Komisia pre štandardy ISVS - PS2 - Bezpečnostné štandardy


#1

Po obnovení fungovania KS ISVS (vid Komisia pre štandardy ISVS) sa začína aj fungovanie PS2 Bezpečnostné štandardy. O jej činnosti bude teda tento topic.

Oficiálny Wiki spejs som zatiaľ k PS2 nenašiel.

Vedúcim PS je Ervín Šimko / ÚPPVII

@ps-bezpecnost

Účasť zástupcu Slovensko.Digital v tejto pracovnej skupine je financovaná z projektu Lepšie riešenia eGovernmentu v SR (viac info tu: https://slovensko.digital/projekty/lepsi-egovernment).


Komisia pre štandardy ISVS
Komisia pre štandardy ISVS
#2

.1. rokovanie PS2 bolo 31.5.2017.
Zhruba takéto veci sa preberali:

  • Zákon o kybernetickej bezpečnosti:

Návrh zákona je v MPK. Bolo ohlásené že to príde odprezentovať niekto z NBÚ, prišlo cca. 15 ľudí čo o tom chceli diskutovať. NBÚ nakoniec neprišlo.

Viacerí prezentovali veľmi kritické pohľady na tento návrh zákona, pamätám si najmä diskusiu zástupcu MFSR, CSIRT.SK a vedúceho PS:
-že v zákone o KyB mali byť vložené aj veci zo zákona o InfB, ale táto verzia zákona sa tým nezaoberá, teda nie je v súlade s koncepciou KyB, napr. vypadla problematika vzdelávania
-NBÚ sľubovalo zjednodušenie byrokracie - napr. OOÚ/GDPR, krit. infra. atď. - zjednotenie povinností, to však v návrhu zákona chýba
-MOSR dostáva príliš veľké kompetencie, napr. z dôvodu prevencie môže vkladať zariadenia do IS
. týka sa to aj súkromného sektora!
-povinnosť hlásiť aj bezp. nastavenia pre niektoré IS
-nerieši sa bezpečnosť ISVS, chýbajú prvky bezpečnosti na národnej úrovni, chýba sektor pre VS
-zástupcovia vacerých rezortov deklarovali, že v MPK podajú zásadné pripomienky

Takže sa dohodlo že vedúci PS skúsi vybaviť ešte jedno stretnutie ku zákonu o KyB na ÚPPVII (za účasti NBÚ), ešte pred koncom MPK. Najlepšie by bolo tam riešiť konkrétne otázky, ktoré treba poslať vedúcemu PS do pondelka (5.6).

  • Vyhláška o tom, sprístupnenie ktorých informácií môže/nemôže ohroziť bezpečnosť IS

Toto je stará tema: do infozákona je plán vložiť výnimku pre sprístupňovanie informácií z dôvodu ohrozenia bezpečnosti IS. Keďže to by samo o sebe umožňovalo príliš široký výklad (napr. aj “prezradenie” že organizácia vôbec nejaké PC vlastní zvyšuje riziko), preto je plán súčasne k tomu vydať vyhlášku, kde sa to konkrétnejšie upraví.
Draft je takýto: Vyhlaska_IKT_bezp_udaje_2017.pdf (344.8 KB)
-Toto je kompromisný výsledok viacerých rokovaní z minulosti, preto by sa už do toho nemalo principiálne zasahovať.
-Boli otázky k niektorým konkrétnym veciam: napr. či info o verziách ako “úplné komerčné označenie produktu” nie je príliš veľké riziko, ako toto súvisí so zákonom o kritickej infraštruktúre.
-V tomto znení PS odhlasovala návrh vyhlášky.
-Zákon 211/2000 je pred MPK, pripomienky k tejto vyhláške je aj tak lepšie riešiť v tejto PS.
-Táto vyhláška sa má týkať doplnenia §11 zákona o novú výnimku, mechanizmus pre opakované použitie údajov nebolo zatiaľ plánované riešiť.
-Dodatočne som po preštudovaní vyhlášky navrhol vypustenie §1 písm.h) “vecné údaje databáz a registrov”, keďže sprístupňovanie vecných údajov sa nijakým spôsobom netýka ohrozenia bezpečnosti IS v zmysle tejto vyhlášky, je teda úplne mimo jej zmocnenie. Umožnenie/odmietnutie prístupu k vecným údajom sa riadi inými časťami zákona 211/2000 a ani nie je dôvod riešiť to v tejto vyhláške.

  • Formáty elektronického podpisu a pečate

O tomto už rokovala PS4. Od PS2 sa očakávali “iba” pripomienky z pohľadu bezpečnosti.
-Klasická téma je požiadavka na jednoznačnú vizualizáciu a absenciu aktívnych prvkov v podpisovaných dokumentoch. V podstate k záverom z PS4 nebola žiadna zásadná pripomienka alebo doplnenie.

Podľa mňa hlavný problém pri KEP v súčasnosti nie je či sa do vyhlášky vloži veta “softvér musí dodržiavať WYSIWYS princíp”, ale to že:
-mnohé OVM vydávajú KEP, ktorý nie je v súlade s eIDAS, ľudia to nevedia otvoriť, ani ďalej použiť, po čase tieto dokumenty nebude ani nikto akceptovať
-podateľne OVM častokrát odmietnu overiť podpis “od iného výrobcu”, obzvlášť vážne je to pri CEP ÚPVS, keďže má byť centrálna
-overovanie podpisu nesmie byť spojené s overovaním formátu dokumentu a pod.
-v certifikátoch je vyžadované rodné číslo
O tomto sme aj stručne hovorili, zástupcovia ÚPPVII deklarovali viaceré aktivity na riešenie týchto vecí. Ja som navrhol, aby PS žiadala ÚPPVII, ktorého úlohou je koordinácia VS v oblasti informatizácie, aby zverejnil zoznam problémov v tejto oblasti a plán ich riešenia aj s termínmi. Tento návrh bol aj PS odhlasovaný (ale vôbec nie jednomyseľne).

  • Doplnenie metodického pokynu k výnosu o štd. ISVS, že SHA-1 je odporúčané nepoužívať.
    Tento návrh bol odhlasovaný.
    Zároveň zástupca SISp poukázal že vo výnose v §4,6,7 a 10 sa uvádza ako povinná podpora " SSL minimálne vo verzii 3.0", čo už je z bezpečnostného hľadiska úplne mimo. Asi by bolo vhodné buď takéto veci vo výnose neriešiť, alebo to poriadne sledovať/aktualizovať.

Pikoška: riaditeľ CSIRT.SK povedal, že všetci správcovia zariadení zraniteľní WannaCry cez internet boli varovaní 2 týždne pred útokom.

@stefan.szilva prípadne ma doplň/oprav


Zákon o kybernetickej bezpečnosti
#3

Zápis zo zasadnutia PS2 je tu: https://wiki.finance.gov.sk/display/PS2/1.+Zasadnutie+PS2


#4

Kto bude podla teba riesit nove bezpecnostne ständardy isvs? Tato ps alebo ta reinkarnovana ps kyberneticka bezpecnost?
A ta ps na nbu teda pokracuje ?
Takyto chaos som este nezazil.
@lubor ty budes chodit do vsetkych troch ps ?


#5

To asi nie je otázka na mňa, ale na ÚPVII…
Pokiaľ tomu rozumiem, tak skupina na NBÚ už nie je funkčná, jej činnosť pokračuje v PS K9.8 ÚPVII, ktorá má riešiť najmä “strategické” veci, napr. dokument strategickej priority informatizácie VS - KyB. PS2 pre štandardy ISVS má riešiť primárne veci týkajúce sa Výnosu o štandardoch ISVS, teda také technickejšie veci.
Momentálne som členom oboch.


#6

Dnes bolo opäť zasadnutie tejto PS. Fast forward o rok ďalej, riešia sa tie isté problémy.

eIDAS:

  • sú reálne problémy s validáciou KEP (prekvapenie, prekvapenie)

  • certifikácie aplikácií podľa z. o dôveryhodných službách (§10) nefungujú, čiže negarantujú že certifikovaná aplikácia dáva výsledky v súlade s eIDAS

    • sú známe certifikované app., ktoré dávajú nesprávne výstupy
    • napr. kataster odmieta podania, ktoré sú z pohľadu zákona valídne
      .
  • bola živá diskusia, či je vhodné/potrebné/nevyhnutné, aby OVM používali pri overovaní podpisu kvalifikovanú službu vs. certifikovanú aplikáciu vs. čo len chcú

    • imho zákon používanie cert. app. ani kvalifikovanej služby nevyžaduje
    • ale v prípade sporu bude úrad musieť vedieť preukázať na základe čoho sa rozhodol
    • ak bude mať záznam z kvalifikovanej služby, je to istota
      .
  • PS žiada ÚPVII o vykonanie kontroly dodržiavania štandardov pre KEP

    • ÚPVII na to má zmocnenie podľa zákona o ISVS aj eGov
    • ÚPVII má aj naplánované niektoré kontroly na OVM od 1.9.2018
      .
  • NBÚ žiada podnety, že certifikované aplikácie nie sú v súlade, aby mohol konať

    • aklamáciou dávame NBÚ podnet že viaceré aplikácie nie sú v súlade s čl.32 eIDAS
      .
  • ja žiadam, aby sa vytváranie/prijímanie KEP prioritne a poriadne vyriešilo pre CEP/ÚPVS

    • btw. CEP práve prechádza na ASiC kontajner, info tu: Pouzivanie ZEPf kontajnera v roku 2017
    • Frič hovorí že podľa jeho informácií bude mať s ACiS kontajnerom veľa problémov
    • nie je jasné či Nases vôbec toto s OVM riešil, ÚPVII sa ich na to pýtalo, bez odpovede zatiaľ
      .
  • Frič hovorí, že problém je aj s vytváraním el. pečatí, ktoré robí veľa OVM “v spolupráci” s Nases

    • je otázka, či Nases nemusí poskytovať kvalifikovanú službu keď toto robí pre ostatných
    • schválená úloha na ÚPVII že preverí aký je tento stav a bude to ďalej riešiť
    • existuje k tomu nejaký list NBÚ z 26.10.2016, keď sa k nemu dostanem, vyvesím ho tu
  • pýtal som sa, aký je stav s notifikovanými schémami podľa eIDAS

    • NBÚ: od 1.9.2018 je povinnosť používať notifikované schémy
    • schéma môže byť poskytovaná cez proxy alebo middleware
    • middleware je, že každý členský štát dostane čiernu škatuľu cez ktorú sa to prepojí
    • proxy je, že všetky req/resp idú cez ústredňu v EK, čiže všetky údaje o všetkých ľuďoch vidno pre všetkých po ceste
    • musíme rozhodnúť ako toto robiť pre eID
    • Nemecko robí svoje schémy cez middleware, lebo nechcú aby niekto pozeral na dáta vnútri
    • ÚPVII zriadil PS na riešenie tejto veci
    • za ÚPVII je tam Ervín Šimko a M. Ohrablo ?
    • členmi sú aj Nases, MV a NBÚ
    • zapojiť sa do PS nie je možné
      .
  • máme dávať podnety do PS, čo ešte s eIDAS treba riešiť, za mňa to vidím takto:

    • čo s certifikáciou applikácií - zrušiť, zvýšiť kvalitu?
    • nech ÚPVII spraví a udržiava tabuľku s prehľadom stavu v KEP v jednotlivých OVM - formáty podpisu, formáty doc. pre vytvárané a akceptované doc.
    • poriadne riešenie pre CEP/Nases
    • výsledky PS pre eID a schémy prejednať v tejto PS

zákon o ITVS:

  • pôjde do opätovného MPK
    • doplnili sa tam ďalšie veci týkajúce sa bezpečnosti
    • v čase MPK nebudú ešte návrhy vyhlášok
    • metodika, ktorá bola predstavená v PS sa dala do zákona
    • ja namietam, že v zákone doteraz stačila 1 veta, je zlé dávať mrte plošných povinností
      .
  • vedúci PS rozošle nové znenie
    • potom diskusia k tomu, ale MPK asi začne skôr

dokument Strategická priorita Kybernetická bezpečnosť

  • Ervín Šimko je nový vedúci PS
  • dokument bol prepracovaný
    • pošlú ho do PS2 aj K9.8 bude sa diskutovať
  • úloha predložiť do konca júna sa posunie

Zaručená konverzia vs. Obchodný a Živnostenský register (otázka najmä na advokátov)
Registre cez blockchain
#7

Ďalšia dobrá téma pre túto PS je fungovanie “dlhodobého úložiska dokumentov” v Nases. Je to kvalifikovaná služba podľa eIDAS, ale nefunguje poriadne, keďže na výstupe nedáva žiadnu informáciu o validite/uchovaní… dokumentu.


