| Název: | Nová série bezpečnostních norem ISO 27000 |
| Autoři: | Vladimíra Zapletalová Luděk Novák |
| Publikováno: | DSM 4/2005 |
10. června 2005 uveřejnila mezinárodní organizace pro normalizaci ISO aktualizovanou verzi normy ISO/IEC 17799:2005 - Code of practice for information security management. V letošním roce to není jediný počin ISO v oblasti bezpečnosti. V intenzivní přípravě je též vydání normy ISO/IEC 27001:2005 - Information security management system - Requirements, která bude mezinárodní podobou BS 7799-2. Pojďme se blíže podívat na tyto důležité novinky!
O vzrůstající úloze managementu bezpečnosti informací není nutné na stánkách časopisu DSM nikterak pochybovat. Nicméně skutečným projevem vyzrálosti technického oboru je míra jeho normalizace. V právě na rok 2005 připravilo ISO několik podstatných změn a aktualizací bezpečnostních norem, které ovlivní naši nejbližší budoucnost.
Nový koncept normalizace bezpečnosti
Odpovědnost za normalizaci bezpečnosti informací je v rámci Mezinárodní organizace pro normalizaci ISO zastřešena podkomisí JTC1/SC27 - Bezpečnostní techniky IT. V poslední době je důležitou snahou této subkomise harmonizovat přístupy a vzájemně provázat vydávané normy, což ne vždy bývalo úplnou samozřejmostí.
Pokusy o vyšší míru sladění se v práci podkomise projevují již nějakou dobu, ale teprve nedávno začaly tyto aktivity přinášet hmatatelné výsledky. Nejvíce patrné je to v přístupu k normám, které definují pravidla pro systémy managementu bezpečnosti informací (ISMS) a které jsou podkomisí vnímány jako jeden z nejdůležitějších prvků normalizace bezpečnosti.
Právě zde došlo letos k zásadnímu obratu. Na jaře roku 2005 organizace ISO ohlásila zavedení nové série norem ISO 27000, která se bude věnovat problematice managementu bezpečnosti informací. Právě tato skutečnost prohlubuje již existující snahy o jasné vymezení vztahů (a hranic) mezi bezpečnostními normami.
Obr. 1: Koncept série ISO 27000 pro ISMS.
Nová série ISO 27000 vychází z konceptu, který je naznačen na obrázku 1. Podobně jako u jiných systémů managementu (např. ISO 9000 či ISO 14000) je za jádro normalizace považována definice systému. V případě ISMS se tudíž stal hlavním prvkem britský standard BS 7799-2 (normě se podrobně věnoval seriál v DSM 3/04 až 6/04), který vytváří základ také pro novou mezinárodní normu ISO/IEC 27001.
Na mezinárodní akceptaci certifikační normy BS 7799-2:2002 se intenzivně pracuje od loňského roku a tyto aktivity jsou právě dokončovány. Obsahově nejsou připravovány žádné zásadní změny, kromě jediné a tou je aktualizace katalogu bezpečnostních kontrol/opatření v příloze A, která bude upravena v souladu s ISO/IEC 17799:2005. Vydání mezinárodní normy ISO/IEC 27001:2005 - Information security management system - Requirements (Systém managementu bezpečnosti informací - Požadavky), připravované na konec roku 2005, bude oficiálním otevřením série ISO 27000. Zároveň s publikací normy budou upřesněna pravidla pro přechodové období, ve kterém bude nutné provést revize již certifikovaných ISMS v souladu s novými pravidly ISO/IEC 27001:2005.
Důležitou normou série ISO 27000 je právě vydaná revize ISO/IEC 17799:2005, která je publikována ještě s původním označením. Avšak předmluva normy již upozorňuje na skutečnost, že další revize normy, plánovaná na rok 2007, vyjde jako ISO/IEC 27002. Provedeným změnám v normě ISO/IEC 17799:2005 se budeme věnovat v dalším textu.
Dalším příspěvkem série 27000 by se v příštím roce měla stát norma ISO/IEC 27004 - Information security management metrics and measurements. Ta by měla upřesnit využívání pravidel a nástrojů pro definování nejrůznějších měřítek a indikátorů, podle kterých je možné sledovat úspěšnost a účinnost zavedení a prosazení ISMS. Norma předepisuje strukturu metrik ISMS a upřesňuje některá vhodná měřítka pro sledování ISMS.
Do plánu rozvoje série ISO 27000 jsou zařazeny i další dokumenty. Zatím se však otevřeně hovoří pouze o směrnici, která by měla upřesnit postupy při zavádění ISMS.
Důležitým předpokladem pro úspěšný rozvoj série ISO 27000 je též vyjasnění vztahu s ostatními bezpečnostními normami. Zde není cílem série vše pojmout. Právě naopak, velká pozornost je věnována tomu, aby bezpečnostní opatření byla navázána na normy, které se hlouběji věnují určitým oblastem bezpečnosti (viz obrázek 1).
Nové verze ISO/IEC 17799:2005
A nyní blíže k právě vydané revizi ISO/IEC 17799:2005. První vydání normy ISO/IEC 17799 v roce 2000 navázalo na obsah britské normy BS 7799-1:1999. Od roku 2001 pak probíhala revize normy, která byla završena v červnu 2005, kdy byla publikována druhá verze této mezinárodní normy pod označením ISO/IEC 17799:2005 - Code of practice for information security management (Soubor postupů pro management bezpečnosti informací).
Na první pohled je patrná nová úprava formálního uspořádání normy. Ve staré verzi byla všechna bezpečnostní doporučení uvedena jako nestrukturovaný text, což nebylo pro uživatele příliš přehledné. Nová podoba rozlišuje následující tři typy popisu opatření:
- Definice opatření jsou jednověté specifikace bezpečnostních opatření, které zavedla norma BS 7799-2:2002, kde tvoří normativní přílohu A.
- Směrnice pro zavedení obsahuje podrobný popis toho, co je opatřením myšleno a jakým způsobem by opatření mělo být implementováno a prosazováno. Uvedené informace nemusí být platné pro všechny případy nasazení a je přípustné aplikovat i jiné metody řešení.
- Další informace soustředí specifické údaje, které by měly být při implementaci zvažovány (např. právní důsledky, odkazy na specifické bezpečnostní normy apod.).
Hlavním důvodem zavedení této vnitřní struktury je snaha o jednoznačné odlišení definice opatření od doporučení, jakou formou dané opatření zavádět a prosazovat. To velmi usnadňuje použití normy hlavně pro uživatele, jejichž hlavní profesní orientací není bezpečnost informací.
Na úpravu struktury navazuje řada změn, která je spojena se zpřesněním a harmonizací terminologie. Asi nejvíce patrným posunem je přeměna fóra pro řízení bezpečnosti informací na přesnější závazek vedení organizace aktivně podporovat bezpečnost. Podle našich zkušeností je tato úprava více než prospěšná. Název fórum většinou sklouzával k nepřesnému výkladu, že norma je určena pouze pro velké organizace.
Obr. 2: Nové rozdělení oblastí bezpečnosti informací v ISO/IEC 17799:2005.
Důležité změny se udály i v obsahové stránce. Zásadní revizí prošla oblast bezpečnosti lidských zdrojů, která ve starší verzi nesla název personální bezpečnost. Nový přístup v této oblasti sleduje zaměstnance v průběhu pracovního poměru, a proto jsou opatření rozdělena do třech skupin:
- opatření činěná při výběru zaměstnanců a před uzavřením pracovního poměru,
- opatření, která mají být prováděna během existence pracovního poměru a
- opatření nutná pro bezpečné ukončení pracovního poměru či změnu pracovního zařazení, která jsou spojená zejména s odebráním všech přístupových práv.
Významnější postavení získala oblast řízení bezpečnostních incidentů, která v aktualizované normě vytváří samostatnou oblast bezpečnosti, což určitě odpovídá soudobým požadavkům. Oblast je sestavena z opatření, která byla ve starší verzi nesystematicky rozptýlena ve více místech. K vytvoření nové oblasti pomohlo i nedávné zveřejnění normy ISO/IEC TR 18044:2004 - Information security incident management, která se řízením bezpečnostní incidentů podrobně zabývá.
Mezi rozšíření, která odráží soudobé trendy informatiky, patří podrobnější rozpracování bezpečnosti při využívání služeb třetích stran a řízení zranitelností. U služeb je důraz položen na zahrnutí bezpečnosti do dohod o úrovni služeb (SLA), sledování míry plnění těchto dohod a na obezřetné řízení změn. Řízení zranitelností je úplnou novinkou, která upravuje postupy související s bezpečnou aktualizací software.
