PLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych

Transkrypt

1 STRESZCZENIE PLAN DZIAŁANIA KT 182 Strona 1 PLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych 1 ŚRODOWISKO BIZNESOWE KT 1.1 Opis środowiska biznesowego Na działalność gospodarczą objętą zakresem KT znaczący wpływ mają następujące uwarunkowania polityczne, gospodarcze, techniczne, prawne, społeczne i/lub aspekty regionalne/międzynarodowe: Uwarunkowania techniczne KT 182 działa w trzech głównych obszarach normalizacji międzynarodowej, będą komitetem lustrzanym dla następujących komitetów JTC1: SC27 IT Security Techniques SC34 Document Description and Processing Languages SC38 Distributed Application Platforms and Services (DAPS) W we wszystkich powyższych komitetach Polska ma status członka czynnego P. W obszarze technik zabezpieczeń teleinformatycznych działania Komitetu koncentrują się na następujących zagadnieniach: systemy zarządzania bezpieczeństwem informacji normy zawierające wymagania i wytyczne kryptograficzne i niekryptograficzne techniki i mechanizmy zapewniające poufność, uwierzytelnienie podmiotu, niezaprzeczalność, zarządzanie kluczami oraz integralność danych kryteria oceny bezpieczeństwa oraz metodyki testów bezpieczeństwa produktów, zarówno w odniesieniu do funkcji jak i poziomu wiarygodności oceny usługi i aplikacje wspierające wdrożenie celów stosowania zabezpieczeń i zabezpieczeń zgodnie z aspekty bezpieczeństwa w zarządzaniu tożsamością, w biometrii oraz ochronie danych osobowych W obszarze opisu oraz języków przetwarzania dokumentów prace Komitetu obejmują następujące zagadnienia: języki znacznikowe (SGML), interfejsy użytkownika, testowanie i rejestrowanie techniki przetwarzania dokumentów

2 architektury zarządzania oraz wymiany informacji PLAN DZIAŁANIA KT 182 Strona 2 formaty XML-owe plików dokumentów: Office Open XML oraz Open Document Format oraz interoperacyjność formatów W obszarze nowoczesnych technik informatycznych działania Komitetu są na wczesnym etapie i obejmują udział w pracach nad projektami norm dot. zagadnień, takich jak: Web Services Service Oriented Architecture (SOA) Przetwarzanie w chmurze (Cloud computing) Uwarunkowania prawne i biznesowe Normy opracowane w Komitecie lub znajdujące się w zakresie zainteresowania Komitetu na poziomie międzynarodowym (normy międzynarodowe nieprzeniesione do systemu Polskich Norm) są przywoływane w aktach prawnych. Wskazując normy jako najlepszą i najprostszą metodę spełnienia wymagań, Ustawodawca przyczynia się do wzrostu zainteresowania daną normą i wpływa na rozszerzenie kręgu jej zastosowań. W poniższej tabeli przedstawiono przywołania norm w aktach prawnych. Obowiązujący akt prawny Polskie akty prawne ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych ZAŁĄCZNIK WYKAZ CERTYFIKATÓW UPRAWNIAJĄCYCH DO PRZEPROWADZANIA KONTROLI W ROZUMIENIU ART. 25 USTAWY Z DNIA 17 LUTEGO 2005 R. O INFORMATYZACJI DZIAŁALNOŚCI PODMIOTÓW REALIZUJĄCYCH ZADANIA PUBLICZNE ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Norma z zakresu prac Komitetu powołana w akcie prawnym PN PN PN PN PN PN PN ROZPORZĄDZENIE RADY MINISTRÓW z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. PN

