Interpelacja w sprawie zabezpieczeń stron internetowych urzędów
W dziale interpelacje warto odnotować Interpelację nr 14230 w sprawie zabezpieczeń stron internetowych urzędów, którą w lutym złożył poseł Sławomir Rybicki, a skierował ją do ministra spraw wewnętrznych i administracji. Odpowiedzi udzielił Witold Drożdż, niedawny podsekretarz stanu w Ministerstwie Spraw Wewnętrznych i Administracji. Składający interpelację poseł cytuje raport ABW, która przeprowadziła kontrolę zabezpieczeń portali. Pisałem o tym w tekście Czy sprawdzając dziury CERT sprawdza też legalność witryn rządowych? Odpowiadający na interpelację minister również cytuje ten sam raport... Co wynika z odpowiedzi? Że trzeba monitorować...
"Szanowny Panie Ministrze! Agencja Bezpieczeństwa Wewnętrznego przeprowadziła ostatnio kontrolę zabezpieczeń portali internetowych urzędów. Z wyników tej kontroli można się dowiedzieć, że wiele stron jest niewłaściwie zabezpieczonych. Istnieje wiele niezałatanych dziur, które umożliwiają atak. Można tylko zgadywać, co jest przyczyną takiego stanu rzeczy. Może to być brak wyszkolenia administratorów stron, ignorancja lub, co gorsze, nieświadomość istniejącego zagrożenia wynikająca z niewiedzy. Obecnie wdrażane są liczne projekty mające ułatwić obywatelom kontakt z urzędem, między innymi z wykorzystaniem tzw. e-urzędów. Należy w tym momencie postawić pytanie, czy i w tych serwisach są błędy umożliwiające przejęcie nad nimi kontroli i uzyskanie danych. Nie mówimy tu o lukach typu zero-day, ale o błędach znanych, takich, które już dawno zostały załatane przez producentów oprogramowania. Taka sytuacji nie powinna mieć miejsca. Wyciek danych z tego typu portali podważy zaufanie obywateli do idei e-urzędów. Może właściwe byłoby obligatoryjne zatrudnianie w urzędach wyposażonych w cyfrowe centra kontaktu z obywatelem osób odpowiedzialnych tylko i wyłącznie za bezpieczeństwo serwerów i danych? Może warto byłoby stworzyć wewnętrzny system certyfikacji pracowników działów IT, tak aby mieć pewność, że osoba, która jest odpowiedzialna za stronę cyfrową urzędu, posiada niezbędną wiedzę i umiejętności? W chwili obecnej na stanowisku informatyka może pracować w zasadzie każdy. Istnieje bardzo duża dowolność w zatrudnianiu takich osób. Może warto ustawowo zaostrzyć wymagania wobec osób zatrudnionych na stanowisku informatyka?
Z poważaniem
Poseł Sławomir Rybicki
Warszawa, dnia 25 stycznia 2010 r. "
Odpowiedź na interpelację nr 14230 (PDF):
"Panie Marszałku! W nawiązaniu do pisma z dnia 8 lutego 2010 r. (sygn. SPS-023-14230/10) przekazującego interpelację posła na Sejm RP pana Sławomira Rybickiego z dnia 25 stycznia 2010 r. w sprawie zabezpieczeń stron internetowych urzędów uprzejmie przedstawiam następujące informacje.
