Standardy kybernetické bezpečnosti
Standardy kybernetické bezpečnosti jsou digitální bezpečnostní techniky vyvinuté k zabránění nebo zmírnění kybernetických útoků. Tyto příručky obsahují obecné obrysy, jakož i specifické techniky pro implementování kybernetické bezpečnosti. Pro určité normy lze získat certifikaci akreditovaným orgánem. Existuje mnoho výhod, které stojí za získání certifikace včetně možnosti získání kybernetického pojištění.
V anglickém jazyce je možné pojem „kybernetická bezpečnost“ napsat odděleně (cyber security) nebo dohromady (cybersecurity). Záviselo to na instituci, ve které byly rozpory se staršími dokumenty.[1] Avšak poté, co bylo vládou USA vydáno nařízení k tomuto tématu (viz U.S. Federal Executive Order (EO) 13636) s názvem “Improving Critical Infrastructure Cybersecurity” (Česky: Zlepšení kritické infrastruktury kybernetické bezpečnosti), většina internetových fór a médií přijala výraz „cybersecurity“ jako jediné slovo.
Historie
editovatNormy kybernetické bezpečnosti byly v nedávné době vytvořeny proto, že se nyní často ukládají citlivé informace na počítače, připojené k internetu, přes který mohou být tyto informace napadeny. Také se na počítačích provádí mnoho úloh, které nejsou spuštěny jejich uživateli, ale samotnými počítači (např. tzv. updates). Proto je potřeba nějakým způsobem zajišťovat informace (Information assurance) a bezpečnost.
ISO 27001 a ISO 27002
editovat'ISO / IEC 27001: 2013' , který je součástí rostoucí ISO / IEC 27000 rodiny standardů, je systém řízení bezpečnosti informací (ISMS) standard zveřejněn v říjnu roku 2013 na Mezinárodní organizace pro normalizaci (ISO) a Mezinárodní elektrotechnické komise (IEC). Jeho celé jméno je ISO / IEC 27001: 2013 - Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky . Anglicky: ISO/IEC 27001:2013 – Information technology – Security techniques – Information security management systems – Requirements
ISO / IEC 27001: 2013 formálně určuje systém řízení, který je určený k dosažení bezpečnosti informací v rámci explicitní kontroly managementu.
ISO / IEC 27002 zahrnuje zejména část 1 ze BS 7799. Nejnovější verze BS7799 je BS7799-3. Někdy je ISO / IEC 27002 proto označován jako ISO 17799 nebo BS 7799 část 1 a někdy se vztahuje k části 1 a části 7. BS 7799 část 1 poskytuje přehled nebo dobrou praktickou příručku pro správu kybernetické bezpečnosti; zatímco BS 7799 část 2 a ISO 27001 jsou normativní, a proto poskytují rámec pro certifikaci. ISO / IEC 27002 je kvalitní průvodce kybernetické bezpečnosti. Nejvíce prospěšný je díky vysvětleným pokynům pro řízení organizace a pro získaní certifikace podle normy ISO 27001. Jednou získaná certifikace trvá tři roky. V závislosti na auditorské organizaci, žádný nebo některé pokročilé audity mohou být prováděny během tří let.
ISO 27001 (ISMS) nahrazuje BS 7799 část 2, ale protože je zpětně kompatibilní, jakákoliv organizace která pracuje na BS 7799 části 2 může snadno přejít do certifikačního procesu ISO 27001. K dispozici je také pro zjednodušení přechodný audit. Jakmile je organizace certifikovaná BS 7799 částí 2, získává ISO 27001 certifikaci. ISO / IEC 27002 poskytuje doporučení na osvědčený postup v oblasti řízení bezpečnosti informací pro použití osoby odpovědné za iniciování, zavedení nebo udržování systémů řízení informační bezpečnosti (ISMS). Od systémů informační bezpečnosti je požadováno, aby implementovaly ISO 27002 kontrolní cíle. Bez ISO 27001, jsou ISO 27002 kontrolní cíle neúčinné. ISO 27002 kontrolní cíle jsou začleněny do ISO 27001 v příloze A.
