Az IS módosítása Krauth Péter
BS 7799 Közel egy évtizede használt, igen elterjedt, 2 részből álló szabvány: BS : Útmutatás IBIR-re, a követelmények értelmezése BS : Követelményrendszer IBIR-re A brit BS :1999 ú.n. gyorsított eljárással történt átvétele, beemelése az ISO szabványok körébe: IS Az információbiztonság legfelső szintű kérdéseivel foglalkozik, ezért –különösen fontos a fejlődő országok (köztük hazánk) számára, hiszen –utat mutat a vállalatok vezetői számára az információk védelme tekintetében: mire kell figyelni? hogyan lehet megvalósítani a biztonsági célokat?
Mire is jó az IS 17799? Beépült a BS es kiadásába A BS 7799 elfogadásával van egy nemzeti tanú- sítási rendszer, amely nemzetközi szabványra is tud hivatkozni Információbiztonsági intézkedések gyűjteménye, amely információbiztonság-irányítási rendszer megvalósításakor kiindulásként és útmutatásként használható
Problémák az IS cel Nem határozza meg egyértelműen és pontosan a kockázatkezelés helyét a biztonságmenedzsment vonatkozásában: –az előírt követelmények kellően rugalmas, de ellenőrzött kezelésére Az előírt biztonsági követelmények tekintetében nincs kellő összhangban más elterjedt cél- és követelmény- rendszerekkel (pl. COBIT, IS 15408) A viszonya tanúsítási rendszerekhez nem egyértelmű, pl. –Nincs világméretekben elfogadott tanúsítási szabvány –Sok informatikában fejlett ország tartózkodik a BS hivatalos nemzeti használatától, pl.: Franciaország, USA, Kanada, Ausztrália –A tanúsítás maradjon meg nemzeti keretek között? Az informatika globális!
Az IBIR modellje (svéd nézőpont) Terve- zés Végre- hajtás Ellen- őrzés Beavat- kozás Kockázatkezelés ISO/IEC TR Információbiztonság- irányítási rendszer (IBIR) ISO/IEC „X” leírás ISO útmutatás Termék szintű biztonságértékelés ISO/IEC IS Információbiztonság teljesítményértékelése ISO/IEC „Z” IBIR auditálása ISO IBIR megvalósítása ISO/IEC „Y”
Információbiztonsági szabványok rendszere (ausztrál nézőpont) Irányítási rendszer leírása Útmutatás folyamatra Kockázatkezelés TR SSE-CMM IS Óvintézke- dések kiválasztása TR ISO 9001BS (ITIL) Útmutatás eljárásra + óvintézkedések katalógusai IS Információbiztonsági incidensek kezelése Termék/rendszer tesztelés és értékelés Védelmi profilok nyilvánt. Védelmi profilok megadása Közös szempontok – IS Keret az informatikai védelem biztosításához Rendszerértékelés Kriptográfiai modulok értékelése (FIPS 140-2) NIST SP NIST SP NIST SP A EN Műszaki szabványok és leírások Hálózatbiztonság Titkosítás Digitális aláírás Időbélyegzés Hitelesítés Hozzáférés-ellenőrzés Letagadhatatlanság TTP-szolgáltatások Kulcsgondozás Lenyomatképzés Irányítási rendszer auditálása, tanúsítása, akkreditálás ISO 62-es útmutató EN EA 7/13 ISO EN Tervezett IBIR szabvány
Információbiztonsági szabványok rendszere (brit nézőpont) IBIR leírása IBIR-útmutatás folyamatra és eljárásra Kockázatkezelés TR Óvintézkedések kiválasztása TR ISO 9001 IBIR-útmutatás + óvintézkedések katalógusai IS Információbiztonsági incidensek kezelése Műszaki fejlesztési és megvalósítási szabványok és leírások Hálózatbiztonság Titkosítás Digitális aláírás Időbélyegzés Hitelesítés Hozzáférés-ellenőrzés Letagadhatatlanság TTP-szolgáltatások BS rész Szoftverfejlesztés LAN-biztonság (IEEE) Internet-biztonság (IETF) OSI/Nyílt rendszerek protokollszabványai
Tanúsítási rendszerek Vállalat Minőség- irányítás (IS 9001) Információ- biztonság irányítása (BS ) Környezet- irányítás (IS 14001)
Mire is jó a tanúsítvány? Sikerélményt ad a vállalat vezetésének Bizalmat kelt Kiindulási alapot ad a további fejlődéshez DE –Kérdés, hogy a továbbfejlődés valóban bekövetkezik-e –Nem ad garanciát konkrét teljesítmény megfelelőségére (rossz minőségű termék, környezetszennyezés, információ illetéktelen kezekbe jutása) –A beszállító- ill. önértékelés (tehát nem 3. fél általi értékelés) szerepét visszaszorítja –Az információkezelés technológiája nagyon gyorsan változik
IS módosítása november: IS elfogadása április: IS módosítási javaslat szeptember: módosítási munka elindul június: első CD-változat szeptember: szavazási határidő december: IS 17799:2004 új változat
Strukturális változások Bevezetés Alkalmazási terület Normatív hivatkozások Fogalommeghatározások A szabvány struktúrája 1.Biztonságpolitika 2.Az információbiztonság szervezetei kérdései 3.Eszközkezelés 4.Személyzeti biztonság 5. Fizikai és környezeti biztonság 6. Kommunikáció és üzemel- tetés irányítása 7. Hozzáférés-ellenőrzés 8. Információs rendszerek fejlesztése és karbantartása 9. Üzletfolytonosság biztosí- tása 10. Megfelelés 11. Biztonsági incidensek kezelése
Bevezetés Figyelemfelhívás a növekvő veszélyekre és kockázatokra (internet, e-business, e-government) Az információ biztonsági jellemzői: –Bizalmasság (confidentiality) –Integritás (integrity) –Rendelkezésre állás (availability) –Letagadhatatlanság (non-repudiation) –Számon kérhetőség (accountability) –Hitelesség (authenticity) –Megbízhatóság (reliability) Ellenintézkedések fajtái: –politika –(folytatott) gyakorlat –eljárás –szervezeti struktúra –szoftver és hardverfunkció Ellenintézkedések irányítási ciklusa és üzleti meghatározottsága Információbiztonság szereplői: szállítók, harmadik felek, ügyfelek vagy érdekeltek
Alkalmazási terület Nincs lényegi változás A szabvány útmutató jellegét egyértelműsíti –ajánlás útmutatás és általános elvek –közös alap gyakorlati útmutató –„A szabványban körvonalazott célkitűzések (objectives) általános útmutatást adnak az infomációbiztonság irányításának széles körben elfogadott céljaira (commonly accepted goals) vonatkozóan.”
Normatív hivatkozások ISO/IEC GUIDE 73: Kockázatkezelés – Szótár – Útmutatás szabványokban való felhasználásra ISO/IEC TR 13355: Informatika – Biztonságtechnika – Útmutatás az informatikai biztonság irányítására –Honosítása jelenleg előkészítés alatt az MSZT-ben
A biztonság különböző szintjei Információbiztonság Infokommunikációs (ICT) biztonság Informatikai (IT) biztonság) papír, beszéd, hálózat, számítógép hálózat, számítógép számítógép
Fogalommeghatározások 3 19 1.Eszköz 2.Ellenintézkedés 3.Útmutatás 4.Incidens 5.Információfeldolgozási létesítmények 6.Információbiztonság 7.Kiszervezés 8.Politika 9.Maradék kockázat 10.Kockázat 11.Kockázatelemzés 12.Kockázatfelmérés 13.Kockázatértékelés 14.Kockázatazonosítás 15.Kockázatirányítás 16.Kockázatkezelés 17.Harmadik fél 18.Fenyegetés 19.Sebezhetőség
A szabvány struktúrája Ellenintézkedési területenként: –célkitűzés (control objective), amely megállapítja, hogy mit kell elérni az adott területen –egy vagy több ellenintézkedés, amit alkalmazni lehet a cél elérésére; mindegyik ellenintézkedésre: Ellenintézkedés leírása Megvalósítási útmutató –Azon tevékenységek meghatározása, amelyek az ellenintézkedés megvalósításához szükségesek Egyéb információ –Megvalósítás során figyelembe veendő tényezők és kapcsolódó magyarázatok Ellenintézkedések főcsoportja (fejezet) 11 Ellenintézkedési terület 38 Ellenintézkedés 115