3 Obowiązujący akt prawny ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 14 września 2011 r. w sprawie sporządzania pism w formie dokumentów elektronicznych, doręczania dokumentów elektronicznych oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych Akty prawne Unii Europejskiej ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR 1179/2011 z dnia 17 listopada 2011 r. ustanawiające specyfikacje techniczne w odniesieniu do systemów zbierania deklaracji on-line na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 211/2011 w sprawie inicjatywy obywatelskiej ROZPORZĄDZENIE KOMISJI (WE) NR 885/2006 z dnia 21 czerwca 2006 r. ustanawiające szczegółowe zasady stosowania rozporządzenia Rady (WE) nr 1290/2005 w zakresie akredytacji agencji płatniczych i innych jednostek, jak również rozliczenia rachunków EFGR i EFRROW ROZPORZĄDZENIE KOMISJI (UE) NR 73/2010 z dnia 26 stycznia 2010 r. ustanawiające wymagania dotyczące jakości danych i informacji lotniczych dla jednolitej europejskiej przestrzeni powietrznej PLAN DZIAŁANIA KT 182 Strona 3 Norma z zakresu prac Komitetu powołana w akcie prawnym (PN ) (PN ) (PN ) (PN ) (PN ) W ślad za wprowadzeniem norm do aktów prawnych pojawia się powszechnie, zarówno w postępowaniach o udzielenie zamówień publicznych, jak i postępowaniach prowadzonych na podstawie innych uregulowań niż ustawa Prawo Zamówień Publicznych, wymaganie znajomości norm lub wdrożenia u potencjalnego dostawcy systemu zarządzania bezpieczeństwem informacji, zgodnego z normą PN lub opracowania i wdrożenia takiego systemu w odniesieniu do przedmiotu zamówienia. Z uwagi na szeroki zakres zastosowania normy PN , zainteresowane jej wdrożeniem są organizacje ze wszystkich sektorów, niezależnie od wielkości organizacji czy specyfiki działania. 1.2 Wskaźniki ilościowe dotyczące środowiska biznesowego Poniższe wskaźniki ilościowe opisują środowisko biznesowe, w celu wsparcia działań KT poprzez zapewnienie niezbędnych danych: Certyfikacja na zgodność z Polską Normą Szczególnym zainteresowaniem rynku cieszą się normy zawierające wymagania z możliwością certyfikacji na zgodność. Z tego względu normy te funkcjonują nie tylko w sektorze administracji publicznej, ale także w sektorze przemysłu i usług. Do tej grupy należą dwie normy: PN :2002 Kryteria oceny zabezpieczeń informatycznych (cz. 1 i 3) PN 27001:2007 Systemy zarządzania bezpieczeństwem informacji. Wymagania Z uwagi na brak wdrożenia normy PN w Polsce, dalsze rozważania dotyczą jedynie normy PN 27001:2007.

4 Strona 4 Prezentowane poniżej dane dotyczące liczby certyfikatów zgodności systemów zarządzania bezpieczeństwem informacji nie są kompletne, ponieważ nie istnieje zarówno na świecie, jak i w Polsce obowiązkowy system informowania o wydanych certyfikatach. Wszelkie informacje dotyczące certyfikacji są przekazywane jedynie za wiedzą i zgodą certyfikowanych organizacji lub przez nie same. Niemniej jednak prezentowane zestawienia obrazują rozwój tej dziedziny bezpieczeństwa informacji i można wykazać wpływ tego zainteresowania na wolumen sprzedaży norm z tej dziedziny w PKN. Na kolejnych rysunkach przedstawiono wzrost liczby certyfikatów zgodności z normą 27001, na świecie i w Polsce. Rysunek 1 Liczba certyfikatów zgodności z normą 27001:2005 a źródło: opracowanie własne na podstawie informacji dostępnych na stronie a Na wskazanej stronie są rejestrowane wyłącznie certyfikaty wydane przez akredytowane jednostki certyfikacyjne

5 Strona 5 Rysunek 2 Liczba certyfikatów zgodności z normą PN lub b źródło: opracowanie własne na podstawie informacji dostępnych na stronie Sprzedaż Polskich Norm opracowanych w Komitecie w latach W poniższej tabeli przedstawiono sprzedaż najpopularniejszych 10 Polskich Norm, opracowanych w KT 182: Tabela 1 Zestawienie sprzedaży w latach dla 10 najpopularniejszych Polskich Norm opracowanych w KT OCZEKIWANE KORZYŚCI Z REALIZACJI PRAC KT Wsparcie dla opracowywanych przepisów prawa oraz odniesień referencyjnych z uwagi na wskazanie JTC1/SC27, a co za tym idzie KT 182 jako pierwotnego źródła normalizacji działań w zakresie bezpieczeństwa informacji Opracowanie norm referencyjnych dla sektorowych norm z bezpieczeństwa informacji c b Na wskazanej stronie są rejestrowane certyfikaty wydawane zarówno przez akredytowane, jak i nieakredytowane jednostki certyfikacyjne

6 Strona 6 Wzrost świadomości znaczenia ochrony informacji, zarówno w kontekście biznesowym, jak i bezpieczeństwa państwa, a także dla rozwoju społecznego (ochrona danych osobowych i prywatności, w szczególności przy użyciu środków komunikacji elektronicznej) Wypracowanie podstaw interoperacyjności dla zastosowań informatycznych (dokument elektroniczny, podpis elektroniczny, platformy usług informatycznych oraz przetwarzania w chmurze) 3 CZŁONKOSTWO W KT i STRUKTURA KT Każdy podmiot krajowy zainteresowany daną tematyką ma prawo zgłosić chęć uczestnictwa w KT i po spełnieniu wymogów proceduralnych (procedura SZJ nr Z2-P3 w powiązaniu z Z2-P1) stać się członkiem KT. Każdy członek KT realizuje zadania KT poprzez swoich reprezentantów. Komitet jest najliczniejszym z Komitetów Technicznych przy PKN, mając 37 członków i 50 d reprezentantów członków KT. Strukturę Komitetu przedstawiono na poniższym rysunku: Rysunek 3 Struktura członkowska KT 182 Z uwagi na dużą liczebność Komitetu oraz rozległość obszarów normalizacyjnych, Komitet działa merytorycznie, wykorzystując Grupy Ekspertów, wypracowujących rekomendacje dla całego Komitetu. Osoby funkcyjne w Komitecie: Przewodniczący: dr inż. Elżbieta Andrukiewicz c Przykładowo, w sektorze ochrony zdrowia podstawy dla prac ISO TC215 Health Informatics oraz Komitetu Technicznego nr 302 ds. Zastosowania Informatyki w Ochronie Zdrowia, czy systemów automatyki i sterowania produkcją działania IEC TC 65/WG 10 Security for Industrial process measurement and control - Network and system security oraz IEC TC57/WG15 Cyber Security for the Power Industry d stan na r

7 Polskie Towarzystwo Informatyczne - Warszawa Zastępca: mgr Bogusław Ładoś Przedsiębiorstwo Państwowe Porty Lotnicze - Warszawa Sekretarz: mgr inż. Sławomir Wroński Polski Komitet Normalizacyjny - Warszawa slawomir.wronski@pkn.pl Konsultant KT: mgr inż. Sławomir Wroński tel.: PLAN DZIAŁANIA KT 182 Strona 7 Aktualne dane nt. Komitetu znajdują się pod adresem strony internetowej: karta informacyjna lista członkówi reprezentantów CELE KT I STRATEGIA ICH REALIZACJI 4.1 Cele KT Cele działalności Komitetu: Wspieranie bezpieczeństwa państwa oraz bezpieczeństwa gospodarczego przez propagowanie powszechnie stosowanych rozwiązań z zakresu bezpieczeństwa informacji Przeciwdziałanie wykluczeniu elektronicznemu przez wspieranie interoperacyjności w komunikacji elektronicznej Propagowanie rozwiązań nowoczesnych, sprawdzonych w praktyce Ułatwienie współpracy transgranicznej dla zwalczania cyber-przestępczości Cele te Komitet zamierza osiągnąć w następujący sposób: Tłumaczenie norm z zakresu bezpieczeństwa informacji, prywatności i zgodności Wprowadzanie norm międzynarodowych do systemu PN metodą uznania specyfikacji technicznych z formatów dokumentów oraz algorytmów i technik kryptograficznych Organizowanie i uczestnictwo w konferencjach krajowych i międzynarodowych dotyczących normalizacji bezpieczeństwa informacji, prywatności i zgodności 4.2 Strategia ustalona do osiągnięcia celów KT Z uwagi na wolumen sprzedaży wyznaczający zainteresowanie rynku, przy ustalaniu Programu prac, Komitet za priorytet uznał tłumaczenie i wprowadzenie do systemu PN norm międzynarodowych z rodziny 2700x. Aby realizować cele swojej działalności Komitet aktywnie działa na w komitetach technicznych ISO przy opracowywaniu norm międzynarodowych, w szczególności w SC27 oraz SC38.

