Nová série bezpečnostních norem

B E Z P E Č N O S T
A
N O R M Y
Nová série bezpečnostních norem
10. června 2005 uveřejnila mezinárodní organizace pro normalizaci ISO aktualizovanou verzi normy
ISO/IEC 17799:2005 – Code of practice for information security management. Není to jediný letošní počin
ISO v oblasti bezpečnosti. Intenzivně pracuje také na přípravě vydání normy ISO/IEC 27001:2005 –
Information security management system – Requirements, která bude mezinárodní podobou BS 7799-2.
O vzrůstající úloze managementu bezpečnosti informací není nutné na stránkách časopisu DSM nikterak pochybovat.
Nicméně skutečným projevem vyzrálosti technického oboru je míra jeho normalizace. A právě na rok 2005 připravila ISO několik podstatných změn
a aktualizací bezpečnostních norem,
které ovlivní naši nejbližší budoucnost.
NOVÝ
KONCEPT NORMALIZACE
BEZPEČNOSTI
Odpovědnost za normalizaci bezpečnosti informací je v rámci Mezinárodní
organizace pro normalizaci ISO zastřešena podkomisí JTC1/SC27 – Bezpečnostní techniky IT. V poslední době je
důležitou snahou této subkomise harmonizovat přístupy a vzájemně provázat
vydávané normy, což ne vždy bývalo
úplnou samozřejmostí.
Pokusy o vyšší míru sladění se v práci
podkomise projevují již nějakou dobu, ale
teprve nedávno začaly tyto aktivity přinášet hmatatelné výsledky. Nejvíce patrné je to v přístupu k normám, které
definují pravidla pro systémy managementu bezpečnosti informací (ISMS),
a které jsou podkomisí vnímány jako jeden z nejdůležitějších prvků normalizace bezpečnosti.
Právě zde došlo letos k zásadnímu obratu. Na jaře roku 2005 organizace ISO
ohlásila zavedení nové série norem ISO
27000, která se bude věnovat problematice managementu bezpečnosti informací. Právě tato skutečnost prohlubuje již
existující snahy o jasné vymezení vztahů
(a hranic) mezi bezpečnostními normami.
Nová série ISO 27000 vychází z konceptu, který je naznačen na obrázku 1.
Podobně jako u jiných systémů managementu (např. ISO 9000 či ISO 14000)
je za jádro normalizace považována definice systému. V případě ISMS se tudíž
stal hlavním prvkem britský standard
BS 7799-2 (normě se podrobně věnoval
seriál v DSM 3/04 až 6/04), který vytváří
základ také pro novou mezinárodní normu ISO/IEC 27001.
Na mezinárodní akceptaci certifikační
1
normy BS 7799-2:2002 se intenzivně
pracuje od loňského roku a tyto aktivity jsou právě dokončovány. Obsahově
Specifikace ISMS
BS 7799-2
(ISO/IEC 27001)
Metody řízení rizik
ISO/IEC 13335
Příloha A
Soubor postupů
ISO/IEC 17799
(ISO/IEC 27002)
Metriky ISMS
ISO/IEC 27004
nejsou připravovány žádné zásadní změny kromě jediné – a tou je aktualizace
katalogu bezpečnostních kontrol i opatření v příloze A, která bude upravena v souladu s ISO/IEC 17799:2005.
Vydání mezinárodní normy ISO/IEC
27001:2005 – Information security management system – Requirements (Systém managementu bezpečnosti informací – Požadavky), připravované na konec roku 2005,
bude oficiálním otevřením série ISO
27000. Zároveň s publikací normy budou upřesněna pravidla pro přechodové období, ve kterém bude nutné provést
revize již certifikovaných ISMS v souladu s novými pravidly ISO/IEC 27001:2005.
