Komisia pre štandardy ISVS - PS2 - Bezpečnostné štandardy

K tomuto “pripomienkovaniu” za mňa posielam nasledovné stanovisko ( @hanecak ) :

Celkovo:
Žiadam aby ÚPVII rešpektovalo vlastný metodický pokyn k výnosu o štandardoch pre ISVS, konkrétne časť “4. Životný cyklus štandardov”. Zámery na zmenu štandardov majú najprv byť prerokované v pracovných skupinách, až následne môže byť nejaké paragrafové znenie pripomienkované a schvaľované. Za zmeny týkajúce s PS2 žiadam aby pred plánovaným hlasovaním v PS boli príslušné návrhy na rokovaní PS prezentované, v zmysle metodického pokynu bola vypracovaná analýza dopadov jednotlivých zmien a pracovná skupina o návrhoch rokovala.

K bodu 2:

Súhlasím s používaním štandardu HSTS. Nevidím však zmysel do výnosu o štandardoch pridávať ustanovenie pre konkrétny modul a §9 ani nie je na to vhodné miesto. Ak cieľom návrhu je zaistenie vyššej bezpečnosti pri používaní elektronických služieb cez web, navrhujem dôsledné uplatňovanie princípu “HTTPS only”. Zároveň v súčasnosti zkonštrukcie §9 vyplýva iba, že používanie HTTPS je povolené, avšak nie je jasné kde má byť povinné. Preto navrhujem preformulovať znenie bodu 2 nasledovne:

“2. V § 9 sa vkladá písmeno e), ktoré znie:
„e) používanie výlučne protokolu podĺa bodu d) a používanie protokolu HTTP Strict Transport Security (HSTS) pri poskytovaní elektronických služieb a rozhraní,”"

K bodu 9:

Nemám problém s tým, aby vedenie “zoznamu aktív” bolo povinné. Keďže však definícia aktíva je pomerne široká a všeobecná (viď. §2 písm.c) ), pre reálnu prax bude dôležité upresniť čo všetko má v zozname byť evidované. Bolo by vhodné to vymedziť aspoň voči kritickým aktívam (def. §29 písm. a) bod 9).
Špeciálne nejasný je zmysel bodov 3 a 4, keďže “používaný operačný systém” sa môže vzťahovať napr. na počítač nepripojený do siete a už vôbec nie je jasné čo sú “používané technológie”. v čase MPK preto navrhujem aby súčasne s týmto bodom bol známy návrh doplnenia metodického pokynu k výnosu o štandardoch, ktorý spôsob a rozsah vedenia “zoznamu aktív” upresní.

Taktiež nemám problém, aby úrady hocikomu posielali informácie podľa bodu 1-4 novo navrhnutého §31 písm.g). Upozorňujem však, že “zasielanie ÚPVII” určite nie je “štandardom pre manažment rizík” a nie je mi jasné, či takúto povinnosť možno vytvoriť v rámci v súčasnosti platného rámca pre štandardy ISVS podľa z.275/2006. Taktiež nie je jasné, čo ÚPVII so zozbieranými informáciami bude ďalej robiť a v rámci ktorej svojej existujúcej kompetencie (v zmysle zákona č.275/2006) sú pre neho potrebné a na aké konanie.

V §31 som nenašiel písm.g). Preto navrhujem z bodu 9 vypustiť vetu “Doterajšie písmeno g) sa označuje ako písmeno h)”.
Keďže však skutočná konsolidovaná verzia výnosu 55/204 nie je dobre dostupná, je možné že v skutočnosti písm.g) už existuje. Nedostupnosť aktuálneho znenia výnosu o štandardoch považujem aj za bezpečnostné riziko - opravte si konečne stránku http://informatizacia.sk/standardy-is-vs/596s !

K bodu 10:

Ako v predchádzajúcom bode, povinnosť nahlasovania bezpečnostných incidentov na ÚPVII nie je štandard ISVS.

V bode 5 nie je jasné, pri ktorých incidentoch a pre ktoré aktíva majú byť digitálne stopy zaisťované. Pre právnu istotu ako minimum navrhujem bod 5 doplniť na nasledovné znenie: “5. spôsob zaistenia digitálnych stôp bezpečnostného incidentu a určenie pre ktoré typy bezpečnostných incidentov a nimi doknutých aktiv budú digitálne stopy zaisťované.”

K bodu 12:

Podľa bodu f) sa má oznamovať “PGP verejný kľúč”. Pokiaľ je mi známe, súčasné štandardy nepredpisujú povinnosť takýmto kľúčom disponovať, ani zasielať elektronickú poštu pomocou PGP. Naopak, podľa §8 písm.b) sa má používať S/MIME. Preto navrhujem časť “, oznámiť aj PGP verejný kľúč pre každú kontaktnú osobu” vypustiť.

Pre posúdenie bodu g) je potrebné vedieť aké náklady u správcov aj ÚPVII budú spojené s “poskytovaním netflow … automatizovaným spôsobom” a či vôbec príslušní správcovia takéto údaje majú dnes k dispozícii.

Ako v predošlých bodoch, nahlasovanie na ÚPVII nie je štandard.

K bodu 13:

“Umožnenie vykonávať neinvazívne penetračné testy” pre ÚPVII nie je šandard. Ak ÚPVII potrebuje takéto testy vykonávať, môže to už dnes robiť v rámci výkonu kontrolnej činnosti podľa z.275/2006. Preto navrhujem písm.b) vypustiť.