komplexní řešení bezpečnosti informací rezortu zdravotnictví
DESCRIPTION
Komplexní řešení bezpečnosti informací rezortu zdravotnictví. Jaroslav Šustr, ICZ a. s. 29.11.2010. BVZ. UI. KBD. BKI. ISMS. I AM. Bezpečná výpočetní základna. Metodika pro implementaci sítí založených na Microsoft Windows a Active Directory - PowerPoint PPT PresentationTRANSCRIPT
www.i.cz 1
Komplexní řešení bezpečnosti informací rezortu zdravotnictví
Jaroslav Šustr, ICZ a. s.
29.11.2010
www.i.cz 2
Etapa Rok
Strategie a cílový koncept BVZ 2010
Systémový a prováděcí projekt BVZ
2011
Implementace BVZ 2011 až 2012
Provoz BVZ 2011 až 2014
Etapa Rok
Strategie a cílový koncept UI 2010
Systémový a prováděcí projekt UI 2011
Implementace UI 2012
Provoz UI 2011 až 2014
BVZ
UI
www.i.cz
KBDEtapa Rok
Strategie a cílový koncept KBD 2010
Systémový a prováděcí projekt KBD 2011
Implementace KBD 2011
Provoz KBD 2011 až 2013
3
Etapa Rok
Strategie a cílový koncept BKI 2010
Systémový a prováděcí projekt BKI
2011
Implementace BKI 2011
Provoz BKI 2011 až 2014
BKI
www.i.cz
ISMSEtapa Rok
Etapa 1 – Bezpečnostní politika ICT 2010 až 2011
Další etapy – Zahájení implementací systémů řízení bezpečnosti informací
2011 až 2013
První provedení interních auditů a podpora při prvním přezkoumání ISMS vedením
2012 až 2014
4
IAMEtapa RokStrategie a cílový koncept IAM 2010Systémový a prováděcí projekt IAM 2011 až 2013Implementace IAM 2012 až 2013Provoz IAM 2013 až 2014
www.i.cz
Bezpečná výpočetní základna
► Metodika pro implementaci sítí založených na Microsoft Windowsa Active Directory
► Infrastruktura pro provoz informačních systémů, která poskytuje prostředky pro řízení přístupu k aktivům podle norem
● Bezpečnostní politika organizace
● ČSN ISO/IEC 27001 a ČSN ISO/IEC 17799
● Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti
5
www.i.cz
Začlenění BVZ do infrastruktury ICT
6
www.i.cz
Bezpečná výpočetní základna
► Součásti BVZ● Návrh bezpečnostní architektury
● Infrastrukturní síťové služby
● Operační systémy Windows
● Adresářové služby Active Directory
● Síťové uživatelské prostředí
● Zabezpečení strategických dat
● PKI pro podporu služeb BVZ
● Bezpečnostní aktualizace
● Správa serverů a stanic
● Kancelářské prostředí Office a Exchange
● Spolupráce při zprovoznění IS v prostředí BVZ
7
www.i.cz
Architektura infrastruktury
8
AD Root MZ Organizace A Organizace Z
CENTRÁLNÍ SÍŤ
MZ
Pobočka MZ KST
KSRZIS
Organizace A
Pobočka 1 Organizace A
Pobočka 2 Organizace A
Site Link Bridge pro MZ Site Link Bridge pro Organizaci A
Logická topologie – les a domény
Fyzická topologie – lokality a propojení
www.i.cz
Cíle BVZ
► Integrace organizací do jednoho lesa AD● Centralizovaná i decentralizovaná správa
● Zjednodušení správy prostředí
● Jeden společný globální katalog – adres list
● Možnost budovat centrální aplikace pro resort
► Prosazení bezpečnostních politik do technologie
► Zvýšení bezpečnosti a rozšíření funkcionality použitím aktuálních verzí sw
► Podpora životního cyklu počítačů
9
www.i.cz
Koncepce řešení UI
► Pro stanovení konceptu bude proveden průzkum s cílem shromáždit požadavky na skutečný rozsah a funkcionalitu systémů na zpracování UI v resortu
● Průzkum v oblastech:• Identifikovat organizace rezortu, které mají nakládání s UI
ve své působnosti• Ověřit požadavky na potřebnou techniku• Ověřit skutečné provozní potřeby zpracování UI• Ověřit záměr navázat na stávající IS MZ-SP-T
● Koncepce řešení počítá s následujícími postupy:• Bezpečnostní správu ISů provádět pracovníky MZ• Dodavatelsky zajistit
- Podporu v oblasti řízení schvalovacího procesu - Pro zajištění provozu dodávat služby HotLine
www.i.cz
Koncepce řešení UI pokračování
► UI zpracovávat na samostatných počítačích na pracovištích zpracování UI. Tato pracoviště zřizovat jen u těch organizací rezortu, které mají nakládání s UI ve své působnosti, potřebují je zpracovávat v elektronické formě a s takovou frekvencí a rozsahem, který ospravedlňuje vynaložené náklady. Při velmi nízké potřebě zpracovávat UI na pracovišti nadřízené organizace/ministerstva
► Bezpečnostní správu systémů provádět pracovníky, které jmenuje MZ resp. organizace resortu MZ z řad svých zaměstnanců. Rovněž zajištění fyzické bezpečnosti pracovišť IS, personální bezpečnost uživatelů IS a administrativní bezpečnost budou v působnosti MZ
www.i.cz
Zpracování UI Vyhrazené a Důvěrné► Pro zpracování UI stupně utajení Vyhrazené a stupně
utajení Důvěrné vytvořit jeden IS MZ-SP, jehož hlavním provozovatelem je MZ ČR, a má až 20 pracovišť na místech, které určí hlavní provozovatel.
