Blíží se datové schránky,
-
Upload
meredith-walters -
Category
Documents
-
view
40 -
download
0
description
Transcript of Blíží se datové schránky,
Hlavní služby ISDS
• Identifikace subjektů pro doručování
• Příjem a zaručené doručování zpráv
• Záznam veškeré manipulace se zprávami
• Dlouhodobá právní prokazatelnost
• Důvěrnost, integrita a vysoká dostupnost
Vnitřní bezpečnost ISDS
• Důsledné oddělení rolí na všech úrovních
• Silné šifrování, nepřístupnost schránek
• Dokonalá ochrana osobních údajů i obsahu
• Časově neomezená prokazatelnost úkonů
• Účinná opatření proti OWASP 10 útokům
• Fyzická bezpečnost, personální opatření
Doporučené připojení k portálu
• Použití komerčního certifikátu pro přístup– Uložení v technickém prostředku
• IronKey Personal S200• Splňuje FIPS 140-2 Level 3• HW šifrování AES 256-bitů• Kapacita až 16GB• Čtení 30MB/s – zápis 28MB/s• Vzdálená správa• Aktivní obrana proti kódům
Doporučené připojení ESS/HSS
• Vzdálená správa úložišť certifikátů
• Zničení ukradených či ztracených
• Připojení výlučně k podnikovým PC
• Virtuální desktop pro vzdálené uživatele
Není ZFO jako ZFO!
• ZFO jako formát zprávy– Digitálně podepsaný, časovým razítkem
označený, veřejný XML formát– K jeho ukládání slouží 602XML Filler plug-in
• ZFO jako formát souboru– Souborový formát pro 602XML Form Server– De fakto ZIPované XML (proprietární formát
společnosti Software 602)
Antiphishingová opatření
• Prokazujeme se systémovým certifikátem• E-mailové notifikace jsou rovněž podepsány• Notifikační servery mají nastaveno SPF• Připravujeme implementaci DNSSEC• Všechny zprávy mají vzor v dokumentaci• Informace o posledním přihlášení k systému• Vzdělávání uživatele (antiphishingová hra)
Bezpečnost prohlížečů
• Použití zvláštních technik ochrany cookie• Všechny bezpečnostní parametry cookie• Ochrana proti přihlašování se skriptem• Příprava k nasazení softwarové klávesnice• Portálové cookie nelze použít pro SOAP• Bezpečnostní opatření proti XSS, CSRF…• Digitálně podepsaný plug-in 602XML Filler
Aplikace 3. stran
• Základní požadavky na ESS/HSS a další:– Žádné ukládání přihlašovacích údajů (§9 Z)– Certifikáty v technických prostředcích (§2 V)– Doporučujeme použití standardního keystore– Vizuální kontrola při vkládání certifikátu– Šifrovaná komunikace aplikace s klientem– Design aplikace založený na analýze rizik– Zveřejnění zdrojového kódu klientské části