Bezpieczeństwo informacji: historia i stan obecny

Transkrypt

1 Bezpieczeństwo informacji: historia i stan obecny Autorem tego rozdziału jest dr Bolesław Szomański Wprowadzenie bezpieczeństwo informacji dawniej Problem bezpieczeństwa informacji pojawił się pewnie wtedy kiedy oceniono, że informacje są zbyt cenne, aby je udostępniać każdemu; albo gdy ktoś zapomniał ważnej inforacji a może błędnie ją przekazał. Na początku była to oczywiście informacja przekazywana słownie, stąd też za jej ochronę odpowiadali ludzie ją przekazujący. Oczywiście takich ludzi można było przekonać lub zmusić do ujawnienia informacji; co gorzej mogli oni informację zapomnieć, zmienić przypadkiem lub celowo. Nie przypadkiem wspomina się o utracie lub przekłamaniu informacji, a nie tylko o jej ochronie przed ujawnieniem, gdyż współczesna definicja bezpieczeństwa informacji obejmuje: poufność: właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom; integralność: zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; dostępność: właściwość polegająca na zapewnieniu dokładności i kompletności aktywów [ISO27001]. Przeważnie jednak nie poufność jest obecnie najważniejsza, a to co jest ważne zależy od obszaru zastosowania informacji. Wraz z pojawieniem się pisma pojawiły się nowe pomysły na naruszenie bezpieczeństwa informacji, np. chiński teoretyk wojskowości w V w.p.n.e. Sun Tzy [SunT400pne] wyróżnił 5 rodzajów szpiegów, z których ostatnim był szpieg martwy, czyli podrzucone zwłoki, zawierające nieprawdziwe informacje. Co ciekawe, podobne rozwiązanie zastosował wywiad brytyjski podczas II wojny światowej, podrzucając zwłoki oficera ze sfałszowanymi dokumentami, wskazującymi na miejsce lądowania plaże Calais, gdy tymczasem desant planowany był w Normandii. W wojskowości możliwość przesyłania informacji w postaci pisma przyjęła się ze względu na oczywiste korzyści, jakimi są zapewnienie integralności, ale konieczne było zachowanie jej poufności i zaczęto stosować szyfrowanie wiadomości. Pierwszy Strona 1 (26)

2 znany szyfr jest zwany szyfrem Cezara, polegał on na pisaniu meldunku wzdłuż na wąskim kawałku pergaminu owiniętym na kiju uzgodnionej z odbiorcą informacji grubości; szyfr taki obecnie jest niezwykle łatwy do złamania, ale w starożytności stanowił wyraźny postęp. Oprócz tajemnic wojskowych chroniono także tajemnice handlowe, czego charakterystycznym przypadkiem jest ochrona przez Chińczyków tajemnicy produkcji jedwabiu z jedwabników, która została ukradziona przez mnichów, a jedwabniki przeniesione do Europy. Niektórych tajemnic nie udało się odkryć do dziś, jak np. tajemnicy ognia greckiego najstraszniejszej broni Bizancjum. Jeżeli mówimy o poufności nie należy jednak zapominać o dostępności; większość najcenniejszych pergaminów zawierająca informacje ze starożytności spłonęła podczas dwóch pożarów biblioteki w Aleksandrii, wiele zwojów zostało zniszczonych ponieważ informacje na nich zawarte nie odpowiadały poglądom ówczesnej władzy kościelnej czy świeckiej. Zniszczono dorobek całej cywilizacji Majów, paląc sporządzone przez nich na papierze kodeksy, ponieważ były pogańskie (ocalały tylko 3). Żeby zachować informacje trzeba było je przed pojawieniem się druku ręcznie przepisywać, a to powodowało trudne do wykrycia błędy, najczęściej spowodowane ignorancją skrybów, którzy nie rozumieli starego tekstu albo po prostu się mylili. Czyli nawet to co dotrwało do naszych czasów nie zawsze odpowiada myślom i poglądom autora, a do tego dochodziły błędy tłumaczy i powszechna cenzura. Ale informacje zapisane przetrwały w mniejszym lub większym stopniu zwłaszcza dzięki trwałości nośników takich jak kamień, wypalane tabliczki gliniane, często odkopywane są dziś przez archeologów, natomiast z informacji przekazywanej słownie pozostały tylko mity i legendy. Po pojawieniu się druku zanikła potrzeba przepisywania, a wraz ze znaczną liczbą egzemplarzy wyraźnie podniosła się dostępność informacji podawanych w książkach, a później w gazetach. Nie dotyczyło to jednak poufności; nawet gdy informacje były chronione przed powszechnym dostępem poprzez szyfrowanie, to aby było ono bezpieczne trzeba było poświęcić dużo pracy i czasu. a na dodatek wymagało dobrze przygotowanych księg. kodowych. Ciekawy przykład skutków słabego szyfrowania przedstawiono na konferencji Enigma w 2007r. [Duda2007]. Pod koniec potopu szwedzkiego gdańszczanie, którzy cały czas nie poddali się Szwedom przejęli szwedzki okręt admiralski z całą bardzo słabo zaszyfrowaną korespondencją. Po jej odczytaniu okazało się, że zawiera plany zaatakowania przez Szwecję Danii; gdy władze Danii dowiedziały się o tym wypowiedziały wojnę Szwecji, co w konsekwencji doprowadziło do zakończenia najazdu szwedzkiego. Podobny, ale bardziej znany przypadek dotyczył Strona 2 (26)

