IRATKOZZ FEL
CSATORNÁNKRA
Minden szervezet üzleti (vevõkkel kapcsolatos, beszerzési…) folyamatai információra épülnek. A belsõ, külsõ információ minõségének, mennyiségének, elérhetõségének vagy helyességének bármilyen zavara üzleti kockázatot jelent. Az nem kérdés, hogy az egyre nyitottabbá váló világunkban az információ biztonságának megõrzésére tett lépések szükségessége alapvetõvé vált. Ezért a cégeknek hatékonyan kézben kell tartaniuk informatikai rendszereik és üzleti szempontból kritikus információik biztonságát. Erre szolgál egy általános menedzsment rendszer, specifikusan az információbiztonsági irányítási rendszer (IBIR, angol betûszóval ISMS). Csak a szervezet legmagasabb szintjén hozott stratégiai döntéssel biztosíthatjuk eredményesen adataink bizalmasságának, sértetlenségének és rendelkezésre állásának megõrzését. E hármas követelmény kielégítésének hatékony eszköze az ISO/IEC 27001 szabvány szerinti információbiztonsági irányítási rendszer kialakítása.
ISO 9001, ISO 14001 ISO17799 rendszerkiépítéshez, honlapkészítésre állami támogatás segítségével kérje ajánlatunkat itt!
Szabványtörténeti áttekintés
Honlapkészítés online marketing tanácsadó segítéségvel? A hatékony honlapkészítés titka az online marketing tanácsadás alapján készülõ honlap!
A brit szabványügyi hivatal már a 80-90-es évek elején ipar nyomására kezdett foglalkozni azzal a kérdéssel, hogy a szervezetek milyen lépéseket tehetnek az általuk felhalmozott és kezelt információ védelmére. Az iparágak széles körének bevált gyakorlatára építõ óvintézkedés-gyûjtemény. 1995-ben jelent meg (elsõ ízben) brit nemzeti szabványként, BS 7799-1 néven.
SO/IEC 17799 szabvány
A nemzetközi szabványként ISO/IEC 17799 néven kiadott szabvány 10 védelmi területet (pl.: fizikai biztonság, szervezeti biztonság, hozzáférés-szabályozás) ölel fel, melyekre szabályozási célokat fogalmaz meg, majd ezeket konkrét javaslatokra bontja. A szabvány tehát nem csak az informatika biztonságával foglalkozik, hatálya kiterjed minden információ feldolgozó és -tároló eszközre, médiára és magukra a velük dolgozó emberekre is. Az ISO/IEC 17799 ugyan nem tanúsítási szabvány, de jól használható óvintézkedések kijelölésére irányítási rendszerek kialakítása során.
A tanúsítható információbiztonsági irányítási rendszer kereteit a BS 7799-2 brit szabványban fektették le, 1998-ban. Ez a szabvány magában foglalta az ISO/IEC 17799 szabvány óvintézkedéseit, és kiegészítette õket mindazokkal a követelményekkel, amelyek egy irányítási rendszer kialakításához és fenntartásához szükségesek.
A brit szabványt több ország (pl. Svédország, Japán) is átvette, és nemzeti szabványként kiadta. Az aktuális, BS 7799-2:2005 szabványt a Nemzetközi Szabványügyi Testület ISO/IEC 27001 számon 2005. október 15-én adta ki nemzetközi szabványként. Ez a szabvány az ISO új információbiztonsági szabványcsaládjának elsõ tagja, a további tervezett szabványok a következõk (zárójelben a megjelenés várható éve):
– ISO/IEC 27 000: Alapelvek és szótár (?)
– ISO/IEC 27 001: IBIR tanúsítási szabvány
– ISO/IEC 27 002: Útmutató (2007)
– ISO/IEC 27 003: Kialakítási irányelvek (2007)
– ISO/IEC 27 004: Metrikák és mérés (2007)
– ISO/IEC 27 005: Kockázatkezelés (?)
Az útmutató szabvány az ISO/IEC 17799 szabvány átszámozása lesz. Magyarország viszonylag hamar felismerte a szabványok jelentõségét, így mind a nemzeti szabványosítási folyamat, mind pedig a tanúsítások megkezdõdtek. Az óvintézkedéseket MSZ ISO/IEC 17799 néven 2002-ben, az irányítási rendszerszabványt pedig MSZE 17799-2 néven (egyelõre elõszabványként) 2004 decemberében adták ki. A Magyar Szabványügyi Testület véleménye szerint az ISO 27001 szabványnak megfelelõ magyar szabvány kiadása még az év elsõ felében várható.
Miben tér el az ISO 27001 a BS 7799-2:2002-tõl?
A BS 7799-2 szabvány jelentõs lépést tett a nemzetközi elfogadás irányában, amikor a 2002-es kiadásból kikerültek a brit specifikumok, és a szabványtörzs követelményeit összhangba hozták a már megszilárdult többi irányítási rendszerszabvánnyal (ISO 9001:2000 minõségirányítási-, ISO 1401:2004 környezetirányítási rendszer).
Az új ISO 27001 szabvány kiadásakor tehát már csak olyan kisebb módosításokat végeztek, melyek nem jelentenek lényegi változást a brit szabványhoz képest. Az új szabvány fontos eleme, hogy több, korábban is használt fogalmat pontosít, egyértelmûvé tesz. Az információbiztonság fogalma a brit szabványban a bizalmasság, sértetlenség és rendelkezésre állás megõrzésére korlátozódott.
A BS 7799-2-es szabvány nem határozta meg, kit értsünk egy információbiztonsági vagyonelem tulajdonosa alatt, míg az ISO 27001-es szabvány kimondja, hogy egy eszköz tulajdonosa nem annak jogi értelemben vett birtokosa, hanem az a személy vagy szervezeti egység, amely annak életciklusa során a kezeléséért felelõsséggel tartozik. Követelmények pusztán formai átstrukturálására mind a szabványtörzsben, mind a szabvány „A” mellékletben találunk példát. Míg a brit szabványban a belsõ auditra vonatkozó követelmények – mintegy kakukktojásként – a vezetõségi átvizsgálás fõfejezetében kaptak helyet, a nemzetközi szabványban ez a témakör önálló fõfejezet, úgy ahogy az ISO 9001, ill. 14001 szabványokban megszoktuk.
Az információbiztonsági incidensek kezelése korábban a szabvány „A” mellékletben szétszórtan helyezkedett el. A szabványalkotó a témakör fontosságát azzal is hangsúlyozni kívánta, hogy az új szabvány mellékletében önálló fõfejezetet rendelt az incidensek kezeléséhez. A folyamatos fejlesztést – az ISO 9001-gyel megegyezõ módon – a BS 7799-2 bevezetése is objektív mérésre/értékelésre alapozva követelte meg, de ez a követelmény a szabványban másutt nem jelent meg, nem volt kifejtve.
ISO 27001 szabvány
Az ISO 27001 szabvány azonban több helyütt is megerõsíti a mérések szükségességét (4.2.2. d, 4.2.3. b és c, 7.2. f, 7.3. e), így erre a jövõben bizonyosan nagyobb figyelmet kell fordítani. Fontos újdonság az új szabványban a mutatók (jellemzõ paraméterek) igénybevételének szükségessége az események felderítése során és a vezetõségi átvizsgálás feladatkörének kiterjesztése.
Az IBIR tanúsítása – átállás az ISO szabványra
Egy információbiztonsági rendszer kialakítása után gyakori igény annak független tanúsítása. A tanúsítási folyamat megegyezik az általános menedzsment rendszerekével. A tanúsítást független, akkreditált szervezetek végzik. Az új ISO 27001-es szabványra való áttérés fontos határnapja 2006. július 23-a. Eddig a napig a szervezetek még választhatják irányítási rendszerük BS 7799-2:2002 szabvány szerinti vizsgálatát, de már kérhetik az ISO 27 001 szerinti auditot is. E naptól kezdve azonban már csak ISO 27 001 szerinti tanúsító-, felülvizsgálati- vagy megújító auditok kerülhetnek lefolytatásra. A legalább évenkénti felülvizsgálat követelménye miatt 2007. július 23-ára minden, korábban BS 7799-2:2002 szerint tanúsított szervezetnek át kell állnia az új szabványra.
Az átállás történhet felülvizsgálat vagy megújító audit keretében is, a cégek tanúsítványát az átállás kapcsán mindenképpen lecserélik. Amennyiben az átállás felülvizsgálat során történik, új tanúsítvány érvényessége rövidebb lesz, meg fog egyezni a korábbi tanúsítványéval. Megújítással történõ átállás esetén a tanúsítási ciklus újraindul, a tanúsító által kiadott új tanúsítvány 3 évre szól.
Tanúsítási tapasztalatok
Összességében elmondható, hogy a tanúsításra jelentkezõ cégek felkészültsége jó. Ennek egyik lehetséges oka az, hogy az IBIR-ek kialakítása jellemzõen belsõ igény, az ilyen irányú külsõkövetelmények (pl. tenderfeltételként való megjelenés) még nem tömegesek. A viszonylag sok nemmegfelelõség oka a szabvány fiatal korában és a kiterjedt követelményrendszerben keresendõ. A vizsgálatba bevont 10 tanúsító auditon feltárt problémák statisztikai megoszlását auditfázisok szerint bontva mutatjuk be. A dokumentációvizsgálatok során a szabványtörzsre vonatkozó eltéréseket az 1. ábra, az „A” melléklethez köthetõeket pedig a 2. ábra tartalmazza. A helyszíni auditok nemmegfelelõségeit – hasonló bontásban – a 3.,illetve 4. ábratartalmazza.
A legáltalánosabb probléma a rendszerépítés lépéseinek elnagyolása. A szabvány kötelezõen elõírja az irányítási rendszer kialakításának lépéseit. A cégek által összeállított vagyonleltárak gyakran nem tartalmaznak minden releváns vagyonelemet, így az ezekkel kapcsolatos kockázatelemzést sem végzik el. Ha a kockázatelemzés nem teljes körû, az eszközök védelmére bevezetett intézkedések sem lehetnek teljes körûek, illetve a bevezetett intézkedések sem vezethetõk vissza kockázatelemzésre, pedig a szabvány kötelezõen elõírja mindkét irányú kapcsolat dokumentálását.
Bár az ilyen típusú problémákra sok esetben fény derül már a dokumentációvizsgálat során, a legtöbb eltérés ehhez a területhez kapcsolódik a helyszíni auditon is. Az IBIR hasonlósága más ISO irányítási rendszerekhez hatékonyan segíti integrált irányításirendszerek kialakítását. Ez a lehetõség azonban egyben csapda is, hiszen egy korábban bevezetett – tipikusan a minõségirányítási – irányítási rendszer mellett könnyû megfeledkezni az IBIR specifikumokról.
Tanúsítói elõaudit
A mindkét irányítási rendszerben meglévõ kötelezõ elemek (pl. dokumentum- és feljegyzéskezelés, belsõ audit) nem megfelelõ átvezetése teszi ki a dokumentációvizsgálat során a szabványtörzzsel kapcsolatosan feltárt hiányosságok egyharmadát. A dokumentációvizsgálat során az „A” melléklet óvintézkedései közül a legtöbb probléma a kommunikáció és üzemeltetés témaköréhez kapcsolódik.
A helyszíni audit során gyakran ütközünk abba, hogy a szervezetek nem teszik meg a szükséges és elvárható lépéseket a szoftver jogtisztaságáért (A. 15). Ugyancsak tanúsítói tapasztalat, hogy az üzletmenet-folytonossági terv több esetben nem kellõ mélységben kidolgozott. Pedig a szabvány „A” melléklete külön fõfejezetet (A. 14) szentel a témakörnek, és kitér arra is, hogy a terv több, mint elvek és felelõsök rögzítése, hiszen kockázatelemzésre kell épülnie, és rendszeresen ellenõrizni, tesztelni is szükséges.
A felsorolt problémák idõben történõ feltárásában és kiküszöbölésében segítséget nyújthat egy tanúsítói elõaudit. Egy IBIR alapvetõ sikertényezõje, hogy menynyire integrálják a szervezet életébe. A vezetõség elkötelezettsége ebbõl a szempontból (is) meghatározó. Ha a rendszer nem válik a mindennapok szerves részévé, hanem megmarad a „jól mûködõ” folyamatok mellé kialakított „szükséges rossz”, soha nem éri el célját.
Forrás:
