Nová série bezpečnostních norem
Transkript
Nová série bezpečnostních norem
B E Z P E Č N O S T A N O R M Y Nová série bezpečnostních norem 10. června 2005 uveřejnila mezinárodní organizace pro normalizaci ISO aktualizovanou verzi normy ISO/IEC 17799:2005 – Code of practice for information security management. Není to jediný letošní počin ISO v oblasti bezpečnosti. Intenzivně pracuje také na přípravě vydání normy ISO/IEC 27001:2005 – Information security management system – Requirements, která bude mezinárodní podobou BS 7799-2. O vzrůstající úloze managementu bezpečnosti informací není nutné na stránkách časopisu DSM nikterak pochybovat. Nicméně skutečným projevem vyzrálosti technického oboru je míra jeho normalizace. A právě na rok 2005 připravila ISO několik podstatných změn a aktualizací bezpečnostních norem, které ovlivní naši nejbližší budoucnost. NOVÝ KONCEPT NORMALIZACE BEZPEČNOSTI Odpovědnost za normalizaci bezpečnosti informací je v rámci Mezinárodní organizace pro normalizaci ISO zastřešena podkomisí JTC1/SC27 – Bezpečnostní techniky IT. V poslední době je důležitou snahou této subkomise harmonizovat přístupy a vzájemně provázat vydávané normy, což ne vždy bývalo úplnou samozřejmostí. Pokusy o vyšší míru sladění se v práci podkomise projevují již nějakou dobu, ale teprve nedávno začaly tyto aktivity přinášet hmatatelné výsledky. Nejvíce patrné je to v přístupu k normám, které definují pravidla pro systémy managementu bezpečnosti informací (ISMS), a které jsou podkomisí vnímány jako jeden z nejdůležitějších prvků normalizace bezpečnosti. Právě zde došlo letos k zásadnímu obratu. Na jaře roku 2005 organizace ISO ohlásila zavedení nové série norem ISO 27000, která se bude věnovat problematice managementu bezpečnosti informací. Právě tato skutečnost prohlubuje již existující snahy o jasné vymezení vztahů (a hranic) mezi bezpečnostními normami. Nová série ISO 27000 vychází z konceptu, který je naznačen na obrázku 1. Podobně jako u jiných systémů managementu (např. ISO 9000 či ISO 14000) je za jádro normalizace považována definice systému. V případě ISMS se tudíž stal hlavním prvkem britský standard BS 7799-2 (normě se podrobně věnoval seriál v DSM 3/04 až 6/04), který vytváří základ také pro novou mezinárodní normu ISO/IEC 27001. Na mezinárodní akceptaci certifikační 1 normy BS 7799-2:2002 se intenzivně pracuje od loňského roku a tyto aktivity jsou právě dokončovány. Obsahově Specifikace ISMS BS 7799-2 (ISO/IEC 27001) Metody řízení rizik ISO/IEC 13335 Příloha A Soubor postupů ISO/IEC 17799 (ISO/IEC 27002) Metriky ISMS ISO/IEC 27004 nejsou připravovány žádné zásadní změny kromě jediné – a tou je aktualizace katalogu bezpečnostních kontrol i opatření v příloze A, která bude upravena v souladu s ISO/IEC 17799:2005. Vydání mezinárodní normy ISO/IEC 27001:2005 – Information security management system – Requirements (Systém managementu bezpečnosti informací – Požadavky), připravované na konec roku 2005, bude oficiálním otevřením série ISO 27000. Zároveň s publikací normy budou upřesněna pravidla pro přechodové období, ve kterém bude nutné provést revize již certifikovaných ISMS v souladu s novými pravidly ISO/IEC 27001:2005. Důležitou normou série ISO 27000 je právě vydaná revize ISO/IEC 17799:2005, která je publikována ještě s původním označením. Avšak předmluva normy již upozorňuje na skutečnost, že další revize normy, plánovaná na rok 2007, vyjde jako ISO/IEC 27002. Provedeným změnám v normě ISO/IEC 17799:2005 se budeme věnovat v dalším textu. Dalším příspěvkem do série 27000 by se v příštím roce měla stát norma ISO/IEC 27004 – Information security management metrics and measurements. Ta by měla upřesnit využívání pravidel a nástrojů pro definování nejrůznějších měřítek a indikátorů, podle kterých je možné sledovat úspěšnost a účinnost zavedení a prosazení ISMS. Norma předepisuje strukturu metrik ISMS a upřesňuje některá vhodná měřítka pro sledování ISMS. Specifické normy a směrnice Společná kritéria (ISO/IEC 15408) Bezpečnost sítí (ISO/IEC 18028) Nasazení a provoz IDS(ISO/IEC 18043) Management incidentů (ISO/IECTR 18044) Audit systémů managementu (ISO 19011) OBR. 1: KONCEPT SÉRIE 18 D S M 4 | 2 0 0 5 ISO 27000 PRO ISMS. Do plánu rozvoje série ISO 27000 jsou zařazeny i další