Държавна политика за мрежова и информационна сигурност в административните информационни системи

Държавна политика за мрежова и информационна сигурност в Държавна политика за мрежова и информационна сигурност в административните информационни системиадминистративните информационни системи

КОНФЕРЕНЦИЯ АСТЕЛ 2008 “ЦИФРОВА ДЕМОКРАЦИЯ”

Държавна политика за мрежова и Държавна политика за мрежова и информационна сигурност в информационна сигурност в

административните информационни административните информационни системисистеми

Представя: Ст.н.с. д-р инж. Славчо Манолов – Ст.н.с. д-р инж. Славчо Манолов –

съветник на Председателя на ДАИТСсъветник на Председателя на ДАИТС

член на Управителния съвет на член на Управителния съвет на ENISAENISA

Конференция Конференция AAСТЕЛ 2008 “Цифрова демокрация”СТЕЛ 2008 “Цифрова демокрация”



Законът за електронното управление, приет на 12.06.2007 г. и влизащ в сила след едногодишен подготвителен период, урежда дейността на административните органи при работа с електронни документи, предоставянето на административни услуги по електронен път и обмена на електронни документи между административните органи.

В глава четвърта “Оперативна съвместимост и информационна сигурност” Законът ясно регламентира изискванията за постигане на мрежова и информационна сигурност в информационни системи на административните органи.

В същата глава Законът посочва държавния орган, отговорен за разработването и провеждането на политиката в областта на мрежовата и информационна сигурност, включително за упражняването на контрол – Държавната агенция за информационни технологии и съобщения.

Закон за електронното управлениеЗакон за електронното управление



Особено внимание към мрежовата и Особено внимание към мрежовата и информационна сигурностинформационна сигурност

За разлика от преобладаващата понастоящем практика на автономно развитие на информационни системи във всяка отделна администрация, изискването на Закона за еднократно въвеждане на данни от гражданите и фирмите предизвиква необходимост от интензивен информационен обмен между административните системи. Това създава нов тип заплахи:

- пренос на уязвимост от една система в друга; - блокиране на електронна административна услуга на една система при

нарушена достъпност на друга и пр. При това постигането на определено приемливо ниво в мрежовата и

информационна сигурност на всички системи става задължително условие за взаимодействието им.

Предстоящото включване в системите за пан-Европейски транс-гранични електронни услуги също е свързано с това условие.

Затова Законът и наредбите към него предвиждат изисквания и мерки за постигане на това ниво.

Определение (синхронизирано с терминологията на Европейската комисия): „мрежова и информационна сигурност” е способността на мрежите и информационните системи да се противопоставят на определено ниво на въздействие или на случайни събития, които могат да нарушат достъпността, автентичността, интегритета и конфиденциалността на съхраняваните или предаваните данни и на услугите, свързани с тези мрежи и системи.



Обхват на държавната политикаОбхват на държавната политика Съгласно “Наръчника на ITU за национална самооценка по киберсигурност”

това включва преди всичко:

1. Определяне на водеща институция

2. Идентифициране на основните организации с опре-

делена роля в киберсигурността

3. Определяне на водещи личности или звена в основ-

ните организации

4. Формулиране на националната политика

5. Формулиране на механизмите за координация

6. Изграждане на национален център за действие при

инциденти в сигурността (N-CSIRT)

7. Установяване на интегриран процес за управление

на риска

8. Установяване процес на оценки и самооценки

9. Установяване сътрудничество с частния сектор

10. Национална кампания за култура на киберсигурността



Наредба за общите изисквания към оперативната Наредба за общите изисквания към оперативната съвместимост и информационната сигурностсъвместимост и информационната сигурност

Определена част от тези етапи са формулирани в този основен подзаконов нормативен акт, регламентиращ мрежовата и информационна сигурност на административните информационни системи.

В своята трета глава Наредбата формулира както политиката, така и конкретните изисквания към мрежовата и информационна сигурност на системите на административните органи.

Основни раздели: 1. Политика за мрежова и информационна сигурност; 2. Организация на мрежовата и информационна сигурност; 3. Управление на достъпа и защита срещу неправомерен достъп; 4. Управление на комуникациите и експлоатационните процеси; 5. Защита срещу нежелан софтуер; 6. Мониторинг; 7. Физическа сигурност и защита на околната среда; 8. Управление на инциденти; 9. Сигурност, свързана със служителите в администрацията



На какво е основана конкретната разработка на На какво е основана конкретната разработка на политикатаполитиката

1. Международни стандарти:

- ISO/IEC 270ХХ (Information security management systems) – предвид факта, че тази серия обединява и някои съществуващи до сега отделно стандарти, например, ISO 13335 (IT security management) става 21005, ISO/IEC 16028(IT network security) става 27033 и пр.;

