Moduł 3 - wersja tekstowa
Spis treści
Moduł 3. Bezpieczeństwo e-administracji
Państwowe instytucje bezpieczeństwa teleinformatycznego
Szyfrowanie, podpis elektroniczny, profil zaufany
Popularne metody szyfrowania transmisji danych w Internecie
Zaawansowany podpis elektroniczny
Kwalifikowany podpis elektroniczny
Moduł 3. Bezpieczeństwo e-administracji
Niniejszy moduł przedstawia zagadnienia związane z bezpieczeństwem e-Administracji.
Celami szkolenia są:
1. Zdobycie wiedzy na temat potencjalnych zagrożeń związanych z e-Administracją
2. Poznanie sposobów eliminowania ryzyka
3. Zrozumienie, czym jest podpis elektroniczny, profil zaufany, a także co to szyfrowanie
W module zostaną przedstawione następujące zagadnienia:
1. Potencjalne zagrożenia
2. Metody eliminowania ryzyka
3. Szyfrowanie, podpis elektroniczny, profil zaufany
Potencjalne zagrożenia
Zagrożenia wiążą się głównie z zapewnieniem integralności i wiarygodności danych oraz ich ochroną.
Niepożądane zjawiska
Niepożądane zjawiska, jakie mogą wystąpić, to:
· Przerwa w działaniu administracji w wyniku braku zasilania, awarii systemów informatycznych lub celowego ataku
· Utrata danych w wyniku awarii systemów informatycznych lub celowego ataku
· Ujawnienie informacji w wyniku niewłaściwego skonfigurowania systemów informatycznych
· Uzyskanie dostępu do danych i systemów informatycznych przez przejęcie danych dostępowych pracowników urzędu
· Przejęcie tożsamości obywatela lub przedsiębiorcy w celu pozyskania jego danych lub innych szkodliwych działań
Metody eliminowania ryzyka
Środowisko, w którym są wytwarzane i udostępniane usługi elektroniczne, musi gwarantować szeroko pojęte bezpieczeństwo na każdym etapie budowy usług oraz bezpieczne z nich korzystanie. Oznacza to konieczność zadbania o bezpieczeństwo systemów teleinformatycznych już na etapie ich budowy, a następnie o wdrożenie reguł bezpiecznej ich eksploatacji i stosowanie procedur bezpieczeństwa przez administratorów i użytkowników.
Podstawy prawne
Podstawą prawną dla zagadnień związanych z ryzykiem działania e-administracji jest Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Rozporządzenie to reguluje m.in. kwestię stosowania odpowiednich rozwiązań technicznych i organizacyjnych, związanych z okresową analizą występowania ryzyka utraty integralności, dostępności lub poufności informacji, oraz podejmowania działań minimalizujących to ryzyko stosownie do wyników przeprowadzonej analizy.
Zarządzanie bezpieczeństwem
Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:
- aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia,
- utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji, obejmującej ich rodzaj i konfigurację,
- przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko stosownie do wyników przeprowadzonej analizy,
- podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji,
- zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji,
- zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami.
Metody ochrony informacji
Zapewnianie ochrony przetwarzania informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami realizowane jest przez:
- monitorowanie dostępu do informacji,
- dbałość o aktualizację oprogramowania,
- minimalizowanie ryzyka utraty informacji w wyniku awarii,
- ochronę przed błędami, utratą, nieuprawnioną modyfikacją,
- zapewnienie bezpieczeństwa plików systemowych,
- bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji,
- szybkie podejmowanie działań korygujących w przypadku naruszenia bezpieczeństwa informacji.
Państwowe instytucje bezpieczeństwa teleinformatycznego
Jednym z najistotniejszych problemów w zarządzaniu bezpieczeństwem informacji jest zapewnienie skutecznego mechanizmu administrowania prawami dostępu do informacji i monitorowanie tego dostępu. Działania w zakresie monitorowania stanu bezpieczeństwa i reagowania na zagrożenia i incydenty podejmowane są m. in. przez Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL, który istnieje od lutego 2008 r. i funkcjonuje w ramach Departamentu Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego. Podstawowym zadaniem Zespołu jest zapewnianie i rozwijanie zdolności jednostek organizacyjnych administracji publicznej do ochrony przed zagrożeniami cyberprzestrzeni.
Szyfrowanie, podpis elektroniczny, profil zaufany
W kolejnej części dowiemy się co to jest podpis elektroniczny, profil zaufany oraz na czym polega szyfrowanie.
Szyfrowanie
Szyfrowanie to metoda zabezpieczania transmisji danych przed ich ujawnieniem. Prawie każde szyfrowanie jest oparte na kluczu, który umożliwia zaszyfrowanie i odszyfrowanie informacji. Dane, które włamywacz mógłby uzyskać są niemożliwe do odczytania bez tego klucza. Klucz szyfrujący jest przekazywany do osoby odszyfrowującej zaszyfrowane dane z wykorzystaniem innych silnych mechanizmów kryptografii i teletransmisji. Szyfrowanie mogą realizować systemy komputerowe i teleinformatyczne automatycznie bez udziału człowieka.
Popularne metody szyfrowania transmisji danych w Internecie
SSL jest protokołem sieciowym używanym do bezpiecznych połączeń internetowych. Został opracowany przez firmę Netscape i powszechnie go przyjęto jako standard szyfrowania komunikacji serwera z przeglądarką w Internecie. Strony internetowe (www) pozbawione szyfrowania są przesyłane z serwerów do przeglądarki i odwrotnie otwartym tekstem, który stosunkowo łatwo przechwycić (zwłaszcza w sieci lokalnej). Jeśli serwer używa protokołu SSL do komunikacji z przeglądarką, wówczas informacja w obie strony (między serwerem www i przeglądarką) jest przesyłana przez sieć w sposób zaszyfrowany. Dotyczy to w szczególności formularzy z danymi wypełnianymi przez użytkowników usług internetowych.
Podpis elektroniczny
Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady Unii Europejskiej nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym, podpis elektroniczny to dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej i które użyte są przez podpisującego jako podpis.
Zaawansowany podpis elektroniczny
Wspomniane wcześniej rozporządzenie definiuje również pojęcie zaawansowanego podpisu elektronicznego, który charakteryzuje się następującymi cechami:
· Jest unikalnie przyporządkowany podpisującemu
· Umożliwia ustalenie tożsamości podpisującego
· Składany jest przy użyciu danych służących do składania podpisu elektronicznego, których podpisujący może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą
· Powiązany jest z danymi podpisanymi w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna
Kwalifikowany podpis elektroniczny
Kwalifikowany podpis elektroniczny to rodzaj zaawansowanego podpisu elektronicznego, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego. Jest on równoważny pod względem skutków prawnych z podpisem własnoręcznym. Zestawy do składania kwalifikowanego podpisu elektronicznego można kupić wyłącznie w firmach zwanych kwalifikowanymi dostawcami usług zaufania, które wpisane są do rejestru Ministra właściwego ds. informatyzacji. Rejestr podmiotów będących kwalifikowanymi dostawcami usług zaufania jest dostępny na stronie www.nccert.pl utrzymywanej przez Narodowe Centrum Certyfikacji – Narodowy Bank Polski.
Profil zaufany ePUAP
Profil zaufany to bezpłatna metoda uwierzytelniania obywateli w systemach e-Administracji, jest jedną z usług elektronicznej Platformy Usług Administracji Publicznej (ePUAP). Aby zdobyć ten podpis należy założyć konto na platformie epuap.gov.pl, złożyć wniosek o wydanie profilu zaufanego oraz potwierdzić swoje dane, stawiając się osobiście w najbliższym urzędzie certyfikującym ten podpis (z reguły jest to najbliższy urząd skarbowy, oddział ZUS-u, urząd gminy lub miasta) – obywatel ma zwykle blisko do tych placówek. Wyrobienie profilu zaufanego pozwala podpisywać dokumenty składane w systemie ePUAP, a ponieważ obecnie wiele innych systemów jest zintegrowanych z systemem ePUAP (np. Platforma Usług Elektronicznych ZUS), podpis ten daje możliwość składania elektronicznych dokumentów i logowania się do platform różnych urzędów.
Podsumowanie modułu
W tej części kursu zostały wyjaśnione:
1. Potencjalne zagrożenia związane z e-administracją
2. Metody eliminowania ryzyka
3. Szyfrowanie danych
4. Podpis elektroniczny
5. Profil zaufany