Információvédelmi irányítási rendszerek – ISO 27001 (BS 7799) és 27002(ISO 17799)

A Hétpecsét Információbiztonsági Egyesület 2013. novemberi ülésén az információvédelem menedzselése témakörben közreadta a vonatkozó rendszerek szabványait taglaló háttéranyagát, ill. a témakörben elhangzott Móricz Pál ügyvezető igazgató (Szenzor Gazdaságmérnöki Kft.) ismertető előadása is.

A Hétpecsét Információbiztonsági Egyesület 2013. novemberi ülésén az információvédelem menedzselése témakörben közreadta a vonatkozó rendszerek szabványait taglaló háttéranyagát, ill. a témakörben elhangzott Móricz Pál ügyvezető igazgató (Szenzor Gazdaságmérnöki Kft.) ismertető előadása is.

Az ISO 27001(BS 7799)/ISO 27002 (ISO 17799) jelzetű nemzetközi szabványok korszerű irányítási eszközt adnak az értéknek tekintett információk védelmére, a külső-­belső kihívások, veszélyek azonosítására, kezelésére, a védelmi rendszer folyamatos továbbfejlődésre.

A gazdasági és társadalmi élet egyik legfontosabb értéke az információ. Az információ a szervezetek számára erőforrás, amely a hatékony működés alapját jelenti, a szervezet vagyonának tekintendő, gyakran termék és áru is egyben.  

Az információ megbízhatósága, biztonsága alapvetően befolyásolja a szervezet működését, ill. a működési, logisztikai, pénzügyi és más folyamatokat, az eredményességet, a jogi megfelelőséget, a profittermelő képességet, a piaci képet, és sok minden mást. Az értékekre, így az információra is féltétlenül vigyázni kell.  

Az információ biztonságának értelmezése:

Bizalmasság, s annak biztosítása, hogy az információ csak az arra felhatalmazottak számára legyen elérhető.

Sértetlenség (integritás), az információk és a feldolgozási módszerek teljességének és pontosságának megőrzése.

Rendelkezésre állás, annak biztosítása, hogy a felhatalmazott felhasználók a szükséges időben hozzáférhetnek az információkhoz és a kapcsolódó értékekhez.

Az információ sokféle formában létezhet, lehet papíron (nyomtatott formában, vagy kézírással), tárolható elektronikusan, filmen, átadható postázva, elektronikus eszközökön, filmen, megbeszélések helyszíni anyagaként. A védelemnek minden formára ki kell terjednie.

Miért kell védeni az információt?

A szervezetek, az információs rendszerek biztonsága széleskörű fenyegetéseknek széles körének van kitéve (erőszakos, véletlen, külső, belső stb.), mint a számítógépes csalás, kémtevékenység, szabotázs, vandalizmus van, tűzkár, vízártalom, és egyéb katasztrófák, pl. szoftver-, hardver-, kezelési hibák, egyéb meghibásodások, számítógépes vírusok, behatolások, szervizszolgáltatás kiesése.   

A veszélyforrások az alkalmazások bővülésével, a rendszerek bonyolultságának növekedésével folyamatosan szaporodnak. Az információs rendszerektől és szolgáltatásoktól való függőség növekedésével a szervezetek sebezhetősége is nő. Ugyancsak növeli a kockázatot a magán és nyílt hálózatok összekapcsolódása, az információs erőforrások megosztása. Ezen tényezők csökkentik a központi szakembergárda felügyeleti hatásosságát is.  

A közvetlen károk mellett jelentősek lehetnek a közvetett károk is, pl. a rendszer helyreállítás költségei, az esemény kivizsgálásának költségei, bírságok, bírósági eljárások, az alkalmazotti morálra való hatás, a cégimázs romlása miatti üzletvesztés, és így tovább.  

Miért kell információvédelmi irányítási rendszer?

Ma a legtöbb információs rendszer tervezése nem felel meg a biztonság szempontjából; a biztonság megvalósítása csupán technikai korlátozó eszközökre terjed ki,  pedig szükség van emellett az irányítási funkciók és a kapcsolódó eljárások megfelelő működésére is.  

Az információ biztonsága, védelme megteremtése, megőrzése olyan szabályozással teremthető meg, amely kiterjed többek között a célok, politikák, eljárások, a gyakorlat, a szervezet, a szoftver funkciók kialakítására illetve működtetésére.  

Hogyan hozható létre egy ilyen rendszer?

A szabályozás kialakítása gondos, a részletekre is kiterjedő tervezést igényel. A rendszernek érvényességének ki kell terjednie a szervezet minden alkalmazottjára, de igény lehet az érvényesség kiterjesztésére a szállítók, vevők, tulajdonosok, részvényesek körére is. A szabályozási költségek lényegesen alacsonyabban alakulnak, ha a védelmi lépések a követelmény-meghatározás és a tervezés fázisába épülnek bele.  

A rendszer kiépítésénél célszerű a szabványt kiinduló alapként használni. Előfordulhatnak egy adott szervezetnél nem értelmezhető követelmények, és lehetnek további, a szabványban nem rögzített, de a megfelelő védelemhez szükséges szabályozandó elemek is.

Az információvédelmi rendszer kialakításának fő lépései

Védelmi követelmények meghatározása

Biztonsági kockázatok vizsgálata

Az Információbiztonság kiindulási helyzetének értékelése, rögzítése

Célok kitűzése

Megvalósítási             eszközök, felelősségi körök, feladatok meghatározása, a szabályozás kialakítása

Folyamatos figyelés, továbbfejlesztés

A sikeres megvalósítás kritikus tényezői  

A biztonságpolitika, a célok és a tevékenységek az üzleti célokon alapuljanak

A megközelítés legyen összhangban a szervezeti kultúrával

A vezetés legyen elkötelezett és biztosítsa a támogatást

A védelmi követelmények, a kockázatelemzés és menedzselés értelmezése legyen megfelelő  

Minden vezető és alkalmazott legyen bevonva  

Az útmutatók jussanak el minden alkalmazotthoz és partnerhez, alvállalkozóhoz

Megfelelő képzés és oktatás

Átfogó és kiegyensúlyozott mérési rendszer a végrehajtás kiértékelésére és a fejlesztési javaslatok jelzésére  

Az információvédelmi irányítás rendszer szabványai

A BS 7799 brit szabványt olyan közös keretre irányuló ipari, kormányzati és kereskedelmi igény nyomán alakították ki, amely lehetővé teszi a vállalatok számára a hatékony biztonsági ügyviteli gyakorlat kifejlesztését, alkalmazását és felmérését, a bizalom megteremtését a vállalatok közti kereskedelemben. A szabvány a legjobb brit és nemzetközi üzleti információs biztonsági módszereken alapszik és nemzetközi elismerést váltott ki. A BS 7799 biztosítja a vállalatokon belüli biztonság-kezelő rendszerek igényének megoldását.

Az információvédelmi követelményeket, a gyakorlati útmutatót 1995-ben rögzítették szabványban az Egyesült Királyságban. A felülvizsgálati rendszerigények alapján 1998-ban jelent meg a tanúsítási követelményeket tartalmazó 2.rész.

A szabványok illeszkedtek a brit jogi előírásokhoz, a kor technikai színvonalához. A szabványrendszer alkalmazható volt mind a közösségi, mind a magánszektorban. A szabványok alkalmazása túlterjedt a brit területeken, más országokban, pl. több skandináv országban is kezdték alkalmazni, így Svédországban svéd szabványként is kiadták, Japánban a szabvány elterjesztésére államilag támogatott programot indítottak.  

A szabványokat 1999-ben megújították, kivették a brit jogi elemeket, és függetlenné tették a technológiai megoldásoktól, beépítették az alkalmazási tapasztalatok alapján felmerült fejlesztési igényeket, az időközben feltűnt új információkezelési eszközök is megjelentek a rendszer figyelembe-veendő és szabályozandó elemei között.

A Nemzetközi Szabványügyi Szervezet 2000-ben irányelvként (TR – Technical Report) kiadta a BS 7799-1-et, a gyakorlati útmutatót, nemzetközi szabványként ISOI/EC 17799:2000 jelzettel.

A tanúsítási brit szabványt, a BS7799-2-őt 2002-ben újra kiadták, összhangba hozták az ISO 9001 :2000-s szabvánnyal , kiegészítették menedzsment-követelményekkel és a PDCA (folyamatos fejlesztési) ciklussal. A korábbi verzió követelményeit teljes egészében megőrizték.  

Az ISOI/EC 17799:2000 szabvány magyar fordítását a Magyar Szabványügyi Testület MSZ ISOI/EC 17799:2002 jelzettel 2002-ben, a BS 7799-2 szabványét MSZE 17799-2:2004 jelzettel előszabványként 2004-ben kiadta.

2005. júniusában megjelent az ISO/lEG 17799:2005 új verziója (2007-től új nevet kapott: ISO/lEC 27002:2005), 2005. novemberében pedig az ISO/lEC 27001:2005 számít a BS 7799-2:2002 új nemzetközi verziójának. Mindkét szabványnak 2006-ban megjelent a magyar fordítása is.

