Dobrý deň, CSIRT.SK v spolupráci s UPVI (este vtedy MF SR) pracoval na metodike pre zabezpečenie organizácií v oblasti informačnej bezpečnosti. Táto metodika obsahuje požiadavky na organizáciu rozdelenú do oblastí:
Administratívna a organizačná bezpečnosť,
Vývoj a nasadenie informačného systému,
Zabezpečenie externe dostupných služieb,
Zabezpečenie externe dostupných služieb – webové služby,
Zabezpečenie internej infraštruktúry,
Zabezpečenie pracovných staníc.
Motiváciou pre vznik tohto dokumentu bola snaha vytvoriť ucelený podklad pre organizácie verejnej správy na systematické zabezpečenie informačnej bezpečnosti v organizácii, ktorý by odzrkadľoval aktuálne využívané technológie s dôrazom na nasadzovanie projektov implementovaných v rámci OPII. Hoci bola metodika pôvodne navrhnutá pre zabezpečenie informačnej bezpečnosti infraštruktúry a riešenia implementovaného v rámci projektov Operačného programu integrovaná infraštruktúra (OPII), je aplikovateľná aj pre ďalšie typy informačných systémov, webových aplikácií i koncových staníc organizácií verejnej správy či súkromného sektora.
Požiadavky uvedené v dokumente boli vybrané tak, aby po ich splnení organizácia mala zabezpečenú základnú úroveň bezpečnosti (baseline), ktorá pokrýva štandardné bezpečnostné hrozby pre organizáciu.
Za všetky pripomienky budeme vďační. Cieľom je vytvoriť použiteľný dokument pre organizácie verejnej správy aj súkromný sektor. Jeho cieľom je iba odporúčania - nie povinnosti.
Pripomienky prosím posielajte na emailovú adresu : info@csirt.gov.sk
Nerozumiem potom, preco sa v dokumente pise citujem nizsie:
----.
V tomto dokumente sú použité nasledujúce kľúčové slová podľa uvedeného
významu:
„
musí
“ – špecifikuje mandatórnu požiadavku (platí aj pre „je nutné“)
„
nesmie
“ – špecifikuje mandatórny zákaz
„
malo by
[byť]” – špecifikuje požiadavku, ktorá je mandatórna pokiaľ
neexistuje pádny dôvod prečo nemôže byť splnená. Ak existuje takýto dôvod,
musí byť zdokumentovaný a schválený.
“
nemalo by
[byť]” - špecifikuje zákaz, ktorý je mandatórny pokiaľ
neexistuje pádny dôvod prečo nie je možné ho splniť. Ak existuje takýto dôvod,
musí byť zdokumentovaný a schválený.
“
odporúča sa
” – špecifikuje odporúčanú požiadavku (platí aj pre “je vhodné”)
Cize aj to co byt “musi” sa vlastne iba odporuca ? Aky je potom rozdiel medzi “musi” a “odporuca sa” ?
Je tym myslene, ze to organizacie (bohuzial) nebudu mat ako povinnost :). Ak organizacie chcu riesit bezpecnost komplexne v zmysle tej metodiky tak plati to co ste napisali.
Viem si predstavit, ze metodika by na zaciatku zadefinovala nejake ciele. A ak sa organizacia (dobrovolne) rozhodne tieto ciele dosiahnut prave s pouzitim tejto metodiky, tak “musi” postupne prijat opatrenia podla tejto metodiky tak ako ich metodika stanovuje. Nie preto ze sa jej to nariadilo, ale preto ze sa organizacia sama rozhodla podla tejto metodiky postupovat. To by zmysel davalo. Proste ked sa rozhodnem navarit podla nejakeho receptu, tak “musim” urobit to co sa v tom recepte pise a mam primeranu mieru istoty ze sa to bude dat zjest
Tak fajn, pochopil som to Ale v tom pripade odporucam v uvode jasne napisat / vysvetlit, ze metodika je dobrovolna na pouzivanie. Ale ak sa podla tejto metodiky (s jej pouzitim ) maju dosiahnut ciele, kvoli ktorym sa ide pouzit, tak iste veci sa “musia” urobit resp. su povinne na to, aby sa stanovene ciele dali skutocne dosiahnut.