Důležitou normou série ISO 27000 je
právě vydaná revize ISO/IEC 17799:2005,
která je publikována ještě s původním
označením. Avšak předmluva normy již
upozorňuje na skutečnost, že další revize
normy, plánovaná na rok 2007, vyjde jako ISO/IEC 27002. Provedeným změnám v normě ISO/IEC 17799:2005 se
budeme věnovat v dalším textu.
Dalším příspěvkem do série 27000 by se
v příštím roce měla stát norma ISO/IEC
27004 – Information security management metrics and measurements. Ta by měla upřesnit využívání pravidel a nástrojů pro definování nejrůznějších měřítek a indikátorů, podle kterých je možné sledovat
úspěšnost a účinnost zavedení a prosazení ISMS. Norma předepisuje strukturu metrik ISMS a upřesňuje některá vhodná měřítka pro sledování ISMS.
Specifické normy a směrnice
Společná kritéria (ISO/IEC 15408)
Bezpečnost sítí (ISO/IEC 18028)
Nasazení a provoz IDS(ISO/IEC 18043)
Management incidentů (ISO/IECTR 18044)
Audit systémů managementu (ISO 19011)
OBR. 1: KONCEPT
SÉRIE
18 D S M 4 | 2 0 0 5
ISO 27000
PRO
ISMS.
Do plánu rozvoje série ISO 27000 jsou
zařazeny i další dokumenty. Zatím se
však otevřeně hovoří pouze o směrnici,
která by měla upřesnit postupy při zavádění ISMS.
1
Česká verze této normy pod označením ČSN
BS 7799-2:2004 byla publikována koncem
loňského roku.
B E Z P E Č N O S T
A
N O R M Y
/
D S M
2 0 0 5
ISO 27000
V L A D I M Í R A
Z A P L E T A L O V Á
Důležitým předpokladem pro úspěšný rozvoj série ISO 27000 je též vyjasnění
vztahu s ostatními bezpečnostními normami. Cílem série však není zahrnout vše.
Právě naopak, velká pozornost je věnována tomu, aby byla bezpečnostní opatření navázána na jiné normy, které se
určitým oblastem bezpečnosti věnují
hlouběji (viz obrázek 2).
NOVÉ VERZE ISO/IEC
17799:2005
A nyní blíže k právě vydané revizi ISO/IEC
17799:2005. První vydání normy ISO/IEC
17799 v roce 2000 navázalo na obsah britské normy BS 7799-1:1999. Od roku
2001 pak probíhala revize normy, která
byla završena v červnu 2005, kdy byla
publikována druhá verze této mezinárodní normy pod označením ISO/IEC
17799:2005 – Code of practice for information security management (Soubor postupů
pro management bezpečnosti informací).
Na první pohled je patrná nová úprava
formálního uspořádání normy. Ve staré
verzi byla všechna bezpečnostní doporučení uvedena jako nestrukturovaný
text, což nebylo pro uživatele příliš přehledné. Nová podoba rozlišuje následující tři typy popisu opatření:
■ Definice opatření jsou jednověté specifikace bezpečnostních opatření, které zavedla norma BS 7799-2:2002, kde
tvoří normativní přílohu A.
■ Směrnice pro zavedení obsahuje podrobný popis toho, co je opatřením myšleno a jakým způsobem by opatření mělo být implementováno a prosazováno.
Uvedené informace nemusí být platné pro
všechny případy nasazení a je přípustné aplikovat i jiné metody řešení.
■ Další informace soustředí specifické
údaje, které by měly být při implemen-
taci zvažovány (např. právní důsledky, odkazy na specifické bezpečnostní normy
apod.).
Hlavním důvodem zavedení této vnitřní
struktury je snaha o jednoznačné odlišení definice opatření od doporučení,
jakou formou dané opatření zavádět
a prosazovat. To velmi usnadňuje použití normy hlavně pro uživatele, jejichž
hlavní profesní orientací není bezpečnost informací.