#8

U kvalifikovanej sluzby je dokazne bremeno na strane poskytovatela. A STAT dnes ziadnui kvalifikovanu sluzbu neposkytuje, mam vyjadrenie z nases aj nbu.


#9

APlikacie pre podpis a validaciu si podla eIDAS a zakona o doveryhodnych sluzbach NEVYZADUJU ziadnu certifikaciu … teda je DOBROVOLNA. A btw… musi byt platna v celej europe, nie iba na slovensku… takze akekolvek lokalne certifikacie su uz minulostou.

AVSAK pri prihlaske na poskytovanie KVALIFIKOVANEJ sluzby sa uz takyto (celouropsky platny) certifikat pozaduje. U nas ho robi napriklad firma QSCert (nie NBU, tomu sa to iba dokalduje). Stoji to radovo viac, ako ta “certifikacia”, ktoru mozte ziadat u NBU.


#11

samozrejme ze musi …


#12

vsak tymto by sa vytvoril dokaz , kto nedodrziava zakon … :smiley:


#13

Pritom je to tak jasne:
Ako sa OVERUJE podpis je tu: http://www.nbu.gov.sk/doveryhodne-sluzby/standardy/overovanie-qes/index.html
Co MUSIA OVM robit (asi v spolupraci s NASESom) je zase tu http://www.nbu.gov.sk/povinnosti-organov-verejnej-moci-v-suvislosti-s-legislativnou-zmenou-zaruceneho-elektronickeho-podpisu-na-kvalifikovany-elektronicky-podpis/index.html

Nemyslim, ze v komisii treba zase nieco rozhodovat. Tioe rozhodnuitia davno existuju a NBU ich aj zverejnil. Ze minimlane 4 roky od prijatia eIDAS mame nezakonny stav , za to je niekto kua zodpovedny


#14

Čo sú kvalifikované služby s prevádzkovateľmi v SR sa dá zistiť jednoducho - z trusted listu, viď. napr. https://webgate.ec.europa.eu/tl-browser/#/tl/SK
Nájdeš tam aj MO SR a NBU SR - podpis, pečať, ČP; Nases/UV SR - dlhodobe uchovanie podpisu a pečate

Pozri sa na to naopak. “Lokálnu certifikáciu” máme, viď. §10 z. 272/2015. Otázka znie, že keď (dobrovoľne) používaš certifikovanú aplikáciu, nakoľko sa môžeš spoľahnúť na jej odpovede (napr. či je podpis overený ako platný / neplatný).

Zjavne to nie je také jednoznačné. Pozri povedzme čl.2.2 eIDAS. Ja osobne si myslím že nemusí, ale toto snáď nie je vec “diskusie”. Nech ÚPVII alebo NBÚ dá zaväzný výklad.

Zodpovednosť je jasná - štatutár organizácie, ktorá všeobecne záväzné predpisy porušuje.


#15

jasne … myslel som samozrewjme sluzbu overovania podpisov … ine ako peciatky, ci certifikaty … to poskytuje


#16

Kvalifikovanú službu overovania podpisov má v SR iba Disig, ale vraj ani ten ju v skutočnosti neposkytuje, lebo zodpovednosť z toho vyplývajúca je tak veľká, že sa neoplatí ísť do rizika.
Zaujímavé je, že I.CA má v ČR kvalifikovanú službu pre overovanie, v SR nie. (Aj tak by nemal byť problém použiť u nás českú službu.)


#17

mozes pouzit lubovolnu kvalifikovanu sluzbu ak sa nachadza v Trusted Liste EU. Ked si ceska firma, nebudes to registrovat v 28 lokalnych trusted listoch. Trusted List EU je ZJEDNOTENIE lokalnych trusted listov. Som zvedavy ako si s tymto poradia nase OVMs … ale to je uzakonene od roku 2014 a platne od roku 2016 … tak preco to “riesime” az teraz ?