3 I wojny światowej; gdy Stany Zjednoczone rozszyfrowały telegram do ambasadora Niemiec w Meksyku z zaleceniem namawiania władz tego kraju do wypowiedzenia wojny USA. Był to jeden z najważniejszych powodów odejścia Stanów Zjednoczonych od polityki neutralności i wypowiedzenia wojny Niemcom. Na początku XX w. świadomość konieczności ochrony tajemnic wojskowych była powszechna i skomplikowane działania służb wywiadowczych i kontrwywiadowczych miały za zadanie zdobycie lub ochronę informacji. Odczytanie informacji miało na przykład spore znaczenie w wojnie polsko-sowieckiej w 1920 roku, co jak niektórzy uważają mogło przyczynić się w znacznym stopniu do zwycięstwa Polski w czasie Bitwy Warszawskiej. W czasie I wojny światowej Brytyjczycy złamali szyfry niemieckie, stąd też konieczne było rozwijanie zarówno zagadnień szyfrowania, czyli kryptografii. a możliwość złamania szyfru wroga była powodem rozwoju kryptoanalizy, czyli nauki o łamaniu szyfrów. Znaczenie ochrony tajemnicy doprowadziło do powstania maszyn szyfrujących, z których pierwszą była Enigma opracowana przez Niemców. Wykorzystywany przez Enigmę mechanizm szyfrowania był przez twórców uważany za niemożliwy do złamania. Opracowanie przez polskich matematyków sposobu łamania szyfru Enigma jest przez niektórych specjalistów uważane za największy wkład Polski w zwycięstwo w II wojnie światowej [Iwan2003]. Warto też zwrócić uwagę, że wymagania kryptoanalizy doprowadziły do budowy pierwszego komputera, którym był nie jak się powszechnie sądzi - ENIAK, ale opracowany przez Turinga komputer do łamania szyfrów. Anglicy przez wiele lat nie przyznawali się do posiadania urządzenia do łamania szyfrów, a mechaniczne maszyny szyfrujące oparte na Enigmie sprzedawali mniej zaprzyjaźnionym krajom. Zaprojektowanie, a następnie szybki rozwój i wzrastające znaczenie komputerów spowodowało pojawienie się rosnących zagrożeń nie tylko dla tradycyjnych obszarów, jakim była obrona państwa, ale także dla firm, a nawet poszczególnych osób. Wraz z pojawieniem się komputerów gwałtownie wystąpiły problemy z bezpieczeństwem informacji i to zarówno z poufnością jak i z dostępnością i integralnością, co nie występowało w tak rażący sposób od czasu pojawienia się druku. Niestety wiele osób do dzisiaj kojarzy bezpieczeństwo informacji tylko z jej poufnością. Takie ograniczone podejście do bezpieczeństwa informacji stanowi poważny problem, na przykład na jednej z konferencji poświęconej bezpieczeństwu informacji w bankach, specjaliści na panelu dyskusyjnym rozwodzili się nad sposobami zapewnienia poufności kont klientów, gdy tymczasem dla przeciętnego Strona 3 (26)

