Vyhláška o klasfikácií informačných systémov a bezpečnostných opatreniach - pripomienkovanie

Kedze ste zo bezpecak, tak viete ze to nic neznamena, iba to ze o problemoch neviete. Data mozu byt davno predane a uz aj zneuzivane len o tom vy alebo ani prevadzkovatel nic neviete. Moze to tak byt ale nemusi. V kazdom pripade, to co ste uviedli nie je argument.

Môj argument je, že všetci to tak používať chcú, funguje to roky a je to zjavne akceptovateľne bezpečné. Pritom to spĺňa všetky kritériá ktoré ste uviedli ako zakázané pre public cloud. Ergo spor.

Ako bezpečák viete, že toto sa môže stať úplne vždy. Všetky štátne dáta už môžu byť predané a môžu byť predané aj keď bude navrhovaná vyhláška do puntíka dodržiavaná. Čiže ani toto nie je argument.

Úloha bezečnosti nie je “ako niečo spraviť bezpečné” - to je ľahké, napr. vypnem to. Úloha je, aké minimálne opatrenia je nevyhnutné spraviť, aby to bolo akceptovateľne bezpečné.

Čiže naopak: vy tu predpisujete nejaké opatrenia. Viete preukázať, prečo sú pre určitú úroveň klasifikácie nevyhnutné?

Za mňa to vidím tak, že fúra z nich nevyhnutná nie je, viď. príklady vyššie.

Ku cloudu: zhodneme sa na tom, že existuje nejaká hranica pre požiadavky na bezpečnosť, za ktorou už nie je v(ý)hodné ísť do verejného cloudu. Z môjho pohľadu je však oveľa oveľa ďalej ako návrh “nizsie alebo rovne ako C(1)I(2)A(2)” podľa tejto vyhlášky.

Pre totálnu väčšinu ITVS v skutočnosti okamžitý prechod na prevádzku v štandardizovaných verejných cloudových službách je v skutočnosti najrýchlejší a najefektívnejší spôsob ako ich bezpečnosť zvýšiť.

Ako sme už písali v inom vlákne: je to úplne naopak.

  1. Jedna zo základných poínt cloudu je, že služba je komodita, t.j. je štandardná a navzájom si konkurujú viacerý poskytovatelia. (To platí aj ak napr. treba mierne niečo prerobiť pri prechode na iného poskytovateľa.)
  2. Ak som v ne-cloude, som ešte viac závislý na dodávateľovi služby, t.j. kódu. Dnešný stav eGov je brutálny vendor-lock, čo priznávajú samotní vendori. Závislosť (lock) na vlastnom hardvéri je totálna, napr. ak prestane fungovať, mám po chlebe, resp. musím si vopred zaplatiť za kapacitu HW ktorú by som mohol potrebovať vo všetkých uvažovateľných situáciách.
  3. Používanie externých služieb zlepšuje modularitu kódu, keďže časti systému musia komunikovať cez dobre definované rozhrania. Čiže vendor-lock sa zmenšuje, lebo jeden modul sa nahradí ľahšie ako celý systém.

Čiže rozporujete myšlienku vládneho cloudu, príslušných uznesení vlády a plánov. Dobre vedieť.
A čo hovoríte z bezpečnostného hľadiska na centrálne úradné doručovanie?

Z centralizácie okrem iného naopak vyplýva:

  1. Môžem sa lepšie sústrediť na ochranu malého perimetra. Málo budov, málo kľúčových zamestnancov, málo API do okolia = malý attack surface.
  2. Väčšina eGov systémov bude jedna z tých menej vážnych vecí u poskytovateľa verejných cloudových služieb. Nenahovárajme si že nie. Čiže naopak, použitím public cloudu bude ešte vyššia bezpečnosť ako keď si to OVM bude robiť sám.
  1. Platia oba body uvedené tu o jedno vyššie.
  2. Ďalej štandardizované cloud služby sú chránené štandardizovanými opatreniami (čo je aj bezpečnejšie samo o sebe). Sú odskúšané a navrhnuté dostatočne. Pri vlastnej sade opatrení je vždy otázka, prečo chcete robiť niečo neštandardne. Pri všetkej úcte k Vašej práci, kapacita celého IT security sektora venovaná eGov je menej ako kapacita IT security ľudí jedného veľkého cloudového operátora.
  1. Trpíte ilúziou kontroly. Dnes neviete ani efektívne spustiť scan na IP adresy cez internet (pardon, už 3 dni viete), personál nie je poriadne kontrolovaný, prístup k fyzickým zariadeniam je chránený smiešne málo - oboje v porovnaní s tým čo vedia zabezpečiť veľkí prevádzkovatelia cloudových služieb.
  2. Platí zásada že bezpečnosť je tak nízka ako najslabší článok. Keď sa bavíme o personálnej bezpečnosti, ako budete “ponovom” kontrolovať zamenstnancov dodávateľov kódu?
  3. Bezpečnostné certifikácie / opatrenia prevádzkovateľov verejného cloudu zahŕňajú aj kontrolu.

Keďže dnes dáta Govnetu, alebo aj iné s vyššou potrebou ochrany dôvernosti, môžu byť prenášané cez internet (pri určitých opatreniach, napr. VPN), zjavne veci typu “manažmentová konzola” tiež vieme spraviť s dostatočnou mierou bezpečnosti.

Ale veď Vy nechcete hĺbkovú ochranu, ale etalón opatrení - tak je vyhláška napísaná.
No just, prejdime si opatrenia ktoré vo vyhláške predpisujete, a či ich poskytovatelia verejných cloudových služieb zabezpečujú, resp. či ich viem zaviesť pri použití ich služieb.

1 Like

Fajn, zapnite si v Amazon konzole 2FA na prihlasovanie a kluc zamknite v trezore na urade s limitovanym pristupom.

Cize toto je dobre napriklad na co?

Len pre inspiraciu :slight_smile:
Akurat to maju vo viacerych dokumentoch : https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.200.pdf
PLus vsetky vladne systemy musia zostat na americkej pode :slight_smile:

Na vytiahnutie penazi od organizacii ktorym nezalezi na vlastnych datach, alebo ktory bezpecnost nedomyslaju do konca.

Cloud by design je v rozpore s defense in depth. :slight_smile: Nevravim, ze nemoze byt lacnejsi. V konecnom dosledku je to na rozhodnuti vedenia. Neviem si predstavit ze by som s kludnym svedomim mohol odporucit dat citlive data do cloudu. Ak o tom vedenie rozhodne je to ale jeho zodpovednost. Nasou ulohou a zodpovednostou je popisat rizika, identifikovat hrozby a predostriet to vedeniu na rozhodnutie. Pre sukromne firmy je to mozno nateraz v poriadku ale osobne si myslim, ze cloudovy osial odide rovnako ako prisiel . Viem o pripadoch, ked sa firmy a aj relativne velke popalili a teraz by sa uz radi aj z cloudu vratili ale uz to nie je take jednoduche :).

V kazdom pripade sme trosku odbocili. Navrhujem sa vratit k teme. :slight_smile:

Neuveritelne.

Súhlasím. Budem rád ak odpoviete na veci ktoré som tu k téme písal:

  • objektivizácia stupňov klasifikácie
  • ak sa stupeň určuje podľa škôd, nedá sa nehľadieť na pravdepodobnosť realizácie rizika
  • príliš detailné, a teda náhodné opatrenia
  • pripomienkovanie na dve kolá?

Možno by malo zmysel spraviť si nejaký príklad. Povedzme Register právnických osôb. Bolo by možné pre neho ukázať kompletné riešenie súladu s vyhláškou?

Vedeniu treba dať rozumné podklady. Zatiaľ to tam veľmi nesmeruje.
Bezpečák s kľudným svedomím je zlý bezpečák. Buď na niečo zabúda, alebo niekde preháňa.

2 Likes

Ja pridavam otazku, ze ked uz to pre nejake pripady musi byt na Slovensku (pre ake?), tak ci to moze byt privatny cloud komercny alebo musi byt nejaky vladny cloud. A co nesplnaju tie privatne.

Pre inspiraciu dokument, ktory nema 13 rokov.

Vyberam:

Moderate Impact systems accounts for nearly 80% of CSP applications that receive FedRAMP authorization and is most appropriate for CSOs where the loss of confidentiality, integrity, and availability would result in serious adverse effects on an agency’s operations, assets, or individuals. Serious adverse effects could include significant operational damage to agency assets, financial loss, or individual harm that is not loss of life or physical.

Toto moze ist podla US do cloudu.

http://blog.hysteria.sk/bol-som-v-dc-azure/

Vidim tu zopar velmi vyhranenych nazorov ohadom bezpecnosti cloudu. K tomuto by som len postol kratke video od CIO z CIA (Central Intelligence Agency). Nie je tam vela detailov, ale adresuje to niektore body diskusie. Linka smeraju na slova: “I would argue and say, this is probably the most secure thing that is out there” AWS Public Sector Summit 2017 Customer Keynote: John Edwards, Central Intelligence Agency - YouTube

V zabezpecenych regionoch je enrolnute aj americke ministerstvo obrany DoD: " AWS Cloud provides government customers with the only one-stop shop to handle Public, For Official Use Only (FOUO), Sensitive, Secret, and Top Secret workloads."

Samozrejme zaplatit si niekolko AWS regionov je drahe, aj ked kontrakt na TopSecret datacentrum bol za 600 milionov USD na 10 rokov. Neviem posudit ci CIA zo svojim multi-miliardovym rozpoctom vygeneruje viac dat ako cely slovensky govcloud. Avsak vyvinut vsetky produkty na urovni AWS so vsetkou bezpecnostou je pre jednu organizaciu omnoho drahsie.

Zopar kontra prikladov, kazdopadne AWS, Asure aj Google maju riesenia pre vlady:
UK: When procuring new or existing services, public sector organisations should consider and fully evaluate potential cloud solutions first before considering any other option. This approach is mandatory for central government and strongly recommended to the wider public sector.

Bahrain: The Bahrain government has set a goal to shift the IT infrastructures of all its ministries and offices to Amazon Web Services (AWS). As Bahrain embraces the cloud, AWS is committed to fostering a spirit of innovation in the Middle East.

China: The AWS China (Ningxia) Region, operated by NWCD, is open for business, and you can start using it now! Starting today, Chinese developers, startups, and enterprises, as well as government, education, and non-profit organizations, can leverage AWS to run their applications and store their data in the new AWS China (Ningxia) Region, operated by NWCD

US: Aby to nebolo len o AWS. Azure Government has the broadest compliance certifications of any cloud provider on the market. FedRAMP Moderate and High provisional authorizations meet DoD compliance standards at Impact Levels 2, 4, 5, and NIST 800-171 controls satisfy DFARS and ITAR requirements. Two new regions for Azure Government Secret will provide extended support to meet Department of Defense Impact Level 6 (IL6) and Director of National Intelligence (DNI) Intelligence Community Directive (ICD 503) accreditation

2 Likes

Asi sa casy pohli, lebo NSA ktora je povodnym autorom Defense in Depth posuva svoje data a sluby do AWS.

1 Like

Bohuzial zjavne sa co sa tyka cloudu nezhodneme. Bohuzial nemam kapacitu tu toto riesit donekonecna.

V kazdom pripade, co sa tyka vyhlasky … poslite pripomienky a urobime workshop, mozno sa nezhodneme vsade ale prinajhorsom si aspon povieme navzajom argumenty.

Co sa tyka vecnych otazok … momentalne som mimo SR ale hned ako to bude mozne to planujem zodpovedat.

Možno by stačilo napísať argumenty raz. Zatiaľ tu toho moc nebolo.

vid vyssie :slight_smile: ale toto je jedna z veci, o ktorych sa o sebe navzajom zhodneme … :slight_smile: ja si presne to iste myslim smerom na Vas.

Wow. A kde sú? Viete sa sám odcitovat?

Napriklad tieto :