Historia standardów zarządzania bezpieczeństwem informacji



Podobne dokumenty
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Klasyfikacja informacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Maciej Byczkowski ENSI 2017 ENSI 2017

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Promotor: dr inż. Krzysztof Różanowski

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Krzysztof Świtała WPiA UKSW

Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Normalizacja dla bezpieczeństwa informacyjnego

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Standardy typu best practice. Artur Sierszeń

Szkolenie System Zarządzania Bezpieczeństwem Informacji (SZBI): Wymagania normy ISO 27001:2013 aspekty związane z wdrażaniem SZBI W-01

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

Bezpieczeństwo informacji. jak i co chronimy

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

Polityka bezpieczeństwa

ISO w Banku Spółdzielczym - od decyzji do realizacji

ISO/IEC OD USŁUG POPRZEZ SYSTEM DO CERTYFIKACJI

ISO nowy standard bezpieczeństwa. CryptoCon,

Kompleksowe Przygotowanie do Egzaminu CISMP

Szkolenie otwarte 2016 r.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

I. O P I S S Z K O L E N I A

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Zarządzanie bezpieczeństwem informacji wg normy BS 7799 Wprowadzenie

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

BAKER TILLY POLAND CONSULTING

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Wprowadzenie dosystemów informacyjnych

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Robert Meller, Nowoczesny audyt wewnętrzny

Co się zmieni w nowej wersji normy ISO 9001

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

AKSES - SYSTEM AKREDYTACJI I STANDARDÓW DZIAŁANIA INSTYTUCJI WSPARCIA EKONOMII SPOŁECZNEJ PODSUMOWANIE ETAPU TESTOWANIA

Grzegorz Pieniążek Hubert Szczepaniuk

NORMA ISO/IEC W ZARZĄDZANIU SERWISEM IT

Bezpieczeńtwo informacji

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013

Licencje, certyfikaty, świadectwa :33:54

Komunikat nr 115 z dnia r.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

ZAŁĄCZNIK SPROSTOWANIE

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000

PODRĘCZNIK AUDYTU WEWNĘTRZNEGO

Szkolenie Ochrona Danych Osobowych ODO-01

Szkolenie Wdrożenie Systemu Zarządzania Bezpieczeństwem Danych Osobowych ODO-02

Szkolenie Audytor wewnętrzny bezpieczeństwa informacji i ciągłości działania AW-01

Pakiet zawiera. Pakiet Interoperacyjny Urząd. E-learning. Asysta merytoryczna. Oprogramowanie. Audyt. Certyfikacja.

KLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23

Opis systemu kontroli wewnętrznej w PLUS BANK S.A.

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Transport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI

Katowice, styczeń 2017r. Opracowanie: OTTIMA plus Sp. z o.o. Jednostka Inspekcyjna Katowice, ul. Gallusa 12

ZARZĄDZANIE CIĄGŁOŚCIĄ DZIAŁANIA BUSINESS CONTINUITY MANAGEMENT. Strona: 1 l 30

System Kontroli Wewnętrznej

WYMAGANIA DLA JEDNOSTEK OCENIAJĄCYCH W ŚWIETLE ROZPORZĄDZENIA NR 402/2013. dr Magdalena Garlikowska

Zatwierdzone przez Zarząd Banku uchwałą nr DC/92/2018 z dnia 13/03/2018 r.

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

HARMONOGRAM SZKOLENIA

Warsztaty FRAME. Sygnatura warsztatu: W1 (W3) Czas trwania: 3 dni

Standardy zarządzania jakością dla producentów żywności aktualne zagadnienia. dr inż. Ilona Błaszczyk Politechnika Łódzka

WYŻSZA SZKOŁA BEZPIECZEŃSTWA z siedzibą w Poznaniu PROGRAM KSZTAŁCENIA ZARZĄDZANIE / ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

NEPTIS Spółka Akcyjna

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

System Kontroli Wewnętrznej w Banku BPH S.A.

