A BS7799 és ITIL szabványokról avagy
menedzsment- és folyamatszabványok az informatika fejlesztése, üzemeltetése és védelme területén Krauth Péter MSZT 819. (Informatikaszabványosítási) Műszaki Bizottság elnöke 2005. április 15. (
[email protected]) Magyar Szabványügyi Testület, 819. MB
Menedzsment- és folyamatszabványok fókuszterületei
Fejlesztés
Üzemeltetés Mérés
Informatikaszolgáltatás irányításának szabványa (ITIL, BS 15000, ISO/IEC 20000) Az információvédelem irányítási rendszerének nemzetközi szabványa (BS 7799 … és ami utána jön)
Rendszerés szoftvertechnológiai szabványok
Védelem
Magyar Szabványügyi Testület, 819. MB
FEJLESZTÉS: Rendszer- és szoftvertechnológiai szabványok
Magyar Szabványügyi Testület, 819. MB
Térkép a rendszer- és szoftvertechnológiai szabványokhoz Alapok Folyamatok
Informatikai szolgáltatásirányítás
15504
Folyamatfelmérés
15288
Rendszertechnológia
19759 Szoftvertechnológiai ismeretek kézikönyve (SWEBOK)
20000
19760
12207 Szoftvertechnológia
12182
Termékek 9127
Termékcsomagolás
15289
Dokumentáció
12119
Termékértékelés
15271 90003
Szótár
9126 14598 14756
3535 14759
6592, 9294, 15910, 18019
15846
16085, 15026
19770
14764
16326
Vagyon- Szoftver- ProjektKonfigurációRégi SC7kezelés Kockázat kezelés karban- irányítás szabványok és integritás tartás Dokumentálás
15939 Mérés
14143, 19761, 20926, 20968, 24570,
Szoftverminőség Szoftverek funkcionális méretének mérése
Eszközök és módszerek 5806, 5807, 6593, 8631, 8790, 11411
14102, 14471, 15940, 18018
Régi SC7-szabványok Eszközök és környezet
Honosított
Honosítás alatt lévő
10746, 13235, 14750, 14752, 14753, 14769, 14771, 15414, 15935, 19500 Specifikáció
14568, 15474, 15475, 15476 Adatcsere (CDIF)
15437, 15909, 19501, 8807 Modellezés
Honosítási tervben szerepel
Magyar Szabványügyi Testület, 819. MB
Fejlesztési szabványok magyarul • Szoftvertermékek „csomagolása”: ISO/IEC 9127 • Életciklus-folyamatok: ISO/IEC 12207 • Szoftverminőség: ISO/IEC 9126 • ISO 9001 „szoftvernyelven”: ISO/IEC 90003 • Mérési folyamat: ISO/IEC 15939 • Folyamatfelmérés: ISO/IEC 15504 – CMMI alapja
Magyar Szabványügyi Testület, 819. MB
ÜZEMELTETÉS: Az informatikaszolgáltatás irányításának szabványa (ITIL, BS 15000 és ISO/IEC 20000)
Magyar Szabványügyi Testület, 819. MB
Az üzemeltetés szerepe Üzleti tevékenység Informatika fejlesztése
Informatika üzemeltetése
Üzleti tevékenység
Informatika fejlesztése
8 9
Informatika üzemeltetése
Magyar Szabványügyi Testület, 819. MB
Informatikaüzemeltetés és üzleti tevékenység kapcsolata / 1 Üzleti tevékenység Ügyintézők (felhasználók)
i ncidensek
Vezetők (megrendelők)
SLA-k
Informatikaüzemeltetés Támogatás
Tervezés és felügyelet
Magyar Szabványügyi Testület, 819. MB
Informatikaüzemeltetés és üzleti tevékenység kapcsolata / 2 Ügyintézők (felhasználók)
Vezetők (megrendelők)
panaszok és kérések
SLA-k javaslatok
Ügyfélszolgálat és javítás Állapot– információk Állapotfelügyelet
Szolgáltatástervezés változ tatások
célok és tervek erőforrások
változ tatások
Rendelkezésre állás és kapacitás felügyelete
Magyar Szabványügyi Testület, 819. MB
BS 15000 (Az ITIL, mint brit szabvány) Szolgáltatásbiztosítási folyamatok Kapacitásbiztosítás Szolgáltatás folytonosságának és rendelkezésre állásának biztosítása
Kiadási folyamat
Szolgáltatási szint biztosítása
Információvédelem biztosítása
Szolgáltatásjelentés Informatikaszolgáltatás költségvetése és számvitele
Állapotfelügyeleti folyamatok Konfigurációkezelés Változáskezelés
Javítási folyamatok
Kiadáskezelés
Kapcsolattartási folyamatok
Incidenskezelés
Üzleti kapcsolat kezelése
Problémakezelés
Szállítókezelés
Magyar Szabványügyi Testület, 819. MB
ISO/IEC 20000 (Az ITIL, mint nemzetközi szabvány) Magyar szabvány
MSZ ISO/IEC 20000
Magyar előszabvány
2005
MSZE 15100 1996
Kormányzati (ITB) ajánlás
Nemzetközi szabvány ISO/IEC 20000
2007
2006
Brit szabvány (BS 15000)
2003
2000 1998
„De facto” ajánlás nemzetközi szinten (itSMF)
1988
Bevált vállalati/intézményi gyakorlat Magyar Szabványügyi Testület, 819. MB
Üzemeltetés és fejlesztés kapcsolata
Kapacitásbiztosítás
ismert hibák
Ismert hibák
ProblémaKezelés változtatási kérelem
Változáskezelés
Prototípuskészítés
k k ye ye én én dm dm re ere te sz te
Változáskezelés
Tervezés
st
változtatási kérelem
nem-funkcionális követelmények t e lj e pro sítmé n tot ípu ys teljesítményprototípus tez
változtatási kérelem
Rendelkezésre állás biztosítása
változtatás
megmaradt hibák k zt tes énye m d ere változtatás
Kivitelezés (Programozás) Kiadáskezelés Átvételi tesztelés
új verzió
Szoftvertár
Karbantartás
Régi verzió
Magyar Szabványügyi Testület, 819. MB
Üzemeltetés és védelem kapcsolata
8 9 ITIL és BS 7799
Magyar Szabványügyi Testület, 819. MB
Üzemeltetés és védelem kapcsolata / 2 Védelmi követelmény (BS 7799)
Üzemeltetési ajánlás (ITIL)
• Az SLA tartalmazza a konkrét védelmi követelményeket Védelmi követelmények külső • Védelmi követelmények a szerződésekben (3. fél, kiszerv.) beszállítókkal kötött SLA-kban • A szolgáltatásvezető feladata Az információvédelem az SLA összehangolása összehangolása • Az informatikai infrastruktúra Vagyontárgyak felügyelete változásainak felügyelete (Változáskezelés) • Konfigurációs adatbázis, Vagyonleltár hiteles szoftver- és hardvertár (Konfig.- és kiadáskezelés)
• Védelmi politika • • • •
Magyar Szabványügyi Testület, 819. MB
Üzemeltetés és védelem kapcsolata / 3 Védelmi követelmény (BS 7799)
Üzemeltetési ajánlás (ITIL)
• A védelem fizikai és környezeti • kérdései • • A kommunikáció és az üzemeltetés irányítása • • Kapacitástervezés • • Rendszerelfogadás • Rendszerhasználat figyelése • • • Változáskezelési eljárások • Biztonsági másolat, adatmentés • • • Eseménynaplózás
Rendszeres kockázatelemzés a Folytonosságbiztosítás részeként Kapcsolódó „Infokom infrastruktúra menedzsmenje” c. könyv Kapacitásbiztosítás Változáskezelés Kapacitásbiztosítás Változáskezelés Rendelkezésre állás biztosítása Incidenskezelés Magyar Szabványügyi Testület, 819. MB
Üzemeltetés és védelem kapcsolata / 4 Védelmi követelmény (BS 7799) • • • •
Incidensek bejelentése Tanulás az incidensekből Adatcsere-megállapodások Hozzáférésellenőrzés
Üzemeltetési ajánlás (ITIL) • • • •
Ügyfélszolgálat Problémakezelés SLA Rendelkezésre állás biztosítása (védelmi követelmények megvalósítása)
• Program forrás-könyvtár
• Kiadáskezelés
• Követelmények a rendszerek biztonságára • Működésfolytonosság fenntartása
• SLA
(hiteles szoftvertár)
• Folytonosságbiztosítás Magyar Szabványügyi Testület, 819. MB
VÉDELEM: Információvédelem irányításának nemzetközi szabványa (BS 7799 … és ami utána jön)
Magyar Szabványügyi Testület, 819. MB
BS 7799 Közel egy évtizede használt, igen elterjedt, 2 részből álló szabvány: – –
BS 7799-1:2000 – Informatika. Az információvédelmi irányítási rendszerek gyakorlati kézikönyve BS 7799-2:2002 – Az. információvédelem irányítási rendszerei. Előírás és útmatatás a használatra
ISO/IEC 17799 – – –
a brit BS 7799-1 ú.n. gyorsított eljárással történt átvétele, „beemelése” az ISO szabványok körébe Jelenleg módosítás alatt (idén jelenik meg új kiadása) Magyarországon: MSZ ISO/IEC 17799:2001
BS 7799-2 – – – –
nemzetközileg széles körben, de nem hivatalosan elfogadott követelményszabvány, amit tanúsításra használnak Mellette: pl. Anglia, Hollandia, Svédország, Japán Ellene: pl. Franciaország, Németország, USA, Kanada, Ausztrália Magyarországon: MSZE 17799-2:2004
Problémák a BS 7799-cel: – – – – –
A követelményrendszer helyenként túl esetleges, könnyen meghaladhatja a technológia Nem fogalmaz meg kellő előírást a kockázatmenedzsment alkalmazására az információvédelem vonatkozásában Nincs kellő összhangban más elterjedt cél- és követelményrendszerekkel (pl. COBIT, Common Criteria - ISO/IEC 15408) Nem határozza meg a védelmi intézkedések eredményességvizsgálatának módját Alkalmazható-e klasszikus tanúsítási rendszer olyan gyorsan változó területen mint az IT? Magyar Szabványügyi Testület, 819. MB
BS 7799-2 tanúsított szervezetek országonként Japán
365 USA
9 Argentina
1
Nagy-Britannia
139 Írország
8 Egyiptom
1
India
34 Kína
6 Makaó
1
Németország
24 Svédország
4 Malajzia
1
Korea
23 Ausztria
3 Hollandia
1
Tajvan
20 Brazila
3 Lengyelország
1
Olaszország
18 Izland
3 Qatar
1
Hong Kong
15 Mexikó
3 Szaúd-Arábia
1
Szingapúr
11 Svájc
3 Szlovénia
1
Ausztrália
10 Belgium
2 Dél-Afrika
1
Finnország
10 Dánia
2 Spanyolország
1
Magyarország
9 Görögország
2
Norvégia
9 UAE
2
Összesen
744
Magyar Szabványügyi Testület, 819. MB
BS 7799-2 szerint tanúsított, magyar szervezetek Cég
A tanúsítvány száma
Tanúsító szervezet
Állami Nyomda Rt, Budapest
4/0
CIS
Eurotronik Rt.
0006-2002-AIS-SKM-SWEDAC
DNV
Giro Bankkártya Rt.
10
KPMG Audit
HERMES Softlab Kft
136056
LRQA
HM EI Rt.
73660
URS
Magar Pénzjegynyomda Rt.
0008-2002-AIS-SKM-SWEDAC
DNV
Magyar Vállalkozásfejlesztési Kht.
GB04/61098
SGS ICS
MICROSEC Kft
136055
LRQA
PSZÁF
GB04/61624
SGS ICS
Magyar Szabványügyi Testület, 819. MB
Térkép az információvédelmi szabványokhoz Információvédelmi irányítási rendszer (ISMS) követelményei Műszaki szabványok és leírások
Infokom védelem modelljei IS 13335-1
Titkosítás
ISO 9001 SSE-CMM IS 21827
BS 15000 (ITIL)
Digitális aláírás
Hozzáférésellenőrzés Letagadhatatlanság
Behatolásészlelés – TR 15947
Lenyomatképzés
ISO 19011
Információbiztonsági incidensek kezelése
EN 45012 EN 45013 EA 7/13 EN 45011
Közös szempontok – IS 15408
NIST SP 800-37
Keret az informatikai védelem biztosításához
NIST SP 800-53
Védelmi profilok nyilv. – IS 15292
Honosítás alatt lévő
Rendszerértékelés
NIST SP 800-53A
Kriptográfiai modulok értékelése (FIPS 140-2)
Védelmi profilok megadása Honosított
ISO 62-es útmutató
Termék/rendszer tesztelése és értékelése
TTP-szolgáltatások Kulcsgondozás
Kockázatkezelés IS 13335-2
Mérés IS 24742
Útmutatás ellenintézkedések megvalósítására IS 17799
Hitelesítés
Irányítási rendszer auditálása, tanúsítása, akkreditálás
Útmutatás/előírás folyamatokra
Hálózatvédelem
Időbélyegzés
ISO/IEC 24743
BS 7799-2
Honosítási tervben szerepel
Magyar Szabványügyi Testület, 819. MB
Védelmi szabványok magyarul / 1 1.
2. 3. 4. 5. 6.
