WYŻSZEJ SZKOŁY INFORMATYKI, ZARZĄDZANIA I ADMINISTRACJI W WARSZAWIE. t. 14, z. 4(37) 2016 ISSN s CYBERBEZPIECZEŃSTWA

Transkrypt

1 Z E S Z Y T Y N A U K O W E WYŻSZEJ SZKOŁY INFORMATYKI, ZARZĄDZANIA I ADMINISTRACJI W WARSZAWIE t. 14, z. 4(37) 2016 ISSN s Jerzy KRAWIEC 1 NORMALIZACYJNE ASPEKTY CYBERBEZPIECZEŃSTWA Model bezpieczeństwa informacyjnego z reguły obejmuje trzy obszary bezpieczeństwa: informatyczny, określany także jako cyberbezpieczeństwo, ochrony fizycznej (bezpieczeństwo fizyczne i środowiskowe) oraz bezpieczeństwo osobowe. Polega ono na zapewnieniu podstawowych atrybutów bezpieczeństwa informacji: poufności, dostępności i integralności. W artykule przedstawiono model systemu cyberbezpieczeństwa, ze szczególnym uwzględnieniem aspektów normalizacyjnych. Bezpieczeństwo informacyjne może być rozpatrywane w wielu aspektach. Zaprezentowano model cyberbezpieczeństwa z wykorzystaniem różnych metodyk; standardów i norm międzynarodowych dotyczących bezpieczeństwa informacyjnego. Dokonano przeglądu standardów oraz norm międzynarodowych z zakresu tematycznego cyberbezpieczeństwa. Podkreślono podejście systemowe do problematyki cyberbezpieczeństwa, wykazując efektywność wykorzystania norm międzynarodowych z porównaniu z cechami standardu. Przedstawiono kryteria wyboru metodyki do wdrażania systemu cyberbezpieczeństwa. Słowa kluczowe: cyberbezpieczeństwo, bezpieczeństwo informacyjne, normalizacja, normy, zabezpieczenia, model bezpieczeństwa, system zarządzania bezpieczeństwem informacji Wprowadzenie Systemy wspierające zarządzanie informacją są ważnymi aktywami każdej instytucji. Zapewnienie odpowiedniego poziomu bezpieczeństwa informacji jest niezbędne dla utrzymania pozycji rynkowej, zachowania płynności finansowej, spełnienia wymagań prawnych czy wizerunku instytucji, tak mocno nadszarpniętego podczas ataków hakerów na witryny rządowe w ramach protestów przeciwko porozumieniu ACTA (Anti-Counterfeiting Trade Agreement). 1 Dr inż. Jerzy Krawiec, adiunkt, Politechnika Warszawska, Wydział Inżynierii Produkcji, Instytut Organizacji Systemów Produkcyjnych, Zakład Systemów Informatycznych. Kontakt z autorem poprzez redakcję ZN WSIZiA w Warszawie: zeszytynaukowe@ dobrauczelnia.pl

2 84 Jerzy KRAWIEC Bezpieczeństwo informacji obejmuje obszary bezpieczeństwa informatycznego (cyberbezpieczeństwa), ochrony fizycznej oraz bezpieczeństwa osobowego i polega na zapewnieniu podstawowych atrybutów informacji: poufności, dostępności i integralności. Najogólniej rzecz ujmując cyberbezpieczeństwo polega na wdrożeniu i zarządzaniu właściwymi środkami zabezpieczeń technicznych systemu informacyjnego. Natomiast cyberprzestrzeń to przestrzeń przetwarzania i wymiany informacji tworzona przez systemy informatyczne, czyli urządzenia informatyczne i oprogramowanie służące do przetwarzania, przechowywania oraz wysyłania i odbierania danych przez sieci telekomunikacyjne za pomocą telekomunikacyjnego urządzenia końcowego. Bezpieczeństwo informacyjne jest problematyką rozpatrywaną w wielu aspektach. W literaturze można spotkać wiele modeli bezpieczeństwa informacji. Model opracowany przez ekspertów międzynarodowych w formie dokumentu normalizacyjnego ISO (International Organization for Standardization) jest przejrzysty i dobrze odzwierciedla problematykę bezpieczeństwa informacyjnego. Znormalizowany model bezpieczeństwa informacji przedstawiono na rys. 1. Rys. 1. Ogólny model bezpieczeństwa informacyjnego Źródło: J. Krawiec, G. Ożarek, System Zarządzania Bezpieczeństwem Informacji w praktyce. Zabezpieczenia, Warszawa, 2014, s. 8. Zabezpieczenia mogą być skuteczne, jeśli ryzyko związane z zagrożeniami lub podatnością zostanie zminimalizowane. Zredukowanie ryzyka do poziomu akceptowalnego może czasami wymagać wprowadzenia kilku zabezpieczeń. Jednak nie wprowadza się zabezpieczeń, jeśli poziom ryzyka

