reklama

Akčný plán informačnej bezpečnosti

Ministerstvo financií zverejnilo ďalší z dokumentov, ktorý by mal upravovať vývoj v oblasti informačnej bezpečnosti na Slovensku - Návrh úloh Akčného plánu na obdobie rokov 2009 až 2013. Tak sa do neho začítajme...

Písmo: A- | A+
Diskusia  (2)

Koho zaujímajú len navrhované aktivity, resp. nie je dostatočne otrlý pre čítanie 4-5 strán úvodných povinných tančekov, urobí najlepšie keď začne čítať od tretej kapitoly, resp. preskočí aj jej prvé dve podkapitoly a začne čítať od podkapitoly 3.3. Úlohy Akčného plánu sú zoskupené do 8 oblastí:

Prevencia a pripravenosť . Táto časť je silne orientovaná na celoeurópsku spoluprácu – okrem zabezpečenie pôsobnosti „vnútroštátnych a vládnych tímov CSIRT/CERT“ sa kladie dôraz na spoluprácu s Európskou agentúrou pre sieťovú a informačnú bezpečnosť (ENISA), spomína sa Európske verejno-súkromné partnerstvo pre odolnosť a založenie Fóra pre zdieľanie informácií medzi inštitúciami verejnej správy (neskôr medzi členskými štátmi). Nevyzerá to zle, akurát že som z textu nepochopil akým spôsobom má byť zabezpečená slovenská účasť na celoeurópskych aktivitách, resp. či sa zo slovenskej strany očakáva aj niečo viac ako pasívne preberanie informácií zo zahraničia.

Detekcia a reakcia . Uvádza sa „vytvorenie systému zdieľania informácií a varovania“ i „zefektívnenie riadenia informačnej bezpečnosti“, v obidvoch prípadoch v súvislosti so zabezpečením funkčnosti „špecializovanej jednotky pre riešenie počítačových incidentov CSIRT.SK“. Zaujímavé je, že na rozdiel od doterajších materiálov k tejto téme sa tu výslovne „predpokladá následné vytvorenie a vzájomné prepojenie ďalších jednotiek CSIRT/CERT“. Hmmm, pri čítaní toho som si spomenul na reakcie na nedávno ohlásený zámer Ministerstva vnútornej bezpečnosti USA zamestnať počas najbližších rokov 1000 odborníkov na (informačnú) bezpečnosť – tuším že najčastejšou reakciou boli pochybnosti, či vôbec existuje toľko kvalifikovaných špecialistov (a to sa autori reakcii vo svojich úvahách neobmedzovali len na územie USA)... Alebo žeby v tomto roku ohlásené vytvorenie CSIRT.SK vyvolalo taký príval záujemcov, že autori Akčného plánu neočakávajú problémy so získaním dostatočného počtu dostatočne kvalifikovaných špecialistov aj pre ďalšie podobné „jednotky CSIRT/CERT“ na Slovensku?

Zmierňovanie a obnova . Môžeme sa tešiť na to, že bližšie nemenované „rezortné inštitúcie“ vypracujú „vnútrorezortné plány riešenia núdzových udalostí“ a následne sa budú konať „pravidelné cvičenia reakcie pre prípad rozsiahlych sieťových bezpečnostných incidentov a obnovy funkcií po katastrofe“. Koordinácia „cvičenia a testovanie vnútroštátnych plánov riešenia núdzových udalostí“ má byť zverená „vnútroštátnym/vládnym tímom CSIRT/CERT“ – ostáva len dúfať, že výsledky takýchto aktivít nebudú utajené a tak sa dozvieme, ako na tom v tomto smere jednotlivé rezorty i zmienené „tímy CSIRT/CERT“ sú...

