2003.09.17. 1 Az IS 17799 módosítása Krauth Péter

Az előadások a következő témára: "2003.09.17. 1 Az IS 17799 módosítása Krauth Péter"— Előadás másolata:

1 2003.09.17. 1 Az IS 17799 módosítása Krauth Péter pkrauth@kfki.com

2 2003.09.17. 2 BS 7799 Közel egy évtizede használt, igen elterjedt, 2 részből álló szabvány: BS 7799-1: 1999 - Útmutatás IBIR-re, a követelmények értelmezése BS 7799-2: 2002 - Követelményrendszer IBIR-re A brit BS 7799-1:1999 ú.n. gyorsított eljárással történt átvétele, beemelése az ISO szabványok körébe: IS 17799 Az információbiztonság legfelső szintű kérdéseivel foglalkozik, ezért –különösen fontos a fejlődő országok (köztük hazánk) számára, hiszen –utat mutat a vállalatok vezetői számára az információk védelme tekintetében: mire kell figyelni? hogyan lehet megvalósítani a biztonsági célokat?

3 2003.09.17. 3 Mire is jó az IS 17799? Beépült a BS 7799-2 2002-es kiadásába A BS 7799 elfogadásával van egy nemzeti tanú- sítási rendszer, amely nemzetközi szabványra is tud hivatkozni Információbiztonsági intézkedések gyűjteménye, amely információbiztonság-irányítási rendszer megvalósításakor kiindulásként és útmutatásként használható

4 2003.09.17. 4 Problémák az IS 17799-cel Nem határozza meg egyértelműen és pontosan a kockázatkezelés helyét a biztonságmenedzsment vonatkozásában: –az előírt követelmények kellően rugalmas, de ellenőrzött kezelésére Az előírt biztonsági követelmények tekintetében nincs kellő összhangban más elterjedt cél- és követelmény- rendszerekkel (pl. COBIT, IS 15408) A viszonya tanúsítási rendszerekhez nem egyértelmű, pl. –Nincs világméretekben elfogadott tanúsítási szabvány –Sok informatikában fejlett ország tartózkodik a BS 7799-2 hivatalos nemzeti használatától, pl.: Franciaország, USA, Kanada, Ausztrália –A tanúsítás maradjon meg nemzeti keretek között? Az informatika globális!

5 2003.09.17. 5 Az IBIR modellje (svéd nézőpont) Terve- zés Végre- hajtás Ellen- őrzés Beavat- kozás Kockázatkezelés ISO/IEC TR 13335-2 Információbiztonság- irányítási rendszer (IBIR) ISO/IEC „X” leírás ISO 17799 útmutatás Termék szintű biztonságértékelés ISO/IEC IS 15408 Információbiztonság teljesítményértékelése ISO/IEC „Z” IBIR auditálása ISO 19011 IBIR megvalósítása ISO/IEC „Y”

6 2003.09.17. 6 Információbiztonsági szabványok rendszere (ausztrál nézőpont) Irányítási rendszer leírása Útmutatás folyamatra Kockázatkezelés TR 13335-3 SSE-CMM IS 21827 Óvintézke- dések kiválasztása TR 13335-4 ISO 9001BS 15000 (ITIL) Útmutatás eljárásra + óvintézkedések katalógusai IS 17799 Információbiztonsági incidensek kezelése Termék/rendszer tesztelés és értékelés Védelmi profilok nyilvánt. Védelmi profilok megadása Közös szempontok – IS 15408 Keret az informatikai védelem biztosításához Rendszerértékelés Kriptográfiai modulok értékelése (FIPS 140-2) NIST SP 800-37 NIST SP 800-53 NIST SP 800-53A EN 45011 Műszaki szabványok és leírások Hálózatbiztonság Titkosítás Digitális aláírás Időbélyegzés Hitelesítés Hozzáférés-ellenőrzés Letagadhatatlanság TTP-szolgáltatások Kulcsgondozás Lenyomatképzés Irányítási rendszer auditálása, tanúsítása, akkreditálás ISO 62-es útmutató EN 45012 EA 7/13 ISO 19011 EN 45013 Tervezett IBIR szabvány

7 2003.09.17. 7 Információbiztonsági szabványok rendszere (brit nézőpont) IBIR leírása IBIR-útmutatás folyamatra és eljárásra Kockázatkezelés TR 13335-3 Óvintézkedések kiválasztása TR 13335-4 ISO 9001 IBIR-útmutatás + óvintézkedések katalógusai IS 17799 Információbiztonsági incidensek kezelése Műszaki fejlesztési és megvalósítási szabványok és leírások Hálózatbiztonság Titkosítás Digitális aláírás Időbélyegzés Hitelesítés Hozzáférés-ellenőrzés Letagadhatatlanság TTP-szolgáltatások BS 7799-2. rész Szoftverfejlesztés LAN-biztonság (IEEE) Internet-biztonság (IETF) OSI/Nyílt rendszerek protokollszabványai

