Barbara, Borbála
-6 °C
3 °C

Az információbiztonság sarokkövei: szabványok és ajánlások

2004.01.20. 15:25
Az információbiztonsággal foglalkozó eddigi írásainkban többnyire a "saját nyavalyáink" foglalkoztattak, és azok orvoslására kerestünk kisebb-nagyobb körben alkalmazható megoldásokat.
"A vasaló nem attól meleg, hogy a ruhához dörzsölik"

"A változatosság gyönyörködtet" elv alkalmazásával ebben a cikkben szélesre tárjuk a biztonság kapuit és bepillantunk a legfejlettebbek (amerikaiak, angolok, németek,_) hálószobáiba, hátha megtudjuk, hogy nekik "mijük fáj", ők hogy gondolkodnak, amikor az információbiztonságról van szó. Ezen érdeklődésünket nemcsak a kíváncsiság kell, hogy hajtsa, hiszen maholnap az ő nyavalyáik már a mi EU-s nyavalyáink is lesznek.

A továbbiakban axiómaként kezeljük az információbiztonsági problémák globalitását, és úgy gondoljuk, hogy ezek a problémák erős kölcsönhatásban vannak az információs társadalom kihívásaival. Azt látjuk, hogy a megoldandó kérdések újszerűsége és az információs társadalom rendkívül gyors fejlődése következtében a jogalkotás és jogalkalmazás sokszor tanácstalan. Ugyanakkor nyomon követhető, hogy világszerte igen nagy erőfeszítéseket tesznek a megfelelő törvények megalkotására és a nemzetközi jogharmonizációra. A nemzetközi szervezetek -- így az EU és az OECD is -- számos irányelvet és ajánlást tesznek közzé, hogy a tagországok problémáinak megoldását elősegítsék.

Talán ennyi felvezető magyarázkodás elégséges ahhoz, hogy belefogjunk a napjainkban leginkább elfogadott és kiforrott információbiztonsági szabványok ismertetésébe.

TCSEC

Az USA Védelmi Minisztériuma 1985 decemberében tette közzé a Trusted Computer System Evaluation Criteria (Kritériumok a számítógéprendszerek megbízhatóságának kiértékeléséhez) szabványát, amely alapján a számítástechnikai rendszerek biztonsági szempontból minősíthetők. Ennek a szabványnak a használata az USA informatikai vonatkozású kormányzati és katonai rendszereinél a mai napig is érvényes és kötelező.

A TCSEC az informatikai rendszereket biztonsági szempontból négy osztályba sorolja, amelyek különböző erősségű védelmi szintek alapján értékelik ki az információfeldolgozó rendszerekbe beépülő biztonsági szabályozás hatékonyságát. Jelenleg a D, C1, C2, B1, B2, B3 és A1 jelölések használatosak, ahol a D a minimális, az A1 pedig a legmagasabb szintű, bizonyított egyedi védelmet jelenti. Az osztályozáshoz a minősítést négy területen kell elvégezni: biztonsági stratégia (security policy), követhetőség (accountability), biztosítékok (assurance), dokumentálás (documentation).

ITSEC

Az ITSEC (Information Technology Security Evaluation Criteria - Információtechnológia Biztonsági Értékelési Kritériumok) első változatát Anglia, Franciaország, Hollandia és Németország közösen dolgozta ki 1990-ben a TCSEC európai megfelelőjeként. Az ITSEC 1.2 változatát az Európai Közösség számára kísérleti célból 1991-ben adták ki. Az ITSEC elveit és követelményeit tekintve alapvetően megegyezik a TCSEC-kel. Azonban az ITSEC a TCSEC-kel azonos módon értelmezett biztonsági osztályokon túlmenően az egyes releváns informatikai rendszertípusokra is meghatároz biztonsági osztályokat, amelyekre megadja a TCSEC biztonsági alapfunkcióit, de minden esetben csak az adott rendszertípusra jellemző követelményeket emeli ki (megbízható informatikai rendszerek alapfunkciói, funkcionalitási osztályok, védelmi mechanizmusok, minősítési kritériumok és minősítési fokozatok).

Common Criteria 2.1 (ISO/IEC 15408:1999)

Az ITSEC 1.2 változatát az EU számára kísérleti célból 1991-ben adták ki. Ugyanakkor az EU, valamint az amerikai és a kanadai kormány támogatásával kidolgozásra került a Common Criteria (CC) (Közös Követelmények) dokumentumtervezet, amely megpróbálta a korábbi ajánlások tartalmi és technikai eltéréseit összhangba hozni.

1998-ban jelent meg a Common Criteria 2.0 változata. A CC 2.0 dokumentumot - azonos tartalommal - az ISO/IEC is kiadta 15408 számon, "Common Criteria for Information Technology Security Evaluation, version 2.0" címmel.

A CC feldolgozására és honosítására irányuló munka hazánkban 1997-ben kezdődött, majd 1998-ban az Informatikai Tárcaközi Bizottság (ITB) 16. sz. ajánlásaként kiadásra is került, és jelenleg van folyamatban a legújabb, 2.1-es változat honosítása.

A Common Criteria fő jellemzői a következők:

  • Egységes, a megvalósítás módjától független, követelményeket határoz meg.
  • Egységes kiértékelési módszertant ad az informatikai rendszerek, termékek informatikai biztonsági értékeléséhez, tanúsításához.
  • Meghatározza az informatikai rendszerek biztonsági követelményeinek többszintű kategóriákból álló katalógusát.
  • Egyaránt felhasználható szoftver és hardver elemek vizsgálatához is.
  • A termékek rugalmasan megválaszthatók, mert a követelmények nem hardver vagy szoftver specifikusak.
  • Definiálható a biztonsági funkcionalitás, azaz a CC fogalmai szerint a védelmi profil (Protection Profiles), amely függetlenül besorolható a CC-ben meghatározott hét biztonsági szint (Evaluation Assurance Level: EAL) valamelyikébe.

    ITIL 2. (BS 15000:2000)

    Az ITIL (IT Infrastructure Library) módszertant a CCTA (Central Computing and Telecommunications Agency - Központi Számítástechnikai és Telekommunikációs Ügynökség) munkatársai fejlesztették ki jó minőségű, költség-hatékony IT szolgáltatások támogatása céljából. Az ITIL a szolgáltatás menedzsment funkcióinak megvalósítását írja le, azok teljes életciklusával: tervezés, bevezetés, működtetés és újabb szolgáltatás bevezetése.

    Az ITIL olyan következetes és átfogó dokumentáció, amely az informatikai iparágban elfogadott eljárások és a példaértékű gyakorlati módszertanok (best practices) gyűjteményét tartalmazza az informatikai szolgáltatások menedzselésének területén. Napjainkra - a kapcsolódó szakirodalomban található útmutatások alapján - egy teljes körű ITIL-filozófia fejlődött ki, amely megfelelő irányvonalat nyújt a minőségi informatikai szolgáltatások biztosításához.

    BS 7799-1 (ISO/IEC 17799:2000)

    A Common Criteria (ISO/IEC 15408:1999) mellett a másik nemzetközileg is elfogadott és elismert szabvány a Brit Szabványügyi Hivatal (BSI - British Standard Institute) által kiadott BS 7799.

    A BS 7799-1 (Code of practice for Information Security Management - Az információbiztonság menedzsmentjének gyakorlati kódexe) alapvetően abban különbözik a korábbi informatikai biztonsági ajánlásoktól, hogy a biztonsági követelményeket és intézkedéseket a szervezet üzleti céljaiból és stratégiájából vezeti le, és az eddig többségében termékorientált szemléletet, illetve az értékelési, tanúsítási és minősítési folyamatok meghatározását egy szervezeti szintű, informatikai biztonságmenedzsment központú szemlélet váltotta fel. A BS 7799 szabvány nem követelményeket ír elő, hanem - a minőségbiztosításra vonatkozó ISO 9000-es szabványokhoz hasonlóan - a teljes körű informatikai biztonság megteremtéséhez szükséges szervezési, szabályozási szempontrendszert adja meg.

    BS 7799-2

    Az 1995-ben megjelent BS 7799 felépítésével és tartalmával kapcsolatban a szabványt alkalmazni próbálók közül sokan érezték úgy, hogy a benne foglaltak nem tesznek eleget az elvárásaiknak. 1998-ban, az első rész kiegészítéseként jelent meg a BS 7799-2, amely "Az információbiztonság menedzsment rendszerének specifikációja" (Specification for Information Security Management Systems) címmel került kiadásra.

    A BS 7799 2. része jelenleg brit szabvány, amelyet azonban már néhány európai ország (pl.: Norvégia és Svájc), és néhány nemzetközi pénzintézet is alkalmaz.

    A BS 7799 2. része elsősorban a szervezetek menedzsmentje részére fogalmaz meg követelményeket az Információbiztonság Menedzsment Rendszer (ISMS - Information Security Management System) megvalósítására és dokumentációs rendszerére vonatkozóan, valamint - átfogó kockázatelemzésre épülő - szervezeti szintű informatikai biztonsági intézkedéseket ajánl.

    ISO 9000-3

    A legnehezebben kezelhető terület a szabványosítás szempontjából a szoftverfejlesztés és karbantartás. Azért van ez így, mert a szoftverfejlesztés és -karbantartás folyamata jelentősen eltér a legtöbb ipari termék hasonló folyamatától. Mivel nagyon gyorsan fejlődő technológiai területről van szó, ezért szükséges kiegészítő útmutatást adni minden olyan minőségügyi rendszer számára, amelyben szoftvertermékek is vannak.

    A szoftverfejlesztés természetéből adódóan bizonyos tevékenységek a fejlesztés egyedi fázisaihoz kapcsolódnak csupán, míg mások annak teljes folyamatában alkalmazhatók. Az ISO 9000-3 szabvány előírásainak szerkezeti felépítése tükrözi az említett különbségeket. Így e szabvány szerkezetileg nem felel meg pontosan az ISO 9001 szabvány felépítésének, ezért kereszthivatkozásokkal látták el, amelyek megkönnyítik az ISO 9001 szabványra való hivatkozást.

    COBIT 3

    A Common Criteria és a BS 7799 mellett az ISACA (Information Systems Audit and Control Association - Nemzetközi Informatikai Auditorok Egyesülete) által kidolgozott COBIT (Control Objectives for Information and Related Technology) a harmadik olyan nemzetközi szabvány, amely alapján az informatikai rendszerek fejlesztését és biztonságosabbá tételét meg lehet valósítani.

    A COBIT a nemzetközileg elfogadott informatikai kontroll célok olyan gyűjteménye, amely általánosan alkalmazható és elfogadott az informatikai biztonsági ellenőrzés és szabályozás területén.

    A COBIT kialakításakor elsősorban három különböző szakmai csoport szempontrendszerét vették figyelembe:

  • A felső vezetésnek a folyamatosan változó informatikai környezet kockázatkezelésében, a kontrollok kialakításához szükséges beruházások mérlegelésében nyújt segítséget.
  • A felhasználók számára biztosítja az informatikai szolgáltatások kontrollját és biztonságát.
  • Az információrendszer ellenőrök számára pedig a belső kontrollok minősítéséhez, illetve a vezetés által megkívánt véleményezési, tanácsadói munkához teremti meg az egységes alapot.

    A következő számban az informatikai rendszereket fenyegető veszélyekről lesz szó.