International magazine for security engineering

Security Revue

July 3rd, 2008 at 15:02

Prehľad metodík, metrík a kritérií hodnotenia efektívneho ISMS. Časť I.

in: Information Security

napísal Ing. František KALUŽA, Katedra bezpečnostného manažmentu, Fakulta špeciálneho inžinierstva,ŽU v Žiline, email: kaluza@vuje.sk

ÚVOD
V zásade platí, že so zvyšujúcim sa objemom a zložitosťou strojového spracovania informácií sa zvyšujú nároky na úspešné riadenie a bezpečnostný prehľad. Ďalej platí zásada, že informačná bezpečnosť nie je úlohou pre 1 zamestnanca, príp. 1 procesu ale je to komplexná činnosť spoločnosti ako celku, do ktorej sa zapájajú a sú ovplyvnené všetky zložky. So zvyšovaním objemu a náročnosti informačnej bezpečnosti rastú nároky na jej efektivitu a riadenie. Za základ fungujúceho riadenia informačnej bezpečnosti preto možno považovať zvládnutie 3 základných podmienok:

  • dobré pochopenie princípov, spôsobu riadenia a implementácie štruktúr riadenia informačnej bezpečnosti s použitím metodík informačnej bezpečnosti,
  • efektívne meranie, vyhodnocovanie a odstraňovanie nedostatkov informačnej bezpečnosti s použitím kritérií hodnotenia informačnej bezpečnosti jednotlivých systémov.
  • efektívne meranie, vyhodnocovanie a odstraňovanie nedostatkov informačnej bezpečnosti s použitím metrík informačnej bezpečnosti ako celku.

Pokiaľ chceme úspešne riadiť informačnú bezpečnosť spoločnosti, je pre nás taktiež nevyhnutné vychádzať z rôznych podmienok a vplyvov na spoločnosť, ktoré sú východiskom pre určenie spôsobu riadenia. Logickým východiskom je realizácia informačnej bezpečnosti prepletením implementácie v rôznych pracovných štruktúrach spoločnosti ovplyvňujúcich jej fungovanie. Toto nie je možné prepájaním normatívnej oblasti informačnej bezpečnosti s ostatnými oblasťami priamo ovplyvňujúcimi jej fungovanie.

1. METODIKY - NORMY INFORMAČNEJ BEZPEČNOSTI
Metodika predstavuje vlastne spôsoby, ktorými sa máme pri riešení informačnej bezpečnosti riadiť, súčasťou metodík bývajú zväčša “best practices”, t.j. zoznamy najlepších praktických skúseností, ktoré možno reálne pri aplikácii metodík využiť. Postupne si ozrejmíme najznámejšie metodiky riešenia informačnej bezpečnosti najčastejšie využívané našom národnom prostredí.

1.1 ISO/IEC 20000: IT service management (ITSM)
ITSM predstavuje definovanie procesov, ktoré by mali byť v podniku implementované za účelom zaistenia trvale kvalitnej dodávky IT služieb pri vynaložení optimálnych nákladov. Jedná sa preto hlavne o optimalizáciu a znižovanie nákladov na IT procesy. ITSM pritom definuje činnosti ICT ako služby. Jedná sa pritom aj o interné prostredie spoločnosti, kde sú činnosti ICT chápané ako režijná činnosť. Predpokladom ITSM je rozumieť tomu, čo je požadované, t. j. rozumieť podnikovým cieľom a stratégii a poznať obchodné procesy, z ktorých sa vychádza. Nevyhnutnosťou je komunikovať s odberateľom služieb (či už interným, príp. externým) a aktívne s ním komunikovať o všetkých aktivitách súvisiacich s poskytovaním IT služieb.
Je to metodika, ktorá je nadriadenou pre normy informačnej bezpečnosti, dáva im teoretické východiská a smerovanie. Základom noriem sú štandardy vyvíjané britským štandardizačným inštitútom, normy radu ISO/IEC 20000 boli pôvodne britským štandardom BS 15000. V súčasnosti je ITSM uvedený v normách:

ISO/IEC 20000-1:2005 – IT service management - Part 1: Specification for service management: zväzok slúži pre oblasť riadenia informačnej bezpečnosti ako integrovanej súčasti celého procesu riadenia IT služieb. Obsahom zväzku je:

  • popis organizácie a riadenia bezpečnosti ICT infraštruktúry z pohľadu IT manažéra;
  • popis procesu plánovania a riadenia definovanej úrovne bezpečnosti informácií a IT služieb vrátane všetkých aspektov súvisiacich s reakciou na bezpečnostné incidenty.

Zväzok definuje nasledujúce oblasti:

  • Plánovanie a implementácia riadenia služieb,
  • Požiadavky na systém riadenia,
  • Plánovanie a implementácia nových servisných zmien,
  • Procesy dodávky služieb,
  • Procesy kontroly,
  • Vzťahové procesy,
  • Procesy rozhodovania.

ISO/IEC 20000-2:2005 – IT service management - Part 2: Code of practice for service management: najlepšie praktiky pre riadenie služieb. Zväzok definuje nasledujúce oblasti:

  • procesy dodávky služieb,
  • vzťahové procesy,
  • procesy rozhodovania,
  • procesy kontroly,
  • procesy riadenia odovzdávok.

ITIL Infrastructure Library. Nie je metodika v pravom slova zmysle, je to rámec pre návrh procesov ITSM založených na najlepších skúsenostiach z praxe (ITIL ponecháva veľkú voľnosť pri implementácii procesov). Knižnica ITIL je z dôvodu väčšej prehľadnosti rozdelená na zväzky. Takto poskytuje komplexnejší pohľad na modely riadenia informačných systémov spoločností. 2 základné publikácie ITIL:

  • Service Delivery (Dodávka služieb): špecifikuje vzájomne previazané procesy, ktorých implementácia je základom zvládnutia dodávky a realizácie podnikových informatických služieb. Jedná sa o procesy: Riadenia a poskytovania služieb, Plánovania servisných kapacít, Riadenia prevádzkovania IS, Riadenia dostupnosti služieb, Finančného riadenia poskytovania služieb.
  • Service Support (Podpora služieb): špecifikuje vzájomne previazané procesy, ktorých implementáciou sa vytvoria vhodné doplnkové podmienky realizácie procesov uvedených v procese dodávky služieb. Jedná sa o procesy: Konfiguračný manažment, Pravidlá na odstraňovanie problémov / porúch, Riadenie zmien, Servisná podpora a help desk, Riadenie údajov a jednotlivých verzií údajov v IS.

Obrázok-schéma 1: Vzťah jednotlivých častí normy ITSM [zdroj:11]

1.2 ISO 15489 Riadenie záznamov
Ako samotný názov napovedá, jedná sa o riadenie v oblasti spracovania záznamov spoločnosti. Pod pojmom spracovanie pritom možno nazvať akúkoľvek činnosť so záznamom (informáciou) od času jej vzniku po jej zánik. Štandard má 2 časti:

  • Časť 1- všeobecná: popisuje sústavu úrovní ukladania a poukazuje na špecifické prínosy riadenia záznamov, regulačné opatrenia ovplyvňujúce operácie riadenia záznamov, prideľuje zodpovednosti za ukladanie, ale taktiež stanovuje požiadavky za riadenie záznamov, špecifiká pre systémy úschovy a aktuálne procesy spojené s riadením záznamov (úschova záznamu, ukladanie, prístup). Tak isto pojednáva o audite riadenia záznamov a požiadavkách na tréning zamestnancov.
  • Časť 2- metodické pokyny: zaoberá sa praktickými ukážkami pre udržanie zhody riadenia záznamov. Poskytuje podrobné postupy k realizácii elektronických záznamov a ich riadeniu.

V oblasti informačnej bezpečnosti existuje ešte množstvo ďalších metodík, pre základné pochopenie potreby riadeného prístupu riešenia informačnej bezpečnosti však nie sú priamo potrebné. Metodiky sa zameriavajú skôr na špecifické manažérske a technické oblasti informačnej bezpečnosti akými sú napr. riadenie auditu, kryptografické techniky, bezpečná komunikácia v sieti, zálohovanie a ochrana dát, a ďalšie. Medzi dôležité metodiky v tejto oblasti patria nasledovné:

  • ISO/IEC17021: Hodnotenie zhody – Požiadavky na orgány vykonávajúce audit a certifikáciu manažérskych systémov. Norma je odkazovaná normou ISO/IEC 27006.
  • ISO/IEC TR 18044 Riadenie bezpečnostných udalostí (incidentov). Vysvetľuje najlepšiu prax v oblasti procesov riadenia bezpečnostných udalostí pre informačnú bezpečnosť a systémových manažérov. Štandard poukazuje na výhody riadenia incidentov, príklady incidentov a spôsoby možného riešenia, prehľady plánovania a dokumentácie potrebnej k zvládnutiu dobrej štruktúry manažmentu bezpečnostných udalostí.
  • ISO/IEC 19770 Riadenie softvéru. Norma podporuje implementáciu integrovaného súboru procesov riadenia softvérových aktív a softvérových práv, použitie dobrej praxe nakladania so softvérom.

1.3 PAS 56 (Publicly Accessible Specification 56)
Verejne prístupná špecifikácia 56 bola vytvorená ako Sprievodca manažmentu BCM (Business Continuity Management) obchodnej kontinuity činnosti Britským štandardizačným inštitútom a Britským inštitútom kontinuity. Bola nahradená Britským štandardom BS 25999, časť 1. PAS 56 popisuje jednotlivé fázy, činnosti a výstupy, ktoré sú súčasťou procesu zavádzania BCM v organizácii. Poskytuje doporučenia a postupy pre tvorbu plánov krízového riadenia (CMP-Crisis Management Planning), plánov kontinuity (BCP- Business Continuity Planning) a obnovy kritických činností (DRP- Disaster Recovery Planning) v prípade bezpečnostného incidentu, príp. havárie a výpadku základných zdrojov funkčnosti.

1.4 ISO/IEC 2700x: Informačné technológie, Zabezpečovacie techniky
Normy tohto radu sú v súlade s normou ISO/IEC 20000, pričom konkretizujú činnosti ICT v oblasti informačnej bezpečnosti a jej riadenia. Základom normy sú štandardy vyvíjané opäť britským štandardizačným inštitútom, ktoré sa v súčasnosti postupne zapracovávajú do sústavy ISO/IEC. V štandardizačnom systéme sa tejto norme venuje spoločná komisia ISO a IEC s názvom JTC1, pod ktorou pôsobí podvýbor SC27. Aktuálny stav jednotlivých častí normy v národnom prostredí:

  • STN ISO/IEC 27001: - už vydaná ako STN – Systémy manažérstva informačnej bezpečnosti (ISMS – Information security management system): často sa používa v spojení s COBIT. Uvádza a popisuje základný model ISMS – PDCA (plan-do-check-act),
  • ISO/IEC 27002: - zatiaľ je vydaná ako STN ISO/IEC 17799 – „best practices“ Pravidlá dobrej praxe manažérstva informačnej bezpečnosti,
  • ISO/IEC 27006: vydané ako požiadavky pre spoločnosti vykonávajúce audit a certifikáciu ISMS.

Pripravované normy:

  • ISO/IEC 27003: ku koncu roka 2008 má byť norma vydaná ako implementačná smernica pre ISO/IEC 27001,
  • ISO/IEC 27004: štandard na meranie, vyhodnocovanie ISMS (ako metrika),
  • ISO/IEC 27005: štandard pre manažment rizík v ISMS, vydaný ako revízia ISO IEC TR 13335-3,
  • ISO/IEC 27007: metodika pre audit ISMS – doplnok ISO/IEC 27006.