3 Normalizacyjne aspekty cyberbezpieczeństwa 85 jest akceptowalny, nawet, gdy mamy do czynienia z podatnością gdyż nie są znane zagrożenia, które tę podatność mogłyby wykorzystać. Wszystkie te ograniczenia determinują wybór konkretnych zabezpieczeń. Systemy informatyczne każdej instytucji są narażone na zagrożenia pochodzące z wielu źródeł, zarówno zewnętrznych, jak i wewnętrznych. Najogólniej można podzielić zagrożenia na zależne od człowieka (świadome, przypadkowe) oraz niezależne (środowiskowe), co przedstawiono w tabeli 1. Zależne od człowieka Tabela 1. Rodzaje zagrożeń Niezależne od człowieka Świadome Przypadkowe Środowiskowe Podsłuchanie Pomyłki Klęski żywiołowe (trzęsienie ziemi, pożar, powódź, wyładowania, atmosferyczne, burze magnetyczne) Hacking (wprowadzenie kodu złośliwego, modyfikacja informacji, szpiegostwo przemysłowe, sabotaż) Źródło: opracowanie własne. Skasowanie pliku Przekierowanie Zagrożenia stają się coraz bardziej wyrafinowane i przysparzają znacznych strat w wymiarze materialnym i niematerialnym. Cyberbezpieczeństwo, poprzez minimalizację ryzyka w działalności biznesowej i ochronie infrastruktury krytycznej, jest ważne zarówno dla sektora publicznego, jak i komercyjnego. Podstawą cyberbezpieczeństwa powinny być procedury bezpieczeństwa, wspierane przez środki techniczne. Określenie rodzaju mechanizmów zarządzania cyberbezpieczeństwem wymaga starannego i szczegółowego planowania przy zaangażowaniu wszystkich pracowników danej instytucji. Wybór zabezpieczeń powinno poprzedzić określenie wymagań cyberbezpieczeństwa, zidentyfikowanie ryzyka, ustalenie jego poziomu akceptacji oraz sposobu postępowania z ryzykiem oraz wytycznych w zakresie zarządzania ryzykiem w instytucji. Skuteczna ochrona informacji zależy od następujących czynników: polityki bezpieczeństwa informacji i odzwierciedlających ją celów biznesowych; zaangażowania kierownictwa; zrozumienia wymagań cyberbezpieczeństwa, szacowania ryzyka i zarządzania ryzykiem; kultury instytucji przy wdrażaniu, utrzymaniu, monitorowaniu i doskonaleniu systemu cyberbezpieczeństwa; skutecznego propagowania wymagań i zaleceń cyberbezpieczeństwa wśród pracowników i instytucji współpracujących;

4 86 Jerzy KRAWIEC finansowania działań związanych z zarządzaniem cyberbezpieczeństwem; zapewnienia odpowiedniej świadomości, kształcenia i szkoleń; ustanowienia skutecznego procesu zarządzania incydentami związanymi z cyberbezpieczeństwem; wdrożenia mierników efektywności systemu zarządzania bezpieczeństwem informacji oraz mechanizmów sprzężenia zwrotnego służących jego doskonaleniu. Cyberbezpieczeństwo może być również realizowane za pomocą różnego rodzaju standardów czy metodyk. Najważniejsze metodyki (standardy) IT z tego zakresu to: ITIL (Information Technology Infrastructure Library Security Management) wytyczne w zakresie kontroli poziomu cyberbezpieczeństwa, zarządzanie incydentami związanymi z cyberbezpieczeństwem, prowadzanie audytów weryfikujących skuteczność kontroli poziomu cuberbezpieczeństwa, monitorowanie skuteczności zabezpieczeń; NIST (National Institute of Standards and Technology) SP przewodnik techniczny do prowadzenia testów bezpieczeństwa; ISM3 (Information Security Management Maturity Model) wytyczne do oceny własnego środowiska pracy oraz umożliwiające zaplanowanie procesów zarządzania bezpieczeństwem, aby zapewnić efektywną realizację celów biznesowych organizacji; OSSTMM (Open Source Security Testing Methodology Manual) recenzowany podręcznik testowania i analizy zabezpieczeń; ISSAF (Information Systems Security Assessment Framework) metodyka OISSG (Open Information Systems Security Group) w zakresie weryfikacji strategii bezpieczeństwa; OWASP (The Open Web Application Security Project) metodyka prowadzenia testów penetracyjnych; WASC (Web Application Security Consortium) opracowywanie i propagowanie standardów bezpieczeństwa w sieci Internet. Istnieją także normy międzynarodowe określające wymagania systemu cyberbezpieczeństwa jak np. ISO/IEC 27001:2013 (polski odpowiednik to PN- -ISO/IEC 27001: ), która jest podstawową normą określającą wymagania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). 1. Kryteria wyboru metodyki wdrażania systemu cyberbezpieczeństwa W praktyce, w czasach znacznego zagrożenia cyberterroryzmem, konieczne staje się wdrożenie systemu cyberbepieczeństwa. Zasadne jest zatem postawienie następującego pytania według jakiego dokumentu wdrażać system

