Европейската комисия): „мрежова и информационна сигурност” е способността на мрежите и информационните системи да се противопоставят на определено ниво на въздействие или на случайни събития, които могат да нарушат достъпността, автентичността, интегритета и конфиденциалността на съхраняваните или предаваните данни и на услугите, свързани с тези мрежи и системи.

slide4
Обхват на държавната политика

Съгласно “Наръчника на ITU за национална самооценка по киберсигурност” това включва преди всичко:

1. Определяне на водеща институция

2. Идентифициране на основните организации с опре-

делена роля в киберсигурността

3. Определяне на водещи личности или звена в основ-

ните организации

4. Формулиране на националната политика

5. Формулиране на механизмите за координация

6. Изграждане на национален център за действие при

инциденти в сигурността (N-CSIRT)

7. Установяване на интегриран процес за управление

на риска

8. Установяване процес на оценки и самооценки

9. Установяване сътрудничество с частния сектор

10. Национална кампания за култура на киберсигурността

slide5
Наредба за общите изисквания към оперативната съвместимост и информационната сигурност

Определена част от тези етапи са формулирани в този основен подзаконов нормативен акт, регламентиращ мрежовата и информационна сигурност на административните информационни системи.

В своята трета глава Наредбата формулира както политиката, така и конкретните изисквания към мрежовата и информационна сигурност на системите на административните органи.

Основни раздели:

1. Политика за мрежова и информационна сигурност;

2. Организация на мрежовата и информационна сигурност;

3. Управление на достъпа и защита срещу неправомерен достъп;

4. Управление на комуникациите и експлоатационните процеси;

5. Защита срещу нежелан софтуер;

6. Мониторинг;

7. Физическа сигурност и защита на околната среда;

8. Управление на инциденти;

9. Сигурност, свързана със служителите в администрацията

slide6
На какво е основана конкретната разработка на политиката

1. Международни стандарти:

- ISO/IEC 270ХХ (Information security management systems) – предвид факта, че тази серия обединява и някои съществуващи до сега отделно стандарти, например, ISO 13335(IT security management) става 21005, ISO/IEC 16028(IT network security) става 27033 и пр.;

- ISO / IEC 15408-2 (Common Criteria);

- по отношение на мрежовата сигур-

ност – препоръки Х.800 и Х.805 на ITU

2. Разработката на IBM-България

“Security Аrchitecture” в рамките на

PHARE-проект за българската

централна администрация

3. Добрите европейски практики,

систематизирани от ENISA

slide7
Организация на мрежовата и информационна сигурност на две нива

1. Централно ниво:

1.1. Управление на Националната електронна съобщителна мрежа (НЕСМ) от определен от Министерския съвет администратор под методическия контрол на ДАИТС;

1.2. Национален център за действие при инциденти в компютърната сигурност(N-СSIRТ), изграждан понастоящем от ДАИТС със съдействието на ENISA и CERT-Унгария;

1.3. Единна среда за обмен на електронни документи (ЕСОД);

1.4. Съвет за мрежова и информационна сигурност на информационните системи на административните органи – консултативен орган към ДАИТС;

1.5. Звено за планов и текущ контрол на мрежовата и информационна сигурност към ДАИТС.

2. Ниво “Административен орган” – въз основа на:

2.1. Вътрешни правила по модела на „Системи за управление на информационната сигурност”, регламентиран от ISO 27001:2005;

2.2. Сертификация на административните информационни системи в съответствие с глава шеста от Наредбата

slide8
Централно ниво

1. НЕСМ - съгласно Наредбата, администраторът на НЕСМ отговаря за прилагане на мерките за мрежова сигурност в съответствие с препоръки Х.800 и Х.805 на ITU, включително защитата на Интернет-комуникациите на администрациите.

2. Национален център за действие при инциденти в компютърната сигурност

slide9
Единна среда за обмен на електронни документи (ЕСОД)

ЕСОД е управляема среда за сигуренстандартизиран обмен на документи, вписани в регистъра на информационните обекти, между лица, регистрирани за участие в обмена.

Единен портал

Gateway to ..

ЕСОД-

клиент

ЕСОД-

клиент

ЕСОД-

сървър

ЕСОД-

клиент

ЕСОД-

клиент

●●●

АИС

АИС

slide10
Някои характеристики на ЕСОД

Регистрация на участниците:

  • Данни, идентифициращи администрацията
  • Наименование на участника
  • IP-адрес
  • УРИ на регистрация
  • Цифров сертификат
  • Други данни

Нива на адресация при обмен:

  • Адресация на ниво “съобщение”- чрез IP;
  • Адресация на ниво “пренос на документ”- УРИ на регистрация на участник;
  • Адресация на ниво услуга или процедура- УРИ на регистрация на документ-заявление.

