Bezpieczeństwo w standardzie

ISO 17799 to pierwszy ogólnoświatowy standard, umożliwiający weryfikację bezpieczeństwa systemów informatycznych. Jest on na tyle ogólny, że zawarte w nim zalecenia mogą być wykorzystane przez dowolną organizację, bez względu na jej wielkość czy specyfikę działalności.

ISO 17799 to pierwszy ogólnoświatowy standard, umożliwiający weryfikację bezpieczeństwa systemów informatycznych. Jest on na tyle ogólny, że zawarte w nim zalecenia mogą być wykorzystane przez dowolną organizację, bez względu na jej wielkość czy specyfikę działalności.

Administratorzy odpowiedzialni za zabezpieczanie systemów informatycznych długo nie mogli się doczekać oficjalnych standardów, pozwalających z jednej strony "wypunktować" podstawowe zagadnienia związane z zabezpieczaniem rozwiązań IT, z drugiej - zweryfikować, czy wdrażany system bezpieczeństwa jest budowany zgodnie ze sztuką.

Pierwszy oficjalny standard z tego zakresu, firmowany przez ogólnoświatową organizację standaryzacyjną ISO (International Organization for Standardization), udostępniono dopiero w grudniu 2000 r. ISO 17799 stanowi zbiór ogólnych, neutralnych technologicznie praktyk rekomendowanych przez ISO jako najlepsze możliwe wytyczne, dotyczące bezpieczeństwa systemów informatycznych. Chociaż już obecnie dokumentowi stawia się zarzuty nadmiernej ogólności czy wręcz ogólnikowości, to jednocześnie dzięki temu jest on dosyć uniwersalny, co jest jego podstawową zaletą. Uniwersalność była jednym z podstawowych założeń autorów dokumentu, którzy starali się uniknąć błędów popełnionych przez inne organizacje standaryzacyjne.

Zalecenia sformułowane w dokumencie miały być na tyle elastyczne, by nie prowadzić za rękę, a jedynie podpowiadać kierunek, w jakim należy zmierzać, budując bezpieczną infrastrukturę. Dzięki temu znajduje on zastosowanie w rozmaitych środowiskach informatycznych oraz nie traci na aktualności i ogólnej wartości wraz z rozwojem technologii. Z tego też powodu osoby poszukujące np. odpowiedzi, które rozwiązanie należy wykorzystać w danym przypadku lub dlaczego jedno z rozwiązań można uznać za lepsze od innego, bardzo się zawiodą. Przykładowo, norma zawiera ogólne rekomendacje i zalety przemawiające za stosowaniem firewalli, ale autorzy świadomie pomijają rozróżnienie ich typów, nie opisują sposobów działania i wykorzystania firewalli.

Krótka historia ISO 17799

Opracowany przez ISO standard, oznaczony indeksem 17799, powstał jako rozwinięcie prac brytyjskiego instytutu standaryzacyjnego BSI (British Standard Institute). W roku 1995 BSI opracował i udostępnił pierwszą wersję standardu BS 7799, której twórcy starali się ująć w normy dotychczas stosowane praktyki z zakresu bezpieczeństwa związane z handlem elektronicznym. Jednak ze względu na niewielką "elastyczność", a także zajmujące wówczas większość informatyków problemy związane z problemem roku 2000 i wprowadzaniem w Unii Europejskiej wspólnej polityki monetarnej BS 7799 nie został powszechnie zaakceptowany. W roku 1999 BSI podjął próbę reformy standardu i opracował jego drugą, zdecydowanie ulepszoną wersję. Poprawki okazały się na tyle istotne, że ISO zdecydowała się wykorzystać prace BSI i stworzyć na ich podstawie własną normę.

10 obszarów tematycznych opisywanych przez ISO 17799

  • Polityka bezpieczeństwa

  • Organizacja systemu zarządzania bezpieczeństwem w firmie

  • Inwentaryzacja i klasyfikacja posiadanych zasobów

  • Edukacja pracowników

  • Bezpieczeństwo fizyczne i środowiskowe

  • Zarządzanie komunikacją i bieżącą obsługą polityki bezpieczeństwa

  • Kontrola dostępu do zasobów

  • Utrzymanie i rozbudowa systemów informatycznych zgodnie z polityką bezpieczeństwa

  • Zarządzanie ciągłością pracy firmy

  • Zgodność polityki bezpieczeństwa z lokalnymi regulacjami i normami, np. bhp

  • W grudniu 2000 r. ISO opublikowała pierwszą część BS 7799 jako własny standard i nazwała go ISO 17799. W tym samym czasie opracowano również ogólne warunki certy- fikacji pod kątem zgodności z wymogami standardu. ISO nie przyjęła natomiast drugiej części BS 7799, która jest poświęcona implementacji rozwiązań z zakresu bezpieczeństwa. Uznała bowiem, że zbyt ściśle jest ona związana z konkretnymi technologiami i rozwiązaniami utrudniającymi uczynienie normy uniwersalną.

    10 przykazań

    W dokumencie ISO 17799 wyróżniono 10 obszarów tematycznych. Pierwszym jest polity-ka bezpieczeństwa. Jej opracowanie jest podstawowym wymogiem, który pozwala w rezultacie na określenie oczekiwań organizacji dotyczących bezpieczeństwa i kierunków działania w tym zakresie. Dokument z opisaną polityką bezpieczeństwa może być stosowany jako podstawa późniejszych audytów.