Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Az információbiztonság kérdései az e-közigazgatásban „Nincs teljes biztonság, csak optimális, még elfogadható biztonsági szint.” Mottó : „Nincs teljes.

Hasonló előadás


Az előadások a következő témára: "Az információbiztonság kérdései az e-közigazgatásban „Nincs teljes biztonság, csak optimális, még elfogadható biztonsági szint.” Mottó : „Nincs teljes."— Előadás másolata:

1 Az információbiztonság kérdései az e-közigazgatásban „Nincs teljes biztonság, csak optimális, még elfogadható biztonsági szint.” Mottó : „Nincs teljes biztonság, csak optimális, még elfogadható biztonsági szint.”

2 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Tartalomjegyzék  Alapfogalmak tisztázása  Kialakulás és fejlődés áttekintése  Szabványosítási környezet  Jogszabályi környezet  Információbiztonsági Irányítási Rendszer (ISMS)  Dokumentálás  Információs vagyon felmérése  Kockázatkezelés  Terület és berendezések védelme  Elektronikus és nem elektronikus adatok kezelése  Hozzáférés-ellenőrzés  Kommunikáció  Üzemeltetés  Szolgáltatások folytonosságának biztosítása  Információtechnológia megoldások  Siemens megoldások  Összefoglalás  Átgondolandó tanácsok

3 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Információ = értelemmel bíró adat Információ = adatok tudatos kezelése Információ = érték Információs vagyon = szervezet vagyonának része: adatok, tudás, IT-rendszerek,adathordozók, kommunikáció, személyzet Adat = értelmezhető, de nem értelmezett ismeretelem Adathordozó = adatok strukturált feldolgozására, megőrzésére és tárolására alkalmas fizikai/kémiai/biológiai anyag/rendszer Adatvédelem = adatvesztés elleni védelem, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. Adatbiztonság = illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások. Alapfogalmak tisztázása/1

4 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE IT biztonság = rendelkezésre állás + technológia kezelés Biztonsági/védelmi szint = tudatos kockázat vállalás Veszélyforrás = biztonsági szint negatív változását okozó tényező Kockázat = információhiány Kockázati érték = bekövetkezési valószínűség * kárérték Védelmi politika = célok, stratégia, elkötelezettség, eszközök meghatározása ISMS = Information Security Management System IBIR = Információbiztonsági Irányítási Rendszer IVIR = Információvédelmi Irányítási Rendszer Alapfogalmak tisztázása/2

5 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Alapfogalmak tisztázása/3 Bizalmasság Bizalmasság, annak biztosítása, hogy az információ csak az arra felhatalmazottak számára legyen elérhető. Sértetlenség Sértetlenség (integritás), az információk és a feldolgozási módszerek teljességének és pontosságának megőrzése. Rendelkezésre állás Rendelkezésre állás, annak biztosítása, hogy a felhatalmazott felhasználók mindig hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges. Információbiztonság

6 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Információhordozók Számítógép központok Személyes beszélgetések Telefon- beszélgetések Dokumentumok papírok Fóliák, előadások Nyomtató, Szkanner, Fax, Telex, Teletext Adathordozók Laptop, Notebook, PDA PC, WS, DSS Munkahelyek, Informatikai oszt. Hálózatok, LAN WAN MAN Intranet, Internet Flash Card Microfish, Faxtekercsek, … Digitális kamera Alapfogalmak tisztázása/4

7 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Veszélyforrások Forrás: Informatikai Tárcaközi Bizottság 12. sz. ajánlása: Informatikai rendszerek biztonsági követelményei, Miniszterelnöki Hivatal, Budapest, 1996, 1.0. verzió Alapfogalmak tisztázása/5

8 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Motivációk:  Haszonszerzés  Bosszú  Irigység  Sértettség  Felindultság  Virtus Egyéb okok:  Tudatlanság  Képzetlenség  Alkalmatlanság  Ellenséges magatartás  Gondatlanság  Kényelem social engineering social engineer A social engineering a befolyásolás és rábeszélés eszközével megtéveszti az embereket, manipulálja vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni. Az emberi tényező – a leggyengébb láncszem

9 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE  Tűz, víz, strukturális károsodás,  Szabotázs, lopás,  Robbanás, baleseti károsodás,  Ipari tevékenység,  Hardver, szoftver, hálózati hiba,  Adatvesztés,  Hozzáférés vesztés,  Környezeti berendezés hibája Példák súlyos üzemzavart előidéző okokra

10 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Kialakulás és fejlődés áttekintése/ : Kötegelt feldolgozású rendszereknél az információ védelme a minősített dokumentumok kezeléséhez használt hagyományos módszerek kiterjesztésével történt 1970: Új dimenziót hoz be az erőforrás-megosztásra képes (pl. time-sharing) rendszerek megjelenése - egyszerre több felhasználó, több program férhet hozzá az információkhoz 1972: Az első követelményrendszerek nyílt, többszintű, megbízható számítástechnikai rendszerek létrehozására 1979: Program megbízható számítógéprendszerek elterjedésének elősegítésére – a védelem értékelésének fokozatos előtérbe kerülése 1980: Az életciklus-szemlélet megjelenése az informatikai rendszerek védelmében

11 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Kialakulás és fejlődés áttekintése/ : Számítógéprendszerek védelmének értékelési szempontjai - más néven az „Orange Book” (TCSEC) megjelenése az USA-ban, Trusted Computer System Evaluation Criteria, DoD STD, National Compute Security Center : A biztonságértékelés nemzeti megközelítéseinek elburjánzása Information Technology Security Evaluation Criteria, ITSEC, EU, 1991 Canadian Trusted Computer Product Evaluation Criteria, CTCPEC, Canada, 1993,Federal Criteria, USA, : Brit szabvány az információvédelem irányítására Information Security Management Systems, BS 7799, Part 1- Code of Practice (1995), Part 2 – Specification (1999)

12 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Kialakulás és fejlődés áttekintése/ : Nemzetközi megállapodás az IT rendszerek és termékek közös értékelési szempontjaiban – Common Criteria Evaluation criteria for IT Security, ISO/IEC Parts 1-3 szükséges műszaki tulajdonságok egyoldalú „kinyilatkoztatása” (TCSEC) helyett rugalmasabb megközelítés (Security Target – biztonsági előirányzat) : Nemzetközi megállapodás az információvédelem irányítási rendszerében Information Security Management Systems, ISO/IEC (Guidelines, ), ISO/IEC (Requirements, 2005) : Nemzetközi megállapodás az IT-szolgáltatás irányítási rendszerében IT Service Management, ISO/IEC 20000, Part 1-2, 2005

13 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Forrás: Krauth Péter: Információbiztonsági szabványok fejl ő dése az elmúlt időszakban (avagy az s esete a el), MMT előadása, Budapest, Szabványosítási környezet ISO ISMS ISO IS Kockázatkezelés ISO ISMS mérés ISO/IEC ITIL

14 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Jogszabályok céljai a következők:  Az információnak, mint vagyoni értéknek a megőrzése.  Az ismerettel rendelkező körön kívüli jogosulatlan előnyhöz jutás megakadályozása.  A ismerettel rendelkező vagy azon kívül eső körből eredő titoksértés elkövetésének feltárása, megállapítása.  A titoksértő személyek leleplezése valamint a cselekmények szankcionálása, munka- és büntetőjogi eszközökkel. Az információbiztonság kérdésköre számos ponton kapcsolódik a joghoz és az etikához, illetve sérthet meg jogi és/vagy etikai szabályokat:  Gondatlanság;  Szándékos rongálás;  Illetéktelen hozzáférés, elérés;  Számítógépes bűnözés;  Elektronikus adatcsere;  Aláírás-hitelesség, elektronikus aláírás;  Szerzői érdekek. Jogszabályi környezet/1

