Vysvetlenie k zaraďovanou služieb do jednotlivých kategórii.

Vysvetlenie k zaraďovanou služieb do jednotlivých kategórii

Vzhľadom na skutočnosť, že momentálne nie je vydaná smernica o kategorizácii a dát a informácií v ISVS, pripravili sme pre Vás jednoduchý návod ako si kategorizovať svoju službu pri žiadosti o akreditáciu. Cloudovú službu zaraďte do niektorej z nasledovných kategórií:

U1: Open Data – dáta, ktoré sú verejne dostupné a použiteľné. V prípade poskytovania infraštruktúry na vývoj IS sa dáta považujú za open data. Pre zaradenie ponúkanej cloudovej služby do kategórie U1 je určený postup formou samohodnotenia poskytovateľom cloudovej služby.

U2: Regulované dáta – dáta potrebné pre fungovanie IS VS a nespadajú do žiadnej z regulácií ( Neštruktúrované informácie potrebné k vyriešeniu životnej situácie občana, Štruktúrované informácie potrebné k vyriešeniu životnej situácie občana). Pre zaradenie ponúkanej cloudovej služby do kategórie U2 je určený postup posúdenia a ohodnotenia ponúkanej cloudovej služby hodnotiteľom.

U3: Dôverné (klasifikované) dáta – dáta, nakladenie s ktorými je upravené osobitnou právnou normou napr. Dáta v zmysle zákona č. 215/2004 Z.z. o ochrane utajovaných skutočností, Konštrukčné údaje, Ekonomické údaje, Štatistické údaje, Oficiálne registre, Geo informácie, Backoffice údaje pracovníkov VS (emaily, osobné a mzdové údaje, …) a pod. Pre zaradenie ponúkanej cloudovej služby do kategórie U3 je určený postup posúdenia a ohodnotenia ponúkanej cloudovej služby minimálne 2 hodnotiteľmi nezávisle.

Požiadavky na bezpečnostnú úroveň sú uvedené v nasledujúcej tabuľke.

Všeobecné vyjadrenie bezpečnostnej úrovne informácie má tvar  C (1, 2, 3), I (1, 2, 3), A (1, 2, 3).

Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 3+
Bez nutnosti kryptovania tenantu Kryptovanie tenantu
Sec 1
Kryptovanie tenantu
Sec 2

Kryptovanie dát tenanta  

Sec 1 / Sec 2 

Umiestnenie v Privátnej časti VC 

 

Pri bezpečnostných úrovniach vyšších ako U1, teda uroveň U2 a U3 sa vyžaduje kryprovanie tenant užívateľa takto:

Kryptovanie   Sec 1

  • tenant zákazníka je zakryptovaný privátnymi kľúčmi zákazníka uloženými v keyvault – HSM, ktorý je umiestnený
    u prevádzkovateľa cloudových služieb.

Kryptovanie   Sec 2 

  • tenant zákazníka je zakryptovaný privátnymi kľúčmi zákazníka uloženými v keyvault – HSM, ktorý je umiestnený
    u zákazníka.

Čo patrí do verejnej a čo do privátnej časti vládneho cloudu 

Pri rozhodovaní, kde sa má prevádzkovať ISVS je potrebné vychádzať z metodiky pre akreditáciu cloudových služieb a z ohodnotenia/klasifikácie konkrétneho ISVS parametrami C-dôvernosť, I-integrita. A-dostupnosť. 

Parametre ISVS, ktorý má byť prevádzkovaný z privátneho cloudu: 

  1. ISVS ktorých parametre sú C3, I3, A3 a vyžadujú klasifikáciu cloudových služieb na úrovni U3+ 
    teda zákonom definované umiestnenie v privátnej časti VC,
    alebo ktorých údaje musia byť umiestnené a spracovávané na území SR,
     
  2. ISVS, ktoré sú prvkami kritickej infraštruktúry alebo jej časti,
    s klasifikáciou C3, I3, A3 
    a vyžadujúce klasifikáciu cloudových služieb na úrovni U3

Ostatné ISVS môžu byť prevádzkované využitím služieb verejných cloudov,
ktorých parametre CIA sú rovnaké alebo väčšie ako požadované parametre CIA konkrétneho ISVS.

Obrázok: Grafické zobrazenie možného umiestnenie ISVS 

A. ISVS  s požiadavkou na U3+ / C3, I3, A3 
príklad:  

  • ISVS, ktorá tvoria základné registre štátu ako – Register právnických osôb, register fyzických osôb, atď. 
  • ISVS, ktoré sú prvkami kritickej infraštruktúry alebo jej časti, s klasifikáciou C3, I3, A3 a vyžadujúce klasifikáciu cloudových služieb na úrovni U3

B. ISVS,  ktoré môžu byť v oboch verziách cloudov (A,C) U2-3 / C1-3, I1-3, A1-3 , preferujeme verejný cloud 
príklad:  

  • štátne web stránky, portálové riešenia úradov, ISVS agendové, ISVS výkon verejnej moci, atď. 

C. ISVS  s požiadavkou na U1-3 / C0-3, I0-3, A0-3
príklad:  

  • open data projekty, informačné portálové riešenia, rôzne ISVS zabezpečujúce dennú agendu úradov, atď. 

Využívanie cloudových služieb teda aj umiestnenie ISVS sa však v každom prípade musí riadiť podľa klasifikácie Ux{CxIxAx} umiestňovaného ISVS a podľa úrovne použitých cloudových služieb Uy{ CyIyAy} tak aby platilo že X<= Y. 

 

MIRRI bude iniciovať vytvorenie zoznamu ISVS za pomoci CSIRTu/NBÚ , ktoré je možné prevádzkovať len z privátnej časti Vládneho cloudu (U3+).  

Navrhované ISVS, ktoré by mali byť v privátnej časti VC: 

  • ISVS, ktorá tvoria základné registre štátu ako – Register právnických osôb, register fyzických osôb, atď. 
  • ISVS, ktoré sú prvkami kritickej infraštruktúry alebo jej časti, tomu zodpovedá klasifikácia C3, I3, A3 a vyžadujú klasifikáciu cloudových služieb na úrovni U3 
  • Prípadne iné podľa rozhodnutia NBÚ 

Všetky ostatné majú byť umiestnené vo verejnej časti VC s využitím cloudových služieb podľa ich klasifikácie Ux{ CxIxAx} umiestňovaného ISVS a podľa úrovne použitých cloudových služieb Uy{ CyIyAy} tak aby platilo že X<= Y. 

MIRRI/CSIRT budú overovať správnu klasifikáciu ISVS, aby sa predišlo nesprávnym klasifikáciám zo strany OVM.