- ISO / IEC 15408-2 (Common Criteria);

- по отношение на мрежовата сигур-

ност – препоръки Х.800 и Х.805 на ITU

2. Разработката на IBM-България

“Security Аrchitecture” в рамките на

PHARE-проект за българската

централна администрация

3. Добрите европейски практики,

систематизирани от ENISA

Security Architecture Requirements

Security Architecture

Security Architecture Design Objectives

Sec

uri

ty Z

on

es

Security Subsystems

Nodes

Components

O

RiskAssessment

Owners

Countermeasures

Threat Agents

Threats

Risk

Assets

Vulnerabilities

wish to abuse and/or may damage

give rise toto

that increase to

thatexploit

leading to

that maypossess

may be aware of

that may bereduced by

imposeto reduce

wish to minimise

value

Environment Actors

operateonlocated in an

located in ancontains

Processes

initiate

that maypossess

operateon

C

Security Subsystem

PrinciplesSecurityPolicies

ArchitectureRequirements

Reference Standards/Models

IntegrityAudit

TrustedCredential

InformationFlow

Control

AccessControl

General Security Strategies

Current ITEnvironment

GAEASecurity

Architecture

Inputs

BA/DAArchitecture



Организация на мрежовата и информационна Организация на мрежовата и информационна сигурност на две нивасигурност на две нива

1. Централно ниво: 1.1. Управление на Националната електронна съобщителна мрежа

(НЕСМ) от определен от Министерския съвет администратор под методическия контрол на ДАИТС;

1.2. Национален център за действие при инциденти в компютърната сигурност (N-СSIRТ), изграждан понастоящем от ДАИТС със съдействието на ENISA и CERT-Унгария;

1.3. Единна среда за обмен на електронни документи (ЕСОД); 1.4. Съвет за мрежова и информационна сигурност на

информационните системи на административните органи – консултативен орган към ДАИТС;

1.5. Звено за планов и текущ контрол на мрежовата и информационна сигурност към ДАИТС.

2. Ниво “Административен орган” – въз основа на: 2.1. Вътрешни правила по модела на „Системи за управление на

информационната сигурност”, регламентиран от ISO 27001:2005; 2.2. Сертификация на административните информационни

системи в съответствие с глава шеста от Наредбата



Централно нивоЦентрално ниво 1. НЕСМ - съгласно Наредбата, администраторът на НЕСМ отговаря

за прилагане на мерките за мрежова сигурност в съответствие с препоръки Х.800 и Х.805 на ITU, включително защитата на Интернет-комуникациите на администрациите.

2. Национален център за действие при инциденти в компютърната сигурност



Единна среда за обмен на електронни документи (ЕСОД)Единна среда за обмен на електронни документи (ЕСОД)

ЕСОД-сървър

АИС

ЕСОД-клиент

АИС

Единен портал Gateway

to ..

● ● ●




ЕСОД е управляема среда за сигурен стандартизиран обмен на документи, вписани в регистъра на информационните обекти, между лица, регистрирани за участие в обмена.



Някои характеристики на ЕСОДНякои характеристики на ЕСОДРегистрация на участниците:1. Данни, идентифициращи администрацията2. Наименование на участника 3. IP-адрес 4. УРИ на регистрация5. Цифров сертификат6. Други данни

Нива на адресация при обмен:• Адресация на ниво “съобщение”- чрез IP;• Адресация на ниво “пренос на документ”- УРИ на регистрация на

участник;• Адресация на ниво услуга или процедура - УРИ на регистрация на

документ-заявление.

Криптиране/декриптиране на съобщенията чрез асиметрична криптография посредством публичния ключ на цифровите сертификати на ЕСОД-сървъра и ЕСОД-клиентите. Удостоверенията се издават от вътрешната инфраструктура на публичния ключ за всички администрации, изграждана и поддържана от Министъра на държавната администрация и административната реформа.



Схема на изпълнение на двете сесии за обмен на документСхема на изпълнение на двете сесии за обмен на документ

Administration “A” ESOD Administration “B”

AIS: Service procedure “A”

ESOD

Client “A”

ESOD Server ESOD

Client “B”

AIS: Service procedure “B”

Document “A”

OSCI Message “A”

OSCI Message “B”

Document “A”

OSCI Receipt “B”

OSCI Receipt “A”



Ниво “Административен орган” - гНиво “Административен орган” - групи действиярупи действия

В изпълнение на Наредбата за оперативна съвместимост и информационна сигурност, административният орган трябва да предприеме три групи действия (изброяването не ги ранжира нито по важност, нито по хронология):

Действия по включване към НЕСМ и ЕСОД (осигурява централното ниво на мрежовата и информационна сигурност)

Сертифициране на определени информационни системи по смисъла на глава шеста от Наредбата

Сертифициране на административния орган (всички информационни системи) по ISO 27001:2005



По същество, Наредбата за оперативна съвместимост и информационна сигурност предвижда две сертификации:

1. Специфична сертификация на информационни системи и продукти, формулирана в глава шеста на Наредбата и осъществявана от акредитирани от Председателя на ДАИТС лица. Това е задължително за новите системи и продукти, а за съществуващите ще се направи график в съответствие с резултатите от прегледа по § 5 от ПЗР на Закона.