15 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Jogszabályi környezet/ évi LXIII. Tv.: a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról évi LXVI. Tv.: az állampolgárok személyi adatainak és lakcímének nyilvántartásáról, egységes szerkezetben a végrehajtásáról szóló 146/1993. (X. 26.) Korm. rendelettel évi CXIX. Tv.: a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről évi LXV. Tv.: az államtitokról és a szolgálati titokról évi LXVI. Tv.: Köziratok, köz- és magánlevéltári anyagok védelme évi LVII. TV.: a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról évi CXII. Tv.: banktitok évi CXI. Tv.: értékpapírtitok évi XLVII. Tv.: az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről évi VI. Tv.: az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, január 28. napján kelt Egyezmény kihirdetéséről

16 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Jogszabályi környezet/ évi LXXXIV. Tv.: a közúti közlekedési nyilvántartásról évi LXXII. Tv.: a polgárok személyi adatainak kezelésével összefüggő egyes törvények módosításáról évi LXXVI. Tv.: a szerzői jog védelméről évi XXXV. Tv.: az elektronikus aláírásról évi CVIII. TV.: az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről évi C. Tv.: az elektronikus hírközlésről évi CXL. Törvény KET 17§, 172§ f Évi XXII. Tv.: befektetők és befektetések védelme A biztonsági okmányok védelmének rendjéről szóló 86/1998. (VI.14.) Kormány rendelet, amely a vállalkozói igazolvánnyal bővítette a jogosultságokat igazoló okmányok körét. Az Internettel összefüggő adatkezelések egyes kérdéseiről szóló adatvédelmi biztos ajánlásai.

17 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Jogszabályi környezet/4 Büntetőjog (Btk) információbiztonsággal foglalkozó fejezetei:  Visszaélés személyes adattal – 177/A. §  Visszaélés közérdekű adattal – 177/B. §  Magántitok jogosulatlan megismerése – 178/A. §  Üzleti titok megsértése – 300. §  Banktitok megsértése – 300/A-B. §  Számítástechnikai rendszer és adatok elleni bűncselekmény 300/C. §

18 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Jogszabályi környezet/5 Adatvédelmi törvény - Alapelvek Célhoz kötöttség Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához:  elengedhetetlen,  a cél elérésére alkalmas,  csak a cél megvalósulásához szükséges mértékben és ideig. Adatminőség  felvétele és kezelésük tisztességes és törvényes;  pontosak, teljesek és ha szükséges időszerűek;  tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani. Adatvédelem – adatbiztonság Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. (Az adatkezelés minden szereplőjének!)

19 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Jogszabályi környezet/6 A személyes adat fogalma Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel kapcsolatba hozható adat, illetve az adatból levonható, az érintettre vonatkozó következtetés. Az adat személyes jellege addig állapítható meg, amíg kapcsolata az érintettel helyreállítható. A személyt - közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.

20 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Jogszabályi környezet/7 Mi minősül adatkezelésnek? Az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége. Adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése,valamint az adatok további felhasználásának megakadályozása. Adatfeldolgozás: technikai műveletek végrehajtása az adatokon.

21 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Jogszabályi környezet/8 A különleges adatok  faji eredet,  nemzeti és etnikai kisebbséghez tartozás,  politikai vélemény vagy pártállás,  vallásos vagy más világnézeti meggyőződés  az érdek-képviseleti szervezeti tagság  egészségi állapot,  a kóros szenvedélyre,  a szexuális élet,  bűnügyi személyes adat

22 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Jogszabályi környezet/9 A jogosulatlan adatkezelés Tájékoztatást kérhet személyes adatai kezeléséről. Kérheti személyes adatainak helyesbítését, törlését. (Jogszabályban elrendelt adatkezelések esetén nem áll az érintett rendelkezésére.) Az adatvédelmi nyilvántartásba betekinthet, (feljegyzést készíthet és kivonatot kérhet). Tiltakozhat személyes adatának kezelése ellen. Bírósághoz fordulhat. Kártérítést követelhet.