8 2003.09.17. 8 Tanúsítási rendszerek Vállalat Minőség- irányítás (IS 9001) Információ- biztonság irányítása (BS 7799-2) Környezet- irányítás (IS 14001)

9 2003.09.17. 9 Mire is jó a tanúsítvány? Sikerélményt ad a vállalat vezetésének Bizalmat kelt Kiindulási alapot ad a további fejlődéshez DE –Kérdés, hogy a továbbfejlődés valóban bekövetkezik-e –Nem ad garanciát konkrét teljesítmény megfelelőségére (rossz minőségű termék, környezetszennyezés, információ illetéktelen kezekbe jutása) –A beszállító- ill. önértékelés (tehát nem 3. fél általi értékelés) szerepét visszaszorítja –Az információkezelés technológiája nagyon gyorsan változik

10 2003.09.17. 10 IS 17799 módosítása 2000. november: IS 17799 elfogadása 2001. április: IS 17766 módosítási javaslat 2001. szeptember: módosítási munka elindul 2003. június: első CD-változat 2003. szeptember: szavazási határidő 2004. december: IS 17799:2004 új változat

11 2003.09.17. 11 Strukturális változások Bevezetés Alkalmazási terület Normatív hivatkozások Fogalommeghatározások A szabvány struktúrája 1.Biztonságpolitika 2.Az információbiztonság szervezetei kérdései 3.Eszközkezelés 4.Személyzeti biztonság 5. Fizikai és környezeti biztonság 6. Kommunikáció és üzemel- tetés irányítása 7. Hozzáférés-ellenőrzés 8. Információs rendszerek fejlesztése és karbantartása 9. Üzletfolytonosság biztosí- tása 10. Megfelelés 11. Biztonsági incidensek kezelése

12 2003.09.17. 12 Bevezetés Figyelemfelhívás a növekvő veszélyekre és kockázatokra (internet, e-business, e-government) Az információ biztonsági jellemzői: –Bizalmasság (confidentiality) –Integritás (integrity) –Rendelkezésre állás (availability) –Letagadhatatlanság (non-repudiation) –Számon kérhetőség (accountability) –Hitelesség (authenticity) –Megbízhatóság (reliability) Ellenintézkedések fajtái: –politika –(folytatott) gyakorlat –eljárás –szervezeti struktúra –szoftver és hardverfunkció Ellenintézkedések irányítási ciklusa és üzleti meghatározottsága Információbiztonság szereplői: szállítók, harmadik felek, ügyfelek vagy érdekeltek

13 2003.09.17. 13 Alkalmazási terület Nincs lényegi változás A szabvány útmutató jellegét egyértelműsíti –ajánlás  útmutatás és általános elvek –közös alap  gyakorlati útmutató –„A szabványban körvonalazott célkitűzések (objectives) általános útmutatást adnak az infomációbiztonság irányításának széles körben elfogadott céljaira (commonly accepted goals) vonatkozóan.”

14 2003.09.17. 14 Normatív hivatkozások ISO/IEC GUIDE 73: Kockázatkezelés – Szótár – Útmutatás szabványokban való felhasználásra ISO/IEC TR 13355: Informatika – Biztonságtechnika – Útmutatás az informatikai biztonság irányítására –Honosítása jelenleg előkészítés alatt az MSZT-ben

15 2003.09.17. 15 A biztonság különböző szintjei Információbiztonság Infokommunikációs (ICT) biztonság Informatikai (IT) biztonság) papír, beszéd, hálózat, számítógép hálózat, számítógép számítógép

16 2003.09.17. 16 Fogalommeghatározások 3  19 1.Eszköz 2.Ellenintézkedés 3.Útmutatás 4.Incidens 5.Információfeldolgozási létesítmények 6.Információbiztonság 7.Kiszervezés 8.Politika 9.Maradék kockázat 10.Kockázat 11.Kockázatelemzés 12.Kockázatfelmérés 13.Kockázatértékelés 14.Kockázatazonosítás 15.Kockázatirányítás 16.Kockázatkezelés 17.Harmadik fél 18.Fenyegetés 19.Sebezhetőség

17 2003.09.17. 17 A szabvány struktúrája Ellenintézkedési területenként: –célkitűzés (control objective), amely megállapítja, hogy mit kell elérni az adott területen –egy vagy több ellenintézkedés, amit alkalmazni lehet a cél elérésére; mindegyik ellenintézkedésre: Ellenintézkedés leírása Megvalósítási útmutató –Azon tevékenységek meghatározása, amelyek az ellenintézkedés megvalósításához szükségesek Egyéb információ –Megvalósítás során figyelembe veendő tényezők és kapcsolódó magyarázatok Ellenintézkedések főcsoportja (fejezet) 11 Ellenintézkedési terület 38 Ellenintézkedés 115