Dostrzegając niedoskonałości stosowanych zabezpieczeń stron internetowych (serwisów) w urzędach oraz mając na uwadze konsekwencje z nich wynikające, należy zauważyć, że nie istnieją w praktyce systemy zapewniające stuprocentową ochronę. Rozważając przedmiotową kwestię, warto zwrócić uwagę na związany z tym aspekt techniczny oraz nie mniej ważny czynnik ludzki. W odniesieniu do aspektu technicznego istotny jest odpowiedni dobór dostawców takich usług, którymi muszą być specjaliści w swojej dziedzinie, dający wsparcie w okresie użytkowania strony internetowej, co przekłada się na poczucie bezpieczeństwa i pewności stałego dostępu do tej strony. Ponadto istotne jest częste wykonywanie kopii zapasowych danych przechowywanych na serwerach, jak również stworzenie odpowiednich procedur dostępu do tych kopii ze strony danego urzędu. Do bezpiecznego funkcjonowania strony internetowej konieczne są również: stały jej monitoring, śledzenie „ruchu” i aktywności przy użyciu narzędzi dostępnych administratorowi, systematyczne analizowanie publikowanych biuletynów bezpieczeństwa, wykonywanie w odpowiednim czasie (bezzwłocznie, o ile to możliwe) aktualizacji oprogramowania systemowego i aplikacyjnego oraz szybka reakcja ze strony administratora w przypadku wykrycia potencjalnego zagrożenia lub cyberataku. Potwierdza to „Raport kwartalny CERT.GOV.PL październik–grudzień 2009 r.”, wskazując, iż podatności krytyczne najczęściej znajdują się w warstwie usługowej systemu, a największe zagrożenie dla bezpieczeństwa stanowią błędy w aplikacjach, które bardzo często nie są budowane, konfigurowane i utrzymywane przez lokalnych administratorów w instytucjach. Raport ten zwraca ponadto uwagę na fakt, że „istotnym problemem jest również wykorzystywanie w serwerach produkcyjnych nieaktualnych wersji oprogramowania”.
Z powyższego wynika, iż ogromną rolę w zapewnieniu bezpieczeństwa stron internetowych (serwisów) odgrywają osoby administrujące nimi. Bez wątpienia powinny być to osoby nie tylko o dużych umiejętnościach merytorycznych w zakresie m.in. formatowania wkładanych artykułów, umieszczanych plików, ale przede wszystkim posiadające wiedzę i doświadczenie z zakresu bezpieczeństwa systemów teleinformatycznych. Ważne jest również, aby kierownictwo podmiotu publicznego zdawało sobie sprawę z wagi ochrony informacji, a osoby bezpośrednio odpowiedzialne w podmiocie publicznym za zapewnienie takiej ochrony miały wiedzę dotyczącą wymagań dla systemu zarządzania bezpieczeństwem informacji, określoną w normie PN 1SO/IEC 27001 (należy jednak mieć na uwadze, że norma ta nie może być traktowana de iure jako norma obligatoryjna).
Warto przy tym wskazać, iż osoba ubiegająca się o stanowisko informatyka w służbie cywilnej musi spełniać warunki określone w rozporządzeniu prezesa Rady Ministrów z dnia 9 grudnia 2009 r. w sprawie określenia stanowisk urzędniczych, wymaganych kwalifikacji zawodowych, stopni służbowych urzędników służby cywilnej, mnożników do ustalania wynagrodzenia oraz szczegółowych zasad ustalania i wypłacania innych świadczeń przysługujących członkom korpusu służby cywilnej (Dz. U. Nr 211, poz. 1630) oraz wymagania zawarte w opisie stanowiska sporządzanym dla każdego stanowiska w służbie cywilnej. Zgodnie z § 1 ust. 2 zarządzenia nr 81 prezesa Rady Ministrów z dnia 1 sierpnia 2007 r. w sprawie zasad dokonywania opisów i wartościowania stanowisk pracy w służbie cywilnej (M.P. Nr 48, poz. 566) w opisie stanowiska pracy wskazuje się realizowane zadania, wymagane kompetencje, kwalifikacje i zakres odpowiedzialności ze względu na umiejscowienie i funkcję stanowiska pracy w strukturze urzędu. Nie jest zatem możliwe zatrudnienie na stanowisku związanym z wykonywaniem zadań w dziedzinie informatyki osoby, która nie posiada odpowiednich w tym zakresie kwalifikacji.