23 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Jogszabályi környezet/10 Adatvédelmi felelős Nagy állami, pénzügyi, távközlési adatkezelőknél kötelező. Feladatai: 1) közreműködik adatkezelés kialakításában; 2) ellenőrzi szabályok betartását; 3) kivizsgálja az adatkezelési panaszokat; 4) elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot; 5) vezeti a belső adatvédelmi nyilvántartást; 6) adatvédelmi oktatások tervezése, végrehajtása, felügyelete.

24 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE  Információvédelmi politika  Védelmi szervezet  Az információvagyon osztályozása és kezelése  Személyekkel kapcsolatos védelem  Fizikai és a környezeti védelem  Kommunikáció és működés irányítása  Hozzáférés szabályozása  Rendszerek fejlesztése és karbantartása  Folyamatos működés biztosítása  Megfelelőség Információbiztonsági Irányítási Rendszer (ISMS)

25 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE  az információbiztonsági (vagy információvédelmi) politika,  az ISMS alkalmazhatósági nyilatkozata,  a információbiztonsági (vagy információvédelmi) irányítási kézikönyv,  a kockázat elemzési és kezelési eljárás szabályozása (ez lehet a kézikönyv integrált részei is),  az üzleti folytonossági terv és a katasztrófa utáni visszaállítási terv (BCP = business continuity plan és a DRP = disaster recovery plan),  a szükséges folyamatok eljárási utasításai (ezek lehetnek a kézikönyv integrált részei is),  egyéb szabályok vagy előírások,  a szükséges feljegyzések és bizonylatok formanyomtatványai. Információbiztonsági Irányítási Rendszerek dokumentációja

26 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Információs vagyonleltár elkészítése/1 Csoportmunkában Csoportmunkában közösen felmérik és értékelik az egyes vagyontárgyakat. A főbb lépések a következők:  Vagyonleltár felvétele (minden számba vehető, fontos, információs vagyontárgy rendszerezett felsorolása)  Osztályozási irányelvek meghatározása (ez jelenti az adott információ érzékenységét – kritikusságát, így ez szabja meg a szükséges védelmi szintet is; eldöntés üzleti elvek, fontosság alapján; osztályokhoz rendelhetők védelmi szintek, szabályok, …)  Vagyonleltár elemeinek (vagyontárgyaknak) besorolása a definiált osztályokba Ezek alapján határozhatóak meg, mely vagyontárgyakra kell a kockázatkezelés során összpontosítani!

27 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Információs vagyonleltár elkészítése/2 Vagyonelemek feltérképezésének módja:  Folyamatok szerinti megközelítés Kiindulási alap a vállalat folyamatainak feltérképezése, és az ahhoz kapcsolódó információk, adathordozók és adatfeldolgozó és továbbító berendezések kigyűjtése.  Telephely / szervezet szerinti megközelítés Kiindulási alap a vállalat telephelyei, helyiségei (pl. szervezeti egységek működési helye szerint), és az ott található IT és nem IT alapú adathordozók és információk kigyűjtése.  Adat alapú megközelítés Kiindulási alap a vállalat adatainak, adatbázisainak összegyűjtése, majd az azokhoz kapcsolódó adathordozók, eszközök és hozzáférések kigyűjtése.

