Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
ZveřejnilAnežka Tesařová
1
www.i.cz 1 Komplexní řešení bezpečnosti informací rezortu zdravotnictví Jaroslav Šustr, ICZ a. s. 29.11.2010
2
www.i.cz 2 EtapaRok Strategie a cílový koncept BVZ2010 Systémový a prováděcí projekt BVZ 2011 Implementace BVZ2011 až 2012 Provoz BVZ2011 až 2014 EtapaRok Strategie a cílový koncept UI2010 Systémový a prováděcí projekt UI2011 Implementace UI2012 Provoz UI2011 až 2014 BVZ UI
3
www.i.cz KBD EtapaRok Strategie a cílový koncept KBD2010 Systémový a prováděcí projekt KBD2011 Implementace KBD2011 Provoz KBD2011 až 2013 3 EtapaRok Strategie a cílový koncept BKI2010 Systémový a prováděcí projekt BKI 2011 Implementace BKI2011 Provoz BKI2011 až 2014 BKI
4
www.i.cz ISMS EtapaRok Etapa 1 – Bezpečnostní politika ICT2010 až 2011 Další etapy – Zahájení implementací systémů řízení bezpečnosti informací 2011 až 2013 První provedení interních auditů a podpora při prvním přezkoumání ISMS vedením 2012 až 2014 4 IAM EtapaRok Strategie a cílový koncept IAM2010 Systémový a prováděcí projekt IAM2011 až 2013 Implementace IAM2012 až 2013 Provoz IAM2013 až 2014
5
www.i.cz Bezpečná výpočetní základna ► Metodika pro implementaci sítí založených na Microsoft Windows a Active Directory ► Infrastruktura pro provoz informačních systémů, která poskytuje prostředky pro řízení přístupu k aktivům podle norem ● Bezpečnostní politika organizace ● ČSN ISO/IEC 27001 a ČSN ISO/IEC 17799 ● Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti 5
6
www.i.cz Začlenění BVZ do infrastruktury ICT 6
7
www.i.cz Bezpečná výpočetní základna ► Součásti BVZ ● Návrh bezpečnostní architektury ● Infrastrukturní síťové služby ● Operační systémy Windows ● Adresářové služby Active Directory ● Síťové uživatelské prostředí ● Zabezpečení strategických dat ● PKI pro podporu služeb BVZ ● Bezpečnostní aktualizace ● Správa serverů a stanic ● Kancelářské prostředí Office a Exchange ● Spolupráce při zprovoznění IS v prostředí BVZ 7
8
www.i.cz Architektura infrastruktury 8 Logická topologie – les a domény Fyzická topologie – lokality a propojení
9
www.i.cz Cíle BVZ ► Integrace organizací do jednoho lesa AD ● Centralizovaná i decentralizovaná správa ● Zjednodušení správy prostředí ● Jeden společný globální katalog – adres list ● Možnost budovat centrální aplikace pro resort ► Prosazení bezpečnostních politik do technologie ► Zvýšení bezpečnosti a rozšíření funkcionality použitím aktuálních verzí sw ► Podpora životního cyklu počítačů 9
10
www.i.cz Koncepce řešení UI ► Pro stanovení konceptu bude proveden průzkum s cílem shromáždit požadavky na skutečný rozsah a funkcionalitu systémů na zpracování UI v resortu ● Průzkum v oblastech: Identifikovat organizace rezortu, které mají nakládání s UI ve své působnosti Ověřit požadavky na potřebnou techniku Ověřit skutečné provozní potřeby zpracování UI Ověřit záměr navázat na stávající IS MZ-SP-T ● Koncepce řešení počítá s následujícími postupy: Bezpečnostní správu ISů provádět pracovníky MZ Dodavatelsky zajistit - Podporu v oblasti řízení schvalovacího procesu - Pro zajištění provozu dodávat služby HotLine
11
