Bezpečnost informačních systémů a mezinárodní standardy Petr Doucek Katedra systémové analýzy Vysoká škola ekonomická v Praze nám. W Churchilla 4, 130 00 Praha 3
[email protected] Motto: Bezpečnost IS/ICT je tak kvalitní, jak je kvalitní její nejhorší článek
Abstrakt Zejména v posledních několika letech se bezpečnost informačních systému a informačních a komunikačních technologií (IS/ICT) stala velmi důležitou součástí informatiky a jejího řízení ve firmách prakticky všech velikostí. Její význam neustále poroste i budoucnu hlavně z důvodu užšího zapojení České republiky do evropských struktur a tím i následně rostoucí integrací – ekonomickou, politickou i technologickou. Nejaktuálnějšími tématy současnosti v oblasti bezpečnosti IS/ICT jsou pro firmy zejména: •
zvyšování bezpečnostního povědomí pracovníků,
•
aplikace mezinárodních standardů,
•
kontrola a audit bezpečnosti IS/ICT.
Těmto hlavním oblastem a aplikací mazinárodních stnadardů v nich se bude věnovat můj příspěvek. Abstract IS/ICT security is nowadays often-discussed topic. It became one of the most important part of informatics in the past five years and it significance is permanently increasing thanks to the process of European integration Actual topics in IS/ICT security are: •
IS/ICT security awareness process,
•
international standardisation and improvement of international standards,
•
securoty control and auditing.
General role of international IS/ICT security standards mainly ISO/IEC 17799, ISO/IEC 15408, ISO/IEC TR 13335 1-5 and ISO/IEC TR 19791 in security assurance process- especially in IS/ICT security awareness process and auditing and control – are presented in this contribution. Klíčová slova bezpečnost IS/ICT , informační bezpečnost, mezinárodní standardy, ISO. Keywords IS/ICT security, information security, international standards, ISO
1 Úvod Bezpečnost IS/ICT se stala v posledních letech jednou klíčových otázek úspěšnosti velkých projektů informačních systémů a jejich nasazení do českých organizací – zejména státní a veřejné správy a velkých mezinárodních firem. Protože se jedná o jeden z průřezových procesů informatiky, je při jejím řešení nutné zdůraznit jak její interdisciplinární, tak i multidisciplinární charakter. Pro řešení a vyřešení tak složitého a komplexního problému, kterým řízení bezpečnosti informačních systémů SYSTEMS INTEGRATION 2004
15
PETR DOUCEK
bezpochyby je, je nutné splnit množství podmínek a mít pod kontrolou souhrn různých faktorů současně působících na informační systém organizace jako celku. Pro potřebu tohoto příspěvku jsem vybral některé oblasti, které jsou vzhledem k současné situaci ve firmách v oblasti bezpečnosti informačních systémů, velmi aktuální. Jsou to zejména následující oblasti: •
zvyšování bezpečnostního povědomí pracovníků,
•
analýza bezpečnostních rizik a realizace projektů zvyšujících bezpečnost IS/ICT,
•
prosazování mezinárodních standardů a jejich aplikace v podmínkách České republiky,
•
kontrola a audit bezpečnosti IS/ICT.
2 Zvyšování bezpečnostního povědomí V současné době je bezpečnost informační systémů poměrně dosti populárním pojmem na straně jedné, leč na straně druhé i velmi podceňovanou oblastí. Při bližším pohledu na řízení projektů informačních systémů zjišťujeme, že je stále považována, podobně jako řízení kvality za přepychové zboží, které je pro většinu firem, zejména malých a středních, nedostupné. Management velkých firem naproti tomu většinou velmi dobře chápe význam bezpečnosti a proto jsou v takových firmách pořádány různé akce nebo kampaně pro zvýšení bezpečnostního povědomí [PSIB_03]. Jejich cílem je obvykle: •
seznamovat zaměstnance s problematikou informačních systémů a informačních a komunikačních technologií a jejich bezpečnosti - prevence je levnější než řešení incidentů - represe,
•
prověřovat a testovat připravenost pracovníků na bezpečnostní incidenty a jejich řešení (problémem je naučit pracovníky identifikovat bezpečnostní incidenty),
•
dotvářet, případně vytvářet bezpečnostní dokumentaci.
Zvyšování bezpečnostního povědomí je v současné době výrazným nástrojem pro zvašování bezpečnosti informačního sdystému firmy jako takové. Poměrně rychlé nasazení a rozšíření IS/ICT do české ekonomiky v posledních deseti letech sice znamenalo velkou změnu v pracovních návycích zaměstnanců, většinou ovšem nikoli změnu v návycích ochrany aktiv IS/ICT, s nimiž pracují. Výrazný posun v chápání ochrany aktiv nastal např. ve finančním sektoru – a to i díky mnohým kauzám, které se dostaly na přední stránky novin a časopisů – ale v „obyčejných“ obchodních nebo výrobních firmách se zaměstnanci starají o ochranu dat velmi málo. Proto je pro řízení informatiky nutné nejen bezpečnost IS/ICT zavádět, řídit, kontrolovat a audtovat, ale také motivovat pracovníky k jejímu dodržování. Prvním krokem k motivaci je znalost problémů a uvědomění si potenciálních rizik a jejich případných dopadů.
3 Kontrola a audit bezpečnosti Kontrola a audit IS/ICT představují organickou součást procesu zajištění bezpečnosti IS/ICT v organizaci. Jejich procesy přímo navazují na zavedení určité úrovně – standardů – bezpečnosti IS/ICT v organizaci a v delším časovém horizontu zaručují, že požadovaná (nastavená) úroveň bezpečnosti také dodržována. První skupinou problémů, která vlastní auditní prci de facto předchází je stanovení úrovně bezpečnosti IS/ICT v organizaci. Způsoby a možnostmi stanovení úrovně bezpečnosti v organizaci se nebudu ve svém příspěvku primárně zabývat, ale jsou velmi podobné zůpsobům ověřování jejich dodržování – certifikaci nebo auditu. Obecně řečeno – úroveň bezpečnosti jak produktu, tak i informačního systému je možné sestavit v souladu s mezinárodními standardy – zejména [ČSN_3], [ISO_1], [ČSN_1] – jako
16
SYSTEMS INTEGRATION 2004
BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ A MEZINÁRODNÍ STANDARDY
mozaiku požadavků na splnění určitých bezpečnostních parametrů a na míru záruky jejich splnění. Míra záruky splnění je také součástí uvedených mezinárodních standardů – např. [ČSN_3], [ISO_1]. Další oblastí je provádění vlastní kontroly a auditu bezpečnosti IS/ICT. Postupy, které jsou v tomto případě uplatňovány, je možné rozdělit do následujících skupin: •
hodnocení a certifikace produktu podle ČSN ISO/IEC 15408, resp. podle připravované normy ISO/IEC TR 19791 - [ISO_1]
•
audit a certifikace bezpečnosti informačního systému podle ČSN ISO/IEC 17799,
•
řízení bezpečnostních incidentů v informačním systému [ISO_2]
•
atestace produktu nebo informačního systému podle standardů MI ČR.
Audit a certifikace informačního systému firmy podle ČSN ISO/IEC 17799 preferuje manažerský pohled na jeho bezpečnost a soustředí se na ověření a na shodu systému řízení informační bezpečnosti s touto normou. Výsledkem je certifikace informančího systému obdobně jako u ISO 900x či ISO 1400x. Tento typ nezávislého posouzení, pokud je prováděn v plném rozsahu, se soustředí na komplexní posouzení informančího systému včetně systému řízení informatiky a je používán zejména v evropském komerčním sektoru. Mezi potenciální nedostatky auditu podle tohoto systému je pojetí samotného procesu auditu a zejména některé použité metriky. Velmi často se stává, že použité metriky – existence nebo neexistence dokumentů - nejsou schopny postihnout další dimensi takto auditované dokumentace a to např. její kvalitu, obsah, aktuálnost, smyluplnost procesů apod. Hodnocení a certifikace podle ČSN ISO/IEC 15408 (Common Criteria) jsou vhodné pro vyjádření bezpečnostních vlastností produktů IS/ICT. Nicméně hodnocení souladu požadvku na prokut a skutečných vlastnotí produktu je náročné na čas i na spotřebované zdroje, a proto je počet doposud hodnocených a certifikovaných produktů v řádu několika desítek až stovek. Z důvodů porovnatelnosti hodnocení jednoltivých produktů podle těchto norem, jsou zřizovány specializované certifikační laboratoře. Cena za hodnocení produktu v laboratořích je poměrně vysoká a v současné době není žádná taková laboratoř na území České reubliky. I když norma připouští pomocí tohoto postupu i hodnocení celého informančího systému, v praxi k tomuto dochází pouze velmi výjimečně. Oba výše uvedené standardy se v některých bodech významně liší – zejména cílem určení, v některých bodech se naopak překrývají. Common Criteria [ČSN_3] a jejich rozšíření [ISO_1] akcentují zejména shodu bezpečnostních vlastností produktu, zatímco ČSN ISO/IEC 17799 je zaměřeno na zkoumání vlastností systému jako celku – tedy instance konkrétního produktu (produktů) v konkrétních podmínkách. Vymezení bezpečnosti IS/ICT podle ČSN ISO/IEC 15408 je chápáno jaka sestavení požadavků na produkt z mozaiky v normě obsažených parametrů, které musí následně splňovat hodnocený předmět (TOE) – Obr. 1. Takové pojetí se liší od původního pojetí, které představovaly zejména dřívější standardy bezpečnosti ITSEC a TCSEC. V nich byla bezpečnost IS/ICT rozdělena do tříd a dosažení každé třídy bezpečnosti představovalo splnění přesně určeného počtu atributů. Nevýhoda takového pojetí spočívá v tom, flexibilita určení si vlastních priorit bezpečnosti IS/ICT byla prakticky nulová. Pojetí uvedené v ČSN/ISO/IEC 15408 a v [ISO_1] umožňuje stanovit si vlastní množinu atributů bezpečnosti, úroveň a míru záruky jejich splnění z nabídnuté množiny. Množina nabízených atributů odráží základní procesy v řízení informatiky a jejího provozu ve formě kritérií (atributů), která musí být splněna pro úspěšný a bezpečný chod informačního systému organizace. Atributy jsou sdruženy do tříd. Každá třída je vždy vymezena svým popisem a obsahuje jednotlivé rodiny atributů. Rodina je určena popisem svého chování, dále obsahuje informace o řazení svých jednotlivých komponent (komponenta je určena svou identifikací, funkčními prvky – atributy a vazby mezi nimi) do úrovní, způsob jejich správy a způsob provádění auditu. Schéma způsobu vymezení atributů a jejich pojetí je uvedeno na následujícím obrázku Obr. 1.
SYSTEMS INTEGRATION 2004
17
PETR DOUCEK
Předmět hodnocení (TOE) Rozhraní Bezpečnostních funkcí TOE (TSFI)
Bezpečnostní funkce TOE (TSF) Bezpečnostní atributy Uživatel / Vzdálený IT Produkt
Subjekt
Vynucuje bezpečnostní politiku TOE (TSP)
Subjekt Objekt/ Informacelll Bezpečnostní atributy
Bezpečnostní atributy
Subjekt
Bezpečnostní atributy
Bezpečnostní atributy
Zdroj
Proces
Uživatel Subjekt
Obr. 1: Pojetí bezpečnosti IS/ICT podle ČSN ISO/IEC 15408, přejato [ČSN_3] Dalším sblížením pohledů na certifikaci a audit bezpečnosti IS/ICT je právě připravovaný mezinárodní standard ISO/IEC TR 19791 – „Information Technology - Security Techniques - Security Assessment for Operational Systems”. Standard – technical report - doplňuje rozsah normy ČSN ISO/IEC 15408 o další aspekty, které jsou převážně netechnologického charakteru. Návrh mezinárodního standardu ISO/IEC TR 19791 rozšiřuje současný platný hodnotící standard zejména o následující rodiny atributů: •
personální bezpečnost,
•
řízení konfigurací včetně řízení konfigurace bezpečnosti,
•
bezpečnostní povědomí,
•
testování,
•
vedení dokumentace, podpora životního cyklu.
Jedním z dalších významných připravovaných mezinárodních standardů je ISO/IEC 18044 [ISO_2] – Information technology - Security techniques - Information security incident management - řízení bezpečnostních incidentů, který dotváří celkový pohled na řešení otázek bezpečnosti IS/ICT. Cílem standardu je: •
vymezit nejdůležitější kategorie bezpečnostních incidentů,
•
stanovit typové postupy jejich řešení,
•
vymezit role v procesu řešení incidentů a s nimi stanovit jejich pravomoci a odpovědnosti.
Součástí standardu je i vzorová dokumentace pro vedení evidence bezpečnostních incidentů. Návrh standardu lez hodnotit jako významný krok, který dotváří celkový pohled na řízení bezpečnosti informančích systémů. Je sice primárně určen pro velké organizace, ale i malé a střední firmy z něj mohou čerpat inspiraci pro řešení bezpečnostních incidentů u sebe.
18
SYSTEMS INTEGRATION 2004
BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ A MEZINÁRODNÍ STANDARDY
Jedním z dalších způsobů nezávislého posouzení je atestace podle standardů MI ČR. Standardy MIČR vycházejí z platných mezinárodních standardů a představují proto významnou platformu jejich zavádění do české praxe a tím i zvyšují bezpečnosntí povědomí. Tento přístup je užitečným kompromisem, který zajistí vysoké přínosy při relativně nízké spotřebě zdrojů. Původně byly tyto atestace určeny pouze pro informační systémy státní a veřejné zprávy (resp. Složky SIS), avšak objevují se případy obecnějšího uznávání těchto atestů. Nezávislé ověření a posouzení bezpečnosti IS/ICT je důležitým prvkem informační bezpečnosti, který dovoluje prohlubovat důvěru mezi výrobci a uživateli informačních a komunikačních systémů. Třetí nezávislá strana provádějící ověření bezpečnosti sehrává roli nezávislého arbitra a napomáhá při hledání vhodných kompromisů. Nezávislé posouzení ještě neznamená jendotné – tím spíš jendotné v celém světě. Protože se problematikou bezpečnosti zabývá mnoho odborníků v mnoha zemích s různým kulturním a společenským zázemím, jsou v nich i různé „standardy“ hodnocení bezpečnosti. Jejich porovnámí se zabývá mezinárodní standard ISO/IEC PDTR 15443 („Information technology – Security techniques – A framework for IT security assurance“) [ISO_3], resp. ISO/IEC PDTR 15443–2. Cílem tohoto standardu přehledně uvést metody a přístupy k řešení bezpečnosti IS/ICT (produktů i informačních systémů), porovnat je mezi sebou a se standardem ISO/IEC uvedeném v ISO/IEC PDTR 15443–1.