Na úpravu struktury navazuje řada změn,
které jsou spojeny se zpřesněním a harmonizací terminologie. Asi nejvíce patrným posunem je přeměna fóra pro řízení bezpečnosti informací na přesnější
závazek vedení organizace aktivně podporovat bezpečnost. Podle našich zkušeností je tato úprava více než prospěšná. Název fórum většinou sklouzával
k nepřesnému výkladu, že norma je určena pouze pro velké organizace.
Důležité změny se udály i v obsahu. Zásadní revizí prošla oblast bezpečnosti
lidských zdrojů, která ve starší verzi ne-
O BLASTI
L U D Ě K
N O V Á K
sla název personální bezpečnost. Nový
přístup v této oblasti sleduje zaměstnance v průběhu pracovního poměru,
a proto jsou opatření rozdělena do třech
skupin:
■ opatření činěná při výběru zaměstnanců a před uzavřením pracovního poměru,
■ opatření, která mají být prováděna
během existence pracovního poměru a
■ opatření nutná pro bezpečné ukončení pracovního poměru či změnu pracovního zařazení, která jsou spojená zejména s odebráním všech přístupových
práv.
Významnější postavení získala oblast řízení bezpečnostních incidentů, která v aktualizované normě vytváří samostatnou
oblast bezpečnosti, což určitě odpovídá
soudobým požadavkům. Oblast je sestavena z opatření, která byla ve starší
verzi nesystematicky rozptýlena ve více
místech. K vytvoření nové oblasti pomohlo i nedávné zveřejnění normy ISO/IEC
TR 18044:2004 – Information security incident management, která se řízením bezpečnostních incidentů podrobně zabývá.
BEZPEČNOSTI INFORMACÍ
Metriky ISMS ISO/IEC 27004
Řízení přístupu
Řízení aktiv
Oranizace
bezpečnosti
informací
Bezpečnost
lidských
zdrojů
Fyzická
bezpečnost
a bezpečnost
prostředí
Řízení
komunikací
a řízení
provozu
Akvizice
a vývoj
údržba
informačních
systémů
Řízení
kontinuity
činností
organizace
Řízení bezpečnostních incidentů
Soulad a požadavky
OBR. 2: NOVÉ
ROZDĚLENÍ OBLASTÍ BEZPEČNOSTI INFORMACÍ V
ISO/IEC 17799:2005.
DATA S EC U R I T Y M A N AG E M E N T
19
B E Z P E Č N O S T
Oblast bezpečnosti
Bezpečnostní politika
Organizace bezpečnosti
informací
Řízení aktiv
Bezpečnost
lidských zdrojů
Fyzická bezpečnost
a bezpečnost prostředí
Řízení komunikací
a řízení provozu
Řízení přístupu
Akvizice, vývoj a údržba
informačních systémů
Řízení bezpečnostních
incidentů
Řízení kontinuity činností
organizace
Soulad s požadavky
Celkem
TAB. 1: PŘEHLED
ZMĚN
A
N O R M Y
Cíle
2005
1
2000
1
Změna
0
Opatření / kontroly
2005
2000
2
2
2
2
3
2
-1
0
11
5
10
3
+1
+2
3
3
0
9
10
-1
2
3
-1
13
13
0
10
7
7
8
+3
-1
32
25
24
31
+8
-6
6
5
+1
16
18
+2
2
0
+2
5
0
+5
1
3
39
1
3
36
0
0
+3
5
10
133
5
11
127
0
-1
+6
ISO/IEC 17799:2005
Mezi rozšíření, která odráží soudobé
trendy informatiky, patří podrobnější
rozpracování bezpečnosti při využívání
služeb třetích stran a řízení zranitelností. U služeb je důraz položen na zahrnutí bezpečnosti do dohod o úrovni služeb (SLA), sledování míry plnění těchto
dohod a na obezřetné řízení změn. Řízení zranitelností je úplnou novinkou,
která upravuje postupy související s bezpečnou aktualizací software.