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Zastosowanie symulacji Monte Carlo do zarządzania ryzykiem przedsięwzięcia z wykorzystaniem metod sieciowych PERT i CPM

Szkolenie podstawowe z zakresu bezpieczeństwa informacji BI-01

ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W PONIATOWEJ

Wartość audytu wewnętrznego dla organizacji. Warszawa,

Transkrypt:

Bezpieczeństwo informacji BIULETYN TEMATYCZNY Nr 1 / wrzesień 2005 Historia standardów zarządzania bezpieczeństwem informacji www.security.dga.pl

Spis treści Wstęp 3 Co to jest system zarządzania bezpieczeństwem informacji? 4 Historia standardów 5 Ewolucja standardów bezpieczeństwa 5 Pierwsze publiczne standardy 7 Standardy BS 7799-1 (ISO/IEC 17799) oraz BS 7799-2 8 Przyszłość standardów w dziedzinie bezpieczeństwa informacji 10 Kontakt 11 2

Wstęp Szanowni Państwo, oddaje w Wasze ręce pierwsze wydanie biuletynu tematycznego poświęconego ochronie informacji. Idea biuletynu jak i samego portalu www.security.dga.pl jest wynikiem działań naszej firmy mających na celu popularyzację tematyki bezpieczeństwa informacji w sektorze prywatnym i publicznym na rynku polskim. Nasze doświadczenie w zakresie budowania systemów zarządzania bezpieczeństwem informacji pozwala nam doradzać Państwu w tym obszarze nie tylko poprzez usługi naszej firmy, ale również poprzez dostarczanie wiedzy z wykorzystaniem Internetu. Informacja jest istotnym elementem procesów zachodzących w organizacjach i może przyjmować różne form. Może być drukowana lub pisana na papierze, przechowywana elektronicznie, przekazywana pocztą elektroniczną lub środkami elektronicznymi, pokazywana w filmach lub przekazywana w rozmowach. W dzisiejszym konkurencyjnym środowisku informacja ciągle podlega zagrożeniom. Zagrożeń dzielimy na wewnętrzne i zewnętrzne, a ich realizacja może być przypadkowa, jak i celowa nastawiona na wyrządzenie szkody. Wobec coraz szerszego użytkowania nowych technologii do przechowywania, transmisji i odczytywania informacji, wszyscy jesteśmy potencjalnie podatni na różne rodzaje zagrożeń. Pierwszy numer biuletynu został poświęcony dość zawiłej historii standardów bezpieczeństwa stosowanych na skalę światową. Mam nadzieje, że informacje przedstawione w tym biuletynie zachęcą Państwa do zainteresowania się zagadnieniami polityki bezpieczeństwa informacji, a nasza firma będzie mogła stać się Państwa Doradcą Bezpieczeństwa. Michał Borucki Wicedyrektor Departamentu Zarządzania, Doradztwo Gospodarcze DGA S.A. 3

Co to jest system zarządzania bezpieczeństwem informacji? System zarządzania bezpieczeństwem informacji (SZBI lub z ang. ISMS) to systematyczne podejście do zarządzania kluczowymi informacjami firmy w celu zapewnienia ich bezpieczeństwa. Obejmuje on ludzi, procesy i systemy informatyczne. BSI (British Standard Institute) opublikował zbiór zasad postępowania dla takich systemów BS 7799-1 (z których wywodzi się międzynarodowy standard ISO/IEC 17799). Dokument ten jest obecnie używany z dużym uznaniem na całym świecie. Norma ISO/IEC 17799 jest uznanym międzynarodowym standardem tworzenia systemów zarządzania bezpieczeństwem informacji. Oznacza to, że organizacje na całym świecie wdrażają systemy bezpieczeństwa korzystając z tego samego dokumentu odniesienia. W rezultacie systemy te mogą być oceniane i w ten sposób doskonalone. Istnieje wiele dokumentów, w odniesieniu do których można przeprowadzać audyt bezpieczeństwa. W świecie standardów rozróżniamy opracowania zawierające wytyczne i wymagania. Wytyczne to zalecenia i wskazówki, wymagania to działania, które muszą zostać podjęte obligatoryjnie, aby organizacja mogła mówić o wdrożeniu danego standardu. Organizacja posiadająca zbudowany system w oparciu o wymagania danej normy może poddać się niezależnej certyfikacji. Na dzień dzisiejszy najpopularniejszym standardem bezpieczeństwa informacji, na zgodność z którym przeprowadzane są certyfikacje na całym świecie jest BS 7799-2:2002. Pamiętać należy jednak, że bezpieczeństwo informacji to proces, który należy utrzymywać i doskonalić, a wydawane certyfikaty są opatrzone datą ważności, po której można podejść do recertyfikacji. 4

Historia standardów Ewolucja standardów bezpieczeństwa 1993 BS PD0003:1993 W Y T Y C Z N E W Y M A G A N I A 1995 BS 7799-1:1995 1998 BS 7799-2:1998 1999 BS 7799-1:1999 BS 7799-2:1999 2000 ISO/IEC 17799:2000 2002 2003 BS 7799-1:2002 BS 7799-2:2002 PN-ISO 17799-1:2003 2005 ISO/IEC 17799:2005 PN-I-07799-2:2005 ISO/IEC 27001:2005 Seria standardów ISO/IEC 27000 DGA 5

BS PD0003:1993 Dokument opracowany w 1993 przez Brytyjski Instytut Normalizacji BSI (British Standards Institution) i DTI (Department of Trade and Industry). Popularności tej inicjatywy skłoniła BSI do podjęcia nowych prac, w efekcie których opracowano zbiór praktycznych porad, wydany w 1995 roku jako norma BS 7799, Code of practice for Information Security Management. BS 7799-1:1995 BS 7799-1:1995 to kodeks najlepszej praktyki w dziedzinie zarządzania bezpieczeństwem informacji. Powstał w efekcie dużego zainteresowania opracowaniem BS PD0003 oraz z inicjatywy prywatnych przedsiębiorstw. Jego celem było stworzenie zbioru praktycznych i łatwo stosowalnych w każdej organizacji zaleceń dotyczących bezpieczeństwa informacji. BS 7799-2:1998 Standard BS 7799-2:1998 to pierwsze wydanie drugiej części normy BS 7799, dotyczącej wymagań wobec systemu zarządzania bezpieczeństwem informacji. Pozwala audytorom na zbadanie poziomu zgodności danego systemu z wymogami normy i określa, podstawowy zbiór obszarów, które należy rozpatrzyć przy budowie systemu. BS 7799-1:1999 BS 7799-1:1999 to uzupełnione wydanie BS 7799-1 z 1995 roku, będące standardowym kodeksem praktyki, katalogiem zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji. Definiuje 127 elementów kontroli i sterowania bezpieczeństwem informacji, podporządkowanych 10 grupom wymagań, co pozwala użytkownikom na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie. Wykorzystywane narzędzia sterowania i kontroli zawierają dalsze szczegółowe techniki uznawane jako najlepsza praktyka w tej dziedzinie. To wydanie normy kładzie szczególny nacisk na zarządzanie ryzykiem, wskazuje także, że użytkownik nie jest zobowiązany do wdrażania wszystkich technik przywołanych w części pierwszej standardu, tylko uznanych za najistotniejsze i zapewniające realizację celów. BS 7799-2:1999 Zawarte w normie BS 7799-1 zalecenia znalazły uznanie w wielu firmach. W oparciu o nabyte doświadczenie, w BSI rozpoczęto prace nad kolejnym, drugim wydaniem dokumentu normalizacyjnego BS 7799-2 specyfikującego system zarządzania bezpieczeństwem informacji. Celem przyświecającym twórcom drugiej części standardu było stworzenie formalnych podstaw dla uruchomienia mechanizmu certyfikacji istniejących systemów ochrony bezpieczeństwa informacji. Przewiduje się, że w ramach procesu certyfikacji sprawdzany będzie aktualnie działający w danej firmie system ochrony bezpieczeństwa informacji na zgodność z sugestiami zawartymi w normie BS 7799. BS 7799-2:1999 ilustruje, w jaki sposób zaprojektować, wdrożyć i poddać certyfikacji system zarządzania bezpieczeństwem informacji. Norma wskazuje na sześcioetapowy proces kreowania i wdrożenia zaprojektowanych rozwiązań; odwołuje się do konieczności określenia wszystkich aktywów informacyjnych i oszacowania ich istotności dla organizacji. ISO/IEC 17799:2000 Pierwsza poprawiona wersja standardu BS 7799 została opublikowana w kwietniu 1999 jako BS 7799-1:1999. W październiku 1999 zaproponowano, by część pierwsza standardu została ustanowiona międzynarodowym standardem ISO. 1 grudnia 2000, z małymi poprawkami zatwierdzono ją (poprzez przyśpieszoną ścieżkę legislacyjną) jako ISO/IEC 17799:2000. BS 7799-1:2002 BS 7799-1:2002 to kolejna wersja, opublikowanej w 1995 r. i zrewidowanej w 1999 r. specyfikacji BS 7799-1. Jej zamierzeniem było zbliżenie specyfikacji tej normy do norm ISO 9001 oraz ISO 14001. Ma to umożliwić rozszerzenie i ulepszenie systemu zarządzania bezpieczeństwem informacji zaproponowanym w BS 7799-2:1999. BS 7799-2:2002 Norma bezpieczeństwa BS-7799-2:2002 jest specyfikacją dla systemu zarządzania bezpieczeństwem informacji i dotyczy zasad bezpiecznego przetwarzania informacji w systemie informatycznym i poza nim. Jest to światowy standard służący do certyfikacji, który w 2005 stał się oficjalną polską normą (na podstawie tłumaczenia). Certyfikat zgodności z normą bezpieczeństwa BS-7799-2:2002 jest świadectwem, że w organizacji stosowane są środki techniczne i organizacyjne gwarantujące ochronę poufności, autentyczności i spójności informacji na wszystkich etapach jej przetwarzania. Norma nakłada na organizację szereg wymagań, których spełnienie pozwala osiągnąć odpowiedni poziom 6

