Standaryzacja Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)

Transkrypt

1 Standaryzacja Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) Każda technologia przechodzi okres burzliwego rozwoju, w czasie którego powstaje szereg różnych, konkurencyjnych rozwiązań. W następnym etapie niektóre rozwiązania uzyskują przewagę i mamy do czynienia z pojawianiem się standardów de-facto, z których część (jak np. sieć Ethernet lub protokół TCP/IP) zostaje powszechnie zaakceptowana i rozpoczyna się proces normalizacyjny. Zagadnienia związane z bezpieczeństwem systemów informatycznych nie były początkowe brane pod uwagę, pomimo spektakularnej utraty jednej z sond kosmicznych MARINER 1, która została spowodowana błędem oprogramowania. Dopiero głośna sprawa śmierci pacjentów, która była skutkiem awarii systemu komputerowego wykorzystywanego do terapii radiacyjnej w leczeniu raka oraz rezygnacji ze stosowania zabezpieczeń przez producenta (ograniczenie kosztów) doprowadziła do zwrócenia szczególnej uwagi na zagadnienia związane z bezpieczeństwem korzystania z systemów komputerowych. O ile przed aferą Therac-25 bezpieczeństwem systemów komputerowych interesowały się przede wszystkim organizacje wojskowe, czego efektem było opublikowanie w 1983 r. słynnej Pomarańczowej Książeczki (Orange Book), której oficjalny tytuł brzmiał Trusted Computer System Evaluation Criteria powstałej z inicjatywy NSA DoD. Warto zwrócić uwagę na tytuł, który nie używa pojęcia Bezpieczny Komputer, lecz Komputer godny zaufania. Orange Book zawierała konkretne zalecenia techniczne. Europa (a tak naprawdę Wielka Brytania, Niemcy oraz Holandia) opracowując w 1990 r. własne kryteria ewaluacji bezpieczeństwa systemów zrezygnowała z takiego podejścia wprowadzając w opracowanym przez siebie systemie oceny ITSEC pojęcie ToE (Target of Evaluation). Zostało to umotywowane chęcią zachowania neutralności technologicznej. Standard ITSEC jest stopniowo zastępowany przez Common Criteria, który został objęty także polską normą PN-ISO/IEC Common Criteria (i w dalszym ciągu używany system oceny ITSEC) pozwalają na formalną ocenę skuteczności zabezpieczeń wprowadzonych przez producenta do konkretnego urządzenia. Urządzenie jest dostarczane uprawnionej Jednostce Certyfikującej. Na przykład opracowane w naszej firmie i produkowane przez OPTIMUS S.A. urządzenie OPTIMUS ABA IPsec Gateway zostało dostarczone wraz z dokumentacją zabezpieczeń Jednostce Certyfikującej Agencji Bezpieczeństwa Wewnętrznego i po przeprowadzeniu weryfikacji otrzymało odpowiedni certyfikat ochrony kryptograficznej i zostało dopuszczone do ochrony transmisji informacji niejawnych. Certyfikat Common Criteria lub ITSEC dotyczy jednak konkretnego urządzenia i potwierdza fakt, że zostało ono poddane niezależnym badaniom mającym na celu sprawdzenie deklaracji producenta co do skuteczności zastosowanych zabezpieczeń. Bezpieczeństwo teleinformatyczne wymaga jednak kompleksowego podejścia do zagadnienia ochrony informacji. Oprócz wprowadzania zabezpieczeń do samych urządzeń i oprogramowania aż do przeprowadzania formalnej weryfikacji poprawności projektu (wymagana na najwyższym poziomie certyfikacji EAL7 przez Common Criteria) wprowadzono pojęcie zarządzania bezpieczeństwem informacji. Strategia ta polega głównie na ograniczaniu funkcji systemu, które w wyniku analizy ryzyka uznane zostały za niebezpieczne. Takie podejście, określane niekiedy jako celowe ograniczenie interakcji z systemem informatycznym (klasycznym przykładem jest (C) Tomasz Barbaszewski str. 1 z 6

