RODZINA NORM ISO SERII STAN OBECNY I PERSPEKTYWY

Transkrypt

1 Studia i Materiały. Miscellanea Oeconomicae Rok 16, Nr 2/2012 Wydział Zarządzania i Administracji Uniwersytetu Jana Kochanowskiego w Kielcach Z a r ządzanie i f i n a n s e Jerzy Zamojski 1 RODZINA NORM ISO SERII STAN OBECNY I PERSPEKTYWY Krótka historia powstania i rozwoju rodziny norm ISO serii Pod koniec lat osiemdziesiątych dwudziestego wieku Royal Dutch/Shell Group wprowadziła u siebie pierwszą w historii politykę zarządzania bezpieczeństwem informacji. Na jej bazie w roku 1989 brytyjski rządowy Departament Przemysłu i Handlu DTI (ang. Department of Trade and Industry), a dokładniej jego Commercial Computer Security Centre (znane jako CCSC), stworzyło kodeks postępowania użytkowników w zakresie bezpieczeństwa informacji. Była to pierwsza publikacja adresowana do osób i firm spoza koncernu Shell. CCSC stworzyło także przy wsparciu brytyjskiego rządowego Communications Electronics Security Group (CESG) Zieloną księgę skłaniającą do opracowania brytyjskiego systemu oceny i certyfikacji produktów UK ITSEC (ang. IT Security Evaluation and Certification). Powstał on na przełomie 1991 i 1992 roku. W oparciu o dorobek DTI i przy jego współpracy Brytyjski Instytut Normalizacyjny (BSI) stworzył document nazwany: BSI Delivering Information Solutions to Customers Public Document 003, czyli w skrócie BSI-DISC PD003 DTI Code of Practice for Information Security Management (Kodeks działań w zakresie zarządzania bezpieczeństwem informacji). Profesor Edward Humphreys, z the UK National Computing Centre (NCC), wraz ze specjalistami do spraw zarządzania bezpieczeństwem informacji z Shell, BOC Group, British Telecom, Marks and Spencer, Midland Bank i Nationwide odegrali kluczową rolę w wydaniu tego dokumentu. Ich wysiłki były istotnie wspierane przez takie firmy jak BP, British Aerospace, British Steel, Bull, Cadbury Schweppes, Cameron 1 Dr Jerzy Zamojski, adiunkt, Uniwersytet Jana Kochanowskiego w Kielcach. 169

2 Markby Hewitt, Chelsea Building Society, Ciba Geigy, Digital Equipment Corporation, Reuters i TSB Bank. DTI przemianowane później na BERR (ang. Department for Business Enterprise and Regulatory Reform) nadal wspiera rozwój norm ISO serii Zaś struktura documentu PD003 legła u podstawy późniejszych norm BS 7799 i ISO/IEC W latach dziewięćdziesiątych Brytyjski Instytut Normalizacyjny nadal pracował nad zagadnieniem normalizacji w zakresie zarządzania bezpieczeństwem informacji (ang. ISMS Information Security Management Systems). Ich dziełem stały się dwie kluczowe normy. W roku 1995 opublikowana została norma BS 7799, którą w roku 1998 przemianowano na BS (part 1) Information Security Management Code of Practice for Information Security Management Systems. W tym bowiem roku opublikowana została jej druga część: BS Information Security Management Systems Specification with guidance for use. Normy te stały się podstawami dla pierwszych norm ISO/IEC dotyczących zarządzania bezpieczeństwem informacji. BS stało się w roku 2000 normą międzynarodową ISO/IEC 17799, zaś nieco zmieniona norma BS została przekształcona w ISO/IEC Szczególny rozwój normalizacji w tym zakresie rozpoczął się w roku 2007 i trwa do tej pory. W dalszej części przedstawię więc obecnie obowiązujące oraz planowane do wprowadzenia w nieodległej przyszłości normy ISO/IEC serii Linię czasu dla rozwoju norm ISO serii ilustruje rysunek 2. Rodzina norm ISO/IEC serii ISO/IEC 27000:2009 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Przegląd i terminologia. Określa podstawowe słownictwo, zasady i pojęcia dla norm ISO/IEC serii W istotny sposób porządkuje terminologię rozsianą do tej pory po szeregu innych norm. Jej polski odpowiednik PN ISO/IEC 27000:2012 został opublikowany w końcu sierpnia 2012 roku. Norma zawiera podstawowe informacje pozwalające zrozumieć oraz prawidłowo wdrożyć system zarządzania bezpieczeństwem informacji. W normie zaznaczono, że podejście procesowe do systemu prezentowane w rodzinie norm bazuje na wykorzystaniu koła Deminga (PDCA) 3. ISO/IEC 27001:2009 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania. Określa ramy systemu zarządzania bezpieczeństwem informacji poprzez zdefiniowanie podstawowych wymagań w zakresie: opracowania i realizacji polityki bezpieczeństwa informacji, prowadzenia przeglądów zarządzania i auditów wewnętrznych, identyfikacji i klasyfikacji informacji, 2 Opracowano w oparciu o oraz org/thepast.htm 3 oraz terminologia-systemow-zarzadzania-bezpieczenstwem-informacji-pn-isoiec