Tanúsítási lehetőség

A Magyarországon működő tanúsító testületek közül többen már BS 7799 szerint is végeztek tanúsítást. Ma már majdnem mindegyikük rendelkezik ISO 27001-re (angol, német, svéd vagy szlovák stb.) akkreditációval, s magyar auditorokkal dolgoznak. A hazai tanúsítások száma meghaladja a százat.

Móritz Pál előadásában a szabvány változásaira összpontosított. 

A fogalmi változások; a kockázatfelmérés új megfogalmazásában nincs utalás a módszertanra. A kockázatkezelés kontrollja helyett kockázatkezelési eredményesség kifejezés használatos. A kontrolloknál a kiválasztás helyett a meghatározás a kockázatkezelésből értelmezendő, ezt kell egybevetni a SoA melléklettel. 

Követelményként szerepel az új leírásban a külső-belső kommunikáció. Az un. teljesítmény értékelés foglalja magába az ISMS és a kockázatkezelés-hatásosság mérést.  

A kontrollokban lévő fő változások:

Három új fejezetet iktattak be: 11-14., némi sorrendi változással. 

A kriptográfia kikerült a fejlesztés fejezetből, itt a kulcs menedzsment kontroll leírása részletesebben szerepel.

A kommunikáció biztonság különválasztásra került a működtetés fejezetből. A szállító kapcsolatok több területet gyűjt egybe. 

A 39-35. alatti kontroll célok több fejezete megszűnt, ill. összevonásra került, az újak között szerepel pl. a Teszt adatok,   

a Redundanciák, a Működő szoftverek felügyelete.

A fő változások a kontrollokban:

Csökkentek a redundanciák, pl. felelősségek, tesztelések, s általában egyszerűbb a fogalmazás.

Áthelyeződtek is kontrollok, pl. vagyontárgy, hozzáférés kilépéskor áttétele a vagyon, ill. hozzáférés kezelésbe.

Számos kontroll megszűnt, ill. összevonásra került:

nem kontroll, pl. elkötelezettség 

kockázatkezeléssel lefedettek (külső felek, vevők, rendszerdokumentáció kockázata, audit eszközvédelem

összevont kotrollok pl.: esemény naplózás, folytonosság, elkülönítés a hálózatban, útvonal, stb.

Szóhasználati változások:

titkos hitelesítési információk (jelszó helyett)

alkalmazás szolgáltatás publikus hálózaton (e-kereskedelem helyett)

alkalmazás szolgáltatás tranzakció (online tranzakciók helyett) 

Érdekes új kontroll elemek:

Információbiztonság a projektmenedzsmentben

Szállító kapcsolatok politika, ICT szállítói lánc

Információbiztonsági incidensek és fejlesztések kezelése

Incidenskezelési folyamtelemek kiemelése önálló kontrollá

Incidensvizsgálat és döntés, ill. reagálás

Fejlesztési folyamatban új kontrollok a biztonsági fejlesztési eljárásban, tervezési elvekben, környezetben, a biztonsági tesztelés

A dokumentum mellékletének új struktúrája:

A.5 Információbiztonsági politika

A.6 Az információbiztonság szervezete

A.7 Emberi erőforrás biztonság

A.8 Vagyonkezelés

A.9 Hozzáférés kezelés

A.10 Kriptográfia

A.11 Fizikai és környezeti biztonság

A.12 Működés biztonság

A.13 Kommunikáció biztonság

A.14 Rendszer beszerzés, fejlesztés és karbantartás

A.15 Szállító kapcsolatok

A.16 Információbiztonsági incidensek kezelése

A.17 Működésfolytonosság információbiztonsági szempontjai

A.18 Megfelelőség

Az átállás  

A tanúsításhoz a tanúsítóknak igazolniuk kell akkreditációjukat (feltétele a felkészültség igazolása)

Határidőkkel kell majd számolni (nem egységes időpontokkal);

amíg elfogadott a régi szerinti tanúsítás

ameddig át kell állni

tanúsító tájékoztatók készülnek

Az átállás jellemző stratégiái:

Minimális változtatás (filozófia/gondolatmenet, a fogalmak maradnak, megfeleltetés, hiánylista + az új elemek beillesztése)

Teljes megújítás (új szemlélet szerint újraépítés – integrált rendszer esetén most többlet, 2015-ben kevesebb feladat

www.szenzor-gm.hu

Harmat Lajos