2 wprowadzanie bastionu Firewall) nie koncentruje się na doskonaleniu samego systemu pod kątem bezpieczeństwa jego pracy (a więc i informacji), lecz wprowadza procedury i wynikające z nich rozwiązania celowo ograniczające jego funkcjonalność. Szczególnie dobrze zdaje ono egzamin jeśli zamierzamy do celów profesjonalnych stosować rozwiązania, które zostały tak naprawdę przygotowane dla przeciętnego użytkownika. Powodzenie rynkowe maszyn klasy PC zależy przecież przede wszystkim od ich jak największej funkcjonalności od centrum rozrywki przez maszynę do pisania aż po urządzenie telekomunikacyjne i domową stację obliczeniową. Funkcjonalność takich systemów dynamicznie rośnie dotyczy to zarówno MS Windows jak i Linuksa czy MacOS, wymusza coraz większą wydajność sprzętu co w konsekwencji nie sprzyja wzrostowi bezpieczeństwa informacji i samego oprogramowania. Konieczne staje się więc ograniczanie dostępu do systemu mające na celu ochronę informacji. Strategie producentów (oraz zespołów tworzących dystrybucje Linuksa) muszą być strategiami prorynkowymi. Znajduje to wyraz z ironicznym twierdzeniu Fellena-McGrawa: Musząc wybrać między obejrzeniem tańczących świnek a bezpieczeństwem, użytkownicy za każdym razem zdecydują się na świnki. Dodatkowo, kolejną praktyką budzącą znaczne kontrowersje jest zrzekanie się przez niemal wszystkich producentów oprogramowania jakiejkolwiek odpowiedzialności za straty spowodowane przez błędy zabezpieczeń, wliczając w to przypadki celowych zaniedbań ze strony autora. Niektórzy specjaliści, ze Schneierem na czele, argumentują, że jedynym sposobem podniesienia jakości oprogramowania jest wprowadzenie ustawowej odpowiedzialności na wzór regulacji w przemyśle samochodowym, gdzie producent ponosi niezbywalną odpowiedzialność cywilną i karną za nieprawidłowości, którym mógł zapobiec. Źródło: Wikipedia Wiele osób odpowiedzialnych za bezpieczeństwo informacji nie zwraca uwagi na wyłączenia odpowiedzialności w maksymalnym zakresie dozwolonym przez prawo lokalne poddając się agresywnej promocji Liderów rynku. O ile jeszcze uznać takie postępowanie za naturalne w przypadku Wolnego i Otwartego Oprogramowania, to trudno to zrozumieć jeśli za prawo do korzystania z oprogramowania musimy zapłacić niekiedy całkiem sporą kwotę. Cóż można w tej sytuacji w praktyce zrobić? Jeśli producent lub dostawca oprogramowania uchyla się od odpowiedzialności (naprawdę, warto czytać dołączane do oprogramowania licencje) musimy wziąć sprawę w swoje ręce zarówno w domu, jak i w pracy! Przecież każdy użytkownik PC stosuje różnego typu personal firewall czy programy antywirusowe. Fakt, że takie zabezpieczenia są dostarczane również przez producentów samych systemów można potraktować jako swoistą ironię losu. W przypadku dużych systemów profesjonalnych zawierających wprowadzenie zabezpieczeń powinno być poparte odpowiednią analizą. W tym celu British Standard Institute opracował (w 1995 r.) zestaw standardów BS 7799, które stały się podstawą norm ISO, a w konsekwencji również Polskich Norm poświęconych Systemom Zarządzania Bezpieczeństwem Informacji. (C) Tomasz Barbaszewski str. 2 z 6

3 Stosowanie polskich norm nie jest obowiązkowe! Obowiązek ten zlikwidowano wraz z PRL, jednakże dość szybko okazało się, że powoduje to określone problemy, których apogeum stała się katastrofa hali Targów Katowickich. Normy definiujące i opisujące System Zarządzania Bezpieczeństwem Informacji (rodzina ISO27000) też nie są obowiązkowe a jednak w Projekcie umieszczonym na stronach MSWiA czytamy: Projekt ROZPORZĄDZENIE RADY MINISTRÓW z dnia 2011 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm. 1)) zarządza się, co następuje: 1. Rozporządzenie określa: 1) Krajowe Ramy Interoperacyjności; 2) minimalne wymagania dla rejestrów publicznych i wymiany informacji w postaci elektronicznej; 3) minimalne wymagania dla systemów teleinformatycznych, w tym: a) specyfikację formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym, b) sposoby zapewnienia bezpieczeństwa przy wymianie informacji, c) standardy techniczne zapewniające wymianę informacji z udziałem podmiotów publicznych z uwzględnieniem wymiany transgranicznej, d) sposoby zapewnienia dostępu do zasobów informacji podmiotów publicznych dla osób niepełnosprawnych. i dalej: Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności poprzez: 1) zapewnienie przez kierownictwo podmiotu warunków umożliwiających realizację działań o których mowa w pkt 2) 15); 2) zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 3) utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; 4) przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowanie działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; 5) podjęcie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji; 6) bezzwłoczną zmianę uprawnień, w przypadku zmiany zadań osób o których mowa w pkt 5, 7) zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich; 8) zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, poprzez: a) monitorowanie dostępu do informacji, b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z (C) Tomasz Barbaszewski str. 3 z 6

