Bezpečnost informačních systémů a mezinárodní standardy

Transkript

1 Bezpečnost informačních systémů a mezinárodní standardy Petr Doucek Katedra systémové analýzy Vysoká škola ekonomická v Praze nám. W Churchilla 4, Praha 3 doucek@vse.cz Motto: Bezpečnost IS/ICT je tak kvalitní, jak je kvalitní její nejhorší článek Abstrakt Zejména v posledních několika letech se bezpečnost informačních systému a informačních a komunikačních technologií (IS/ICT) stala velmi důležitou součástí informatiky a jejího řízení ve firmách prakticky všech velikostí. Její význam neustále poroste i budoucnu hlavně z důvodu užšího zapojení České republiky do evropských struktur a tím i následně rostoucí integrací ekonomickou, politickou i technologickou. Nejaktuálnějšími tématy současnosti v oblasti bezpečnosti IS/ICT jsou pro firmy zejména: zvyšování bezpečnostního povědomí pracovníků, aplikace mezinárodních standardů, kontrola a audit bezpečnosti IS/ICT. Těmto hlavním oblastem a aplikací mazinárodních stnadardů v nich se bude věnovat můj příspěvek. Abstract IS/ICT security is nowadays often-discussed topic. It became one of the most important part of informatics in the past five years and it significance is permanently increasing thanks to the process of European integration Actual topics in IS/ICT security are: IS/ICT security awareness process, international standardisation and improvement of international standards, securoty control and auditing. General role of international IS/ICT security standards mainly ISO/IEC 17799, ISO/IEC 15408, ISO/IEC TR and ISO/IEC TR in security assurance process- especially in IS/ICT security awareness process and auditing and control are presented in this contribution. Klíčová slova bezpečnost IS/ICT, informační bezpečnost, mezinárodní standardy, ISO. Keywords IS/ICT security, information security, international standards, ISO 1 Úvod Bezpečnost IS/ICT se stala v posledních letech jednou klíčových otázek úspěšnosti velkých projektů informačních systémů a jejich nasazení do českých organizací zejména státní a veřejné správy a velkých mezinárodních firem. Protože se jedná o jeden z průřezových procesů informatiky, je při jejím řešení nutné zdůraznit jak její interdisciplinární, tak i multidisciplinární charakter. Pro řešení a vyřešení tak složitého a komplexního problému, kterým řízení bezpečnosti informačních systémů SYSTEMS INTEGRATION

2 PETR DOUCEK bezpochyby je, je nutné splnit množství podmínek a mít pod kontrolou souhrn různých faktorů současně působících na informační systém organizace jako celku. Pro potřebu tohoto příspěvku jsem vybral některé oblasti, které jsou vzhledem k současné situaci ve firmách v oblasti bezpečnosti informačních systémů, velmi aktuální. Jsou to zejména následující oblasti: zvyšování bezpečnostního povědomí pracovníků, analýza bezpečnostních rizik a realizace projektů zvyšujících bezpečnost IS/ICT, prosazování mezinárodních standardů a jejich aplikace v podmínkách České republiky, kontrola a audit bezpečnosti IS/ICT. 2 Zvyšování bezpečnostního povědomí V současné době je bezpečnost informační systémů poměrně dosti populárním pojmem na straně jedné, leč na straně druhé i velmi podceňovanou oblastí. Při bližším pohledu na řízení projektů informačních systémů zjišťujeme, že je stále považována, podobně jako řízení kvality za přepychové zboží, které je pro většinu firem, zejména malých a středních, nedostupné. Management velkých firem naproti tomu většinou velmi dobře chápe význam bezpečnosti a proto jsou v takových firmách pořádány různé akce nebo kampaně pro zvýšení bezpečnostního povědomí [PSIB_03]. Jejich cílem je obvykle: seznamovat zaměstnance s problematikou informačních systémů a informačních a komunikačních technologií a jejich bezpečnosti - prevence je levnější než řešení incidentů - represe, prověřovat a testovat připravenost pracovníků na bezpečnostní incidenty a jejich řešení (problémem je naučit pracovníky identifikovat bezpečnostní incidenty), dotvářet, případně vytvářet bezpečnostní dokumentaci. Zvyšování bezpečnostního povědomí je v současné době výrazným nástrojem pro zvašování bezpečnosti informačního sdystému firmy jako takové. Poměrně rychlé nasazení a rozšíření IS/ICT do české ekonomiky v posledních deseti letech sice znamenalo velkou změnu v pracovních návycích zaměstnanců, většinou ovšem nikoli změnu v návycích ochrany aktiv IS/ICT, s nimiž pracují. Výrazný posun v chápání ochrany aktiv nastal např. ve finančním sektoru a to i díky mnohým kauzám, které se dostaly na přední stránky novin a časopisů ale v obyčejných obchodních nebo výrobních firmách se zaměstnanci starají o ochranu dat velmi málo. Proto je pro řízení informatiky nutné nejen bezpečnost IS/ICT zavádět, řídit, kontrolovat a audtovat, ale také motivovat pracovníky k jejímu dodržování. Prvním krokem k motivaci je znalost problémů a uvědomění si potenciálních rizik a jejich případných dopadů. 3 Kontrola a audit bezpečnosti Kontrola a audit IS/ICT představují organickou součást procesu zajištění bezpečnosti IS/ICT v organizaci. Jejich procesy přímo navazují na zavedení určité úrovně standardů bezpečnosti IS/ICT v organizaci a v delším časovém horizontu zaručují, že požadovaná (nastavená) úroveň bezpečnosti také dodržována. První skupinou problémů, která vlastní auditní prci de facto předchází je stanovení úrovně bezpečnosti IS/ICT v organizaci. Způsoby a možnostmi stanovení úrovně bezpečnosti v organizaci se nebudu ve svém příspěvku primárně zabývat, ale jsou velmi podobné zůpsobům ověřování jejich dodržování certifikaci nebo auditu. Obecně řečeno úroveň bezpečnosti jak produktu, tak i informačního systému je možné sestavit v souladu s mezinárodními standardy zejména [ČSN_3], [ISO_1], [ČSN_1] jako 16 SYSTEMS INTEGRATION 2004

