Pripomienky: Strategická priorita Bezpečnosť

Pripomienkovanie
4

Keďže existujúce dokumenty veľmi nepomohli, skúsme definovať, čo sú kľúčové koncepty v oblasti bezpečnosti, ktoré treba teraz riešiť.

  • riadenie bezpečnosti
    • zjednotiť dnes existujúce bezpečnostné požiadavky zo všetkých režimov - t.j. štd.ISVS, OOÚ, krit. infraštruktúra - okrem utajovaných skutočností - a vytvoriť jednotný prístup
    • zaviesť kategorizáciu podľa vyžadovaného stupňa bezpečnosti - na úrovni org / IS ?
      .
  • BCM
    • riešenie závislosti integrovaných systémov, a to aj následné, riešiť to aj legislatívne
    • systémovo riešiť výkon verejnej moci počas nedostupnosti IS (viď. zhrozenie právnikov v zákone o SlovLexe)
    • nové rozdelenie zodpovedností pre integrované, cloudové systémy (čo sa stane keď inštitúcia A nevie plniť povinnosti kvôli inštitúcii B?)
      .
  • identifikácia
  • jedna FO = jedna identita
  • identifikátor vs. OOÚ - univerzálne a iné identifikátory (ja som za zrušenie celého SIFO konceptu)
    .
  • autentifikácia
  • úrovne autentifikácie ku službám - prehodnotiť existujúce vyžadované, čo s našimi 4 levelmi (STORK) vs. eIDAS 3 levely
  • autentifikácia zahraničných subjektov - riešenie eIDAS
  • umožnenie rôznych foriem autentifikácie otvoreným spôsobom - federácia, úrovne
    .
  • autorizácia
  • iné autorizácie ako ZEP - de-facto sa to už všelikde používa, chcelo by to štandardizáciu
  • centrálna správa autorizácií - možnosť používateľa zvoliť metódu autorizácie, blokovať určité metódy autorizácie
  • ZEP -čo s ním ďalej
  • autorizácia pri G2G - jednotné pravidlá, kedy / v akej úrovni je vyžadovaná - napr. pri prenose údajov
    .
  • riadenie prístupu
  • laissez faire (vs. need-to-know?)
  • riadenie rolí, asi centrálne?
  • možnosť používateľa prehliadať kto z vs. ktoré moje údaje / kedy / na aký účel použil
    .
  • accounting / logovanie / uchovávanie
  • štandardizácia logov - minimálne biznis vrstva - centralizácia?
  • čo ďalej s MDUERZ
    .
  • iné
  • jednotné pravidlá pre bezpečnosť v Govnete
  • OpenAPI bezpečnostné požiadavky
  • čo aktívny dohľad nad aktivitami v mene usr? (podľa vzoru bánk)
  • centrálne podporné aplikácie pre inštitúcie - od NTP, až po SIEM
    .
  • podpora bezpečnosti u používateľov
  • vzdelávanie / awareness
  • podporné nástroje pre používateľa (ako overí či má bezpečné PC, spojenie, ako vie monitorovať čo sa deje)
  • možnosti limitácie zodpovednosti používateľa (dnes je kompletná zodpovednosť prenesená na používateľa)
1 Like