Криптиране/декриптиране на съобщенията чрез асиметрична криптография посредством публичния ключ на цифровите сертификати на ЕСОД-сървъра и ЕСОД-клиентите. Удостоверенията се издават от вътрешната инфраструктура на публичния ключ за всички администрации, изграждана и поддържана от Министъра на държавната администрация и административната реформа.

slide11
Схема на изпълнение на двете сесии за обмен на документ

Document “A”

OSCI Message“A”

OSCI Message“B”

Document “A”

OSCI Receipt “B”

OSCI Receipt “A”

slide12
Ниво “Административен орган” - групи действия

В изпълнение на Наредбата за оперативна съвместимост и информационна сигурност, административният орган трябва да предприеме три групи действия (изброяването не ги ранжира нито по важност, нито по хронология):

Действия по включване към НЕСМ и ЕСОД (осигурява централното ниво на мрежовата и информационна сигурност)

Сертифициране на определени информационни системи по смисъла на глава шеста от Наредбата

Сертифициране на административния орган

(всички информационни системи) по ISO 27001:2005

slide13

Сертификация за мрежова и информационна сигурност

По същество, Наредбата за оперативна съвместимост и информационна сигурностпредвижда две сертификации:

1. Специфична сертификация на информационни системи и продукти, формулирана в глава шеста на Наредбата и осъществявана от акредитирани от Председателя на ДАИТС лица. Това е задължително за новите системи и продукти, а за съществуващите ще се направи график в съответствие с резултатите от прегледа по § 5 от ПЗР на Закона.

Тази сертификация обхваща точно определени административните информационни системи;

2. Сертификация на вътрешните правила на административния орган като „Система за управление на информационната сигурност” по смисъла на ISO 27001:2005 от оправомощена за това организация. Наредбата предвижда това да стане в срок от 18 месеца.

Тази сертификация обхваща всички информационни системи на административния орган.

slide14
Сертифициране на информационните системи по глава шеста на Наредбата

Кои системи се сертифицират:

А. Административните информационни системи по смисъла на чл. 4 от Наредбата за вътрешния оборот на електронни документи;

Б. Специализираните информационни системи, осигуряващи изцяло или частично функциите на административна информационна система, доколкото генерират електронни документи, регламентирани в Наредбата за вътрешния оборот на електронни документи.

Сертифицирането на информационната система за информационна сигурност по глава шеста от наредбата включва:

1. Проверка на изискванията по отношение на съхранението и достъпа до данните в системата.

2. Проверка на нивото на защита на достъпа до ресурсите на информационната система.

3. Проверка по отношение на функциите по заключване и отключване на документи.

4. Проверка на изпълнението на изискванията за преносимост на всички съдържащи се в системата данни.

slide15
Акредитация на проверяващи лица
  • Председателят на ДАИТС:
  • оценява лицата, подали заявление за акредитация;
  • поддържа публично достъпен списък (по същество, регистър) от
  • акредитирани лица;
  • овластява длъжностни лица, които контролират
  • акредитираните оценители.
  • Кандидатстващите лица представят:
  • Справка за компетентността на персонала, извършващ оценките;
  • Списък на използваните технически средства, с които разполагат в лабораториите си за изпитване и/или в лабораториите, с които има сключени договори;
  • Договор за застраховка за вредите, които могат да настъпят вследствие на неизпълнение на задълженията;
  • Прилаганите методики и процедури.
slide16

Сертифициране на административните органи

Това е сертификация на вътрешните правила на административния орган като „Система за управление на информационната сигурност” по смисъла на ISO 27001:2005 от оправомощена за това организация. Проектът за наредба предвижда това да стане в срок от 18 месеца. Този тип сертификация обхваща всички информационни системи на административния орган.

Какво конкретно включва това?

- класификация на информационните

активи;

- оценка и управление на риска;

- управление на достъпа;

- управление на експл. процеси;

- защита срещу нежелан софтуер;

- мониторинг и упр-ние на инциденти;

- мерки за физическа сигурност;

- сигурност на персонала.

slide17
Нива на защита от неправомерен достъп

Наредбата за общите изисквания за оперативна съвместимост и информационна сигурност определя четири нива на защита от неправомерен достъп до всеки информационен актив:

- ниво „0” или “D” – ниво на свободен достъп;

- ниво „1” или „С” – ниво на произволно управление на достъпа;

- ниво „2” или „В” – ниво на принудително управление на достъпа;

- ниво „3” или „А” – ниво на проверена сигурност.

Ръководителите на административните звена класифицират информационните активи в съответното звено по посочените нива.

Всяко самостоятелно звено на администрацията управлява идентификаторите на ползвателите на информационните системи.

slide18
Мерки за сигурност при управление на експлоатационните процеси

Като основно средство се препоръчва създаване на зони на сигурност, произтичащи от международния стандарт ISO / IEC 15408-2 “Common Criteria”. Зоните на сигурност са области от софтуерната архитектура на системата, адекватно разделени една от друга, като преносите на данни от една зона в друга са строго регламентирани и се осъществяват през контролни обекти, като защитни стени, прокси-сървъри и др.

Важна роля играе т.н. „демилитаризирана зона (DMZ)” – мрежова област, разположена между публичната неконтролируема част на системата и вътрешната защитена част. DMZ организира информационни услуги към двете части на мрежата, като защищава вътрешната част от нерегламентиран достъп.

Сертифициране на административните информационни системи по “Common Criteria” се предвижда за по-късен период.