4 klienta najważniejsza jest integralność, czyli zapewnienie, że stan konta zgadza się z rzeczywistością i dostępność do konta, wtedy gdy potrzebuje pieniędzy. Podstawowe sposoby zapewnienia bezpieczeństwa informacji zmieniały się jednak w miarę rozwoju techniki przetwarzania informacji. Z bezpieczeństwem informacji jest jednak tak jak z niektórymi przypadkami podanymi powyżej; mimo niewątpliwego rozwoju zabezpieczeń poprzednie problemy pozostają, są tylko w mniejszej skali widoczne, natomiast pojawiają się nowe. Nadal może się zdarzyć incydent powszechny dla poprzedniej fazy rozwoju bezpieczeństwa, na przykład. nadal można ukryć, zniszczyć lub podmienić informację papierową. Możemy - moim zdaniem - wyróżnić następujące fazy rozwoju bezpieczeństwa informacji: ochrona fizyczna informacji i konstruowanie niezawodnego sprzętu, zapewnienie jakości oprogramowania zapewnienie bezpieczeństwa oprogramowania, zapewnienie bezpieczeństwa systemów komputerowych, zarządzanie bezpieczeństwem informacji, systemy zarządzania bezpieczeństwem informacji. Konieczne jest jednak zrozumienie podstawowej zasady - zabezpieczenia stosowane w poprzedniej fazie są nadal potrzebne i użyteczne, zmienia się tylko ich proporcja w odniesieniu do całości zagadnień bezpieczeństwa informacji. Ochrona fizyczna i konstruowanie niezawodnego sprzętu Początkowo komputery pracowały wyłącznie w wydzielonych ośrodkach obliczeniowych, na które składały się specjalnie przygotowane i przeważnie klimatyzowane pomieszczenia. Wielkość komputerów wymagała dużych pomieszczeń, a stosowane układy - początkowo lampowe, a później tranzystorowe - charakteryzowały się przede wszystkim dużą zawodnością. Stąd też problemy niezawodnościowe były najpoważniejszym zagrożeniem dla poprawnego prowadzenia obliczeń. Na lata pięćdziesiąte XX wieku przypada też gwałtowny rozwój teorii niezawodności, która umożliwiła budowę w miarę sprawnego sprzętu z mniej sprawnych elementów poprzez stosowanie odpowiednio budowanych układów. Równocześnie jednak stosunkowo szybko poprawiała się niezawodność elementów, co umożliwiało coraz szersze wykorzystywanie komputerów. Bezpieczeństwo informacji opierało się Strona 4 (26)

5 przede wszystkim na zapewnieniu niezawodności sprzętu, ochronie fizycznej ośrodka przetwarzania oraz ochronie informacji poprzez tworzenie kopii bezpieczeństwa. Bezpieczeństwo ośrodka przetwarzania miało podstawowe znaczenie, stąd też zaczęto ograniczać dostęp do ośrodka poprzez wprowadzenie kontroli na wejściu; rozwiązania te były oczywiste wobec wojskowego charakteru pierwszych komputerów, ogromnej wartości sprzętu, jak również wymagań stosowania klimatyzacji. Zwracano też uwagę na problem zasilania w energię, stąd też stosowano mechaniczne przetwornice umożliwiające podtrzymanie pracy przez krótki czas, a nawet zapasowe agregaty prądotwórcze. Początkowo programy i dane zapisywano na stosunkowo trwałych nośnikach, jakimi były taśmy i karty perforowane, ale urządzenia mechaniczne zapisu (mimo stosowania od wielu lat) były zawodne i powodowały błędy. Właśnie takie urządzenia wykorzystywane w wyborach prezydenta Stanów Zjednoczonych na Florydzie w 2000 roku doprowadziły do licznych protestów i opóźnienia ogłoszenia wyników przez parę tygodni. Podobno niektóre urządzenia miały prawie 100 lat. Wprowadzenie pamięci magnetycznej początkowo na taśmach, potem na bębnach, a później na dyskach magnetycznych umożliwiało przechowywanie dużych zbiorów danych, ale nośniki te były stosunkowo zawodne stąd też konieczność częstego wykonywania kopii zapasowych, zwykle na taśmach magnetycznych jako najtańszych z nośników o dużej pojemności. Zapisywanie kopii na taśmach magnetycznych jest z resztą powszechnie stosowane do dzisiaj, chociaż nastąpił ogromny postęp w dziedzinie urządzeń do archiwizowania. W przypadku kart perforowanych często oprócz dziurkarek stosowano sprawdzarki kart, co w istotny sposób zmniejszało liczbę błędów. Sprawdzanie polegało na powtórnym przepisywaniu zawartości przy równoczesnym automatycznym porównywaniu z zapisem na karcie. Takie porównywanie zapewniało najlepsze wyniki i chociaż obecnie uważa się je za zbyt kosztowne ze względu na znikomą liczbę błędów we współczesnych urządzeniach, to jednak w znakomity sposób eliminowało także błędy ludzkie, których liczba wcale nie uległa istotnemu zmniejszeniu wraz z obniżeniem przeciętnego poziomu przeszkolenia personelu wprowadzającego dane. Ważnym elementem zapewnienia bezpieczeństwa była ochrona ośrodka przetwarzania, co często realizowano przez budowę zapasowego ośrodka. Pierwszy okres ochrony fizycznej można datować na lata pięćdziesiąte do początku siedemdziesiątych XX w. Zapewnienie jakości oprogramowania Szybko następował rozwój oprogramowanie - od początkowego kodowania binarnego poprzez programowanie w asemblerze do języków wysokiego poziomu, Strona 5 (26)

6 jakimi na początku, był FORTAN a potem COBOL. Rozwijało się także projektowanie systemów operacyjnych i właśnie w tym obszarze zaczęły pojawiać się kłopoty. Podaje się, że katastrofa jednej z pierwszych misji bezzałogowych na Marsa było postawienie kropki zamiast przecinka w programie sterownika napisanym w FORTRAN-ie. Problemy te zresztą nie zniknęły nawet obecnie; podawano, że jedna z niedawnych misji na Marsa zakończyła się katastrofą, bo część programu liczyła wysokość w stopach, a wykonana w Europie - w metrach. Rozwiązania kryptologiczne nie były początkowo wykorzystywane, ale wraz z rozwojem przetwarzania z podziałem czasu i rosnącą liczbą sieci lokalnych i terminali sprawa stawała się coraz pilniejsza. Coraz ważniejsze były także informacje przetwarzane w systemach komputerowych firm, które zaczęły domagać się możliwości stosowania kryptografii w zastosowaniach komercyjnych, na co przez wiele lat nie wyrażały zgody rządy poszczególnych państw. [Levy2001] W celu zapewnienia jakości oprogramowania zaczęto starannie je testować, były nawet próby dowodzenia poprawności oprogramowania. Niektóre algorytmy opracowane i oprogramowane w latach sześćdziesiątych i początku siedemdziesiątych są używane do dziś. Gwałtowny rozwój oprogramowania doprowadził do występującego do dziś kryzysu oprogramowania, przejawiającego się między innymi nienadążaniem oprogramowania za rozwojem sprzętu oraz zwiększającymi się problemami inżynierii oprogramowania [Broo1995]. Właśnie w latach siedemdziesiątych i początku osiemdziesiątych ubiegłego wieku powstało współczesne oprogramowanie, takie jak język C, język SQL, system operacyjny UNIX. Problemy związane z niezadowalającą jakością oprogramowania, mimo że ta faza dotyczy raczej lat siedemdziesiątych i początku osiemdziesiątych ubiegłego wieku pozostały; niektóre mniej bezpieczne, ale bardziej elastyczne rozwiązania wyparły bardziej sformalizowane. Nadal dużo czasu poświęca się jakości w inżynierii oprogramowania, czemu zresztą dedykowana jest ta książka. Zapewnienie bezpieczeństwa oprogramowania Wraz z rozwojem mikrokomputerów pojawiło się wiele innych rozwiązań, obecnie prawie nieużywanych, pozostały niektóre, nie zawsze doskonalsze ze względu na bezpieczeństwo. Wzrosły też zagrożenia spowodowane łatwiejszym dostępem, błędami oprogramowania i użytkowników. Wraz z pojawieniem się mikrokomputerów gwałtownie wzrosła liczba nie przygotowanych użytkowników. W latach osiemdziesiątych rozpowszechniły się pierwsze programy celowo napisane dla szkodzenia użytkownikom, takie jak wirusy, konie trojańskie, robaki internetowe. Strona 6 (26)

7 W miarę rozwoju sieci komputerowych i systemów operacyjnych stawało się jasne, że dotychczasowe rozwiązania, oparte głównie na ochronie fizycznej sprzętu, testowaniu oprogramowania i wykonywaniu kopii bezpieczeństwa nie są wystarczające. Każda z liczących się firm stosowała zresztą swoje rozwiązania, które stanowiły tajemnicę firmy, przez co nie mogły być sprawdzane przez osoby z zewnątrz. Pojawienie się mini a potem mikrokomputerów spowodowało, że konieczne stało się zbudowanie jednolitych zasad oceny bezpieczeństwa oprogramowania. Prace rozpoczęto już w 1967 r., ale dopiero w 1983 r., opracowano w USA pierwszy zbiór kryteriów oceny bezpieczeństwa systemów informatycznych, zwany orange book [TCSEC1983], w Polsce wydany jako norma PN-92 T-20001/02 [PN T20001]. W normie tej określono poziomy bezpieczeństwa systemów informatycznych. Kryteria bezpieczeństwa podzielono na cztery kategorie: D, C, B i A, z których C została podzielona na dwie klasy (Cl i C2), a następne w porządku wzrastających ograniczeń to B (Bl, B2, B3) oraz A1. Kategoria D: zapewnia minimalny poziom ochrony. Zawiera tylko jedną klasę, w której występują systemy oceniane, ale nie spełniające wymagań klas wyższych. Kategoria C: ochrona dyskrecjonalna, poprzez kontrolę zdarzeń. W tej kategorii za poufność informacji odpowiada użytkownik. Cl - Dyskrecjonalna ochrona. C2 - Kontrolowana ochrona dostępu. Kategoria B: Obowiązkowa ochrona. Wymogiem tej kategorii jest wymuszanie ustalonych zasad obowiązkowej kontroli dostępu. Kategoria ta zapewnia wielopoziomowość zabezpieczeń. Bl - C2). Ochrona bazująca na etykietach bezpieczeństwa (musi spełniać wymagania B2 Ochrona strukturalna. Poza cechami klasy B1 wymaga: ścisłej strukturalizacji części jądra systemu odpowiedzialnego za realizację funkcji zabezpieczających; kontroli kanałów komunikacyjnych systemu informatycznego, wraz ze śledzeniem ich adresów; sformalizowanej matematycznie dokumentacji zabezpieczeń; Strona 7 (26)

8 podziału roli głównego administratora systemu wśród kilku administratorów o mniejszych uprawnieniach. B3 Domeny ochrony. Posiada wszystkie cechy klasy B2 a ponadto posiada zminimalizowane jądro systemowe odpowiedzialne za realizację funkcji zabezpieczeń. Kategoria A: Ochrona weryfikowana. Charakteryzuje się zastosowaniem sformalizowanych metod weryfikacji wymagań ochrony. Al Weryfikowane projektowanie. W innych krajach (poza USA) również opracowano własne kryteria oceny bezpieczeństwa systemów informatycznych np. ITSEC. Historię opracowania tych rozwiązań przedstawiono na rys. 1. [Cend1997] Rok CC ISO 1983 TCSEC 1987 Blue Book UK E Levels 1989 CTCSEC IT SK C dc 1990 ITSEC ITSEC Federal Criteria 1996 Common Criteria Common Criteria ISO/IEC Common ISO/IEC Criteria Common Criteria :2005 ISO/IEC w przygotowaniu Tabela 1 Historia powstawania kryteriów oceny zabezpieczeń źródło: opracowanie na podstawie [Cend1997] z uzupełnieniami Obecnie za obowiązujące uważa się Common Criteria w wersji 2.3, natomiast normą obowiązującą jest ISO/IEC 15408:2005 [ISO15408], która jest oparta na poprzedniej wersji; trwają prace na przyjęciem ostatniej wersji Common Criteria jako normy ISO. W normie ISO/IEC 15408:2005 wyróżniono ocenę funkcjonalną oraz ocenę zabezpieczeń. Każde oprogramowanie może uzyskać określony poziom zabezpieczeń. W normie stosowane są klasy funkcjonalności: FCO transmisja; FCS - funkcje kryptograficzne; FDP - ochrona danych użytkowników; FIA - identyfikacja i Strona 8 (26)