3 zarządzania ryzykiem, postępowania z incydentami, weryfikacji skuteczności stosowanych zabezpieczeń Deklaracja Stosowania, opracowania i testowania planów ciągłości działania 4. Terminologia Przegląd i terminologia Zapewnia podstawę, terminy i definicje możliwe do stosowania w rodzinie norm SZBI Wymagania ogólne Wymagania Wymagania dotyczące jednostek certyfikacyjnych Wytyczne ogólne Praktyczne zasady Wytyczne do wdrożenia Pomiary Zarządzanie ryzykiem Wytyczne do audytu Wytyczne specyficzne dla systemów Organizacje ochrony zdrowia Firmy telekomunikacyjne Rysunek 1. Wykaz norm z rodziny Systemu Zarządzania Bezpieczeństwem Informacji wraz z relacjami je łączącymi. Źródło: PN ISO/IEC 27000:2012 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Przegląd i terminologia. /2012/10/terminologia -systemow-zarzadzania-bezpieczenstwem-informacji-pn-isoiec

4 Późne lata 80te Royal Dutch/Shell Group wprowadza politykę zarządzania bezpieczeństwem informacji 1989 Kodeks postępowania wydany przez brytyjjski Departament Handlu i Przemysłu DTI 1993 BSI-DISC PD003 Kodeks Postępowania DTI 1995 Publikacja normy BS BS7799 staje się BS Publikacja BS Zmieniona BS BS staje się ISO/IEC BS staje się ISO/IEC Zmieniona ISO/IEC Zmiana nazwy ISO/IEC na ISO/IEC Publikacja ISO/IEC i ISO/IEC Publikacja ISO/IEC i ISO/IEC Publikacja norm ISO/IEC 27000, ISO/IEC i ISO/IEC Publikacja norm ISO/IEC i ISO/IEC Publikacja norm ISO/IEC 27007, ISO/IEC 27008, ISO/IEC 27031, ISO/IEC , ISO/IEC Zmieniona norma ISO/IEC Publikacja norm ISO/IEC 27010, ISO/IEC 27013, ISO/IEC 27032, ISO/IEC , ISO/IEC Rysunek 2. Linia czasu dla rodziny norm ISO serii Źródło: 172

5 ISO/IEC 27002:2005 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji norma zawiera wytyczne do budowy systemów zarządzania bezpieczeństwem informacji. Wydanie w czerwcu 2005 jest tożsame z funkcjonującą ISO 17799: lipca 2007 ISO wydało erratę dotyczącą zmiany w treści całego dokumentu na Od stycznia 2007 dostępny jest również polski odpowiednik PN- ISO/IEC 17799: Trwają prace nad jej nowelizacją. Której publikacja oczekiwana jest w roku ISO/IEC 27003:2010 Information technology Security techniques Information security management system implementation guidance. Norma zawiera wytyczne do budowy systemów zarządzania bezpieczeństwem informacji pomocne przy wdrożeniu normy ISO/IEC Obejmuje szeroki zakres działań od planowania i definiowania systemu, poprzez analizę ryzyka i plan wdrożenia w życie wytycznych normy. Brak jest polskiego odpowiednika. ISO/IEC 27004:2009 Information technology Security techniques Information security management Measurement. Obejmuje pomiary zarządzania bezpieczeństwem informacji, ogólnie znane jako wskaźniki bezpieczeństwa. Celem normy jest pomóc organizacjom w systematycznym doskonaleniu ich systemów zarządzania bezpieczeństwem informacji. Brak jest polskiego odpowiednika tej normy. ISO/IEC 27005:2008 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji. Norma jest oparta na wydanej w roku 2006 normie brytyjskiej BS i obejmuje swym zakresem problemy związane z zarządzaniem ryzykiem. Jest ściśle powiązana z normami ISO/IEC i Polskim odpowiednikiem jest norma PN ISO/IEC 27005:2010. ISO/IEC 27006:2011 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems. Przedstawiono w niej wymagania i podano wytyczne dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji (SZBI) jako uzupełnienie wymagań zawartych w normach ISO/IEC i ISO/IEC W Polsce dostępna jest tylko starsza wersja tej normy (edycja z roku 2007) w postaci normy PN ISO/IEC 27006:2009. ISO/IEC 27007:2011 Information technology Security techniques Guidelines for information security management systems auditing. norma definiuje dobre praktyki dla przeprowadzania audytów wewnętrznych i certyfikacyjnych systemów zarządzania bezpieczeństwem informacji. Jest oparta na standardzie ISO 19011:2002, który poza audytami systemów środowiskowych i jakości, służył także do audytów SZBI. Norma ta jest ściśle powiązana z normami ISO/IEC i Brak jest polskiej wersji normy. ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for auditors on information security management systems controls