8 Strona Aspekty środowiskowe [nie mają zastosowania] 5 CZYNNIKI WPŁYWAJĄCE NA REALIZACJĘ PROGRAMU PRAC KT I WPROWADZANIE NOWYCH TN DO PROGRAMU PRAC Istotnym czynnikiem ograniczającym możliwości realizacji celów Komitetu jest problem braku finansowania wprowadzania norm ISO-wskich do systemu PN. Brak jest na rynku podmiotów bezpośrednio zainteresowanych finansowaniem norm, a jednocześnie jest duże zainteresowanie ze strony różnych środowisk polskimi normami z zakresu bezpieczeństwa informacji, zwłaszcza normą oraz normami wspierającymi jej wdrożenie (rodzina norm 2700x). Ponadto, należy podkreślić, że korzystanie z tych norm jako podstaw dla wymagań wprowadzanych do aktów prawnych Rzeczypospolitej Polskiej powinno skutkować zapewnieniem finansowania wprowadzania tych norm do systemu PN. Kolejnym czynnikiem powodującym opóźnienie prac jest zbyt późne wprowadzanie do Programu prac normalizacyjnych opublikowanych już norm międzynarodowych. Z uwagi na charakter prac, do Programu powinny być wprowadzane projekty norm na etapie DIS lub FDIS. 6 WYKAZ PUBLIKACJI, AKTUALNIE OPRACOWYWANYCH PROJEKTÓW ORAZ PROPOZYCJI TEMATÓW NORMALIZACYJNYCH, DLA KTÓRYCH KT PRZEWIDUJE POZYSKANIE ZAMAWIAJĄCYCH W RAMACH PRAC NA ZAMÓWIENIE 6.1 Wykaz opublikowanych Polskich Norm i Polskich Dokumentów Normalizacyjnych: Lp. Numer normy Tytuł normy Wprowadza Zastępuje 1. PN-I-02000:2002 Technika informatyczna -- Zabezpieczenia w systemach informatycznych -- Terminologia PN-I-02000: PN-I :2002/Ap1:2010 Technika informatyczna -- Zabezpieczenia w systemach informatycznych -- Terminologia 3. PN-I :1999 Technika informatyczna -- Wytyczne do zarządzania bezpieczeństwem systemów informatycznych -- Pojęcia i modele bezpieczeństwa systemów informatycznych TR : PN-ISO 9160:1997 Przetwarzanie informacji -- Szyfrowanie danych -- Wymagania dotyczące współpracy w warstwie fizycznej ISO 9160: PN : Funkcje skrótu -- Funkcje skrótu wykorzystujące n- -bitowy algorytm szyfrowania blokowego :1994 W wyniku Przeglądu PN 2012 w trakcie wycofywania nie znaleziono finansowania na nowelizację w

9 Strona 9 Lp. Numer normy Tytuł normy Wprowadza Zastępuje 6. PN : Funkcje skrótu -- Dedykowane funkcje skrótu : PN : PN : Funkcje skrótu -- Funkcje skrótu wykorzystujące arytmetykę modularną - Zarządzanie kluczami -- Struktura : : PN : PN : PN : Zarządzanie kluczami -- Mechanizmy z zastosowaniem technik symetrycznych - Zarządzanie kluczami -- Mechanizmy z zastosowaniem technik asymetrycznych - Niezaprzeczalność -- Model ogólny : : : PN : PN : Niezaprzeczalność -- Mechanizmy wykorzystujące techniki symetryczne - Niezaprzeczalność -- Mechanizmy wykorzystujące techniki asymetryczne : : PN : PN :2002 bezpieczeństwa -- Schematy podpisu cyfrowego z załącznikiem -- Część 1: Postanowienia ogólne : : :1998/AC1:2001 Przewidziana do nowelizacji 16. PN : Procedury rejestracji profili zabezpieczeń 15292: PN : Kryteria oceny zabezpieczeń informatycznych -- Część 1: Wprowadzenie i model ogólny :1999 Przewidziana do nowelizacji 18. PN :2002/Ap1: Kryteria oceny zabezpieczeń informatycznych -- Część 1: Wprowadzenie i model ogólny Przewidziana do nowelizacji 19. PN : Kryteria oceny zabezpieczeń informatycznych -- Część 3: Wymagania uzasadnienia zaufania do zabezpieczeń :1999 Przewidziana do nowelizacji 20. PN : Specyfikacja usług TTP wspomagających stosowanie podpisów cyfrowych 15945:2002