5 Normalizacyjne aspekty cyberbezpieczeństwa 87 cyberbezpieczeństwa? Wyżej wymienione metodyki obejmuję jedynie część zagadnień, czasami dość istotną, ale jednak część i są klasycznymi standardami IT. Natomiast norma podchodzi do zagadnienia kompleksowo. W nauce i technice angielski termin standard jest używany w znaczeniu dokument normatywny (norma) lub standard (wzorzec). W praktyce zbyt często stosowane jako synonimy, a norma to dokument przyjęty na zasadzie konsensu i zatwierdzony przez upoważnioną jednostkę organizacyjną (ISO, IEC, CEN, CENELEC, ETSI, PKN), ustalający do powszechnego i wielokrotnego stosowania zasady, wytyczne lub charakterystyki odnoszące się do różnych rodzajów działalności lub ich wyników i zmierzający do uzyskania optymalnego stopnia uporządkowania w określonym zakresie. Natomiast standard to zestaw parametrów, zazwyczaj nazwany, określający poziom jakości, bezpieczeństwa, wygody lub zgodności z innymi wytworami techniki. Te różnice wyraźniej widać w tabeli 2. Tabela 2. Porównanie cech standardu i normy Cechy dokumentu Standard Norma Jawność TAK TAK Powszechna dostępność TAK/NIE TAK Uwzględnienie interesu publicznego NIE TAK Dobrowolność uczestnictwa TAK TAK Dobrowolność stosowania TAK TAK Zapewnienie możliwości uczestnictwa zainteresowanych TAK/NIE TAK Konsens NIE TAK Niezależność od jakiejkolwiek grupy interesów NIE TAK Jednolitość i spójność postanowień TAK TAK Wykorzystanie sprawdzonych osiągnięć nauki i techniki TAK/NIE TAK Źródło: opracowanie własne. Standard, w porównaniu z normą, jest dokumentem niższej rangi. Inaczej mówiąc, standard może być podstawą treści normy, ale nie ma relacji odwrotnej. Używanie tych pojęć zamiennie jest bardzo powszechne i z wyżej wymienionych względów nieuprawnione. Najczęściej występuje to w branży informatycznej, np. organizacja W3C (World Wide Web Consortium) opracowuje standardy sieciowe (rekomendacje, wytyczne). Z kolei organizacja OASIS (Organization for the Advancement of Structured Information Standards) jest konsorcjum typu non profit, która ustanawia otwarte standardy o zasięgu globalnym. Standardy dotyczą przede wszystkim bezpieczeństwa informacyjnego i e-biznesu oraz standaryzacji w sektorze publicznym i rynku oprogramowania specyficznego. Wszystkie ww. cechy dokumentu w odniesieniu do normy mają zastosowanie, czego nie można powiedzieć o standardzie, np. sposób uzgad-

6 88 Jerzy KRAWIEC niania dokumentu (konsens) czy niezależność od jakiejkolwiek grupy interesów. Dlatego wdrażanie SZBI powinno być oparte na normie, a nie na standardzie. 2. Przegląd norm międzynarodowych dotyczących cyberbezpieczeństwa Na rysunku 2. przedstawiono podstawowy zbiór norm z zakresu cyberbezpieczeństwa z podziałem na normy: terminologiczne, wymagania, wytyczne oraz normy sektorowe. Rysunek 2. Podstawowy zbiór norm międzynarodowych z zakresu cyberbezpieczeństwa Źródło: opracowanie własne Terminologia W normie ISO/IEC 27000:2016 (nie ma jeszcze polskiego odpowiednika) przedstawiono przegląd systemów zarządzania bezpieczeństwem informacji oraz podano 89 terminów 2 i ich definicje powszechnie stosowane w normach dotyczących cyberbezpieczeństwa. Norma ma zastosowanie do dowolnej 2 ISO/IEC 27000:2016, Information technology Security techniques Information security management systems Overview and vocabulary, ISO, Geneva 2016, s. 13.