ISO / IEC 21827 (SSE-CMM – ISO / IEC 21827), je mezinárodní norma vycházející z bezpečnostních systémů Engineering Capability Maturity Model (SSE-CMM), který může měřit platnosti ISO kontrolních cílů.
Standard of Good Practice
editovatV letech 1990-1999, Information Security Forum (ISF) zveřejnil úplný seznam osvědčených postupů pro bezpečnost informací, publikovaný jako Standards of Good Practice (SoGP). ISF pokračoval v aktualizacích SoGP každé dva roky. Poslední verze byla zveřejněna v roce 2013.
Původně Standards of Good Practice byl soukromý dokument k dispozici pouze pro členy ISF, ale po vytvoření úplného dokumentu, byl tento dokument k prodeji pro širokou veřejnost. Navíc je důležité pro ty, kteří mají na starosti řízení bezpečností.
NERC
editovatNorth American Electric Reliability Corporation (NERC) vytvořila mnoho standardů. Nejvíce široce uznávána je NERC 1300, která je modifikací / aktualizací NERC 1200. Nejnovější verze NERC 1300 se nazývá CIP-002-3 prostřednictvím CIP-009-3 (CIP = ochrana kritické infrastruktury). Tyto normy se používají k zajištění hromadných elektrických systémů, i když NERC vytvořila standardy v rámci jiných oblastí. Standardy hromadných elektrických systémů také poskytují administrativu zabezpečení sítě, zatímco stále podporují osvědčené postupy průmyslových procesů. [1] .
NIST
editovat- Speciální publikace 800-12 poskytuje široký přehled o počítačové bezpečnosti a kontrolních oblastí. Také zdůrazňuje význam bezpečnostních kontrol a způsobů jejich provedení. Původně tento dokument byl zaměřen na federální vládu, i když většina postupů v tomto dokumentu mohou být použity v soukromému sektoru. Konkrétně to bylo psáno pro lidi ve federální vládě, kteří jsou odpovědní za manipulaci s citlivými systémy. [2]
- Speciální publikace 800-14 popisuje společné bezpečnostní zásady, které jsou používány. Ta poskytuje kvalitní popis toho, co by mělo být začleněno do politiky počítačové bezpečnosti a popisuje, co lze udělat pro zlepšení stávajícího zabezpečení a jak vyvinout novou bezpečnostní praxi. V tomto dokumentu je popsáno osm principů a čtrnáct praktik. [3]
- Speciální publikace 800-26 poskytuje rady o tom, jak řídit IT bezpečnost. Tento dokument zdůrazňuje sebehodnocení a hodnocení rizik. [4]
- Speciální publikace 800-37, aktualizované v roce 2010 poskytuje nový přístup k rizikům: "Příručka pro uplatňování rámce řízení rizik pro Federální Informační Systemy", anglicky "Guide for Applying the Risk Management Framework to Federal Information Systems"
- Speciální publikace 800-53 rev4, "Bezpečnostní a soukromé kontroly pro Federální Informační systémy a organizace", anglicky "Security and Privacy Controls for Federal Information Systems and Organizations." To bylo publikováno 04. 2013 a doplněno o aktualizace z 15. ledna 2014, speciálně se zaměřuje na 194 bezpečnostních kontrol, které jsou použity na systémy, za účelem vylepšit jejich „bezpečnost.“
ISO 15408
editovatTato norma rozvijí to, co se nazývá "Common Criteria". Ta umožňuje mnoho různým softwarovým aplikacím být integrovány a testovány bezpečným způsobem.
RFC (Request for Comments) 2196 je memorandum publikováno komisí Internet Engineering Task Force pro vyvíjení bezpečnostních zásad a postupů pro informační systémy připojené k Internetu. RFC 2196 poskytuje obecný a široký přehled o informační bezpečnosti, včetně zabezpečení sítě, reakce na incidenty, nebo zásady zabezpečení. Dokument je velmi praktický a zaměřuje se na každodenní operace.