3 BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ A MEZINÁRODNÍ STANDARDY mozaiku požadavků na splnění určitých bezpečnostních parametrů a na míru záruky jejich splnění. Míra záruky splnění je také součástí uvedených mezinárodních standardů např. [ČSN_3], [ISO_1]. Další oblastí je provádění vlastní kontroly a auditu bezpečnosti IS/ICT. Postupy, které jsou v tomto případě uplatňovány, je možné rozdělit do následujících skupin: hodnocení a certifikace produktu podle ČSN ISO/IEC 15408, resp. podle připravované normy ISO/IEC TR [ISO_1] audit a certifikace bezpečnosti informačního systému podle ČSN ISO/IEC 17799, řízení bezpečnostních incidentů v informačním systému [ISO_2] atestace produktu nebo informačního systému podle standardů MI ČR. Audit a certifikace informačního systému firmy podle ČSN ISO/IEC preferuje manažerský pohled na jeho bezpečnost a soustředí se na ověření a na shodu systému řízení informační bezpečnosti s touto normou. Výsledkem je certifikace informančího systému obdobně jako u ISO 900x či ISO 1400x. Tento typ nezávislého posouzení, pokud je prováděn v plném rozsahu, se soustředí na komplexní posouzení informančího systému včetně systému řízení informatiky a je používán zejména v evropském komerčním sektoru. Mezi potenciální nedostatky auditu podle tohoto systému je pojetí samotného procesu auditu a zejména některé použité metriky. Velmi často se stává, že použité metriky existence nebo neexistence dokumentů - nejsou schopny postihnout další dimensi takto auditované dokumentace a to např. její kvalitu, obsah, aktuálnost, smyluplnost procesů apod. Hodnocení a certifikace podle ČSN ISO/IEC (Common Criteria) jsou vhodné pro vyjádření bezpečnostních vlastností produktů IS/ICT. Nicméně hodnocení souladu požadvku na prokut a skutečných vlastnotí produktu je náročné na čas i na spotřebované zdroje, a proto je počet doposud hodnocených a certifikovaných produktů v řádu několika desítek až stovek. Z důvodů porovnatelnosti hodnocení jednoltivých produktů podle těchto norem, jsou zřizovány specializované certifikační laboratoře. Cena za hodnocení produktu v laboratořích je poměrně vysoká a v současné době není žádná taková laboratoř na území České reubliky. I když norma připouští pomocí tohoto postupu i hodnocení celého informančího systému, v praxi k tomuto dochází pouze velmi výjimečně. Oba výše uvedené standardy se v některých bodech významně liší zejména cílem určení, v některých bodech se naopak překrývají. Common Criteria [ČSN_3] a jejich rozšíření [ISO_1] akcentují zejména shodu bezpečnostních vlastností produktu, zatímco ČSN ISO/IEC je zaměřeno na zkoumání vlastností systému jako celku tedy instance konkrétního produktu (produktů) v konkrétních podmínkách. Vymezení bezpečnosti IS/ICT podle ČSN ISO/IEC je chápáno jaka sestavení požadavků na produkt z mozaiky v normě obsažených parametrů, které musí následně splňovat hodnocený předmět (TOE) Obr. 1. Takové pojetí se liší od původního pojetí, které představovaly zejména dřívější standardy bezpečnosti ITSEC a TCSEC. V nich byla bezpečnost IS/ICT rozdělena do tříd a dosažení každé třídy bezpečnosti představovalo splnění přesně určeného počtu atributů. Nevýhoda takového pojetí spočívá v tom, flexibilita určení si vlastních priorit bezpečnosti IS/ICT byla prakticky nulová. Pojetí uvedené v ČSN/ISO/IEC a v [ISO_1] umožňuje stanovit si vlastní množinu atributů bezpečnosti, úroveň a míru záruky jejich splnění z nabídnuté množiny. Množina nabízených atributů odráží základní procesy v řízení informatiky a jejího provozu ve formě kritérií (atributů), která musí být splněna pro úspěšný a bezpečný chod informačního systému organizace. Atributy jsou sdruženy do tříd. Každá třída je vždy vymezena svým popisem a obsahuje jednotlivé rodiny atributů. Rodina je určena popisem svého chování, dále obsahuje informace o řazení svých jednotlivých komponent (komponenta je určena svou identifikací, funkčními prvky atributy a vazby mezi nimi) do úrovní, způsob jejich správy a způsob provádění auditu. Schéma způsobu vymezení atributů a jejich pojetí je uvedeno na následujícím obrázku Obr. 1. SYSTEMS INTEGRATION