www.i.cz Koncepce řešení UI pokračování ► UI zpracovávat na samostatných počítačích na pracovištích zpracování UI. Tato pracoviště zřizovat jen u těch organizací rezortu, které mají nakládání s UI ve své působnosti, potřebují je zpracovávat v elektronické formě a s takovou frekvencí a rozsahem, který ospravedlňuje vynaložené náklady. Při velmi nízké potřebě zpracovávat UI na pracovišti nadřízené organizace/ministerstva ► Bezpečnostní správu systémů provádět pracovníky, které jmenuje MZ resp. organizace resortu MZ z řad svých zaměstnanců. Rovněž zajištění fyzické bezpečnosti pracovišť IS, personální bezpečnost uživatelů IS a administrativní bezpečnost budou v působnosti MZ
12
www.i.cz Zpracování UI Vyhrazené a Důvěrné ► Pro zpracování UI stupně utajení Vyhrazené a stupně utajení Důvěrné vytvořit jeden IS MZ-SP, jehož hlavním provozovatelem je MZ ČR, a má až 20 pracovišť na místech, které určí hlavní provozovatel. ► Řešení s užitím samostatných počítačů (notebooků), nutno vyhovět požadavkům na ochranu proti kompromitujícímu vyzařování ► Soupravy počítačů pro zpracování UI musí být převedeny do majetku MZ ► Zpracovávány a uchovávány budou ● dokumenty ke komunikaci se subjekty státní správy ● dokumenty krizového plánování ● dokumenty obsahujících UI souvisící s náplní práce provozující organizace ● bezpečnostní dokumentace projektů a systémů
13
www.i.cz Cíle projektu Bezpečná komunikační infrastruktura (BKI) ►Sjednocení způsobu zabezpečení komunikační infrastruktury (technické prostředky, technologie...) ►Sjednocení konceptu Managed Security Services (procesy kontinuálního řízení zabezpečení...) ►Sjednocení bezpečnostních politik (přístupy na zařízení, pravidla pro filtrování provozu...) ►Sjednocení auditních metodik a postupů (rozsah a postup penetračního testování...)
14
www.i.cz BKI - Sjednocení způsobu zabezpečení komunikační infrastruktury ► Návrh architektury a koncept cílových systémů určených pro navýšení zabezpečení komunikační infrastruktury: ● Firewally ● Intrusion detection/prevention systémy (IDS/IPS) ● Email a Web security systémy ● Content filtering systémy ● Virtuální privátní sítě (VPN) ● Zabezpečení komunikační infrastruktury jednotlivých subsystémů (Wireless LAN...) ● Systémy pro řízení přístupu do sítě (802.1x, NAC...)
15
www.i.cz BKI - Sjednocení konceptu Managed Security Services ►Sběr informací ►Analýza a korelace ►Audit – prověření zranitelností, penetrační testování ►Aplikace nových opatření do bezpečnostních politik
16
www.i.cz BKI - Sjednocení bezpečnostních politik a auditních metodik ►Analýza současných a návrh jednotných politik ●Politika přístupu na zařízení ●Politika pro vytváření filtračních pravidel ►Audit ●Rozsah, četnost a pravidlenost prováděných penetračních testů ●Auditování vybraných OS a web.aplikací (LAMP)
17
www.i.cz 17 Zavedení bezpečnostní politiky a systému řízení bezpečnosti ICT (ISMS) ►Cíl: Sjednotit a zlepšit řízení bezpečnosti ICT v rezortu a tím ●zlepšit bezpečnost ●zvýšit efektivitu použitých zdrojů
18
www.i.cz 18 ISMS – Cílový stav ►Přístup k zajištění bezpečnosti ICT ve všech organizacích metodicky sjednocen a koordinován ►Řízení bezpečnosti ICT v organizacích vychází z ČSN ISO/IEC 27001 ►Bezpečnostní opatření v každé organizaci přizpůsobena konkrétní situaci – řízení rizik ►Udržování bezpečnosti a reakce na změny zajištěny soustavným zlepšováním a opakováním cyklů ►Vybraná bezpečnostní opatření jsou implementována centrálně ►Minimální úroveň bezpečnosti napříč všemi organizacemi
