Historia standardów zarządzania - Doradca

Transkrypt

Bezpieczeństwo
informacji
BIULETYN TEMATYCZNY
Nr 1 / wrzesień 2005
Historia standardów zarządzania
bezpieczeństwem informacji
www.security.dga.pl
Bezpieczeństwo informacji – Biuletyn tematyczny – Nr 1 / wrzesień 2005
Spis treści
Wstęp
Co to jest system zarządzania bezpieczeństwem informacji?
Historia standardów
Ewolucja standardów bezpieczeństwa
Pierwsze publiczne standardy
Standardy BS 7799-1 (ISO/IEC 17799) oraz BS 7799-2
Przyszłość standardów w dziedzinie bezpieczeństwa informacji
Kontakt
2
3
4
5
5
7
8
10
11
Wstęp
Szanowni Państwo, oddaje w Wasze ręce pierwsze wydanie biuletynu
tematycznego poświęconego ochronie informacji. Idea biuletynu jak i samego
portalu www.security.dga.pl jest wynikiem działań naszej firmy mających na celu
popularyzację tematyki bezpieczeństwa informacji w sektorze prywatnym i
publicznym na rynku polskim. Nasze doświadczenie w zakresie budowania
systemów zarządzania bezpieczeństwem informacji pozwala nam doradzać
Państwu w tym obszarze nie tylko poprzez usługi naszej firmy, ale również
poprzez dostarczanie wiedzy z wykorzystaniem Internetu.
Informacja jest istotnym elementem procesów zachodzących w organizacjach i
może przyjmować różne form. Może być drukowana lub pisana na papierze,
przechowywana elektronicznie, przekazywana pocztą elektroniczną lub środkami
elektronicznymi, pokazywana w filmach lub przekazywana w rozmowach. W
dzisiejszym konkurencyjnym środowisku informacja ciągle podlega zagrożeniom.
Zagrożeń dzielimy na wewnętrzne i zewnętrzne, a ich realizacja może być
przypadkowa, jak i celowa nastawiona na wyrządzenie szkody. Wobec coraz
szerszego użytkowania nowych technologii do przechowywania, transmisji i
odczytywania informacji, wszyscy jesteśmy potencjalnie podatni na różne rodzaje
zagrożeń.
Pierwszy numer biuletynu został poświęcony dość zawiłej historii standardów
bezpieczeństwa stosowanych na skalę światową. Mam nadzieje, że informacje
przedstawione w tym biuletynie zachęcą Państwa do zainteresowania się
zagadnieniami polityki bezpieczeństwa informacji, a nasza firma będzie mogła
stać się Państwa Doradcą Bezpieczeństwa.
Michał Borucki
Wicedyrektor Departamentu Zarządzania,
Doradztwo Gospodarcze DGA S.A.
3
Co to jest system zarządzania
bezpieczeństwem informacji?
System zarządzania bezpieczeństwem informacji (SZBI lub z ang. ISMS) to
systematyczne podejście do zarządzania kluczowymi informacjami firmy w celu
zapewnienia ich bezpieczeństwa. Obejmuje on ludzi, procesy i systemy
informatyczne. BSI (British Standard Institute) opublikował zbiór zasad
postępowania dla takich systemów – BS 7799-1 (z których wywodzi się
międzynarodowy standard ISO/IEC 17799). Dokument ten jest obecnie używany
z dużym uznaniem na całym świecie.
Norma ISO/IEC 17799 jest uznanym międzynarodowym standardem tworzenia
systemów zarządzania bezpieczeństwem informacji. Oznacza to, że organizacje
na całym świecie wdrażają systemy bezpieczeństwa korzystając z tego samego
dokumentu odniesienia. W rezultacie systemy te mogą być oceniane i w ten
sposób doskonalone. Istnieje wiele dokumentów, w odniesieniu do których
można przeprowadzać audyt bezpieczeństwa.
W świecie standardów rozróżniamy opracowania zawierające wytyczne
i wymagania. Wytyczne to zalecenia i wskazówki, wymagania to działania, które
muszą zostać podjęte obligatoryjnie, aby organizacja mogła mówić o wdrożeniu
danego standardu. Organizacja posiadająca zbudowany system w oparciu
o wymagania danej normy może poddać się niezależnej certyfikacji. Na dzień
dzisiejszy najpopularniejszym standardem bezpieczeństwa informacji, na
zgodność z którym przeprowadzane są certyfikacje na całym świecie jest
BS 7799-2:2002.
Pamiętać należy jednak, że bezpieczeństwo informacji to proces, który należy
utrzymywać i doskonalić, a wydawane certyfikaty są opatrzone datą ważności, po
której można podejść do recertyfikacji.
4
Historia standardów
Ewolucja standardów bezpieczeństwa
1993
BS PD0003:1993
W Y T Y C ZN E
1995
W Y MAGA N I A
BS 7799-1:1995
BS 7799-2:1998
1998
1999
2000
2002
2003
2005
BS 7799-1:1999
BS 7799-2:1999
ISO/IEC 17799:2000
BS 7799-1:2002
BS 7799-2:2002
PN-ISO 17799-1:2003
ISO/IEC 17799:2005
PN-I-07799-2:2005
ISO/IEC 27001:2005
Seria standardów ISO/IEC 27000
©DGA
5
BS PD0003:1993
Dokument opracowany w 1993 przez Brytyjski Instytut Normalizacji BSI (British Standards Institution)
i DTI (Department of Trade and Industry). Popularności tej inicjatywy skłoniła BSI do podjęcia
nowych prac, w efekcie których opracowano zbiór praktycznych porad, wydany w 1995 roku jako
norma BS 7799, „Code of practice for Information Security Management”.
BS 7799-1:1995
BS 7799-1:1995 to kodeks najlepszej praktyki w dziedzinie zarządzania bezpieczeństwem informacji.
Powstał w efekcie dużego zainteresowania opracowaniem BS PD0003 oraz z inicjatywy prywatnych
przedsiębiorstw. Jego celem było stworzenie zbioru praktycznych i łatwo stosowalnych w każdej
organizacji zaleceń dotyczących bezpieczeństwa informacji.
BS 7799-2:1998
Standard BS 7799-2:1998 to pierwsze wydanie drugiej części normy BS 7799, dotyczącej wymagań
wobec systemu zarządzania bezpieczeństwem informacji. Pozwala audytorom na zbadanie poziomu
zgodności danego systemu z wymogami normy i określa, podstawowy zbiór obszarów, które należy
rozpatrzyć przy budowie systemu.
BS 7799-1:1999
BS 7799-1:1999 to uzupełnione wydanie BS 7799-1 z 1995 roku, będące standardowym kodeksem
praktyki, katalogiem zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji.
Definiuje 127 elementów kontroli i sterowania bezpieczeństwem informacji, podporządkowanych 10
grupom wymagań, co pozwala użytkownikom na zidentyfikowanie najwłaściwszych zabezpieczeń
w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym
zakresie. Wykorzystywane narzędzia sterowania i kontroli zawierają dalsze szczegółowe techniki
uznawane jako najlepsza praktyka w tej dziedzinie. To wydanie normy kładzie szczególny nacisk
na zarządzanie ryzykiem, wskazuje także, że użytkownik nie jest zobowiązany do wdrażania
wszystkich technik przywołanych w części pierwszej standardu, tylko uznanych za najistotniejsze i
zapewniające realizację celów.
BS 7799-2:1999
Zawarte w normie BS 7799-1 zalecenia znalazły uznanie w wielu firmach. W oparciu o nabyte
doświadczenie, w BSI rozpoczęto prace nad kolejnym, drugim wydaniem dokumentu
normalizacyjnego BS 7799-2 specyfikującego system zarządzania bezpieczeństwem informacji. Celem
przyświecającym twórcom drugiej części standardu było stworzenie formalnych podstaw dla
uruchomienia mechanizmu certyfikacji istniejących systemów ochrony bezpieczeństwa informacji.
Przewiduje się, że w ramach procesu certyfikacji sprawdzany będzie aktualnie działający w danej
firmie system ochrony bezpieczeństwa informacji na zgodność z sugestiami zawartymi w normie
BS 7799. BS 7799-2:1999 ilustruje, w jaki sposób zaprojektować, wdrożyć i poddać certyfikacji
system zarządzania bezpieczeństwem informacji. Norma wskazuje na sześcioetapowy proces
kreowania i wdrożenia zaprojektowanych rozwiązań; odwołuje się do konieczności określenia
wszystkich aktywów informacyjnych i oszacowania ich istotności dla organizacji.
ISO/IEC 17799:2000
Pierwsza poprawiona wersja standardu BS 7799 została opublikowana w kwietniu 1999 jako
BS 7799-1:1999. W październiku 1999 zaproponowano, by część pierwsza standardu została
ustanowiona międzynarodowym standardem ISO. 1 grudnia 2000, z małymi poprawkami
zatwierdzono ją (poprzez przyśpieszoną ścieżkę legislacyjną) jako ISO/IEC 17799:2000.
BS 7799-1:2002
BS 7799-1:2002 to kolejna wersja, opublikowanej w 1995 r. i zrewidowanej w 1999 r. specyfikacji
BS 7799-1. Jej zamierzeniem było zbliżenie specyfikacji tej normy do norm ISO 9001 oraz ISO 14001.
Ma to umożliwić rozszerzenie i ulepszenie systemu zarządzania bezpieczeństwem informacji
zaproponowanym w BS 7799-2:1999.
BS 7799-2:2002
Norma bezpieczeństwa BS-7799-2:2002 jest specyfikacją dla systemu zarządzania bezpieczeństwem
informacji i dotyczy zasad bezpiecznego przetwarzania informacji w systemie informatycznym i poza
nim. Jest to światowy standard służący do certyfikacji, który w 2005 stał się oficjalną polską normą
(na podstawie tłumaczenia). Certyfikat zgodności z normą bezpieczeństwa BS-7799-2:2002 jest
świadectwem, że w organizacji stosowane są środki techniczne i organizacyjne gwarantujące ochronę
poufności, autentyczności i spójności informacji na wszystkich etapach jej przetwarzania. Norma
nakłada na organizację szereg wymagań, których spełnienie pozwala osiągnąć odpowiedni poziom
6
bezpieczeństwa. Norma wprowadza też wymagania starannej oceny ryzyka dla działalności firmy ze
strony takich czynników jak: utrata danych, dostęp osób nieuprawnionych, zaatakowanie przez
wirusy, powiązania z elementami elektronicznymi, włamania do systemu oraz odzyskiwanie
utraconych danych. Ponadto uwzględnia ona potrzebę wskazania obszarów, w których zachodzi
konieczność poprawy.
PN-ISO 17799-1:2003
Norma PN-ISO/IEC 17799:2003 jest wykonanym w roku 2003 polskim tłumaczeniem
międzynarodowej normy ISO/IEC 17799:2000, będącym standardowym kodeksem praktyki,
katalogiem zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji i jest zbiorem
zaleceń, które polska norma PN-I-07799-2:2005 określa jako niezbędne w celu stworzenia systemu
zarządzania bezpieczeństwem informacji.
PN-I-07799-2:2005
20 stycznia 2005 r. została zatwierdzona do publikacji polskojęzyczna wersja normy BS 7799-2:2002,
dotycząca wymagań wobec systemu zarządzania bezpieczeństwem informacji. Standard PN-I-077992:2005, dokładnie jak jego pierwowzór BS 7799-2:2002 służy do certyfikacji i określa zbiór
niezbędnych wymagań dla stworzenia systemu zarządzania bezpieczeństwem informacji.
ISO/IEC 17799:2005
ISO/IEC 17799:2005 to międzynarodowa norma, bazująca na zrewidowanej normie ISO/IEC
17799:2000 i będąca kodeksem najlepszej praktyki w dziedzinie bezpieczeństwa informacji. Podobnie
jak poprzednia norma oraz jak specyfikacje BS 7799-1, norma ISO/IEC 17799:2005 nie jest
standardem do certyfikacji, w przeciwieństwie do standardu ISO/IEC 27001, który pod koniec 2005
będzie międzynarodową normą w dziedzinie certyfikacji systemów zarządzania bezpieczeństwem
informacji. Norma ISO/IEC 17799:2005, w nowej wersji, uaktualniono punkty związane z dobrymi
praktykami bezpieczeństwa informacji, dostarczając zbiór najlepszych zaleceń dla biznesu, ogólne
zalecenia dla wdrożenia, utrzymania i zarządzania bezpieczeństwem informacji w każdej organizacji
i w każdej formie.
ISO/IEC 27001:2005
Zapowiedziany na listopad 2005 r. międzynarodowy standard, wzajemnie uzupełniający się z ISO/IEC
17799:2005 (BS 7799-1) i mający zastąpić BS 7799-2:2002. ISO/IEC 27001:2005 ma zapewnić
specyfikacje dla systemu zarządzania bezpieczeństwem informacji oraz wskazać podstawy dla
przeprowadzania niezależnego audytu i certyfikacji. Jest zharmonizowany z innymi systemami
zarządzania, takimi jak ISO 9001 i ISO 14001. Integruje wszystkie systemy zarządzania w organizacji
oraz zapewnia efektywność zarządzania bezpieczeństwem informacji oraz procesem zarządzania
ciągłością działania, jak również stosuje zasady OECD dotyczące bezpieczeństwa informacji.
Seria Standardów ISO/IEC 27000
ISO/IEC 27001 (BS7799-2): zapowiedziany na listopad 2005 r. standard ISO/IEC 27001 ma zapewnić
specyfikacje dla systemu zarządzania bezpieczeństwem informacji oraz wskazać podstawy dla
przeprowadzania niezależnego audytu i certyfikacji.
ISO/IEC 27002 (ISO/IEC 17799 & BS7799-1): W ramach wspólnego ustandaryzowania norm
z zakresu bezpieczeństwa informacji, w kwietniu 2007 r. ISO/IEC ma zamiar wydać normę,
stanowiącą następcę ISO/IEC 17799:2005 i będącą kodeksem najlepszej praktyki w dziedzinie
bezpieczeństwa informacji.
ISO/IEC 27003 (BS7799-3): Standard, którego publikacja została zapowiedziana na listopad 2005 ma
dotyczyć szacowania ryzyka w systemie zarządzania.
ISO/IEC 27004 (BS7799-4): zapowiedziany na 2005 r. standard ma dotyczyć pomiaru efektywności
we wdrożonym systemie zarządzania bezpieczeństwem informacji.
Pierwsze publiczne standardy
Aspekt bezpieczeństwa już dawno został zauważony przez kierownictwo wielkich
koncernów, których troska o bezpieczeństwo funkcjonowania zaowocowało
korporacyjnymi standardami w dziedzinie bezpieczeństwa. Na tym gruncie
powstało wiele oficjalnych standardów. Wiodącą organizacją w dziedzinie
standaryzacji norm bezpieczeństwa była najstarsza na świecie instytucja
normalizacyjna – BSI.
7
W maju 1987, Brytyjski Departament Handlu i Przemysłu (Department of Trade
and Industry, DTI), powołał Commercial Computer Security Centre (CCSC),
którego dwoma głównymi celami było:
• pomóc sprzedawcom produktów dotyczących bezpieczeństwa IT
poprzez opracowanie międzynarodowego zestawu kryteriów oceny
tych rozwiązań oraz powiązanych z nimi schematów oceny i certyfikacji
(zainicjowało to powstanie ITSEC),
• pomóc użytkownikom poprzez stworzenie zestawu „dobrych praktyk
bezpieczeństwa” – zaowocowało to opracowaniem „Users Code of
Practice” opublikowanym w 1989 przy współpracy wielu firm.
„Users Code of Practice” zostało następnie rozwinięte przez National Computing
Centre oraz konsorcjum użytkowników wywodzących się z brytyjskiego przemysłu
po to, aby zapewnić, że jest ono praktyczne i znaczące z punktu widzenia
organizacji i użytkowników. Ostatecznym rezultatem był dokument BS PD0003 –
„A code of practice for information security management”, opublikowany w 1993
r. jako wytyczne BSI przy współudziale DTI. Już dwa lata później, w odpowiedzi
na duże zainteresowanie tą inicjatywą, w której popularność na początku wątpili
sami twórcy, przy ogromnym zainteresowaniu przedstawicieli wielu organizacji,
tezy i przesłanie, jakie niosła w sobie powyższa norma, skłoniły BSI do podjęcia
nowych prac, w efekcie których opracowano zbiór praktycznych porad, wydany
jako norma BS 7799-1, „Code of practice for Information Security Management”.
Standardy BS 7799-1 (ISO/IEC 17799) oraz BS 7799-2
Tak jak wspomniano, po okresie dalszych publicznych konsultacji, dokument BS
PD0003 przetransformowano na normę BS 7799:1995 (będącą de facto
kodeksem najlepszej praktyki). Druga część standardu, która zawierała
wymagania – BS7799-2:1998, została opracowana w lutym 1998, po obszernych
korektach i konsultacjach publicznych, które rozpoczęły się w listopadzie 1997.
Pierwsza poprawiona wersja pierwszej części standardu została opublikowana w
kwietniu 1999 jako BS 7799-1:1999. W październiku 1999 zaproponowano, by
część pierwsza standardu została ustanowiona międzynarodowym standardem
ISO. Z małymi poprawkami zatwierdzono ją (poprzez przyśpieszoną ścieżkę
legislacyjną ang. fast track) jako ISO/IEC 17799:2000 w dniu 1 grudnia 2000.
BS 7799-2:2002 został oficjalnie opublikowany 5 września 2002 na konferencji
„BS 7799 Goes Global” w Londynie. Nowa wersja standardu została opracowana
by zharmonizować ją z innymi standardami zarządzania, takimi jak
ISO 9001:2000 i ISO 14001:1996 i zapewnić zwartą i zintegrowaną
implementację oraz eksploatację tych systemów zarządzania. Wprowadza
również model PDCA (Plan-Do-Check-Act: Planuj-Wykonaj-Sprawdź-Działaj),
8
jako część podejścia do tworzenia, implementacji i zwiększania efektywności
działania SZBI w danej organizacji. Implementacja modelu PDCA odzwierciedla
również reguły z OECD – Guidelines for the Security of Information Systems and
Networks (2002) w sprawie zarządzania bezpieczeństwem systemów
teleinformatycznych. W szczególności, nowa wersja standardu BS przedstawia
przejrzysty model implementacji reguł OECD w zakresie szacowania ryzyka,
projektowania i implementacji zabezpieczeń, zarządzania bezpieczeństwem
i ponownego szacowania ryzyka (z powodu umieszczenia w BS 7799-2:2002
odniesień do wytycznych OECD, publikacja tego standardu opóźniła się do
5 września 2002).
9
Przyszłość standardów w dziedzinie
bezpieczeństwa informacji
15 czerwca 2005 opublikowano nowe wydanie ISO/IEC 17799:2005. Najbardziej
znaczącą różnicą jest zmiana układu punktów kontrolnych, które obecnie w jasny
sposób rozróżniają elementy wymagań, zaleceń implementacyjnych i dalszych
informacji. Dodatkowo dodano pewne usprawnia oraz kilka nowych punktów
kontrolnych (a istniejące wytłumaczono w lepszy sposób). Wyodrębniono jedną
nową sekcję główną – zawierające punkty kontrolne dotyczące zarządzania
incydentami bezpieczeństwa. Najprawdopodobniej będzie to ostatnia wersja
ISO/IEC 17799, w roku 2007 zostanie zastąpiona przez ISO/IEC 27002.
Ze względu na opublikowanie ISO/IEC 17799:2005, załącznik A obecnego
standardu BS 7799:2002 jest zdezaktualizowany (ze względu na to, iż odnosi się
on do ISO/IEC 17799:2000). Nowa wersja BS 7799 zostanie prawdopodobnie
opublikowana w listopadzie 2005 r. już pod nowym nazewnictwem jako
ISO/IEC 27001.
Od lata 2002 rozpoczęła się dyskusja na temat utworzenia trzeciej części BS,
która mogłaby dotyczyć zagadnień dotyczących ciągłej poprawy SZBI.
Dodatkowo, zostały zidentyfikowane inne kwestie takie jak audytowanie
i integrowanie SZBI z innymi systemami zarządzania. Jednakże, inne źródła
podają, że trzecia część BS nie będzie utworzona – BS 7799:2002 zostanie
zastąpiona przez ISO/IEC 27001.
ISO i IEC są w trakcie zatwierdzania rozwoju nowej serii standardów dotyczących
SZBI – serii ISO/IEC 27000. ISO/IEC 27001 będzie traktować o wymaganiach
wobec SZBI, natomiast ISO/IEC 27002 zastąpi ISO/IEC 17799 (planowany
termin: kwiecień 2007). Tworzone są też nowe normy: ISO/IEC 27003 – norma
dotycząca szacowania ryzyka w systemie zarządzania bezpieczeństwem
informacji oraz ISO/IEC 27004 – norma dotycząca pomiaru efektywności we
wdrożonym systemie. Jest również prawdopodobne, że wszelkie brytyjskie
inicjatywy odnoszące się do BS 7799 staną się częścią szerszych prac
międzynarodowych. Nowa seria standardów bezpieczeństwa, stworzona przez
ISO, ma na celu usystematyzowanie wszystkich zaleceń i wymagań dotyczących
nie tylko projektowania, budowania i utrzymywania systemu zarządzania
bezpieczeństwem informacji, ale również ustandaryzowanie wymagań co do
szacowania ryzyka i pomiaru efektywności już wdrożonych rozwiązań.
10
Kontakt
Doradca Bezpieczeństwa
www.security.dga.pl
[email protected]
Doradztwo Gospodarcze DGA S.A.
ul. Towarowa 35 , 61-896 Poznań
tel. 61 859 59 00, fax.: 61 859 59 01
www.dga.pl
[email protected]
Wicedyrektor Departamentu Zarządzania, Michał Borucki
[email protected]
Menedżer Zespołu odpowiedzialnego za usługi związane z bezpieczeństwem
informacji:
Tomasz Szała
[email protected]
11
© DGA 2005

Historia standardów zarządzania - Doradca

Transkrypt

Podobne dokumenty

Quallab Szkolenie PŚ

Harmonogram 3D_ ISO 17025 _2_

Pobranie biuletynu informacyjnego dla producentów

PDF by LASER

PDF by LASER

PDF by LASER

PDF by LASER