Yfir til valmyndar
Forsíða : Þjónusta : Upplýsingaöryggi

Staðalinn ISO/IEC 17799

Breski staðallinn BS 7799 Information Security Management hefur notið almennra vinsælda og náð mikilli útbreiðslu. Eins og nafn hans gefur til kynna, leggur hann til stjórnunarlegar aðferðir fyrir upplýsingavernd.

Staðallinn er útfærsla á leiðbeiningum frá ISO (International Standards Organisation) og IEC (International Electrotechnical Commission), um upplýsingaöryggi. ISO og IEC hafa átt nána samvinnu við útfærslu staðla í tengslum við upplýsingatækni. Meðal þess sem komið hefur út úr þeirri samvinnu er ISO/IEC TR 13335 Guidelines for the management of IT Security (TR stendur fyrir Technical Report).

BS 7799 kom fyrst út 1995 og var þá, í anda ISO/IEC 13335, að einhverju leiti tæknilega háð framsetning á upplýsingaöryggi. Í fyrstu endurskoðun, sem gefin var út sem staðall árið 1999, var ákveðið að víkja frá þessu og gera staðalinn óháðan tæknilegum útfærslum á upplýsingakerfum og alþjóðlegan. Annar staðall ISO/IEC 15408 Evaluation Criteria for IT Security (einnig til sem Common Criteria útgáfa 2.0) leggur til aðferðafræði til að ákveða öryggisviðmið og meta hvernig tæknilegar útfærslur uppfylla þessi viðmið. Þessir tveir staðlar, þ.e. BS 7799 og Common Criteria, eru því oft notaðir saman, annar fyrir stjórnunarþáttinn og hinn tæknilega þáttinn.

BS 7799 hefur víða verið tekinn upp sem staðall. Þannig er í undirbúningi á vegum Staðlaráðs Íslands íslenskur staðall. Verður hann líklegast samþykktur á vormánuðum 2001. Hægt er að panta staðlana á heimsíðu Staðlaráðs Íslands. Hjá ISO/IEC er í vinnslu alþjóðlegur staðall ISO/IEC 17799 og er hann væntanlegur 2002. Bæði Svíar og Finnar hafa gert BS 7799 að landsstaðli og sama gildir um Ástrala og Nýsjálendinga, svo einhverjir séu nefndir.

BS 7799 Information Security Management/ÍST BS 7799 Upplýsingavernd kemur í tveimur hlutum:

  • Hluti 1 Verklagsreglur fyrir stjórnun upplýsingaöryggis (Code of Practise for Information Security Management) inniheldur verklagsreglur og leggur til leiðbeiningar varðandi hluta 2.
  • Hluti 2 Kröfulýsing fyrir kerfi fyrir upplýsingaöryggisstjórnun (Specification for information security management systems) er stjórnunarstaðall og skilgreinir stjórnunarrammann, markmið og nauðsynleg viðmið fyrir upplýsingaöryggisstjórnunarkerfin (Information Security Management System (ISMS)).

 

BS 7799 bíður uppá vottunarferli sem virkar líkt og ISO 9000. Í reynd er margt líkt með ISO 9000 og BS 7799. Þannig er ISO 9000 með gæðastefnu og gæðastjórnunarkerfi, en BS 7799 með öryggisstefnu og ISMS.

 

Hluti 1: Verklagsreglur fyrir stjórnun upplýsingaöryggi


BS 7799 inniheldur 127 öryggisviðmið sem skipt er upp í 10 megin flokka til að auðvelda notendum að finna þau öryggisviðmið sem eiga best við þeirra fyrirtæki eða ábyrgðarsvið. Þessu til viðbótar tiltekur staðallinn 10 lykil viðmið sem eru talin nauðsynleg ef tryggja á upplýsingaöryggi. Flokkarnir 10 eru eftirfarandi:

  1. Öryggisstefna (Security Policy)
  2. Skipulag öryggismála (Security Organisation)
  3. Ábyrgð á eignum og flokkun (Assets classification and control)
  4. Starfsmenn og öryggi (Personnel security)
  5. Ytra öryggi (Physical and environmental security)
  6. Rekstrar- og samskiptastjórnun (Communications and operations management)
  7. Aðgangsstjórnun (Access control)
  8. Kerfisþróun og viðhald (System development and maintenance)
  9. Neyðaráætlun (Business continuity planning)
  10. Samhæfni við stefnu, lög og reglur (Compliance)

Á þessu sést að BS 7799 leggur ekki aðeins til ítarleg öryggisviðmið fyrir vélbúnað (tölvur og netbúnað), heldur einnig leiðbeiningar um um öryggisstefnu, öryggisvitund starfsmanna, neyðaráætlanir og lagaleg skilyrði. Tilgangurinn með staðlinum er að draga fram fjölmörg atriði sem koma að góðum notum við að vernda upplýsingakerfi fyrirtækja, hvort sem þau eru stór, miðlungs eða smá. Þegar talað er um fyrirtæki skiptir ekki máli hvort um er að ræða fyrirtæki í hefðbundnum skilningi, ríkisstofnun, skóla eða heilbrigðisstofnun. Hafa verður í huga að þau viðmið, sem staðallinn tiltekur, eiga ekki við í öllum tilfellum. Því er ekki hægt að líta á þau sem ófrávíkjanleg skilyrði. Á sama hátt getur verið nauðsynlegt að bæta við viðmiðum sem henta tilteknum aðstæðum en eru ekki tiltekin í staðlinum.

Tíu viðmið eru teljast lykilviðmið, þ.e. viðmið sem þarf að taka á og uppfylla í öllum tilfellum. Þau eru:

  • Atriði 3.1.1 Skjalfest upplýsingaöryggisstefna: Starfsmenn ábyrgir fyrir öryggi upplýsinga skulu hafa aðgang að skriflegu stefnuskjali.
  • Atriði 4.1.3 Úthlutun ábyrgða: Skilgreina þarf afdráttarlaust hverjir bera ábyrgð á að framkvæma einstök öryggisferli.
  • Atriði 6.2.1 Fræðsla og þjálfun: Veita skal notendur nægilega öryggisfræðslu og tæknilega þjálfun.
  • Atriði 6.3.1 Skráning atvika: Öryggisbresti þarf að tilkynna eins fljótt og kostur er eftir réttum boðleiðum til stjórnenda.
  • Atriði 8.3.1 Vörn gegn hættulegum hugbúnaði: Úrræði til að leita að og verjast hættulegum hugbúnaði (t.d. vírusum) og viðeigandi fræðsla til notenda til að gera þá meðvitaða um þetta.
  • Atriði 11.1.1 Neyðaráætlun: Nota skal skipulagt ferli til að þróa og viðhalda neyðaráætlun fyrir allt fyrirtækið.
  • Atriði 12.1.2 Eignaréttur - höfundaréttur: Nota skal viðeigandi aðferðir til að tryggja að farið sé eftir lögum um höfundarétt og eignarétt við notkun efnis.
  • Atriði 12.1.3 Vernd mikilvægra viðskiptaupplýsinga: Mikilvægra viðskiptaupplýsingar (t.d. bókhaldsgögn) skal verja gegn tapi, eyðileggingu eða fölsun.
  • Atriði 12.1.4 Vernd viðkvæmra persónuupplýsinga: Hugbúnaður sem vinnur með persónuupplýsingar þarf að uppfylla ákvæði laga og reglugerða um persónuvernd.
  • Atriði 12.2.1 Öryggisstefnu fylgt í hvívetna: Stjórnendur skulu tryggja að öryggisferli á þeirra ábyrgð séu framkvæmd rétt. Sérhvert svæði innan fyrirtækis verður að koma til greina við skoðun á því hvort unnið sé samkvæmt öryggisstefnu og stöðlum.

 

Áhugi fyrir BS 7799 hefur aukist mjög mikið nýlega. Nokkur fyrirtæki hafa fengið vottun, m.a. fyrsti netbanki Bretlands. Fjölmörg önnur fyrirtæki hafa tekið upp staðalinn, þó ekki sé ætlunin að sækja um vottun á þessu stigi. Staðallinn hefur einnig náð hylli erlendis og hefur hann t.d. verið tekinn upp í Finnlandi. Reiknað er með að hann verði orðinn að alþjóðlegum staðli innan tíðar.

Sífellt fleiri aðilar eru að gera sér grein fyrir að öryggi upplýsinga getur verið lífsspursmál fyrir fyrirtæki og getur einnig skapað þeim forskot í samkeppni. Reikna má með því að áður en langt um líður verður öllum fyrirtækjum sem vinna með viðkvæmar upplýsingar, t.d. persónuupplýsingar, gert skilt að vinna eftir verklagsreglum sambærilegum við BS 7799. Einnig má búast við að upplýsingaöryggisvottun verði skilyrði fyrir þátttöku í fjölþjóðlegum verkefnum eða útboðum.

 

Hluti 2: Kröfulýsing fyrir kerfi til upplýsingaöryggisstjórnun


Hluti 2 skiptist í tvennt. Sá fyrri tiltekur hvaða skilyrði þarf að uppfylla þegar unnið er með BS 7799, sá síðari telur upp öll viðmiðin sem er að finna í hluta 1.


Hluti 2 bíður manni að horfa á upplýsingaeign í fjarlægð og meta þær í hugtökum eins og gæði og trúnaður. Sett er fram 6 þrepa ferli.


Fyrirtækið

Þjónusta

Vörur

Lynghálsi 9, 110 Reykjavík  /  Sími: 580 9200  /  Fax: 580 9266  /  Senda póst  /  Innri vefur starfsmanna

Leit

Leitarvél
IST ISO 9001 - vottun hf
Byggir á LiSA vefumsjónarkerfi frá Eskli