Co zásadního nám přináší chystaná novelizace VoKB

Dostala se ke mně poslední verze novelizace VoKB po zapracování připomínek od dotčených subjektů.

Pojďme se společně podívat, co zásadního nám novelizace vyhlášky přináší. Došlo k většímu množství formálních úprav, pojmů a jejich definic, a změnám v přílohách.

Dokonce byly zapracovány i některé mé dřívější výhrady k analýze rizik. Celkově lze změny ve VoKB vnímat jako pozitivní až na pár požadavků, u kterých bych se rád pozastavil.

Tak např. pokud není možné zavést 2FA, tak dle § 19 odstavec 5, musí být nastavena taková politika hesel, která zajistí, že minimální délka hesla uživatele bude 14 znaků a administrátora a aplikací 17 znaků, přičemž toto heslo musí být změněno nejpozději po 18 měsících.

Dále musí být umožněno zadat heslo o délce alespoň 64 znaků, nesmí být omezováno použití malých a velkých písmen, číslic a speciálních znaků a zároveň nesmí být umožněno zvolit si nejčastěji používaná hesla, tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému atd.

Oproti minulé vyhlášce tak není požadováno, aby heslo obsahovalo velká a malá písmena čísla a speciální znaky. Pouze to musí být umožněno. NÚKIB argumentuje aktuálním standardem NIST SP 800-63B, který původní přístup k tvorbě hesel a jejich komplexitě popírá.

NIST skutečně doporučuje 2FA a passphrase, nicméně i zde je třeba si uvědomit, že aby passphrase byla skutečně bezpečná, tak je nutné dodržovat určitá doporučení podobně jako u tvorby hesel.

Otázka však je, zda je nutné klást rozdílné požadavky na uživatele a administrátory, protože jestli mám denně zadávat passphrase o délce 14 nebo 17 znaků, tak to už je stejně prašť jako uhoď. Nehledě na to, že lepší by bylo nastavit minimální délku na 15 znaků. Proč, uvádím zde.

A byť není komplexita vyžadována, tak stejně musím kontrolovat, zda nejsou použity nejčastěji používaná hesla, opakující se znaky, přihlašovací jména, e-mail, název systému apod., což může být v některých případech problém.

Dle § 21 odstavec 1 písmena a) je s ohledem na důležitost aktiv nutné zajistit použití nástroje pro nepřetržitou automatickou ochranu před škodlivým kódem a to i na mobilních zařízeních.

V zásadě tedy z tohoto požadavku vyhlášky, a stanoviska NÚKIB  vyplývá, že např. v okamžiku, kdy z tabletu nebo smartphone probíhá správa dotčeného systému nebo infrastruktury, a potažmo se na něm třeba generuje i OTP používané v rámci 2FA pro přístup k dotčenému systému a infrastruktuře, tak by se na něm měla nacházet ochrana před škodlivým kódem.

Dle § 23 odstavec 2 písmeno b) by se pak měly na výše uvedených mobilních zařízeních detekovat i kybernetické bezpečnostní události a podle § 24 by se pak měl provádět i sběr a vyhodnocování těchto událostí. Což by mohl být problém. Ale možná že je tento výklad už příliš extenzivní.



Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Google+
Google+
Email this to someone
email
Print this page
Print

Štítky:


K článku “Co zásadního nám přináší chystaná novelizace VoKB” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: