Blíží se datové schránky,
Blíží se datové schránky,
Dec 30, 2015
Blíží se datové schránky,. aneb „Nepropadejte panice!“. Hlavní služby ISDS. Identifikace subjektů pro doručování Příjem a zaručené doručování zpráv Záznam veškeré manipulace se zprávami Dlouhodobá právní prokazatelnost Důvěrnost, integrita a vysoká dostupnost. Bezpečnostní koncept ISDS. - PowerPoint PPT Presentation
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Blíží se datové schránky,
aneb „Nepropadejte panice!“
Hlavní služby ISDS
• Identifikace subjektů pro doručování
• Příjem a zaručené doručování zpráv
• Záznam veškeré manipulace se zprávami
• Dlouhodobá právní prokazatelnost
• Důvěrnost, integrita a vysoká dostupnost
Bezpečnostní koncept ISDS
Důvěrnost Integrita
Dostupnost
Bezpečnost
Vnitřní bezpečnost ISDS
• Důsledné oddělení rolí na všech úrovních
• Silné šifrování, nepřístupnost schránek
• Dokonalá ochrana osobních údajů i obsahu
• Časově neomezená prokazatelnost úkonů
• Účinná opatření proti OWASP 10 útokům
• Fyzická bezpečnost, personální opatření
Redundantní architektura
Zónování ISDS
Přihlašování do ISDS
Doporučené připojení k portálu
• Použití komerčního certifikátu pro přístup– Uložení v technickém prostředku
• IronKey Personal S200• Splňuje FIPS 140-2 Level 3• HW šifrování AES 256-bitů• Kapacita až 16GB• Čtení 30MB/s – zápis 28MB/s• Vzdálená správa• Aktivní obrana proti kódům
Doporučené připojení ESS/HSS
• Vzdálená správa úložišť certifikátů
• Zničení ukradených či ztracených
• Připojení výlučně k podnikovým PC
• Virtuální desktop pro vzdálené uživatele
Není ZFO jako ZFO!
• ZFO jako formát zprávy– Digitálně podepsaný, časovým razítkem
označený, veřejný XML formát– K jeho ukládání slouží 602XML Filler plug-in
• ZFO jako formát souboru– Souborový formát pro 602XML Form Server– De fakto ZIPované XML (proprietární formát
společnosti Software 602)
Antiphishingová opatření
• Prokazujeme se systémovým certifikátem• E-mailové notifikace jsou rovněž podepsány• Notifikační servery mají nastaveno SPF• Připravujeme implementaci DNSSEC• Všechny zprávy mají vzor v dokumentaci• Informace o posledním přihlášení k systému• Vzdělávání uživatele (antiphishingová hra)
Bezpečnost prohlížečů
• Použití zvláštních technik ochrany cookie• Všechny bezpečnostní parametry cookie• Ochrana proti přihlašování se skriptem• Příprava k nasazení softwarové klávesnice• Portálové cookie nelze použít pro SOAP• Bezpečnostní opatření proti XSS, CSRF…• Digitálně podepsaný plug-in 602XML Filler
Aplikace 3. stran
• Základní požadavky na ESS/HSS a další:– Žádné ukládání přihlašovacích údajů (§9 Z)– Certifikáty v technických prostředcích (§2 V)– Doporučujeme použití standardního keystore– Vizuální kontrola při vkládání certifikátu– Šifrovaná komunikace aplikace s klientem– Design aplikace založený na analýze rizik– Zveřejnění zdrojového kódu klientské části
Zajímavý tip pro Vás
Odstranění rizika phishingu
Žádné ukradené relace
Eliminace M-i-M útoků
Related Documents