dokumenty. Zatím se však otevřeně hovoří pouze o směrnici, která by měla upřesnit postupy při zavádění ISMS. 1 Česká verze této normy pod označením ČSN BS 7799-2:2004 byla publikována koncem loňského roku. B E Z P E Č N O S T A N O R M Y / D S M 2 0 0 5 ISO 27000 V L A D I M Í R A Z A P L E T A L O V Á Důležitým předpokladem pro úspěšný rozvoj série ISO 27000 je též vyjasnění vztahu s ostatními bezpečnostními normami. Cílem série však není zahrnout vše. Právě naopak, velká pozornost je věnována tomu, aby byla bezpečnostní opatření navázána na jiné normy, které se určitým oblastem bezpečnosti věnují hlouběji (viz obrázek 2). NOVÉ VERZE ISO/IEC 17799:2005 A nyní blíže k právě vydané revizi ISO/IEC 17799:2005. První vydání normy ISO/IEC 17799 v roce 2000 navázalo na obsah britské normy BS 7799-1:1999. Od roku 2001 pak probíhala revize normy, která byla završena v červnu 2005, kdy byla publikována druhá verze této mezinárodní normy pod označením ISO/IEC 17799:2005 – Code of practice for information security management (Soubor postupů pro management bezpečnosti informací). Na první pohled je patrná nová úprava formálního uspořádání normy. Ve staré verzi byla všechna bezpečnostní doporučení uvedena jako nestrukturovaný text, což nebylo pro uživatele příliš přehledné. Nová podoba rozlišuje následující tři typy popisu opatření: ■ Definice opatření jsou jednověté specifikace bezpečnostních opatření, které zavedla norma BS 7799-2:2002, kde tvoří normativní přílohu A. ■ Směrnice pro zavedení obsahuje podrobný popis toho, co je opatřením myšleno a jakým způsobem by opatření mělo být implementováno a prosazováno. Uvedené informace nemusí být platné pro všechny případy nasazení a je přípustné aplikovat i jiné metody řešení. ■ Další informace soustředí specifické údaje, které by měly být při implemen- taci zvažovány (např. právní důsledky, odkazy na specifické bezpečnostní normy apod.). Hlavním důvodem zavedení této vnitřní struktury je snaha o jednoznačné odlišení definice opatření od doporučení, jakou formou dané opatření zavádět a prosazovat. To velmi usnadňuje použití normy hlavně pro uživatele, jejichž hlavní profesní orientací není bezpečnost informací. Na úpravu struktury navazuje řada změn, které jsou spojeny se zpřesněním a harmonizací terminologie. Asi nejvíce patrným posunem je přeměna fóra pro řízení bezpečnosti informací na přesnější závazek vedení organizace aktivně podporovat bezpečnost. Podle našich zkušeností je tato úprava více než prospěšná. Název fórum většinou sklouzával k nepřesnému výkladu, že norma je určena pouze pro velké organizace. Důležité změny se udály i v obsahu. Zásadní revizí prošla oblast bezpečnosti lidských zdrojů, která ve starší verzi ne- O BLASTI L U D Ě K N O V Á K sla název personální bezpečnost. Nový přístup v této oblasti sleduje zaměstnance v průběhu pracovního poměru, a proto jsou opatření rozdělena do třech skupin: ■ opatření činěná při výběru zaměstnanců a před uzavřením pracovního poměru, ■ opatření, která mají být prováděna během existence pracovního poměru a ■ opatření nutná pro bezpečné ukončení pracovního poměru či změnu pracovního zařazení, která jsou spojená zejména s odebráním všech přístupových práv. Významnější postavení získala oblast řízení bezpečnostních incidentů, která v aktualizované normě vytváří samostatnou oblast bezpečnosti, což určitě odpovídá soudobým požadavkům. Oblast je sestavena z opatření, která byla ve starší verzi nesystematicky rozptýlena ve více místech. K vytvoření nové oblasti pomohlo i nedávné zveřejnění normy ISO/IEC TR 18044:2004 – Information security incident management, která se řízením bezpečnostních incidentů podrobně zabývá. BEZPEČNOSTI INFORMACÍ Metriky ISMS ISO/IEC 27004 Řízení přístupu Řízení aktiv Oranizace bezpečnosti informací Bezpečnost lidských zdrojů Fyzická bezpečnost a bezpečnost prostředí Řízení komunikací a řízení provozu Akvizice a vývoj údržba informačních systémů Řízení kontinuity činností organizace Řízení bezpečnostních incidentů Soulad a požadavky OBR. 2: NOVÉ ROZDĚLENÍ OBLASTÍ BEZPEČNOSTI INFORMACÍ V ISO/IEC 17799:2005. DATA S EC U R I T Y M A N AG E M E N T 19 B E Z P E Č N O S T Oblast bezpečnosti Bezpečnostní politika Organizace bezpečnosti informací Řízení aktiv Bezpečnost lidských zdrojů