Pragnę jednocześnie podkreślić, że Ministerstwo Spraw Wewnętrznych i Administracji w trosce o zapewnienie wysokich standardów w zakresie bezpieczeństwa teleinformatycznego stale dąży do podwyższania poziomu zabezpieczeń swojego serwisu internetowego. W strukturze ministerstwa została utworzona komórka organizacyjna, do zakresu działania której należy organizacja i koordynacja zadań w zakresie bezpieczeństwa teleinformatycznego i ochrony danych przekazywanych w sieciach i systemach teleinformatycznych ministerstwa, w tym ochrony krytycznej infrastruktury teleinformatycznej. Natomiast od osób ubiegających się o zatrudnienie na stanowiskach związanych z bezpieczeństwem teleinformatycznym wymagane jest, jako obowiązkowe, wykształcenie profilowane oraz znajomość zagadnień z zakresu bezpieczeństwa teleinformatycznego, technologii zabezpieczeń i działania systemów teleinformatycznych.
Mając powyższe na uwadze, stwierdzić należy, iż stały monitoring i analiza bezpieczeństwa systemu przez wysoko wykwalifikowane osoby, posiadające wiedzę i doświadczenie w zakresie szeroko rozumianego bezpieczeństwa teleinformatycznego, minimalizują ryzyka związane z atakiem na serwis internetowy jako jeden z wielu elektronicznych środków komunikacji między urzędem i obywatelem, zwiększając przy tym bezpieczeństwo jego użytkowników.
Z poważaniem
Witold Drożdż - podsekretarz stanu w Ministerstwie Spraw Wewnętrznych i Administracji"
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
1000 etatow w 1000-cu powiatów
I na co to wszystko...
Skoro cały kraj mamy taki sam, wszystkie gminy, miasta, powiaty - działają w oparciu o te same przepisy (choćby o bip), mają podobne e-urzędy i podobne swoje strony www (co do zawartości merytorycznej) - to PO CO mnożyć infrastrukturę, etaty, platformy, KOSZTY!, kontrole, audyty, zamówienia...
Jedna centralna serwerownia, jeden system zarządzania treścią, jedna grupa fachowców, jeden system publikacji treści, jeden dział bezpieczeństwa, który jednym ruchem łata wszystkie możliwe portale wszystkich gmin, wiosek, miast i województw (bo realnie są obsługiwane jednym systemem)...
Centralne zarządzanie infrastrukturą, a tylko lokalne - zgodnie z przyznanymi uprawieniami - karmienie systemu w treść. Przecież mineły już czasy gdy np każdy blogger musiał mieć swój serwer pod swoim biurkiem na swoim łączu na swoim wyskrobanym po nocach skrypcie, i samodzielnie go administrować. Skoro np takie alledrogo potrafi mieć za jednym zamachem jedną obsługę dla serwisów na X krajów?
Nadmierna centralizacja nie zawsze jest dobrym pomysłem
Nadmierna centralizacja może sprawić, że łatwiej będzie rozłożyć cały system. Internetu nie da się zepsuć tylko dla tego, że usługi w nim są rozproszone.
Infrastruktura powinna być scentralizowana tylko częściowo:
Większa centralizacja to przede wszystkim niższe koszty i wyższa jakość ale też większe ryzyko awarii całego systemu i uzależnienia się od konkretnego dostawcy oraz brak interoperacyjności.
Jej skala powinna zależeć od istotności danej usługi.
Np. idealnym kandydatem na centralizację i outsourcing są własne strony urzędów nie będące BIPami (o ile w ogóle są nam naprawdę potrzebne przy sensownie prowadzonym BIPie.)
Centralizacja a interoperacyjność
Brak jest związku pomiędzy centralizacją a interoperacyjnością. System scentralizowany może być interoperacyjny, jeśli zamawiający zamówi sobie odpowiednie API. System zdecentralizowany może być interoperacyjnym koszmarem jeśli setka zamawiających nie zamówi sobie żadnych API lub każdy zamówi inne.