19
www.i.cz 19 ISMS – Cílový stav ►MZ stanovuje ●politiku řízení bezpečnosti ICT rezortu ●postupy a metody řízení bezpečnosti, řízení rizik atd. ●minimální úroveň bezpečnosti ►Jednotlivé organizace zajišťují ●hodnocení rizik a rozhodnutí o zvládání rizik bezpečnosti ICT ●implementaci bezpečnostních opatření ●monitorování, kontrolu, interní audity ●informování o stavu bezpečnosti MZ a KŘB ICT ►MZ nebo Komise pro řízení bezpečnosti ICT ●vyhodnocuje informace z organizací ●doporučuje další postup a změny postupů a metod řízení bezpečnosti, hodnocení a řízení rizik, minimální úrovně bezpečnosti
20
www.i.cz ISMS – Cílový stav 20
21
www.i.cz 21 ISMS – Rozsah prací ►Pro rezort ●Koncepce řízení bezpečnosti ICT ●Politika řízení bezpečnosti ICT ●Zjištění stávajícího stavu ●Konzultace k požadavkům na organizace ►V každé organizaci ●Návrh politiky systému řízení bezpečnosti ICT ●Návrh řídících struktur bezpečnosti ICT ●Analýza rizik ●Výběr z variant zvládání rizik a možných opatření ●Zavádění vybraných opatření ●První provedení interních auditů ●Podpora při prvním přezkoumání ISMS vedením
22
www.i.cz Správa identit a řízení přístupu (IAM) ►Předpokládaný cílový stav ●Jeden centralizovaný systém (centralizovaná databáze uživatelů) spravující uživatelské identity v následujících systémech ●Systémy uvedené v nabídce Bezpečná výpočetní základna (Microsoft Active Directory – adresářové služby pro správu operačních systémů Microsoft Windows) Systém elektronické pošty (Exchange) Provozní informační systém rezortu zdravotnictví (jeden centrální) ●Další systémy identifikované v rámci projektu (výhledově) LDAP KSRZIS, LDAP SUKL, … Docházkové systémy a systémy objektové bezpečnosti (řízení přístupů)
23
www.i.cz Správa identit a řízení přístupu (IAM) ►Předpokládaný cílový stav (pokračování) ●Primárním zdrojem dat o uživatelích bude centralizovaný modul lidských zdrojů Provozního informačního systému rezortu zdravotnictví V průběhu analýzy bude nutné identifkovat potřebu a formu „sekundárního zdroje“. ●Funkcionalita jednotná, automatizovaná a auditovatelná správa uživatelských účtů správa přihlašovacích údajů – hesel (a případně certifikátů) podpora správy čipových karet na 21 pracovištích; kontaktní část bude použita pro ukládání klíčů a certifikátů 23
24
www.i.cz Správa identit a řízení přístupu (IAM) ►Předpokládaný cílový stav (pokračování) ●Řešení bude spolupracovat s centrální PKI autoritou vybudovanou v rámci dodávky řešení. ●Informace z auditu uživatelů budou předávány do systému řešení kontinuálního bezpečnostního dohledu. ►Předpokládané technologie ●CA Identity Manager ●CA Role Manager Systém ●iCMS (ICZ Card Management System)
25
www.i.cz Správa identit a řízení přístupu (IAM)
26
www.i.cz Kontinuální bezpečnostní dohled (KBD) 26
27
www.i.cz Kontinuální bezpečnostní dohled (KBD) 27 ► Dodávané technologie ● CA Enterprise Log Manager (CA ELM) Výkonný sběr auditních hlášení Efektivní komprese logů a archivace Prohledávání Automatické aktualizace Integrace s ostatními bezpečnostními produkty Podpora mnoha formátů logů
28
www.i.cz Kontinuální bezpečnostní dohled (KBD) 28
29
www.i.cz 29 Děkuji za vaši pozornost Jaroslav Šustr Jaroslav.Sustr@i.cz +420 724 429 916 S.ICZ a.s. Bezpečnost www.i.cz
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.