Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Www.i.cz 1 Komplexní řešení bezpečnosti informací rezortu zdravotnictví Jaroslav Šustr, ICZ a. s. 29.11.2010.

Podobné prezentace


Prezentace na téma: "Www.i.cz 1 Komplexní řešení bezpečnosti informací rezortu zdravotnictví Jaroslav Šustr, ICZ a. s. 29.11.2010."— Transkript prezentace:

1 1 Komplexní řešení bezpečnosti informací rezortu zdravotnictví Jaroslav Šustr, ICZ a. s

2 2 EtapaRok Strategie a cílový koncept BVZ2010 Systémový a prováděcí projekt BVZ 2011 Implementace BVZ2011 až 2012 Provoz BVZ2011 až 2014 EtapaRok Strategie a cílový koncept UI2010 Systémový a prováděcí projekt UI2011 Implementace UI2012 Provoz UI2011 až 2014 BVZ UI

3 KBD EtapaRok Strategie a cílový koncept KBD2010 Systémový a prováděcí projekt KBD2011 Implementace KBD2011 Provoz KBD2011 až EtapaRok Strategie a cílový koncept BKI2010 Systémový a prováděcí projekt BKI 2011 Implementace BKI2011 Provoz BKI2011 až 2014 BKI

4 ISMS EtapaRok Etapa 1 – Bezpečnostní politika ICT2010 až 2011 Další etapy – Zahájení implementací systémů řízení bezpečnosti informací 2011 až 2013 První provedení interních auditů a podpora při prvním přezkoumání ISMS vedením 2012 až IAM EtapaRok Strategie a cílový koncept IAM2010 Systémový a prováděcí projekt IAM2011 až 2013 Implementace IAM2012 až 2013 Provoz IAM2013 až 2014

5 Bezpečná výpočetní základna ► Metodika pro implementaci sítí založených na Microsoft Windows a Active Directory ► Infrastruktura pro provoz informačních systémů, která poskytuje prostředky pro řízení přístupu k aktivům podle norem ● Bezpečnostní politika organizace ● ČSN ISO/IEC a ČSN ISO/IEC ● Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti 5

6 Začlenění BVZ do infrastruktury ICT 6

7 Bezpečná výpočetní základna ► Součásti BVZ ● Návrh bezpečnostní architektury ● Infrastrukturní síťové služby ● Operační systémy Windows ● Adresářové služby Active Directory ● Síťové uživatelské prostředí ● Zabezpečení strategických dat ● PKI pro podporu služeb BVZ ● Bezpečnostní aktualizace ● Správa serverů a stanic ● Kancelářské prostředí Office a Exchange ● Spolupráce při zprovoznění IS v prostředí BVZ 7

8 Architektura infrastruktury 8 Logická topologie – les a domény Fyzická topologie – lokality a propojení

9 Cíle BVZ ► Integrace organizací do jednoho lesa AD ● Centralizovaná i decentralizovaná správa ● Zjednodušení správy prostředí ● Jeden společný globální katalog – adres list ● Možnost budovat centrální aplikace pro resort ► Prosazení bezpečnostních politik do technologie ► Zvýšení bezpečnosti a rozšíření funkcionality použitím aktuálních verzí sw ► Podpora životního cyklu počítačů 9

10 Koncepce řešení UI ► Pro stanovení konceptu bude proveden průzkum s cílem shromáždit požadavky na skutečný rozsah a funkcionalitu systémů na zpracování UI v resortu ● Průzkum v oblastech: Identifikovat organizace rezortu, které mají nakládání s UI ve své působnosti Ověřit požadavky na potřebnou techniku Ověřit skutečné provozní potřeby zpracování UI Ověřit záměr navázat na stávající IS MZ-SP-T ● Koncepce řešení počítá s následujícími postupy: Bezpečnostní správu ISů provádět pracovníky MZ Dodavatelsky zajistit - Podporu v oblasti řízení schvalovacího procesu - Pro zajištění provozu dodávat služby HotLine