Brak jest również związku pomiędzy centralizacją i dostępnością. Dostępność serwisu to kwestia techniczna, a centralizacja, o której tu mówimy - organizacyjna. System scentralizowany rzecz jasna może mieć problemy z dostępnością, tak jak ZUS z udostępnianiem Płatnika ale jedynie świadczy o ZUS.
Jedyne potencjalne zagrożenie dla dostępności centralnego BIP jest takie, że jakiekolwiek dokumenty przestaną być publikowane gdy urzędy zaczną do centralnego BIP przekazywać swoje ukochane papierowe wydruki technikami znanymi z czasów Księstwa Warszawskiego.
--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
Oczywiście, że
Oczywiście, że scentralizowany system może być interoperacyjny.
Jednak rozproszenie systemów oraz dywersyfikacja ich dostawców, z jednoczesnym wymogiem ich współpracy tworzy klimat dla budowy otwartych standardów komunikacji o odpowiedniej jakości.
W przypadku pojedynczego systemu utworzenie API zależy od dobrej woli zamawiającego (lub legislatora.)
Z drugiej strony, gdy mamy kilku konkurujących dostawców, API nie tylko jest konieczne ale dodatkowo w ich interesie jest by było praktyczne. Dodatkowo zwykle mają oni większą wiedzę i praktykę w tym zakresie.
Fallback
Otwartym standardem w takim przypadku stanie się zadrukowana kartka, wysłana tradycyjną pocztą lub wskanowana i wysłana e-mailem jako obraz. Ten system działał dotychczas, większość użytkowników ma z nim doświadczenie. W przypadku problemów z przekazywaniem dokumentów pomiędzy systemami informatycznymi różnych urzędów jest naturalną techniką, do której w każdej chwili można się cofnąć.
Wady scentralizowanego BIP
Koncepcja scentralizowanego BIP jest kusząca i sprawia wrażenie racjonalnej, ale to tylko pozory. Posiada ona krytyczne wady, które dyskwalifikują ją z zastosowań w naszej administracji publicznej:
1) Nie da się po cichu zniknąć wcześniej opublikowanego dokumentu ani podmienić go na inną wersję by utrudnić szkalowanie dobrego imienia urzędników przez punktowanie rzekomych błędów lub naruszeń prawa w dokumentach urzędowych, które były przecież tylko drobnymi i niezamierzonymi pomyłkami.
2) Nie da się precyzyjnie sterować czasem dostępności dokumentu na stronie - np. od w piątek 6am do 3pm albo pod nieopublikowanym nigdzie linkiem, co jest niezbędne przy niektórych przetargach by zapewnić ograniczoną dostępność określonych dokumentów dla obejścia nieżyciowych przepisów o zamówieniach publicznych przy równoczesnym jednak zachowaniu warunków formalnych.
3) Redystrybucja środków budżetowych w postaci kosztów utrzymania BIP jest nieuczciwa, bo scentralizowana i wspiera wyłącznie jeden podmiot, zamiast setek drobnych przedsiębiorstw. W ten sposób decydentów pozbawia się istotnego środka nawiązywania korzystnych, osobistych relacji z przedstawicielami lokalnej społeczności.
--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
I tu się nie zgodzę
I tu się nie zgodzę
Przetarg publikowany jest także w Biuletynie Zamówień Publicznych i musi być on tak opublikowany. Więc każdy ma dostęp do informacji zawartych w przetargu. Jeśli zauważy jakieś braki w dokumentacji piszę pismo do urzędu z zapytaniem i urząd musi udzielić odpowiedź. Więc za bardzo ukrywanie przetargów, czy dokumentów jest za bardzo niemożliwe.
Przetargi
Przetargi być może - a odpowiedzi na pytania i inne dokumenty uzupełniające? Akurat ten punkt wziąłem bezpośrednio z gorzkiego komentarza kolegi, który dokładnie w ten sposób został wykluczony z przetargu, do którego zgłosił się wbrew intencjom zamawiającego. Dokument został opublikowany w piątek o 6 rano a termin czegoś, do czego był on niezbędny mijał o 3 po południu tego samego dnia.