28 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Célja = a bekövetkezési valószínűség csökkentése és/vagy a veszélyforrás kiküszöbölése és/vagy az okozott kár nagyságának korlátozása, csökkentése". Módszertana = nincs egy egységes jól kiforrt módszer Folyamata = az ábra mutatja Tapasztalatok Amilyen hamar lehet! Kockázat azonosítása Kockázat értékelése Kockázatok priorizálása Kockázatok minimalizálása Kockázatok felügyelete Kockázatkezelés Kockázati érték = bekövetkezési valószínűség * kárérték

29 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Kockázatkezelés – példa módszertanra/1

30 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Kockázatkezelés – példa módszertanra/2

31 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE csoport2. csoport Információs vagyon Információs vagyon Szintetizáló csoport Kockázatkezelés – példa folyamatra/3

32 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Terület és berendezések védelme Információ lehet: nyílt belső használatra titkos Információ lehet: nyílt belső használatra titkos Zóna lehet: I-esII-esIII-as I-esII-esIII-as Beléptető rendszerek:  technikai (ellenőrzésű)  személyi (ellenőrzésű)  és a kettőjük kombinációit. A technikai beléptető rendszerek  drága a kiépítésük, szervizelésük és üzemeltetésük  érzékenyek, egyéb technikai feltételek meglétére (áramkimaradás, kábelek  biztonsága)  megtéveszthető  nem fárad, és következetes/rugalmatlan A személyi ellenőrzésű beléptető rendszerek  megtéveszthető, de képes korrekcióra  fáradékony  rugalmas/nem következetes

33 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Hozzáférés-ellenőrzés szabályozása és módszerei  A hozzáférési szabályokat, jogokat miden felhasználóra és felhasználói csoportra egyértelműen meg kell adni!  A hozzáférés-ellenőrzéseket (logikai, fizikai) együttesen kell átgondolni!  Cél a felhasználók egyértelmű, minden kétséget kizáró azonosítása!  Módszerei:  Tudás  Tudás” – alapú módszerek,  Birtok  Birtok” – alapú módszerek,  Biometria  Biometria” – alapú módszerek.  Naplózni kell:  Felhasználói tevékenységeket  Meghibásodásokat  Változtatásokat ElőnyHátrányTámadás Tudás alapúEgyszerű, olcsó KitalálhatóLehallgatás Birtok alapúErős védelem Másolható, elveszthető Hamisítás BiometrikusEmbert azonosít Drága, megtéveszthető Visszajátszás,csonkítás Szabályozott kereteket teremtsen:  Információk-  Hálózatok-  Alkalmazások-  Fájlok-  Programok –hozzáféréséhez

34 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Információbiztonsági informatikai megoldások Adat titkosítás (Public Key Infrastructure) Elektronikus aláírás (PKI) Felhasználó azonosítás (PKI) Biometrikus azonosítás Intelligens beléptető rendszerek Intelligens riasztó rendszerek Intelligens felügyelő és figyelő rendszerek SMART CARD alkalmazása

35 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Symmetric Cryptography:Asymmetric Cryptography: AB Secret Key‘ A‘ Secret Key ‚B‘ Secret Key ‚A‘ Secret Key ‚B‘ Data-Integrity (Signatur / MAC) with Secret Key Algorithm: DES, Triple-DES, IDEA ( Bit) RC4, RC5 Message AB Secret Key ‚A‘ (Private Key A) Encryption with Public Key B Algorithm: RSA, DSA, elliptic Curves Secret Key ‚B‘ (Private Key B) Decryption with Private Key B Message EncryptionDecryption Encryption Encryption with Public Key A Decryption with Private Key A Data-Integrity (Signature) only with Private Key Public (Public Key A, B) Információbiztonsági informatikai megoldások - PKI

36 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Public (Public Key A, B) Secret (Private Key A) Hashing Encrypt Message Session Key DES / T-DES Digital Signatur Private Key Sender Encrypt Session Key Public Key Receiver m Plain Message Network Receiver Secure Message Sender Smart Card Private Key Certifi- cate m Secure Message Public Direc- tory Trust Center Sender “A” Receiver „B“ Információbiztonsági informatikai megoldások – PKI folyamata

