Bezpieczeństwo informacji BIULETYN TEMATYCZNY Nr 1 / wrzesień 2005 Historia standardów zarządzania bezpieczeństwem informacji www.security.dga.pl
Spis treści Wstęp 3 Co to jest system zarządzania bezpieczeństwem informacji? 4 Historia standardów 5 Ewolucja standardów bezpieczeństwa 5 Pierwsze publiczne standardy 7 Standardy BS 7799-1 (ISO/IEC 17799) oraz BS 7799-2 8 Przyszłość standardów w dziedzinie bezpieczeństwa informacji 10 Kontakt 11 2
Wstęp Szanowni Państwo, oddaje w Wasze ręce pierwsze wydanie biuletynu tematycznego poświęconego ochronie informacji. Idea biuletynu jak i samego portalu www.security.dga.pl jest wynikiem działań naszej firmy mających na celu popularyzację tematyki bezpieczeństwa informacji w sektorze prywatnym i publicznym na rynku polskim. Nasze doświadczenie w zakresie budowania systemów zarządzania bezpieczeństwem informacji pozwala nam doradzać Państwu w tym obszarze nie tylko poprzez usługi naszej firmy, ale również poprzez dostarczanie wiedzy z wykorzystaniem Internetu. Informacja jest istotnym elementem procesów zachodzących w organizacjach i może przyjmować różne form. Może być drukowana lub pisana na papierze, przechowywana elektronicznie, przekazywana pocztą elektroniczną lub środkami elektronicznymi, pokazywana w filmach lub przekazywana w rozmowach. W dzisiejszym konkurencyjnym środowisku informacja ciągle podlega zagrożeniom. Zagrożeń dzielimy na wewnętrzne i zewnętrzne, a ich realizacja może być przypadkowa, jak i celowa nastawiona na wyrządzenie szkody. Wobec coraz szerszego użytkowania nowych technologii do przechowywania, transmisji i odczytywania informacji, wszyscy jesteśmy potencjalnie podatni na różne rodzaje zagrożeń. Pierwszy numer biuletynu został poświęcony dość zawiłej historii standardów bezpieczeństwa stosowanych na skalę światową. Mam nadzieje, że informacje przedstawione w tym biuletynie zachęcą Państwa do zainteresowania się zagadnieniami polityki bezpieczeństwa informacji, a nasza firma będzie mogła stać się Państwa Doradcą Bezpieczeństwa. Michał Borucki Wicedyrektor Departamentu Zarządzania, Doradztwo Gospodarcze DGA S.A. 3
Co to jest system zarządzania bezpieczeństwem informacji? System zarządzania bezpieczeństwem informacji (SZBI lub z ang. ISMS) to systematyczne podejście do zarządzania kluczowymi informacjami firmy w celu zapewnienia ich bezpieczeństwa. Obejmuje on ludzi, procesy i systemy informatyczne. BSI (British Standard Institute) opublikował zbiór zasad postępowania dla takich systemów BS 7799-1 (z których wywodzi się międzynarodowy standard ISO/IEC 17799). Dokument ten jest obecnie używany z dużym uznaniem na całym świecie. Norma ISO/IEC 17799 jest uznanym międzynarodowym standardem tworzenia systemów zarządzania bezpieczeństwem informacji. Oznacza to, że organizacje na całym świecie wdrażają systemy bezpieczeństwa korzystając z tego samego dokumentu odniesienia. W rezultacie systemy te mogą być oceniane i w ten sposób doskonalone. Istnieje wiele dokumentów, w odniesieniu do których można przeprowadzać audyt bezpieczeństwa. W świecie standardów rozróżniamy opracowania zawierające wytyczne i wymagania. Wytyczne to zalecenia i wskazówki, wymagania to działania, które muszą zostać podjęte obligatoryjnie, aby organizacja mogła mówić o wdrożeniu danego standardu. Organizacja posiadająca zbudowany system w oparciu o wymagania danej normy może poddać się niezależnej certyfikacji. Na dzień dzisiejszy najpopularniejszym standardem bezpieczeństwa informacji, na zgodność z którym przeprowadzane są certyfikacje na całym świecie jest BS 7799-2:2002. Pamiętać należy jednak, że bezpieczeństwo informacji to proces, który należy utrzymywać i doskonalić, a wydawane certyfikaty są opatrzone datą ważności, po której można podejść do recertyfikacji. 4
Historia standardów Ewolucja standardów bezpieczeństwa 1993 BS PD0003:1993 W Y T Y C Z N E W Y M A G A N I A 1995 BS 7799-1:1995 1998 BS 7799-2:1998 1999 BS 7799-1:1999 BS 7799-2:1999 2000 ISO/IEC 17799:2000 2002 2003 BS 7799-1:2002 BS 7799-2:2002 PN-ISO 17799-1:2003 2005 ISO/IEC 17799:2005 PN-I-07799-2:2005 ISO/IEC 27001:2005 Seria standardów ISO/IEC 27000 DGA 5
BS PD0003:1993 Dokument opracowany w 1993 przez Brytyjski Instytut Normalizacji BSI (British Standards Institution) i DTI (Department of Trade and Industry). Popularności tej inicjatywy skłoniła BSI do podjęcia nowych prac, w efekcie których opracowano zbiór praktycznych porad, wydany w 1995 roku jako norma BS 7799, Code of practice for Information Security Management. BS 7799-1:1995 BS 7799-1:1995 to kodeks najlepszej praktyki w dziedzinie zarządzania bezpieczeństwem informacji. Powstał w efekcie dużego zainteresowania opracowaniem BS PD0003 oraz z inicjatywy prywatnych przedsiębiorstw. Jego celem było stworzenie zbioru praktycznych i łatwo stosowalnych w każdej organizacji zaleceń dotyczących bezpieczeństwa informacji. BS 7799-2:1998 Standard BS 7799-2:1998 to pierwsze wydanie drugiej części normy BS 7799, dotyczącej wymagań wobec systemu zarządzania bezpieczeństwem informacji. Pozwala audytorom na zbadanie poziomu zgodności danego systemu z wymogami normy i określa, podstawowy zbiór obszarów, które należy rozpatrzyć przy budowie systemu. BS 7799-1:1999 BS 7799-1:1999 to uzupełnione wydanie BS 7799-1 z 1995 roku, będące standardowym kodeksem praktyki, katalogiem zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji. Definiuje 127 elementów kontroli i sterowania bezpieczeństwem informacji, podporządkowanych 10 grupom wymagań, co pozwala użytkownikom na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie. Wykorzystywane narzędzia sterowania i kontroli zawierają dalsze szczegółowe techniki uznawane jako najlepsza praktyka w tej dziedzinie. To wydanie normy kładzie szczególny nacisk na zarządzanie ryzykiem, wskazuje także, że użytkownik nie jest zobowiązany do wdrażania wszystkich technik przywołanych w części pierwszej standardu, tylko uznanych za najistotniejsze i zapewniające realizację celów. BS 7799-2:1999 Zawarte w normie BS 7799-1 zalecenia znalazły uznanie w wielu firmach. W oparciu o nabyte doświadczenie, w BSI rozpoczęto prace nad kolejnym, drugim wydaniem dokumentu normalizacyjnego BS 7799-2 specyfikującego system zarządzania bezpieczeństwem informacji. Celem przyświecającym twórcom drugiej części standardu było stworzenie formalnych podstaw dla uruchomienia mechanizmu certyfikacji istniejących systemów ochrony bezpieczeństwa informacji. Przewiduje się, że w ramach procesu certyfikacji sprawdzany będzie aktualnie działający w danej firmie system ochrony bezpieczeństwa informacji na zgodność z sugestiami zawartymi w normie BS 7799. BS 7799-2:1999 ilustruje, w jaki sposób zaprojektować, wdrożyć i poddać certyfikacji system zarządzania bezpieczeństwem informacji. Norma wskazuje na sześcioetapowy proces kreowania i wdrożenia zaprojektowanych rozwiązań; odwołuje się do konieczności określenia wszystkich aktywów informacyjnych i oszacowania ich istotności dla organizacji. ISO/IEC 17799:2000 Pierwsza poprawiona wersja standardu BS 7799 została opublikowana w kwietniu 1999 jako BS 7799-1:1999. W październiku 1999 zaproponowano, by część pierwsza standardu została ustanowiona międzynarodowym standardem ISO. 1 grudnia 2000, z małymi poprawkami zatwierdzono ją (poprzez przyśpieszoną ścieżkę legislacyjną) jako ISO/IEC 17799:2000. BS 7799-1:2002 BS 7799-1:2002 to kolejna wersja, opublikowanej w 1995 r. i zrewidowanej w 1999 r. specyfikacji BS 7799-1. Jej zamierzeniem było zbliżenie specyfikacji tej normy do norm ISO 9001 oraz ISO 14001. Ma to umożliwić rozszerzenie i ulepszenie systemu zarządzania bezpieczeństwem informacji zaproponowanym w BS 7799-2:1999. BS 7799-2:2002 Norma bezpieczeństwa BS-7799-2:2002 jest specyfikacją dla systemu zarządzania bezpieczeństwem informacji i dotyczy zasad bezpiecznego przetwarzania informacji w systemie informatycznym i poza nim. Jest to światowy standard służący do certyfikacji, który w 2005 stał się oficjalną polską normą (na podstawie tłumaczenia). Certyfikat zgodności z normą bezpieczeństwa BS-7799-2:2002 jest świadectwem, że w organizacji stosowane są środki techniczne i organizacyjne gwarantujące ochronę poufności, autentyczności i spójności informacji na wszystkich etapach jej przetwarzania. Norma nakłada na organizację szereg wymagań, których spełnienie pozwala osiągnąć odpowiedni poziom 6
bezpieczeństwa. Norma wprowadza też wymagania starannej oceny ryzyka dla działalności firmy ze strony takich czynników jak: utrata danych, dostęp osób nieuprawnionych, zaatakowanie przez wirusy, powiązania z elementami elektronicznymi, włamania do systemu oraz odzyskiwanie utraconych danych. Ponadto uwzględnia ona potrzebę wskazania obszarów, w których zachodzi konieczność poprawy. PN-ISO 17799-1:2003 Norma PN-ISO/IEC 17799:2003 jest wykonanym w roku 2003 polskim tłumaczeniem międzynarodowej normy ISO/IEC 17799:2000, będącym standardowym kodeksem praktyki, katalogiem zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji i jest zbiorem zaleceń, które polska norma PN-I-07799-2:2005 określa jako niezbędne w celu stworzenia systemu zarządzania bezpieczeństwem informacji. PN-I-07799-2:2005 20 stycznia 2005 r. została zatwierdzona do publikacji polskojęzyczna wersja normy BS 7799-2:2002, dotycząca wymagań wobec systemu zarządzania bezpieczeństwem informacji. Standard PN-I-07799-2:2005, dokładnie jak jego pierwowzór BS 7799-2:2002 służy do certyfikacji i określa zbiór niezbędnych wymagań dla stworzenia systemu zarządzania bezpieczeństwem informacji. ISO/IEC 17799:2005 ISO/IEC 17799:2005 to międzynarodowa norma, bazująca na zrewidowanej normie ISO/IEC 17799:2000 i będąca kodeksem najlepszej praktyki w dziedzinie bezpieczeństwa informacji. Podobnie jak poprzednia norma oraz jak specyfikacje BS 7799-1, norma ISO/IEC 17799:2005 nie jest standardem do certyfikacji, w przeciwieństwie do standardu ISO/IEC 27001, który pod koniec 2005 będzie międzynarodową normą w dziedzinie certyfikacji systemów zarządzania bezpieczeństwem informacji. Norma ISO/IEC 17799:2005, w nowej wersji, uaktualniono punkty związane z dobrymi praktykami bezpieczeństwa informacji, dostarczając zbiór najlepszych zaleceń dla biznesu, ogólne zalecenia dla wdrożenia, utrzymania i zarządzania bezpieczeństwem informacji w każdej organizacji i w każdej formie. ISO/IEC 27001:2005 Zapowiedziany na listopad 2005 r. międzynarodowy standard, wzajemnie uzupełniający się z ISO/IEC 17799:2005 (BS 7799-1) i mający zastąpić BS 7799-2:2002. ISO/IEC 27001:2005 ma zapewnić specyfikacje dla systemu zarządzania bezpieczeństwem informacji oraz wskazać podstawy dla przeprowadzania niezależnego audytu i certyfikacji. Jest zharmonizowany z innymi systemami zarządzania, takimi jak ISO 9001 i ISO 14001. Integruje wszystkie systemy zarządzania w organizacji oraz zapewnia efektywność zarządzania bezpieczeństwem informacji oraz procesem zarządzania ciągłością działania, jak również stosuje zasady OECD dotyczące bezpieczeństwa informacji. Seria Standardów ISO/IEC 27000 ISO/IEC 27001 (BS7799-2): zapowiedziany na listopad 2005 r. standard ISO/IEC 27001 ma zapewnić specyfikacje dla systemu zarządzania bezpieczeństwem informacji oraz wskazać podstawy dla przeprowadzania niezależnego audytu i certyfikacji. ISO/IEC 27002 (ISO/IEC 17799 & BS7799-1): W ramach wspólnego ustandaryzowania norm z zakresu bezpieczeństwa informacji, w kwietniu 2007 r. ISO/IEC ma zamiar wydać normę, stanowiącą następcę ISO/IEC 17799:2005 i będącą kodeksem najlepszej praktyki w dziedzinie bezpieczeństwa informacji. ISO/IEC 27003 (BS7799-3): Standard, którego publikacja została zapowiedziana na listopad 2005 ma dotyczyć szacowania ryzyka w systemie zarządzania. ISO/IEC 27004 (BS7799-4): zapowiedziany na 2005 r. standard ma dotyczyć pomiaru efektywności we wdrożonym systemie zarządzania bezpieczeństwem informacji. Pierwsze publiczne standardy Aspekt bezpieczeństwa już dawno został zauważony przez kierownictwo wielkich koncernów, których troska o bezpieczeństwo funkcjonowania zaowocowało korporacyjnymi standardami w dziedzinie bezpieczeństwa. Na tym gruncie powstało wiele oficjalnych standardów. Wiodącą organizacją w dziedzinie standaryzacji norm bezpieczeństwa była najstarsza na świecie instytucja normalizacyjna BSI. 7
W maju 1987, Brytyjski Departament Handlu i Przemysłu (Department of Trade and Industry, DTI), powołał Commercial Computer Security Centre (CCSC), którego dwoma głównymi celami było: pomóc sprzedawcom produktów dotyczących bezpieczeństwa IT poprzez opracowanie międzynarodowego zestawu kryteriów oceny tych rozwiązań oraz powiązanych z nimi schematów oceny i certyfikacji (zainicjowało to powstanie ITSEC), pomóc użytkownikom poprzez stworzenie zestawu dobrych praktyk bezpieczeństwa zaowocowało to opracowaniem Users Code of Practice opublikowanym w 1989 przy współpracy wielu firm. Users Code of Practice zostało następnie rozwinięte przez National Computing Centre oraz konsorcjum użytkowników wywodzących się z brytyjskiego przemysłu po to, aby zapewnić, że jest ono praktyczne i znaczące z punktu widzenia organizacji i użytkowników. Ostatecznym rezultatem był dokument BS PD0003 A code of practice for information security management, opublikowany w 1993 r. jako wytyczne BSI przy współudziale DTI. Już dwa lata później, w odpowiedzi na duże zainteresowanie tą inicjatywą, w której popularność na początku wątpili sami twórcy, przy ogromnym zainteresowaniu przedstawicieli wielu organizacji, tezy i przesłanie, jakie niosła w sobie powyższa norma, skłoniły BSI do podjęcia nowych prac, w efekcie których opracowano zbiór praktycznych porad, wydany jako norma BS 7799-1, Code of practice for Information Security Management. Standardy BS 7799-1 (ISO/IEC 17799) oraz BS 7799-2 Tak jak wspomniano, po okresie dalszych publicznych konsultacji, dokument BS PD0003 przetransformowano na normę BS 7799:1995 (będącą de facto kodeksem najlepszej praktyki). Druga część standardu, która zawierała wymagania BS7799-2:1998, została opracowana w lutym 1998, po obszernych korektach i konsultacjach publicznych, które rozpoczęły się w listopadzie 1997. Pierwsza poprawiona wersja pierwszej części standardu została opublikowana w kwietniu 1999 jako BS 7799-1:1999. W październiku 1999 zaproponowano, by część pierwsza standardu została ustanowiona międzynarodowym standardem ISO. Z małymi poprawkami zatwierdzono ją (poprzez przyśpieszoną ścieżkę legislacyjną ang. fast track) jako ISO/IEC 17799:2000 w dniu 1 grudnia 2000. BS 7799-2:2002 został oficjalnie opublikowany 5 września 2002 na konferencji BS 7799 Goes Global w Londynie. Nowa wersja standardu została opracowana by zharmonizować ją z innymi standardami zarządzania, takimi jak ISO 9001:2000 i ISO 14001:1996 i zapewnić zwartą i zintegrowaną implementację oraz eksploatację tych systemów zarządzania. Wprowadza również model PDCA (Plan-Do-Check-Act: Planuj-Wykonaj-Sprawdź-Działaj), 8
jako część podejścia do tworzenia, implementacji i zwiększania efektywności działania SZBI w danej organizacji. Implementacja modelu PDCA odzwierciedla również reguły z OECD Guidelines for the Security of Information Systems and Networks (2002) w sprawie zarządzania bezpieczeństwem systemów teleinformatycznych. W szczególności, nowa wersja standardu BS przedstawia przejrzysty model implementacji reguł OECD w zakresie szacowania ryzyka, projektowania i implementacji zabezpieczeń, zarządzania bezpieczeństwem i ponownego szacowania ryzyka (z powodu umieszczenia w BS 7799-2:2002 odniesień do wytycznych OECD, publikacja tego standardu opóźniła się do 5 września 2002). 9
Przyszłość standardów w dziedzinie bezpieczeństwa informacji 15 czerwca 2005 opublikowano nowe wydanie ISO/IEC 17799:2005. Najbardziej znaczącą różnicą jest zmiana układu punktów kontrolnych, które obecnie w jasny sposób rozróżniają elementy wymagań, zaleceń implementacyjnych i dalszych informacji. Dodatkowo dodano pewne usprawnia oraz kilka nowych punktów kontrolnych (a istniejące wytłumaczono w lepszy sposób). Wyodrębniono jedną nową sekcję główną zawierające punkty kontrolne dotyczące zarządzania incydentami bezpieczeństwa. Najprawdopodobniej będzie to ostatnia wersja ISO/IEC 17799, w roku 2007 zostanie zastąpiona przez ISO/IEC 27002. Ze względu na opublikowanie ISO/IEC 17799:2005, załącznik A obecnego standardu BS 7799:2002 jest zdezaktualizowany (ze względu na to, iż odnosi się on do ISO/IEC 17799:2000). Nowa wersja BS 7799 zostanie prawdopodobnie opublikowana w listopadzie 2005 r. już pod nowym nazewnictwem jako ISO/IEC 27001. Od lata 2002 rozpoczęła się dyskusja na temat utworzenia trzeciej części BS, która mogłaby dotyczyć zagadnień dotyczących ciągłej poprawy SZBI. Dodatkowo, zostały zidentyfikowane inne kwestie takie jak audytowanie i integrowanie SZBI z innymi systemami zarządzania. Jednakże, inne źródła podają, że trzecia część BS nie będzie utworzona BS 7799:2002 zostanie zastąpiona przez ISO/IEC 27001. ISO i IEC są w trakcie zatwierdzania rozwoju nowej serii standardów dotyczących SZBI serii ISO/IEC 27000. ISO/IEC 27001 będzie traktować o wymaganiach wobec SZBI, natomiast ISO/IEC 27002 zastąpi ISO/IEC 17799 (planowany termin: kwiecień 2007). Tworzone są też nowe normy: ISO/IEC 27003 norma dotycząca szacowania ryzyka w systemie zarządzania bezpieczeństwem informacji oraz ISO/IEC 27004 norma dotycząca pomiaru efektywności we wdrożonym systemie. Jest również prawdopodobne, że wszelkie brytyjskie inicjatywy odnoszące się do BS 7799 staną się częścią szerszych prac międzynarodowych. Nowa seria standardów bezpieczeństwa, stworzona przez ISO, ma na celu usystematyzowanie wszystkich zaleceń i wymagań dotyczących nie tylko projektowania, budowania i utrzymywania systemu zarządzania bezpieczeństwem informacji, ale również ustandaryzowanie wymagań co do szacowania ryzyka i pomiaru efektywności już wdrożonych rozwiązań. 10
Kontakt Doradca Bezpieczeństwa www.security.dga.pl doradca.bezpieczenstwa@dga.pl Doradztwo Gospodarcze DGA S.A. ul. Towarowa 35, 61-896 Poznań tel. 61 859 59 00, fax.: 61 859 59 01 www.dga.pl dgasa@dga.pl Wicedyrektor Departamentu Zarządzania, Michał Borucki michal.borucki@dga.pl Menedżer Zespołu odpowiedzialnego za usługi związane z bezpieczeństwem informacji: Tomasz Szała tomasz.szala@dga.pl 11
DGA 2005