A mai tudásalapú gazdaságban az információ kiemelt értékkel bír. Nem elég előállítani, megfelelően őrizni kell. Az információbiztonság szavatolására hivatott szabványok nem csak létre jöttek, de az elmúlt időszakban jelentős fejlődésen is keresztülmentek.
Az informatikai biztonság területén a szabványosítás igen termékeny volt az elmúlt év során:
4 új szabvány került elfogadásra (1990 óta összesen 32),
további 3 szabványt készítettek elő a munkabizottságok, és került ezzel végső elfogadási fázisba,
5 új szabványosítási munka kezdődött.
A legfontosabb újonnan megjelent (2002) ill. megjelenő (2003) szabványok a következők:
Előírás bizalmi harmadik felek digitális aláírás alkalmazásának támogatására vonatkozó szolgáltatásaira
IS 15945: ( ITU-T X.843) Specification of TTP services to support the application of digital signatures
Útmutatás a bizalmi harmadik felek szolgáltatásainak használatára és irányítására
TR 14516: ( ITU-T X.842) Guidelines for the use and management of Trusted Third Party services
A hozzáférésellenőrzés biztonsági informatikai objektumai
IS 15816: ( ITU-T X.841), Security information objects for access control
Rendszerek biztonságának fejlesztése képességérettségi modell alapján
IS 21827: Systems Security Engineering – Capability Maturity Model (SSE-CMM)
Keretrendszer informatikai behatolások elleni védelemre
TR 15947: IT intrusion detection framework
Időbélyeg-szolgáltatások
IS 18014: Time stamping services
Elliptikus görbéken alapuló kriptográfiai technikák
IS 15946: Cryptographic techniques based on elliptic curves
A szabványok honosítása mindeközben továbbfolytatódik. Amellett, hogy a már 2001-ben előkészített a digitális aláírási szolgáltatásokkal kapcsolatos szabvány (IS 15945) gyakorlatilag a 2002-es hivatalos megjelenéssel egyidőben – példamutató módon – magyarul is megjelent, 2002-es év lényegében a két kiemelten fontos informatikai biztonsági szabvány
Az informatikai biztonság menedzsmentje
IS 17799: Code of practice for the information security managment
Az informatikai biztonságértékelés közös szempontjai
IS 15408: Evaluation criteria for IT security
előkészítése és megjelentetése jegyében telt el, amely mára teljesen befejeződött.
Ez utóbbi szabvány mintegy 400 oldalt tesz ki, és 3 részből áll:
1. rész: Bevezetés és általános modell
2. rész: A biztonság funkcionális követelményei
3. rész: A biztonság garanciális követelményei
A szabvány alapvető fontosságú a biztonsági (pl. a digitális aláíráshoz szükséges) eszközök és rendszerek bevizsgálásához és engedélyezéséhez. Exportra készített szoftverek esetén például célszerű értékelni, hogy milyen biztonsági szempontoknak kell megfelelni, ill. gyakori, hogy ezeket a megrendelő elő is írja. A tendencia az, hogy a követelményeket e szabvány alapján határozzák meg, azaz a szoftverfejlesztés során e szabvány használata elengedhetetlenné kezd válni.
Egy gondolat a honosításról általában. Jóllehet a szakértők körében a szabványok eredeti, idegennyelvű (angol) változata igen elterjedt és használt, a magyar nyelvű változat megléte fontos az alapszabványok további, még szélesebb körben való elterjedéséhez, ill. a hazai informatikai biztonsággal kapcsolatos tevékenységek és az ezekkel kapcsolatos szakmai és nyilvános kommunikáció hatékonyságának és eredményességének javításához. Más oldalról nem célszerű azonban minden szabványt honosítani. A honosításnak ennek megfelelően elsősorban a menedzsment jellegű ill. az alapvető jelentőségű technikai szabványokra kell kiterjednie
Külön történet az 17799-es szabvány esete. Ez a szabvány a közel egy évtizede használt, brit BS 7799 ú.n. gyorsított eljárással történt átvétele, beemelése az ISO szabványok körébe. Mivel ez a szabvány az információbiztonság legfelső szintű kérdéseivel foglalkozik, ezért különösen fontos a fejlődő országok (köztük hazánk) számára, hiszen utat mutat a vállalatok vezetői számára az információk védelme tekintetében: mire kell figyelni? hogyan lehet megvalósítani a biztonsági célokat?
Mivel a szabvány az információbiztonság legfelső szintű kérdéseivel foglalkozik, ezért igen érzékeny területeket is érint, olyanokat amelyek a legfejlettebb (elsősorban az informatikában legfejlettebb) országok számára lényeges piaci pozíciókat jelenthet, versenyképességet növelhet. A fejlett országok (elsősorban USA, Nagy-Britannia, Franciaország, Németország és Kanada) küzdenek azért, hogy az informatikai biztonság piaca számára meghatározzák azokat a kereteket, amelyek között az ilyen jellegű szolgáltatások és termékek kereskedelme történni fog. Megtehetik, mert ők rendelkeznek olyan forrásokkal, amelyeket e keretek kialakítására lehet fordítani (szakértelem, tapasztalat, szakértők finanszírozása, szervezési költségek stb.). A fejlődő ill. az informatikában nem élenjáró országok pedig, akiknek ilyen forrásaik nincsenek, vagy azok szűkösebbek, mintegy kívülről nézik e küzdelmet.
Különös történet az 17799-es szabvány esete. Leegyszerűsítve a következők történtek. A fent említett országok mindegyike rendelkezik közel egy évtizede olyan biztonsági előírás-rendszerrel, amely jól illeszkedik a saját nemzeti jogszabályrendszerükhöz. E nemzeti keretek óvatos, elsősorban nem előíró, hanem útmutató jellegű egyeztetése a 90-es évek 2. felében elkezdődött az ISO/IEC JTC1 SC27 (informatikai biztonság) albizottság keretében. Ennek az eredménye az ú.n. 13335-ös szabvány, amelynek azonban már a típusa (Technical Report) is jelezte, hogy nem lehet követelményrendszerként használni, és így pl. tanúsítási, bevizsgálási tevékenységben normaként használni. Ezzel két legyet ütöttek egy csapásra:
1. Védték a nemzeti követelményrendszereiket (egymással szemben is)
2. Meghatározták azokat az általános kereteket, amelyekkel – ha közvetetten is, de – befolyásolni lehet más országokban az informatikai biztonsággal kapcsolatos tevékenységeket.
A szabványútmutatás létrehozása már 1996-ban elkezdődött, és meglehetősen lassan haladt: 1999-ben még mindig csak 3 rész jelent meg. Ebbe az “állóvízbe” robbant be a BSI kezdeményezése, amely kihasználta az ISO gyorsított eljárási (Fast Track Procedure) lehetőségét, és az előbb említett, hivatalosnak tekintett albizottságot mintegy “megkerülve” nemzetközi szabványként beterjesztette a saját, akkor (1999) már igen széles körben ismert és elterjedt nemzeti szabványát (BS 7799), amely státusa folytán arra is alkalmat adott, hogy az azt elfogadó országok tanúsítási rendszert alakítsanak ki e szabványra alapozva.
A fejlődő országok örömmel üdvözölték ezt a kezdeményezést, hiszen ilyen módon “készen kaptak” egy nemzetközileg elismert követelményrendszert, amelyre saját nemzeti szabályozásukat építhették. E kedvező fogadtatásnak köszönhető, hogy a szabványjavaslatot ISO szinten a szavazati jogosultsággal rendelkező országok több, mint 75%-a elfogadta. A szavazás igen szoros volt, mert lényegében egy szavazaton (kb. 0,1%) múlott a javaslat elfogadása. A szavazás során az említett, informatikában vezető országok – USA, Franciaország, Németország, Kanada (Nagy-Britannia kivételével) – a javaslat ellen szavaztak. A fejlődő országok (Magyarországot is beleértve) zömében a javaslat mellett foglaltak állást.
A helyzetet tovább bonyolítja, hogy az IS 17799 minden előnye és pozitív vonása ellenére igen súlyos hiányosságokkal és hibákkal rendelkezik. Csak néhány a teljesség igénye nélkül:
Nem határozza meg egyértelműen és pontosan a kockázatértékelés helyét a biztonságmenedzsment vonatkozásában: az előírt követelmények kellően rugalmas, de ellenőrzött kezelésére
Az előírt biztonsági követelmények tekintetében nincs kellő összhangban más elterjedt cél- és követelményrendszerekkel (pl. COBIT, IS 15408)
A viszonya tanúsítási rendszerekhez nem egyértelmű (pl. “should” használata az előírásokban; a britek maguk is ellene vannak, hogy a szabvány tanúsításra is kiterjedjen: a tanúsítás maradjon meg nemzeti keretek között)
Nem csoda – különösen, ha figyelembe vesszük a “kemény mag” ellenállását -, hogy a szabvány revíziója a megjelenés után szinte azonnal elkezdődött, ami példa nélkül álló az ISO történetében. Az átdolgozást 2004 végére tervezik, de több ország is kifejezte már elégedetlenségét az előrehaladással. Az idei májusi részhatáridő úgy tűnik nehezen lesz tartható…
Jelenleg tehát folyamatban van az 17799-es átdolgozása, de hasonlóképpen a 13335-ösé is. Sőt, a 13335-ös esetében az első két rész (5 részes szabványról van szó) státusát is meg kívánják változtatni: útmutatásból követelményrendszerré előléptetni. Ilyen módon könnyen előállhat, hogy az informatikai biztonság menedzsmentjére vonatkozó kétféle szabvány “igazi” versenytársává válik egymásnak. Hogy ez előnyt fog-e jelenteni a piac különböző szereplői számára, vagy hátrányt ma még nem lehet tisztán látni. Mindenesetre a jelenlegi tervek szerint jövő év végére (gyakorlatilag 2005-re) a helyzet tisztázódni fog.
A mindebből levonható és számunkra adódó tanulságokat a következőképpen lehet összefoglalni:
1. Az IS 17799 egy érvényes nemzetközi szabvány, amelyet alkalmazni lehet akár a biztonságmenedzsment javítására, akár annak tanúsíttatására.
2. Alkalmazásakor óvatosnak kell lenni – tekintettel hiányosságaira és hibáira.
3. Már csak emiatt is célszerű megismerkedni mind az 17799-es, mind az 13335-ös fejlesztés alatt álló új változatával.
4. Az alkalmazás során vegyük figyelembe a rendelkezésre álló egyéb, az informatikai biztonság egy-egy konkrétabb területére vonatkozó nemzetközi szabványt, pl.:
a. digitális aláírás
b. hozzáférésellenőrzés
c. hitelesítés (egyed és üzenet)
d. kulcskezelés
e. behatolásvédelem
f. hálózatvédelem
g. időbélyegzés
h. letagadhatatlanság
A szerző e témában a Magyar Minőség Társaság májusi rendezvényén elhangzott előadásának anyaga