Wytyczne

Opublikowane przez MAC i CERT wytyczne "w zakresie ochrony portali".

Czytając opublikowane przez MAC i CERT wytyczne w zakresie ochrony portali) mam w głowie mętlik. Od 2010 roku MSWiA "pracuje" nad rządowym programem ochrony cyberprzestrzeni. Od 2007 roku - nad Krajowymi Ramami Interoperacyjności, które też poruszały kwestie bezpieczeństwa teleinformatycznego.

O co tu chodzi? Od kilku lat dwa duże i dość solidne projekty dotyczące bezpieczeństwa teleinformatycznego administracji leżą rozgrzebane i nikomu jak widać specjalnie nie zależy na ich ożywieniu (może się mylę? chciałbym). Dochodzi do włamań (admin1). Więc w trybie ekspresowym MAC i CERT publikują zbiór dość przypadkowych zaleceń, które mają... no właśnie - co? Zastąpić RPOC czy KRI? Jaka jest w ogóle relacja między tymi dokumentami?

Zalecenia są słuszne ale, delikatnie mówiąc, napisane na kolanie i ich przydatność dla szeregowego administratora w powiatowym urzędzie pracy będzie bliska zeru. Są one sformułowane ogólnikowo i niezwiązane z niczym. Każdy z punktów powinien przecież wynikać z jakiejś ogólnokrajowej polityki bezpieczeństwa teleinformatycznego. Każdemu punktowi powinien towarzyszyć link do strony CERT lub MAC zawierającej przykłady jak to zrobić poprawnie. Na przykład - szablon umowy na świadczenie usług hostingowych na rzecz urzędu.

Wytyczne plączą niskopoziomowe zalecenia techniczne (dla administratorów) z zaleceniami dla ludzi od zamówień publicznych (umowy z ISP). Te ostatnie to przecież obecnie cała oddzielna nauka (business continuity planning). Innymi słowy, jeśli ktoś nie ma certyfikatu CISSP lub podobnego to się w tych wszystkich zaleceniach nie połapie. A jak ma to mu są niepotrzebne.

No i jeszcze detal techniczny - piszę powyżej o "linkach do stron CERT". Ale jakie linki skoro wytyczne dotyczące internetowych portali informacyjnych są opublikowane w postaci krzywo zeskanowanej kartki papieru? Jeśli minister cyfryzacji i zespół reagowania na incydenty komputerowe nie potrafią opublikować prostego dokumentu w postaci strony HTML lub tekstowego PDF to jak można oczekiwać, że ktokolwiek potraktuje poważnie zalecenia dotyczące haseł czy tuneli VPN?

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200