Informatika | Informatikai biztonság » A BS7799 és ITIL szabványokról

A BS7799 és ITIL szabványokról avagy menedzsment- és folyamatszabványok az informatika fejlesztése, üzemeltetése és védelme területén Krauth Péter MSZT 819. (Informatikaszabványosítási) Műszaki Bizottság elnöke 2005. április 15 (krauth.peter@kfkicom) Magyar Szabványügyi Testület, 819. MB Menedzsment- és folyamatszabványok fókuszterületei Fejlesztés Üzemeltetés Mérés Informatikaszolgáltatás irányításának szabványa (ITIL, BS 15000, ISO/IEC 20000) Az információvédelem irányítási rendszerének nemzetközi szabványa (BS 7799 és ami utána jön) Rendszerés szoftvertechnológiai szabványok Védelem Magyar Szabványügyi Testület, 819. MB FEJLESZTÉS: Rendszer- és szoftvertechnológiai szabványok Magyar Szabványügyi Testület, 819. MB Térkép a rendszer- és szoftvertechnológiai szabványokhoz Alapok Folyamatok Informatikai szolgáltatásirányítás 15504 Folyamatfelmérés 15288 Rendszertechnológia 19759

Szoftvertechnológiai ismeretek kézikönyve (SWEBOK) 20000 19760 12207 Szoftvertechnológia 12182 Termékek 9127 Termékcsomagolás 15289 Dokumentáció 12119 Termékértékelés 15271 90003 Szótár 9126 14598 14756 3535 14759 6592, 9294, 15910, 18019 15846 16085, 15026 19770 14764 16326 Vagyon- Szoftver- ProjektKonfigurációRégi SC7kezelés Kockázat kezelés karban- irányítás szabványok és integritás tartás Dokumentálás 15939 Mérés 14143, 19761, 20926, 20968, 24570, Szoftverminőség Szoftverek funkcionális méretének mérése Eszközök és módszerek 5806, 5807, 6593, 8631, 8790, 11411 14102, 14471, 15940, 18018 Régi SC7-szabványok Eszközök és környezet Honosított Honosítás alatt lévő 10746, 13235, 14750, 14752, 14753, 14769, 14771, 15414, 15935, 19500 Specifikáció 14568, 15474, 15475, 15476 Adatcsere (CDIF) 15437, 15909, 19501, 8807 Modellezés Honosítási tervben szerepel Magyar Szabványügyi Testület, 819. MB

Fejlesztési szabványok magyarul • Szoftvertermékek „csomagolása”: ISO/IEC 9127 • Életciklus-folyamatok: ISO/IEC 12207 • Szoftverminőség: ISO/IEC 9126 • ISO 9001 „szoftvernyelven”: ISO/IEC 90003 • Mérési folyamat: ISO/IEC 15939 • Folyamatfelmérés: ISO/IEC 15504 – CMMI alapja Magyar Szabványügyi Testület, 819. MB ÜZEMELTETÉS: Az informatikaszolgáltatás irányításának szabványa (ITIL, BS 15000 és ISO/IEC 20000) Magyar Szabványügyi Testület, 819. MB Az üzemeltetés szerepe Üzleti tevékenység Informatika fejlesztése Informatika üzemeltetése Üzleti tevékenység Informatika fejlesztése 8 9 Informatika üzemeltetése Magyar Szabványügyi Testület, 819. MB Informatikaüzemeltetés és üzleti tevékenység kapcsolata / 1 Üzleti tevékenység Ügyintézők (felhasználók) i ncidensek Vezetők (megrendelők) SLA-k Informatikaüzemeltetés Támogatás Tervezés és felügyelet Magyar Szabványügyi Testület, 819. MB

Informatikaüzemeltetés és üzleti tevékenység kapcsolata / 2 Ügyintézők (felhasználók) Vezetők (megrendelők) panaszok és kérések SLA-k javaslatok Ügyfélszolgálat és javítás Állapot– információk Állapotfelügyelet Szolgáltatástervezés változ tatások célok és tervek erőforrások változ tatások Rendelkezésre állás és kapacitás felügyelete Magyar Szabványügyi Testület, 819. MB BS 15000 (Az ITIL, mint brit szabvány) Szolgáltatásbiztosítási folyamatok Kapacitásbiztosítás Szolgáltatás folytonosságának és rendelkezésre állásának biztosítása Kiadási folyamat Szolgáltatási szint biztosítása Információvédelem biztosítása Szolgáltatásjelentés Informatikaszolgáltatás költségvetése és számvitele Állapotfelügyeleti folyamatok Konfigurációkezelés Változáskezelés Javítási folyamatok Kiadáskezelés Kapcsolattartási folyamatok Incidenskezelés Üzleti kapcsolat kezelése

Problémakezelés Szállítókezelés Magyar Szabványügyi Testület, 819. MB ISO/IEC 20000 (Az ITIL, mint nemzetközi szabvány) Magyar szabvány MSZ ISO/IEC 20000 Magyar előszabvány 2005 MSZE 15100 1996 Kormányzati (ITB) ajánlás Nemzetközi szabvány ISO/IEC 20000 2007 2006 Brit szabvány (BS 15000) 2003 2000 1998 „De facto” ajánlás nemzetközi szinten (itSMF) 1988 Bevált vállalati/intézményi gyakorlat Magyar Szabványügyi Testület, 819. MB Üzemeltetés és fejlesztés kapcsolata Kapacitásbiztosítás ismert hibák Ismert hibák ProblémaKezelés változtatási kérelem Változáskezelés Prototípuskészítés k k ye ye én én dm dm re ere te sz te Változáskezelés Tervezés st változtatási kérelem nem-funkcionális követelmények t e lj e pro sítmé n tot ípu ys teljesítményprototípus tez változtatási kérelem Rendelkezésre állás biztosítása változtatás megmaradt hibák k zt tes énye m d ere

változtatás Kivitelezés (Programozás) Kiadáskezelés Átvételi tesztelés új verzió Szoftvertár Karbantartás Régi verzió Magyar Szabványügyi Testület, 819. MB Üzemeltetés és védelem kapcsolata 8 9 ITIL és BS 7799 Magyar Szabványügyi Testület, 819. MB Üzemeltetés és védelem kapcsolata / 2 Védelmi követelmény (BS 7799) Üzemeltetési ajánlás (ITIL) • Az SLA tartalmazza a konkrét védelmi követelményeket Védelmi követelmények külső • Védelmi követelmények a szerződésekben (3. fél, kiszerv) beszállítókkal kötött SLA-kban • A szolgáltatásvezető feladata Az információvédelem az SLA összehangolása összehangolása • Az informatikai infrastruktúra Vagyontárgyak felügyelete változásainak felügyelete (Változáskezelés) • Konfigurációs adatbázis, Vagyonleltár hiteles szoftver- és hardvertár (Konfig.- és kiadáskezelés) • Védelmi politika • • • • Magyar Szabványügyi Testület, 819. MB

Üzemeltetés és védelem kapcsolata / 3 Védelmi követelmény (BS 7799) Üzemeltetési ajánlás (ITIL) • A védelem fizikai és környezeti • kérdései • • A kommunikáció és az üzemeltetés irányítása • • Kapacitástervezés • • Rendszerelfogadás • Rendszerhasználat figyelése • • • Változáskezelési eljárások • Biztonsági másolat, adatmentés • • • Eseménynaplózás Rendszeres kockázatelemzés a Folytonosságbiztosítás részeként Kapcsolódó „Infokom infrastruktúra menedzsmenje” c. könyv Kapacitásbiztosítás Változáskezelés Kapacitásbiztosítás Változáskezelés Rendelkezésre állás biztosítása Incidenskezelés Magyar Szabványügyi Testület, 819. MB Üzemeltetés és védelem kapcsolata / 4 Védelmi követelmény (BS 7799) • • • • Incidensek bejelentése Tanulás az incidensekből Adatcsere-megállapodások Hozzáférésellenőrzés Üzemeltetési ajánlás (ITIL) • • • •

Ügyfélszolgálat Problémakezelés SLA Rendelkezésre állás biztosítása (védelmi követelmények megvalósítása) • Program forrás-könyvtár • Kiadáskezelés • Követelmények a rendszerek biztonságára • Működésfolytonosság fenntartása • SLA (hiteles szoftvertár) • Folytonosságbiztosítás Magyar Szabványügyi Testület, 819. MB VÉDELEM: Információvédelem irányításának nemzetközi szabványa (BS 7799 és ami utána jön) Magyar Szabványügyi Testület, 819. MB BS 7799 Közel egy évtizede használt, igen elterjedt, 2 részből álló szabvány: – – BS 7799-1:2000 – Informatika. Az információvédelmi irányítási rendszerek gyakorlati kézikönyve BS 7799-2:2002 – Az. információvédelem irányítási rendszerei Előírás és útmatatás a használatra ISO/IEC 17799 – – – a brit BS 7799-1 ú.n gyorsított eljárással történt átvétele, „beemelése” az ISO szabványok körébe Jelenleg módosítás alatt

(idén jelenik meg új kiadása) Magyarországon: MSZ ISO/IEC 17799:2001 BS 7799-2 – – – – nemzetközileg széles körben, de nem hivatalosan elfogadott követelményszabvány, amit tanúsításra használnak Mellette: pl. Anglia, Hollandia, Svédország, Japán Ellene: pl. Franciaország, Németország, USA, Kanada, Ausztrália Magyarországon: MSZE 17799-2:2004 Problémák a BS 7799-cel: – – – – – A követelményrendszer helyenként túl esetleges, könnyen meghaladhatja a technológia Nem fogalmaz meg kellő előírást a kockázatmenedzsment alkalmazására az információvédelem vonatkozásában Nincs kellő összhangban más elterjedt cél- és követelményrendszerekkel (pl. COBIT, Common Criteria - ISO/IEC 15408) Nem határozza meg a védelmi intézkedések eredményességvizsgálatának módját Alkalmazható-e klasszikus tanúsítási rendszer olyan gyorsan változó területen mint az IT? Magyar Szabványügyi Testület, 819. MB BS 7799-2

tanúsított szervezetek országonként Japán 365 USA 9 Argentina 1 Nagy-Britannia 139 Írország 8 Egyiptom 1 India 34 Kína 6 Makaó 1 Németország 24 Svédország 4 Malajzia 1 Korea 23 Ausztria 3 Hollandia 1 Tajvan 20 Brazila 3 Lengyelország 1 Olaszország 18 Izland 3 Qatar 1 Hong Kong 15 Mexikó 3 Szaúd-Arábia 1 Szingapúr 11 Svájc 3 Szlovénia 1 Ausztrália 10 Belgium 2 Dél-Afrika 1 Finnország 10 Dánia 2 Spanyolország 1 Magyarország 9 Görögország 2 Norvégia 9 UAE 2 Összesen 744 Magyar Szabványügyi Testület, 819. MB BS 7799-2 szerint tanúsított, magyar szervezetek Cég A tanúsítvány száma Tanúsító szervezet Állami Nyomda Rt, Budapest 4/0 CIS Eurotronik Rt. 0006-2002-AIS-SKM-SWEDAC DNV Giro Bankkártya Rt. 10 KPMG Audit HERMES Softlab Kft 136056 LRQA HM EI Rt. 73660 URS Magar Pénzjegynyomda Rt. 0008-2002-AIS-SKM-SWEDAC DNV Magyar Vállalkozásfejlesztési Kht. GB04/61098 SGS ICS

MICROSEC Kft 136055 LRQA PSZÁF GB04/61624 SGS ICS Magyar Szabványügyi Testület, 819. MB Térkép az információvédelmi szabványokhoz Információvédelmi irányítási rendszer (ISMS) követelményei Műszaki szabványok és leírások Infokom védelem modelljei IS 13335-1 Titkosítás ISO 9001 SSE-CMM IS 21827 BS 15000 (ITIL) Digitális aláírás Hozzáférésellenőrzés Letagadhatatlanság Behatolásészlelés – TR 15947 Lenyomatképzés ISO 19011 Információbiztonsági incidensek kezelése EN 45012 EN 45013 EA 7/13 EN 45011 Közös szempontok – IS 15408 NIST SP 800-37 Keret az informatikai védelem biztosításához NIST SP 800-53 Védelmi profilok nyilv. – IS 15292 Honosítás alatt lévő Rendszerértékelés NIST SP 800-53A Kriptográfiai modulok értékelése (FIPS 140-2) Védelmi profilok megadása Honosított ISO 62-es útmutató Termék/rendszer tesztelése és értékelése TTP-szolgáltatások Kulcsgondozás

Kockázatkezelés IS 13335-2 Mérés IS 24742 Útmutatás ellenintézkedések megvalósítására IS 17799 Hitelesítés Irányítási rendszer auditálása, tanúsítása, akkreditálás Útmutatás/előírás folyamatokra Hálózatvédelem Időbélyegzés ISO/IEC 24743 BS 7799-2 Honosítási tervben szerepel Magyar Szabványügyi Testület, 819. MB Védelmi szabványok magyarul / 1 1. 2. 3. 4. 5. 6. Az információvédelem irányítási BS 7799-2 rendszere. Előírás és útmutatás a használatra Az informatikaszolgáltatás BS 15000 irányítása Kulcsgondozás ISO/IEC 11770 Időbélyegzési szolgáltatások ISO/IEC 18014 Az informatikai behatolásISO/IEC TR 15947 érzékelés keretszabálya ISO/IEC 15816 A hozzáférésellenőrzés biztonsági információobjektumai MSZE 17799-2 MSZE 15100 MSZ ISO/IEC 11770 MSZ ISO/IEC 18014 MSZ ISO/IEC TR 15947 MSZ ISO/IEC 15816 Előszabványok (MSZE) Magyar Szabványügyi Testület, 819. MB Védelmi szabványok magyarul / 2

1. 2. 3. 4. 5. 6. Az informatikai biztonságértékelés közös szempontjai (CC) Az információvédelmi irányítási rendszerek gyakorlati kézikönyve Útmutatás az informatikai biztonság menedzseléséhez Digitális aláírás függelékkel Letagadhatatlanság Előírás bizalmi harmadik felek (TTP) digitális aláírás alkalmazását támogató szolgáltatásaira ISO/IEC 15408 MSZ ISO/IEC 15408 ISO/IEC 17799 MSZ ISO/IEC 17799 ISO/IEC 13335 MSZ ISO/IEC 13335 ISO/IEC 14888 MSZ ISO/IEC 14888 ISO/IEC 13888 MSZ ISO/IEC 13888 ISO/IEC 15945 MSZ ISO/IEC 15945 Magyar Szabványügyi Testület, 819. MB Információvédelmi szabványok hierarchikus rendszere ISO 73-as útmutató Terminológia Az információvédelem irányításának (ISM) alapelvei Alapelvek Inf. védelemirányítási keretrendszer MICTS-1 Modellek és fogalmak (IS 13335-1) Inf. védelemirányítási rendszer (NP 24743) ISM gyakorlati kézikönyve (IS 17799 / ITU-T X.???) MICTS-2 Kockázatkezelés (IS

13335-2) ISM mérőszámok és mérések (NP 24742) Auditálás ISO 19011 Útmutató a pénzügyi ISM-re (TC 68) Útmutató a távközlési ISM-re: T-ISMS (ITU-T X.1015) Útmutató az egészségügyi ISM-re (TC 215) InformációInformatikai biztonsági behatolásvédelmi incidenskezelés keretrendszer (TR 18044) (TR 15947) Informatikai hálózatvédelem (IS 18028 / ITU-T X.???) Útmutató TTPszolgáltatásokra (IS 14516 / ITU-T X.842) Keretek Alapvető szabványok Alkalmazási útmutatók és kiegészítők Technikák gyűjteménye SC7 SD6 aktualizált, harmonizált Magyar Szabványügyi Testület, 819. MB Hogyan lehet az eredményességet bemutatni? ISO/IEC 24743 (BS 7799-2 nemzetközi változata): • A védelmi intézkedések megvalósításának tervezésével kapcsolatban a szabvány olyan követelményeket is fog tartalmazni, amelyek – biztonsági mutatókkal kapcsolatosak, és amelyek – a megvalósított intézkedések eredményességének meghatározására

irányulnak az ilyen mutatók használatával Új szabvány (ISO/IEC 24742): • Mérőszámok és mérések az információvédelem irányításához Magyar Szabványügyi Testület, 819. MB ISMS-szabványok és a PDCA-modell Kockázatkezelés ISO/IEC 13335-2 Fogalmi keret ISO/IEC 13335-1 Az információvédelem irányítási rendszere (ISMS) ISO/IEC 24743 Útmutatás védelmi intézkedések megvalósítására ISO/IEC 17799 Útmutatás ISMS megvalósítása ISO/IEC „X” Létező Átdolgozás alatt Terve- Beavatzés kozás Végrehajtás Ellenőrzés Új Termékszintű biztonságértékelés ISO/IEC 15408 Mérőszámok és mérések az információvédelem irányításához ISO/IEC 24742 ISMS auditálása ISO 19011 Tervezett Magyar Szabványügyi Testület, 819. MB Az ISMS-szabványosítás (ISO/IEC 24743) folyamata Egyetlen (egy részből álló) nemzetközi szabvány Gyorsított ütemű szabványosítás – – – – 2004. október: Az új szabványosítási

tevékenység elfogadása 2005. április: szabványbizottság (SC27) szintű javaslat 2006. április: ISO/IEC szintű javaslat 2006. október: a szabvány publikálása A gyorsított ütemnek azért van esélye, mert a tervezett szabvány létező szabványokra fog alapulni – összhangban a BS 7799-2:2002-vel – befektetések védelme, kompatibilitás A külön szabvány (ISO/IEC 24742) a mérőszámok és mérés témakörében (Ausztrália, Németország, USA kérésére) 2008-ra Magyar Szabványügyi Testület, 819. MB