6 Stanowi uzupełnienie normy ISO/IEC 27007, jednak w przeciwieństwie do niej, koncentruje się na problemie kontroli systemu. Brak jest polskiej wersji normy. ISO/IEC 27010:2012 Information technology Security techniques Information security management for inter-sector and inter-organisational communications. Norma zawiera wytyczne dotyczące bezpieczeństwa informacji i komunikacji między współdziałającymi przemysłami w tych samych branżach, w różnych sektorach przemysłu i rządów, zarówno w czasach kryzysu i ochrony infrastruktury krytycznej jak i do wzajemnego uznawania w normalnych warunkach pracy do spełnienia wymagań prawnych, regulacyjnych i zobowiązań umownych. Brak jest polskiej wersji tej normy. ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC Normę tę stanowiącą przewodnik wdrożenia SZBI dla telekomunikacji, opracowały wspólnie ITU-T oraz ISO/IEC JTC1/SC27 i opublikowały zarówno jako ITU-T X.1051 jak i ISO/IEC Pierwotną normę opublikowaną po angielsku w roku 2004, a po hiszpańsku, francusku i rosyjsku w 2005, ITU-T zaproponowało wzbogacić o dwie nowe części: 1. Wytyczne zarządzania bezpieczeństwem stosowane dla małych i średnich organizacji telekomunikacyjnych [X.sgsm]: przewodnik do wdrożenia systemu zarządzania bezpieczeństwem informacji w oparciu o X.1051 (ISO/IEC 27011); 2. Zarządzanie aktywami Wytyczne [X.amg]: Przewodnik dobrych praktyk w zakresie zarządzania aktywami dla organizacji telekomunikacyjnych. ISO/IEC JTC1/SC27 dostosowała zaś normę do nowych wersji norm ISO/IEC i Tak poprawioną normę wydano ponownie w roku Brak jest polskiej wersji. ISO/IEC 27013:2012 Information technology Security techniques Guidance on the integrated implementation of ISO/IEC and ISO/IEC Ta norma została wydana w październiku 2012 roku. Ta najnowsza, na dziś dzień, norma koncentruje się na integracji norm ISO/IEC I ISO/IEC (specyfikacja zarządzania usługami IT). Zapewnia pomoc zarówno przy dostosowaniu do siebie obydwu systemów posiadanych przez firmę, jak i pomoc przy wdrożeniu drugiego systemu, gdy już jeden się posiada. Można także wdrażać oba jednocześnie od zera. Brak, rzecz jasna, polskiej wersji normy. ISO/IEC 27031:2011 Information technology Security techniques Guidelines for information and communications technology readiness for business continuity. Norma sugeruje strukturę lub ramy (metody i procesy) dla każdego typu organizacji - prywatnych, rządowych, jak i pozarządowych. Identyfikuje i specyfikuje wszystkie istotne aspekty, w tym kryteria, dostosowanie i szczegóły realizacji, w celu poprawy gotowości ICT 6 w ramach organizacji ISMS, przyczyniając się do zapewnienia ciągłości biznesowej. Zakres tej normy obejmuje wszystkie zdarzenia i incydenty (a nie tylko informacje związane z ochroną), które mogą mieć wpływ na infrastrukturę ICT oraz systemów. Dlatego rozszerza praktykę 6 ICT- teleinformatyka - akronim od angielskiego Information and Communication Technologies. 174