#18

V pripomienkovaní pracovných skupín PS1-4 je návrh novely výnosu o štd.: 03_navrh_standardy_pripomienkovanie PS.pdf (461.9 KB)

Oficiálne info:"
Vážení členovia pracovných skupín PS1, PS2, PS3 a PS4,
v prílohe tohto mailu si vám dovoľujem zaslať návrh novely výnosu č. 55/2014 Z. z. o štandardoch pre ISVS, v ktorom sú zmeny reflektujúce transpozíciu Smernice 2016/2102 o prístupnosti webových sídel a mobilných aplikácii verejného sektora. Ďalej sa upravujú bezpečnostné štandardy, technické štandardy a čiastočne dátové štandardy.

Prípadné pripomienky k návrhu nám prosím zasielajte prostredníctvom emailu najneskôr do 22.07.2018 podľa vášho členstva v jednotlivých skupinách k nasledovným bodom návrhu:

PS1: body č. 3, 4, 6, 14, 15
PS2: body č. 2, 9, 10, 11, 12, 13
PS3: body č. 1, 7, 8, 18, 19
PS4: body č. 2, 3, 4, 6, 17, 20, 21

Zároveň si vás dovoľujem upozorniť, že príloha č. 1 výnosu o štandardoch (navrhovaný bod 19) bude doplnená o znenie WCAG 2.1 v slovenskej verzii po oponentúre prekladu.

Niektoré návrhy zapracované do návrhu novely výnosu o štandardoch ešte neboli schválené samostatnými hlasovaniami pracovných skupín, avšak potreba ich úpravy vzišla zo Strategickej priority NKIVS Integrácia a orchestrácia a z pracovnej skupiny k NKIVS K 9.3 Architektúra.

Po skončení pripomienkovania budú príslušné body návrhu novely zaslané jednotlivým pracovným skupinám na ich schválenia prostredníctvo dištančného hlasovania v MetaIS."


#19

K tomuto “pripomienkovaniu” za mňa posielam nasledovné stanovisko ( @hanecak ) :

Celkovo:
Žiadam aby ÚPVII rešpektovalo vlastný metodický pokyn k výnosu o štandardoch pre ISVS, konkrétne časť “4. Životný cyklus štandardov”. Zámery na zmenu štandardov majú najprv byť prerokované v pracovných skupinách, až následne môže byť nejaké paragrafové znenie pripomienkované a schvaľované. Za zmeny týkajúce s PS2 žiadam aby pred plánovaným hlasovaním v PS boli príslušné návrhy na rokovaní PS prezentované, v zmysle metodického pokynu bola vypracovaná analýza dopadov jednotlivých zmien a pracovná skupina o návrhoch rokovala.

K bodu 2:

Súhlasím s používaním štandardu HSTS. Nevidím však zmysel do výnosu o štandardoch pridávať ustanovenie pre konkrétny modul a §9 ani nie je na to vhodné miesto. Ak cieľom návrhu je zaistenie vyššej bezpečnosti pri používaní elektronických služieb cez web, navrhujem dôsledné uplatňovanie princípu “HTTPS only”. Zároveň v súčasnosti zkonštrukcie §9 vyplýva iba, že používanie HTTPS je povolené, avšak nie je jasné kde má byť povinné. Preto navrhujem preformulovať znenie bodu 2 nasledovne:

“2. V § 9 sa vkladá písmeno e), ktoré znie:
„e) používanie výlučne protokolu podĺa bodu d) a používanie protokolu HTTP Strict Transport Security (HSTS) pri poskytovaní elektronických služieb a rozhraní,”"

K bodu 9:

Nemám problém s tým, aby vedenie “zoznamu aktív” bolo povinné. Keďže však definícia aktíva je pomerne široká a všeobecná (viď. §2 písm.c) ), pre reálnu prax bude dôležité upresniť čo všetko má v zozname byť evidované. Bolo by vhodné to vymedziť aspoň voči kritickým aktívam (def. §29 písm. a) bod 9).
Špeciálne nejasný je zmysel bodov 3 a 4, keďže “používaný operačný systém” sa môže vzťahovať napr. na počítač nepripojený do siete a už vôbec nie je jasné čo sú “používané technológie”. v čase MPK preto navrhujem aby súčasne s týmto bodom bol známy návrh doplnenia metodického pokynu k výnosu o štandardoch, ktorý spôsob a rozsah vedenia “zoznamu aktív” upresní.

Taktiež nemám problém, aby úrady hocikomu posielali informácie podľa bodu 1-4 novo navrhnutého §31 písm.g). Upozorňujem však, že “zasielanie ÚPVII” určite nie je “štandardom pre manažment rizík” a nie je mi jasné, či takúto povinnosť možno vytvoriť v rámci v súčasnosti platného rámca pre štandardy ISVS podľa z.275/2006. Taktiež nie je jasné, čo ÚPVII so zozbieranými informáciami bude ďalej robiť a v rámci ktorej svojej existujúcej kompetencie (v zmysle zákona č.275/2006) sú pre neho potrebné a na aké konanie.

V §31 som nenašiel písm.g). Preto navrhujem z bodu 9 vypustiť vetu “Doterajšie písmeno g) sa označuje ako písmeno h)”.
Keďže však skutočná konsolidovaná verzia výnosu 55/204 nie je dobre dostupná, je možné že v skutočnosti písm.g) už existuje. Nedostupnosť aktuálneho znenia výnosu o štandardoch považujem aj za bezpečnostné riziko - opravte si konečne stránku http://informatizacia.sk/standardy-is-vs/596s !

K bodu 10:

Ako v predchádzajúcom bode, povinnosť nahlasovania bezpečnostných incidentov na ÚPVII nie je štandard ISVS.

V bode 5 nie je jasné, pri ktorých incidentoch a pre ktoré aktíva majú byť digitálne stopy zaisťované. Pre právnu istotu ako minimum navrhujem bod 5 doplniť na nasledovné znenie: “5. spôsob zaistenia digitálnych stôp bezpečnostného incidentu a určenie pre ktoré typy bezpečnostných incidentov a nimi doknutých aktiv budú digitálne stopy zaisťované.”

K bodu 12:

Podľa bodu f) sa má oznamovať “PGP verejný kľúč”. Pokiaľ je mi známe, súčasné štandardy nepredpisujú povinnosť takýmto kľúčom disponovať, ani zasielať elektronickú poštu pomocou PGP. Naopak, podľa §8 písm.b) sa má používať S/MIME. Preto navrhujem časť “, oznámiť aj PGP verejný kľúč pre každú kontaktnú osobu” vypustiť.

Pre posúdenie bodu g) je potrebné vedieť aké náklady u správcov aj ÚPVII budú spojené s “poskytovaním netflow … automatizovaným spôsobom” a či vôbec príslušní správcovia takéto údaje majú dnes k dispozícii.

Ako v predošlých bodoch, nahlasovanie na ÚPVII nie je štandard.

K bodu 13:

“Umožnenie vykonávať neinvazívne penetračné testy” pre ÚPVII nie je šandard. Ak ÚPVII potrebuje takéto testy vykonávať, môže to už dnes robiť v rámci výkonu kontrolnej činnosti podľa z.275/2006. Preto navrhujem písm.b) vypustiť.


Komisia pre štandardy ISVS
#20

Pre informáciu, v medzičase bolo “hlasovanie per-rollam” o návrhu novely výnosu o štandarodoch.
Návrh je presne to isté čo u bolo predtým “na pripomienkovanie” (v časti pre PS2, iné som nepozeral).

Žiadne pripomienky teda neakceptovali. K mojim nemám žiadne vyjadrenie. Neviem kto a aké pripomienky poslal.

Žiadal som veúceho PS (E.Šimko) aby nové veci bola normálne v PS prerokované - odmietol.
V hlasovaní sú zaznamenané 4 hlasy “za”, iné nič, skupina má 36 členov podľa MetaIS. Hlasovanie “vetoval” člen za MKSR. (Tým pádom sa hlasovanie uzavrelo, už som nestihol hlasovať, tiež by som vetoval.)
Keď som sa pýtal čo bude ďalej, Šimko povedal že veď s MKSR vyriešia ich pripomienku a tým je to vybavené, “ďalej bude hlasovať Komisia pre štandardy”.
Ale že “možno zvážia” aký bude ďalší postup.

Toto je hanba, takto sa štandardy nerobia…


Komisia pre štandardy ISVS
Komisia pre štandardy ISVS