Dlaczego standardy

Podstawową zaletą standardów z punktu widzenia audytora jest to, że systematyzują one proces oceny systemu zabezpieczeń. Stanowią także punkt odniesienia pozwalający uzyskać powtarzalność procesu oceny i porównywalność uzyskiwanych wyników. Co istotne, standardy są dobrą podstawą do formułowania zapisów kontraktu na przeprowadzenie audytu. Zawarcie w kontrakcie klauzuli mówiącej, że proces oceny ma zostać przeprowadzony np. zgodnie z zaleceniami ISO/IEC 15408, znacznie ułatwia rozliczenie wykonawcy takiego przedsięwzięcia.

Należy jednak pamiętać, że posiadanie certyfikatu przez produkt (system) oznacza tylko tyle, że produkt/system został wykonany zgodnie z zaleceniami określonego standardu. Jeżeli np. system operacyjny był zakwalifikowany do klasy B3 wg standardu TCSEC, oznacza to że: umożliwia dostęp do zasobów na podstawie etykietowania, jest dostępna pełna dokumentacja projektowa systemu, system został zaprojektowany z wykorzystaniem metodyk strukturalnych itp. Zakłada się, że jeżeli produkt zostanie wytworzony zgodnie z wymaganiami określonego standardu, to jego cechy związane z bezpieczeństwem teleinformatycznym będą na wyższym poziomie jakościowym niż wtedy, gdy z zaleceń standardów się nie korzysta. Istnieje tu analogia do certyfikatów z serii ISO-9000 - ich posiadanie nie chroni automatycznie przed produkcją bubli, jednak powinno radykalnie taką możliwość ograniczyć.

Certyfikaty i w konsekwencji określone standardy i normy są potrzebne. Jeżeli polskie firmy nie będą ich posiadały dla eksploatowanych systemów i używanych produktów, stracą możliwość równej walki konkurencyjnej z firmami zagranicznymi w Zjednoczonej Europie. Rezolucja Komisji Europejskiej - Council Resolution of 28 January 2002 on a common approach and specificactions in the area of network and information security (2002/C 43/02) jawnie wskazuje na dwa standardy z dziedziny bezpieczeństwa teleinformatycznego: ISO/IEC 15408 w zakresie standardów certyfikacyjnych i ISO/IEC 17799 w zakresie tzw. najlepszych praktyk. Inny przykład: od trzeciego kwartału 2003 r. wszystkie kraje członkowskie NATO muszą (przynajmniej w zakresie związanym z działalnością NATO, a jest ona bardzo obszerna), wdrożyć normy ISO-15408.

Podobnie jest w Stanach Zjednoczonych - firma, która nie ma certyfikatu SEI CMM (Capability Maturity Model) określającego odpowiedni stopień "dojrzałości organizacyjnej", z definicji nie jest dopuszczana do kontraktów realizowanych na zamówienie Departamentu Obrony.

Wdrożenie formalnych standardów oceny bezpieczeństwa teleinformatycznego jest niejednokrotnie trudne, czasochłonne i kosztowne. Mimo to są niezbędne. Brak metodyki przy każdym postępowaniu w dziedzinie technicznej jest amatorstwem, a nie profesjonalizmem. Nie jest też do końca prawdą, że intruzi działają skutecznie bez standardów ani sztywnych metodyk. Wbrew pozorom ich działania są (zwykle) metodyczne. Gdyby było inaczej, nie można byłoby np. opracować sygnatur dla narzędzi, takich jak zapory czy systemy wykrywania włamań.

Poniżej zostaną omówione dwa najczęściej stosowane standardy - model przeprowadzania audytu informatycznego zapisany w postaci standardu ISACA COBIT oraz zbiór najlepszych praktyk skodyfikowanych w brytyjskiej normie BS 7799.

Ocena według COBIT

Jednym z tzw. otwartych standardów związanych z oceną bezpieczeństwa teleinformatycznego jest preferowany, zwłaszcza w organizacjach, takich jak banki czy towarzystwa ubezpieczeniowe, standard audytu informatycznego COBIT (Control Objectives for Information and Related Technology), opracowany i rozwijany w ramach ISACA (Information Systems Audit and Control Association). Celem tego przedsięwzięcia jest ("jest", a nie "było", ponieważ jest to ciągle rozwijany, otwarty standard dostępny częściowo również w Internecie) "...badanie, rozwijanie, publikowanie i promowanie autorytatywnego, aktualnego zbioru celów kontroli systemów teleinformatycznych dla codziennego użytku przez kierownictwo i audytorów, akceptowanych przez społeczność międzynarodową".

Zasadniczą część dokumentacji standardu COBIT stanowi rozdział Control Objectives. Znajduje się w nim spis 302 szczegółowych wymagań przypisanych 34 procesom biznesowym mającym związek z systemami informatycznymi. Lansowaną przez ISACA ideę audytu informatycznego pokazuje w syntetyczny sposób tabela. Poszczególne wiersze zawierają procesy biznesowe organizacji związane z wykorzystaniem informatyki, kryteria oceny tych procesów (1-7) oraz zasoby, których dotyczą (I-V). Dla każdego procesu COBIT definiuje tzw. punkty kontrolne (w sumie jest ich 302), dla których osoba przeprowadzająca ocenę musi znaleźć uzasadnione potwierdzenie lub stwierdzić jego brak. Na przykład dla procesu DS12 Zarządzanie urządzeniami punkty kontrolne dotyczą:

• DS12.1: bezpieczeństwa fizycznego

• DS12.2: utrudnienia osobom obcym identyfikacji rozmieszczenia sprzętu komputerowego

• DS12.3: nadzoru nad osobami obcymi przebywającymi na terenie organizacji

• DS12.4: BHP

• DS12.5: przeciwdziałania skutkom zagrożeń środowiskowych (upał, wilgoć, ogień itd.)

• DS12.6: zasilania awaryjnego.

Jeżeli audyt będzie dotyczył wszystkich 34 procesów wymienionych w tabeli, ocenianych zarówno przez pryzmat pierwszo-, jak i drugorzędnych kryteriów, będzie to pełny audyt informatyczny. Jeżeli procesy będą oceniane tylko wg wybranych kryteriów, np. poufności, integralności i dostępności, będzie to wycinkowy audyt informatyczny, który w tym przypadku można określić mianem audytu bezpieczeństwa teleinformatycznego. W tabeli taki audyt bezpieczeństwa teleinformatycznego, ograniczony tylko do procesów ocenianych wg kryteriów pierwszorzędnych, tzn. do tych wierszy, na przecięciu których z kolumną "3", "4", "5" (kryteria) znajduje się literka "P", jest wyodrębniony poprzez cieniowanie.