BTW jak już jesteśmy przy przetargach, to podziękujmy ustawodawcy za kolejny przykład sprawnej pracy legislacyjnej prowadzącej do racjonalnego wydatkowania pieniędzy publicznych i terminowego ogłaszania przetargów :-Q
--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
Trochę o cenie bezpieczeństwa
Abstrahując od tego co Pan napisał w kontekście administracji serwisem czy innych elementów związanych z zarządzaniem chciałbym skomentować częste przekonanie że centralizacja podnosi poziom bezpieczeństwa. Otóż jest to nieprawda.
Załóżmy, że koszt włamania na i-tą witrynę BIP urzędu wynosi Ki złotych (gdzie i przebiega zbiór stron urzędów w Polsce) zaś koszt jej zabezpieczenia Yi. Dodatkowo niech włamywacz włamując się na i-ta witrynę uzyska zyski w wysokości Zi. Niech włamanie będzie dla publikującego ( urzędu) związane ze stratą Si. Oczywiście Zi =/= Si gdyż zysk włamywacza to nie tylko strata urzędu. Na ogół zysk jest niewielki a strata duża (np. prestiż)
Tak więc z punktu widzenia włamywacza rachunek zysków i szkód dla pojedynczej i niezintegrowanej witryny i wygląda następująco:
Włamanie jest opłacalne jeśli włamywacz będzie miał zysk większy od zera czyli:
Zi>= Ki
Zabezpieczanie witryny zaś jest opłacalne o ile nie pociąga zbyt wielkich kosztów:
Si>Yi
Jeśli dokonamy centralizacji to spadają bardzo znacząco koszty zabezpieczenia bowiem dla wielu witryn wynoszą one \Suma Yi zaś dla pojedynczej a scentralizowanej tylko Y. Co do tego zgoda ale jednocześnie tu tez kończą się horyzonty domorosłych analityków jakich pełne są banki, korporacje i kancelarie ministrów. Niestety rzeczywistość jest konsekwentna. Oto bowiem zysk z włamania ulega znaczącemu podwyższeniu i równie znaczącemu podwyższeniu ulega strata właściciela serwisu w razie włamania. Jeśli mamy okraść 100 osób na 100 zł każdą, to ryzyko jest olbrzymie, ale jeśli musimy okraść tylko jedną na 100 000 zl o rzecz może stać się warta ryzyka. Dlatego złodzieje nie kradną w zwykłych domach tylko w bogatych, dlatego napada się na banki a nie na GS-y.
Pytanie czy jesteśmy w stanie podnieść koszty włamania Ki tak wysoko aby włamanie które przyniesie wówczas bardzo wielki zysk Zi, było nieopłacalne.
Teza: w administracji publicznej nie jesteśmy w stanie zabezpieczyć centralnych serwerów dostatecznie. Zawsze zyski z włamania będą większe niż koszty.
Błędne założenia dotyczące profilu ryzyka
Moim marzeniem jest by dyskusja na podobne tematy toczyła się w sposób taki jak w powyższym komentarzu i szkoda, że taką wycenę ryzyka prowadzimy w komentarzach u Vagli, a w administracji publicznej stanowi ona temat tabu.
Chciałbym natomiast zwrócić uwagę, że w przypadku większości włamań do serwisów typu BIP nie chodzi o okradanie kogokolwiek, tylko o pozyskanie serwerów będących nośnikami dla ataków takich jak XSS czy RFI, lub o defacement. A tych, im więcej tym lepiej.
Równocześnie koszt włamania do wielu serwisów tego typu jest niewielki (standardowe i łatwe do wykrycia dziury), zaś koszty ponoszone przez właścicieli serwisów - ogromne, bo żeby zabezpieczyć 100 BIPów trzeba kupić i utrzymywać 100 systemów IPS po $10k (=$1m), a nie jeden za $100k.
--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
"Może to być brak
"Może to być brak wyszkolenia administratorów stron, ignorancja lub, co gorsze, nieświadomość istniejącego zagrożenia wynikająca z niewiedzy."
Nie wiem czy większość, ale b. dużo stron www miast oparte jest już o komercyjne rozwiązania firm zewnętrznych. W tym przypadku rola admina ogranicza się tylko do wklejenia treści w okienku. Do kodu często nawet nie ma dostępu.
W takim UM w .... pracuje kilku informatyków, na kilkuset pracowników. Sądzicie, że mają jeszcze czas skrobać kod do stronek? Zresztą nie chcę obrażać nikogo, ale widzę na stronkach UM jak co rusz szukają informatyka. Dlaczego? Bo płacą 1500 PLN i co rusz jak ktoś trochę popracuje, żeby mieć coś tam w CV to się zwalnia i szuka szczęścia gdzie indziej. Czy sądzicie, że za 1500 brutto znajdziecie superadmina do stronek miejskich www? :D
> Jedna centralna serwerownia, jeden system
> zarządzania treścią, jedna grupa fachowców,
> jeden system publikacji treści, jeden dział
> bezpieczeństwa....
... Jedna partia, jeden naród, jeden system :>
jaki rozmiar problemu
W powyzej zamieszczonych informacjach nie przekazano bardzo istotnej wiadomosci. Chodzi mi o wzgledną ilość zagrożonych portali. Jeżeli jest to ponizej 5% to oznacza, że problem jest lokalny i tam nalezałoby przzeprowadzić "restrukturyzację". Jeżeli problem dotyczy ponad 20% portali to moim zdaniem mamy do czymienia z wadą systemową. Oznacza to, że albo dobór specjalistów jest niewłaściwy albo brak swiadomości kierownictw decydujacych o profilu wydatków w instytucji. Jest też możliwa taka sytuacja, że zawodzi i jedno i drugie.
Z mojego lokalnego podwórka można wyciągnąć wniosek, że wysoko zdeterminowany i wpracowany administrator jest w stanie wywalczyć stosowne kwoty na bezpieczeństwo. Ale zawsze to wymaga niezwykłych wysiłków i rodzi podejrzenia, że "informatycy znowu chcą mieć jakieś nowe zabawki". W tej sytuacji, podobnie jak w przypadku informacji niejawnych, powinna być wdrożona klauzula prawna określająca odpowiedzialność za bezpieczeństwo informacji systemów teleinformatycznych przypisująca tę odpowiedzialność kierownikowi jednostki. Taki zapis być może ułatwiłby działanie administratorów i wyeliminował podatność na ataki.
KJM
Wywalczanie kwot na bezpieczeństwo
Powyższy komentarz jest dobitnym przykładem amatorskiego poziomu zarządzania naszą administracją publiczną (nie odnosi się to absolutnie do osoby autora).
Administrator urzędowej sieci komputerowej nie powinien w ogóle zajmować się "wywalczaniem kwot na bezpieczeństwo" ani mniej lub bardziej przekonującym uzasadnianiem potrzeby zakupu "nowych zabawek". Rolą administratora nie jest pisanie uzasadnień biznesowych czy analiz kosztów i zysków!
Profile ryzyka dla urzędów tego samego szczebla są niemal identyczne bo działają one w oparciu o to samo prawo i wykonują niemal te same procesy. Obowiązkiem administracji centralnej jest nie tylko opisanie ich ale także przeprowadzenia dla każdego z nich odpowiedniem analizy ryzyka.
Na jej podstawie powinny być budowane realistyczne regulacje z poziomami obligatoryjnymi oraz rekomendowanymi - i te ostatnie mogą podlegać indywidualnej ocenie na szczeblu lokalnym.
Nie muszę chyba dodawać, że wszystkie stworzone w ten sposób zalecenia powinny być bezpłatnie przekazane wszystkim jednostkom administracji publicznej. Co więcej, znaczną część można oprzeć na już istniejących standardach tego typu publikowanych przez NIST.
--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT