Komisia pre štandardy ISVS - PS2 - Bezpečnostné štandardy


#1

Po obnovení fungovania KS ISVS (vid Komisia pre štandardy ISVS) sa začína aj fungovanie PS2 Bezpečnostné štandardy. O jej činnosti bude teda tento topic.

Oficiálny Wiki spejs som zatiaľ k PS2 nenašiel.

Vedúcim PS je Ervín Šimko / ÚPPVII

@ps-bezpecnost


Komisia pre štandardy ISVS
Komisia pre štandardy ISVS
#2

.1. rokovanie PS2 bolo 31.5.2017.
Zhruba takéto veci sa preberali:

  • Zákon o kybernetickej bezpečnosti:

Návrh zákona je v MPK. Bolo ohlásené že to príde odprezentovať niekto z NBÚ, prišlo cca. 15 ľudí čo o tom chceli diskutovať. NBÚ nakoniec neprišlo.

Viacerí prezentovali veľmi kritické pohľady na tento návrh zákona, pamätám si najmä diskusiu zástupcu MFSR, CSIRT.SK a vedúceho PS:
-že v zákone o KyB mali byť vložené aj veci zo zákona o InfB, ale táto verzia zákona sa tým nezaoberá, teda nie je v súlade s koncepciou KyB, napr. vypadla problematika vzdelávania
-NBÚ sľubovalo zjednodušenie byrokracie - napr. OOÚ/GDPR, krit. infra. atď. - zjednotenie povinností, to však v návrhu zákona chýba
-MOSR dostáva príliš veľké kompetencie, napr. z dôvodu prevencie môže vkladať zariadenia do IS
. týka sa to aj súkromného sektora!
-povinnosť hlásiť aj bezp. nastavenia pre niektoré IS
-nerieši sa bezpečnosť ISVS, chýbajú prvky bezpečnosti na národnej úrovni, chýba sektor pre VS
-zástupcovia vacerých rezortov deklarovali, že v MPK podajú zásadné pripomienky

Takže sa dohodlo že vedúci PS skúsi vybaviť ešte jedno stretnutie ku zákonu o KyB na ÚPPVII (za účasti NBÚ), ešte pred koncom MPK. Najlepšie by bolo tam riešiť konkrétne otázky, ktoré treba poslať vedúcemu PS do pondelka (5.6).

  • Vyhláška o tom, sprístupnenie ktorých informácií môže/nemôže ohroziť bezpečnosť IS

Toto je stará tema: do infozákona je plán vložiť výnimku pre sprístupňovanie informácií z dôvodu ohrozenia bezpečnosti IS. Keďže to by samo o sebe umožňovalo príliš široký výklad (napr. aj “prezradenie” že organizácia vôbec nejaké PC vlastní zvyšuje riziko), preto je plán súčasne k tomu vydať vyhlášku, kde sa to konkrétnejšie upraví.
Draft je takýto: Vyhlaska_IKT_bezp_udaje_2017.pdf (344.8 KB)
-Toto je kompromisný výsledok viacerých rokovaní z minulosti, preto by sa už do toho nemalo principiálne zasahovať.
-Boli otázky k niektorým konkrétnym veciam: napr. či info o verziách ako “úplné komerčné označenie produktu” nie je príliš veľké riziko, ako toto súvisí so zákonom o kritickej infraštruktúre.
-V tomto znení PS odhlasovala návrh vyhlášky.
-Zákon 211/2000 je pred MPK, pripomienky k tejto vyhláške je aj tak lepšie riešiť v tejto PS.
-Táto vyhláška sa má týkať doplnenia §11 zákona o novú výnimku, mechanizmus pre opakované použitie údajov nebolo zatiaľ plánované riešiť.
-Dodatočne som po preštudovaní vyhlášky navrhol vypustenie §1 písm.h) “vecné údaje databáz a registrov”, keďže sprístupňovanie vecných údajov sa nijakým spôsobom netýka ohrozenia bezpečnosti IS v zmysle tejto vyhlášky, je teda úplne mimo jej zmocnenie. Umožnenie/odmietnutie prístupu k vecným údajom sa riadi inými časťami zákona 211/2000 a ani nie je dôvod riešiť to v tejto vyhláške.

  • Formáty elektronického podpisu a pečate

O tomto už rokovala PS4. Od PS2 sa očakávali “iba” pripomienky z pohľadu bezpečnosti.
-Klasická téma je požiadavka na jednoznačnú vizualizáciu a absenciu aktívnych prvkov v podpisovaných dokumentoch. V podstate k záverom z PS4 nebola žiadna zásadná pripomienka alebo doplnenie.

Podľa mňa hlavný problém pri KEP v súčasnosti nie je či sa do vyhlášky vloži veta “softvér musí dodržiavať WYSIWYS princíp”, ale to že:
-mnohé OVM vydávajú KEP, ktorý nie je v súlade s eIDAS, ľudia to nevedia otvoriť, ani ďalej použiť, po čase tieto dokumenty nebude ani nikto akceptovať
-podateľne OVM častokrát odmietnu overiť podpis “od iného výrobcu”, obzvlášť vážne je to pri CEP ÚPVS, keďže má byť centrálna
-overovanie podpisu nesmie byť spojené s overovaním formátu dokumentu a pod.
-v certifikátoch je vyžadované rodné číslo
O tomto sme aj stručne hovorili, zástupcovia ÚPPVII deklarovali viaceré aktivity na riešenie týchto vecí. Ja som navrhol, aby PS žiadala ÚPPVII, ktorého úlohou je koordinácia VS v oblasti informatizácie, aby zverejnil zoznam problémov v tejto oblasti a plán ich riešenia aj s termínmi. Tento návrh bol aj PS odhlasovaný (ale vôbec nie jednomyseľne).

  • Doplnenie metodického pokynu k výnosu o štd. ISVS, že SHA-1 je odporúčané nepoužívať.
    Tento návrh bol odhlasovaný.
    Zároveň zástupca SISp poukázal že vo výnose v §4,6,7 a 10 sa uvádza ako povinná podpora " SSL minimálne vo verzii 3.0", čo už je z bezpečnostného hľadiska úplne mimo. Asi by bolo vhodné buď takéto veci vo výnose neriešiť, alebo to poriadne sledovať/aktualizovať.

Pikoška: riaditeľ CSIRT.SK povedal, že všetci správcovia zariadení zraniteľní WannaCry cez internet boli varovaní 2 týždne pred útokom.

@stefan.szilva prípadne ma doplň/oprav


Zákon o kybernetickej bezpečnosti
#3

Zápis zo zasadnutia PS2 je tu: https://wiki.finance.gov.sk/display/PS2/1.+Zasadnutie+PS2


#4

Kto bude podla teba riesit nove bezpecnostne ständardy isvs? Tato ps alebo ta reinkarnovana ps kyberneticka bezpecnost?
A ta ps na nbu teda pokracuje ?
Takyto chaos som este nezazil.
@lubor ty budes chodit do vsetkych troch ps ?


#5

To asi nie je otázka na mňa, ale na ÚPVII…
Pokiaľ tomu rozumiem, tak skupina na NBÚ už nie je funkčná, jej činnosť pokračuje v PS K9.8 ÚPVII, ktorá má riešiť najmä “strategické” veci, napr. dokument strategickej priority informatizácie VS - KyB. PS2 pre štandardy ISVS má riešiť primárne veci týkajúce sa Výnosu o štandardoch ISVS, teda také technickejšie veci.
Momentálne som členom oboch.