Fyzická bezpečnost a bezpečnost prostředí Řízení komunikací a řízení provozu Řízení přístupu Akvizice, vývoj a údržba informačních systémů Řízení bezpečnostních incidentů Řízení kontinuity činností organizace Soulad s požadavky Celkem TAB. 1: PŘEHLED ZMĚN A N O R M Y Cíle 2005 1 2000 1 Změna 0 Opatření / kontroly 2005 2000 2 2 2 2 3 2 -1 0 11 5 10 3 +1 +2 3 3 0 9 10 -1 2 3 -1 13 13 0 10 7 7 8 +3 -1 32 25 24 31 +8 -6 6 5 +1 16 18 +2 2 0 +2 5 0 +5 1 3 39 1 3 36 0 0 +3 5 10 133 5 11 127 0 -1 +6 ISO/IEC 17799:2005 Mezi rozšíření, která odráží soudobé trendy informatiky, patří podrobnější rozpracování bezpečnosti při využívání služeb třetích stran a řízení zranitelností. U služeb je důraz položen na zahrnutí bezpečnosti do dohod o úrovni služeb (SLA), sledování míry plnění těchto dohod a na obezřetné řízení změn. Řízení zranitelností je úplnou novinkou, která upravuje postupy související s bezpečnou aktualizací software. Změna PODLE JEDNOTLIVÝCH OBLASTÍ BEZPEČNOSTI. V celkových počtech bylo v rámci revize odstraněno devět bezpečnostních opatření a sedmnáct nových přibylo. V kontextu 133 opatření nové normy by to nemuselo být považováno za významnou změnu. Tedy alespoň do té doby, než si uvědomíme, že většina z původních 118 opatření byla (někdy podstatně) upravena. Podrobnější informace je možné nalézt v tabulce 1. ZÁVĚR Drobnější změny a úpravy jsou promítnuty do většiny bezpečnostních opatření. Jejich smyslem je především lépe propojit doporučení komplexního pohledu ISO/IEC 17799:2005 s pravidly a přístupy specifických norem, které se hlouběji věnují určité bezpečnostní problematice. Současně s tím byla upřesněna i odborná terminologie. K podstatnému zobecnění došlo u několika opatření, která byla příliš technicky orientovaná. Tato skutečnost vedla k odstranění popisu u detailních opatření v oblasti síťové bezpečnosti či kryptografie. V souvislosti se snahou o mezinárodní akceptaci známé normy BS 7799-2:2002 přijala organizace ISO koncept vytvoření nové série ISO 27000, do které budou zařazovány normy z oblasti managementu bezpečnosti informací. Tento krok zahájil nové období normalizace bezpečnosti informací, jehož výsledkem má být opuštění označení ISO/IEC 17799, pod kterým byla v červnu 2005 publikována poslední revize. Důležitost této aktualizace nejlépe vyjádřil vedoucí pracovní skupiny WG1 Ted Humphreys: “Stručně řečeno, revidovaná ISO/IEC 17799 je nejdůležitější normou pro management bezpečnosti informací, která kdy L I T E R AT U R A : [1] [ISO17799] ISO/IEC 17799:2005 Information technology – Security techniques – Code of practice for information security management. [2] [ISO] International Organization for Standardization (http://www.iso.ch). [3] [ISMS_IUG] SMS International User Group (http://www.xisec.com). 20 D S M 4 | 2 0 0 5 vznikla – pro bezpečnost informací zavádí opravdový společný mezinárodní jazyk, který všem organizacím po celém světě dovolí prohlubovat vzájemné soužití při realizaci svých oprávněných zájmů“. V LADIMÍRA Z APLETALOVÁ [email protected] L UDĚK N OVÁK [email protected] VLADIMÍRA ZAPLETALOVÁ V roce 1993 vystudovala PF Jihočeské univerzity v Českých Budějovicích. Od roku 1999 působí ve společnosti ANECT, a.s., kde v současnosti zastává pozici bezpečnostní manažerky s odpovědností za ochranu utajovaných skutečností a za systém managementu bezpečnosti informací. Je certifikovaným projektovým praktikantem, PMF (IPMA). LUDĚK NOVÁK Vystudoval v roce 1991 Vojenskou akademii v Brně. V současnosti je vedoucím konzultantem ve společnosti ANECT, a.s. se zaměřením na bezpečnost informací a procesní řízení ICT. Autor je držitelem certifikátu CISA – Certified Information Systems Auditor, členem Rady odborného sdružení ISACA CRC, členem technické komise Českého normalizačního institutu TNK 20 – Informační technologie a stálým spolupracovníkem časopisu Data Security Management. M A N A G E M E N T S U M M A R Y Článek popisuje nové přístupy k tvorbě norem pro systémy managementu bezpečnosti informací. V první části příspěvku je představena nová série systémových norem ISO 27000, která se stává základem normalizace managementu bezpečnosti informací. Druhá část příspěvku se blíže věnuje změnám a novinkám, které přinášejí právě publikovaná aktualizace normy ISO/IEC 17799:2005.