EBIB 
Nr 5/2005 (66), Filtrowanie, kontrola i ochrona sieci. Artykuł
 Poprzedni artykuł Następny artykuł   

 


Leszek Grocholski
Instytut Informatyki
Uniwersytet Wrocławski

Andrzej Niemiec
PRIM Sp. z o.o.

Norma PN I BS 7799-2:2004 Systemy zarządzania bezpieczeństwem informacji
Omówienie


Wstęp

Obecnie prawie wszystkie firmy i instytucje w swojej działalności wykorzystują systemy informatyczne. Bardzo często awaria systemu informatycznego oznacza czasowe uniemożliwienie ich funkcjonowania. Trwała utrata informacji przechowywanych na nośnikach może oznaczać dla firmy poważne kłopoty czy nawet zagrożenie istnienia. Z kolei udostępnienie danych podlegających ochronie prawnej wiąże się z koniecznością tłumaczenia się kierownictwa firmy i ustawowo przewidzianymi karami. Przechowywana w firmach i instytucjach informacja posiada konkretną wartość:

  1. konkretną - przykładowo na "czarnym rynku" za określoną kwotę można kupić listy klientów firm i instytucji;
  2. trudniejszą do wyliczenia, ale również bardzo istotną: społeczną, polityczną, historyczną, itd. itp.

O tym, które informacje świadomie lub nieświadomie są udostępniane i komu są udostępniane, decydują pracownicy firmy. Udostępnienie czy też stworzenie warunków dostępu do informacji osobom do tego nieupoważnionym, może mieć dla danej instytucji - dla której informacja ma konkretną wartość, lub która z mocy prawa musi dbać o jej ochronę - bardzo przykre konsekwencje. Dlatego instytucje, w których dochodzi do wycieku informacji często starają się ten fakt ukryć lub jak najmniej o tym fakcie mówić, a osoby odpowiedzialne nie przyznają się do winy.

Widząc wagę problemu, światowe instytucje stworzyły normę, która obowiązuje na całym świecie i która od 4 lutego 2005 r. pod nazwą PN I BS 7799-2:2004 - Systemy Zarządzania Bezpieczeństwem Informacji obowiązuje również w naszym kraju.

Artykuł krótko przedstawia historię, zakres i wyniki wdrożenia normy.

Historia normy

Współcześnie ochrona informacji pojmowana jest jako zagadnienie integrujące wiele dziedzin - od analizy celów biznesowych, poprzez zagadnienia typowo informatyczne aż do skomplikowanych ubezpieczeń i zagadnień prawnych. Rozpoczynając prace nad wprowadzeniem zasad bezpieczeństwa informacji w firmach należy rozpocząć od zapoznania się z normami przedmiotu.

Prace nad normą zaczęły się w Wielkiej Brytanii pod koniec lat 80. - w 1989 r. opublikowano BS PD 0003 A code of practice for information security management. W roku 1995 została ona wydana ponownie jako BS 7799.

Pierwszą normą międzynarodową w zakresie ochrony informacji była ISO IEC 17799 Information Technology - Code of Practice for Information Security Management z roku 2000. Norma ta jest zaakceptowaną przez ISO i IEC normą brytyjską BS 7799-1 z roku 1999. Norma ISO IEC 17799 została przetłumaczona przez PKN w 2003 r. jako PN ISO/IEC 17799 Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji. Obecnie prowadzone są prace nad wprowadzeniem zmian w tej normie. Norma ta zawiera opisy i zalecenia (should do) dla stosowania najlepszych praktyk z zakresu bezpieczeństwa informacji oraz szeroki zestaw proponowanych zabezpieczeń. Jako taka, nie może być podstawą do certyfikowania systemu zarządzania bezpieczeństwem informacji. Wytyczne do certyfikacji daje druga część tej normy BS 7799-2:1999 Information security management systems - Specification with guidance for use. Nowa rewizja standardu powstała w 2002 roku, i ta wersja służyła jako wyjściowa do przetłumaczenia na język polski i opublikowania jej jako PN I BS 7799-2:2004 Systemy zarządzania bezpieczeństwem informacji - Wymagania i wytyczne do użytkowania. Czytając obie te normy i proponowane w nich zabezpieczenia należy zwrócić uwagę na mnogość stosowanych zabezpieczeń i być świadomym tego, że każde z tych zabezpieczeń było kiedyś ominięte w celu wyrządzenia szkód, a wiele z zabezpieczeń nie jest stosowanych, mimo że są wyraźne do tego wskazania, a koszty ich wdrożenia nie są zbyt wysokie.

Norma systemu zarządzania bezpieczeństwem informacji Norma systemu zarządzania jakością Przeznaczenie
BS 7799-1-> PN I BS 7799 ISO 9001:2000 możliwość ustalenia zgodności systemu zarządzania z wymaganiami
BS 7799-1:2000-> ISO IEC 17799-> PN ISO IEC 17799 PN ISO 9004:2000 dobre praktyki, wytyczne i wskazówki

Zakres normy PN I BS 7799-2:2004

Norma wskazuje na konieczność procesowego i systemowego podejścia do zarządzania bezpieczeństwem informacji. Podejścia systemowego - tj. takiego, aby procesy się wspomagały i uzupełniały, tworzyły spójny, logicznie działający i doskonalący swą sprawność system.

Przez długi czas informatycy przekonywali, że bezpieczeństwo informacji jest zagadnieniem informatycznym. Nic bardziej mylnego. Informatycy starali się wymyślić najlepsze ich zdaniem zabezpieczenia dla oprogramowania i sprzętu. Technika informatyczna ma swój udział w zapewnieniu bezpieczeństwa informacji, ale na nic stosowanie zaawansowanego szyfrowania, jeżeli kierownictwo firmy rozochocone sukcesem i alkoholem opowiada o tajemnicach klienta. Również najlepsze zamki i identyfikatory w elektronicznych bramkach nie pomogą, jeżeli pracownik ochrony fizycznej zarabia 580 zł miesięcznie. Trzeba było długiego czasu, wielu spektakularnych procesów związanych z bezpieczeństwem informacji aż biznes przekonał się, że za zapewnienie bezpieczeństwa odpowiada cała firma.

Jedną z zasług przestępców kradnących dane z komputerów było uświadomienie roli socjotechniki w procesach zdobywania informacji. Nawet najlepsze techniczne systemy zabezpieczeń nie były odporne na uczucia (miłość, wstyd), głupotę lub żądze władzy i pieniędzy.

Dobrze radzą sobie z ochroną informacji wojsko, policja i dyplomacja. Zupełnie źle - służby państwowe, służba zdrowia itp. O dziwo, we współczesnym skomputeryzowanym świecie świetnie sprawdza się stary system sprawdzonych tajnych kancelarii. Oczywiście o ile po wyjściu z tajnej kancelarii poseł nie ogłosi dziennikarzom, co widział... Brakuje kultury zapewnienia bezpieczeństwa informacji, zachowania wiedzy przy sobie. Z drugiej strony, zbyt restrykcyjne zasady dotyczące bezpieczeństwa informacji albo ich brak, w olbrzymim stopniu utrudniają sensowną działalność biznesową - brak jasnych reguł dostępu do danych sprawia, że pracownicy tracą czas na zdobywanie informacji, którą powinni posiadać a inni marnują swój wysiłek na ukrywanie informacji, która już od dawna jest powszechnie znana.

Normatywna definicja zapewnienia bezpieczeństwa informacji wymaga, aby zapewnić:

  • dostępność informacji;
  • integralność informacji;
  • poufność informacji.

Za powyższe cechy odpowiadają różne sfery w organizacji.

Dostępność to cecha wskazująca, że tylko upoważnieni użytkownicy mają dostęp do informacji oraz związanych z nimi środków, kiedy zachodzi taka potrzeba. Za dostępność zasobów odpowiadają działy informatyki i biznesowe.

Zadaniem (najczęściej) informatycznym jest zachowanie integralności (spójności) danych - zabezpieczenie dokładności i kompletności informacji oraz metod ich przetwarzania.

Poufność to zapewnienie, że do informacji mają dostęp wyłącznie upoważnione osoby - jest zagadnieniem organizacyjnym. Należy określić strukturę, przypisać odpowiedzialność i uprawnienia do dostępu do danych.

Podczas opracowywania i eksploatowania systemu informatycznego konieczne jest zapewnienie współpracy kierownictwa firmy z prawnikiem, brokerem ubezpieczeniowym, działem kadr, informatyki, działami biznesowymi, ochroną i utrzymaniem ruchu. Wskazane jest również zapewnienie pomocy konsultantów i audytorów zewnętrznych. Można obawiać się, że takie podejście jest nie do wykonania w małej firmie. Ale z drugiej strony, właśnie małe firmy mogą przechowywać informacje o wielkiej wadze, a być szczególnie podatne na penetrację. Agencja reklamowa dysponuje wiedzą o planowanych działaniach marketingowych swoich klientów. Konkurencja klienta może być zainteresowana zdobyciem takich danych. Kancelaria prawna lub biuro tłumaczeń mogą dysponować umowami, których opublikowanie może być bardzo niekorzystne dla klientów. Zwłaszcza w takich firmach przekonanie klientów, że informacje im powierzone są bezpieczne, może stanowić o sukcesie lub upadku. Jesteśmy już przyzwyczajeni do pewności informacji powierzonych bankom. Wydaje się, że zachowanie bezpieczeństwa informacji w innych organizacjach jest obecnie jednym z najważniejszych wyzwań. Warto też przemyśleć, czy istnieje oferta ubezpieczycieli na okoliczność utraty bezpieczeństwa informacji w organizacji.

Oczekiwania dotyczące systemu zarządzania bezpieczeństwem informacji

Mówiąc o systemie zarządzania bezpieczeństwem informacji oczekujemy, że:

  1. kierownictwo firmy określi cele ochrony;
  2. różne działy zidentyfikują otoczenie prawne;
  3. ludzie zostaną poprawnie dobrani i należycie przeszkoleni;
  4. sprzęt i oprogramowanie będą spełniały odpowiednie wymagania określone przez kierownictwo i wymuszone przez umowy;
  5. będą stosowane dobre praktyki z zakresu bezpieczeństwa informacji;
  6. będą stosowane(!) odpowiednie zabezpieczenia fizyczne, informatyczne i organizacyjne;
  7. zmiany będą wprowadzane planowo a ich wprowadzanie uwzględni wymagania bezpieczeństwa;
  8. system będzie stale dostosowywany do zmieniających się zagrożeń.

Obszary, na których powinna być skupiona uwaga to:

  • organizacja i procesy biznesowe;
  • pewni pracownicy;
  • uzasadniony dostęp do danych;
  • sprawdzone pod względem bezpieczeństwa aplikacje, systemy operacyjne i sprzęt.

Norma PN I BS 7799-2 jest w swojej konstrukcji zbliżona do ISO 9001. W praktyce w firmach posiadających wdrożony system zarządzania jakością zgodny z wymaganiami ISO 9001 wdrożenie systemu zarządzania bezpieczeństwem informacji jest stosunkowo proste i wymaga wprowadzenia zmian w dokumentacji wynikających z przeglądu i analizy ryzyka występującego w firmie. Zwykle do uzupełnienia jest księga jakości, która powinna zmienić nazwę na księgę zintegrowanych systemów zarządzania. Procedury nadzoru nad zapisami i nad dokumentacją powinny zostać uzupełnione o aspekty bezpieczeństwa, podobnie jak procedury działań korygujących i zapobiegających. Zasadnicze wymaganie normy PN I BS7799-2 brzmi: "Instytucja powinna:

  • ustanowić i zarządzać,
  • wdrożyć,
  • utrzymać i
  • stale doskonalić

udokumentowany System Zarządzania Bezpieczeństwem Informacji w kontekście całościowych działań biznesowych i ryzyka występujących w instytucji."

Spełnienie tego wymagania związane jest z określeniem podstawowych zasad bezpieczeństwa informacji obowiązujących w firmie i zasad szczegółowych (dotyczących m.in. korzystania ze sprzętu, oprogramowania, sieci lokalnej i sieci publicznej, znakowania dokumentów itp.). Dodatkowym dokumentem, którego nie ma w ISO 9001:2000, jest dokument deklaracji stosowania. Deklaracja stosowania określa, jakie zabezpieczenia są stosowane. Koncepcja normy PN I BS 7799-2 jest prosta: kierownictwo uzupełnia dokumentację systemów zarządzania o aspekt bezpieczeństwa informacji, prowadzi stałą analizę ryzyka a w oparciu o jej wyniki zobowiązuje się (w deklaracji stosowania) do wdrożenia wybranych w wyniku analizy ryzyka zabezpieczeń.

Analiza ryzyka i identyfikacja zagrożeń

Analiza ryzyka wymaga systematycznego podejścia, określenia tego, co nam zagraża, oszacowania potencjalnych strat, wynikających z wystąpienia niekorzystnego zdarzenia, i podania postępowania: co robić, jeżeli zdarzenie wystąpi, i co możemy zrobić, aby zdarzenie nie miało miejsca. Analiza ryzyka powinna być związana z wartością chronionych zasobów - koszty ochrony powinny być związane z wartością chronionych aktywów.

Jednym z większych problemów jest sprawdzanie i zachowywanie dowodów incydentów. Wiadomo, że w przypadku wystąpienia incydentu bezpieczeństwa, sprawa może się skończyć po pewnym czasie w sądzie. Konieczne jest więc zachowanie dowodów. Zachowanie dowodów związane jest z dużą odpowiedzialnością tych, którzy je przechowują, a także z zachowaniem mocy dowodowej zabezpieczonych materiałów.

Rezultaty wdrożenia normy

Wynikami wyartykułowania i wdrożenie polityki bezpieczeństwa wg normy PN I BS 7799-2:2004 jest szereg dokumentów opisujących plany i procedury praktycznej ochrony informacji wśród których najważniejsze to:

  • dokument główny opisujący cele i strategie ochrony informacji;
  • dokument opisujący szczegółowe zasady i wytyczne:
    • osoby i komórki odpowiedzialne za bezpieczeństwo informacji,
    • ocena wartości gromadzonych informacji,
    • zasady współpracy z zewnętrznymi ekspertami z zakresu bezpieczeństwa informacji,
    • zasady zatrudniania i weryfikacji pracowników na stanowiska związane z przetwarzaniem informacji o specjalnym znaczeniu dla przedsiębiorstwa,
    • polityka rozwoju systemu informatycznego,
    • technologia ochrony kryptograficznej przedsiębiorstwa,
    • plan zarządzania zmianami,
    • plan postępowania w sytuacji awaryjnej,
    • plan odbudowy systemu informatycznego po awarii,
    • polityka ochrony danych osobowych i poufności korespondencji,
    • polityka komunikacji z firmami partnerskimi,
    • zarządzanie prawami dostępu do aplikacji, zasobów sieciowych i plików,
    • zasady fizycznego dostępu do sprzętu komputerowego i nośników danych,
    • scenariusze raportowania pracy systemu informatycznego,
    • zasady wykonywania kopii zapasowych,
    • zasady ochrony antywirusowej,
    • identyfikowanie i reakcja na naruszenie zasad bezpieczeństwa,
    • polityka zakupów sprzętu i współpracy z serwisem i suportem,
    • plany szkoleń dla pracowników;
  • dokumenty opisujące niezbędne:
    • procedury,
    • wytyczne,
    • regulaminy.

Niezbędnym elementem wdrażania polityki bezpieczeństwa są szkolenia wszystkich klas użytkowników i wprowadzanie poprawek do systemów.

Audyt bezpieczeństwa informacji

Oczywiście samo napisanie dokumentów opisujących plany i procedury ochrony informacji nie gwarantuje zwiększenia bezpieczeństwa. Ułomność natury ludzkiej: niechętne przyjmowanie zmian, lenistwo i trudności z przyznawaniem się do popełnianych błędów czy winy powoduje konieczność przeprowadzania audytów, co oczywiście norma PN I BS 7799-2:2004 podkreśla. W każdej instytucji, gdzie istotne są ochrona dostępu i bezpieczeństwo informacji powinna być osoba (pełnomocnik zarządu, oficer bezpieczeństwa, audytor wewnętrzny), odpowiedzialna za opracowanie odpowiednich procedur, a następnie monitorowanie ich stosowania.

Poleganie jedynie na osobach z firmy nie wystarcza z dwóch powodów:

  1. obrony własnych interesów (czy w którymś z ostatnich incydentów ktoś przyznał się do winy ? Najczęściej nikt - wszystko było w porządku);
  2. naturalnej i oczywistej niewystarczającej wiedzy (niemożliwe i niepotrzebne jest, aby w każdej instytucji pracowali specjaliści np. "antyhakerzy").

I tu dochodzimy do konieczności korzystania z audytów zewnętrznych, prowadzonych przez profesjonalistów. Należy zaznaczyć, że sami audytorzy jakości np. wg ISO 9001 nie wystarczą, gdyż mogą oni stwierdzić jedynie, czy przestrzegane są procedury. Żyjemy w czasach, kiedy każdy może kupić np. w EMPiK-u czasopismo czy książkę informatyczną i na podstawie wiedzy tam zawartej, próbować zaatakować sieć dowolnej firmy czy instytucji.

