Bezpieczeństwo internetowych witryn informacyjnych administracji rządowej

Podobne dokumenty
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

dr Beata Zbarachewicz

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Win Admin Monitor Instrukcja Obsługi

Mechanizmy dostępu do bazy danych Palladion / Ulisses. I. Uwierzytelnianie i przyznawanie uprawnień dostępu do aplikacji Palladion

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

Referat pracy dyplomowej

Aplikacje internetowe - opis przedmiotu

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Nowe aplikacje i usługi w środowisku Grid

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Bezpieczeństwo IT w środowisku uczelni

Pełna specyfikacja usługi Kreator WWW

Połączenie VPN SSL Web Proxy. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile SSL Web Proxy 1.3. Konto SSL 1.4. Grupa użytkowników

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

XXIII Forum Teleinformatyki

OPIS JAKOŚCIOWY (wymagania minimalne) ZESTAWIENIE PARAMETRÓW GRANICZNYCH

JAK SPRAWDZIĆ SIECI SAN

Audytowane obszary IT

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

11. Autoryzacja użytkowników

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Bezpieczeństwo danych w sieciach elektroenergetycznych

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Doświadczenia praktyczne w stosowaniu Krajowych Ram Interoperacyjności na przykładach z obszaru gospodarki przestrzennej.

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

PolishAPI. Rekomendacje oraz podstawowe założenia do przygotowania interfejsu awaryjnego. Dokument opracowany przez Grupę Projektową ds.

System antyfraudowy w praktyce. marcin zastawa wiceprezes zarządu. Warszawa, października 2006r.

Architektura i mechanizmy systemu

Pełna specyfikacja usługi Kreator WWW

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA DLA ZADANIA 2 (Portal Pacjenta)

INFRA. System Connector. Opis wdrożenia systemu

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:

1. WYMAGANIA TECHNICZNE

- pierwszy w Polsce Hosting zorientowany na lokalizację Klienta

POLITYKA E-BEZPIECZEŃSTWA

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Marcin Soczko. Agenda

Szczegółowy opis przedmiotu zamówienia:

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Integracja komunikatora opartego o protokół XMPP z dużym portalem internetowym

Elektroniczny Case Report Form

ZAPROSZENIE DO SKŁADANIA OFERT

Szczegółowy opis przedmiotu zamówienia

Zarządzanie WAN - Integracja sieci LAN, perspektywa i wytyczne dla jednostek PSZ

WHITE PAPER. Planowanie, przygotowanie i testowanie działań na wypadek wystąpienia awarii

Zapytanie ofertowe nr 03/05/2014. Zakup licencji na oprogramowanie do wirtualizacji Działanie POIG 8.2

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Sukces zaczyna się od pomysłu. Marcin Kapustka, SMSCentral.pl. Konferencja naukowo-informacyjna Zielona Góra, r.

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Kompleksowe Przygotowanie do Egzaminu CISMP

Realizacja projektu e-puap.

Wymagania bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3-fazowych liczników energii elektrycznej. Wymaganie techniczne

Załącznik nr 4 Opis przedmiotu zamówienia Cześć 4

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Opis Przedmiotu Zamówienia

Czy ktoś może zakłócić działanie sieci SAN, działanie aplikacji korzystających z sieci SAN?

Jarosław Kuchta. Administrowanie Systemami Komputerowymi. Klastry serwerów

* 1. Rozporządzenie określa szczegółowe wymagania techniczne i organizacyjne

Opis przedmiotu zamówienia

Utrzymanie epuap. Raportt Q1 2014

Załącznik 1. Platforma komunikacyjna powinna posiadać następującą funkcjonalność:

Kielce, dnia roku. HB Technology Hubert Szczukiewicz. ul. Kujawska 26 / Kielce

Zapewnienie dostępu do Chmury

epolska XX lat później Daniel Grabski Paweł Walczak

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

OT integracja i rozwój czy bezpieczeństwo?

Języki programowania wysokiego poziomu. PHP cz.3. Formularze

Polska-Warszawa: Usługi w zakresie projektowania stron WWW 2016/S Ogłoszenie o zamówieniu. Usługi

Sieć aktywna. Podział infrastruktury sieciowej na różne sieci wewnętrzne w zależności od potrzeb danego klienta.

Nazwa usługi. Usługa nie obejmuje: Telefonii VOIP telefonii PSTN Stanowiska pracy nie związanego z IT (akcesoria biurowe)

Zarządzanie Ciągłością Działania

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Dokumentacja Użytkownika Systemu. Konfiguracja konta

SEO.341-4/06 Gryfino, dnia 27 czerwca 2006r.

Program szkolenia: Bezpieczny kod - podstawy

SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA

Wielowymiarowość zapewnienia bezpieczeństwa danych rynku ubezpieczeń

LOGOWANIE DO POCZTY W DOMENIE dydaktyka.pswbp.pl

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Problemy niezawodnego przetwarzania w systemach zorientowanych na usługi

2. Przygotowanie stanowiska komputerowego i urządzeń peryferyjnych do pracy. Słuchacz powinien poznać:

Opis przedmiotu zamówienia

Zakres dalszych wspólnych prac MSWiA i JST, minimalne wymagania portali regionalnych

1.1. Założenia dla architektury korporacyjnej EPL

Spis wzorców. Działania użytkownika Strona 147 Obsługa większości Działań użytkownika za pomocą kodu JavaScript przy użyciu metod obsługi zdarzeń.

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

SZCZEGÓŁOWY HARMONOGRAM KURSU

Transkrypt:

Bezpieczeństwo internetowych witryn informacyjnych administracji rządowej GOV.PL Małgorzata Olszewska 1

Stan bezpieczeństwa witryn GOV.PL Mimo podjętych działań przez MAiC i CERT.GOV.PL w ostatnich latach stan bezpieczeństwa informacyjnych witryn internetowych administracji rządowej jest niski: Stan bezpieczeństwa przebadanych witryn Ilość stron Bardzo dobry poziom bezpieczeństwa 31 Średni poziom bezpieczeństwa 39 Niski poziom bezpieczeństwa 25 Rok 2011 - Statystyka wykrytych podatności w witrynach WWW należących do administracji publicznych według poziomu zagrożenia 2

Badanie ankietowe 2012 Szacunkowy poziom bezpieczeństwa Akceptowalny Występują ryzyka Krytyczny 6 68 15 Objęto badaniem 90 instytucji W przypadku aż 15 z nich poziom bezpieczeństwa witryn jest krytyczny co może skutkować łatwym atakiem lub awarią serwisu (np. brak procedur awaryjnych, audytów) Tylko w 6 przypadkach można mówić o właściwym poziomie bezpieczeństwa technicznego i organizacyjnego Tylko dla 18 serwisów zostały wdrożone procedury na wypadek awarii czy ataku 3

Cel rekomendacji Osiągnąć minimalny akceptowalny poziom bezpieczeństwa dla serwisów GOV.PL w poszczególnych instytucjach. Ujednolicić wymagania jakościowe i bezpieczeństwa dla wszystkich portali administracji rządowej. Zdefiniować rodzaje serwisów i odpowiadające im wymagania w zakresie dostępności, integralności i poufności. 4

5

Rekomendacje - wytyczne to nie tylko nakazy, ale także wsparcie w zakresie budowy bezpiecznych portali administracji rządowej. 6

POUFNOŚĆ INTEGRALNOŚĆ DOSTĘPNOŚĆ Projekt wymagań brzegowych Redundancja Skalowalność Wymagania dla serwisów internetowych w domenie GOV.PL Klasa serwisu / witryny 1 2 3 4 5 6 7 8 Active-Active - - O O X X Passive-Active O O X X - - Active-Active - - O O X X Passive-Active O O X X - - Active-Active - - O O X X Passive-Active O O X X - - O O O O X X Sprzęt - O O O O X Wirtualizacja O - X X X X Chmura - O O O O X Rev-proxy + round-robin - - - O O X Serwowanie wersji dynamicznej (frontend+baza danych)/wersji statycznej (czysty html) w zależności od obciążenia systemu i łącza Centrum zapasowe Łącze Zasilanie Sprzęt Łącze Wdrożenie sondy ARAKIS-GOV Wydajność Wdrożenie rozwiązań rozproszonych w trybie on-demand Okresowa (częsta) weryfikacja zapisów treści (sumy kontrolne) Odpowiednia konfiguracja praw dostępu serwisu serwera WWW Uwierzytelnianie dokumentów krytycznych dla obywatela Brzegowe rozwiązania bezpieczeństwa (IPS/IDS/AV/FW) Strefowanie systemu z zachowaniem minimalnych praw Wewnętrzne rozwiązania bezpieczeństwa (IPS/IDS/AV/FW) - O O X X X offline O O X X - - online - - O - X X X X X X X X tylko odczyt (wersja statyczna) X - X X X X minimalne prawa dostępu do baz (wersja dynamiczna) - X X X X X - - X X X X X X X X X X - O X X X X O X X X X X O X X X X X Kontrola integralności serwisu na potrzeby użytkownika poprzez możliwość przełączenia połączenia na https weryfikowalne przy pomocy certyfikatu umiejscowionego w drzewie akredytowanym przez przeglądarkę Połączenie szyfrowane Przechowywanie danych w formie zaszyfrowanej Konta użytkowników zarządzających treścią O X X X X X logowanie użytkowników uprzywilejowanych X X X X X X logowanie użytkowników zewnętrznych - - - - X X przesyłanie informacji przez uż. zewnętrznych - - - - X X dane do logowania X X X X X X informacje od uż. zewnętrznych - - - - X X tylko dla pracowników jednostki X X X X X X dostępne tylko z określonych adresów IP O X X X X X 1 prosta publikacja informacji o jednostce O Opcjonalne 2 dynamiczna, informacyjna strona www X Zalecane 3 BIP - Nie dotyczy 4 strona zawierająca informacja dla obywateli stanowiące podstawę ich dalszych działań (np. formularze) 5 strona zawierająca dynamiczne formularze, które po wypełnieniu stanowią podstawę działań po stronie jednostki 6 strona zawierająca dwustronny system wymiany informacji jednostka <-> obywatel 7

Dziękuję za uwagę 8