4 przetwarzaniem informacji, c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji; 9) ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; 10) zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu ujawnienie, modyfikacje, usunięcie lub zniszczenie informacji; 11) zawarcie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziomu bezpieczeństwa informacji; 12) ustalenie zasad postępowania z informacjami, zapewniających maksymalne zmniejszenie wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji w tym urządzeń mobilnych; 13) zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: a) dbałości o aktualizację oprogramowania, b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowanie mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, e) zapewnieniu bezpieczeństwa plików systemowych, f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych. g) niezwłocznym podejmowanie działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa. 14) bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjecie działań korygujących; 15) zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. 3. System zarządzania bezpieczeństwem informacji spełnia wymogi, o których mowa w ust. 1 i 2, jeżeli został opracowany na podstawie Polskiej Normy PN ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania wraz z normami uzupełniającymi lub normy go zastępującej, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN ISO/IEC 17799:2007 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji, 2) PN ISO/IEC 27005:2010 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji 3) PN ISO/IEC 24762:2010 Technika informatyczna Techniki bezpieczeństwa Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie. 4. W przypadkach uzasadnionych określonych przepisem prawa lub analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne ustanawia się dodatkowe zabezpieczenia inne niż te, które wynikają z ust. 2. Pełny tekst Projektu Rozporządzenia: Czas na spełnienie powyższych wymagań został wyznaczony na dwa lata. Mamy więc do czynienia z kolejnym etapem normalizacji wymuszeniem przez akty prawne. Nie ma w tym nic nowego podobnie było z ruchem drogowym. W średniowieczu nie było potrzeba żadnego kodeksu drogowego. Rosnąca mobilność społeczeństwa spowodowała, że na przełomie XVIII i XIX wieku (w zależności od kraju w Polsce pierwsze przepisy drogowe to rok 1825) zaczęto wprowadzać najpierw zalecenia, a potem wręcz prawa o ruchu drogowym (pierwszy polski Kodeks Drogowy to rok 1920). Ciekawostką jest, że przewidziano w nim Prawo Jazdy kategorii IIB uprawniające jedynie do prowadzenia Forda model T samochodu, który był bardzo prosty w obsłudze. Nieodparcie kojarzy się to z pewnym najpopularniejszym (ale jedynie na komputerach typu PC) systemem operacyjnym i tak zwanym komputerowym prawem jazdy. Cóż, historia lubi się powtarzać. (C) Tomasz Barbaszewski str. 4 z 6

5 Wracając jednak do rzeczy: Planowane zarządzenie wynika z wprowadzania tak zwanych Europejskich Ram Interoperacyjności. Znaczne poszerzenie zakresu wymienianych danych, projekty e-administracji, udostępnianie coraz większej ilości usług w Internecie skutkuje wzrostem ruchu, co z kolei wymusza podejmowanie działań mających na celu zapewnienie bezpieczeństwa. Nasza cywilizacja staje się coraz bardziej uzależniona od informacji została bowiem złapana we własne sidła. Ułatwienie składowania i przetwarzania ogromnej ilości informacji powoduje, że decydenci żadają coraz więcej ilości i coraz dokładniejszych informacji a to z kolei prowadzi do tworzenia nowych, coraz doskonalszych systemów teleinformatycznych. Projekt rozporządzenia konsultowanego przed MSWiA dotyczy jedynie podmiotów realizujących zadania publiczne. Lecz przecież pod tym kryptonimem ukrywa się cała Administracja Rządowa, Samorządowa a także sporo innych organizacji. Wszystko wskazuje więc na to, że pomimo iż stosowanie polskich norm nie jest obligatoryjne, to szybko może stać się obowiązkowe podobnie jak zasada pierwszeństwa z prawej strony. Rodzina norm ISO 27000: Dostępna nieodpłatnie (jako plik PDF) norma ISO 27000:2009 to podstawowy przewodnik po pozostałych normach rodziny. Znajdziemy w niej: zestawienie oraz opis przedmiotu poszczególnych norm, cele i zadanie standaryzacji SZBI, definicje terminów używanych w normach, właściwości, jakimi powinien charakteryzować się SZBI, opis podejścia procesowego i stosowania cyklu PDCA (koła Deminga), uzasadnienie celowości zarządzania bezpieczeństwem informacji, czynniki sukcesu, mapy rodziny standardów oraz ich opisy, bibliografię. Normy rodziny ISO można podzielić na kilka grup: Opis standardu i definicje używanych terminów: ISO Normy specyfikujące wymagania podlegające audytowi w procesie certyfikacji: ISO wymagania stawiane SZBI, ISO wymagania wobec jednostek certyfikujących, Przewodniki opisujące standardy oraz praktyki ich implementowania: ISO (PN-ISO/IEC 17799) wdrażanie SZBI, ISO podejście procesowe we ustanawianiu i wdrażaniu SZBI, ISO metody pomiarowe i kontrolne dla SZBI, ISO analiza ryzyka dla potrzeb SZBI, (C) Tomasz Barbaszewski str. 5 z 6

6 ISO audyty SZBI Normy sektorowe: ISO SZBI w sektorze telekomunikacyjnym, ISO implementacja Zarządzania Bezpieczeństwem Informacji dla potrzeb organizacji służby zdrowia (adaptacja ISO 27002), Inne normy sektorowe znajdują się w opracowywaniu. Dla organizacji zainteresowanych ustanowieniem i wdrożeniem SZBI najistotniejsze są normy opisujące wdrażanie systemu a w szczególności ISO/IEC (w Polsce ciągle znana jako PN-ISO/IEC 17799, ponieważ według tych norm należy prowadzić proces wprowadzania SZBI, który może się zakończyć (lub nie) uzyskaniem certyfikatu ISO Bardzo ważną lekturą uzupełniającą dla wszystkich zainteresowanych ustanowieniem SZBI jest norma ISO opisująca zasady zarządzania ryzykiem w systemach IT. (C) Tomasz Barbaszewski str. 6 z 6