Medzirezortná a medzinárodná spolupráca . Ráta sa s tým, že Ministerstvo financií „rozprúdi celoštátnu rozpravu s cieľom vymedziť priority štátu pre dlhodobú odolnosť a stabilitu internetu a zaangažuje do nej všetky príslušné verejné a súkromné zainteresované strany“. Okrem toho sa vypracuje a schváli (kým???) prvý koncept „zásad a usmernení pre odolnosť a stabilitu internetu“ a tiež sa vybuduje „strategická spolupráca s tretím sektorom, najmä v oblasti dialógov o informačnej spoločnosti, ktorá bude slúžiť ako prostriedok na dosiahnutie globálneho konsenzu“. No a ešte nekonkrétne „zefektívnenie zapojenia sa do medzinárodnej spolupráce na základe analýzy potrieb a možností SR v oblasti IB pri ochrane NIKI“ – budem len rád, ak mi niekto vysvetlí, čo sa pod tým rozumie (vyčlenenie balíka peňazí na zahraničné cesty vybraných zástupcov sa mi zdá ako dosť slabé naplnenie pojmu „zefektívnenie zapojenia sa do medzinárodnej spolupráce“). Ale hlavne som zvedavý na tú „celoštátnu rozpravu“ a „dialógy o informačnej spoločnosti“, presnejšie akú formu „diskusie“ Ministerstvo financií zvolí. Dúfam, že to bude kvalitatívne odlišné od doterajších možností vyjadrovania sa k dokumentom informatizácie spoločnosti či informačnej bezpečnosti, ktoré sa dajú charakterizovať zhruba nasledovne – tu máte, čo sme pripravili, máte na to dva týždne, o zvolenej koncepcii (dokumentu, prístupu k problému) sa nediskutuje, môžete však individuálne navrhovať úpravu jednotlivých formulácií, to, čo navrhovali ostatní, sa dozviete príliš neskoro na to, aby vás prípadne inšpirovali či aby ste im nebodaj vyjadrili podporu ... a my sa potom rozhodneme, čo z toho vôbec akceptujeme. Aspoň moja predstava „rozpravy“ či „dialógu“ sa od toho dosť odlišuje.

Kritériá kritickej infraštruktúry v sektore IKT v SR . Cieľom má byť „vypracovanie kritérií na identifikáciu štátnych kritických infraštruktúr pre sektor IKT“ plus aplikácia vybraných opatrení pre zaistenie dostatočnej ochrany štátnej KII (tzv. kritická informačná infraštruktúra). Do spomenutých opatrení patrí zavedenie systému riadenia informačnej bezpečnosti do štátnych inštitúcií, zavádzanie a podpora používania „bezpečných IKT produktov a systémov“ či „stanovenie záväzných rámcových bezpečnostných podmienok a bezpečnostných štandardov pre systémy v pôsobnosti jednotlivých štátnych orgánov“.

Ochrana ľudských práv a slobôd . Pomerne logicky sa v tomto bode uvádza potreba „legislatívne upraviť (definovať) citlivú informáciu v pripravovanom zákone o informačnej bezpečnosti“. Oveľa zaujímavejšie sú však ďalšie dva body, predovšetkým autormi Akčného plánu deklarovaná potreba „preskúmať zákon o ochrane osobných údajov za účelom jeho prípadnej úpravy“. Keď uvážime faktické ignorovanie problematiky ochrany osobných údajov (súkromia) v doterajších „strategických“ dokumentoch o informačnej bezpečnosti v SR, takýto prudký obrat prekvapuje. Škoda len, že z textu nie je jasné, čo sa autorom Akčného plánu na aktuálnom znení zákona o ochrane osobných údajov nepozdáva, resp. ktoré ustanovenia ich doviedli k výroku o potrebe „preskúmania zákona ... za účelom jeho prípadnej úpravy“ (osobne si myslím, že v zákone je toho dosť na upravovanie, ale zaujímalo by ma, čo motivovalo autorov Akčného plánu k zaradeniu tohto bodu). A tiež, kto by podľa autorov Akčného plánu mal zákon preskúmať – žeby Úrad na ochranu osobných údajov? Ten, ktorý už tri roky pod rôznymi zámienkami úspešne odsúva plánovanú novelu zákona podľa pripomienok EK, ten by mal „preskúmať zákon ... za účelom jeho prípadnej úpravy“?

Budovanie povedomia a kompetentnosti v oblasti informačnej bezpečnosti . Táto téma sa má naplniť predovšetkým pilotným projektom vzdelávania a stanovením štandardov znalostí v informačnej bezpečnosti podľa skôr prijatého „Návrhu systému vzdelávania v oblasti informačnej bezpečnosti v SR“ (môj názor na tento dokument som už tu na blogu vyjadril ), ako aj zriadením „centrálneho prístupového bodu k normám a štandardom“. Okrem toho autori do tejto témy zaradili aj „analýzu kvalifikačných potrieb Slovenska v oblasti informačnej bezpečnosti“ (hmmm, ako som spomenul v jednom z mojich článkov, na Slovensku sa budúcnosť informačnej bezpečnosti projektuje na základe vo svete už zastaralých prístupov, tak som zvedavý na tie výsledky „analýzy kvalifikačných potrieb Slovenska“...). Proti zaradeniu „podpory výskumu a vývoja zameraného na perspektívne a aktuálne problémy informačnej bezpečnosti“ by sa v zásade nedalo namietať ... len som zvedavý aké „perspektívne a aktuálne problémy informačnej bezpečnosti“ zadefinuje skupina, ktorá doteraz pripravovala strategické dokumenty informačnej bezpečnosti na základe zastaralých prístupov a vcelku jednoznačne ignorovala aktuálne trendy v tejto disciplíne.

Vytváranie bezpečného prostredia . Až do prečítania obsahu tohto bodu som mal v pláne na záver článku pochváliť autorov Akčného plánu, že na rozdiel od predchádzajúcich materiálov sa tento dokument nepokúša dirigovať každého a všetko naokolo... žiaľ, v tomto bode to riadne „rozbalili“. Takže, okrem „koordinácie zabezpečenia NIKI (národnej informačnej a komunikačnej infraštruktúry) a zaistenia národnej bezpečnosti“ (aktivita, do ktorej sa vďaka voľnej formulácii zmestí čokoľvek, čo naplní ambície „dirigovať“ čo najviac subjektov) sa budú posudzovať súčasné kompetencie a stanovovať zodpovednosti a definovať povinnosti štátnych orgánov v oblasti informačnej bezpečnosti, vytvorí sa „jednotná metodika pre klasifikáciu informácie a informačných a komunikačných systémov“ (pozor – nikde nie je uvedené, že len pre štátnu správu!), či vypracujú sa základné bezpečnostné požiadavky na IKT („záväzné pre štátnu IKI“). Autori sem zaradili aj bližšie nešpecifikované „podporovanie bezpečnostných riešení aj pre malé firmy a jednotlivcov v záujme zvýšenia dostupnosti“ (priznám sa, že nerozumiem, čo tu chceli autori povedať ... ale ak mi štát mieni prispieť na zabezpečenie mojich notebookov či na granule pre mojich psov, rád pošlem číslo účtu :-). Priam ukážkovým príkladom nezáväzných fráz je posledný bod tejto aktivity, ktorý uvádzam v plnom znení – „zapájanie komerčnej sféry a odbornej verejnosti do spravovania, pripomienkovania koncepčných materiálov, noriem a štandardov; vytvorenie priestoru na výmenu poznatkov a skúseností“

Kým doteraz sa aktivity na zlepšenie stavu v oblasti informačnej bezpečnosti obmedzovali na tvorbu všakovakých dokumentov, Akčný plán naznačuje že by sa malo prejsť ku konkrétnejším aktivitám, čo by pre mnohých mohlo byť zaujímavejšie. Ale neľutujem, že som čítal Akčný plán až do poslednej strany ... pobavil som sa na ukážkovom príklade balastu použitého na nafúknutie rozsahu dokumentu, záverečnom skoro dvojstranovom Zozname použitých skratiek, ktorý obsahuje o.i. aj skratky, ktoré sa v dokumente nielen vôbec nevyskytujú, ale tam ani logicky nepatria – napríklad AFIS (Automatizovaný systém identifikácie odtlačkov prstov), CATS (výbor podľa článku 36), CBRN (Chemické, biologické, rádioaktívne, nukleárne látky (zbrane)), COTER (CFSP Pracovná skupina na terorizmus (CFSP Working Group on Terrorism)), CTTG (Protiteroristická akčná jednotka (Counter-Terrorism Task Force)) ... Bezmyšlienkovité používanie Copy/Paste, alebo presvedčenie autorov, že bez slov ako terorizmus by Akčný plán nebol dostatočne akčný? :-)

Jozef Vyskoč

Jozef Vyskoč

Bloger 
  • Počet článkov:  166
  •  | 
  • Páči sa:  1x

Živí sa poradenstvom v oblasti bezpečnosti informačných systémov. Pravidelný prispievateľ do patavedeckých seminárov v Bratislave. Zoznam autorových rubrík:  BezpečnosťOchrana súkromiaPatavedaVzdelávanie a výskumNezaradené

Prémioví blogeri

Milota Sidorová

Milota Sidorová

5 článkov
Yevhen Hessen

Yevhen Hessen

20 článkov
Martina Hilbertová

Martina Hilbertová

49 článkov
Post Bellum SK

Post Bellum SK

74 článkov
Matúš Sarvaš

Matúš Sarvaš

3 články
reklama
reklama
SkryťZatvoriť reklamu