"Landsarkitektúr upplýsingaöryggis"

[rapport]

https://samradsgatt.island.is/oll-mal/$ ... s/?id=2817

Þarna er verið að leggja línurnar fyrir UT geirann á Íslandi.

Um að gera að sem flestir rýni og geri athugasemdir.

[netkaffi]

Takk.

[natti]

Afritað úr hinum þræðinum....

En nú er tækifæri á að kommenta - https://samradsgatt.island.is/oll-mal/$ ... s/?id=2817
Þetta mun líklega eiga við alla aðila sem NIS.is nær til

Las í gegnum þegar þú póstaðir þræðinum þarna um daginn um þetta.
Það eru of mörg atriði til að setja út á í þessu skjali til að maður nenni að byrja.
Og ef því er tvinnað að skjalið er bara "leiðarvísir" til að samræma vinnubrögð opinberra stofnanna, s.s. ekki lög, reglurgerð eða neitt sem skuldbindur stofnanir til að fara eftir þessu, þá spyr maður sig hvort það sé þess virði að kommenta á þessu stigi.
(Skjalið inniheldur t.a.m. nokkur atriði sem hægt er að fullyrða að ekki verði farið eftir, enda ber skjalið augljós ummerki væntinga ytri ráðgjafans sem kom þarna að. S.s. atriði sem líta vel út á blaði en ekki í raunveruleikanum.)

S.s. pointið mitt er:

• Þetta er leiðarvísir til að opinberar stofnanir geti samræmt vinnubrögð. Hefur takmörkuð áhrif, ef einhver, á UT geirann almennt.
• Ekki lög, reglugerð, eða neitt skuldbindandi. (Ríkisstjórnin hefur sett fram stefnu í UT áður, get ekki sagt að áhrifin hafi verið mælanleg.)
• suggestive/required orðalag á víxl (æskilegt, skal). Sumt sett fram sem fullyrðing sem ætti að fara eftir.
• Skjalið talar um "ásættanlegar gráður" fyrir upplýsingaöryggisstjóra. Gott er að leggja til að öryggisstjórar séu með einhversnsskonar formlega viðurkenningu á þekkingu. En mig grunar að ytri ráðgjafinn hafi fengið aðeins of mikið vægi hérna fyrir sína skoðun. Jafnvel þó að þetta þekkist meira út í hinum stóra heimi, þá er þetta verulega umdeild nálgun.
• Leiðarvísir ætti ekki að fara of detailed inn í tæknileg atriði. Og alls ekki með "required" (skal) orðalagi. Þetta ber aðeins of mikinn keim af þeim sem hafa atvinnu af því að búa til "öryggisreglur" án þess að hugsa nokkurntímann út í praktísku atriðin. En um leið og reglur eru settar fram með þeim hætti að það er gert ráð fyrir að ekki sé farið eftir þeim í einu og öllu er auðvelt að gera ráð fyrir að ekki þurfi að fara eftir neinu.
  Enda þarf ekki annað en að sjá mismunandi innleiðignar á ISO27001/27002 (BS7799) til samanburðar þar sem mjög auðvelt er að búa til stóra gjá milli þeirra sem vinna við kerfin og þeirra sem halda utanum "reglurnar".
• Að mörgu leiti er þetta líkt og ISO27001, að stofnanir þurfa að setja sér reglur, en það þarf að passa sig á að setja þetta ekki fram með þeim hætti að búið sé að skilgreina reglur sem ekki er hægt að fara eftir. Og að orðalag sé á þann hátt að reynt sé að gera hlutina eftir bestu getu en ekki eins og of formfast atriði.
• Dæmi...
  
  1. "Opinberir aðilar bera ábyrgð á að settar séu inn mikilvægar (e. critical) öryggisuppfærslur án ónauðsynlegra tafa eftir að þær hafa verið gefnar út af framleiðendum en þó eigi síðar en sjö dögum eftir útgáfu þeirra" <<- ég skil hugmyndina, en verulega vanhugsað og ill-framkvæmanlegt. Ekki tekið tillit til áhættumats.
  2. "Aðrar öryggisuppfærslur skulu settar upp innan 90 daga frá því að þær eru gefnar út." <<- aftur, iso27001 nálgun. "Skulu" á alls ekki að vera hérna. Þetta getur verið almennt viðmið, en mun ekki nást í fjölda tilfella. Þýðir það þá að reglan sé brotin? Eða bara orðið ásættanlegt að segja að þetta sé bara regla sem er ekki farið eftir.
  3. "Óheimilt er að nota hugbúnað eða stýrikerfi sem framleiðandi er hættur að styðja með öryggisuppfærslum". Óheimilt? Óskhyggja ráðgjafans. Eða eigum við bara að loka Landspítalanum? Og flestum opinberum stofnunum líka? Þetta má klárlega vera stefna, en í staðinn fyrir að afskrifa með "óheimilt" hvernig væri þá að tækla umgjörð þeirra kerfa sem falla undir þessa skilgreiningu en þurfa engu að síður að keyra áfram.
  4. "Mikilvægt er að fylgjast með tilkynntum atvikum í tölvuinnbrotsvöktunarkerfinu að lágmarki einu sinni á dag." <- Ok það sem ég sé jákvætt við þessa setningu er að, eftir að þetta hefur verið samþykkt þá geta forsvarsmenn(ogkonur) UT deilda beðið um aukið fjármagn til að sinna þessu. (Og svo fengið neitun, en það er annar handleggur.)
  5. "Mikilvægt er að nota aðeins þær skýjaþjónustur sem Ríkiskaup hefur samþykkt." <- ég er ekki viss um að höfundar hafi áttað sig á hvað þessi setning getur þýtt.

Ég tel að til að komast að góðri niðurstöðu þyrfti að skrefa stóran hluta upp á nýtt.
Skjalið finnst mér að mörgu leiti vera á því stigi að það grípur almennt hvaða hugmyndir eða væntingar hópurinn vill ná fram, en einhver sem hefur reynslu af því að skrifa t.d. lög og reglugerðir, ætti að endurskrifa skjalið.
En af því að þetta er ekki bindandi, af því að þetta er bara tillaga til stefnumótunar, þá er kannski bara alveg eins hægt fínt að láta þetta fara óbreytt í gegn, og svo koma kannski fullt af tillögum/athugasemdum þegar stofnanir fara að rýna þetta til að vinna eftir þessu, og næsta útgáfa yrði betri.
Áhyggjurnar mínar hinsvegar, eru að skjalið hafi of marga galla þannig að það endi bara ofan í skúffu og við heyrum aldrei af því aftur.

[raggos]

Mjög flottir punktar hjá þér natti.
100% sammála þér og ég hjó sérstaklega eftir þessum kröfum um ásættanlega menntun bæði upplýsingaöryggisstjóra og kerfisstjóra. Einnig fannst mér undarleg notkun á skipandi orðum eins og skulu í leiðbeinandi skjali.

Mér þótti enn frekar í mörgum tilfellum verið að endurtaka næstum bara 27001 staðalinn og því í raun einfaldast að benda bara á hann og ætlast til þess að honum sé fylgt því þar er t.d. gefið tækifæri á að beita áhættumati gagnvart kerfum sem þurfa að vera áfram í rekstri þó svo að öryggisuppfærslur séu hættar að berast.

Þessi vísun í að Ríkiskaup fái að ráða skýjaþjónustukaupum er líka ansi svakaleg. Ansi hræddur um að það þurfi að skilyrða þetta við vissar gerðir gagna eða að innkaupin þurfi að fara yfir vissar fjárhæðir til að þetta geti staðið óbreytt.

[rapport]

S.s. pointið mitt er:
.

Ég er innilega sammála, minn vinnustaður (opinber) mun skila inn umsögn sem fer yfir flesta þessa punkta sem þú minnist á.

En þetta hefur bein áhrif á UT geirann í landinu og getur settl íþyngjandi kröfur á birgjasamskipti/viðskiptasömbönd við einyrkja og smærri fyrirtæki.

Mér finnst það góða í þessu að öll starfsemi fari undir scope stjórnkerfis fyrir upplýsingaöryggi, það gerir öryggisstjóran "mannlegri" s.s. HR tengdari, í dag eru öryggisstjórarnir oft nær eingöngu fyrir UT starfsfólkið en í raun er það röng nálgun, ef einhverjir aðilar gerta haldið aga og vilja styðjast við og viðhalda skráðu verklagi þá er það oftar en ekki UT fólkið.

En um leið og öryggisstjórinn á að fara nálgast fleira fólk, þá er um leið farið að gera allt of stífar kröfur til formlegrar menntunar.

Það ætti að skipta upp "tæknilegum öryggisútfærslum a.k.a. tæknilegur öryggisstjóri" og "Að reka stjórnkerfi fyrir upplýsingaöryggi a.k.a. gæða- og öryggisstjóri"

Annar fer yfir tæknilegar útfærslur og horfir inn í kerfin og þjónustunar en hinn skoðar þjónustur, egnir, ferla og verklag og sér stóra samhengið.

Sbr. micro- og macroeconomics "Rekstrarhagfræði og Þjóðhagfræði" og þá þarf "micro- og macro information security management."


EN

Þetta skjal er bara eitt af átta skjölum sem ráðuneytið ætlar að gefa út um þennan "Landarkitektúr" þetta skjal á bara að vera "kafli 4" ef ég man rétt.


Takk fyrir svarið, mig dauðlangaði að fá að heyra skoðanir annarra áður en ég færi að blasta :-)

[Hjaltiatla]

Áhugavert, verður eflaust erfitt að hemja opinbera starfsmenn að nota ekki facebook fyrir samskipti eða Zoom fyrir fjarfundina.
Gangi ykkur vel