bezpieczeństwa. Norma wprowadza też wymagania starannej oceny ryzyka dla działalności firmy ze strony takich czynników jak: utrata danych, dostęp osób nieuprawnionych, zaatakowanie przez wirusy, powiązania z elementami elektronicznymi, włamania do systemu oraz odzyskiwanie utraconych danych. Ponadto uwzględnia ona potrzebę wskazania obszarów, w których zachodzi konieczność poprawy. PN-ISO 17799-1:2003 Norma PN-ISO/IEC 17799:2003 jest wykonanym w roku 2003 polskim tłumaczeniem międzynarodowej normy ISO/IEC 17799:2000, będącym standardowym kodeksem praktyki, katalogiem zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji i jest zbiorem zaleceń, które polska norma PN-I-07799-2:2005 określa jako niezbędne w celu stworzenia systemu zarządzania bezpieczeństwem informacji. PN-I-07799-2:2005 20 stycznia 2005 r. została zatwierdzona do publikacji polskojęzyczna wersja normy BS 7799-2:2002, dotycząca wymagań wobec systemu zarządzania bezpieczeństwem informacji. Standard PN-I-07799-2:2005, dokładnie jak jego pierwowzór BS 7799-2:2002 służy do certyfikacji i określa zbiór niezbędnych wymagań dla stworzenia systemu zarządzania bezpieczeństwem informacji. ISO/IEC 17799:2005 ISO/IEC 17799:2005 to międzynarodowa norma, bazująca na zrewidowanej normie ISO/IEC 17799:2000 i będąca kodeksem najlepszej praktyki w dziedzinie bezpieczeństwa informacji. Podobnie jak poprzednia norma oraz jak specyfikacje BS 7799-1, norma ISO/IEC 17799:2005 nie jest standardem do certyfikacji, w przeciwieństwie do standardu ISO/IEC 27001, który pod koniec 2005 będzie międzynarodową normą w dziedzinie certyfikacji systemów zarządzania bezpieczeństwem informacji. Norma ISO/IEC 17799:2005, w nowej wersji, uaktualniono punkty związane z dobrymi praktykami bezpieczeństwa informacji, dostarczając zbiór najlepszych zaleceń dla biznesu, ogólne zalecenia dla wdrożenia, utrzymania i zarządzania bezpieczeństwem informacji w każdej organizacji i w każdej formie. ISO/IEC 27001:2005 Zapowiedziany na listopad 2005 r. międzynarodowy standard, wzajemnie uzupełniający się z ISO/IEC 17799:2005 (BS 7799-1) i mający zastąpić BS 7799-2:2002. ISO/IEC 27001:2005 ma zapewnić specyfikacje dla systemu zarządzania bezpieczeństwem informacji oraz wskazać podstawy dla przeprowadzania niezależnego audytu i certyfikacji. Jest zharmonizowany z innymi systemami zarządzania, takimi jak ISO 9001 i ISO 14001. Integruje wszystkie systemy zarządzania w organizacji oraz zapewnia efektywność zarządzania bezpieczeństwem informacji oraz procesem zarządzania ciągłością działania, jak również stosuje zasady OECD dotyczące bezpieczeństwa informacji. Seria Standardów ISO/IEC 27000 ISO/IEC 27001 (BS7799-2): zapowiedziany na listopad 2005 r. standard ISO/IEC 27001 ma zapewnić specyfikacje dla systemu zarządzania bezpieczeństwem informacji oraz wskazać podstawy dla przeprowadzania niezależnego audytu i certyfikacji. ISO/IEC 27002 (ISO/IEC 17799 & BS7799-1): W ramach wspólnego ustandaryzowania norm z zakresu bezpieczeństwa informacji, w kwietniu 2007 r. ISO/IEC ma zamiar wydać normę, stanowiącą następcę ISO/IEC 17799:2005 i będącą kodeksem najlepszej praktyki w dziedzinie bezpieczeństwa informacji. ISO/IEC 27003 (BS7799-3): Standard, którego publikacja została zapowiedziana na listopad 2005 ma dotyczyć szacowania ryzyka w systemie zarządzania. ISO/IEC 27004 (BS7799-4): zapowiedziany na 2005 r. standard ma dotyczyć pomiaru efektywności we wdrożonym systemie zarządzania bezpieczeństwem informacji. Pierwsze publiczne standardy Aspekt bezpieczeństwa już dawno został zauważony przez kierownictwo wielkich koncernów, których troska o bezpieczeństwo funkcjonowania zaowocowało korporacyjnymi standardami w dziedzinie bezpieczeństwa. Na tym gruncie powstało wiele oficjalnych standardów. Wiodącą organizacją w dziedzinie standaryzacji norm bezpieczeństwa była najstarsza na świecie instytucja normalizacyjna BSI. 7

W maju 1987, Brytyjski Departament Handlu i Przemysłu (Department of Trade and Industry, DTI), powołał Commercial Computer Security Centre (CCSC), którego dwoma głównymi celami było: pomóc sprzedawcom produktów dotyczących bezpieczeństwa IT poprzez opracowanie międzynarodowego zestawu kryteriów oceny tych rozwiązań oraz powiązanych z nimi schematów oceny i certyfikacji (zainicjowało to powstanie ITSEC), pomóc użytkownikom poprzez stworzenie zestawu dobrych praktyk bezpieczeństwa zaowocowało to opracowaniem Users Code of Practice opublikowanym w 1989 przy współpracy wielu firm. Users Code of Practice zostało następnie rozwinięte przez National Computing Centre oraz konsorcjum użytkowników wywodzących się z brytyjskiego przemysłu po to, aby zapewnić, że jest ono praktyczne i znaczące z punktu widzenia organizacji i użytkowników. Ostatecznym rezultatem był dokument BS PD0003 A code of practice for information security management, opublikowany w 1993 r. jako wytyczne BSI przy współudziale DTI. Już dwa lata później, w odpowiedzi na duże zainteresowanie tą inicjatywą, w której popularność na początku wątpili sami twórcy, przy ogromnym zainteresowaniu przedstawicieli wielu organizacji, tezy i przesłanie, jakie niosła w sobie powyższa norma, skłoniły BSI do podjęcia nowych prac, w efekcie których opracowano zbiór praktycznych porad, wydany jako norma BS 7799-1, Code of practice for Information Security Management. Standardy BS 7799-1 (ISO/IEC 17799) oraz BS 7799-2 Tak jak wspomniano, po okresie dalszych publicznych konsultacji, dokument BS PD0003 przetransformowano na normę BS 7799:1995 (będącą de facto kodeksem najlepszej praktyki). Druga część standardu, która zawierała wymagania BS7799-2:1998, została opracowana w lutym 1998, po obszernych korektach i konsultacjach publicznych, które rozpoczęły się w listopadzie 1997. Pierwsza poprawiona wersja pierwszej części standardu została opublikowana w kwietniu 1999 jako BS 7799-1:1999. W październiku 1999 zaproponowano, by część pierwsza standardu została ustanowiona międzynarodowym standardem ISO. Z małymi poprawkami zatwierdzono ją (poprzez przyśpieszoną ścieżkę legislacyjną ang. fast track) jako ISO/IEC 17799:2000 w dniu 1 grudnia 2000. BS 7799-2:2002 został oficjalnie opublikowany 5 września 2002 na konferencji BS 7799 Goes Global w Londynie. Nowa wersja standardu została opracowana by zharmonizować ją z innymi standardami zarządzania, takimi jak ISO 9001:2000 i ISO 14001:1996 i zapewnić zwartą i zintegrowaną implementację oraz eksploatację tych systemów zarządzania. Wprowadza również model PDCA (Plan-Do-Check-Act: Planuj-Wykonaj-Sprawdź-Działaj), 8

