dokument pouziva terminy “digitalny priestor” a “kyberneticky priestor” bez toho aby zadefinoval co to je. Podobne aj IB a KB.
dokument je niekedy prilis detailny napr “Zároveň sa odporúča zohľadniť aj iné všeobecné bezpečnostné požiadavky na web aplikácie, napr. poznámky vývojárov v kóde aplikácie, pravidelné implementovanie bezpečnostných „záplat“, indexovanie adresárov,”, raz “odporuca”, inde zase “budu povinne”, “je vhodne vykonat”, “musi byt vykonavane”…nie je mi jasne ci sa jedna o dokument strategicky, alebo to ma charakter studie, alebo z neho vyplyvaju konkretne ulohy, zasady…aky bude vlastne nextstep.
AD 2.1.1. "…aby nebola ohrozená ich dôvernosť a integrita. " doplnit “autentickost”
AD 3.1.2 "Na úrovni jednotlivých rezortov a organizácií budú zadefinované a obsadené samostatné role v oblasti informačnej a kybernetickej bezpečnosti podľa medzinárodných štandardov " tie role a útvary sú už vymenované na obr. 1, ráta sa s nejakými ďalšími ? akými ?
AD 3.1.2.1 “Definícia konkrétnych bezpečnostných požiadaviek a funkcií musí vychádzať najmä zo štandardu (Common Criteria) uvedeného v predchádzajúcej kapitole.” Toto je prve miesto kde sa CC spomina, v predchadzajucej kapitole som to nenasiel. Kazdy rezort / PO si bude musiet nastudovat CC? Preco nemoze vzniknut CCbased alebo ina metodika pre tento ucel, ktoru vytvori KIBVS ?
“To aké konkrétne bezpečnostné funkcie budú pre príslušnú aplikáciu požadované je plne v kompetencii samotných
obstarávateľov, ktorí by mali vychádzať najmä z analýzy rizík” kto, na zaklade coho a kedy takuto analyzu rizik spravi ?
“Pravidlá, politiky a požiadavky budú vytvárané na základe aktuálneho stavu vývoja IT a medzinárodne platných
a uznávaných noriem a pravidiel (ISO, NIST).” Tak potom preco sa uvadzaju konkretne pravidla aj v tomto dokumente ?
3.1 “…centrálnych systémov umožňujúcich riadenie informačnej bezpečnosti tak na centrálnej úrovni štátu,
ako na úrovni pripojených organizácií. Typickým príkladom je napríklad vytvorenie nástroja na centrálny monitoring
siete, potrebného tak pre riadenie prevádzky, ako aj pre monitoring z pohľadu ochrany kybernetického priestoru
krajiny.” versus “3.2.4.1.2.1 Systém riadenia informačnej bezpečnosti (ISMS” - raz sa pod systemom riadenia rozumeju nastroje a raz subor politik, roli, zasad, postupov, procesov a procedur v zmysle 27001/27002
…to takto dalej nejde, pripomienkovane tymto sposobom je naprd, neexistuje verzia vo formate, kde sa budu dat pisat pripomienky do textu ?