Autentizace a autorizace. [Princip řízení přístupů k informacím resp. informačním aktivům: jakým prostřednictvím přistupují interní uživatelé, popis technických (aplikačních) účtů – bez časového omezení; definice distribučních emailových seznamů, politika hesel, bezpečnostní zamykání přístupů (např. 3 nekorektní přihlášení) a jejich následné odemknutí, způsob automatického blokování účtů uživatelů při ukončení zaměstnaneckého poměru v ČNB, povolené protokoly, zabezpečený vzdálený přístup pro řešení havárií, vazby na další IS/IT]
Autentizace a autorizace. Databázové účty budou respektovat platná pravidla, zákonné předpisy a interní normativní akty ohledně komplexity hesla. To se týká nejen databázových účtů nutných pro provoz samotných aplikací a elektronického archivu, ale všech dalších účtů ve stejné databázi. To je důležité z pohledu omezení kompromitace účtů vlastního archivu prostřednictvím jiných, méně zabezpečených databázových uživatelů. Všechny databázové účty budou také respektovat politiku minimálních nutných oprávnění, tedy budou mít přístup pouze k takovým funkcím a objektům nebo souborům databáze, které nezbytně potřebují. Toto se týká i případných veřejných (PUBLIC) rolí v databázi, kterým budou odebrána veškerá nepotřebná oprávnění. Nepotřebné implicitní databázové účty budou v provozních databázích uzamknuty, servisní a další potřebné účty nebudou mít výchozí hesla, nýbrž hesla podle platných doporučení jako účty ostatní. Na provozních databázích nebude umožněna lokální OS autentizace, ani vzdálená OS autentizace.
Autentizace a autorizace. Dodání autentizační a autorizační služby, která bude zajišťovat komunikaci mezi TPP a systémy ČNB v rámci procesu autentizace uživatele přistupujícího přes aplikaci TPP Dodávaný systém musí zajistit funkčnost, pokrývající ukládání a správu consentů, které udělí uživatelé aplikacím TPP. Dále také musí zajistit vystavení rozhraní pro získání seznamu consentů pro potřeby zobrazení v rámci ČNB IBS.
Autentizace a autorizace. Jde o komponentu, která bude zajišťovat jak autentizaci, tak i autorizaci uživatelů v rámci IS DTM RSD. Autentizace j e ověření identity uživatele. Autorizace je ověření oprávněnosti požadavku uživatele na přístup k základní aplikační funkcionalitě nebo k vybrané množině dat na základě přiřazených aplikačních oprávnění a územní příslušnosti uživatelů. Aplikační oprávnění uživatele vyplývají z přiřazených aplikačních rolí. Licence bez omezení počtu koncových uživatelů. Schéma komponenty je uvedené na následujícím obrázku: Přístup k jednotlivým komponentám Systému bude uživatelům umožněn pouze na základě přidělených uživatelských oprávnění. Komponenta musí pro celé řešení IS DTM RSD zajistit: • jediné přihlášení prostřednictvím SSO v rámci všech komponent IS pro interní zaměstnance Zadavatele, • ověření externího uživatele s přístupem do interní sítě přes VPN Zadavatele (externí doménový účet vůči ADFS), • ověření externího uživatele bez přístupu do interní sítě Zadavatele (pro přístup přes Externí portál), o vůči externí službě NIA, o vůči lokálnímu účtu (SSO). • autorizaci všech požadavků na základě aplikačních oprávnění vyplývajících z přiřazených aplikačních rolí. ETL strana 91 EVROPSKÁ UNIE Evropský fond pro regionální rozvoj Operační program Podnikání a inovace pro konkurenceschopnost Komponenta ETL bude zajišťovat jednotný způsob pro migrace dat mezi různými databázemi a současně může být použita pro importy a exporty souborových dat obsahujících geografický obsah s výjimkou integrací na IS DTM krajů a IS DMVS. Jednotlivé úlohy mohou vytvářeny a spouštěny adhoc nebo opakovatelně. Za tímto účelem bude komponenta obsahovat administrátorskou část (předpokládá se desktopový klient) umožňující návrh a spouštění ETL prostřednictvím vlastního uživatelského rozhraní. Pro opakované spouštění úloh umožní administrátorská část publikaci úloh a jejich vystavení formou webových služeb a jejich vykonávání na serveru. Tyto služby budou integrovány do příslušných komponent IS DTM ŘSD (importní/exportní nástroje). Schéma komponenty je uvedené na následujícím obrázku: Administrační uživatelské rozhraní pro konfiguraci pravidel budou využívat oprávnění uživatelé k: • návrhu ETL úloh (migrační úlohy, import dat, export dat apod.), • publikaci úloh na server, • adhoc spouštění ETL úloh. Maximální očekávaný počet současně pracujících uživatelů v Administračním uživatelském rozhraní jsou 2 osoby, tzn. Zadavetel požaduje licenci pro minimálně dva konkurenční uživatele. K vyp...
Autentizace a autorizace. Každý uživatel systému musí být pro přístup do systému řádně autentizován. V případech, kdy nelze uplatnit tzv. Single-Sign-On (SSO) autentizaci (např. komunikace s externími systémy), je požadována autentizace vícefaktorová – tj. systém zvládá, nebo je schopen integrovat vícefaktorovou autentizaci pomocí elektronického certifikátu nahraného např. na token zaměsnance. Ve výjimečných případech (nouzové / dočasné řešení apod.) je možné použít základní autentizaci uživatelským jménem a heslem za předpokladu dodržení následujících pravidel: komunikace musí probíhat pomocí zabezpečeného kanálu (min. HTTPS protokol), je požadováno ověřování proti záznamům v active directory (AD) přes LDAP (ne vlastní správa hesel uživatelů v systému), nebo musí být umožněno nastavení a vynucení politiky hesel na odpovídající úrovni. Systém musí umožnit omezení horizontálního přístupu k datům (viditelnost / modifikace záznamů) na úrovni konkrétního uživatele, minimálně na základě těchto kritérií: zajištění unikátnosti uživatele minimálně na úrovni odboru, osobní číslo – vlastní data pro uživatele typu zaměstnanec, organizační struktura – data podřízených pro uživatele typu vedoucí na každém stupni, přiřazení pracovníka k uživateli / skupině uživatelů dle organizační struktury – na úrovni standardního uživatele, Systém musí umožnit dočasné zastupování zaměstnanců v případě dovolené či nemoci. Při dočasném přidělení uživatelských oprávnění uživatel nesmí přijít o svá běžná uživatelská oprávnění.
Autentizace a autorizace. Přístup k jednotlivým komponentám Systému musí být uživatelům umožněn na základě přidělených uživatelských oprávnění a bude členěn na veřejnou a neveřejnou část. IS DTM ŘSD musí zajišťovat: • jediné přihlášení prostřednictvím SSO autentizací v rámci všech komponent Systému pro interní zaměstnance Zadavatele, • autorizaci všech požadavků na základě oprávnění vyplývajících z přiřazených aplikačních rolí. EVROPSKÁ UNIE Evropský fond pro regionální rozvoj Operační program Podnikání a inovace pro konkurenceschopnost
Autentizace a autorizace. [V podkapitole je popsán princip řízení přístupů k informacím resp. informačním aktivům: jakým prostřednictvím přistupují uživatelé, popis technických (aplikačních) účtů – bez časového omezení; způsob správy, tvorby a evidence přístupových oprávnění uživatelů/skupin uživatelů v příslušném modulu SW řešení DMS, tvorba uživatelských rolí, způsob automatického blokování účtů uživatelů při ukončení zaměstnaneckého poměru v ČNB, povolené protokoly apod.] [V podkapitole je popsán způsob logování a monitorování logů]
Autentizace a autorizace cIDM zabezpečuje služby autentizace a autorizace, detaily jsou uvedeny dále v nabídce. Těm komponentám, které podporují protokoly IHE, nabízí cIDM služby v souladu s profilem IUA a XUA. Dle všeobecně doporučovaných postupů umožňuje přihlášení prostřednictvím jednotné přihlašovací stránky a poskytuje napojeným doménám autentizační/autorizační token v souladu s IUA, kdy řešení vystupuje v rolích aktérů Authorization Client a Resource Server podle IUA a autentizace/autorizace probíhá pomocí Authorization Code Grant Flow podle OAuth2. Autentizace/autorizace pro administraci systému pomocí Terminálu je zajištěna prostřednictvím Password Grant podle OAuth2. Také jako X-Service User a X-Service Provider podle profilu XUA (Cross-Enterprise User Assertion). Ne všechny služby tuto úroveň zabezpečení vyžadují/podporují. V takových případech se jedná o komunikaci, která je zabezpečena použitím TLS v1.2 spolu s autentizací pomocí certifikátů, případně ověřením jména a hesla systémového účtu klienta.
Autentizace a autorizace. Požadované: Doporučené:
Autentizace a autorizace. IS KŘaFM bude pro potřeby přístupu od uživatele vyžadovat zadání uživatelského jména a hesla oproti databázi uživatelských účtů, vedených interně v rámci informačního systému. IS KŘaFM bude umožňovat v případě potřeby pro vybrané uživatele vyžadovat platný klientský certifikát standardu x509, vydaný bezpečnostním správcem IS, v optimálním případě distribuovaný prostřednictvím hardwarového tokenu. IS KŘaFM bude vyžadovat od uživatelů zadání hesel s dostatečnou robustností, délka minimálně 8 znaků, mix velkých a malých písmen, číslic a případně speciálních znaků. Hesla musí být uložena v databázi informačního systému v hashovaném tvaru s použitím robustního algoritmu. IS KŘaFM bude rovněž umožňovat pro vybrané konkrétní uživatele omezit rozsah IP adres, ze kterých bude pro daného uživatele povoleno přihlášení. IS KŘaFM bude pro potřeby řízení přístupu k datům a jeho funkcím implementovat následující bezpečnostní oprávnění na úrovni bezpečnostního profilu uživatele, resp. skupiny uživatelů: • základní přístupová práva k jednotlivým typům objektů IS KŘaFM v rozsahu – čtení, zápis, přidávání, odstraňování, přístup pouze pro čtení • speciální oprávnění, omezující přístup uživatele napříč celým informačním systémem na přístup pouze pro čtení • přístup do evidence osob – pouze pro čtení, plný přístup • přístup do evidence plánů – pouze pro čtení, plný přístup, s možností omezení typů plánů, ke kterým je přístup pouze pro čtení nebo plný přístup Výše uvedená bezpečnostní omezení musí být možné definovat jak na úrovni konkrétních uživatelů, tak na úrovni skupin uživatelů.