Keďže existujúce dokumenty veľmi nepomohli, skúsme definovať, čo sú kľúčové koncepty v oblasti bezpečnosti, ktoré treba teraz riešiť.
- riadenie bezpečnosti
- zjednotiť dnes existujúce bezpečnostné požiadavky zo všetkých režimov - t.j. štd.ISVS, OOÚ, krit. infraštruktúra - okrem utajovaných skutočností - a vytvoriť jednotný prístup
- zaviesť kategorizáciu podľa vyžadovaného stupňa bezpečnosti - na úrovni org / IS ?
.
- BCM
- riešenie závislosti integrovaných systémov, a to aj následné, riešiť to aj legislatívne
- systémovo riešiť výkon verejnej moci počas nedostupnosti IS (viď. zhrozenie právnikov v zákone o SlovLexe)
- nové rozdelenie zodpovedností pre integrované, cloudové systémy (čo sa stane keď inštitúcia A nevie plniť povinnosti kvôli inštitúcii B?)
.
- identifikácia
- jedna FO = jedna identita
- identifikátor vs. OOÚ - univerzálne a iné identifikátory (ja som za zrušenie celého SIFO konceptu)
. - autentifikácia
- úrovne autentifikácie ku službám - prehodnotiť existujúce vyžadované, čo s našimi 4 levelmi (STORK) vs. eIDAS 3 levely
- autentifikácia zahraničných subjektov - riešenie eIDAS
- umožnenie rôznych foriem autentifikácie otvoreným spôsobom - federácia, úrovne
. - autorizácia
- iné autorizácie ako ZEP - de-facto sa to už všelikde používa, chcelo by to štandardizáciu
- centrálna správa autorizácií - možnosť používateľa zvoliť metódu autorizácie, blokovať určité metódy autorizácie
- ZEP -čo s ním ďalej
- autorizácia pri G2G - jednotné pravidlá, kedy / v akej úrovni je vyžadovaná - napr. pri prenose údajov
. - riadenie prístupu
- laissez faire (vs. need-to-know?)
- riadenie rolí, asi centrálne?
- možnosť používateľa prehliadať kto z vs. ktoré moje údaje / kedy / na aký účel použil
. - accounting / logovanie / uchovávanie
- štandardizácia logov - minimálne biznis vrstva - centralizácia?
- čo ďalej s MDUERZ
. - iné
- jednotné pravidlá pre bezpečnosť v Govnete
- OpenAPI bezpečnostné požiadavky
- čo aktívny dohľad nad aktivitami v mene usr? (podľa vzoru bánk)
- centrálne podporné aplikácie pre inštitúcie - od NTP, až po SIEM
. - podpora bezpečnosti u používateľov
- vzdelávanie / awareness
- podporné nástroje pre používateľa (ako overí či má bezpečné PC, spojenie, ako vie monitorovať čo sa deje)
- možnosti limitácie zodpovednosti používateľa (dnes je kompletná zodpovednosť prenesená na používateľa)