Změna
PODLE JEDNOTLIVÝCH OBLASTÍ BEZPEČNOSTI.
V celkových počtech bylo v rámci revize odstraněno devět bezpečnostních
opatření a sedmnáct nových přibylo.
V kontextu 133 opatření nové normy by
to nemuselo být považováno za významnou změnu. Tedy alespoň do té doby, než si uvědomíme, že většina z původních 118 opatření byla (někdy
podstatně) upravena. Podrobnější informace je možné nalézt v tabulce 1.
ZÁVĚR
Drobnější změny a úpravy jsou promítnuty do většiny bezpečnostních opatření. Jejich smyslem je především lépe
propojit doporučení komplexního pohledu ISO/IEC 17799:2005 s pravidly
a přístupy specifických norem, které se
hlouběji věnují určité bezpečnostní problematice. Současně s tím byla upřesněna i odborná terminologie.
K podstatnému zobecnění došlo u několika opatření, která byla příliš technicky orientovaná. Tato skutečnost vedla k odstranění popisu u detailních
opatření v oblasti síťové bezpečnosti či
kryptografie.
V souvislosti se snahou o mezinárodní
akceptaci známé normy BS 7799-2:2002
přijala organizace ISO koncept vytvoření nové série ISO 27000, do které budou
zařazovány normy z oblasti managementu bezpečnosti informací. Tento krok
zahájil nové období normalizace bezpečnosti informací, jehož výsledkem má
být opuštění označení ISO/IEC 17799,
pod kterým byla v červnu 2005 publikována poslední revize. Důležitost této
aktualizace nejlépe vyjádřil vedoucí pracovní skupiny WG1 Ted Humphreys: “Stručně řečeno, revidovaná ISO/IEC 17799
je nejdůležitější normou pro management bezpečnosti informací, která kdy
L I T E R AT U R A :
[1] [ISO17799] ISO/IEC 17799:2005 Information technology – Security
techniques – Code of practice for information security management.
[2] [ISO] International Organization for Standardization (http://www.iso.ch).
[3] [ISMS_IUG] SMS International User Group (http://www.xisec.com).
20 D S M 4 | 2 0 0 5
vznikla – pro bezpečnost informací zavádí opravdový společný mezinárodní
jazyk, který všem organizacím po celém
světě dovolí prohlubovat vzájemné soužití při realizaci svých oprávněných zájmů“.
V LADIMÍRA Z APLETALOVÁ
[email protected]
L UDĚK N OVÁK
[email protected]
VLADIMÍRA ZAPLETALOVÁ
V roce 1993 vystudovala PF Jihočeské
univerzity v Českých Budějovicích.
Od roku 1999 působí ve společnosti
ANECT, a.s., kde v současnosti zastává
pozici bezpečnostní manažerky
s odpovědností za ochranu
utajovaných skutečností a za systém
managementu bezpečnosti informací.
Je certifikovaným projektovým
praktikantem, PMF (IPMA).
LUDĚK NOVÁK
Vystudoval v roce 1991 Vojenskou
akademii v Brně. V současnosti je
vedoucím konzultantem ve společnosti
ANECT, a.s. se zaměřením na
bezpečnost informací a procesní řízení
ICT. Autor je držitelem certifikátu
CISA – Certified Information Systems
Auditor, členem Rady odborného
sdružení ISACA CRC, členem technické
komise Českého normalizačního
institutu TNK 20 – Informační
technologie a stálým spolupracovníkem
časopisu Data Security Management.
M A N A G E M E N T
S U M M A R Y
Článek popisuje nové přístupy k tvorbě
norem pro systémy managementu
bezpečnosti informací. V první části
příspěvku je představena nová série
systémových norem ISO 27000, která
se stává základem normalizace
managementu bezpečnosti informací.
Druhá část příspěvku se blíže věnuje
změnám a novinkám, které přinášejí
právě publikovaná aktualizace normy
ISO/IEC 17799:2005.