Po obnovení fungovania KS ISVS (vid Komisia pre štandardy ISVS) sa začína aj fungovanie PS2 Bezpečnostné štandardy. O jej činnosti bude teda tento topic.
Oficiálny Wiki spejs som zatiaľ k PS2 nenašiel.
Vedúcim PS je Ervín Šimko / ÚPPVII
Účasť zástupcu Slovensko.Digital v tejto pracovnej skupine je financovaná z projektu Lepšie riešenia eGovernmentu v SR (viac info tu: https://slovensko.digital/projekty/lepsi-egovernment).
.1. rokovanie PS2 bolo 31.5.2017.
Zhruba takéto veci sa preberali:
Návrh zákona je v MPK. Bolo ohlásené že to príde odprezentovať niekto z NBÚ, prišlo cca. 15 ľudí čo o tom chceli diskutovať. NBÚ nakoniec neprišlo.
Viacerí prezentovali veľmi kritické pohľady na tento návrh zákona, pamätám si najmä diskusiu zástupcu MFSR, CSIRT.SK a vedúceho PS:
-že v zákone o KyB mali byť vložené aj veci zo zákona o InfB, ale táto verzia zákona sa tým nezaoberá, teda nie je v súlade s koncepciou KyB, napr. vypadla problematika vzdelávania
-NBÚ sľubovalo zjednodušenie byrokracie - napr. OOÚ/GDPR, krit. infra. atď. - zjednotenie povinností, to však v návrhu zákona chýba
-MOSR dostáva príliš veľké kompetencie, napr. z dôvodu prevencie môže vkladať zariadenia do IS
. týka sa to aj súkromného sektora!
-povinnosť hlásiť aj bezp. nastavenia pre niektoré IS
-nerieši sa bezpečnosť ISVS, chýbajú prvky bezpečnosti na národnej úrovni, chýba sektor pre VS
-zástupcovia vacerých rezortov deklarovali, že v MPK podajú zásadné pripomienky
Takže sa dohodlo že vedúci PS skúsi vybaviť ešte jedno stretnutie ku zákonu o KyB na ÚPPVII (za účasti NBÚ), ešte pred koncom MPK. Najlepšie by bolo tam riešiť konkrétne otázky, ktoré treba poslať vedúcemu PS do pondelka (5.6).
Toto je stará tema: do infozákona je plán vložiť výnimku pre sprístupňovanie informácií z dôvodu ohrozenia bezpečnosti IS. Keďže to by samo o sebe umožňovalo príliš široký výklad (napr. aj “prezradenie” že organizácia vôbec nejaké PC vlastní zvyšuje riziko), preto je plán súčasne k tomu vydať vyhlášku, kde sa to konkrétnejšie upraví.
Draft je takýto: Vyhlaska_IKT_bezp_udaje_2017.pdf (344.8 KB)
-Toto je kompromisný výsledok viacerých rokovaní z minulosti, preto by sa už do toho nemalo principiálne zasahovať.
-Boli otázky k niektorým konkrétnym veciam: napr. či info o verziách ako “úplné komerčné označenie produktu” nie je príliš veľké riziko, ako toto súvisí so zákonom o kritickej infraštruktúre.
-V tomto znení PS odhlasovala návrh vyhlášky.
-Zákon 211/2000 je pred MPK, pripomienky k tejto vyhláške je aj tak lepšie riešiť v tejto PS.
-Táto vyhláška sa má týkať doplnenia §11 zákona o novú výnimku, mechanizmus pre opakované použitie údajov nebolo zatiaľ plánované riešiť.
-Dodatočne som po preštudovaní vyhlášky navrhol vypustenie §1 písm.h) “vecné údaje databáz a registrov”, keďže sprístupňovanie vecných údajov sa nijakým spôsobom netýka ohrozenia bezpečnosti IS v zmysle tejto vyhlášky, je teda úplne mimo jej zmocnenie. Umožnenie/odmietnutie prístupu k vecným údajom sa riadi inými časťami zákona 211/2000 a ani nie je dôvod riešiť to v tejto vyhláške.
O tomto už rokovala PS4. Od PS2 sa očakávali “iba” pripomienky z pohľadu bezpečnosti.
-Klasická téma je požiadavka na jednoznačnú vizualizáciu a absenciu aktívnych prvkov v podpisovaných dokumentoch. V podstate k záverom z PS4 nebola žiadna zásadná pripomienka alebo doplnenie.