Тази сертификация обхваща точно определени административните информационни системи;

2. Сертификация на вътрешните правила на административния орган като „Система за управление на информационната сигурност” по смисъла на ISO 27001:2005 от оправомощена за това организация. Наредбата предвижда това да стане в срок от 18 месеца.

Тази сертификация обхваща всички информационни системи на административния орган.

Сертификация за мрежова и информационна сигурностСертификация за мрежова и информационна сигурност



Сертифициране на информационните системи Сертифициране на информационните системи по глава шеста на Наредбатапо глава шеста на Наредбата

Кои системи се сертифицират: А. Административните информационни системи по смисъла на

чл. 4 от Наредбата за вътрешния оборот на електронни документи; Б. Специализираните информационни системи, осигуряващи

изцяло или частично функциите на административна информационна система, доколкото генерират електронни документи, регламентирани в Наредбата за вътрешния оборот на електронни документи.

Сертифицирането на информационната система за информационна сигурност по глава шеста от наредбата включва:

1. Проверка на изискванията по отношение на съхранението и достъпа до данните в системата.

2. Проверка на нивото на защита на достъпа до ресурсите на информационната система.

3. Проверка по отношение на функциите по заключване и отключване на документи.

4. Проверка на изпълнението на изискванията за преносимост на всички съдържащи се в системата данни.



Акредитация на проверяващи лицаАкредитация на проверяващи лица Председателят на ДАИТС:• оценява лицата, подали заявление за акредитация;• поддържа публично достъпен списък (по същество, регистър) от акредитирани лица;• овластява длъжностни лица, които контролират акредитираните оценители.

Кандидатстващите лица представят:• Справка за компетентността на персонала, извършващ оценките;• Списък на използваните технически средства, с които разполагат в лабораториите си за изпитване и/или в лабораториите, с които има сключени договори;• Договор за застраховка за вредите, които могат да настъпят вследствие на неизпълнение на задълженията;• Прилаганите методики и процедури.



Това е сертификация на вътрешните правила на административния орган като „Система за управление на информационната сигурност” по смисъла на ISO 27001:2005 от оправомощена за това организация. Проектът за наредба предвижда това да стане в срок от 18 месеца. Този тип сертификация обхваща всички информационни системи на административния орган.

Какво конкретно включва това? - класификация на информационните активи; - оценка и управление на риска; - управление на достъпа; - управление на експл. процеси; - защита срещу нежелан софтуер; - мониторинг и упр-ние на инциденти; - мерки за физическа сигурност; - сигурност на персонала.

Сертифициране на административните органиСертифициране на административните органи



Нива на защита от неправомерен достъпНива на защита от неправомерен достъп

Наредбата за общите изисквания за оперативна съвместимост и информационна сигурност определя четири нива на защита от неправомерен достъп до всеки информационен актив:

- ниво „0” или “D” – ниво на свободен достъп;

- ниво „1” или „С” – ниво на произволно управление на достъпа;

- ниво „2” или „В” – ниво на принудително управление на достъпа;

- ниво „3” или „А” – ниво на проверена сигурност.

Ръководителите на административните звена класифицират информационните активи в съответното звено по посочените нива.

Всяко самостоятелно звено на администрацията управлява идентификаторите на ползвателите на информационните системи.



Мерки за сигурност при управление на Мерки за сигурност при управление на експлоатационните процесиексплоатационните процеси

Като основно средство се препоръчва създаване на зони на сигурност, произтичащи от международния стандарт ISO / IEC 15408-2 “Common Criteria”. Зоните на сигурност са области от софтуерната архитектура на системата, адекватно разделени една от друга, като преносите на данни от една зона в друга са строго регламентирани и се осъществяват през контролни обекти, като защитни стени, прокси-сървъри и др.

Важна роля играе т.н. „демилитаризирана зона (DMZ)” – мрежова област, разположена между публичната неконтролируема част на системата и вътрешната защитена част. DMZ организира информационни услуги към двете части на мрежата, като защищава вътрешната част от нерегламентиран достъп.

Сертифициране на административните информационни системи по “Common Criteria” се предвижда за по-късен период.

Documents

Държавна политика за мрежова и информационна сигурност в административните информационни системи