10 Strona 10 Lp. Numer normy Tytuł normy Wprowadza Zastępuje 21. PN :2010 bezpieczeństwa -- Techniki kryptograficzne oparte na krzywych eliptycznych -- Część 1: Postanowienia ogólne :2008 PN : PN :2007 bezpieczeństwa -- Praktyczne zasady zarządzania bezpieczeństwem informacji 17799:2005 PN : PN :2007/Ap1:2010 bezpieczeństwa -- Praktyczne zasady zarządzania bezpieczeństwem informacji 24. PN :2010 bezpieczeństwa -- Usługi znacznika czasu -- Część 1: Struktura :2008 PN : PN : Usługi znacznika czasu -- Część 2: Mechanizmy tworzenia tokenów niezależnych PN : PN : Usługi znacznika czasu -- Część 3: Mechanizmy tworzenia tokenów wiązanych :2004 W wyniku Przeglądu PN 2012 w trakcie wycofywania, ponieważ nie znaleźliśmy finansowania na nowelizację w PN :2010 bezpieczeństwa -- Generowanie bitów losowych 18031: PN :2010 Technika informatyczna -- Formaty wymiany danych biometrycznych -- Część 1: Struktura : PN :2010 Technika informatyczna -- Formaty wymiany danych biometrycznych -- Część 5: Dane obrazu twarzy : :2005/A1: PN :2010 bezpieczeństwa -- Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie 24762: PN :2012 bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Przegląd i terminologia 27000: PN :2007 bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Wymagania 27001:2005 PN-I : PN :2007/Ap1:2010 bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Wymagania 34. PN :2010 bezpieczeństwa -- Zarządzanie ryzykiem w bezpieczeństwie informacji 27005:2008

11 Strona 11 Lp. Numer normy Tytuł normy Wprowadza Zastępuje 35. PN :2009 bezpieczeństwa -- Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji 27006: PN : Schematy podpisu cyfrowego z odtwarzaniem wiadomości -- Część 2: Mechanizmy oparte na faktoryzacji liczb całkowitych : PN :2009 bezpieczeństwa -- Schematy podpisu cyfrowego z odtwarzaniem wiadomości -- Część 3: Mechanizmy oparte na logarytmie dyskretnym : PN :2002 PN :2002 PN :1998 PN : Wykaz aktualnie opracowywanych projektów Projekty zakończone w 2012 roku PN :2012 bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Przegląd i terminologia zakończony [nie ma aktualnie opracowywanych projektów] 6.3 Wykaz propozycji tematów normalizacyjnych, dla których KT przewiduje pozyskanie środków na opracowanie w ramach prac na zamówienie Lp. Numer normy Tytuł normy Wprowadza Zastępuje 1. 3rd CD27001 Information technology Security techniques Information security management system* PN :2007/Amd1: :2011 Information technology Security techniques Information security risk managment PN : :2012 Information technology Security techniques Information security management for intersector and inter-organisational communications ** Information technology Security techniques Guidelines on the integrated implementation of and :2009 Information technology Security techniques Time-stamping services Part 3: Mechanisms producing linked tokens :2010 Information technology Security techniques Hash-functions Part 2: Hash-functions using an n-bit block cipher PN :2006 PN :1996

12 7. PN :2002 Information technology Security techniques Digital signatures with appendix - Part 3: Discrete logarithm based mechanisms PLAN DZIAŁANIA KT 182 Strona 12 PN : :2009 Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model :2008 Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance requirements PN :2002/Ap1:2010 PN :2002/Ap1:2010 * FDIS oczekiwany w kwietniu 2013 ** oczekuje na publikację Doświadczenie ostatnich lat wykazało, że mimo dużego zainteresowania normami KT przejawiającego się w liczbach sprzedanych egzemplarzy oraz częstego przywoływania ich w rozporządzeniach rządowych, brak jest źródeł finansowania tłumaczenia nowych norm międzynarodowych (R2-P1). Ponieważ KT ma ograniczone możliwości pozyskiwania środków na tłumaczenie, mamy nadzieję na wprowadzenie w PKN dla norm międzynarodowych procedury analogicznej do R2-P5, umożliwiającej przyjęcie norm międzynarodowych do systemu PN metodą uznania co komitet zaopiniował w głosowaniu pozytywnie w związku z zapytaniem skierowanym do nas przez PKN. W wypadku uruchomienia takiej ścieżki uznania norm za PN, proponujemy przyjęcie do systemu PN następujących norm: 26300/Amd 1: : (wszystkie części)