4 PETR DOUCEK Předmět hodnocení (TOE) Rozhraní Bezpečnostních funkcí TOE (TSFI) Uživatel Bezpečnostní funkce TOE (TSF) / Vzdálený IT Produkt Vynucuje bezpečnostní politiku TOE (TSP) Objekt/ Informacelll Zdroj Proces Uživatel Obr. 1: Pojetí bezpečnosti IS/ICT podle ČSN ISO/IEC 15408, přejato [ČSN_3] Dalším sblížením pohledů na certifikaci a audit bezpečnosti IS/ICT je právě připravovaný mezinárodní standard ISO/IEC TR Information Technology - Security Techniques - Security Assessment for Operational Systems. Standard technical report - doplňuje rozsah normy ČSN ISO/IEC o další aspekty, které jsou převážně netechnologického charakteru. Návrh mezinárodního standardu ISO/IEC TR rozšiřuje současný platný hodnotící standard zejména o následující rodiny atributů: personální bezpečnost, řízení konfigurací včetně řízení konfigurace bezpečnosti, bezpečnostní povědomí, testování, vedení dokumentace, podpora životního cyklu. Jedním z dalších významných připravovaných mezinárodních standardů je ISO/IEC [ISO_2] Information technology - Security techniques - Information security incident management - řízení bezpečnostních incidentů, který dotváří celkový pohled na řešení otázek bezpečnosti IS/ICT. Cílem standardu je: vymezit nejdůležitější kategorie bezpečnostních incidentů, stanovit typové postupy jejich řešení, vymezit role v procesu řešení incidentů a s nimi stanovit jejich pravomoci a odpovědnosti. Součástí standardu je i vzorová dokumentace pro vedení evidence bezpečnostních incidentů. Návrh standardu lez hodnotit jako významný krok, který dotváří celkový pohled na řízení bezpečnosti informančích systémů. Je sice primárně určen pro velké organizace, ale i malé a střední firmy z něj mohou čerpat inspiraci pro řešení bezpečnostních incidentů u sebe. 18 SYSTEMS INTEGRATION 2004