9 uwierzytelnienie; FAU audyt bezpieczeństwa; FMT zarządzanie bezpieczeństwem; FPR prywatność FPT ochrona funkcji zabezpieczających; FRU wykorzystanie zasobów; FTA dostęp; FPT wiarygodne kanały i ścieżki. Klasy zapewnienia bezpieczeństwa: ACM zarządzanie konfiguracją; ADO dostawy i operacje; ADV rozwój; AGD instrukcje i dokumentacja; ACL wsparcie w cyklu życia; ASE ocena bezpieczeństwa; ATE testy; AVA ocena podatności; AMA utrzymanie zapewniania. Wyróżnione są również poziomy oceny zapewnienia bezpieczeństwa: EAL1 testowane funkcjonalnie; EAL2 - testowane strukturalnie; EAL3 metodycznie testowane i sprawdzane; EAL4 metodycznie projektowane, testowane i przeglądane; EAL5 semiformalne projektowane i testowane; EAL6 semiformalne weryfikowane projektowanie i testowanie; EAL7 formalnie weryfikowane i testowane. Common Criteria jest najważniejszym standardem oceny bezpieczeństwa oprogramowania w oparciu o nie przeprowadza się certyfikację oprogramowania. Praktycznie wszystkie istotne systemy operacyjne są certyfikowane na zgodność z Common Criteria. Unia Europejska w 2002 roku [UE2002] zalecała stosowanie Common Criteria do oceny bezpieczeństwa oprogramowania. Niestety norma mimo że dostępna bezpłatnie [common2008] jest bardzo słabo znana poza środowiskami specjalistycznymi. Jest rozwiązaniem bardzo rozbudowanym i zapisanym w języku pseudoformalnym trudnym do stosowania, a uzyskanie certyfikacji jest bardzo długie i czasochłonne, a na dodatek wymaga dostępu do kodu źródłowego. Oczywiście, można wykorzystywać tylko niektóre fragmenty normy jak np. w opracowaniu dotyczącym bezpieczeństwa komunikatorów internetowych, [Bock2007] ale takie podejście jest niestety niepopularne. Można zatem uznać, że Common Criteria to pierwszy prawdziwy standard niestety - mimo sporego poparcia - słabo znany i wykorzystywany. Na przykład w Polsce przetłumaczone są tylko dwa z trzech tomów normy ISO/IEC i to na dodatek w wersji z 2000roku. Wymagania dotyczące bezpieczeństwa spowodowały opracowanie szeregu zabezpieczeń dla transmisji danych w sieci Internet, której oryginalny protokoł TCP/IP nie przewidywał żadnych zabezpieczeń. Rozwiązania, takie jak shttp, SSL, SSH [MoOp2002], umożliwiły w miarę bezpieczną transmisję danych w Internecie. Bezpieczna transmisja danych nie byłaby jednak możliwa bez ich szyfrowania. NSA w roku 1978 wyraziła zgodę na szyfrowanie i udostępniła zaprojektowany przez IBM algorytm DES. Równocześnie zostały opracowane algorytmy szyfrowania asymetrycznego, takie jak Diffie-Hellmana i RSA [Levy2001]. Strona 9 (26)

10 Obecnie jednak powszechnie uważa się za konieczne zastąpienie tych algorytmów przez nowocześniejsze i tak DES nie jest zalecany do stosowania, a zastępuje go AES, a dla RSA minimalna zalecana długość klucza to 1024bity. Zapewnienie bezpieczeństwa systemów informatycznych Na początku lat dziewięćdziesiątych ubiegłego wieku mikrokomputery zaczęto powszechnie łączyć w sieci lub dołączać do istniejących rozwiązań sieciowych; spośród wielu rozwiązań dominującym okazał się Internet, do którego podłączali się wszyscy. Ochrona fizyczna ośrodka, jak i zapewnienie jakości i bezpieczeństwa oprogramowania okazało się jednak niewystarczające, ponieważ jedną z głównych przyczyn naruszania bezpieczeństwa są ludzie, którzy przypadkowo, np. na skutek niewiedzy, braku czasu lub zwykłej, pomyłki powodują poważne zagrożenia bezpieczeństwa, albo celowo atakują systemy lub tworzą szkodliwe oprogramowanie. Próbą zaradzenia tego rodzaju zagrożeniom miało być budowanie polityki bezpieczeństwa, obejmującej nie tylko środki techniczne, ale także zbiór zaleceń organizacyjnych, narzucających tworzenie odpowiednich dokumentów, takich jak zasady, procedury i instrukcje. Zalecenia budowy polityki bezpieczeństwa dla każdego sytemu informatycznego pojawiają się już na początku lat dziewięćdziesiątych, a nawet i wcześniej, ale dopiero wydanie raportu technicznego ISO/IEC określiło formalne zasady budowy takiej polityki. Raport ten składał się z 5 części [ISO13335] Przykładowy układ zasad i hierarchii polityk przedstawiono na rys. 1 Strona 10 (26)

