Štandardy informačnej bezpečnosti

Je potrebné znovu vynachádzať koleso? Keďže už vynájdené bolo a samé o sebe nemá nedostatky, bola by investícia do jeho vývoja zbytočná. Ku kolesu je ale možné pridať ďalšie funkcionality ako brzdy, možnosť zmeny smeru, upraviť materiál, z ktorého je vyrobené a celkovo ho optimalizovať pre naše potreby. Podobne je to aj s informačnou bezpečnosťou. Tiež už bola vymyslená, implementovaná a prevádzkovaná v rôznych organizáciách. Poznatky a najlepšie praktiky informačnej bezpečnosti boli vydané ako štandardy.

Štandard je zverejnený dokument, ktorý obsahuje technické špecifikácie alebo iné presné kritériá, ktoré sa môžu používať ako pravidlá, smernice alebo definície. Štandardy majú podobu špecifikácií, metód, slovníkov, zásad dobrej praxe alebo návodov. Všetky formálne štandardy združujú názory a odborné znalosti na veľmi širokú škálu záujmov zo strany spotrebiteľov, akademickej obce, špecialistov, vlády, obchodu a priemyslu. V dôsledku toho normy predstavujú konsenzus o súčasných osvedčených postupoch.

Štandardy, reps. frameworky informačnej bezpečnosti sú série dokumentov obsahujúcich procesy a odporúčania, ktoré je možné použiť na implementáciu bezpečnostných postupov, opatrení a nástrojov informačnej bezpečnosti. Popisujú spôsob vybudovania a zavedenia systému pre riadenie informačnej bezpečnosti, ktorý je možné využiť na riadenie rizík a definovanie a prioritizáciu úloh potrebných na budovanie bezpečnosti v organizácií. Štandardy bývajú často zamerané na riešenie špecifických problémov a oblastí. Existujú aj štandardy, ktoré sú navrhnuté pre určité odvetvia priemyslu, s rôznou úrovňou komplexnosti a rozsahu.

Veľká väčšina prostriedkov IKT používaných v organizáciách je štandardná, rozšírená po celom svete a teda aj bezpečnostné problémy, ktoré s ich používaním súvisia sú štandardné a rozšírené. Bolo by preto mrhanie energiou, keby každá organizácia tieto problémy riešila samostatne a vyvíjala si svoje vlastné spôsoby ako ich riešiť. V priebehu posledných desaťročí vznikli niektoré organizácie, ktoré sa zaoberajú vytváraním a aktualizáciou najlepších praktík pre viaceré oblasti informačnej bezpečnosti. V prípade ak pre určitý informačný systém existujú požiadavky na vyššiu bezpečnosť ako je požadované v štandarde, organizácia môže opatrenia zo štandardu prispôsobiť svojím potrebám, vylepšiť ich alebo ich nahradiť pre ňu vhodnejšími opatreniami.

ISO 27000
Medzinárodná organizácia pre štandardizáciu v spolupráci s Medzinárodnou elektrotechnickou komisiou vydáva štandardy radu 27000, ktoré sú zamerané na systém riadenia informačnej bezpečnosti (ISMS – Information security management system). Štandard ISO 27001 predstavuje požiadavky, ktoré sú kladené na organizácie usilujúce sa o certifikáciu podľa tohto štandardu. Tieto požiadavky sa týkajú vytvorenia, zavádzania, údržby a neustáleho zlepšovania ISMS. Dôležitou súčasťou tohto štandardu je normatívna príloha A, ktorá predstavuje bezpečnostné ciele a opatrenia. Bližší popis spôsobu ich implementácie je uvedený v štandarde ISO 27002. Prehľad štandardov z rodiny 27000 uvádzame na samostatnej stránke. Posledná verzia štandardu ISO 27001 z roku 2013 nahradila predchádzajúcu verziu z roku 2005 a je možné ju získať na stránke ISO.org.

Ústrednou myšlienkou tohto štandardu je riadenie rizík. Vykonanie analýzy rizík umožňuje organizácii získať prehľad o všetkých nepríjemnostiach, ktoré môžu negatívne vplývať na jej bezpečnosť a predchádzať im prostredníctvom implementácie opatrení. Implementovať by sa mali len tie opatrenia, ktoré sú skutočne potrebné a nie tie, ktoré sú moderné alebo vnucované dodávateľom.

Mnoho bezpečnostných incidentov sa nedeje preto, že by zlyhala technológia, ale preto, že je táto technológia ľuďmi nesprávne používaná. Tomuto nesprávnemu, resp. nebezpečnému používaniu informačných systémov niekedy nie je možné predchádzať len s použitím technických opatrení. Vzniká preto potreba jasných pravidiel, politík a pracovných postupov. Štandard okrem nich požaduje aj pravidelné vykonávanie školení na zvyšovanie bezpečnostného povedomia, zabezpečenie právnej ochrany, zavedenie disciplinárnych konaní voči zamestnancom, ktorí sú pôvodcami bezpečnostných incidentov a podobne. Čím rôznorodejšie opatrenia sú v organizácií implementované, tým je celková úroveň bezpečnosti vyššia.

ISO27001 nekončí len pri implementácií rôznych opatrení. V organizácií nestačí mať niekoľko zamestnancov zaoberajúcich sa bezpečnosťou, pokiaľ vedenie organizácie ich snahy nepodporuje dôsledným vyžadovaním a vynucovaním dodržiavania politík od všetkých zamestnancov rovnako. Štandard preto vyžaduje, aby vrcholový manažment organizácie určil očakávania a ciele informačnej bezpečnosti z ich pohľadu a vydal politiku, ktorou sa bude preverovať či sú tieto ciele dosahované. Rovnako požaduje určenie a delegovanie hlavných zodpovedností za informačnú bezpečnosť, poskytnutie dostatku finančných prostriedkov a ľudských zdrojov a pravidelne preskúmavanie, či sú všetky očakávania plnené.

Ďalšou dôležitou myšlienkou štandardu je neumožniť systému riadenia IB morálne zastarať. V mnohých organizáciách sa stáva, že na začiatku nových bezpečnostných iniciatív alebo pri vydaní nových smerníc sa väčšina zamestnancov snaží o ich dodržiavanie, ale po čase sa na ne akosi pozabudne a záujem zamestnancov o ich dôsledné dodržiavanie opadne. Ako príklad môže slúžiť situácia, kedy bola v organizácii pred pár rokmi zavedená nová politika klasifikácie informácií, ktorá na začiatku fungovala veľmi dobre. Medzičasom sa vnútorné či vonkajšie faktory vplývajúce na organizáciu zmenili a to čo kedysi fungovalo dobre dnes už nikoho nezaujíma. Nikto totiž túto politiku neaktualizoval a neprispôsobil novej situácií. Aby sa dalo takýmto situáciám predchádzať, ISO 27001 zavádza metódy na to, aby ISMS nielen nezastaral, ale aby sa časom zlepšoval. K týmto metódam patrí napr. monitoring, meranie, interné audity a nápravné akcie.

Samotný štandard má štruktúru, ktorá bola v jeho poslednej verzii prispôsobená štruktúre ďalších štandardov pre systémy riadenia, ako napr. ISO 22301 (manažment kontinuity činností). To organizáciám umožňuje zavedenie integrovaného manažérskeho systému a súčasné zavedenie viacerých systémov riadenia s vynaložením nižších nákladov ako pri ich osobitnom zavádzaní. Týmto štandardom sa inšpirovali aj tvorcovia bezpečnostných štandardov pre informačné systémy verejnej správy, ktoré sú uvedené vo Výnose č. 55/2014 Z.z. o Informačných systémoch verejnej správy. Implementáciou ISMS podľa ISO 27001 inštitúcie verejnej správy splnia aj požiadavky tohto výnosu. ISO 27001 je zložený z desiatich klauzúl:

  1. Rozsah (Scope)
  2. Normatívne referencie (Normative references)
  3. Termíny a definície (Terms and definitions)
  4. Kontext organizácie (Context of the organization)
  5. Vedenie (Leadership)
  6. Plánovanie (Planning)
  7. Podpora (Support)
  8. Prevádzka (Operation)
  9. Vyhodnotenie výkonnosti (Performance evaluation)
  10. Zlepšovanie (Improvement)
    Príloha A (normatívna) – Referenčné ciele riadenia a opatrenia pre ISMS

FISMA/FIPS/NIST
Federálny zákon o riadení informačnej bezpečnosti (The Federal Information Security Management Act – FISMA) je zákon platný v USA, ktorý definuje ucelený rámec pre zabezpečenie ochrany vládnych informácií, prevádzkových procesov a aktív. FISMA od federálnych inštitúcií požaduje vytvorenie, dokumentovanie a implementáciu celkového programu informačnej bezpečnosti, ktorý zahŕňa:

periodické vyhodnocovanie rizík, vrátane rozsahu škody, ktorá môže vyplynúť z neautorizovaného prístupu, používania, zverejnenia, prerušenia, modifikácie alebo zničenia informácií a informačných systémov podporujúcich prevádzku a aktíva organizácie;
vytvorenie politík a postupov, založených na posúdení rizík, ktoré ich efektívne zredukujú na akceptovateľnú úroveň a zaistia bezpečnosť informačných systémov počas ich celého životného cyklu;
čiastkové plány na zaistenie adekvátnej bezpečnosti sietí, fyzických priestorov a informačných systémov;
školenia na zvyšovanie bezpečnostného povedomia zamestnancov (vrátane dodávateľov a ostatných používateľov podporujúcich prevádzku) na ich informovanie o rizikách súvisiacich s ich prácou, vrátane informovania o ich zodpovednostiach pri dodržiavaní bezpečnostných predpisov organizácie;
periodické vyhodnocovanie efektívnosti bezpečnostných predpisov a opatrení aspoň raz ročne;
proces plánovania, implementácie, vyhodnocovania a dokumentovania nápravných opatrení pre akékoľvek nedostatky informačnej bezpečnosti organizácie;
procesy pre detekciu, hlásenie a riešenie bezpečnostných incidentov;
a plánovanie kontinuity činností.
Národný inštitút pre štandardy a technológie (NIST) je zodpovedný za vývoj štandardov, techník a návodov na zaistenie informačnej bezpečnosti v amerických federálnych inštitúciách. Dôležité štandardy pre spracúvanie federálnych informácií (FIPS – Federal Information Processing Standards) na splnenie požiadaviek FISMA sú FIPS 199 a FIPS 200. FIPS 199 – Štandardy pre bezpečnostnú kategorizáciu federálnych informácií a informačných systémov (Standards for Security Categorization of Federal Information and Information Systems) definujú spôsob klasifikácie informácii a informačných systémov, v ktorých sa tieto informácie spracúvajú. Spôsob klasifikácie je založený na ohodnotení dopadov, spôsobených narušením dôvernosti, integrity a dostupnosti informácií. Na tento štandard nadväzuje FIPS 200 – Minimálne bezpečnostné požiadavky na federálne informácie a informačné systémy (Minimum Security Requirements for Federal Information and Information Systems), ktorý popisuje ako na základe klasifikácie systémov stanoviť bezpečnostné požiadavky zodpovedajúce požadovanej úrovni ich ochrany. Prístupy uvedené v týchto dvoch amerických štandardoch sú podrobnejšie popísané v prílohe „Klasifikácia informácie a systémov“. Okrem hore uvedených štandardov NIST publikuje aj špeciálne publikácie obsahujúce návody, odporúčania a referenčné materiály z oblasti informačnej bezpečnosti prostredníctvom série SP 800.

NIST SP 800-53 – Tento štandard poskytuje katalóg bezpečnostných opatrení a spôsob pre výber opatrení na zabezpečenie ochrany prevádzky, aktív, ľudí a ostatných organizácií pred hrozbami vyplývajúcimi z kybernetických útokov, prírodných katastrof a technologických i ľudských zlyhaní.

NIST SP 800-37 – Tento štandard poskytuje návod pre zavedenie rámca pre riadenie rizík do federálnych informačných systémov. Popisuje základný koncept riadenia rizík a úlohy, ktoré je potrebné vykonať na jeho zavedenie v šiestich krokoch – kategorizácia informačných systémov, výber opatrení, implementácia opatrení, vyhodnotenie opatrení, autorizácia informačného systému a monitorovanie opatrení.

Mnohé ďalšie štandardy NIST, ktoré je možné aplikovať aj v podmienkach slovenskej verejnej správy, je možné nájsť na stránke http://csrc.nist.gov/publications/PubsSPs.html.

BSI IT-Grundschutz
Cieľom tejto série štandardov, ktoré vydáva nemecký Federálny úrad pre informačnú bezpečnosť (BSI – Bundesamt für Sicherheit in der Informationstechnik), je dosiahnuť adekvátnu úroveň bezpečnosti pre všetky typy informácií v organizácii. Prostredníctvom aplikácie technických, organizačných a personálnych opatrení je možné dosiahnuť úroveň bezpečnosti, ktorá je organizáciou požadovaná a vhodná na zabezpečenie ich biznis informácií. Tieto štandardy obsahujú odporúčania BSI ohľadom metód, procesov, postupov a opatrení, ktoré súvisia s informačnou bezpečnosťou a je možné ich použiť pri implementácii bezpečnosti a prispôsobiť ich podľa potreby. Oproti iným štandardom je IT-Grundschutz odlišný v prístupe k riadeniu rizík. Štandardy NIST a ISO 27001 požadujú vykonanie analýzy rizík ako základ pre rozhodnutie sa pre implementáciu jednotlivých opatrení. IT-Grundschutz ale predpokladá, že väčšina organizácií čelí veľmi podobným rizikám a analýzu rizík pred implementáciou opatrení potrebné vykonať nie je. Poskytuje rovno katalóg hrozieb a bezpečnostných opatrení na splnenie základnej ochrany pred väčšinou hrozieb. Analýzu rizík požaduje až v prípade, keď má organizácia má vyššie požiadavky na bezpečnosť ako je základná úroveň.