37 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE End-to-End Security Identification/ Authentication Transport-Encryption Content-Encryption Anti-Virus Virtuell Privat Network / VPN Single-Sign-On Firewalls Public Key Infrastruktur / PKI Intrusion Detection 9 UserNetwork Wireline Wireless Internet GSM/ GPRS WLAN WAP WLAN- AP Back End Front End Appli- cation Server Web/ Portal Server DB Server Legacy Systems Intranet DMZ 9 IDS RAS/ Radius 7 FW Információbiztonsági informatikai megoldások – PKI infrastruktúra

38 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Organisation Technology Security Policy Organizational- / Systems Concept (Infrastructure, Applications, Roll out, Services) Risk- Scenario Business Scenario Rules Steps towards secure business processes Scenario & Risk Analysis Security Policy I&C Security Analysis Risk Management Strategy Operation Monitoring Reviews Transfer Road Map Imple- mentation Business Processes Információbiztonsági Siemens megoldások – IS projekt

39 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Directory LDAP System ID card Authentication (Keypair generation, chip on-board) Data of the Citizans SSCE Certification Authority (CA) Crytpo Chip supplier Optical Band supplier IPZS Smart Card Mgmt Italian State Mint Munici- palities Belügyminisztérium Információbiztonsági Siemens megoldások – CIE, Olaszország

40 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE The Challenge Customer Benefits Increased „passive“ security; protection against document forging Increased „active“ security: secure identification of the citizens Secure e-government applications Basic for new public services and comprehensive reengineering of existing public processes. The Solution National PKI infratructure Smart card-based ID-card Hybrid card: Chip and laser stripe for photography and fingerprint (20 Mbytes) Platform for comprehensive new electronic public services 3 Mio. cards today; 40 Mio Protection against forging of official documents. Secure public and e-business transactions Enable e-government services Enable business reengineering of public services Információbiztonsági Siemens megoldások – CIE, Olaszország

41 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Secure PKI-services are worldwide available Secure business processes throughout the company Platform for further applications for the employees and business partner „End-to-end“-secure processes on the highest security level Central Trust Center Service; automated operation Decentralised smart card issuing resp. „soft“ certificates Smart Card contains contactless chip and magnetic stripe (migration strategy) first roll out: 1999 today: 270,000 cards/certificates Siemens AG 190 countries, 500 Sites; Employees Convincing all involved parties worldwide Integration of a variety of different applications worldwide The Challenge Customer Benefits The Solution Információbiztonsági Siemens megoldások – SIEMENS

42 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Információbiztonság és - védelem Összefoglalás

43 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE  Biztonságot utólag „adni” egy rendszerhez drágább és kevésbé hatásos, mint kezdetektől a rendszerrel együtt tervezni  Nincs 100 %-os biztonság (lásd a mottót)  Biztonsági lyukak voltak, vannak és lesznek …  A hamis biztonságérzet vagy a túlzott veszélyérzet egyaránt káros  Jobb megelőzni, mint javítani  Az algoritmikus komplexitás valódi akadályt jelent  Elméletben megoldhatatlan problémára a gyakorlatban működő megoldás létezhet  A jelszavak titkosságát feltételezni illúzió  A redundancia nem feltétlenül növeli a megbízhatóságot  Ne küldj tovább sok címzettnek kéretlen levelet!  Egy rendszer mindig annyira erős, mint a leggyengébb láncszeme  Mindenki célpont az Interneten  Megalapozott kriptográfia erős védelmet nyújt – a megalapozatlan bizonytalant Átgondolandó tanácsok

44 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Kérdezz - felelek

45 Veress András, Minőségfejlesztési koordinátor Siemens IT Solutions and Services PSE Köszönöm a figyelmet! Az előadás letölthető: Veress András


Letölteni ppt "Az információbiztonság kérdései az e-közigazgatásban „Nincs teljes biztonság, csak optimális, még elfogadható biztonsági szint.” Mottó : „Nincs teljes."

Hasonló előadás


Google Hirdetések