Bezpečné používání Datových schránek Jan Krob Security World 2009, 6. října 2009 IT ADVISORY ADVISORY
© 2009 KPMG Česká republika, s.r.o., the Czech member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic. 1 Úvod Informační systém Datových schránek ISDS je prezentován jako systém s řadou zajímavých vlastností v oblasti elektronizace oběhu dokumentů Většina společností bude ISDS v „jisté míře“ používat díky politice jeho nasazení Implementace ISDS do procesů a IT společnosti, ale přináší nové typy hrozeb (rizik) s významným dopadem, na které je potřeba správně reagovat Cíl této prezentace Poukázat obecně na hlavní bezpečnostní aspekty implementace ISDS Krátce zmínit specifika elektronizace fakturace Nabídnout správný sled kroků a rozhodnutí pro úspěšnou a bezpečnou implementaci ISDS
© 2009 KPMG Česká republika, s.r.o., the Czech member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic. 2 Bezpečné používání ISDS Funkce IS pro oběh a ukládání elektronických dokumentů Přijímat a zpracovávat ISDS zprávy Ukládat, archivovat ISDS zprávy a dokumenty Vytvářet a posílat ISDS zprávy Co vlastně je potřeba chránit? ISDS zprávy a dokumenty ISDS autentizační prostředky Podpisové certifikáty
© 2009 KPMG Česká republika, s.r.o., the Czech member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic. 3 Bezpečnostní aspekty implementace ISDS do procesů a IS společnosti I 1. Přijímat ISDS zprávy Ochrana autentizačních prostředků (hesla, přístupové certifikáty) Ochrana počítačového prostředí klienta ISDS Pravidla, postupy a směrnice Manipulace se schránkou Hierarchie osob v ISDS (primárně oprávněná osoba, administrátor, pověřená osoba) Oddělení odpovědností osob/rolí 2. Zpracovávat přijaté ISDS zprávy Ochrana zpráv/dokumentů v počítačovém prostředí (PC, LAN, souborové servery, další systémy) Pravidla, postupy a směrnice Pravidla distribuce a zpracování zpráv, dokumentů
© 2009 KPMG Česká republika, s.r.o., the Czech member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic. 4 Bezpečnostní aspekty implementace ISDS do procesů a IS společnosti II 3. Ukládat a archivovat ISDS zprávy a dokumenty Zajištění ochrany všech potřebných atributů zpráv a dokumentů v požadované době Reflektovat legislativní požadavky Dokumenty, zprávy, Elektronický podpis, časová značka Zajištění časové kontinuity i po skončení platnosti certifikátů Zabezpečení úložiště (elektronického archivu) Pravidla, postupy a směrnice Práce s elektronickým archivem
© 2009 KPMG Česká republika, s.r.o., the Czech member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic. 5 Bezpečnostní aspekty implementace ISDS do procesů a IS společnosti III 4. Vytvářet dokumenty Ochrana zpráv v počítačovém prostředí (PC, LAN, souborové servery, další systémy) Ochrana podpisových certifikátů Pravidla, postupy a směrnice Úprava pravidel podepisování 5. Posílat ISDS zprávy Ochrana autentizačních prostředků (hesla, přístupové certifikáty) Ochrana počítačového prostředí klienta ISDS Pravidla, postupy a směrnice Manipulace se schránkou
© 2009 KPMG Česká republika, s.r.o., the Czech member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic. 6 Specifické aspekty v elektronické fakturaci Specifické aspekty pro elektronizaci fakturace Legislativní požadavky na zpracování elektronických dokladů (výběr) Věrohodnost původu dokladu Neporušitelnost obsahu dokladu Čitelnost dokladu Archivace elektronického dokladu musí být elektronická Specifické body, které je potřeba respektovat při řešení elektronizace faktur Struktura, náležitosti a technická forma dokladu a nutnost dohody obou stran Povinnost potvrzení příjmu dokladu druhou stranou (dobropisy) Přeshraniční elektronickou fakturaci Fakturace za jinou právnickou/fyzickou osobu Opravy a storna daňových dokladů Archivaci elektronických faktur vydaných i přijatých ... a další specifické potřeby konkrétní společnosti v oběhu faktur
© 2009 KPMG Česká republika, s.r.o., the Czech member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic. 7 Kroky implementace ISDS Na co tedy nezapomenout, jak postupovat 1. Analyzovat možnosti a rozhodnout se o rozsahu využití ISDS, cost-benefit analýza 2. Analyzovat relevantní firemní procesy 2. Analyzovat bezpečnost (nová informační aktiva a hrozby) Identifikovat a řídit rizika, stanovit bezpečnostní opatření Zajistit důvěrnost, integritu, dostupnost a nepopiratelnost 3. Navrhnout řešení V oblasti firemních procesů a jejich IT podpory Neztratit u dokumentů aspekty nepopiratelnosti a integrity Zajistit je také v průběhu požadovaného času uložení Zabezpečit relevantní IT komponenty (řídit rizika)
© 2009 KPMG Česká republika, s.r.o., the Czech member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic. 8 Kroky implementace ISDS II Na co tedy nezapomenout, jak postupovat 4. Nastavit provozní pravidla, postupy a směrnice Manipulace se schránkou Manipulace se zprávami a dokumenty Manipulace s autentizačními prostředky Pravidla podepisování Manipulace s podpisovými certifikáty ... další potřebné, např. dokumentace oběhu faktur 4. Implementovat řešení 5. Prověřit správnost řešení jako celku
© 2009 KPMG Česká republika, s.r.o., the Czech member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic. 9 Shrnutí Závěrečné body shrnutí K implementaci ISDS postupovat komplexně a s rozvahou Při analýze nezapomenout na procesy oběhu a zpracování dokumentů Vnímat legislativu tam, kde je to nutné Nepodceňovat nová rizika, která implementace přináší Při rozhodování o rozsahu implementace vnímat přínosy i náklady Prověřit řešení před spuštěním do provozu Dotazy?
© 2009 KPMG Česká republika, s.r.o., the Czech member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic. 10 The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavour to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. Informace zde obsažené jsou obecného charakteru a nejsou určeny k řešení situace konkrétní osoby či subjektu. Ačkoliv se snažíme zajistit, aby poskytované informace byly přesné a aktuální, nelze zaručit, že budou odpovídat skutečnosti k datu, ke kterému jsou doručeny, či že budou platné i v budoucnosti. Bez důkladného prošetření konkrétní situace a řádné odborné konzultace by neměla na základě těchto informací být činěna žádná opatření. Mgr. Jan Krob, CISA KPMG Česká republika