7 Normalizacyjne aspekty cyberbezpieczeństwa 89 organizacji (np. przedsiębiorstwa handlowe, agencje rządowe, organizacje typu non profit), niezależnie od wielkości tej organizacji Wymagania Norma ISO/IEC 27001:2013 (polski odpowiednik PN-ISO/IEC 27001: ) podaje wymagania Systemu Zarządzania Bezpieczeństwem Informacji, będącej źródłem certyfikacji systemu cyberbezpieczeństwa. Norma określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w odniesieniu do organizacji. Obejmuje również wymagania dotyczące szacowania i postępowania z ryzykiem dotyczącym bezpieczeństwa informacji, dostosowanych do potrzeb organizacji. Wymogi określone w tej normie są ogólne i mają zastosowanie do wszystkich organizacji, niezależnie od typu, wielkości i charakteru. Wymagania zdefiniowane w rozdziałach od 4 do 10 oraz 114 punktów kontrolnych w Załączniku A 3, zwanych w normie zabezpieczeniami muszą być spełnione, jeśli organizacja deklaruje zgodność z niniejszą normą. W normie ISO/IEC 27006:2015 (nie ma jeszcze polskiego odpowiednika) przedstawiono wymagania i podano wytyczne dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji (SZBI). Norma stanowi uzupełnienie wymagań zamieszczonych w ISO/IEC Głównym celem tej normy jest wspomaganie w procesie akredytacji jednostek certyfikujących prowadzących certyfikację SZBI. Wymagania w niej podane powinny być odbierane w kategoriach kompetencji i pewności przez każdą jednostkę prowadzącą certyfikację SZBI, a wytyczne zawarte w normie zapewniają dodatkową interpretację tych wymagań dla każdej jednostki certyfikującej SZBI. Norma podaje kryteria, które mogą być stosowane do akredytacji, oceny równorzędnej lub innych procesów audytowych Wytyczne W normie ISO/IEC 27002:2013 podano zalecenia dotyczące standardów cyberbezpieczeństwa w organizacjach i praktyk zarządzania bezpieczeństwem, w tym wyboru, wdrażania i zarządzania zabezpieczeniami, 3 ISO/IEC 27001:2013 Information technology Security techniques Information security management systems Requirements, ISO, Geneva 2013, s ISO/IEC 27006:2015 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems, ISO, Geneva 2015, s. 18.

8 90 Jerzy KRAWIEC z uwzględnieniem środowiska 5, w którym w organizacji występuje ryzyko w bezpieczeństwie informacji. Norma jest dedykowana organizacjom, które planują zastosować zabezpieczenia w ramach procesu wdrażania Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z ISO/IEC Norma jest przydatna przy wdrażaniu powszechnie akceptowanych zabezpieczeń oraz przy opracowaniu własnych zaleceń w zakresie zarządzania bezpieczeństwem informacji. Polskim odpowiednikiem tej normy jest PN-ISO/IEC 27002: Norma ISO/IEC 27003:2010 (nie ma jeszcze polskiego odpowiednika) koncentruje się na kluczowych aspektach niezbędnych do skutecznego zaprojektowania i wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji. Określa proces specyfikacji SZBI od projektowania do opracowania planów wdrożeniowych. Opisuje proces uzyskania akceptacji kierownictwa do wdrożenia SZBI oraz podaje wytyczne dotyczące planowania SZBI i jego realizacji 6. W normie ISO/IEC 27004:2009 (nie ma jeszcze polskiego odpowiednika) przedstawiono wytyczne w zakresie badania skuteczności zastosowanych zabezpieczeń, opisano model pomiarowy 7 oraz relacje między procesami zarządzania bezpieczeństwem informacji a procesem pomiarowym 8. Norma ISO/IEC 27005:2011 (polski odpowiednik PN-ISO/IEC 27005: ) podaje wytyczne w zakresie zarządzania ryzykiem w bezpieczeństwie informacji. Przedstawia szczegółowy opis koncepcji określonych w normie ISO/IEC Celem normy jest wsparcie wdrażania systemu cyberbezpieczeństwa, bazującego na biznesowym podejściu do zarządzania ryzykiem 9. Norma ma zastosowanie do wszystkich typów organizacji (np. przedsiębiorstw, instytucji rządowych, organizacji non profit), które powinny uwzględnić zarządzanie ryzykiem, aby uniknąć naruszania procedur bezpieczeństwa w ramach doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji. Norma ISO/IEC 27007:2011 (nie ma jeszcze polskiego odpowiednika) zawiera wytyczne dotyczące zarządzania programem audytu SZBI, zasady przeprowadzania audytów oraz określa kompetencje audytorów 10. Norma ma zastosowanie do osób, które mogą prowadzić audyty wewnętrzne 5 ISO/IEC 27002:2013 Information technology Security techniques Code of practice for information security controls, ISO, Geneva 2013, s ISO/IEC 27003:2010 Information technology Security techniques Information security management system implementation guidance, ISO, Geneva 2010, s ISO/IEC 27004:2009 Information technology Security techniques Information security management Measurement, ISO, Geneva 2009, s J. Krawiec, G. Ożarek, System Zarządania Bezpieczeństwem Informacji w praktyce Zabezpieczenia, Warszawa 2014, s ISO/IEC 27005:2011 Information technology Security techniques Information security risk management, ISO, Geneva, 2011, s J. Krawiec, G. Ożarek, Certyfikacja w Informatyce, Warszawa, 2014, s. 31.