BSI Standard 100-1 – definuje všeobecné požiadavky na systém riadenia informačnej bezpečnosti (ISMS) v súlade so štandardom ISO 27001 a s prihliadnutím na odporúčania ďalších štandardov z tejto rodiny. Tento štandard však ide do väčšej hĺbky ako ISO štandardy a čitateľovi tak poskytuje zrozumiteľnejšie a prístupnejšie pokyny pre implementáciu ISMS.

BSI Standard 100-2 – tento štandard krok po kroku popisuje spôsob ako vytvoriť, implementovať a prevádzkovať ISMS v praxi. Poskytuje detailný návod ako iniciovať proces bezpečnosti, zostaviť bezpečnostný koncept, implementovať ho, udržiavať ho funkčným a neustále ho zlepšovať. Oproti pomerne všeobecným formuláciám použitým v ISO štandardoch tento štandard poskytuje rozsiahle, detailné a prístupné návody na splnenie požiadaviek na ISMS spolu s mnohými poznámkami a príkladmi.

BSI Standard 100-3 – je určený organizáciám, ktoré úspešne implementovali opatrenia IT-Grundschutz a majú potrebu svoju bezpečnosť ešte zvýšiť. Dôvodom na zvýšenie bezpečnosti môžu byť vysoké bezpečnostné požiadavky na niektoré informačné systémy alebo prevádzka dôležitých komponentov, ktoré zatiaľ nie sú v IT-Grundschutz popísané.

BSI Standard 100-4 – je zameraný na vývoj, zavedenie a udržiavanie systému pre riadenie kontinuity činností. Cieľom je zaistiť, aby dôležité procesy neboli prerušené, resp. aby boli prerušené len na krátky čas a to aj v kritických situáciách.

IT-Grundschutz-Catalogues – je mohutný katalóg, ktorý na vyše než štyri tisíc stranách poskytuje veľké množstvo informácií. Katalóg je rozdelený na časť, ktorá sa venuje popisu jednotlivých modulov informačnej bezpečnosti, časť venovanú hrozbám a časť zaoberajúcu sa opatreniami. Časť popisujúca jednotlivé moduly informačnej bezpečnosti je rozdelená na všeobecné aspekty, infraštruktúru, IT systémy, siete a aplikácie. Každý modul obsahuje krátky popis komponentov, prístupov a IT systémov, scenár pravdepodobných hrozieb a odporúčané opatrenia. Časť venovaná hrozbám je rozdelená na základné hrozby, prírodné hrozby, organizačné nedostatky, ľudské chyby, technické zlyhania a úmyselné činy. Časť zaoberajúca sa opatreniami je rozdelená na opatrenia ohľadom infraštruktúry, organizácie, zamestnancov, hardvéru a softvéru, komunikácie a plánovania kontinuity. Tento rozsiahly katalóg odporúčame všetkým implementátorom informačnej bezpečnosti vo verejnej správe ako inšpiráciu a cenný zdroj informácií ohľadom celého spektra problémov a riešení v informačnej bezpečnosti.

Ako sme spomenuli vyššie, existuje veľké množstvo štandardov, ktoré je pri implementácii informačnej bezpečnosti možné využiť a prispôsobiť potrebám organizácie. Je možné sa inšpirovať prístupom k bezpečnosti, ktorý existuje v USA alebo je možné využiť niektorý z technických návodov, ktoré sú vydávané ako špeciálne publikácie rady SP 800 inštitútom NIST. Veľmi detailné návody pre implementáciu bezpečnostných opatrení je možné nájsť v katalógu IT-Grundschutz, ktorý spolu so štandardmi radu BSI 100 poskytujú ucelený framework pre informačnú bezpečnosť v Nemecku. Inštitúcie verejnej správy v SR môžu v prípade pochybností o výklade jednotlivých požiadaviek štandardov pre IS VS využiť aj konzultačné služby, ktoré poskytuje CSIRT.SK alebo Ministerstvo financií SR, prípadne využiť služby externej konzultačnej firmy.

Referencie

ISO/IEC 27001:2013 Information technology— Security techniques — Information security management systems — Requirements
ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for information security management
FIPS 199 Standards for Security Categorization of Federal Information and Information Systems
FIPS 200 Minimum Security Requirements for Federal Information and Information Systems
NIST SP 800-53 Security and Privacy Controls for Federal Information Systems and Organizations
NIST SP 800-37 Guide for Applying the Risk Management Framework to Federal Information Systems
BSI Standard 100-1 Information Security Management System (ISMS)
BSI Standard 100-2 IT-Grundschutz Methodology
BSI Standard 100-3 Risk Analysis based on IT-Grundschutz
BSI Standard 100-4 Business Continuity Management
IT-Grundschutz-Catalogues
Zákon 275/2006 Z. z. o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov
Výnos č. 55/2014 Z.Z. o štandardoch pre informačné systémy verejnej správy

Posledná aktualizácia