Vyhláška o klasfikácií informačných systémov a bezpečnostných opatreniach - pripomienkovanie

Povedal by som, že diskusia sa už dostáva do kruhu a stálo by za to tému cloudu opustiť (alebo na ňu založiť samostatný topic)…

2 Likes

To je veľmi zaujímavý spôsob diskusie, že odignorujete všetky protiargumenty čo tu potom zazneli a hlavne ignorujete realitu. Večer to môžeme rozobrať vetu po vete lebo sú tam úplne nezmysly. Napríklad vendor lock cloudu je dnes vo svete dockeru veľmi slabý argument, by som povedal, že až neexistujúci. Nenapĺňa ma kľudom, že toto nepoznáte a stávate na tom stratégiu štátnych systémov en bloc.

Mam pocit, ze nechapete konsekvencie alebo ich ignorujete aby ste si presadili nejaku veci, ktora ma kopu predpokladov, suvislosti a nasledkov.
. Pouzivate priklady, ktore su velmi obmedzene a v uplne inom kontexte ako ich pouzivate Vy.

Po druhe, do debaty o cloude ste ma primarne zatiahli vy.
Mozem teraz prechadzat vsetky Vase protiargumenty a vyvracat ich jeden za druhym a vysvetlovat Vam, ze ako statny zamestnanci mame zodpovednost za ochranu statnych dat, a uz minimalne len preto musime zvolit konzervativny pristup pri ích ochrane a nie ich davat tretej strane, ked to nie je nevyhnutne. Mohol by som Vam vysvetlovat ze pozname dopodrobna architektury a obmedzenia mnohych cloudov, a pozname aj zodpovedajuce rizika a z dovodu aj zodpovednosti musime rizika minimalizovat. Mohol by som Vam vysvetlovat, ze tato diskusia nie je primarne o cloude, ze musime brat do uvahy nielen modne vystrelky ale aj potencialne rizika a ze v celej vyhlaske sa momentalne o cloude nehovori takmer nic, a ze komentar na temu cloudu je ten, ze momentalne sa otom diskutuje a zatial je moja predstava nejaka takato.
Co sa tyka opatreni na tychto opatreniach ktore oznacujete ako nahodne pracovalo viac ako 15 ludi za CSIRT a bolo to pripomienkovanie minimalne dalsimi 10 ludmi zo Slovenska (akademicka aj odborna verejnost) aj z Ceskej republiky.
Myslim, ze toto si obaja mozeme odpustit a radsej sa venovat obsahu tych opatreni. Lebo to je dovod, preco som to dal aj na tuto platformu aby som dostal feedback na samotnu vyhlasku a mohol pracovat na tom dalej. Cloud je ina diskusia budeme o tom este na urade hovorit a potom mozeme mat aj dlhu diskusiu na temu ci to posunut vyssie alebo nizsie.

1 Like

Aby sme sa vrátili odbornej debate o vyhláške:
Konkrétny príklad z tých dvoch čo som písal vyššie: autentifikačná politika.
Vyhláška obsahuje brutálne podrobný popis používania mena/hesla (viď. 3.98-3.130 + príloha 5 + ďalších aspoň 10 požiadaviek rozhodených v texte).
Namiesto toho tu už roky máme štandardizované stupne autentifikácie - vid. príloha č.6 výnosu o štandardoch. K tomu máme STORK QAA framework, a úrovne podľa eIDAS. Prečo vo vyhláške nie je použitý tento mechanizmus? Máme tu eID s autentifikáciou level 4, ktoré si vie vybaviť každý kto potrebuje. Čiže sa netreba báť - predpíšte kde je level 4 vyžadovaný a hotovo. Detto pre ostatné úrovne. To by som pokladal za zmysluplné nastavovanie pravidiel.
Keď nám bol prvýkrát prezentovaný portál oversi.sk, tak ma pri naivnom prihlasovaní menom/heslom “a ešte pošleme potvrdzujúci mail” obchádzali mrákoty.

v Prilohe č.8 sa píše “Orgán vedenia pre potreby implementácie požiadaviek tejto vyhlášky vydá súbor materiálov, ktorý bude obsahovať šablóny a vzory dokumentácie bezpečnosti ITVS, návody, školiace materiály a ukážky.” Navrhujem teda, aby prílohy 3,5,6,7 boli z návrhu vyhlášky vyňaté a spracované ako súčasť tohto súboru materiálov. Tým sa zjednoduší diskusia k návrhu vyhlášky a bude možné zamerať sa na zásadné a technologicky neutrálne ciele, postupy a opatrenia.