9 Normalizacyjne aspekty cyberbezpieczeństwa 91 i zewnętrzne SZBI. Norma jest uzupełnieniem normy ISO 19011:2011, określającej zasady prowadzenia audytu dowolnego systemu zarządzania. Raport techniczny ISO/IEC TR 27008:2011 (nie ma jeszcze polskiego odpowiednika) zawiera wytyczne dotyczące przeglądu wdrażania i funkcjonowania zabezpieczeń, w tym zgodności technicznej systemu informacyjnego 11, zgodnie z obowiązującymi normami dotyczącymi bezpieczeństwa informacji organizacji. Norma ma zastosowanie do wszystkich typów i wielkości organizacji, w tym instytucji publicznych i prywatnych, instytucji rządowych oraz organizacji typu non profit prowadzących przeglądy zabezpieczeń i kontrolę przestrzegania przepisów technicznych. Norma nie może być stosowana do audytów systemów zarządzania. W normie ISO/IEC 27010:2015 (nie ma jeszcze polskiego odpowiednika) przedstawiono wytyczne w uzupełnieniu do podanych w normach serii ISO/ IEC dotyczących wdrażania zarządzania bezpieczeństwem informacji w organizacjach wspólnie zarządzających zasobami informacyjnymi. Norma podaje wytyczne dotyczące inicjowania, wdrażania, utrzymania i poprawy bezpieczeństwa informacji w ramach komunikacji między organizacjami i sektorami. Podaje zasady ogólne oraz określa wymagania w zakresie technicznych aspektów komunikacji. Norma ma zastosowanie do wszystkich form wymiany i udostępniania poufnych informacji, zarówno publicznych jak i prywatnych, krajowych i międzynarodowych, w ramach tego samego sektora przemysłu lub rynku lub między sektorami. W szczególności zasady te mogą być stosowane do wymiany informacji i wiedzy związanych z dostarczaniem, utrzymaniem i ochroną infrastruktury krytycznej danej organizacji. Celem normy jest wspieranie i kreowanie zaufania podczas wymiany i udostępniania poufnych informacji, a tym samym sprzyjanie rozwojowi międzynarodowej wymiany informacji społecznościowych 12. Norma ISO/IEC 27013:2015 (nie ma jeszcze polskiego odpowiednika) zawiera wytyczne dotyczące zintegrowanego systemu zarządzania cyberbezpieczeństwem, opartego na ISO/IEC oraz Systemu Zarzadzania Usługami Informatycznymi, którego wymagania określono w normie ISO/IEC Norma ma zastosowanie w organizacjach, które zamierzają wdrożyć zintegrowany system zarządzania oparty na wyżej wymienionych normach. Norma umożliwia wdrażanie zintegrowanego systemu zarządzania, niezależnie od stanu wdrożenia ISO/IEC i ISO/IEC Jednak norma koncentruje się na zintegrowanym wdrożenia SZBI według ISO/IEC oraz systemu zarządzania usługami informatycznymi według normy ISO/ IEC W praktyce integracja systemów zarządzania może obejmować 11 ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for auditors on information security controls, ISO, Geneva 2011, s ISO/IEC 27010:2015 Information technology Security techniques Information security management for inter-sector and inter-organizational communications, ISO, Geneva 2015.