11 Koncepce řešení UI pokračování ► UI zpracovávat na samostatných počítačích na pracovištích zpracování UI. Tato pracoviště zřizovat jen u těch organizací rezortu, které mají nakládání s UI ve své působnosti, potřebují je zpracovávat v elektronické formě a s takovou frekvencí a rozsahem, který ospravedlňuje vynaložené náklady. Při velmi nízké potřebě zpracovávat UI na pracovišti nadřízené organizace/ministerstva ► Bezpečnostní správu systémů provádět pracovníky, které jmenuje MZ resp. organizace resortu MZ z řad svých zaměstnanců. Rovněž zajištění fyzické bezpečnosti pracovišť IS, personální bezpečnost uživatelů IS a administrativní bezpečnost budou v působnosti MZ

12 Zpracování UI Vyhrazené a Důvěrné ► Pro zpracování UI stupně utajení Vyhrazené a stupně utajení Důvěrné vytvořit jeden IS MZ-SP, jehož hlavním provozovatelem je MZ ČR, a má až 20 pracovišť na místech, které určí hlavní provozovatel. ► Řešení s užitím samostatných počítačů (notebooků), nutno vyhovět požadavkům na ochranu proti kompromitujícímu vyzařování ► Soupravy počítačů pro zpracování UI musí být převedeny do majetku MZ ► Zpracovávány a uchovávány budou ● dokumenty ke komunikaci se subjekty státní správy ● dokumenty krizového plánování ● dokumenty obsahujících UI souvisící s náplní práce provozující organizace ● bezpečnostní dokumentace projektů a systémů

13 Cíle projektu Bezpečná komunikační infrastruktura (BKI) ►Sjednocení způsobu zabezpečení komunikační infrastruktury (technické prostředky, technologie...) ►Sjednocení konceptu Managed Security Services (procesy kontinuálního řízení zabezpečení...) ►Sjednocení bezpečnostních politik (přístupy na zařízení, pravidla pro filtrování provozu...) ►Sjednocení auditních metodik a postupů (rozsah a postup penetračního testování...)

14 BKI - Sjednocení způsobu zabezpečení komunikační infrastruktury ► Návrh architektury a koncept cílových systémů určených pro navýšení zabezpečení komunikační infrastruktury: ● Firewally ● Intrusion detection/prevention systémy (IDS/IPS) ● a Web security systémy ● Content filtering systémy ● Virtuální privátní sítě (VPN) ● Zabezpečení komunikační infrastruktury jednotlivých subsystémů (Wireless LAN...) ● Systémy pro řízení přístupu do sítě (802.1x, NAC...)

15 BKI - Sjednocení konceptu Managed Security Services ►Sběr informací ►Analýza a korelace ►Audit – prověření zranitelností, penetrační testování ►Aplikace nových opatření do bezpečnostních politik

16 BKI - Sjednocení bezpečnostních politik a auditních metodik ►Analýza současných a návrh jednotných politik ●Politika přístupu na zařízení ●Politika pro vytváření filtračních pravidel ►Audit ●Rozsah, četnost a pravidlenost prováděných penetračních testů ●Auditování vybraných OS a web.aplikací (LAMP)

17 17 Zavedení bezpečnostní politiky a systému řízení bezpečnosti ICT (ISMS) ►Cíl: Sjednotit a zlepšit řízení bezpečnosti ICT v rezortu a tím ●zlepšit bezpečnost ●zvýšit efektivitu použitých zdrojů

18 18 ISMS – Cílový stav ►Přístup k zajištění bezpečnosti ICT ve všech organizacích metodicky sjednocen a koordinován ►Řízení bezpečnosti ICT v organizacích vychází z ČSN ISO/IEC ►Bezpečnostní opatření v každé organizaci přizpůsobena konkrétní situaci – řízení rizik ►Udržování bezpečnosti a reakce na změny zajištěny soustavným zlepšováním a opakováním cyklů ►Vybraná bezpečnostní opatření jsou implementována centrálně ►Minimální úroveň bezpečnosti napříč všemi organizacemi