11 Ilustracja 1 Hierarchia zapewniania bezpieczeństwa informacji [PN 13335] Polityki bezpieczeństwa informacji opracowane zgodnie z założeniami tej normy były obszerne i bardzo złożone, szczególnie jeżeli opracowało się oddzielnie politykę dla każdego systemu informatycznego, a opracowaniem zajmowali się różni specjaliści. Opracowanie polityki bezpieczeństwa nie gwarantowało przy tym jej wdrożenia, a zwłaszcza funkcjonowania w dłuższym okresie. Konieczne było zapewnienie skutecznej kontroli proponowanych rozwiązań. Przy czym kontrola nie powinna mieć na celu ukaranie winnych zaniedbań, lecz wykrycie potencjalnych zagrożeń dla bezpieczeństwa systemu komputerowego, a szerzej całej firmy. Rozwiązaniem było przeprowadzenie audytu bezpieczeństwa systemów informatycznych, zawierającego oprócz sprawdzenia funkcjonowania dokumentacji polityki bezpieczeństwa, także przeprowadzenie odpowiednich testów, w tym także testów odporności systemów informatycznych na ataki z zewnątrz, czyli testów penetracyjnych. Poszczególne firmy opracowywały własne procedury przeprowadzenia audytów, stąd też konieczne stało się opracowanie jednolitego standardu. Przy okazji stwierdzono, Strona 11 (26)

12 że sam audyt bezpieczeństwa może okazać się dla potrzeb firmy niewystarczający, toteż wskazane byłoby opracowanie zasad kompleksowego audytu systemów informatycznych, uwzględniającego oprócz zagadnień bezpieczeństwa także zasady jakości, efektywności oraz zgodności z prawem i wymaganiami finansowymi. Opracowano kilka zasad i standardów, z których najpopularniejszym jest standard COBIT, opracowany przez stowarzyszenie ISACA. COBIT ułatwia badanie i opis relacji pomiędzy wymaganiami biznesowymi, zasobami systemów informatycznych i procesami informacyjnymi. Zgodnie z COBIT informacja powinna spełniać określone kryteria (wymagania biznesowe), takie jak: Kryteria jakości: Jakość, Koszty, Dostarczanie. Kryteria zaufania: Efektywność i wydajność operacji, Wiarygodność informacji, Zgodność z prawem i przepisami wewnętrznymi. Kryteria bezpieczeństwa: Poufność, Integralność, Dostępność. COBIT opisuje procesy w działalności organizacji związane z IT, zgromadzone w 4 grupach: Planowanie i organizacja. Nabywanie i wdrażanie. Dostawa i wsparcie. Monitorowanie. Obecnie aktualna jest wersja 3.1 COBIT-u. Proponowane rozwiązania dotyczące zapewnienia bezpieczeństwa tylko systemów informatycznych były stosowane w latach dziewięćdziesiątych ubiegłego wieku i na początku obecnego. Okazały się jednak niezupełnie skuteczne. Przede wszystkim były niezwykle pracochłonne, ograniczały się do systemów informatycznych, gdy tymczasem informacje były przekazywane coraz częściej za pomocą sieci komórkowych i rozwiązań bezprzewodowych; nadal jednak wiele z nich (i to często te najważniejsze) są tylko w postaci papierowej. Najcenniejszą sprawą w normie było zwrócenie uwagi na analizę i szacowanie ryzyka wraz z informacjami na temat znanych zagrożeń i podatności. W roku 2008 pozostała tylko jedna norma z 5 arkuszy norm ISO [ISO 13335] (wprowadzająca i terminologiczna :2004 ale polskie wydanie z 1998 roku), wszystkie pozostałe zostały już uchylone. Warto zwrócić na to uwagę, gdyż wiele Strona 12 (26)