10 92 Jerzy KRAWIEC również normy spoza obszaru informatycznego jak np. ISO 9001 (zarządzanie jakością) i ISO (zarządzanie środowiskowe) 13. W normie ISO/IEC 27014:2015 (nie ma jeszcze polskiego odpowiednika) przedstawiono wytyczne dotyczące pojęć i zasady dotyczące zarządzania bezpieczeństwem informacji, dzięki któremu organizacje mogą kształtować tzw. ład informatyczny uwzględniający zagadnienia związane z cyberbezpieczeństwem 14. Norma ma zastosowanie do wszystkich typów i rozmiarów organizacji. Raport techniczny ISO/IEC TR 27016:2014 (nie ma jeszcze polskiego odpowiednika) zawiera wytyczne dotyczące podejmowania decyzji mające na celu ochronę informacji i uświadomienie konsekwencji tych decyzji gospodarczych w kontekście konkurencyjnych wymagań dotyczące zasobów informacyjnych. Raport techniczny ma zastosowanie do wszystkich typów i rozmiarów organizacji i dostarcza informacji umożliwiających podejmowanie decyzji ekonomicznych w zarządzaniu bezpieczeństwem informacji przez najwyższe kierownictwo, które jest odpowiedzialne za decyzje w zakresie cyberbezpieczeństwa Normy sektorowe Norma ISO/IEC 27011:2008 (nie ma jeszcze polskiego odpowiednika) dotyczy określenia wytycznych wspierających wdrażanie zarządzania cyberbezpieczeństwem w organizacjach telekomunikacyjnych 16. Norma umożliwia organizacji telekomunikacyjnej spełnić podstawowe wymogi w zakresie zarządzania cyberbezpieczeństwem zapewniając poufność, integralność i dostępność oraz innych istotnych atrybutów cyberbezpieczeństwa. W raporcie technicznym ISO/IEC TR 27019:2013 przedstawiono, zgodnie z normą ISO/IEC dotyczącą wytycznych do SZBI, zasady dotyczące systemu sterowania procesami w przemyśle energetycznym 17. Celem dokumentu jest rozszerzenie norm z serii ISO/IEC w dziedzinie systemów sterowania procesem i techniki automatyzacji. To rozszerzenie zakresu tematycznego dotyczy systemów sterowania procesami wykorzystywanymi przez 13 ISO/IEC 27013:2015 Information technology Security techniques Guidance on the integrated implementation of ISO/IEC and ISO/IEC , ISO, Geneva ISO/IEC 27014:2013 Information technology Security techniques Governance of information security, ISO, Geneva ISO/IEC TR 27016:2014 Information technology Security techniques Information security management Organizational economics, ISO, Geneva ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002, ISO, Geneva, ISO/IEC TR 27019:2013 Information technology Security techniques Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry, ISO, Geneva 2013.

11 Normalizacyjne aspekty cyberbezpieczeństwa 93 przemysł energetyczny do kontrolowania i monitorowania wytwarzania, przesyłania, przechowywania i dystrybucji energii elektrycznej, gazu i ciepła w połączeniu ze sterowaniem procesów wspomagających. Dotyczy to następujących elementów: Systemów IT wspieranych przez centralne i rozproszone procesy sterowania oraz systemów informatycznych służących do ich funkcjonowania, takich jak urządzenia do programowania i parametryzacji; Regulatorów cyfrowych i elementów automatyki, takich jak urządzenia kontrolne i eksploatacyjne lub PLC, w tym elementów czujników i siłowników cyfrowych; Wszystkich dodatkowych elementów wsparcia dla systemów informatycznych wykorzystywanych w procesach sterowania, np. dla dodatkowych zadań wizualizacji danych oraz w celach kontroli, monitoringu, archiwizacji danych i dokumentacji; Całej techniki komunikacji stosowanej w procesach sterowania, na przykład sieć, telemetria, aplikacje telekontroli i techniki zdalnego sterowania; Cyfrowych urządzeń pomiarowych, np. do pomiaru zużycia energii, wytwarzania lub wielkości emisji; Systemów ochrony i cyberbezpieczeństwa, np. przekaźniki zabezpieczające lub PLC; Rozproszonych elementów środowisk inteligentnych sieci; Całego oprogramowania, oprogramowania sprzętowego oraz aplikacji zainstalowanych na wyżej wymienionych systemach. Zakres tematyczny raportu technicznego nie obejmuje konwencjonalnych lub klasycznych analogowych urządzeń sterowania, czyli systemów monitorowania i sterowania procesem czysto elektromechanicznym lub elektronicznym. Ponadto dokument nie dotyczy także systemów sterowania energią w gospodarstwach domowych i innych instalacjach budowlanych. W normie ISO/IEC 27799:2015 (nie ma jeszcze polskiego odpowiednika) podano wskazówki dla wsparcia interpretacji i stosowania w informatycznych systemach ochrony zdrowia, poprzez rozwiniecie zapisów normy ISO/ IEC Zidentyfikowano zbiór szczegółowych narzędzi kontrolnych do zarządzania bezpieczeństwem informacji w ochronie zdrowia i przedstawiono wskazówki praktyczne w odniesieniu do systemu zarządzania bezpieczeństwem informacji w ochronie zdrowia. W przypadku zastosowania, organizacje i inni administratorzy bezpieczeństwa informacji w ochronie zdrowia będą mieli możliwość zapewnienia minimalnego poziom bezpieczeństwa, adekwatnego do okoliczności występujących w ich organizacji, oraz będą mieć podstawy do zapewnienia integralności, poufności i dostępności danych osobowych zawierających również informacje wrażliwe ISO 27799:2016 Health informatics -- Information security management in health using ISO/IEC 27002, ISO, Geneva 2016.

