Az új általános biztonsági szabvány: ISO 17799

A információs biztonsági menedzserek régen várnak valakire, aki elindul az úton, és kiad egy auditálható, általánosan elfogadott információs biztonsági szabványt. Sokan hisznek abban, hogy egy gyakorlati útmutató segíthet az IT menedzserek munkájában. Segíthet a döntéshozók munkájában, növelheti az egyes részlegek együttműködését a közös érdek, a biztonságért folytatott munkában, és segíthet a biztonságot a szervezeten belül a fontossági lista elejére helyezni.

Az International Standards Organization (ISO) 2000. decemberében adta ki az ISO 17799-et, ami azóta az egyik legszélesebb körben elismert biztonsági szabvánnyá nőtte ki magát. Az ISO 17799 definíció szerint “a legszéleskörűbb eljárások, melyek az információs biztonság legjobb gyakorlati megvalósítását szolgálják”.

1. Az ISO 17799 eredete

Több, mint 100 éven keresztül a British Standards Institute (BSi) és az International Organization for Standardization (ISO) adta ki az általános értékelést a műveleti, gyártási és teljesítményszabványokhoz. Az egyetlen olyan dolog, melyet sem a BSi, sem az ISO nem tett meg, az információs biztonságra vonatkozó szabvány kiadása volt.

Végül 1995-ben a BSi kiadta első biztonsági szabványát, a BS 7799-et. A BS7799 azzal a szándékkal készült, hogy lefedje a biztonsággal kapcsolatos kérdéseket az E-kereskedelem területén. 1995-ben az olyan kérdések, mint a Y2K és az EMU minden mást maguk mögé utasítottak. Hogy a helyzet még rosszabb legyen, a BS 7799-ről kiderült, hogy túl merev, így széles körben sosem terjedt el. Nem volt elég érett a helyzet ebben az időben, és a biztonsági kérdések nem sokakat izgattak ekkoriban.

Lépjünk előre négy évet. 1999. májusában a BSi ismét próbálkozott, kiadta a BS 7799 második változatát, mely az első változat alapos átdolgozása volt. Ez a kiadás számos javítást és fejlesztést tartalmazott az 1995-ös változathoz képest. Ekkor lépett be a munkába az ISO is, és elkezdte átdolgozni a BS 7799-et.

2000. decemberében az ISO adaptálta és kiadta a BS 7799 első részét, mint sajátját, ISO 17799 néven. Nagyjából ugyanekkor a szabvány formális akkreditációja és certifikációja is megtörtént. A Y2K és az EMU, valamint más problémák megoldása befejeződött, vagy 2000-re már csökkent jelentőségük, a biztonság általános szintje viszont drámaian növekedni kezdett. A BS 7799 első részének – a szabvány követelményei – adaptálása sokkal elfogadhatóbb volt egy nemzetközi bizottság, mint az ISO által, és ez volt az a pillanat, amikor a biztonsági szabványok rendszerét először ismerték el széles körben.

2. Javaslatok rendszere

Az ISO 17799 szabvány kihagyja a BS 7799 második részét, mely a megvalósítással foglalkozik. Az ISO 17799 mai formájában egy bármilyen méretű szervezet által alkalmazható rendszere a legjobb gyakorlati biztonsági eljárásokra vonatkozó javaslatoknak. Szándékosan rugalmas szabványként írták le, nem való arra, hogy adott biztonsági megoldások során végigvezessen valakit.

Az ISO 17799 javaslatai technológiai szempontból semlegesek maradnak, nem adnak iránymutatást arra, hogy létező biztonsági intézkedéseket általa értékelni lehessen. Például leírja a tűzfalak használatának szükségességét, de nem megy bele részletekbe a három különféle tűzfaltípussal és azok használatával kapcsolatban. Az ócsárlói szerint túl pontatlan, túl laza a szerkezete ahhoz, hogy valós haszna lehessen. Az ISO 17799 rugalmassága szándékos, mivel elég nehéz lenne egy olyan szabványt készíteni, mely az IT környezetek sokaságában képes lenne működni, és képes lenne együtt nőni a gyorsan változó technológiákkal. Egyszerűen csak egy szabályrendszert állít fel ott, ahol eddig nem volt semmi.

3. Az ISO 17799 tíz ellenőrzött területe:

Biztonsági szabályzat – Egy szabályzatra van szükség a szervezet biztonsági elvárásainak körvonalazására, mely azután a menedzsmentet részére biztosítja a szükséges iránymutatást és támogatást. A szabályzatot alapként fogják használni a folyó vizsgálatok és értékelések során.
Biztonsági szervezet – Javasolja, hogy a szervezeten belül körvonalazzanak egy menedzsment struktúrát, leírva, hogy melyik csoport a biztonság mely területeiért felelős, valamint az incidensek kezelésének módját is.
Javak ellenőrzése és osztályozása – Leltárt készíttet a szervezet információs javairól, és ennek ismeretében biztosítja, hogy a megfelelő védelemmel lássák el azokat.
Személyi biztonság – Jelzi a potenciális és tényleges dolgozók oktatásának szükségességét, mit várnak el tőlük a biztonsággal és a bizalmas információkkal kapcsolatban, és hogyan épül be az ő biztonsági szerepük az egész szervezet működésébe. Szükséges még egy rendszer felállítása az incidensek bejelentésére.
Fizikai és környezeti biztonság – A biztonsági területek védelmére, a berendezések védelmére és ezzel kapcsolatos általános kérdésekre mutat rá.
Kommunikáció és műveleti menedzsment – Ennek a fejezetnek a céljai:
Biztosítani az információ feldolgozó berendezések helyes és biztonságos működését;
Minimalizálni a rendszerhibákat;
A szoftver és az információ integritását megvédeni;
Az információfeldolgozás és kommunikáció integritását és rendelkezésre állását fenntartani;
A hálózatban található információ őrzését és a támogató infrastruktúra védelmét biztosítani;
A javak sérülésének és az üzleti aktivitás megszakításának megakadályozása;
A szervezetek között mozgó információ elveszésének, módosításának vagy illetéktelen felhasználásának megakadályozása.
Hozzáférési jogosultság ellenőrzése – Felhívja a figyelmet a hálózatokhoz és az alkalmazás erőforrásokhoz való hozzáférés felügyeletének és ellenőrzésének fontosságára a belülről jövő illetéktelen felhasználás vagy a külső támadások elleni védelem érdekében.
Rendszerfejlesztés és karbantartás – Emlékeztet arra, hogy bármilyen IT területen kifejtett tevékenységet a biztonság szem előtt tartásával kell végezni; minden lépést ellenőrizni kell biztonság szempontjából.
Az üzleti folytonosság menedzsmentje – A javaslat szerint minden legyenek előkészített eljárások az üzleti aktivitás megszakadásának ellentételezésére és a kritikus üzleti folyamatok védelmére nagyléptékű kiesés vagy katasztrófa esetén.
Megfelelőség – Utasítja a szervezeteket, hogy ellenőrizzék, mennyiben felelnek meg az ISO 17799 követelményei más jogi követelményekkel, mint pl. az Európai Unió Directive on Privacy, Health Insurance Portability and Accountability Act (HIPAA) direktívája, vagy a Gramm-Leach-Bliley Act (GLBA). Ez a fejezet a biztonsági szabályzatok és a technikai megfelelőség ellenőrzésére hív fel, és megfontolásra int a rendszer auditálási eljárásával kapcsolatban, hogy minden vállalat a legtöbbet kaphassa általa.
4. Az ISO 17799 követésének előnyei

Egy ISO 17799 tanúsított nagyvállalat könnyebben juthat üzletekhez versenytárainál, akiknek nincs ilyen tanúsítványuk. Ha egy potenciális ügyfél két szolgáltatás között kell válasszon, és a biztonság kérdése nagy súllyal esik a latba, akkor nyilván a tanúsított szolgáltatást fogja választani. Ezenkívül a tanúsított nagyvállalatnál:

Javuló nagyvállalati biztonság
Hatékonyabb biztonsági tervezés és menedzsment
Biztonságosabb partneri kapcsolatok és E-kereskedelem
Növekvő bizalom az ügyfelek részéről
Pontosabb és megbízhatóbb biztonsági audit és
Csökkenő felelősség érhető el.
5. Az ISO 17799 állapota

Az ISO jelenleg átdolgozza a 17799-et, hogy a széleskörű hallgatóságnál méginkább nyitott fülekre találjon. Az ISO 17799 az első szabvány, alapvető javaslatait és ötleteit erre az alapra építve fogják a jövő igényei szerint fejleszteni. Addig azonban maga az ISO 17799 a követendő szabvány.
Ha szervezetének nincs leírt és üzemelő védelmi programja, az ISO 17799 nagy vonalakban leír egyet, melyet követhet. Még ha nem is tanúsíttatja magát, az ISO 17799 egy olyan vezérfonalként szolgálhat, mely mentén felépítheti nagyvállalata biztonsági rendszerét. Ha nem is több, de legalább egy jól körvonalazott biztonsági elképzelés, melyet követhet. Később még a tanúsíttatás hosszú távú előnyeire is rádöbbenhet.