► Řešení s užitím samostatných počítačů (notebooků), nutno vyhovět požadavkům na ochranu proti kompromitujícímu vyzařování
► Soupravy počítačů pro zpracování UI musí být převedeny do majetku MZ
► Zpracovávány a uchovávány budou● dokumenty ke komunikaci se subjekty státní správy● dokumenty krizového plánování● dokumenty obsahujících UI souvisící s náplní práce
provozující organizace● bezpečnostní dokumentace projektů a systémů
www.i.cz
Cíle projektu Bezpečná komunikační infrastruktura (BKI)
► Sjednocení způsobu zabezpečení komunikační infrastruktury (technické prostředky, technologie ...)
► Sjednocení konceptu Managed Security Services (procesy kontinuálního řízení zabezpečení ...)
► Sjednocení bezpečnostních politik (přístupy na zařízení, pravidla pro filtrování provozu ...)
► Sjednocení auditních metodik a postupů (rozsah a postup penetračního testování ...)
www.i.cz
BKI - Sjednocení způsobu zabezpečení komunikační infrastruktury
► Návrh architektury a koncept cílových systémů určených pro navýšení zabezpečení komunikační infrastruktury:
● Firewally
● Intrusion detection/prevention systémy (IDS/IPS)
● Email a Web security systémy
● Content filtering systémy
● Virtuální privátní sítě (VPN)
● Zabezpečení komunikační infrastruktury jednotlivých subsystémů (Wireless LAN ...)
● Systémy pro řízení přístupu do sítě (802.1x, NAC ...)
www.i.cz
BKI - Sjednocení konceptu Managed Security Services
► Sběr informací
► Analýza a korelace
► Audit – prověření zranitelností , penetrační testování
► Aplikace nových opatření do bezpečnostních politik
www.i.cz
BKI - Sjednocení bezpečnostních politik a auditních metodik
► Analýza současných a návrh jednotných politik● Politika přístupu na zařízení
● Politika pro vytváření filtračních pravidel
► Audit● Rozsah, četnost a pravidlenost prováděných penetračních
testů
● Auditování vybraných OS a web.aplikací (LAMP)
www.i.cz 17
Zavedení bezpečnostní politiky a systému řízení bezpečnosti ICT (ISMS)
► Cíl: Sjednotit a zlepšit řízení bezpečnosti ICT v rezortu a tím● zlepšit bezpečnost
● zvýšit efektivitu použitých zdrojů
www.i.cz 18
ISMS – Cílový stav
► Přístup k zajištění bezpečnosti ICT ve všech organizacích metodicky sjednocen a koordinován
► Řízení bezpečnosti ICT v organizacích vychází z ČSN ISO/IEC 27001
► Bezpečnostní opatření v každé organizaci přizpůsobena konkrétní situaci – řízení rizik
► Udržování bezpečnosti a reakce na změny zajištěny soustavným zlepšováním a opakováním cyklů
► Vybraná bezpečnostní opatření jsou implementována centrálně
► Minimální úroveň bezpečnosti napříč všemi organizacemi
www.i.cz 19
ISMS – Cílový stav
► MZ stanovuje● politiku řízení bezpečnosti ICT rezortu● postupy a metody řízení bezpečnosti, řízení rizik atd.● minimální úroveň bezpečnosti
► Jednotlivé organizace zajišťují● hodnocení rizik a rozhodnutí o zvládání rizik bezpečnosti ICT● implementaci bezpečnostních opatření● monitorování, kontrolu, interní audity● informování o stavu bezpečnosti MZ a KŘB ICT
► MZ nebo Komise pro řízení bezpečnosti ICT● vyhodnocuje informace z organizací● doporučuje další postup a změny postupů a metod řízení bezpečnosti,
hodnocení a řízení rizik, minimální úrovně bezpečnosti
www.i.cz
ISMS – Cílový stav
20
Postupy řízení rizik, minimální opatření,
centrálně zavedená opatření
Politikabezpečnosti ICT rezortu
Opatření ÚZIS
Řízení rizikÚZIS
Pol. bezp.ÚZIS
Opatření KHS
Řízení rizikKHS
Pol. bezp.KHS
zprávy o stavuvýsledky auditů
legislativní požadavky
ISO 27001
legislativní požadavky
www.i.cz 21
ISMS – Rozsah prací
► Pro rezort● Koncepce řízení bezpečnosti ICT
● Politika řízení bezpečnosti ICT
● Zjištění stávajícího stavu
● Konzultace k požadavkům na organizace
► V každé organizaci● Návrh politiky systému řízení bezpečnosti ICT
● Návrh řídících struktur bezpečnosti ICT
● Analýza rizik
● Výběr z variant zvládání rizik a možných opatření
● Zavádění vybraných opatření
● První provedení interních auditů
● Podpora při prvním přezkoumání ISMS vedením
www.i.cz
Správa identit a řízení přístupu (IAM)
► Předpokládaný cílový stav● Jeden centralizovaný systém (centralizovaná databáze
uživatelů) spravující uživatelské identity v následujících systémech
● Systémy uvedené v nabídce• Bezpečná výpočetní základna (Microsoft Active Directory –
adresářové služby pro správu operačních systémů Microsoft Windows)
• Systém elektronické pošty (Exchange)
• Provozní informační systém rezortu zdravotnictví (jeden centrální)
● Další systémy identifikované v rámci projektu (výhledově)
• LDAP KSRZIS, LDAP SUKL, …
• Docházkové systémy a systémy objektové bezpečnosti (řízení přístupů)
www.i.cz
Správa identit a řízení přístupu (IAM)
► Předpokládaný cílový stav (pokračování)● Primárním zdrojem dat o uživatelích bude centralizovaný
modul lidských zdrojů Provozního informačního systému rezortu zdravotnictví
• V průběhu analýzy bude nutné identifkovat potřebu a formu „sekundárního zdroje“.
● Funkcionalita
• jednotná, automatizovaná a auditovatelná správa uživatelských účtů
• správa přihlašovacích údajů – hesel (a případně certifikátů)
• podpora správy čipových karet na 21 pracovištích; kontaktní část bude použita pro ukládání klíčů a certifikátů
23
www.i.cz
Správa identit a řízení přístupu (IAM)
► Předpokládaný cílový stav (pokračování)● Řešení bude spolupracovat s centrální PKI autoritou
vybudovanou v rámci dodávky řešení.
● Informace z auditu uživatelů budou předávány do systému řešení kontinuálního bezpečnostního dohledu.
► Předpokládané technologie● CA Identity Manager
● CA Role Manager Systém
● iCMS (ICZ Card Management System)
www.i.cz
Správa identit a řízení přístupu (IAM)
Role Manager System
CA Identity Manager
Docházkový systémMZD
Docházkové systémydalších organizací
Emailový serverMZD
Emilové serverydalších organizací
Doména ADMZD
Domény ADdalších organizací
Provozní informační systém rezortu zdravotnictví
Pracovník HR
Správce rolí
Vlastníci a správci systémů
Zavádění uživatelů a nastavování jejich rolí
Zavedení nového
pracovníka
Přenos informace o
zavedení pracovníka/
uživatele
Schválení přidělení role
v rámci workflow
Správa rolí
Zavádění nových rolí
Informace o stávajících rolích a právech
www.i.cz
Kontinuální bezpečnostní dohled (KBD)
26
www.i.cz
Kontinuální bezpečnostní dohled (KBD)
27
► Dodávané technologie
● CA Enterprise Log Manager (CA ELM)
• Výkonný sběr auditních hlášení• Efektivní komprese logů a archivace• Prohledávání• Automatické aktualizace• Integrace s ostatními bezpečnostními produkty• Podpora mnoha formátů logů
www.i.cz
Kontinuální bezpečnostní dohled (KBD)
28
DATABASEWEBSERVER
ROUTERSWITCH
STORAGECUSTOMAPPLICATION
FIREWALL NETWORKDEVICES
APPLICATIONSERVER
Agent Agent
COLLECTIONSERVER
CA ELM MANAGEMENT
SERVER
AB
C
www.i.cz 29
Děkuji za vaši pozornost
Jaroslav Š[email protected]+420 724 429 916
S.ICZ a.s.Bezpečnostwww.i.cz