12 94 Jerzy KRAWIEC 2.5. Normy wspierające Przedstawiono jedynie grupę podstawowych norm dotyczących cyberbezpieczeństwa, ale nie są to wszystkie normy, które dotyczą tej tematyki. Istnieją także dość duży zbiór norm wspomagających zbiór podstawowy 19. W zakresie norm usługowych i przetwarzania w chmurze mamy do dyspozycji: ISO/IEC TR 27015:2012 wytyczne SZBI w odniesieniu do usług finansowych; ISO/IEC TS 27017:2015 wytyczne do zabezpieczeń w ramach usługi przetwarzania w chmurze; ISO/IEC 27018:2014 przetwarzanie danych osobowych w chmurze. W zakresie zarządzania ciągłością działania opublikowano następujące normy: ISO 22301:2012 systemy zarządzania ciągłością działania; ISO/IEC 27031:2011 wytyczne do zapewnienia ciągłości działania; ISO/IEC 27032:2012 wytyczne podstawowe do cyberbezpieczeństwa; ISO/IEC 27035:2011 Zarządzanie incydentami bezpieczeństwa informacji. W zakresie bezpieczeństwa sieci informatycznych opracowano następujące normy: ISO/IEC :2015 przegląd i koncepcje; ISO/IEC :2012 projektowanie i wdrażanie; ISO/IEC :2010 zagrożenia, projektowanie i zabezpieczenia; ISO/IEC :2014 bezpieczeństwo połączeń sieciowych (bramy); ISO/IEC :2013 bezpieczeństwo połączeń sieciowych (VPN); ISO/IEC :2016 bezpieczny dostęp do sieci bezprzewodowej. W zakresie bezpieczeństwa aplikacji mamy do dyspozycji następujące normy: ISO/IEC :2011 przegląd i koncepcje; ISO/IEC :2015 ramy normatywne; ISO/IEC proces zarządzania (norma w opracowaniu); ISO/IEC protokoły i struktura danych (norma w opracowaniu); ISO/IEC wytyczne dla specyficznych aplikacji (norma w opracowaniu); ISO/IEC atrybuty zabezpieczeń (norma w opracowaniu). W zakresie bezpieczeństwa informacji w relacjach z dostawcami opracowano: ISO/IEC :2014 opis i koncepcje; ISO/IEC :2014 wymagania; ISO/IEC :2013 wytyczne do bezpieczeństwa łańcucha dostaw (dostęp: ).

13 Normalizacyjne aspekty cyberbezpieczeństwa 95 W zakresie informatyki śledczej opublikowano następujące normy: ISO/IEC 27037:2012 wytyczne dotyczące zbierania dowodów cyfrowych; ISO/IEC 27038:2014 specyfikacja przeróbki cyfrowej; ISO/IEC 27039:2015 systemy wykrywania włamań i przeciwdziałania (IDPS); ISO/IEC 27040:2015 bezpieczeństwo przechowywania danych; ISO/IEC 27041:2015 wytyczne w sprawie metod śledczych; ISO/IEC 27042:2015 wytyczne w sprawie analizy i interpretacji dowodów cyfrowych; ISO/IEC 27043:2015 zasady prowadzenia dochodzenia. Podsumowanie Widać wyraźnie, że zbiór norm z obszaru cyberbezpieczeństwa dotyczy różnorodnej problematyki i warto go uwzględnić przy wdrażaniu Systemu Zarządzania Bezpieczeństwem Informacji, czy tylko samego systemu cyberbezpieczeństwa w każdej organizacji, niezależnie czy jest to instytucja publiczna czy firma komercyjna. Zasada ekonomiki myślenia, znana pod nazwą Brzytwy Ockhama, której przesłanie brzmi: Bytów nie mnożyć, fikcji nie tworzyć, tłumaczyć fakty jak najprościej, zakłada, że w wyjaśnianiu zjawisk należy dążyć do prostoty i posługiwać się wyjaśnieniami opartymi na jak najmniejszej liczbie pojęć. Zatem przy wdrażaniu systemu cyberbezpieczeństwa należałoby kierować się normami określającymi wymagania dotyczącymi systemu cyberbezpieczeństwa, którego cechy, takie jak: przydatność, adekwatność, skuteczność, odzwierciedlają zasadę Brzytwy Ockhama. System cyberbezpieczeństwa powinien być przydatny; nie może być traktowany jako modny styl zarządzania. Przydatność powinna wynikać np. z konieczności uwarunkowań prawnych lub biznesowych. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. dotyczące Krajowych Ram Interoperacyjności nakłada na instytucje, realizujące zadania publiczne, wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN ISO/ IEC oraz normami związanymi: PN-ISO/IEC (zastąpiona przez ISO/IEC 27002: ), PN ISO/IEC (zarządzanie ryzykiem) oraz jeszcze aktualna norma PN ISO/IEC (odtwarzanie techniki informatycznej po katastrofie), mimo, że norma międzynarodowa, będąca podstawą wdrożenia polskiej normy, została wycofana bez zastąpienia. To powinno wynikać nie tylko z samego wdrożenia SZBI, ale także posiadania certyfikatu zgodności z normą. Ponadto argumentami przemawiającymi za wypełnieniem tej cechy systemu są np.: status jednostki certyfikującej (audyty strony trzeciej, audyty

14 96 Jerzy KRAWIEC strony drugiej), kontrakty podpisywane z partnerami biznesowymi (zwłaszcza zagranicznymi) oraz udział w przetargach, gdzie udział w postępowaniu przetargowym jest warunkowany posiadaniem certyfikatu zgodności z normą. Adekwatność systemu cyberbezpieczeństwa polega na dobraniu odpowiednich środków ochrony (zabezpieczeń) do chronionych zasobów. W tym przypadku kluczowa jest prawidłowa klasyfikacja informacji. Nie wszystkie zabezpieczenia (organizacyjne i techniczne) mają zastosowanie w konkretnym systemie. Niektóre zabezpieczenia mogą być wyłączone spod nadzoru systemu, ale powinno to być dostatecznie uzasadnione. System cyberbezpieczeństwa powinien być skuteczny, aby dostatecznie uzasadniał interes biznesowy lub spełnienie wymagań prawnych. Skuteczność systemu należy mierzyć, aby ocena była obiektywna. Pomiar systemu za pomocą wskaźników jest warunkiem sukcesu projektu. W tym względzie na podkreślenie zasługuje bardzo ważna rola użytkowników systemów informacyjnych. Jeżeli użytkownicy nie będą przestrzegać procedur bezpieczeństwa, to żaden system zabezpieczeń nie będzie skuteczny. Ignorancja i brak dyscypliny są tego najgorszym przykładem. Uświadamianie zagrożeń i regularne szkolenia to jedna z metod walki z ignorancją. Zdyscyplinowanie można uzyskać poprzez wprowadzenie mechanizmów wymuszających przestrzeganie procedur bezpieczeństwa. Te trzy cechy systemu powinny być warunkiem koniecznym w procesie wdrażania systemu cyberbezpieczeństwa przez każdą nowoczesną instytucję (organizację). Bibliografia 1. Krawiec J., Ożarek G., System Zarządzania Bezpieczeństwem Informacji w praktyce. Zabezpieczenia, PKN, Warszawa Krawiec J., Ożarek G., Certyfikacja w Informatyce, PKN, Warszawa Krawiec J., Zabezpieczanie danych, cz. 1: SZBI systemowa pewność danych, IT professional nr 6, Wrocław ISO/IEC 27000:2016 Information technology Security techniques Information security management systems Overview and vocabulary, ISO, Geneva ISO/IEC 27001:2013 Information technology Security techniques Information security management systems Requirements, ISO, Geneva ISO/IEC 27002:2013 Information technology Security techniques Code of practice for information security controls, ISO, Geneva ISO/IEC 27003:2010 Information technology Security techniques Information security management system implementation guidance, ISO, Geneva ISO/IEC 27004:2009 Information technology Security techniques Information security management -- Measurement, ISO, Geneva ISO/IEC 27005:2011 Information technology Security techniques Information security risk management, ISO, Geneva ISO/IEC 27006:2015 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems, ISO, Geneva 2015.

15 Normalizacyjne aspekty cyberbezpieczeństwa ISO/IEC 27007:2011 Information technology Security techniques Guidelines for information security management systems auditing, ISO, Geneva ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for auditors on information security controls, ISO, Geneva ISO/IEC 27010:2015 Information technology Security techniques Information security management for inter-sector and inter-organizational communications, ISO, Geneva ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002, ISO, Geneva ISO/IEC 27013:2015 Information technology Security techniques Guidance on the integrated implementation of ISO/IEC and ISO/IEC , ISO, Geneva, ISO/IEC 27014:2013 Information technology Security techniques Governance of information security, ISO, Geneva ISO/IEC TR 27016:2014 Information technology Security techniques Information security management Organizational economics, ISO, Geneva ISO/IEC TR 27019:2013 Information technology Security techniques Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry, ISO, Geneva ISO 27799:2016 Health informatics Information security management in health using ISO/ IEC 27002, ISO, Geneva (dostęp: ). STANDARDIZATION ASPECTS OF CYBERSECURITY Summary Model of information security generally includes three security areas: information technology, also known as cyber security, physical security (physical security and environmental) and the personal security and is to provide the basic attributes of information security: confidentiality, availability and integrity. The article presents a model system cybersecurity, with particular emphasis on standardization aspects. Information Security can be seen in many aspects of cybersecurity model presented using different methodologies; standards and international standards for information security. A review of standards and international standards in the field of cybersecurity has been done. It highlights the systemic approach to the problem of cybersecurity, demonstrating effective use of international standards of comparison with standards. The article also presents the criteria for choosing a methodology to implement the system cybersecurity. Keywords: cybersecurity, information security, standardization, standard, control, security model, information security management system. Artykuł otrzymano: 8 września 2016 r. Zaakceptowano do publikacji: 1 grudnia 2016 r.