Prowadzenie audytu bezpieczeństwa teleinformatycznego bez korzystania ze sprawdzonych standardów mija się z celem. Bez nich nie da się rzetelnie zweryfikować jakości systemu bezpieczeństwa.

Zarówno użytkownicy systemów teleinformatycznych, jak i kierownictwo instytucji eksploatujących te systemy, szczególnie po zainwestowaniu dużych sum w bezpieczeństwo teleinformatyczne, które przecież nie przynosi natychmiastowych wymiernych zysków, są zainteresowani odpowiedzią na pytanie: Czy eksploatowany system teleinformatyczny jest rzeczywiście bezpieczny? Tak naprawdę pytanie brzmi: Czy informacje w nim przetwarzane są bezpieczne?

Rzetelną odpowiedź na tak postawione pytanie można uzyskać, przeprowadzając proces oceny bezpieczeństwa teleinformatycznego systemu. Nie da się tego zrobić wiarygodnie, nie korzystając z odpowiedniej metodyki wspartej narzędziami i wiedzą, w tym wiedzą uogólnioną w postaci standardów. Tak jak każda dziedzina inżynierska, badanie bezpieczeństwa systemów informatycznych dopracowało się bowiem własnych standardów i najlepszych praktyk. Tylko one zapewniają zarówno rzetelność metodologiczną oceny bezpieczeństwa, jak i możliwość jej weryfikacji.

Odpowiednią dać rzeczy miarę

Ocenianiem bezpieczeństwa informacji w systemach teleinformatycznych nazywa się proces określenia wartości przyjętej miary, tzw. gwarantowanej odporności systemu teleinformatycznego na czynniki mogące spowodować utratę tajności, integralności i dostępności przetwarzanych w nim informacji. Miary gwarantowanej odporności są zwykle określane odpowiednimi standardami. Przykładowo, w Common Criteria będą to tzw. Evaluation Assurance Level (EAL) - po polsku: Poziom Uzasadnionego Zaufania, zaś w TCSEC - poziomy bezpieczeństwa D, C, B, A.

Przyjęta miara gwarantowanej odporności powinna dawać pewność, że obiekt oceniany spełnia cele zabezpieczenia. Zwykle jest nią właściwość obiektu ocenianego, dająca podstawy, aby sądzić, że jego funkcje zabezpieczenia realizują określoną dla obiektu koncepcję bezpieczeństwa. Ocenianie powinno być realizowane na podstawie: 1) konkretnej polityki bezpieczeństwa teleinformatycznego, 2) spójnego opisu wymaganych funkcji zabezpieczenia oraz 3) docelowego, pożądanego poziomu miary gwarantowanej odporności.

Zgodnie z normą terminologiczną PN-I-02000 wyróżnia się:

• miarę gwarantowanej odporności związaną z oceną (evaluation assurance) - ta część miary odnosi się do faktów i działań wymaganych od oceniającego;

• miarę gwarantowanej odporności związaną z projektowaniem (development assurance) - ta część miary odnosi się do parametrów i działań wymaganych od wytwórcy systemu.

Poziom gwarantowanej odporności systemu to określony zestaw składników miary gwarantowanej odporności, określających łącznie jakość zabezpieczeń obiektu. Innymi słowy, to punkt na skali przyjętej miary gwarantowanej odporności, np. przy ocenianiu wg Common Criteria będzie to poziom EAL.

Rezultatem oceny jest raport oceniającego.

Powinien on opisywać zastosowane podczas analizy zabezpieczeń systemu procedury badawcze i testujące, wraz z opisem i wynikami testów przeprowadzonych w celu potwierdzenia lub zaprzeczenia istnienia określonych wad (podatności) systemu.

Proces oceny może być przeprowadzony własnymi siłami firmy, o ile posiada ona odpowiednio kompetentny w tym zakresie pion teleinformatyki i komórkę bezpieczeństwa. Można wtedy mówić o ocenie poziomu bezpieczeństwa teleinformatycznego wg określonych norm (patrz ramka). Ocena może być także zlecona niezależnemu wykonawcy zewnętrznemu - mówi się wtedy o audycie bezpieczeństwa. W niniejszym artykule ograniczymy się jedynie do tego drugiego przypadku.

Z certyfikatem i bez

Próby standaryzacji zagadnień związanych z ochroną i oceną bezpieczeństwa informacji w systemach informatycznych były podejmowane w praktyce od połowy lat 60., gdy zaczęły wchodzić do powszechnego użytku systemy wielodostępne oraz pojawiły się pierwsze sieci komputerowe. Pierwszymi udanymi (tj. takimi, które wywarły istotny wpływ na sposób rozumienia problematyki bezpieczeństwa w systemach informatycznych i na wiele lat stały się podstawą do opracowywania lokalnych standardów w tym zakresie) były zalecenia wydane w USA w 1983 r. w postaci tzw. Pomarańczowej Księgi.

Standardy z zakresu bezpieczeństwa teleinformatycznego można podzielić na dwie grupy. Pierwsza obejmuje standardy, na podstawie których można przeprowadzać certyfikacje systemów i produktów teleinformatycznych, np. ISO-15408 (Common Criteria), ITSEC i TCSEC. W skład drugiej grupy wchodzą standardy stanowiące tzw. najlepsze praktyki, np. BS 7799, PN-I-13335-1 (niestety, dalsze arkusze nie zostały wydane jako norma polska), traktujące o tym, jak powinno budować się "bezpieczne" systemy teleinformatyczne.

Cechą charakterystyczną standardów pierwszego rodzaju jest podawanie miar w postaci klas (D, C1, C2, B1, B2, B3, A1 w TCSEC), poziomów (E0-E6 - w ITSEC) czy też poziomów uzasadnionego zaufania (EAL - w ISO/IEC-15408). Druga grupa nie określa żadnych miar, formułuje jedynie zalecenia. Mimo tak różnego podejścia do oceny, obie grupy standardów mogą stanowić podstawę audytu w zakresie bezpieczeństwa teleinformatycznego dla konkretnych systemów.