19 19 ISMS – Cílový stav ►MZ stanovuje ●politiku řízení bezpečnosti ICT rezortu ●postupy a metody řízení bezpečnosti, řízení rizik atd. ●minimální úroveň bezpečnosti ►Jednotlivé organizace zajišťují ●hodnocení rizik a rozhodnutí o zvládání rizik bezpečnosti ICT ●implementaci bezpečnostních opatření ●monitorování, kontrolu, interní audity ●informování o stavu bezpečnosti MZ a KŘB ICT ►MZ nebo Komise pro řízení bezpečnosti ICT ●vyhodnocuje informace z organizací ●doporučuje další postup a změny postupů a metod řízení bezpečnosti, hodnocení a řízení rizik, minimální úrovně bezpečnosti

20 ISMS – Cílový stav 20

21 21 ISMS – Rozsah prací ►Pro rezort ●Koncepce řízení bezpečnosti ICT ●Politika řízení bezpečnosti ICT ●Zjištění stávajícího stavu ●Konzultace k požadavkům na organizace ►V každé organizaci ●Návrh politiky systému řízení bezpečnosti ICT ●Návrh řídících struktur bezpečnosti ICT ●Analýza rizik ●Výběr z variant zvládání rizik a možných opatření ●Zavádění vybraných opatření ●První provedení interních auditů ●Podpora při prvním přezkoumání ISMS vedením

22 Správa identit a řízení přístupu (IAM) ►Předpokládaný cílový stav ●Jeden centralizovaný systém (centralizovaná databáze uživatelů) spravující uživatelské identity v následujících systémech ●Systémy uvedené v nabídce Bezpečná výpočetní základna (Microsoft Active Directory – adresářové služby pro správu operačních systémů Microsoft Windows) Systém elektronické pošty (Exchange) Provozní informační systém rezortu zdravotnictví (jeden centrální) ●Další systémy identifikované v rámci projektu (výhledově) LDAP KSRZIS, LDAP SUKL, … Docházkové systémy a systémy objektové bezpečnosti (řízení přístupů)

23 Správa identit a řízení přístupu (IAM) ►Předpokládaný cílový stav (pokračování) ●Primárním zdrojem dat o uživatelích bude centralizovaný modul lidských zdrojů Provozního informačního systému rezortu zdravotnictví V průběhu analýzy bude nutné identifkovat potřebu a formu „sekundárního zdroje“. ●Funkcionalita jednotná, automatizovaná a auditovatelná správa uživatelských účtů správa přihlašovacích údajů – hesel (a případně certifikátů) podpora správy čipových karet na 21 pracovištích; kontaktní část bude použita pro ukládání klíčů a certifikátů 23

24 Správa identit a řízení přístupu (IAM) ►Předpokládaný cílový stav (pokračování) ●Řešení bude spolupracovat s centrální PKI autoritou vybudovanou v rámci dodávky řešení. ●Informace z auditu uživatelů budou předávány do systému řešení kontinuálního bezpečnostního dohledu. ►Předpokládané technologie ●CA Identity Manager ●CA Role Manager Systém ●iCMS (ICZ Card Management System)

25 Správa identit a řízení přístupu (IAM)

26 Kontinuální bezpečnostní dohled (KBD) 26

27 Kontinuální bezpečnostní dohled (KBD) 27 ► Dodávané technologie ● CA Enterprise Log Manager (CA ELM) Výkonný sběr auditních hlášení Efektivní komprese logů a archivace Prohledávání Automatické aktualizace Integrace s ostatními bezpečnostními produkty Podpora mnoha formátů logů

28 Kontinuální bezpečnostní dohled (KBD) 28

29 29 Děkuji za vaši pozornost Jaroslav Šustr S.ICZ a.s. Bezpečnost


Stáhnout ppt "Www.i.cz 1 Komplexní řešení bezpečnosti informací rezortu zdravotnictví Jaroslav Šustr, ICZ a. s. 29.11.2010."

Podobné prezentace


Reklamy Google