7 bezpieczeństwa przetwarzania informacji o incydentach i zarządzania nimi, w obszarze planowania gotowości i usług ICT. ISO/IEC 27032:2012 Information technology Security techniques Guidelines for cybersecurity. To nowa norma opublikowana w lipcu Oficjalnie, ISO/IEC dotyczy cyberbezpieczeństwa lub bezpieczeństwa cyberprzestrzeni, zdefiniowanego jako zachowanie poufności, integralności i dostępności informacji w cyberprzestrzeni. Z kolei cyberprzestrzeń jest zdefiniowana jako złożone środowisko wynikające z interakcji ludzi, oprogramowania i usług w Internecie, za pomocą urządzeń, technologii i sieci podłączonych do niego, które nie istnieją w formie fizycznej. Nieoficjalnie, norma ta dotyczy różnych aspektów bezpieczeństwa w Internecie. ISO/IEC Information technology Security techniques Network security (części 1-3 zostały już opublikowane, zaś części 4-6 są na etapie draftu) ISO/IEC jest wieloczęściową normą, która pochodzi od istniejącej pięcioczęściowej normy ISO/IEC Zostały one jednak w istotny sposób pozmieniane tak, aby pasowały do serii norm ISO Celem normy ISO/IEC jest dostarczenie szczegółowych wytycznych dotyczących aspektów bezpieczeństwa w zakresie zarządzania, funkcjonowania i korzystania z sieci informatycznych i ich wzajemnych połączeń. Te osoby w organizacji, które są odpowiedzialne za bezpieczeństwo informacji w ogóle, i bezpieczeństwo sieci, w szczególności, powinna być w stanie dostosować informacje zawarte w tym standardzie do ich specyficznych wymagań. 8 Norma ta zawiera szczegółowe wytyczne w sprawie realizacji kontroli bezpieczeństwa sieci, które zostały wprowadzone w normie ISO/IEC Ma ona zastosowanie w obszarach bezpieczeństwa urządzeń sieciowych i zarządzania ich bezpieczeństwem, aplikacji sieciowych oraz usług i użytkowników sieci. Skierowana jest do architektów i projektantów bezpieczeństwa sieci, a także menedżerów i urzędników. Liczba części normy może ulec zmianie. ISO/IEC :2009: network security overview and concepts. Zmieniła i zastąpiła normę ISO/IEC część 1. Stanowi plan działań i ogólny opis koncepcji i zasad leżących u podstaw pozostałych części normy ISO/IEC ISO/IEC :2012 Guidelines for the design and implementation of network security. Zmieniła i zastąpiła normę ISO/IEC część 2. Jej zakres to: planowanie, projektowanie, wdrażanie i dokumentowanie bezpieczeństwa sieci. Jej celem jest określenie, w jaki sposób organizacje powinny osiągnąć odpowiednią jakość architektury zabezpieczeń technicznych sieci, a także projektów i wdrożeń, które zapewnią bezpieczeństwo sieci odpowiednie dla ich środowisk biznesowych, 7 ISO/IEC 18028: Information technology - Security techniques - IT network security Pięcioczęsciowa norma (ISO/IEC do ) zawierająca ogólnie przyjęte wytyczne dotyczące aspektów bezpieczeństwa zarządzania, funkcjonowania i użytkowania sieci informatycznych. Norma rozszerza zakres wytycznych określonych w normie ISO/IEC i ISO/IEC koncentrując się w szczególności na zagrożeniach bezpieczeństwa sieci. (za 8 Cytat z normy ISO/IEC

8 stosując spójne podejście do planowania, projektowania i wdrażania bezpieczeństwa sieci, jako ich istotne wspomaganie przez zastosowanie modeli lub ram. ISO/IEC :2010 Reference networking scenarios threats, design techniques and control issues. Celem normy jest określenie szczególnych zagrożeń, technik projektowania i problemów związanych z kontrolą dla typowych struktur sieciowych. ISO/IEC : Securing communications between networks using security gateways (DRAFT). Ma być rewizją normy ISO/IEC część 3 i ewentualnie także normy ISO/IEC część 4. Zawiera przegląd bramek bezpieczeństwa poprzez opis różnych ich architektur. Jej celem ma być zapewnienie wskazówek, w jaki sposób zidentyfikować i przeanalizować zagrożenia dla bezpieczeństwa sieci związane z bramkami bezpieczeństwa, określenie wymagań bezpieczeństwa sieci za bramkami bezpieczeństwa na podstawie analizy zagrożeń. Ma służyć wprowadzeniu technik projektowania sieci zgodnego z architekturą techniczną zabezpieczeń w celu usunięcia zagrożeń i aspektów kontrolnych związane z typowymi scenariuszami sieciowymi. Ma wspierać rozwiązywanie problemów związanych z wdrażaniem, eksploatacją, monitorowaniem i przeglądem bezpieczeństwa sieci z bramkami bezpieczeństwa. ISO/IEC : Securing communications across networks using Virtual Private Networks (VPNs) (DRAFT). Ma zastąpić normę ISO/IEC część 5. Jej celem jest określenie szczególnych zagrożeń, technik projektowania i problemów kontroli zabezpieczania połączeń, które są ustalone z wykorzystaniem VPN 9. Dostarcza wytycznych dla zabezpieczenia zdalnego dostępu w sieciach publicznych. Ma pomóc administratorom sieci, którzy planują skorzystać z tego rodzaju połączenia, lub którzy już je używają i potrzebują porady, w jaki sposób go skonfigurować i obsługiwać bezpiecznie. ISO/IEC : Securing IP network access using wireless (DRAFT). Jej celem jest określenie szczególnych zagrożeń, technik projektowania i problemów kontroli zabezpieczania sieci bezprzewodowych i sieci radiowych. Norma ta jest planowana do wprowadzenia w roku ISO/IEC Information technology Security techniques Application security (część 1 już została opublikowana, a reszta jest planowana). Celem normy jest zapewnienie tego, że programy komputerowe przyniosą oczekiwany oraz niezbędny poziom bezpieczeństwa w celu wsparcia organizacji systemu zarządzania bezpieczeństwem informacji. Ta wieloczęściowa norma zawiera wytyczne dotyczące określenia, projektowania lub wyboru i przeprowadzania kontroli bezpieczeństwa informacji, poprzez zestaw procesów zintegrowanych w organizacji w ramach Cyklu Rozwoju Systemów Życia (SDLC). Jest zorientowana na proces. Obejmuje aplikacje opracowane wewnętrznie, przez dostawcę zewnętrznego, a także outsourcing lub offshoring 10, oraz rozwiązania hybrydowe. Dotyczy ono 9 VPN - Prywatne sieci wirtualne. 10 Offshoring przeniesienie wybranych procesów biznesowych przedsiębiorstwa poza granicę kraju przy zachowaniu tej samej grupy klientów. Dotyczy on procesów takich jak produkcja, usługi lub 176

9 wszystkich aspektów związanych z wyznaczaniem wymogów bezpieczeństwa informacji tak, aby chronić informacje dostępne przez aplikację, a także zapobiegać bezprawnemu użyciu aplikacji. ISO/IEC :2011 Information technology Security techniques Application security Overview and concepts. Jest częścią wprowadzającą dla pozostałych. Jej celem jest dostarczenie ogólnych wytycznych, które będą wspierane z kolei, poprzez bardziej szczegółowe metody i standardy w zakresie zarządzania bezpieczeństwem aplikacji. Stosuje podejście procesowe do określenia, projektowania, rozwoju, testowania, wdrożenia i utrzymania funkcji zabezpieczeń i kontroli w systemach aplikacyjnych. Na przykład definiuje bezpieczeństwo aplikacji nie jako stan zabezpieczenia w systemie aplikacji, ale jako proces, który organizacja może wykonywać w celu stosowania kontroli i pomiarów odnośnie do swoich wniosków, w obszarze zarządzania ryzykiem ich stosowania. ISO/IEC Organization normative framework (draft). Wyjaśnia relacje i współzależności pomiędzy procesami w normatywnych ramach organizacji. Publikacja planowana w roku 2015 ISO/IEC Application security management process (pre-draft). To norma planowana dopiero na rok 2017, więc bardzo mało jeszcze o niej wiadomo. ITGovernance podaj, że celem normy będzie zapewnienie bezpieczeństwa procesu w aplikacjach służących do zarządzania, opisując dany proces bezpieczeństwa informacji w projekcie rozwoju aplikacji, jego relacjach i zależnościach. 11 ISO/IEC Application security validation (pre-draft). To także norma planowana dopiero na rok ITGovernance podaje, że celem normy będzie walidacja i certyfikacja bezpieczeństwa aplikacji oraz proces oceny systemu aplikacji przez podanie jej wymogów bezpieczeństwa. ISO/IEC Protocols and application security control data structure (draft). Norma ta jest planowana na rok Część 5 definiuje kontrolę bezpieczeństwa aplikacji (ASC) struktury danych, zapewniając wymagania, opisy, reprezentacje graficzne oraz schematy XML dla modelu danych. Schemat XML, oparty jest na normie ISO/TS Celem tej części jest ułatwienie wdrażania normy ISO/IEC w ramach zabezpieczeń aplikacji i komunikacji oraz wymiany ASC, poprzez zdefiniowanie formalnej struktury ASC oraz niektórych innych składników ram. Umożliwi ona utworzenie bibliotek wielorazowych funkcji bezpieczeństwa aplikacji, które mogą być przekazywane zarówno wewnątrz jak i między organizacjami. ISO/IEC Security guidance for specific applications (draft). Ta norma również jest planowana na rok Norma będzie podawać przykłady kontroli bezpieczeństwa aplikacji (ASC) dostosowanych do specyficznych wymagań. ISO/IEC 27035:2011 Information technology Security techniques Information security incident management. Różne są powody niedoskonałości kontroli zamówienia, a jego celem jest obniżenie kosztów. Przeniesienie może nastąpić poprzez inwestycję lub zlecenie międzynarodowego podwykonawstwa

10 w obszarze incydentów. Ta norma ma temu zaradzić poprzez skutecznie powiązanie funkcji detektywistycznych i naprawczych kontroli, tak aby zminimalizować negatywne skutki, zebrać dowodów sądowe (jeśli dotyczy) i wyciągnąć wnioski w zakresie poprawy monitowania ISMS. Dotyczy zwłaszcza stosowania bardziej skutecznych kontroli prewencyjnych. Incydenty związane z bezpieczeństwem informacji powszechnie obejmują eksplorację poprzednio nieujętych lub niekontrolowanych luk, stąd zarządzanie luką (np. stosując odpowiednie poprawki zabezpieczeń do systemów informatycznych i rozwiązywania problemów w zakresie kontroli w ramach procedur) jest częścią działań zapobiegawczych, a także częścią działań naprawczych. Obecnie proces składa się z 5 kluczowych elementów: 1. Przygotowania się do radzenia sobie z incydentami np. poprzez przygotowanie polityki zarządzania incydentami i ustanowienie właściwego zespołu do radzenia sobie z incydentami; 2. Identyfikacji i zgłaszania incydentów bezpieczeństwa informacji; 3. Oceny incydentów i podejmowania decyzji o tym, jak mają one być procedowane np. załatać lukę i wrócić do pracy szybciej, lub zebrać dowody sądowe, nawet jeśli opóźni to uszczelnienie systemu; 4. Reagować na incydenty tj. zbierać je, badać i znajdować ich rozwiązania; 5. Wyciągnąć wnioski oznacza to więcej niż tylko określenie rzeczy, które można było zrobić lepiej. Ten etap obejmuje faktycznie dokonywanie zmian, które skutecznie poprawiają procesy. Planowanych jest kilka dodatkowych części tej normy. ISO/IEC 27037:2012 Information technology Security techniques Guidelines for identification, collection, acquisition, and preservation of digital evidence. Ta norma opublikowana została w październiku Zawiera wytyczne dotyczące identyfikacji, gromadzenia, obsługi i ochrony cyfrowych dowodów sądowych tj. danych cyfrowych, które mogą mieć wartość dowodową do wykorzystania w sądzie. To zbiór dobrych praktyk, zwłaszcza w zakresie zachowania integralności dowodów cyfrowych. Wprowadzenie tej normy ma istotne znaczenie dla współpracy międzynarodowej w zakresie przestępstw w cyberprzestrzeni. ISO 27799:2008 Informatyka w ochronie zdrowia Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z wykorzystaniem ISO/IEC Ta norma została opublikowana przez Komitet Techniczny ISO TC 215 odpowiedzialny za informatykę w służbie zdrowia, a nie przez odpowiedzialny za wszystkie pozostałe normy z rodziny ISO serii połączony komitet techniczny ISO i IEC JTC1. Mimo to jest integralną częścią norm ISO serii Norma określa wytyczne służące potwierdzeniu, interpretacji i wdrożeniu normy ISO/IEC w obszarze informatyki w służbie zdrowia. Uzupełnia tę normę o szczegółowe wymagania dla informacji zdrowotnych. Prezentuje najlepsze praktyki w tym zakresie. Realizacja tej normy zapewni minimalny wymagany poziom zabezpieczenia, który jest odpowiedni dla tego typu organizacji. Odnosi się bowiem do informacji dotyczących zdrowia we wszystkich jego aspektach, bez względu na przyjętą formę informacji (słowa i liczby, nagrania dźwiękowe, rysunki, wideo i obrazów medycznych). Doty- 178

11 czy także wszystkich (nie tylko elektronicznych) form przechowywania i przesyłu informacji. Polski odpowiednik tej normy został wydany w roku Normy planowane ISO/IEC Information technology Security techniques Governance of information security. Norma ta ma rozszerzać problem zarządzania bezpieczeństwem informacji zwłaszcza w takich obszarach jak strategia, polityka i cele SZBI. Niewykluczone, że norma ta pojawi się jeszcze w roku ISO/IEC TR Information technology Security techniques Information security management guidelines for financial services. To zbiór wytycznych sektorowych dla różnych typów instytucji świadczących usługi finansowe. Ma im pomóc przy wdrażaniu normy ISO/IEC Być może norma ta pojawi się jeszcze w roku ISO/IEC TR IT Security Security techniques Information security management Organizational economics. Norma ta ma zmniejszyć problem związane z uzasadnianiem menedżerom wydatków związanych z bezpieczeństwem informacji. Celem jest prawidłowe oszacowanie koniecznych kosztów związanych ze stworzeniem i funkcjonowaniem systemu zarządzania bezpieczeństwem informacji. Publikacja normy jest planowana na koniec 2013 roku. ISO/IEC Information technology Security techniques Security in cloud computing. To norma obejmująca zagadnienia zarządzania bezpieczeństwem informacji w chmurze obliczeniowej (ang. Cloud computing). Ma być zgodna z planowaną niebawem normą ISO/IEC Projektanci uznali wymagania normy ISO/IEC za wystarczające i nie będzie nowych, specjalnych certyfikatów dla firm świadczących tego typu usługi. Ponieważ nowelizacja ISO/IEC planowana jest na rok 2013, to tej normy należy spodziewać się nieco później. ISO/IEC Information technology Security techniques Code of practice for data protection controls for public cloud computing services. Norma ta będzie stanowić wytyczne dotyczące elementów prywatności oraz aspektów publicznych chmur obliczeniowych. Towarzyszyć im będzie poprzez ISO/IEC obejmujące szersze aspekty bezpieczeństwa informacji. Norma nie jest przeznaczona do kopiowania lub modyfikowania ISO/IEC w odniesieniu do chmur obliczeniowych, ale przypuszczalnie doda nowe cele kontroli odnoszące się do ochrony prywatności i danych osobowych w chmurze. Publikacja zapewne po nowelizacji ISO/IEC ISO/IEC TR Information technology Security techniques Information security management guidelines based on ISO/IEC for process control systems specific to the energy industry. Ta norma ma pomóc branży energetycznej w interpretowaniu i stosowaniu ISO/IEC 27002, w celu zabezpieczenia ich elektronicznych systemów kontroli procesu. ISO/IEC IT Security Security techniques Information security for supplier relationships. Będzie to wieloczęściowa norma zawierająca wytyczne w zakresie oceny i ograniczania ryzyka bezpieczeństwa wynikającego z zamówień 179

12 i korzystania z informacji lub usług związanych z IT dostarczanym przez inne organizacje. Obejmować będzie: cele strategiczne, cele i potrzeby biznesowe w zakresie bezpieczeństwa informacji oraz zagrożenia bezpieczeństwa informacji i techniki ograniczania ryzyka. Norma wspierać ma także outsourcing usług IT. ISO/IEC : Overview and concepts. Zakres i cel części 1 to wprowadzenie do wszystkich części tej normy, oraz zapewnienie ogólnych informacji i kluczowych terminów oraz pojęć. ISO/IEC : Common requirements. Zakres i cel części 2 to określenie ogólnych wymagań bezpieczeństwa informacji koniecznych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i poprawy relacji z dostawcami, w ramach ogólnych zagrożeń biznesowych oraz z perspektywy zarówno nabywcy jak i dostawcy. Wymogi będą w niej służyć jako punkty odniesienia, z punktu widzenia bezpieczeństwa informacji, dla tworzenia i zarządzania indywidualnymi umowami odnoszącymi się do współpracy z dostawcami i mogą być różne dla różnych rodzajów outsourcingu. Zakres tej normy ma obejmować bowiem różne rodzaje outsourcingu, także z obszaru chmury obliczeniowej. ISO/IEC : Guidelines for ICT supply chain security. Zakres i cel części 3 obejmie aspekty zarządzania ryzykiem w całej ICT (technologie informacyjne i komunikacyjne) realizowane w ramach łańcuch dostaw i obejmie sprzęt, oprogramowanie i usługi z perspektywy dostawców i klientów. Obejmie ona globalnych i zróżnicowanych geograficznie dostawców poprzez integrację z systemem zarządzania ryzykiem i procesami cyklem życia oprogramowania, a wszystko w oparciu o normy ISO/IEC 15288, i ISO/IEC : Outsourcing (pre-draft). Ta norma odnosząca się do outsourcingu jest jeszcze na bardzo wczesnym etapie i nie jest znany jej dokładny zakres. ISO/IEC : Guidelines for security of cloud services (pre-draft). Ta norma także jest na bardzo wczesnym poziomie rozwoju. Chmura obliczeniowa może być postrzegana jako outsourcing przetwarzania informacji do zewnętrznych dostawców działających w owej chmurze. Zakres i cel części 5 zapewni wytyczne dla bezpieczeństwa informacji usług w chmurze obliczeniowej, w całym łańcuchu dostaw z perspektywy zarówno nabywcy jak i dostawcy takich usług. Tak więc wiąże się z zarządzaniem ryzykiem bezpieczeństwa informacji związanych z usługami w chmurze w całym cyklu życia. ISO/IEC Information technology Security techniques Specification for digital redaction. Dane cyfrowe są czasami ujawniane osobom trzecim, a nawet sporadycznie publikowane dla opinii publicznej, z powodów takich jak ujawnienie dokumentów urzędowych w ramach wolności dostępu do informacji ustawowych lub jako dowód w sporach handlowych. Jednak, w przypadku gdy zostanie to uznane za zasadne, aby nie ujawniać pewnych poufnych danych w plikach (np. takich jak imiona i nazwiska lub dane teleadresowe ludzi, którzy muszą pozostać anonimowi, różne inne informacje osobiste lub zastrzeżone) to dane takie muszą być bezpiecznie usunięte z plików przed ich wydaniem. Redakcja oznacza więc umowny termin dla procesu usuwania niektórych wrażliwych danych z oryginalnych plików. Ryzyko z tym związanie obejmuje podjęcie 180

13 złych decyzji odnośnie materiałów podlegających redakcji, niewłaściwego doboru technik i przeprowadzania procesu usuwania, a także doboru niewłaściwych osób do realizacji tego zadania. Norma ta ma pomóc takie błędy ograniczyć. ISO/IEC Information technology Security techniques Selection, deployment and operations of Intrusion Detection [and Prevention] Systems (IDPS). IDS (Intrusion Detection Systems) są w dużej mierze zautomatyzowanymi systemami identyfikacji ataku i włamania do sieci lub systemu dokonanego przez hakerów, a ich celem jest wszczęcie alarmu. IPS (Intrusion Prevention Systems) podejmują automatycznie dalsze kroki, w celu ochrony zaatakowanego systemu (np. poprzez odcięcie określonych portów sieciowych poprzez firewall by zablokować ruch hakera w sieci). IDPS odnosi się do obu rodzajów działań. Norma ma pomóc organizacjom we wdrożeniu tego typu systemów. W roku 2013 ma zmienić i zastąpić normę ISO/IEC 18043:2006. ISO/IEC Information technology Security techniques Storage security. Standard ma na celu zwrócenie uwagi na wspólne zagrożenia dla bezpieczeństwa informacji związane z ochroną poufności, integralności i dostępności informacji w obszarze technik ich przechowywania. Ma zachęcać firmy do wzmożenia kontroli bezpieczeństwa informacji w miejscach ich magazynowania. Dotyczy to także lokalnych kopii zapasowych czy odzyskiwania danych gromadzonych w chmurze obliczeniowej. Ważnym tematem tej normy jest niszczenie danych. ISO/IEC Information technology Security techniques Guidelines for the analysis and interpretation of digital evidence. Podstawowym celem informatyki śledczej opisanych w normach ISO/IEC 27037, 27041, i jest promowanie dobrych praktyk, metod i procesów śledztw kryminalnych Podstawowym celem tej normy jest zapewnienie dla kryminalistyki właściwych procesów związanych z dochodzeniami w oparciu o dowody cyfrowe. Wiarygodność, zaufanie i uczciwość to podstawowe wymagania dla wszystkich tych metod śledczych, natomiast norma ta promuje aspekty pewność badania cyfrowych dowodów, tak by proces ich analizy był niepodważalny. ISO/IEC Information technology Security techniques Guidelines for the analysis and interpretation of digital evidence. To kolejna norma przeznaczona dla celów śledczych. Będzie ustanawiać pewne podstawowe zasady, które mają zapewnić, to że narzędzia, techniki i metody mogą być odpowiednio dobrane i okazały się być adekwatne do celu w razie potrzeby. Ma też dostarczyć odpowiednich informacji decydentom odnośnie poprawności metod i środków zdobywania dowodów. ISO/IEC Information technology Security techniques Digital evidence investigation principles and processes. To zbiór dobrych praktyk do zastosowanie w kryminalistyce realizowanej w cyberprzestrzeni. Podsumowanie Rodzina norm ISO serii rozwija się bardzo dynamicznie, a w obszarze jej zainteresowań pojawiają się zarówno nowe aspekty techniczne jak np. chmury 181

14 obliczeniowe, jak i nowe szczegółowe wymagania dla określonych dziedzin wiedzy (np. służba zdrowia czy kryminalistyka). Obszar życia wirtualnego zarówno instytucji państwowych, firm i organizacji, jak i osób prywatnych staje się coraz większy. Rośnie też lawinowo problem zagrożeń z tym związanych. Wirtualny świat jest bowiem bardzo atrakcyjny dla wszystkich pragnących w niego wejść i wykorzystać go dla swych celów, ale ma też swą mroczną stronę obfitującą w liczne niebezpieczeństwa, z których często nie zdają sobie sprawy uczestnicy tego świata. Aspekt informacyjny norm z tego zakresu jest więc także nie do przecenienia. Bibliografia: 1. The ISO Directory zbiór informacji o systemach zarządzania bezpieczeństwem informacji informacje o normach opublikowanych przez Polski Komitet Normalizacyjny schemat rodziny norm ISO serii System Zarządzania Bezpieczeństwem Informacji historia ewolucji standardów Zakład Systemów Jakości i Zarządzania WAT oficjalna strona Międzynarodowej Organizacji Normalizacyjnej ISO. Abstrakt W artykule przedstawiono historię powstania i rozwoju rodziny norm ISO serii (Systemy Zarządzania Bezpieczeństwem Informacji). Publikacja zawiera pełen wykaz obowiązujących norm z tej rodziny (stan na listopad 2012), oraz możliwie pełny zbiór norm planowanych, wraz z zakładanymi terminami ich wprowadzenia. Każda z norm została w niej skrótowo opisana. Podane zostały polskie odpowiedniki norm ISO opublikowane przez PKN. The family of ISO series current situation and future prospects The article presents the story of the rise and development of the family of ISO series (Information Security Management System). The publication contains a complete list of the standards of this family (as of November 2012), as well as a full set of standards planned, together with the assumed dates of their introduction. Each of the standards has been briefly described. The Polish equivalents of ISO standards published by the Polish Committee For Standardisation (PKN) have also been provided. PhD Jerzy Zamojski, assistant professor, Jan Kochanowski University in Kielce. 182