Drobnější změny a úpravy jsou promítnuty do většiny bezpečnostních opatření. Jejich smyslem je především lépe propojit doporučení komplexního pohledu ISO/IEC 17799:2005 s pravidly a přístupy specifických norem, které se hlouběji věnují určité bezpečnostní problematice. Současně s tím byla zpřesněna i odborná terminologie.
U několika opatření, která byla příliš technicky orientovaná, došlo k podstatnému zobecnění. Tato skutečnost vedla k odstranění popisu u detailních opatření v oblasti síťové bezpečnosti či kryptografie.
V celkových počtech bylo v rámci revize odstraněno devět bezpečnostních opatření a sedmnáct nových přibylo. V kontextu 133 opatření nové normy by to nemuselo být považováno za významnou změnu. Teda alespoň do té doby, než si uvědomíme, že většina z původních 118 opatření byla (někdy podstatně) upravena. Podrobnější informace je možné nalézt v tabulce 1.
| Oblast bezpečnosti | Cíle | Opatření / kontroly | ||||
|---|---|---|---|---|---|---|
| 2005 | 2000 | Změna | 2005 | 2000 | Změna | |
| Bezpečnostní politika | 1 | 1 | 0 | 2 | 2 | 0 |
| Organizace bezpečnosti informací | 2 | 3 | -1 | 11 | 10 | +1 |
| Řízení aktiv | 2 | 2 | 0 | 5 | 3 | +2 |
| Bezpečnost lidských zdrojů | 3 | 3 | 0 | 9 | 10 | -1 |
| Fyzická bezpečnost a bezpečnost prostředí | 2 | 3 | -1 | 13 | 13 | 0 |
| Řízení komunikací a řízení provozu | 10 | 7 | +3 | 32 | 24 | +8 |
| Řízení přístupu | 7 | 8 | -1 | 25 | 31 | -6 |
| Akvizice, vývoj a údržba informačních systémů | 6 | 5 | +1 | 16 | 18 | -2 |
| Řízení bezpečnostních incidentů | 2 | 0 | +2 | 5 | 0 | +5 |
| Řízení kontinuity činností organizace | 1 | 1 | 0 | 5 | 5 | 0 |
| Soulad s požadavky | 3 | 3 | 0 | 10 | 11 | -1 |
| Celkem | 39 | 36 | +3 | 133 | 127 | +6 |
Tab. 1: Přehled změn ISO/IEC 17799:2005 podle jednotlivých oblastí bezpečnosti.
Závěr
V souvislosti se snahou o mezinárodní akceptaci známé normy BS 7799-2:2002 přijala organizace ISO koncept vytvoření nové série ISO 27000, do které budou zařazovány normy z oblasti managementu bezpečnosti informací. Tento krok zahájil nové období normalizace bezpečnosti informací, jehož výsledkem má být opuštění označení ISO/IEC 17799, pod kterým byla v červnu 2005 publikována poslední revize.
Důležitost této aktualizace nejlépe vyjádřil vedoucí pracovní skupiny WG1 Ted Humphreys: "Stručně řečeno, revidovaná ISO/IEC 17799 je nejdůležitější normou pro management bezpečnosti informací, která kdy vznikla - pro bezpečnost informací zavádí opravdový společný mezinárodní jazyk, který všem organizacím po celém světě dovolí prohlubovat vzájemné soužití při realizaci svých oprávněných zájmů".
Použité zdroje
[ISO17799] ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management.
[ISO] International Organization for Standardization (http://www.iso.ch).
[ISMS_IUG] ISMS International User Group (http://www.xisec.com).
Vladimíra Zapletalová
V roce 1993 vystudovala PF Jihočeské univerzity v Českých Budějovicích. Od roku 1999 působí ve společnosti ANECT a.s., kde v současnosti zastává pozici bezpečnostní manažerky s odpovědností za ochranu utajovaných skutečností a za systém managementu bezpečnosti informací. Je certifikovaným projektovým praktikantem, PMF (IPMA).
Luděk Novák
Vystudoval v roce 1991 Vojenskou akademii v Brně. V současnosti je vedoucím konzultantem ve společnosti ANECT a.s. se zaměřením na bezpečnost informací a procesní řízení ICT. Autor je držitelem certifikátu CISA - Certified Information Systems Auditor, členem Rady odborného sdružení ISACA CRC, členem technické komise Českého normalizačního institutu TNK 20 - Informační technologie a stálým spolupracovníkem časopisu Data Security Management.
