A BS7799 és ITIL szabványokról avagy menedzsment- és folyamatszabványok az informatika fejlesztése, üzemeltetése és védelme területén.

Átírás

1 A BS7799 és ITIL szabványokról avagy menedzsment- és folyamatszabványok az informatika fejlesztése, üzemeltetése és védelme területén Krauth Péter MSZT 89. (Informatikaszabványosítási) Műszaki Bizottság elnöke április 5. Menedzsment- és folyamatszabványok fókuszterületei Fejlesztés Üzemeltetés Rendszerés szoftvertechnológiai szabványok Mérés Védelem Az információvédelem irányítási rendszerének nemzetközi szabványa (BS 7799 és ami utána jön) Informatikaszolgáltatás irányításának szabványa (ITIL, BS 5000, ISO/IEC 20000)

2 FEJLESZTÉS: Rendszer- és szoftvertechnológiai szabványok Alapok 9759 Termékértékelés Szoftvertechnológiai ismeretek kézikönyve (SWEBOK) 282 Szótár Térkép a rendszer- és szoftvertechnológiai szabványokhoz Folyamatfelmérés Szoftvertechnológia Rendszertechnológia 6592, , 590, Konfigurációkezelés 809 Dokumentálás 6085, Eszközök és módszerek 5806, 5807, 6593, 863, 8790, 4 402, 447, 5940, 808 Régi SC7-szabványok Eszközök és környezet Honosított Folyamatok , 3235, 4750, 4752, 4753, 4769, 477, 544, 5935, 9500 Specifikáció Informatikai szolgáltatásirányítás 5939 Mérés Termékek , 976, 20926, 20968, 24570, 4568, 5474, 5475, 5476 Adatcsere (CDIF) Dokumentáció Szoftverminőség Termékcsomagolás Régi SC7- szabványok Vagyonkezelés Kockázat és integritás Szoftverkarbantartás Projektirányítás Szoftverek funkcionális méretének mérése 5437, 5909, 950, 8807 Modellezés Honosítás alatt lévő Honosítási tervben szerepel

3 Fejlesztési szabványok magyarul Szoftvertermékek csomagolása : ISO/IEC 927 Életciklus-folyamatok: ISO/IEC 2207 Szoftverminőség: ISO/IEC 926 ISO 900 szoftvernyelven : ISO/IEC Mérési folyamat: ISO/IEC 5939 Folyamatfelmérés: ISO/IEC 5504 CMMI alapja ÜZEMELTETÉS: Az informatikaszolgáltatás irányításának szabványa (ITIL, BS 5000 és ISO/IEC 20000)

4 Üzleti tevékenység Az üzemeltetés szerepe Informatika fejlesztése Informatika fejlesztése Üzleti tevékenység Informatika üzemeltetése Informatika üzemeltetése Informatikaüzemeltetés és üzleti tevékenység kapcsolata / Üzleti tevékenység Ügyintézők (felhasználók) Vezetők (megrendelők) i n c i d e n s e k S L A - k Informatikaüzemeltetés Támogatás Tervezés és felügyelet

5 Informatikaüzemeltetés és üzleti tevékenység kapcsolata / 2 p a n a s z o k é s k é r é s e k Ügyintézők (felhasználók) Ügyfélszolgálat és javítás j a v a s l a t o k Vezetők (megrendelők) S L A - k Á l l a p o t i n f o r m á c i ó k Szolgáltatástervezés Állapotfelügyelet v á l t o z - t a t á s o k v á l t o z - t a t á s o k c é l o k é s e r ő f o r r á s o k Rendelkezésre állás és kapacitás felügyelete t e r v e k Kapacitásbiztosítás Szolgáltatás folytonosságának és rendelkezésre állásának biztosítása Kiadási folyamat Kiadáskezelés BS 5000 (Az ITIL, mint brit szabvány) Szolgáltatásbiztosítási folyamatok Szolgáltatási szint biztosítása Szolgáltatásjelentés Állapotfelügyeleti folyamatok Konfigurációkezelés Változáskezelés Javítási folyamatok Incidenskezelés Problémakezelés Információvédelem biztosítása Informatikaszolgáltatás költségvetése és számvitele Kapcsolattartási folyamatok Üzleti kapcsolat kezelése Szállítókezelés

6 ISO/IEC (Az ITIL, mint nemzetközi szabvány) Magyar szabvány MSZ ISO/IEC Magyar 2005 előszabvány MSZE Kormányzati (ITB) ajánlás Nemzetközi 2007 szabvány ISO/IEC Brit szabvány (BS 5000) De facto ajánlás nemzetközi szinten (itsmf) Bevált vállalati/intézményi gyakorlat Üzemeltetés és fejlesztés kapcsolata Rendelkezésre állás biztosítása nem-funkcionális követelmények teljesítmény- Tervezés változtatási kérelem Ismert hibák Prototípuskészítés Kapacitásbiztosítáprototípus teljesítmény- változtatási kérelem Változáskezelés változtatás ismert hibák Probléma- Kezelés változtatási kérelem prototípus tezst eredmények teszteredmények megmaradt hibák teszt eredmények változtatás Kivitelezés (Programozás) Kiadáskezelés Átvételi tesztelés Karbantartás új verzió Változáskezelés Szoftvertár Régi verzió

7 Üzemeltetés és védelem kapcsolata ITIL és BS 7799 Üzemeltetés és védelem kapcsolata / 2 Védelmi követelmény (BS 7799) Üzemeltetési ajánlás (ITIL) Védelmi politika Az SLA tartalmazza a konkrét védelmi követelményeket Védelmi követelmények külső szerződésekben (3. fél, kiszerv.) Védelmi követelmények a beszállítókkal kötött SLA-kban Az információvédelem összehangolása A szolgáltatásvezető feladata az SLA összehangolása Vagyontárgyak felügyelete Az informatikai infrastruktúra változásainak felügyelete (Változáskezelés) Vagyonleltár Konfigurációs adatbázis, hiteles szoftver- és hardvertár (Konfig.- és kiadáskezelés)

8 Üzemeltetés és védelem kapcsolata / 3 Védelmi követelmény (BS 7799) A védelem fizikai és környezeti kérdései Rendszeres kockázatelemzés a Folytonosságbiztosítás részeként A kommunikáció és az üzemeltetés irányítása Kapcsolódó Infokom infrastruktúra menedzsmenje c. könyv Kapacitástervezés Kapacitásbiztosítás Rendszerelfogadás Változáskezelés Rendszerhasználat figyelése Kapacitásbiztosítás Változáskezelési eljárások Változáskezelés Biztonsági másolat, adatmentés Eseménynaplózás Üzemeltetési ajánlás (ITIL) Rendelkezésre állás biztosítása Incidenskezelés Üzemeltetés és védelem kapcsolata / 4 Védelmi követelmény (BS 7799) Incidensek bejelentése Tanulás az incidensekből Adatcsere-megállapodások Hozzáférésellenőrzés Program forrás-könyvtár Követelmények a rendszerek biztonságára Működésfolytonosság fenntartása Üzemeltetési ajánlás (ITIL) Ügyfélszolgálat Problémakezelés SLA Rendelkezésre állás biztosítása (védelmi követelmények megvalósítása) Kiadáskezelés (hiteles szoftvertár) SLA Folytonosságbiztosítás

9 VÉDELEM: Információvédelem irányításának nemzetközi szabványa (BS 7799 és ami utána jön) BS 7799 Közel egy évtizede használt, igen elterjedt, 2 részből álló szabvány: BS 7799-:2000 Informatika. Az információvédelmi irányítási rendszerek gyakorlati kézikönyve BS :2002 Az. információvédelem irányítási rendszerei. Előírás és útmatatás a használatra ISO/IEC 7799 a brit BS ú.n. gyorsított eljárással történt átvétele, beemelése az ISO szabványok körébe Jelenleg módosítás alatt (idén jelenik meg új kiadása) Magyarországon: MSZ ISO/IEC 7799:200 BS nemzetközileg széles körben, de nem hivatalosan elfogadott követelményszabvány, amit tanúsításra használnak Mellette: pl. Anglia, Hollandia, Svédország, Japán Ellene: pl. Franciaország, Németország, USA, Kanada, Ausztrália Magyarországon: MSZE :2004 Problémák a BS 7799-cel: A követelményrendszer helyenként túl esetleges, könnyen meghaladhatja a technológia Nem fogalmaz meg kellő előírást a kockázatmenedzsment alkalmazására az információvédelem vonatkozásában Nincs kellő összhangban más elterjedt cél- és követelményrendszerekkel (pl. COBIT, Common Criteria - ISO/IEC 5408) Nem határozza meg a védelmi intézkedések eredményességvizsgálatának módját Alkalmazható-e klasszikus tanúsítási rendszer olyan gyorsan változó területen mint az IT?

10 BS tanúsított szervezetek országonként Japán Nagy-Britannia USA Írország 9 8 Argentina Egyiptom India 34 Kína 6 Makaó Németország 24 Svédország 4 Malajzia Korea 23 Ausztria 3 Hollandia Tajvan 20 Brazila 3 Lengyelország Olaszország 8 Izland 3 Qatar Hong Kong 5 Mexikó 3 Szaúd-Arábia Szingapúr Svájc 3 Szlovénia Ausztrália 0 Belgium 2 Dél-Afrika Finnország 0 Dánia 2 Spanyolország Magyarország Norvégia 9 9 Görögország UAE 2 2 Összesen 744 BS szerint tanúsított, magyar szervezetek Cég Állami Nyomda Rt, Budapest Eurotronik Rt. Giro Bankkártya Rt. HERMES Softlab Kft HM EI Rt. Magar Pénzjegynyomda Rt. Magyar Vállalkozásfejlesztési Kht. MICROSEC Kft PSZÁF A tanúsítvány száma 4/ AIS-SKM-SWEDAC AIS-SKM-SWEDAC GB04/ GB04/6624 Tanúsító szervezet CIS DNV KPMG Audit LRQA URS DNV SGS ICS LRQA SGS ICS

11 Térkép az információvédelmi szabványokhoz Információvédelmi irányítási rendszer (ISMS) követelményei BS ISO/IEC Műszaki szabványok és leírások Hálózatvédelem Titkosítás Digitális aláírás Időbélyegzés Hitelesítés Hozzáférésellenőrzés Letagadhatatlanság TTP-szolgáltatások Kulcsgondozás Lenyomatképzés Útmutatás/előírás folyamatokra Infokom védelem ISO 900 modelljei IS BS 5000 (ITIL) SSE-CMM IS 2827 Útmutatás ellenintézkedések megvalósítására IS 7799 Behatolásészlelés TR 5947 Kockázatkezelés IS Információbiztonsági incidensek kezelése Termék/rendszer tesztelése és értékelése Közös szempontok IS 5408 Keret az informatikai védelem biztosításához Védelmi profilok nyilv. IS 5292 Mérés IS Rendszerértékelés Irányítási rendszer auditálása, tanúsítása, akkreditálás ISO 90 EN 4503 ISO 62-es útmutató EN 4502 EA 7/3 EN 450 NIST SP NIST SP NIST SP A Védelmi profilok megadása Kriptográfiai modulok értékelése (FIPS 40-2) Honosított Honosítás alatt lévő Honosítási tervben szerepel Védelmi szabványok magyarul /. Az információvédelem irányítási BS rendszere. Előírás és útmutatás a használatra 2. Az informatikaszolgáltatás irányítása BS Kulcsgondozás Időbélyegzési szolgáltatások Az informatikai behatolásérzékelés keretszabálya ISO/IEC 770 ISO/IEC 804 ISO/IEC TR A hozzáférésellenőrzés ISO/IEC 586 biztonsági információobjektumai MSZE MSZE 500 MSZ ISO/IEC 770 MSZ ISO/IEC 804 MSZ ISO/IEC TR 5947 MSZ ISO/IEC 586 Előszabványok (MSZE)

12 Védelmi szabványok magyarul / 2. Az informatikai biztonságértékelés közös szempontjai (CC) 2. Az információvédelmi irányítási rendszerek gyakorlati kézikönyve 3. Útmutatás az informatikai biztonság menedzseléséhez 4. Digitális aláírás függelékkel 5. Letagadhatatlanság 6. Előírás bizalmi harmadik felek (TTP) digitális aláírás alkalmazását támogató szolgáltatásaira ISO/IEC 5408 ISO/IEC 7799 ISO/IEC 3335 ISO/IEC 4888 ISO/IEC 3888 ISO/IEC 5945 MSZ ISO/IEC 5408 MSZ ISO/IEC 7799 MSZ ISO/IEC 3335 MSZ ISO/IEC 4888 MSZ ISO/IEC 3888 MSZ ISO/IEC 5945 Információvédelmi szabványok hierarchikus rendszere Terminológia ISO 73-as útmutató SC7 SD6 aktualizált, harmonizált Alapelvek Keretek Alapvető szabványok Alkalmazási útmutatók és kiegészítők Inf. védelemirányítási rendszer (NP 24743) Auditálás ISO 90 Az információvédelem irányításának (ISM) alapelvei Inf. védelemirányítási keretrendszer ISM gyakorlati kézikönyve (IS 7799 / ITU-T X.???) Útmutató a pénzügyi ISM-re (TC 68) MICTS- Modellek és fogalmak (IS 3335-) MICTS-2 Kockázatkezelés (IS ) Útmutató a távközlési ISM-re: T-ISMS (ITU-T X.05) ISM mérőszámok és mérések (NP 24742) Útmutató az egészségügyi ISM-re (TC 25) Technikák gyűjteménye Információbiztonsági incidenskezelés (TR 8044) Informatikai behatolásvédelmi keretrendszer (TR 5947) Informatikai hálózatvédelem (IS 8028 / ITU-T X.???) Útmutató TTPszolgáltatásokra (IS 456 / ITU-T X.842)

13 Hogyan lehet az eredményességet bemutatni? ISO/IEC (BS nemzetközi változata): A védelmi intézkedések megvalósításának tervezésével kapcsolatban a szabvány olyan követelményeket is fog tartalmazni, amelyek biztonsági mutatókkal kapcsolatosak, és amelyek a megvalósított intézkedések eredményességének meghatározására irányulnak az ilyen mutatók használatával Új szabvány (ISO/IEC 24742): Mérőszámok és mérések az információvédelem irányításához ISMS-szabványok és a PDCA-modell Kockázatkezelés ISO/IEC Fogalmi keret ISO/IEC Az információvédelem irányítási rendszere (ISMS) ISO/IEC Termékszintű biztonságértékelés ISO/IEC 5408 Útmutatás védelmi intézkedések megvalósítására ISO/IEC 7799 Útmutatás ISMS megvalósítása ISO/IEC X Ellenőrzés Beavatkozás Tervezés Végrehajtás Mérőszámok és mérések az információvédelem irányításához ISO/IEC ISMS auditálása ISO 90 Létező Átdolgozás alatt Új Tervezett

14 Az ISMS-szabványosítás (ISO/IEC 24743) folyamata Egyetlen (egy részből álló) nemzetközi szabvány Gyorsított ütemű szabványosítás október: Az új szabványosítási tevékenység elfogadása április: szabványbizottság (SC27) szintű javaslat április: ISO/IEC szintű javaslat október: a szabvány publikálása A gyorsított ütemnek azért van esélye, mert a tervezett szabvány létező szabványokra fog alapulni összhangban a BS :2002-vel befektetések védelme, kompatibilitás A külön szabvány (ISO/IEC 24742) a mérőszámok és mérés témakörében (Ausztrália, Németország, USA kérésére) 2008-ra