Az információvédelem irányítási BS 7799-2 rendszere. Előírás és útmutatás a használatra Az informatikaszolgáltatás BS 15000 irányítása Kulcsgondozás ISO/IEC 11770 Időbélyegzési szolgáltatások ISO/IEC 18014 Az informatikai behatolásISO/IEC TR 15947 érzékelés keretszabálya ISO/IEC 15816 A hozzáférésellenőrzés biztonsági információobjektumai
MSZE 17799-2
MSZE 15100 MSZ ISO/IEC 11770 MSZ ISO/IEC 18014 MSZ ISO/IEC TR 15947 MSZ ISO/IEC 15816
Előszabványok (MSZE) Magyar Szabványügyi Testület, 819. MB
Védelmi szabványok magyarul / 2 1. 2. 3. 4. 5. 6.
Az informatikai biztonságértékelés közös szempontjai (CC) Az információvédelmi irányítási rendszerek gyakorlati kézikönyve Útmutatás az informatikai biztonság menedzseléséhez Digitális aláírás függelékkel Letagadhatatlanság Előírás bizalmi harmadik felek (TTP) digitális aláírás alkalmazását támogató szolgáltatásaira
ISO/IEC 15408 MSZ ISO/IEC 15408 ISO/IEC 17799 MSZ ISO/IEC 17799 ISO/IEC 13335 MSZ ISO/IEC 13335 ISO/IEC 14888 MSZ ISO/IEC 14888 ISO/IEC 13888 MSZ ISO/IEC 13888 ISO/IEC 15945 MSZ ISO/IEC 15945
Magyar Szabványügyi Testület, 819. MB
Információvédelmi szabványok hierarchikus rendszere ISO 73-as útmutató
Terminológia
Az információvédelem irányításának (ISM) alapelvei
Alapelvek
Inf. védelemirányítási keretrendszer
MICTS-1 Modellek és fogalmak (IS 13335-1)
Inf. védelemirányítási rendszer (NP 24743)
ISM gyakorlati kézikönyve (IS 17799 / ITU-T X.???)
MICTS-2 Kockázatkezelés (IS 13335-2)
ISM mérőszámok és mérések (NP 24742)
Auditálás ISO 19011
Útmutató a pénzügyi ISM-re (TC 68)
Útmutató a távközlési ISM-re: T-ISMS (ITU-T X.1015)
Útmutató az egészségügyi ISM-re (TC 215)
InformációInformatikai biztonsági behatolásvédelmi incidenskezelés keretrendszer (TR 18044) (TR 15947)
Informatikai hálózatvédelem (IS 18028 / ITU-T X.???)
Útmutató TTPszolgáltatásokra (IS 14516 / ITU-T X.842)
Keretek Alapvető szabványok Alkalmazási útmutatók és kiegészítők Technikák gyűjteménye
SC7 SD6 aktualizált, harmonizált
Magyar Szabványügyi Testület, 819. MB
Hogyan lehet az eredményességet bemutatni? ISO/IEC 24743 (BS 7799-2 nemzetközi változata): • A védelmi intézkedések megvalósításának tervezésével kapcsolatban a szabvány olyan követelményeket is fog tartalmazni, amelyek – biztonsági mutatókkal kapcsolatosak, és amelyek – a megvalósított intézkedések eredményességének meghatározására irányulnak az ilyen mutatók használatával
Új szabvány (ISO/IEC 24742): • Mérőszámok és mérések az információvédelem irányításához
Magyar Szabványügyi Testület, 819. MB
ISMS-szabványok és a PDCA-modell Kockázatkezelés ISO/IEC 13335-2
Fogalmi keret ISO/IEC 13335-1 Az információvédelem irányítási rendszere (ISMS) ISO/IEC 24743
Útmutatás védelmi intézkedések megvalósítására ISO/IEC 17799 Útmutatás ISMS megvalósítása ISO/IEC „X” Létező
Átdolgozás alatt
Terve- Beavatzés kozás Végrehajtás
Ellenőrzés
Új
Termékszintű biztonságértékelés ISO/IEC 15408
Mérőszámok és mérések az információvédelem irányításához ISO/IEC 24742 ISMS auditálása ISO 19011 Tervezett
Magyar Szabványügyi Testület, 819. MB
Az ISMS-szabványosítás (ISO/IEC 24743) folyamata Egyetlen (egy részből álló) nemzetközi szabvány Gyorsított ütemű szabványosítás – – – –
2004. október: Az új szabványosítási tevékenység elfogadása 2005. április: szabványbizottság (SC27) szintű javaslat 2006. április: ISO/IEC szintű javaslat 2006. október: a szabvány publikálása
A gyorsított ütemnek azért van esélye, mert a tervezett szabvány létező szabványokra fog alapulni – összhangban a BS 7799-2:2002-vel – befektetések védelme, kompatibilitás
A külön szabvány (ISO/IEC 24742) a mérőszámok és mérés témakörében (Ausztrália, Németország, USA kérésére) 2008-ra Magyar Szabványügyi Testület, 819. MB