4 Závěry Bezpečnost informačních se stává postupně jedním rozhodujících faktorů úspěchu nasazení investic vložených do IS/ICT a měřítkem jejich efektivnosti. Zrpsotředkovaně se tak stává i posouzením smysluplnosti firmou nebo institucí provozované aktivity. Samotné zavádění bezpečnosti do organizace je ovšem pro ni samou proces velmi bolestný, dlouhodobý a také poměrně nákladný. Velmi často připadá managerům, že se jedná o investici vynaloženou zbytečně a že by bylo možné prostředky . jak finanční, tak lidské využít ku prospěchu firmy lépe. Tato investice má však do určité míry charakter pojištění – dokud se nic nestanem tak je zbytečná, ale jakmile se „něco“ – resp. cokoli přihodí, tak je doslova k nezaplacení. K samotnému zavádění a zavedení bezpečnosti do organizace je potřeba znalostí a schopností, které nejsou úplně běžně na trhu IS/ICT k dispozici. Proto jsou základní mechanismy a zvyklosti uloženy do mezinárodních standardů (know.how), na jejichž přípravě se podílejí experti z mnoha zemí světa – nevymýšlejme, co je již hotové. Ovšem k aplikaci sebelepších standardů je nutné přistupovat kreativně ne mechanicky a je nezbytné umět je přizpůsobovat konkrétním podmínkám, v nichž je chceme aplikovat. Standardy mají sice celosvětovou platnost, ale specifika jednotlivých zemí a kultur musí vystihnout lokální odborníci. Tím platnost mezinárodních standardů nejen potvrdí, ale myšlenky v nich uložené ještě zúročí do větších efektů pro cílovou organizaci. Nastávající období postupného začleňování České republiky do vnitřních struktur Evropské unie představuje velkou příležitost pro firmy, ale na druhou stranu se tato příležitost stane skutečností pouze pro připravené a to připravené v mnoha směrech – díky rostoucí globalizaci také připravené v oblasti bezpečnosti IS/ICT.
5 Literatura [BSI_99] British Standards Institution: The British Standard on Information Security Management, 1999 [ČSN_1] ČSN 36 9790 - ČSN/ISO/IEC 17799 - Informační technologie – Soubor postupů pro řízení informační bezpečnosti [ČSN_2a] ČSN 36 9786 – ČSN/ISO/IEC TR 13335-1 Informační technologie – Směrnice pro řízení bezpečnosti IT – Část 1: Pojetí a modely bezpečnosti IT SYSTEMS INTEGRATION 2004
19
PETR DOUCEK
[ČSN_2b] ČSN 36 9786 – ČSN/ISO/IEC TR 13335-3 Informační technologie – Směrnice pro řízení bezpečnosti IT – Část 3: Techniky pro řízení bezpečnosti IT [ČSN_3] ČSN 36 9786 – ČSN/ISO/IEC 15408 1-3 Informační technologie – Směrnice pro řízení bezpečnosti IT [DEL_03] Delina, R., Grohol, M.: Performance Measurement of B2B Procurement with Focus on Dynamic Transaction Mechanisms [DOU_03a] Doucek, P.: IS/ICT Security in Czech Firms, In: Strategic Management and its Support by Information Systems, VŠB Ostrava, 2003, ISBN 80-248-0405-0 [DOU_03b] Doucek, P.: Bezpečnost informační systémů a její prosazování v České republice, In: Informatika 2003, pp. 141 – 146, Bratislava 2003, ISBN 80-233-0491-7 [DOU_04] Doucek, P.: IS/ICT Security – Auditing and Control, In: Organizational Science Development, Faculty of Maribor, 2004, ISBN 961-232-166-3 [HAL_01] Halouzka, J., Racková, E., Seige, V.: Informační bezpečnost – příručka manažera, Tate International, Praha, 2001 [HAB_03] Habrda, J: Analýza rizik bezpečnosti IS/IT – vývoj metodiky pro velký strojírenský podnik, diplomová práce VŠE Praha, Praha 2003 [HAN_00] Hanáček, P., Staudek, J.: Bezpečnost informačních systémů, Úřad pro státní informační systém, Praha 2000 [ISO_1] ISO/IEC TR 19791 - Information technology -Security techniques - Security assessment for operational systems [ISO_2] ISO/IEC 18044 - Information technology - Security techniques - Information security incident management [ISO_3] ISO/IEC PDTR 15443, Information technology – Security techniques – A framework for IT security assurance [LAV_00] Lavrin A., Orbanová I., Distance Education, New Approach to University Education, ISTEP 2000, „Intrenational Symposium on Telemedicine and Teleeducation in Practice“, Proceedings, Elfa s.r.o., ISBN 80-88964-38-5, pp 183 – 185, 2000. [PSIB_03] DSM, NBÚ, E&Y: Průzkum stavu informační bezpečnosti v ČR – oficiální zpráva o výsledcích, 2003 Interní materiály bezpečnostních projektů
20
SYSTEMS INTEGRATION 2004