Na základe sledovania možno s veľkou pravdepodobnosťou do budúcnosti predpokladať, že budú všetky významné štandardy v použiteľnosti postupne vytláčané rodinou ISO/IEC 2700x. Tieto sú totižto na najlepšej ceste k špecifikácii všetkých podstatných oblastí riadenia informačnej bezpečnosti (riadenie, procesy, metriky, audit) minimálne v európskom merítku. Veľkou výhodou je aj súlad noriem s rady normami ISO 9000 a ISO 14000, čo umožňuje zavádzať a certifikovať procesy riadenia informačnej bezpečnosti v už existujúcom normatívnom prostredí. Ostatným štandardom totižto táto komplexnosť chýba.

1.5 ISO/IEC 13335 - Informačné technológie (IT) – Smernice pre riadenie bezpečnosti IT
Je to metodika, ktorá dlhodobejšie figuruje v riešení informačnej bezpečnosti, najmä jej projektovej oblasti. Norma je preto odporúčaná v projektoch na ochranu osobných údajov, projektoch jednotlivých oblastí ochrany utajovaných skutočností, ale aj v iných zákonmi nešpecifikovaných oblastiach. Nevýhodou normy je najmä to, že sa ako technická špecifikácia zameriava len na riešenie IT bezpečnosti, čo znamená síce podstatnú časť informačnej bezpečnosti, ale rozhodne nie celú jej oblasť. V súčasnosti je preto norma používaná ako doplnok k iným normám. Norma obsahuje 5 častí:

  • ISO/IEC TR 13335-1: Poňatie a modely bezpečnosti IT: táto časť sa zaoberá definovaním pojmov, modelov a vzťahov IT bezpečnosti k iným oblastiam IT,
  • ISO/IEC TR 13335-2: Riadenie a plánovanie bezpečnosti IT: popisuje riadiace a plánovacie aspekty. Tieto aspekty majú význam pre manažérov so zodpovednosťami súvisiacimi so systémami IT v spoločnosti.
  • ISO/IEC TR 13335-3: Techniky pre riadenie bezpečnosti IT: popisuje bezpečnostné techniky vhodné pre použitie pracovníkmi, ktorý sú zapojený do manažérskych činností v priebehu celého životného cyklu projektového riešenia informačnej bezpečnosti: plánovanie, návrh, implementácia, testovanie, získavanie alebo prevádzka. Predstavuje základ pre pochopenie procesného a projektového prístupu riešenia informačnej bezpečnosti a tým aj celej ISMS.
  • ISO/IEC TR 13335-4: Výber ochranných opatrení: poskytuje návod na výber ochranných opatrení a na to, ako môže byť tento výber uľahčený použitím základných modelov a kontrolných opatrení. Popisuje taktiež, ako tieto modely a kontrolné opatrenia doplňujú bezpečnostné techniky, popísané v časti 3 a ako tieto dodatočné hodnotiace metódy môžu byť použité pre výber ochranných opatrení.
  • ISO/IEC TR 13335-5: predstavuje návod pre bezpečné pripojenie IT systémov k externým sieťam. Smernica zahŕňa výber a použitie ochranných opatrení k zaisteniu bezpečnosti pripojenia + služieb podporovaných týmito pripojeniami a dodatočné opatrenia pre systémy IT, ktoré budú pripojené.

1.6 ISO/IEC 18028 IT Sieťová bezpečnosť
ISO/IEC 18028 je štandard zložený z 5 častí, ktorý vyplýva zo štandardu ISO/IEC 27002 a bližšie špecifikuje jeho časti 10.6 a 11.4 a rozširuje ustanovenia riadenia IT bezpečnosti ustanovené v štandarde ISO/IEC 13335. Norma podrobne špecifikuje operácie a mechanizmy potrebné k implementácii sieťovej bezpečnosti kontrolou a bezpečnosťou v širšom merítku sieťového prostredia, v prípade spojenia medzi celkovým riadením IT sieťovej bezpečnosti a technickou implementáciou IT sieťovej bezpečnosti. S normou priamo súvisí norma ISO/IEC 27033, ktorá vo svojich súčasných 7 častiach pojednáva bližšie o jednotlivých častiach normy ISO/IEC 18028.

2. KRITÉRIA HODNOTENIA SYSTÉMOVEJ INFORMAČNEJ BEZPEČNOSTI
Bez ohľadu na vrcholový procesný pohľad na informačnú bezpečnosť existuje hlbšia oblasť, ktorej je potrebné taktiež systematický prístup. Jedná sa o vývoj, obstarávanie a implementáciu samotných informačných systémov. Systematický prístup je možné riešiť prostredníctvom kritérií hodnotenia bezpečnosti samotných IS.
Ak chceme sledovať bezpečnosť IS musíme stanoviť, čo vy mal bezpečný informačný systém obsahovať:

  • POLITIC: Musí byť explicitne a presne definované za akých okolností môže nejaký subjekt pristupovať k nejakému objektu v systéme.
  • STAMPING: Každý objekt v systéme sa musí dať označiť bezpečnostnou značkou, ktorá určuje úroveň dôvernosti tohto objektu.
  • IDENTIFICATION: Každý subjekt musí byť jednoznačne identifikovateľný, tak aby mohol byť každý prístup k informáciám autorizovaný na základe toho kto chce k informáciám pristupovať.
  • MONITORING: Bezpečný systém musí byť schopný zaznamenávať výskyt každej z bezpečnostného hľadiska relevantnej udalosti. Tento záznam musí byť chránený pred modifikáciou a neautorizovaným vymazaním.
  • ASSURANCE: IS musí obsahovať mechanizmy pomocou ktorých je možné dostatočne sa uistiť že systém zabezpečuje prvé štyri požiadavky.
  • SECURITY CONTINUITY: Bezpečný systém musí byť kontinuálne chránený.

Každé z uvedených kritérií je založené na danom základe, pristupuje však k hodnoteniu bezpečnosti IS vždy iným spôsobom.

2.1 TCSEC (Trusted Computer Systems Evaluation Criteria) - orange book [12] (USA)
Dané kritériá špecifikujú bezpečnosť počítačového systému ako jeho schopnosť zachovania dôvernosti údajov. V kritériu sa pozornosť zameriava ucelené počítačové systémy, jednotlivé komponenty nie sú hodnotené. Počítačové systémy sú hľadiska bezpečnosti rozdelené do 4 základných tried – A, B, C, D:

  • Trieda A - najvyššia úroveň sledovanej bezpečnosti = overená ochrana (A1-overená schéma), predstavuje systémy, ktorých dizajn a štruktúra bola formálne preverená,
  • Trieda B – obsahuje systémy s „advanced security functions“ Systémy musia používať popisky vo všetkých významných dátových štruktúrach. (B1 - Ochrana bezpečnostnými značkami, B2 - Štrukturovaná ochrana, B3 - Bezpečnostné domény),
  • Trieda C – obsahuje systémy, ktoré umožňujú základné bezpečnostné nastavenia (C1 - ľubovoľná bezpečná ochrana, C2 - Ochrana riadením prístupu),
  • Trieda D - zaraďujú sa sem systémy, ktoré pri overovaní na niektorú inú úroveň nevyhoveli, a teda táto trieda nemôže byť špecifikovaná ako cieľová úroveň pri návrhu a implementácii systému.

Uvedené triedy sa rozdeľujú ešte na 7 podtried: A1, B3, B2, B1, C2, C1 a D, pričom uvedené poradie reprezentuje klesajúce požiadavky na bezpečnosť. Filozofia bezpečnosti podľa TCSEC vychádza z predpokladu, že na bezpečnosti sa podieľajú rôzne bezpečnostné funkcie, ktorými je počítačový systém vybavený, ako aj kvalita realizácie systému, resp. jeho bezpečnostne relevantných častí. Pre zaradenie počítačového systému do jednej z uvedených tried je rozhodujúce, či spĺňa požiadavky kladené na túto triedu, pričom tieto požiadavky špecifikujú:

  • ktoré bezpečnostné funkcie by mali byť v systéme implementované,
  • kvalitu procesu návrhu, vývoja a implementácie systému,
  • rozsah a kvalitu testov, ktorými sa overujú vlastnosti systému,
  • kvalifikačné požiadavky na členov hodnotiteľského tímu.

2.2 ITSEC (Information Technology Security Evaluation Criteria) (G, F, NL, UK) [13]

ITSEC chápe bezpečnosť systému ako zachovanie atribútov dôvernosti, integrity a dosiahnuteľnosti údajov. Bezpečnosť objektu (môže ním byť ucelený systém, ako aj jeho jednotlivé komponenty – produkty) sa hodnotí podľa bezpečnostných funkcií, ktoré poskytuje, a podľa stupňa istoty v účinnosť týchto mechanizmov. V druhom prípade sa ešte rozlišuje medzi istotou v účinnosť bezpečnostných mechanizmov („sú postačujúce pre daný bezpečnostný cieľ?“) a istotou v správnosť ich návrhu a implementácie.

ITSEC nemá hierarchiu tried, ako je to v prípade TCSEC. Hierarchicky sú usporiadané len požiadavky na kvalitu návrhu a implementácie. Hodnotený produkt môže mať jednu či viac bezpečnostných funkcií, ale produkt nie je hodnotený „vyššie“ či „nižšie“ podľa toho, či má alebo nemá niektorú bezpečnostnú funkciu. Hodnotenie produktu podľa ITSEC jednoducho berie množinu bezpečnostných funkcií poskytovaných produktom ako danú a overuje proklamované vlastnosti produktu a posudzuje, či výber a realizácia bezpečnostných funkcií účinne realizuje bezpečnostný cieľ, ktorý je deklarovaný pre produkt.

Hodnotenie účinnosti, s akou sa dosahuje stanovený bezpečnostný cieľ, sa skladá z posúdenia:

  • či bezpečnostné funkcie produktu sú vhodné proti hrozbám, ktoré sú definované v bezpečnostných cieľoch produktu,
  • schopnosti bezpečnostných funkcií a mechanizmov vzájomne spolupôsobiť a vytvárať integrovaný celok,
  • odolnosti použitých bezpečnostných mechanizmov proti priamemu útoku,
  • či známe slabiny v konštrukcii produktu môžu v praxi znamenať zoslabenie jeho bezpečnosti,
  • či známe slabiny v spôsobe, akým má byť produkt použitý, môžu v praxi znamenať zoslabenie jeho bezpečnosti.

Za hlavný zdroj dôvery v správnosť implementácie bezpečnostných mechanizmov produktu pokladá ITSEC pochopenie, ako bol produkt vyvinutý, pričom sa pozornosť sústreďuje predovšetkým na proces vývoja a vývojové prostredie, ale tiež na prevádzkovú dokumentáciu a prevádzkové prostredie. ITSEC rozoznáva 7 tried, označených E0 až E6, ktoré reprezentujú stupňujúce sa nároky na používanie formálnych metód špecifikácie, verifikačných techník a ďalších prostriedkov, ktorých používanie je všeobecne akceptované ako príspevok k presvedčeniu o správnosti implementácie bezpečnostných mechanizmov produktu.

Aj keď ITSEC nerozdeľuje produkty do tak presne definovaných tried, ako je to v prípade TCSEC, hierarchia požiadaviek na kvalitu návrhu a implementácie produktu podľa ITSEC približne zodpovedá kvalitatívnej časti požiadaviek na triedy podľa TCSEC (E6 reprezentuje najvyššie požiadavky, obdobne ako A1).

2.3 CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) (Kanada)
CTPEC sú kombináciou ITSEC a TCSEC. Vývojom týchto kritérií začali vznikať Common Criteria.
Kritériá zobrazujú 2 typy požiadaviek:

  • Požiadavky na funkcionalitu, = kritériá orientované na 4 politiky: dôvernosť, integrita, dostupnosť, sledovateľnosť.
  • Požiadavky na zaistenie.

2.4 CC (Common Criteria) [13] (ISO)
V CC sa pojem bezpečnosť chápe nielen ako dôvernosť + integrita + dosiahnuteľnosť, ale zohľadňujú sa aj iné aspekty, ktoré sa nedajú jednoznačne zaradiť do jednej z týchto kategórií (napr. ochrana súkromia používateľov hodnoteného produktu). V Common Criteria sa používa aj nové štrukturovanie kritérií – zoskupovanie bezpečnostných požiadaviek na triedy, ktoré sa delia na rodiny, ktoré sa skladajú z komponentov:

  • Trieda (class) – spoločný bezpečnostný zámer, ale rozdielne pokrytie bezpečnostných cieľov.
  • Rodina (family) – spoločné ciele, rozdielny dôraz resp. rigoróznosť.
  • Komponenty (components) – v CC najmenšie zoskupenie bezpečnostných požiadaviek.

V CC sa kladie veľký dôraz na závislosti medzi jednotlivými komponentmi. Komponent obvykle nie je sebestačný a jeho účinnosť je podmienená prítomnosťou iného komponentu. Takéto závislosti od iných komponentov sú v CC povinnou súčasťou špecifikácií komponentov.

CC chápu bezpečnosť komplexne, čo sa prejavilo aj väčším rozsahom a vnútornou zložitosťou CC. Väčšia zložitosť CC je však vyvážená striktným používaním tzv. „protection profile“ (PP) ako spôsobu vyjadrenia súboru bezpečnostných požiadaviek pre špecifickú aplikačnú oblasť.

Proces hodnotenia pomocou CC je bohužiaľ dosť drahý (zložitý) a pomalý a preto sa používa zriedkavejšie. I tak je však vyspelejšou technikou ako ITSEC. CC sa skladajú z 3 častí:

  • Časť 1) definuje všeobecné pojmy a princípy hodnotenia IT bezpečnosti a prezentuje hlavné modely hodnotení.
  • Časť 2) stanovuje bezpečnostné funkčné požiadavky stanovením bezpečnostných funkčných komponentov ako štandardnej cesty vyjadrenia bezpečnostných funkčných požiadaviek pre ciele hodnotenia.
  • Časť 3) Požiadavky na bezpečnostné záruky stanovujúce súbor komponentov záruky ako štandardnej cesty vyjadrujúcej požiadavky záruky pre ciele hodnotenia.

V americkom a anglickom národnom prostredí existuje mnoho inštitútov zaoberajúcich sa aj informačnou bezpečnosťou (NIST, ANSI, DoD) a v tomto prostredí je využívaných množstvo ďalších noriem, inštrukcií, metrík kritérií (DOD 8500.2, DCID 6/3, FISCAM, SP 800-27, SP 800-42 a ďalšie [20]), ktoré sú však v našom národnom prostredí využívané ojedinele, príp. v špecifických prostrediach (napr. SOX).

Pre funkčnosť systémovej bezpečnosti spoločnosti môžeme zvoliť subjektívny prístup, príp. objektívny pomocou noriem, ktoré sú súčasťou mnohoročných skúseností špecialistov v jednotlivých oblastiach informačnej bezpečnosti a k nej príbuzných oblastí. Objektívne meranie má jednu veľkú výhodu: všetky normy sú zosúladené a ani jedna neodporuje svojím riešením druhej, čo je v prípade zložitých štruktúr a subjektívneho prístupu skoro nemožné.

LITERATÚRA

[1] ISO/IEC 27001: 2005: Informačné technológie – Zabezpečovacie techniky - Systémy riadenia informačnej bezpečnosti – Požiadavky
[2] ISO/IEC 17799: 2005: Informačné technológie – Zabezpečovacie techniky - Kódex praxe riadenia informačnej bezpečnosti
[3] ČSN ISO/IEC 13335 – 1: Informačné technológie - Smernice pre riadenie bezpečnosti IT
- Časť 1: Pojatie a modely bezpečnosti IT2
[4] ČSN ISO/IEC 13335 – 2: Informačné technológie – Riadenie a plánovanie bezpečnosti IT
[5] ČSN ISO/IEC 13335 – 3: Informačné technológie - Smernice pre riadenie bezpečnosti IT
- Časť 3: Techniky pre riadenie bezpečnosti IT
[6] ČSN ISO/IEC 13335 – 4: Informačné technológie - Smernice pre riadenie bezpečnosti IT
- Časť 4: Výber ochranných opatrení
[7] ČSN ISO/IEC 15408 – 1: Informačné technológie – Bezpečnostné techniky – Kritériá pre hodnotenie bezpečnosti IT – Časť 1: Úvod a všeobecný model
[8] ČSN ISO/IEC 15408 – 2: Informačné technológie – Bezpečnostné techniky – Kritériá pre hodnotenie bezpečnosti IT – Časť 2: Bezpečnostné funkčné požiadavky
[9] ČSN ISO/IEC 15408 – 3: Informačné technológie – Bezpečnostné techniky – Kritériá pre hodnotenie bezpečnosti IT – Časť 3: Požiadavky na záruky bezpečnosti
[10] http://www.itsm.sk – Slovenská stránka zameraná na IT Service Management
[11] http://www.itil.sk – Slovenská stránka zameraná na IT infrastructure Library
[12] VYSKOČ, J: Kritéria hodnotenia bezpečnosti I. , Zdroj: http://pc.server.sk/—bezpecnost-vseobecne-kriteria-hodnotenia-bezpecnosti–category-je-2-x-id-je-1619 , 14.05.2002
[13] VYSKOČ, J: Kritéria hodnotenia bezpečnosti II., Zdroj: http://pc.server.sk/—bezpecnost-vseobecne-information-technology-security-evaluation-criteria-itsec–category-je-2-x-id-je-1635, 17.5.2002
[14] http://www.isecom.org/ - stránka inštitútu pre bezpečnosť a metodológiu
[15] www.bsonline.bsi-global.com – stránka brtiského štandardizačného inštitútu
[16] BÍRO, P: Informačná bezpečnosť v medzinárodnom kontexte, Zborník z konferencie: Informačná bezpečnosť ´08, Bratislava, SASIB, 13.02.2008.

[17] http://www.iso27001security.com/ - stránka venovaná štandardom súvisiacim s informačnou bezpečnosťou
[18] www.atpjournal.sk - Štandardizácia a systémy manažérstva kvality v softvérovom a systémovom inžinierstve, Ing. Major L., MBA
[19] INTOSAI – smernice pre štandardy vnútornej kontroly pre verejný sektor
[20] http://csrc.nist.gov/publications/PubsSPs.html - Špeciálne publikácie Národného inštitútu pre štandardy a technológie USA, divízia počítačovej bezpečnosti
[21]LOVEČEK, T.: Bezpečnostné systémy – Bezpečnosť informačných systémov. EDIS vydavateľstvo ŽU v Žiline, 2007. ISBN 978-80-8070-767-5


 

RSS feed for comments on this post

Comment spam protected by SpamBam

  • SK :: TBM dictionary


    Terminológia bezpečnostného manažmentu

  • Guarantors


     
     

  • Partners


     
     

Rexter

Securitaci

Sopciak.com - IT services