3 Likes

Ivan, potom detto aj pre prílohu č.2.
Ale pochybujem že to bude možné, lebo vyhláška je všeobecne záväzný predpis, zatiaľčo “návody, školiace materiály a ukážky” sú … iba návody, školiace materiály a ukážky.

Nejako som v tej vyhláške nevidel prechodné obdobia, ako je to plánované?
Lebo aj pri najlepšej vôli súlad s takýmto niečím sa bude rátať na roky. Najmä úpravy existujúcich IS.

Vseobecne zavazny predpis ale nemoze obsahovat ustanovenia ako " 4.33 Na kritických serveroch s OS Windows ako sú doménové kontrolery, DNS servery apod. musí byť nainštalovaný a nakonfigurovaný nástroj EMET (od Microsoft) so zapnutými všetkými ochranami, ktoré je možné zapnúť. “. Taketo nieco ziadny legislativec nepusti, nema to tam co robit a navyse " There are no plans to offer support or security patching for EMET after July 31, 2018”. Takto detailne specifikovane opatrenia vo vyhlaske su kontraproduktivne, mozu casom same predstavovat bezpecnostne riziko (nepodporovany EMET) a budu sposobovat nutnost castej aktualizacie vyhlasky. Opakujem, toto nie je dobry smer.

3 Likes

S tým že toto nie je dobrý smer súhlasím.

Vymaz vymaz

Potrebujeme nejakym sposobom nadefinovat standardy tak aby boli zavazne. Len tak sa mozeme dostat na rozumnu uroven bezpecnosti. Potrebujeme potom este nadefinovat zavazne pravidla na klasifikaciu a sme o dva kroky dalej.
Tento system je inak velmi podobny tomu co maju pre Federalne IS v USA.

Myslite toto https://www.fedramp.gov/ alebo ten dokument co ma 13 rokov?

1 Like

Ono je to sice pekne … ale stale plati FISMA :slight_smile: Odkazujeme sa na platne legislativne dokumenty.

To bol trosku chytak.

https://www.fedramp.gov/assets/resources/documents/FedRAMP_Security_Assessment_Framework.pdf strana 10.

Myslite napriklad tu cast, kde vsetky acreditovane sluzby musia nechavat vladne data na uzemi USA ? :slight_smile:
sucasne je tam kopu dalsich podmienok, ktore je mozne pre cloud splnit len v USA. a par dalsich veci. Zhodou okolnosti som momentalne v USA a pytam sa aj tieto otazky.

Federalna vlada si dava zalezat na komplexnej bezpecnosti a zachovani kontroly. A urcite nemaju standardne komercne kontrakty :slight_smile:

Nepletme si moznosti vlady USA vynucovat compliance s moznostami nejakeho privatneho kontraktu.

A samozrejme je tu toto :slight_smile: co je plus minus to co chceme aj my

Asi doslo k nejakemu omylu, ci tu niekto tvrdil, ze nejake kriticke data a systemy maju ist mimo SR/EU? V klude si tych par TB kritickych dat nechajme vo vladnom cloude.

Bavime sa skor o tom, ze ci ideme uplne vsetky systemy, ktore sa obtru o “vykon verejnej moci” tlacit do nasho slovenskeho vladneho cloudu. A tento vladny cloud z nejakeho dovodu chceme vybudovat statny. A budu ho zabezpecovat komercne firmy, ale v ziadnom pripade to nesmie byt komercne DC, lebo to by uz ta ista firma asi nevedela zabezpecit.

Napriklad @lubor daval pekny priklad so skolami, ktore vydavaju sem tam nejake rozhodnutie. Ja sa snazim najst hranicu, kde je este uplne normalne dat nieco do

  1. public cloudu mimo SR
  2. public cloudu na uzemi EU
  3. private cloudu na uzemi EU
  4. private cloudu na uzemi SR
  5. vladneho narodneho hrdeho cloudu (prevadzkovaneho ktovieakym lokalnym dodavatelom).

Lebo zatial vidim, ze vlastne na vsetko je odpoved 5.

Totot msu

Nie vsetko je 5. Toto je ale diskusia ako som uz pisal vyssie … ze zatial moja predstava je C1I2A2 a ci pojdeme vyssie alebo nizsie to musime este prediskutovat …

Vid moju citaciu vyssie

@jsuchal @Lukas_Hlavicka nechceli ste na verejný cloud vs. bezpečnosť založiť nový topic?

2 Likes