13 osób nadal je stosuje, często nawet nieświadomie; nie zdając sobie nawet sprawy, że nowe rozwiązania są nie tylko lepsze, ale na dodatek mniej pracochłonne. Zarządzanie bezpieczeństwem informacji Proponowane w normach ISO/IEC objęcie ochroną tylko systemów informatycznych jest niewystarczające w sytuacji ogromnego nasycenia informatyką całej firmy, czyli nie tylko komputerów, ale także urządzeń przenośnych, takich jak PDA czy telefony komórkowe, rozpowszechnienia faksów i kserokopiarek oraz możliwości kopiowania na przenośne nośniki zawarte w urządzeniach, takich jak aparaty fotograficzne czy urządzenia MP3. Zupełnie niekontrolowalne, jeżeli chodzi o groźbę ataków i wycieku informacji, stały się sieci komórkowe i sieci WIFI. Równocześnie wzrosła liczba systemów informacyjnych, które powinny być rozważane. Nie było już sensu budowania od podstaw polityk bezpieczeństwa informacji dla poszczególnych systemów informatycznych, lecz konieczne jest budowanie zarządzania bezpieczeństwem. Nowe podejście do zarządzania bezpieczeństwem informacji zaproponowali w końcu XX wieku Brytyjczycy przygotowując normę BS 7799, która została z wielkim trudem przyjęta w 2000 roku jako norma ISO [Andr2001]. Norma ta podawała wytyczne do zarządzania bezpieczeństwem informacji, a nie tylko bezpieczeństwem systemów informatycznych. Norma spotkała się z ogromnym zainteresowaniem na świecie i uważano, że ułatwi rozwiązywanie problemów bezpieczeństwa informacji. Normę tę przetłumaczono na język polski jako PN ISO/IEC 17799:2003 [ISO17999] Praktyczne zasady zarządzania bezpieczeństwem informacji. Norma zawierała 10 rozdziałów merytorycznych: 3. Polityka bezpieczeństwa 4. Organizacja bezpieczeństwa 5. Klasyfikacja i kontrola aktywów 6. Bezpieczeństwo osobowe 7. Bezpieczeństwo fizyczne i środowiskowe 8. Zarządzanie systemami i sieciami 9. Kontrola dostępu do systemu 10. Rozwój i utrzymanie systemu 11. Zarządzanie ciągłością działania Strona 13 (26)

14 12. Zgodność [ISO17799] Zastosowane w normie rozwiązania stanowiły wytyczne dla zarządzania bezpieczeństwem informacji i nadawały się do zastosowania w praktycznie każdej organizacji. Zaczęto je wdrażać szczególnie tam gdzie zagadnienia bezpieczeństwa informacji odgrywały znaczącą rolę (np. w bankach). Zalecenia podawane w normie umożliwiały budowę polityki bezpieczeństwa informacji, organizację bezpieczeństwa informacji, objęcie bezpieczeństwem informacji spraw osobowych, a personel to główna przyczyna problemów w bezpieczeństwie informacji, ciągłości działania i zgodności z prawem. Norma stanowiła przełom w podejściu do bezpieczeństwa informacji poprzez wyraźne określenie, że najważniejszą sprawą jest zarządzanie, a nie tylko rozwiązania techniczne i dokumenty organizacyjne. Norma miała jednak wiele drobnych mankamentów; była zapisana czasami w sposób chaotyczny, nie uwzględniała najnowszych zagrożeń, brakowało w niej podejścia do zarządzania ryzykiem (które zostało obszernie scharakteryzowane jeszcze w ISO ), oceny skuteczności zabezpieczeń; nie został zaproponowany sposób audytowania bezpieczeństwa informacji, audyty tradycyjnie odnosiły się do systemów informatycznych. W roku 2005 wydano kolejne wydanie normy ISO 17799:2005 [ISO27002], które zostało w roku 2007 przetłumaczone na język polski jako PN ISO/IEC 17799:2007. [PN17799]. W nowej edycji zmieniono ponad 5000 elementów, ale najważniejsze było dodanie rozdziału o zarządzaniu ryzykiem, poprawa struktury zapisu wytycznych w normie, usunięcie kilku przestarzałych i wprowadzenie nowych zalecanych zabezpieczeń. Wydzielono także rozdział zarządzanie incydentami, który wywodził się z porozrzucanych po normie zaleceń w tym zakresie. Z tego, że rozwiązania proponowane w normie BS są niewystarczające, zdawali sobie sprawę już sami twórcy, proponując na wzór systemów zarządzania jakością systemy zarządzania bezpieczeństwem informacji. Systemy zarządzania bezpieczeństwem informacji według norm ISO serii W roku 2002 opracowano normę BS :2002 [BS ], będącą zbiorem wymagań, których spełnienie jest niezbędne do certyfikacji systemu zarządzania bezpieczeństwem informacji. Norma ta wywodzi się także z normy ISO 9001, co ułatwia certyfikacje w przeciwieństwie do ISO [Szom2001]. Liczba certyfikatów na zgodność z tą normą powoli rosła i w końcu 2006 roku osiągnęła na świecie ponad 2500, przynajmniej tyle było podane na oficjalnej stronie [xisec2007] Strona 14 (26)