ISA/IEC-62443 (původně ISA-99)
editovatISA / IEC-62443 je řada norem, technických zpráv a souvisejících informací, které definují postupy pro implementování elektronického zabezpečení průmyslové automatizace a kontrolních systémů (IACS). Tyto pokyny se vztahují na koncového uživatele (tj vlastníka majetku), systémové integrátory, bezpečnostní praktiky, a výrobce řídicích systémů odpovědné za výrobu, projektování, implementování, nebo řízení průmyslové automatizace a kontrolních systémů.
Tyto dokumenty byly původně značeny jako ANSI/ISA-99 nebo ISA99 standardy, protože byly vytvořeny Mezinárodní společností pro automatizaci (ISA) a veřejně vydaný Americkým Národním standardizačním institutem (ANSI). V roce 2010 byly nově označeny jako ANSI/ISA-62443. Tato změna byla určena k uspořádání ISA a ANSI dokumentů a k označení těchto dokumentů podle odpovídajících norem z Mezinárodní elektrotechnické komise.
Všechny pracovní ISA produkty jsou nyní očíslovány pomocí konvence "ISA-62443-xy" a předchozí ISA99 nomenklatura se udržuje pouze pro kontinuitu. Odpovídající dokumenty IEC jsou uváděný jako "IEC 62443-xy". Schválené verze IEC a ISA jsou obecně shodné pro všechny funkční účely.
ISA99 zůstal název od výboru průmyslové automatizace a výboru systému řízení bezpečnosti ISA. Od roku 2002, výbor vyvíjí multi-part série norem a technických zpráv na toto téma. Tyto pracovní produkty jsou pak poslány do ISA ke schválení a publikaci pod ANSI. Také jsou také poslány do IEC k posouzení a schválení jako standardy a specifikace v souboru IEC 62443.
Všechny ISA-62443 standardy a technické zprávy jsou uspořádány do čtyř hlavních kategorií zvaných General, Policies and Procedures, System, and Component.
- První (top) kategorie zahrnuje obecné nebo základní informace, jako jsou koncepty, modely a terminologie. Zahrnuty jsou také pracovní produkty, které popisují bezpečnostní metriky a bezpečnostní životní cykly pro IACS.
- Druhá kategorie pracovních produktů se zaměřuje na majetek vlastníka. Ty řeší různé aspekty vytváření a udržování efektivního bezpečnostního programu IACS.
- Třetí kategorie zahrnuje pracovní výrobky, které popisují pokyny návrhu systému a požadavky pro bezpečnou integraci řídicích systémů.
- Čtvrtá kategorie zahrnuje pracovní produkty, které popisují specifický vývoj produktů a technických požadavků systému kontrolování produktů. Toto je primárně určeno pro kontrolu dodavatelů produktů, ale může být použit integrátorem a vlastníků majetku pro pomáhání při zadávání veřejných zakázek bezpečných produktů.
Plánované a publikované ISA-62443 dokumenty jsou:
- Group 1: General
- ISA-62443-1-1 (IEC/TS 62443-1-1) (dříve označován jako "ISA-99 Part 1") byl původně publikován jako norma ISA ANSI / ISA-99.00.01-2007, jakož i IEC technické specifikace IEC / TS 62443-1-1. ISA99 výbor to v současné době přehodnocuje, aby byl v souladu s ostatními sériemi dokumentů, a pro objasnění normativního obsahu.
- ISA-TR62443-1-2 (IEC 62443-1-2) je hlavní slovníček pojmů používaných v ISA99 výboru. Tento dokument je pracovní koncept, ale obsah je k dispozici na ISA99 committee Wiki.
- ISA-62443-1-3 (IEC 62443-1-3) identifikuje sadu dodržovacích metrik pro IACS bezpečnost. Tento dokument je v současné době ve fázi vývoje, a výbor bude uvolňovat návrh k podání připomínek v roce 2013.
- ISA-62443-1-4 (IEC/TS 62443-1-4) definuje bezpečnost životních cyklů a případy užití IACS. Tento pracovní produkt byl navržen jako součást série, ale od ledna 2013 dosud nezačal vývoj.
- Group 2: Policy and Procedure
- ISA-62443-2-1 (IEC 62443-2-1) (formerly referred to as "ANSI/ISA 99.02.01-2009 or ISA-99 Part 2") řeší, jak vytvořit IACS bezpečnostní program. Tato norma je schválena a vydána IEC jako IEC 62443-2-1. Nyní probíhá revize, která umožní užší sbližování se sérií norem ISO 27000.
- ISA-62443-2-2 (IEC 62443-2-2) řeší, jak provozovat IACS bezpečnostní program. Tato norma je v současné době ve vývoji.
- ISA-TR62443-2-3 (IEC/TR 62443-2-3) je technická zpráva na téma oprava managementu v IACS prostředí. Tato zpráva je v současné době ve vývoji.
- ISA-62443-2-4 (IEC 62443-2-4) se zaměřuje certifikaci IACS dodavatelů bezpečnostních zásad a praktik. Tento dokument byl převzat z organizace WIB a nyní je pracovní produkt IEC TC65 / WG10 výboru. Navrhovaná ISA verze bude národní publikace US normy IEC.
- Group 3: System Integrator
- ISA-TR62443-3-1 (IEC/TR 62443-3-1) je technická zpráva na téma vhodné technologie pro IACS bezpečnost. Tato zpráva je schválena a publikována jako ANSI / ISA-TR99.00.01-2007 a je v současné době revidovaná.
- ISA-62443-3-2 (IEC 62443-3-2) řeší, jak definovat úrovně zajišťování bezpečnosti pomocí zón a vedení koncepce. Tato norma je v současné době ve vývoji.
- ISA-62443-3-3 (IEC 62443-3-3) stanovuje podrobné technické požadavky na bezpečnost IACS. Tato norma byla zveřejněna jako ANSI / ISA-62443-3-3 (99.03.03) -2013. Ta byla předtím označována jako ISA-99.03.03.
- Group 4: Component Provider
- ISA-62443-4-1 (IEC 62443-4-1) řeší požadavky na vývoj IACS bezpečných produktů a řešení. Tato norma je v současné době ve vývoji.
- ISA-62443-4-2 (IEC 62443-4-2) série řešení podrobných technických požadavků pro IACS úroveň komponentů. Tato norma je v současné době ve vývoji.
Více informací o aktivitách a plánech ISA99 výboru lze nalézt na :ISA99 committee Wiki site. Pro více informací o činnosti IEC TC65 / WG10 výboru lze nalézt IEC TC65 site.
IEC 62443 Conformity Assessment Program
editovatISA Institut na dodržování bezpečnosti (ISCI) www.isasecure.org provozuje první systém posuzování shody pro IEC 62443 IACS kybernetické bezpečnostní standardy. Tento program osvědčuje Commercial off-the-shelf (COTS) produkty a systémy IACS, zabezpečení adresování IACS dodavatelského řetězce.
Certification Offerings Dvě certifikace COTS produktů jsou k dispozici pod ISASecure® brand: ISASecure-EDSA (Embedded Device Security Assurance), který certifikují produkty IACS na IEC 62443-4-2 IACS kybernetické bezpečností standardy a ISASecure-SSA (System Security Assurance), certifikují IACS systémy na IEC 62443-3-3 IACS kybernetické bezpečnostní standardy.
Třetí certifikace, k dispozici je SDLA (Secure Development Lifecycle Assurance), ta potvrzuje vývojové organizace IACS na IEC 62443-4-1 kybernetické bezpečnosti normy, poskytující záruku, že dodavatelská organizace má institucionalizované kybernetické bezpečnosti do jejich produktů vývojových praktik.
ISO 17065 and Global Accreditation ISASecure 62443 Systém posuzování shody je program ISO 17065, jehož laboratoře (certifikační orgány nebo CB) jsou nezávisle akreditovány ANSI / ANAB, JAB a dalšími globálními ISO 17011 akreditačními orgány (AB). Certifikační laboratoře musí splňovat požadavky normy ISO 17025 akreditace s cílem zajistit důsledné uplatňování požadavků na osvědčování a uznávaní nástrojů.
Prostřednictvím „Mutual Recognition Arrangements“ (MRA) s IAF, ILAC a jiných, akreditace ISASecure laboratoří pomocí ISA 17011 akreditačních orgánů zajišťuje, že certifikáty vydaný na kteroukoli ISASecure laboratoř jsou celosvětově uznávané.
Test Tool Recognition ISASecure schéma zahrnuje postup pro rozpoznávání testovacích nástrojů k zajištění splnění funkčních požadavků nutných a postačujících k provádění všech požadovaných testů produktů, a že výsledky testů budou konzistentní mezi uznávanými nástroji.
Chemicals, Oil and Gas Industries Vývojové procesy ISCI zahrnují zásady údržby, aby bylo zajištěno, že ISASecure certifikace zůstanou v uspořádání s normami IEC 62443 tak, jak se vyvíjejí. Zatímco normy IEC 62443 jsou navrženy tak, aby horizontálně proslovovaly technické požadavky kybernetické bezpečnosti z průřezu zpracovatelského průmyslu. Požadavky na certifikaci ISASecure programů již byly prověřeny zástupci chemického a ropného a plynárenského průmyslu a reflektují potřeby kybernetické bezpečnosti.
IASME
editovatIASME je standard (pocházející ze Spojeného království) pro zajišťování informací na malé a střední podniky (MSP).[2] Poskytuje kritéria a certifikace pro malé až středně připravené podniky kybernetické bezpečnosti. To také umožňuje malým až středním podnikům, poskytnout potenciální a stávající zákazníky a klienty s akreditovaným měřením postavení kybernetické bezpečnosti podniku a jeho ochraně osobních údajů / obchodních dat.
IASME byla založena s cílem umožnit podnikům s kapitalizací 1,1 miliardy liber nebo méně (1,5 miliardy eur; 2 miliardy dolarů) dosáhnout akreditaci podobnou ISO 27001, ale se sníženou složitostí, náklady a administrativní režií (zejména se zaměřením na SME v rozeznání, že je obtížné pro malé podniky dosáhnout a udržet ISO 27001).
Náklady na certifikaci se postupně zvyšovaly s ohledem na počet zaměstnanců malých a středních podniků (např, 10 a méně, 11-25, 26-100, 101-250 zaměstnanců). Certifikace může být založena na sebehodnocení s IASME dotazníku nebo profesionálního posudku třetí strany. Některé pojišťovny snižují pojistné pro kybernetickou bezpečnost související s certifikaci IASME.
Doporučené články
editovat- 201 CMR 17.00 (Massachusetts Standards for the Protection of Personal Information)
- BS 7799
- Common Criteria
- Computer security
- Computer Security Policy
- Information security
- Information assurance
- ISO/IEC 27002
- IT Baseline Protection Catalogs
- North American Electric Reliability Corporation (NERC)
- National Institute of Standards and Technology (NIST)
- Payment Card Industry Data Security Standard
- Privacy engineering
- Standard of Good Practice
- Semantic service-oriented architecture (SSOA)
- ISA-99 Security for Industrial Automation and Control Systems
- Control system security
- Information security indicators
Odkazy
editovatReference
editovat- ^ Department of Homeland Security, A Comparison of Cyber Security Standards Developed by the Oil and Gas Segment. (November 5, 2004)
- ^ Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)
- ^ National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12.
- ^ Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).
- ^ The North American Electric Reliability Council (NERC). http://www.nerc.com. Retrieved November 12, 2005.
- ↑ Guidelines for Smart Grid Cyber Security [online]. National Institute of Standards and Technology, 2010-08-01 [cit. 2014-03-30]. Dostupné online.
- ↑ http://www.iasme.co.uk
Externí odkazy
editovat- ISA99 info
- isasecure.org site
- ISO webpage
- NERC Standards (see CIP 002-009) Archivováno 1. 1. 2011 na Wayback Machine.
- NIST webpage
- Securing Cyberspace-Media Archivováno 20. 12. 2005 na Wayback Machine.
- Presentation by Professor William Sanders, University of Illinois
- Carnegie Mellon University Portal for Cybersecurity
- Critical Infrastructure Protection
- Global Cybersecurity Policy Conference