jako część podejścia do tworzenia, implementacji i zwiększania efektywności działania SZBI w danej organizacji. Implementacja modelu PDCA odzwierciedla również reguły z OECD Guidelines for the Security of Information Systems and Networks (2002) w sprawie zarządzania bezpieczeństwem systemów teleinformatycznych. W szczególności, nowa wersja standardu BS przedstawia przejrzysty model implementacji reguł OECD w zakresie szacowania ryzyka, projektowania i implementacji zabezpieczeń, zarządzania bezpieczeństwem i ponownego szacowania ryzyka (z powodu umieszczenia w BS 7799-2:2002 odniesień do wytycznych OECD, publikacja tego standardu opóźniła się do 5 września 2002). 9

Przyszłość standardów w dziedzinie bezpieczeństwa informacji 15 czerwca 2005 opublikowano nowe wydanie ISO/IEC 17799:2005. Najbardziej znaczącą różnicą jest zmiana układu punktów kontrolnych, które obecnie w jasny sposób rozróżniają elementy wymagań, zaleceń implementacyjnych i dalszych informacji. Dodatkowo dodano pewne usprawnia oraz kilka nowych punktów kontrolnych (a istniejące wytłumaczono w lepszy sposób). Wyodrębniono jedną nową sekcję główną zawierające punkty kontrolne dotyczące zarządzania incydentami bezpieczeństwa. Najprawdopodobniej będzie to ostatnia wersja ISO/IEC 17799, w roku 2007 zostanie zastąpiona przez ISO/IEC 27002. Ze względu na opublikowanie ISO/IEC 17799:2005, załącznik A obecnego standardu BS 7799:2002 jest zdezaktualizowany (ze względu na to, iż odnosi się on do ISO/IEC 17799:2000). Nowa wersja BS 7799 zostanie prawdopodobnie opublikowana w listopadzie 2005 r. już pod nowym nazewnictwem jako ISO/IEC 27001. Od lata 2002 rozpoczęła się dyskusja na temat utworzenia trzeciej części BS, która mogłaby dotyczyć zagadnień dotyczących ciągłej poprawy SZBI. Dodatkowo, zostały zidentyfikowane inne kwestie takie jak audytowanie i integrowanie SZBI z innymi systemami zarządzania. Jednakże, inne źródła podają, że trzecia część BS nie będzie utworzona BS 7799:2002 zostanie zastąpiona przez ISO/IEC 27001. ISO i IEC są w trakcie zatwierdzania rozwoju nowej serii standardów dotyczących SZBI serii ISO/IEC 27000. ISO/IEC 27001 będzie traktować o wymaganiach wobec SZBI, natomiast ISO/IEC 27002 zastąpi ISO/IEC 17799 (planowany termin: kwiecień 2007). Tworzone są też nowe normy: ISO/IEC 27003 norma dotycząca szacowania ryzyka w systemie zarządzania bezpieczeństwem informacji oraz ISO/IEC 27004 norma dotycząca pomiaru efektywności we wdrożonym systemie. Jest również prawdopodobne, że wszelkie brytyjskie inicjatywy odnoszące się do BS 7799 staną się częścią szerszych prac międzynarodowych. Nowa seria standardów bezpieczeństwa, stworzona przez ISO, ma na celu usystematyzowanie wszystkich zaleceń i wymagań dotyczących nie tylko projektowania, budowania i utrzymywania systemu zarządzania bezpieczeństwem informacji, ale również ustandaryzowanie wymagań co do szacowania ryzyka i pomiaru efektywności już wdrożonych rozwiązań. 10

Kontakt Doradca Bezpieczeństwa www.security.dga.pl doradca.bezpieczenstwa@dga.pl Doradztwo Gospodarcze DGA S.A. ul. Towarowa 35, 61-896 Poznań tel. 61 859 59 00, fax.: 61 859 59 01 www.dga.pl dgasa@dga.pl Wicedyrektor Departamentu Zarządzania, Michał Borucki michal.borucki@dga.pl Menedżer Zespołu odpowiedzialnego za usługi związane z bezpieczeństwem informacji: Tomasz Szała tomasz.szala@dga.pl 11

DGA 2005

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres