Szabványi háttér

ISO 27000-es szabványcsalád

Az ISO/IEC 27000-es szabványcsalád alapjául a Brit Szabványügyi Hivatal (BSI – British Standard Institute) által 1999-ben kiadott BS 7799 szabvány szolgált, mely több frissítési generáció után vált a Nemzetközi Szabványügyi Szervezet (ISO) által kiadott információ biztonság területén nemzetközileg is elfogadott és elismert ISO szabvány sorozatba illeszkedő gyűjteménnyé.
A család elemei a következők:

ISO/IEC 27001 – követelményszabvány, mely az információbiztonsági irányítási rendszer (ISMS) tanúsíthatóságát teszi lehetővé (kiadva 2005)
ISO/IEC 27002 – ISO 17799:2005 gyakorlati útmutató átnevezett, frissített változata (kiadva 2007 május)
ISO/IEC 27003 – új ISMS bevezetési útmutató
ISO/IEC 27004 – szabvány az információbiztonság mérésére és ellenőrzésére
ISO/IEC 27005 – javasolt szabvány kockázatkezelési eljárásokra (BS 7799-3:2006 utódja)
ISO/IEC 27006 – útmutató a tanúsítási eljáráshoz (kiadva 2007 március)
ISO/IEC 27007 – útmutató információbiztonsági irányítási rendszer (ISMS) auditáláshoz

ISO 27001

(előzőleg BS 7799-2:2002)
Az ISO 27001-es nemzetközi szabvány abból a célból készült, hogy modellként szolgáljon információbiztonsági irányítási rendszerek (ISMS) kialakításához, megvalósításához, működtetéséhez, figyelemmel kiséréséhez, átvizsgálásához, fenntartásához és fejlesztéséhez. Megfogalmazza továbbá azokat a követelményeket, melyek a szervezet információbiztonsági irányítási rendszerének külső szakértő általi ellenőrzését, illetve tanúsíthatóságát teszi lehetővé.

ISO 27002

előzőleg ISO 17799:2005, BS 7799-1:1999)

A ISO 27002 (Code of practice for Information Security Management – Az információbiztonság menedzsmentjének gyakorlati kódexe) alapvetően abban különbözik a korábbi informatikai biztonsági ajánlásoktól, hogy a biztonsági követelményeket és intézkedéseket a szervezet üzleti céljaiból és stratégiájából vezeti le, és a korábbi termékorientált szemléletet, illetve az értékelési, tanúsítási és minősítési folyamatok meghatározását egy szervezeti szintű, informatikai biztonságmenedzsment központú szemlélet váltotta fel. Az ISO 27002 szabvány nem követelményeket ír elő (így tanúsítás belőle nem is szerezhető), hanem – a minőségbiztosításra vonatkozó ISO 9000-es szabványokhoz hasonlóan – a teljes körű informatikai biztonság megteremtéséhez szükséges szervezési, szabályozási szempontrendszert adja meg.

ISO 90003

A legnehezebben kezelhető terület a szabványosítás szempontjából a szoftverfejlesztés és karbantartás. Azért van ez így, mert a szoftverfejlesztés és -karbantartás folyamata jelentősen eltér a legtöbb ipari termék hasonló folyamatától. Mivel nagyon gyorsan fejlődő technológiai területről van szó, ezért szükséges kiegészítő útmutatást adni minden olyan minőségügyi rendszer számára, amelyben szoftvertermékek is vannak.
A szoftverfejlesztés természetéből adódóan bizonyos tevékenységek a fejlesztés egyedi fázisaihoz kapcsolódnak csupán, míg mások annak teljes folyamatában alkalmazhatók. Az ISO 90003 szabvány előírásainak szerkezeti felépítése tükrözi az említett különbségeket. Így e szabvány szerkezetileg nem felel meg pontosan az ISO 9001 szabvány felépítésének, ezért kereszthivatkozásokkal látták el, amelyek megkönnyítik az ISO 9001 szabványra való hivatkozást.

ITIL (BS 15000:2000)

Az ITIL (IT Infrastructure Library) módszertant a CCTA (Central Computing and Telecommunications Agency – Központi Számítástechnikai és Telekommunikációs Ügynökség) munkatársai fejlesztették ki jó minőségű, költség-hatékony IT szolgáltatások támogatása céljából. Az ITIL a Service delivery és service support területén nyújt támogató funkciókat, mely az IT szolgáltatások teljes életciklusára: tervezésre, bevezetésre, működtetésre és újabb szolgáltatás bevezetésére kiterjed.
Az ITIL olyan következetes és átfogó dokumentáció, amely az informatikai iparágban elfogadott eljárások és a példaértékű gyakorlati módszertanok (best practices) gyűjteményét tartalmazza az informatikai szolgáltatások menedzselésének területén. Napjainkra – a kapcsolódó szakirodalomban található útmutatások alapján – egy teljes körű ITIL-filozófia fejlődött ki, amely megfelelő irányvonalat nyújt a minőségi informatikai szolgáltatások biztosításához.

COBIT 4.0

A Common Criteria és az ISO27001 mellett az ISACA (Information Systems Audit and Control Association – Nemzetközi Informatikai Auditorok Egyesülete) által kidolgozott COBIT (Control Objectives for Information and Related Technology) a harmadik olyan nemzetközi szabvány, amely alapján az informatikai rendszerek fejlesztését és biztonságosabbá tételét meg lehet valósítani.
A COBIT a nemzetközileg elfogadott informatikai kontroll célok olyan gyűjteménye, amely általánosan alkalmazható és elfogadott az informatikai biztonsági ellenőrzés és szabályozás területén.
A COBIT kialakításakor elsősorban három különböző szakmai csoport szempontrendszerét vették figyelembe:

  • A felső vezetésnek a folyamatosan változó informatikai környezet kockázatkezelésében, a kontrollok kialakításához szükséges beruházások mérlegelésében nyújt segítséget.
  • A felhasználók számára biztosítja az informatikai szolgáltatások kontrollját és biztonságát.

Az információrendszer ellenőrei számára pedig a belső kontrollok minősítéséhez, illetve a vezetés által megkívánt véleményezési, tanácsadói munkához teremti meg az egységes alapot.

Common Criteria 2.1 (ISO/IEC 15408:1999)

Az ITSEC 1.2 változatát az EU számára kísérleti célból 1991-ben adták ki. Ugyanakkor az EU, valamint az amerikai és a kanadai kormány támogatásával kidolgozásra került a Common Criteria (CC – Közös Követelmények) dokumentumtervezet, amely megpróbálta a korábbi ajánlások tartalmi és technikai eltéréseit összhangba hozni.
1998-ban jelent meg a Common Criteria 2.0 változata. A CC 2.0 dokumentumot – azonos tartalommal – az ISO/IEC is kiadta 15408 számon, ”Common Criteria for Information Technology Security Evaluation, version 2.0” címmel.
A CC feldolgozására és honosítására irányuló munka hazánkban 1997-ben kezdődött, majd 1998-ban az Informatikai Tárcaközi Bizottság (ITB) 16. sz. ajánlásaként kiadásra is került.
A Common Criteria fő jellemzői a következők:

  • Egységes, a megvalósítás módjától független, követelményeket határoz meg.
  • Egységes kiértékelési módszertant ad az informatikai rendszerek, termékek informatikai biztonsági értékeléséhez, tanúsításához.
  • Meghatározza az informatikai rendszerek biztonsági követelményeinek többszintű kategóriákból álló katalógusát.
  • Egyaránt felhasználható szoftver- és hardverelemek vizsgálatához is.
  • A termékek rugalmasan megválaszthatók, mert a követelmények nem hardver- vagy szoftverspecifikusak.
  • Definiálható a biztonsági funkcionalitás, azaz a CC fogalmai szerint a védelmi profil (Protection Profile), amely függetlenül besorolható a CC-ben meghatározott hét biztonsági szint (Evaluation Assurance Level – EAL) valamelyikébe.Az ITSEC 1.2 változatát az EU számára kísérleti célból 1991-ben adták ki. Ugyanakkor az EU, valamint az amerikai és a kanadai kormány támogatásával kidolgozásra került a Common Criteria (CC – Közös Követelmények) dokumentumtervezet, amely megpróbálta a korábbi ajánlások tartalmi és technikai eltéréseit összhangba hozni.
    1998-ban jelent meg a Common Criteria 2.0 változata. A CC 2.0 dokumentumot – azonos tartalommal – az ISO/IEC is kiadta 15408 számon, ”Common Criteria for Information Technology Security Evaluation, version 2.0” címmel.
    A CC feldolgozására és honosítására irányuló munka hazánkban 1997-ben kezdődött, majd 1998-ban az Informatikai Tárcaközi Bizottság (ITB) 16. sz. ajánlásaként kiadásra is került.
    A Common Criteria fő jellemzői a következők:

    • Egységes, a megvalósítás módjától független, követelményeket határoz meg.
    • Egységes kiértékelési módszertant ad az informatikai rendszerek, termékek informatikai biztonsági értékeléséhez, tanúsításához.
    • Meghatározza az informatikai rendszerek biztonsági követelményeinek többszintű kategóriákból álló katalógusát.
    • Egyaránt felhasználható szoftver- és hardverelemek vizsgálatához is.
    • A termékek rugalmasan megválaszthatók, mert a követelmények nem hardver- vagy szoftverspecifikusak.
    • Definiálható a biztonsági funkcionalitás, azaz a CC fogalmai szerint a védelmi profil (Protection Profile), amely függetlenül besorolható a CC-ben meghatározott hét biztonsági szint (Evaluation Assurance Level – EAL) valamelyikébe.