Internet jest w chwili obecnej m.in. skarbnicą wiedzy hakerskiej. Można w nim znaleźć szczegółowe opisy prostych i najbardziej wyrafinowanych ataków, czy nawet gotowe programy. Hakerzy są o tyle "otwarci", że lubią dzielić się swoimi technikami i osiągnięciami.

Praktyka pokazuje, że najlepsze wyniki daje uzupełnienie działań audytorów jakości, sprawdzających przestrzeganie procedur audytami bezpieczeństwa sieciowego przeprowadzanymi przez etycznych szpiegów informatycznych i hakerów. Wynika to z cech psychiki ludzkiej. Wszyscy, a w szczególności administratorzy i oficerowie bezpieczeństwa, będą lepiej pracowali, jeżeli będą wiedzieli, że ich szefowie wynajęli specjalistów, którzy w każdej chwili mogą starać się wykraść z firmy dane, zablokować serwer, zniszczyć zasoby, czy na stronie głównej organizacji umieścić zdjęcie pornograficzne (jeszcze pół biedy kiedy nie ma na nim znanych osób).

Zakończenie

W firmach i instytucjach konieczne jest zapewnienie "niezniszczalności" danych i ciągłego dostępu do przechowywanych informacji. Z drugiej strony wymagane jest zapewnienie dostępu do danych jedynie osobom do tego uprawnionym.

W przypadku systemów zarządzania bezpieczeństwem i ochroną informacji zakończenie pisane jest często przez samo życie. Tam, gdzie właściwe rozwiązania wdrożono odpowiednio wcześnie, są chwalebne wymierne wyniki; tam, gdzie zaniedbano ważne sprawy, zakończenie bywa smutne.

W cywilizowanym świecie już dawno zauważono wagę ochrony informacji i wprowadzono odpowiednie zalecenia i normy postępowania - jedną z nich - PN I BS 7799-2:2004 niedawno wprowadzono w Polsce.

Warto zwrócić uwagę na fakt, że podejmując działania związane z bezpieczeństwem informacji, nie musimy wdrażać wszystkich wymagań normy PN I BS 7799-2 i certyfikować systemu na zgodność z jej wymaganiami, wystarczy tylko przyjąć najbardziej właściwe z nich, a już wtedy nastąpi podwyższenie poziomu bezpieczeństwa i sprawności pracowników.

Każda organizacja powinna stosować własną politykę bezpieczeństwa i ochrony danych, która określa w firmie, jakie informacje i w jaki sposób należy chronić. Polityka bezpieczeństwa jest fundamentem, na którym należy stworzyć ogólną strategię bezpieczeństwa działalności. Na jej podstawie można podejmować decyzje o tym, ile i gdzie wydać na bezpieczeństwo. Zbyt często zdarzyło się bowiem, że organizacje wydawały pieniądze na ochronę aktywów, które nie wymagały ochrony, oszczędzając natomiast w obszarach potrzebujących zabezpieczeń. Polityka bezpieczeństwa stanowi też bazę, dzięki której można określić procesy i procedury ochrony danych. Polityka bezpieczeństwa musi się rozwijać wraz z rozwojem organizacji i uwzględniać nowe systemy i aplikacje informatyczne oraz ciągle pojawiające się nowe zagrożenia.

Decydentów, którzy są zatwardziałymi przeciwnikami wdrożenia omawianej normy prosimy o złożenie swoim organom nadzorczym na piśmie oświadczenia, że z niego rezygnują, gdyż posiadają całkowitą pewność co do tego, że do ich firmy/instytucji:

  • nigdy nie zapuka kolega dziennikarza Bronisława Wildsteina, ani
  • nie zaklika kolega słynnego hakera Dave'a Mitnicka oraz
  • że eksploatowany sprzęt komputerowy, w tym nośniki informacji, nigdy nie ulegną awarii.

 Początek strony



Norma PN I BS 7799-2:2004 Systemy zarządzania bezpieczeństwem informacji / Leszek Grocholski, Andrzej Niemiec// W: Biuletyn EBIB [Dokument elektroniczny] / red. naczelny Bożena Bednarek-Michalska. - Nr 5/2005 (66) maj. - Czasopismo elektroniczne. - [Warszawa] : Stowarzyszenie Bibliotekarzy Polskich KWE, 2005. - Tryb dostępu: http://www.ebib.pl/2005/66/norma.php. - Tyt. z pierwszego ekranu. - ISSN 1507-7187