Podľa mňa hlavný problém pri KEP v súčasnosti nie je či sa do vyhlášky vloži veta “softvér musí dodržiavať WYSIWYS princíp”, ale to že:
-mnohé OVM vydávajú KEP, ktorý nie je v súlade s eIDAS, ľudia to nevedia otvoriť, ani ďalej použiť, po čase tieto dokumenty nebude ani nikto akceptovať
-podateľne OVM častokrát odmietnu overiť podpis “od iného výrobcu”, obzvlášť vážne je to pri CEP ÚPVS, keďže má byť centrálna
-overovanie podpisu nesmie byť spojené s overovaním formátu dokumentu a pod.
-v certifikátoch je vyžadované rodné číslo
O tomto sme aj stručne hovorili, zástupcovia ÚPPVII deklarovali viaceré aktivity na riešenie týchto vecí. Ja som navrhol, aby PS žiadala ÚPPVII, ktorého úlohou je koordinácia VS v oblasti informatizácie, aby zverejnil zoznam problémov v tejto oblasti a plán ich riešenia aj s termínmi. Tento návrh bol aj PS odhlasovaný (ale vôbec nie jednomyseľne).
Pikoška: riaditeľ CSIRT.SK povedal, že všetci správcovia zariadení zraniteľní WannaCry cez internet boli varovaní 2 týždne pred útokom.
@stefan.szilva prípadne ma doplň/oprav
Kto bude podla teba riesit nove bezpecnostne ständardy isvs? Tato ps alebo ta reinkarnovana ps kyberneticka bezpecnost?
A ta ps na nbu teda pokracuje ?
Takyto chaos som este nezazil.
@lubor ty budes chodit do vsetkych troch ps ?
To asi nie je otázka na mňa, ale na ÚPVII…
Pokiaľ tomu rozumiem, tak skupina na NBÚ už nie je funkčná, jej činnosť pokračuje v PS K9.8 ÚPVII, ktorá má riešiť najmä “strategické” veci, napr. dokument strategickej priority informatizácie VS - KyB. PS2 pre štandardy ISVS má riešiť primárne veci týkajúce sa Výnosu o štandardoch ISVS, teda také technickejšie veci.
Momentálne som členom oboch.
Dnes bolo opäť zasadnutie tejto PS. Fast forward o rok ďalej, riešia sa tie isté problémy.
eIDAS:
sú reálne problémy s validáciou KEP (prekvapenie, prekvapenie)
certifikácie aplikácií podľa z. o dôveryhodných službách (§10) nefungujú, čiže negarantujú že certifikovaná aplikácia dáva výsledky v súlade s eIDAS
bola živá diskusia, či je vhodné/potrebné/nevyhnutné, aby OVM používali pri overovaní podpisu kvalifikovanú službu vs. certifikovanú aplikáciu vs. čo len chcú
PS žiada ÚPVII o vykonanie kontroly dodržiavania štandardov pre KEP
NBÚ žiada podnety, že certifikované aplikácie nie sú v súlade, aby mohol konať
ja žiadam, aby sa vytváranie/prijímanie KEP prioritne a poriadne vyriešilo pre CEP/ÚPVS
Frič hovorí, že problém je aj s vytváraním el. pečatí, ktoré robí veľa OVM “v spolupráci” s Nases
pýtal som sa, aký je stav s notifikovanými schémami podľa eIDAS
máme dávať podnety do PS, čo ešte s eIDAS treba riešiť, za mňa to vidím takto:
zákon o ITVS:
dokument Strategická priorita Kybernetická bezpečnosť
Ďalšia dobrá téma pre túto PS je fungovanie “dlhodobého úložiska dokumentov” v Nases. Je to kvalifikovaná služba podľa eIDAS, ale nefunguje poriadne, keďže na výstupe nedáva žiadnu informáciu o validite/uchovaní… dokumentu.
U kvalifikovanej sluzby je dokazne bremeno na strane poskytovatela. A STAT dnes ziadnui kvalifikovanu sluzbu neposkytuje, mam vyjadrenie z nases aj nbu.
APlikacie pre podpis a validaciu si podla eIDAS a zakona o doveryhodnych sluzbach NEVYZADUJU ziadnu certifikaciu … teda je DOBROVOLNA. A btw… musi byt platna v celej europe, nie iba na slovensku… takze akekolvek lokalne certifikacie su uz minulostou.
AVSAK pri prihlaske na poskytovanie KVALIFIKOVANEJ sluzby sa uz takyto (celouropsky platny) certifikat pozaduje. U nas ho robi napriklad firma QSCert (nie NBU, tomu sa to iba dokalduje). Stoji to radovo viac, ako ta “certifikacia”, ktoru mozte ziadat u NBU.
samozrejme ze musi …
vsak tymto by sa vytvoril dokaz , kto nedodrziava zakon … 
Pritom je to tak jasne:
Ako sa OVERUJE podpis je tu: Overovanie QES -NBU
Co MUSIA OVM robit (asi v spolupraci s NASESom) je zase tu http://www.nbu.gov.sk/povinnosti-organov-verejnej-moci-v-suvislosti-s-legislativnou-zmenou-zaruceneho-elektronickeho-podpisu-na-kvalifikovany-elektronicky-podpis/index.html
Nemyslim, ze v komisii treba zase nieco rozhodovat. Tioe rozhodnuitia davno existuju a NBU ich aj zverejnil. Ze minimlane 4 roky od prijatia eIDAS mame nezakonny stav , za to je niekto kua zodpovedny
Čo sú kvalifikované služby s prevádzkovateľmi v SR sa dá zistiť jednoducho - z trusted listu, viď. napr. https://webgate.ec.europa.eu/tl-browser/#/tl/SK
Nájdeš tam aj MO SR a NBU SR - podpis, pečať, ČP; Nases/UV SR - dlhodobe uchovanie podpisu a pečate
Pozri sa na to naopak. “Lokálnu certifikáciu” máme, viď. §10 z. 272/2015. Otázka znie, že keď (dobrovoľne) používaš certifikovanú aplikáciu, nakoľko sa môžeš spoľahnúť na jej odpovede (napr. či je podpis overený ako platný / neplatný).
Zjavne to nie je také jednoznačné. Pozri povedzme čl.2.2 eIDAS. Ja osobne si myslím že nemusí, ale toto snáď nie je vec “diskusie”. Nech ÚPVII alebo NBÚ dá zaväzný výklad.
Zodpovednosť je jasná - štatutár organizácie, ktorá všeobecne záväzné predpisy porušuje.
jasne … myslel som samozrewjme sluzbu overovania podpisov … ine ako peciatky, ci certifikaty … to poskytuje
Kvalifikovanú službu overovania podpisov má v SR iba Disig, ale vraj ani ten ju v skutočnosti neposkytuje, lebo zodpovednosť z toho vyplývajúca je tak veľká, že sa neoplatí ísť do rizika.
Zaujímavé je, že I.CA má v ČR kvalifikovanú službu pre overovanie, v SR nie. (Aj tak by nemal byť problém použiť u nás českú službu.)
mozes pouzit lubovolnu kvalifikovanu sluzbu ak sa nachadza v Trusted Liste EU. Ked si ceska firma, nebudes to registrovat v 28 lokalnych trusted listoch. Trusted List EU je ZJEDNOTENIE lokalnych trusted listov. Som zvedavy ako si s tymto poradia nase OVMs … ale to je uzakonene od roku 2014 a platne od roku 2016 … tak preco to “riesime” az teraz ?
V pripomienkovaní pracovných skupín PS1-4 je návrh novely výnosu o štd.: 03_navrh_standardy_pripomienkovanie PS.pdf (461.9 KB)
Oficiálne info:"
Vážení členovia pracovných skupín PS1, PS2, PS3 a PS4,
v prílohe tohto mailu si vám dovoľujem zaslať návrh novely výnosu č. 55/2014 Z. z. o štandardoch pre ISVS, v ktorom sú zmeny reflektujúce transpozíciu Smernice 2016/2102 o prístupnosti webových sídel a mobilných aplikácii verejného sektora. Ďalej sa upravujú bezpečnostné štandardy, technické štandardy a čiastočne dátové štandardy.
Prípadné pripomienky k návrhu nám prosím zasielajte prostredníctvom emailu najneskôr do 22.07.2018 podľa vášho členstva v jednotlivých skupinách k nasledovným bodom návrhu:
PS1: body č. 3, 4, 6, 14, 15
PS2: body č. 2, 9, 10, 11, 12, 13
PS3: body č. 1, 7, 8, 18, 19
PS4: body č. 2, 3, 4, 6, 17, 20, 21
Zároveň si vás dovoľujem upozorniť, že príloha č. 1 výnosu o štandardoch (navrhovaný bod 19) bude doplnená o znenie WCAG 2.1 v slovenskej verzii po oponentúre prekladu.
Niektoré návrhy zapracované do návrhu novely výnosu o štandardoch ešte neboli schválené samostatnými hlasovaniami pracovných skupín, avšak potreba ich úpravy vzišla zo Strategickej priority NKIVS Integrácia a orchestrácia a z pracovnej skupiny k NKIVS K 9.3 Architektúra.
Po skončení pripomienkovania budú príslušné body návrhu novely zaslané jednotlivým pracovným skupinám na ich schválenia prostredníctvo dištančného hlasovania v MetaIS."
K tomuto “pripomienkovaniu” za mňa posielam nasledovné stanovisko ( @hanecak ) :
Celkovo:
Žiadam aby ÚPVII rešpektovalo vlastný metodický pokyn k výnosu o štandardoch pre ISVS, konkrétne časť “4. Životný cyklus štandardov”. Zámery na zmenu štandardov majú najprv byť prerokované v pracovných skupinách, až následne môže byť nejaké paragrafové znenie pripomienkované a schvaľované. Za zmeny týkajúce s PS2 žiadam aby pred plánovaným hlasovaním v PS boli príslušné návrhy na rokovaní PS prezentované, v zmysle metodického pokynu bola vypracovaná analýza dopadov jednotlivých zmien a pracovná skupina o návrhoch rokovala.
K bodu 2:
Súhlasím s používaním štandardu HSTS. Nevidím však zmysel do výnosu o štandardoch pridávať ustanovenie pre konkrétny modul a §9 ani nie je na to vhodné miesto. Ak cieľom návrhu je zaistenie vyššej bezpečnosti pri používaní elektronických služieb cez web, navrhujem dôsledné uplatňovanie princípu “HTTPS only”. Zároveň v súčasnosti zkonštrukcie §9 vyplýva iba, že používanie HTTPS je povolené, avšak nie je jasné kde má byť povinné. Preto navrhujem preformulovať znenie bodu 2 nasledovne:
“2. V § 9 sa vkladá písmeno e), ktoré znie:
„e) používanie výlučne protokolu podĺa bodu d) a používanie protokolu HTTP Strict Transport Security (HSTS) pri poskytovaní elektronických služieb a rozhraní,”"
K bodu 9:
Nemám problém s tým, aby vedenie “zoznamu aktív” bolo povinné. Keďže však definícia aktíva je pomerne široká a všeobecná (viď. §2 písm.c) ), pre reálnu prax bude dôležité upresniť čo všetko má v zozname byť evidované. Bolo by vhodné to vymedziť aspoň voči kritickým aktívam (def. §29 písm. a) bod 9).
Špeciálne nejasný je zmysel bodov 3 a 4, keďže “používaný operačný systém” sa môže vzťahovať napr. na počítač nepripojený do siete a už vôbec nie je jasné čo sú “používané technológie”. v čase MPK preto navrhujem aby súčasne s týmto bodom bol známy návrh doplnenia metodického pokynu k výnosu o štandardoch, ktorý spôsob a rozsah vedenia “zoznamu aktív” upresní.
Taktiež nemám problém, aby úrady hocikomu posielali informácie podľa bodu 1-4 novo navrhnutého §31 písm.g). Upozorňujem však, že “zasielanie ÚPVII” určite nie je “štandardom pre manažment rizík” a nie je mi jasné, či takúto povinnosť možno vytvoriť v rámci v súčasnosti platného rámca pre štandardy ISVS podľa z.275/2006. Taktiež nie je jasné, čo ÚPVII so zozbieranými informáciami bude ďalej robiť a v rámci ktorej svojej existujúcej kompetencie (v zmysle zákona č.275/2006) sú pre neho potrebné a na aké konanie.
V §31 som nenašiel písm.g). Preto navrhujem z bodu 9 vypustiť vetu “Doterajšie písmeno g) sa označuje ako písmeno h)”.
Keďže však skutočná konsolidovaná verzia výnosu 55/204 nie je dobre dostupná, je možné že v skutočnosti písm.g) už existuje. Nedostupnosť aktuálneho znenia výnosu o štandardoch považujem aj za bezpečnostné riziko - opravte si konečne stránku http://informatizacia.sk/standardy-is-vs/596s !
K bodu 10:
Ako v predchádzajúcom bode, povinnosť nahlasovania bezpečnostných incidentov na ÚPVII nie je štandard ISVS.
V bode 5 nie je jasné, pri ktorých incidentoch a pre ktoré aktíva majú byť digitálne stopy zaisťované. Pre právnu istotu ako minimum navrhujem bod 5 doplniť na nasledovné znenie: “5. spôsob zaistenia digitálnych stôp bezpečnostného incidentu a určenie pre ktoré typy bezpečnostných incidentov a nimi doknutých aktiv budú digitálne stopy zaisťované.”
K bodu 12:
Podľa bodu f) sa má oznamovať “PGP verejný kľúč”. Pokiaľ je mi známe, súčasné štandardy nepredpisujú povinnosť takýmto kľúčom disponovať, ani zasielať elektronickú poštu pomocou PGP. Naopak, podľa §8 písm.b) sa má používať S/MIME. Preto navrhujem časť “, oznámiť aj PGP verejný kľúč pre každú kontaktnú osobu” vypustiť.
Pre posúdenie bodu g) je potrebné vedieť aké náklady u správcov aj ÚPVII budú spojené s “poskytovaním netflow … automatizovaným spôsobom” a či vôbec príslušní správcovia takéto údaje majú dnes k dispozícii.
Ako v predošlých bodoch, nahlasovanie na ÚPVII nie je štandard.
K bodu 13:
“Umožnenie vykonávať neinvazívne penetračné testy” pre ÚPVII nie je šandard. Ak ÚPVII potrebuje takéto testy vykonávať, môže to už dnes robiť v rámci výkonu kontrolnej činnosti podľa z.275/2006. Preto navrhujem písm.b) vypustiť.
Pre informáciu, v medzičase bolo “hlasovanie per-rollam” o návrhu novely výnosu o štandarodoch.
Návrh je presne to isté čo u bolo predtým “na pripomienkovanie” (v časti pre PS2, iné som nepozeral).
Žiadne pripomienky teda neakceptovali. K mojim nemám žiadne vyjadrenie. Neviem kto a aké pripomienky poslal.
Žiadal som veúceho PS (E.Šimko) aby nové veci bola normálne v PS prerokované - odmietol.
V hlasovaní sú zaznamenané 4 hlasy “za”, iné nič, skupina má 36 členov podľa MetaIS. Hlasovanie “vetoval” člen za MKSR. (Tým pádom sa hlasovanie uzavrelo, už som nestihol hlasovať, tiež by som vetoval.)
Keď som sa pýtal čo bude ďalej, Šimko povedal že veď s MKSR vyriešia ich pripomienku a tým je to vybavené, “ďalej bude hlasovať Komisia pre štandardy”.
Ale že “možno zvážia” aký bude ďalší postup.
Toto je hanba, takto sa štandardy nerobia…
Po dlhsej odmlke sa opat ide nieco diat v PS2, zacitujem z mailu z UPVII:
od 01.05.2019 je účinný zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (zákon o ITVS) 95/2019 Z.z. - Zákon o informačných technológiách ... - SLOV-LEX, ktorý nám (ÚPPVII) ukladá povinnosť vydať nový vykonávací predpis k štandardom pre informačné systémy verejnej správy. V súčasnosti ho všetci poznáme ako výnos MF SR č. 55/2014 Z. z. o štandardoch pre informačné systémy verejnej správy v znení neskorších predpisov 55/2014 Z.z. - Výnos Ministerstva financií Slovens... - SLOV-LEX .
Aktuálne sme v štádiu prípravy nového vykonávacieho predpisu k zákonu o ITVS v oblasti bezpečnosti, ktorý bude predstavený na 5. zasadnutí pracovnej skupiny PS 2. Súčasťou tohto vykonávacieho predpisu budú aj bezpečnostné štandardy.
V prílohe si Vám dovoľujeme zaslať pozvánku na 5. zasadnutie pracovnej skupiny PS 2, ktoré sa uskutoční dňa 30. mája 2019 od 9:30 hod. do 11:30 hod v bude Westend Court.
Potom este z agendy:
Program 5. zasadnutia PS 2:
- Otvorenie zasadnutia
- Príprava vykonávacieho predpisu v súlade s § 31 písm. a), písm. i) a písm. k) v spojení s § 32 zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov
- Rôzne
- Záver zasadnutia