5 BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ A MEZINÁRODNÍ STANDARDY Jedním z dalších způsobů nezávislého posouzení je atestace podle standardů MI ČR. Standardy MIČR vycházejí z platných mezinárodních standardů a představují proto významnou platformu jejich zavádění do české praxe a tím i zvyšují bezpečnosntí povědomí. Tento přístup je užitečným kompromisem, který zajistí vysoké přínosy při relativně nízké spotřebě zdrojů. Původně byly tyto atestace určeny pouze pro informační systémy státní a veřejné zprávy (resp. Složky SIS), avšak objevují se případy obecnějšího uznávání těchto atestů. Nezávislé ověření a posouzení bezpečnosti IS/ICT je důležitým prvkem informační bezpečnosti, který dovoluje prohlubovat důvěru mezi výrobci a uživateli informačních a komunikačních systémů. Třetí nezávislá strana provádějící ověření bezpečnosti sehrává roli nezávislého arbitra a napomáhá při hledání vhodných kompromisů. Nezávislé posouzení ještě neznamená jendotné tím spíš jendotné v celém světě. Protože se problematikou bezpečnosti zabývá mnoho odborníků v mnoha zemích s různým kulturním a společenským zázemím, jsou v nich i různé standardy hodnocení bezpečnosti. Jejich porovnámí se zabývá mezinárodní standard ISO/IEC PDTR ( Information technology Security techniques A framework for IT security assurance ) [ISO_3], resp. ISO/IEC PDTR Cílem tohoto standardu přehledně uvést metody a přístupy k řešení bezpečnosti IS/ICT (produktů i informačních systémů), porovnat je mezi sebou a se standardem ISO/IEC uvedeném v ISO/IEC PDTR Závěry Bezpečnost informačních se stává postupně jedním rozhodujících faktorů úspěchu nasazení investic vložených do IS/ICT a měřítkem jejich efektivnosti. Zrpsotředkovaně se tak stává i posouzením smysluplnosti firmou nebo institucí provozované aktivity. Samotné zavádění bezpečnosti do organizace je ovšem pro ni samou proces velmi bolestný, dlouhodobý a také poměrně nákladný. Velmi často připadá managerům, že se jedná o investici vynaloženou zbytečně a že by bylo možné prostředky. jak finanční, tak lidské využít ku prospěchu firmy lépe. Tato investice má však do určité míry charakter pojištění dokud se nic nestanem tak je zbytečná, ale jakmile se něco resp. cokoli přihodí, tak je doslova k nezaplacení. K samotnému zavádění a zavedení bezpečnosti do organizace je potřeba znalostí a schopností, které nejsou úplně běžně na trhu IS/ICT k dispozici. Proto jsou základní mechanismy a zvyklosti uloženy do mezinárodních standardů (know.how), na jejichž přípravě se podílejí experti z mnoha zemí světa nevymýšlejme, co je již hotové. Ovšem k aplikaci sebelepších standardů je nutné přistupovat kreativně ne mechanicky a je nezbytné umět je přizpůsobovat konkrétním podmínkám, v nichž je chceme aplikovat. Standardy mají sice celosvětovou platnost, ale specifika jednotlivých zemí a kultur musí vystihnout lokální odborníci. Tím platnost mezinárodních standardů nejen potvrdí, ale myšlenky v nich uložené ještě zúročí do větších efektů pro cílovou organizaci. Nastávající období postupného začleňování České republiky do vnitřních struktur Evropské unie představuje velkou příležitost pro firmy, ale na druhou stranu se tato příležitost stane skutečností pouze pro připravené a to připravené v mnoha směrech díky rostoucí globalizaci také připravené v oblasti bezpečnosti IS/ICT. 5 Literatura [BSI_99] British Standards Institution: The British Standard on Information Security Management, 1999 [ČSN_1] ČSN ČSN/ISO/IEC Informační technologie Soubor postupů pro řízení informační bezpečnosti [ČSN_2a] ČSN ČSN/ISO/IEC TR Informační technologie Směrnice pro řízení bezpečnosti IT Část 1: Pojetí a modely bezpečnosti IT SYSTEMS INTEGRATION

6 PETR DOUCEK [ČSN_2b] ČSN ČSN/ISO/IEC TR Informační technologie Směrnice pro řízení bezpečnosti IT Část 3: Techniky pro řízení bezpečnosti IT [ČSN_3] ČSN ČSN/ISO/IEC Informační technologie Směrnice pro řízení bezpečnosti IT [DEL_03] Delina, R., Grohol, M.: Performance Measurement of B2B Procurement with Focus on Dynamic Transaction Mechanisms [DOU_03a] Doucek, P.: IS/ICT Security in Czech Firms, In: Strategic Management and its Support by Information Systems, VŠB Ostrava, 2003, ISBN [DOU_03b] Doucek, P.: Bezpečnost informační systémů a její prosazování v České republice, In: Informatika 2003, pp , Bratislava 2003, ISBN [DOU_04] Doucek, P.: IS/ICT Security Auditing and Control, In: Organizational Science Development, Faculty of Maribor, 2004, ISBN [HAL_01] Halouzka, J., Racková, E., Seige, V.: Informační bezpečnost příručka manažera, Tate International, Praha, 2001 [HAB_03] Habrda, J: Analýza rizik bezpečnosti IS/IT vývoj metodiky pro velký strojírenský podnik, diplomová práce VŠE Praha, Praha 2003 [HAN_00] Hanáček, P., Staudek, J.: Bezpečnost informačních systémů, Úřad pro státní informační systém, Praha 2000 [ISO_1] ISO/IEC TR Information technology -Security techniques - Security assessment for operational systems [ISO_2] ISO/IEC Information technology - Security techniques - Information security incident management [ISO_3] ISO/IEC PDTR 15443, Information technology Security techniques A framework for IT security assurance [LAV_00] Lavrin A., Orbanová I., Distance Education, New Approach to University Education, ISTEP 2000, Intrenational Symposium on Telemedicine and Teleeducation in Practice, Proceedings, Elfa s.r.o., ISBN , pp , [PSIB_03] DSM, NBÚ, E&Y: Průzkum stavu informační bezpečnosti v ČR oficiální zpráva o výsledcích, 2003 Interní materiály bezpečnostních projektů 20 SYSTEMS INTEGRATION 2004