www.hakin9.org
hakin9 Nr 8/2007
66
Bezpieczna Firma
W
raz z rozwojem społeczeństwa in-
formacyjnego pojawiła się potrze-
ba standaryzacji zagadnień zwią-
zanych z bezpieczeństwem informacji. Szereg
organizacji i stowarzyszeń branżowych opra-
cowało własne standardy. Oto niektóre z nich
patrz Ramka Normy, standardy, zalecenia.
Zanim omówimy polskie normy dotyczące
sensu stricte problematyki bezpieczeństwa in-
formacji, warto wspomnieć o dwóch mało zna-
nych normach terminologicznych. Od nich
wszystko się zaczęło.
Trochę terminologii
W pierwszej z nich, PN-ISO/IEC 2382-8:
2001 Technika informatyczna – Terminologia
– Bezpieczeństwo, zdefiniowano w dwóch ję-
zykach (polskim i angielskim) terminy ogólne
odnoszące się do ochrony danych i informa-
cji, włącznie z kryptografią, klasyfikacją infor-
macji i kontrolą dostępu, odzyskiwaniem da-
nych i informacji oraz naruszeniem bezpie-
czeństwa. Norma ma ułatwić porozumiewa-
nie się w dziedzinie technik informatycznych
w skali międzynarodowej. W normie brak de-
finicji bezpieczeństwa informacji. Operuje się
w niej natomiast pojęciem bezpieczeństwo
danych, rozumianym jako bezpieczeństwo
systemu informatycznego w odniesieniu do
danych. Zaś samo bezpieczeństwo systemu
informatycznego definiuje się jako ochronę
danych i zasobów przed przypadkowymi lub
złośliwymi działaniami, zwykle poprzez pod-
jęcie odpowiednich kroków zaradczych lub
prewencyjnych. Złośliwymi działaniami mogą
być: modyfikacja, zniszczenie, dostęp, ujaw-
nienie lub pozyskanie danych, jeśli działania
te nie są uprawnione. Natomiast ochronę da-
nych definiuje się jako wdrożenie środków ad-
ministracyjnych, technicznych lub fizycznych
w celu ochrony przed nieuprawnionym dostę-
pem do danych.
Bezpieczeństwo informacji
w polskich normach
Andrzej Guzik
stopień trudności
Polskie normy dotyczące bezpieczeństwa informacji stanowią,
obok przepisów prawa oraz standardów branżowych, tzw.
najlepsze praktyki, wytyczne dla organizacji lub wymagania w
przypadku podjęcia decyzji o wdrożeniu w instytucji systemu
zarządzania bezpieczeństwem informacji według PN-ISO/IEC
27001: 2007.
Z artykułu dowiesz się
• jakie polskie normy i raporty techniczne stano-
wią najlepsze praktyki w zakresie zapewnienia
bezpieczeństwa informacji w instytucji.
Co powinieneś wiedzieć
• znać podstawowe wymagania dotyczące bez-
pieczeństwa informacji.
Bezpieczeństwo informacji w polskich normach
hakin9 Nr 8/2007
www.hakin9.org
67
W drugiej normie terminologicz-
nej, PN-I-02000: 2002 Technika in-
formatyczna – Zabezpieczenia w
systemach informatycznych – Ter-
minologia, podano polską terminolo-
gię (z angielskimi odpowiednikami) z
zakresu bezpieczeństwa systemów
informatycznych. Norma może być
przydatna do tłumaczenia tekstów
technicznych, norm i dokumentów
oraz do precyzyjnej i jednoznacznej
wymiany informacji podczas kon-
taktów międzynarodowych i krajo-
wych. Warto w tym miejscu zwró-
cić uwagę na rozróżnienie angiel-
skich słów security i safety, przekła-
danych na język polski jako bezpie-
czeństwo. Autorzy tłumaczenia nor-
my przyjęli, że termin security ozna-
cza wszelkie zabezpieczenia chro-
niące system informatyczny i jego
zasoby przed szkodliwym oddziały-
waniem otoczenia, zaś termin safe-
ty oznacza wszelkie zabezpieczenia
chroniące otoczenie przed szkodli-
wymi lub wręcz katastroficznymi od-
działywaniami systemu informatycz-
nego na otoczenie systemu. W nor-
mie po raz pierwszy pojawia się ter-
min bezpieczeństwo informacji, ro-
zumiany jako system informatyczny
wraz z systemem bezpieczeństwa
komunikacji, składający się z wy-
tycznych i procedur administracyj-
nych, przeznaczony do identyfiko-
wania, nadzoru i ochrony informacji
przed nieuprawnionym ujawnieniem.
Natomiast ochronę danych definiuje
się tu tak, jak w normie PN-ISO/IEC
2382-8: 2001.
Standardy
bezpieczeństwa
informacji
Przejdźmy do standardów o funda-
mentalnym znaczeniu dla bezpie-
czeństwa informacji. Wśród nich na-
leży wymienić: raporty ISO/IEC TR
13335, normę ISO/IEC 17799 oraz
normę ISO/IEC 15408, tzw. Com-
mon Criteria (Wspólne Kryteria).
W dalszej części artykułu zostaną
scharakteryzowane jedynie wybra-
ne standardy (nie wszystkie prze-
tłumaczono bowiem na język pol-
ski). W Polsce ukazały się jedynie 3
spośród 5 części raportów technicz-
nych ISO/IEC TR 13335. Część 1 –
ukazała się jako polska norma PN-
I-13335-1: 1999 Technika informa-
tyczna – Wytyczne do zarządzania
bezpieczeństwem systemów infor-
matycznych – Pojęcia i modele bez-
pieczeństwa systemów informatycz-
nych, części 2 i 3 jako raporty tech-
niczne: ISO/IEC TR 133335-2 Tech-
nika informatyczna – Wytyczne do
zarządzania bezpieczeństwem sys-
temów informatycznych. Część 2
– Zarządzanie i planowanie bez-
pieczeństwa systemów informa-
tycznych oraz ISO/IEC TR 13335-3
Technika informatyczna – Wytyczne
do zarządzania bezpieczeństwem
systemów informatycznych. Część
3 – Techniki zarządzania bezpie-
czeństwem systemów informatycz-
nych. W Polsce nie przetłumaczono
4 części raportu – ISO/IEC 13335-
Normy, standardy, zalecenia
• BS 15000 (zastąpiony normą ISO/IEC 20000: 2005) – brytyjski standard opracowa-
ny przez BSI (British Standard Institution) opisujący system zarządzania usługami
informatycznymi,
• BS 25999: 2006 – opracowany przez BSI standard, dotyczący obszaru zarządza-
nia ciągłością działania (zastąpił specyfikacje PAS-56),
• BS 7799-1 – opracowany przez BSI standard, definiuje wytyczne w zakresie usta-
nowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i dosko-
nalenia Systemu Zarządzania Bezpieczeństwem Informacji (zastąpiony przez
ISO/IEC 17799: 2005),
• BS 7799-2 – opracowany przez BSI standard, który określa wymagania w zakre-
sie ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania
i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (zastąpiony
przez ISO/IEC 27001: 2005),
• BS 7799-3 – norma dotycząca zarządzania ryzykiem bezpieczeństwa informacji,
• COBIT (Control Objectives for Information related Technology) – metodyka kontro-
li i audytu systemów informatycznych,
• MARION (Mission Analysis and Risk Impact on Operations Network tool) – meto-
dyka przeprowadzania audytów bezpieczeństwa w instytucjach sektora finanso-
wego,
• ISO/IEC TR 18044 – standard przedstawia dobre praktyki w zakresie zarządzania
incydentami bezpieczeństwa informacji,
• ITIL (IT Infrastructure Library) – zbiór dobrych praktyk zarządzania organiza-
cją IT.
Rysunek 1.
Związki pomiędzy elementami bezpieczeństwa
ZAGROŻENIA
PODATNOŚCI
WYMAGANIA
W ZAKRESIE
OCHRONY
WARTOŚCI
(stąd potencjalne
następstwa dla
działania instytucji)
ZASOBY
RYZYKA
ZABEZPIECZENIA
wykorzystują
zwiększają
narażają
zwiększają
analiza
wskazuje
posiadają
realizowana przez
zwiększają
zmniejszają
chronią przed
hakin9 Nr 8/2007
www.hakin9.org
Bezpieczna firma
68
4: Wybór zabezpieczeń oraz jego 5
części: ISO/IEC 13335-5: Zabez-
pieczenie połączeń zewnętrznych.
Polska norma PN-I-13335-1 grupu-
je wytyczne dotyczące zarządza-
nia bezpieczeństwem systemów in-
formatycznych. Materiał ten może
być przydatny dla kierownictwa od-
powiedzialnego za bezpieczeństwo
systemów informatycznych oraz dla
osób, które odpowiadają za cało-
ściowy program bezpieczeństwa w
instytucji.
W rozumieniu normy, bezpie-
czeństwo systemu informatyczne-
go to wszystkie aspekty związane
z definiowaniem, osiąganiem i utrzy-
mywaniem poufności, integralności,
dostępności, rozliczalności, auten-
tyczności i niezawodności. W nor-
mie przedstawiono podstawowe po-
jęcia dotyczące bezpieczeństwa te-
leinformatycznego, takie jak: zasób,
podatność, zagrożenia, następstwo,
ryzyko, zabezpieczenie lub ryzyko
szczątkowe. W formie prostych mo-
deli pojęciowych pokazano związki
zachodzące między nimi.
W normie przedstawiono rów-
nież podstawowe procesy związa-
ne z procesem zarządzania bez-
pieczeństwem systemów informa-
tycznych. Wyodrębniono trzy pod-
stawowe procesy: proces zarzą-
dzania konfiguracją, proces zarzą-
dzania zmianami i proces zarządza-
nia ryzykiem. Autorzy normy zwra-
cają również uwagę na wiele typów
ograniczeń, na ograniczenia organi-
zacyjne, finansowe, środowiskowe,
osobowe, czasowe, prawne, tech-
niczne, kulturowe i społeczne, któ-
re należy wziąć pod uwagę, wybie-
rając i implementując zabezpiecze-
nia w ramach budowy systemu bez-
pieczeństwa instytucji. Raport tech-
niczny ISO/IEC 13335-2, wydanie
polskie – Polski Komitet Normali-
zacyjny 2003, zawiera wytyczne
do zarządzania i planowania bez-
pieczeństwa systemów teleinforma-
tycznych.
Raport ten może być przydat-
ny dla kierownictwa odpowiedzial-
nego za systemy informatyczne
w instytucji. Zarządzanie bezpie-
czeństwem systemów informatycz-
nych instytucji jest procesem, któ-
ry ma służyć osiąganiu i utrzyma-
niu odpowiedniego poziomu po-
ufności, integralności, dostępno-
ści, rozliczalności, autentyczności
i niezawodności. Punktem począt-
kowym jest w nim ustalenie celów
instytucji dotyczących bezpieczeń-
stwa systemów informatycznych.
Cele te powinny wynikać z celów
biznesowych instytucji. Zarządza-
nie bezpieczeństwem systemów
informatycznych obejmuje sze-
reg działań, m. in. określenie ce-
lów, strategii i polityki bezpieczeń-
stwa, określenie wymagań w za-
kresie bezpieczeństwa, wybór stra-
tegii analizy ryzyka, wybór zabez-
pieczeń – opracowanie planu za-
bezpieczeń systemu/-ów informa-
tycznych instytucji, monitorowanie
procesu ich wdrażania, przygoto-
wanie personelu (szkolenia, dzia-
łania uświadamiające) oraz czyn-
ności wykonywane już po wdroże-
niu zabezpieczeń, takie jak: utrzy-
manie zabezpieczeń, zgodność z
planem zabezpieczeń, monitoro-
wanie oraz obsługa incydentów.
Warto w tym miejscu zwrócić uwa-
gę na organizację służb odpowie-
dzialnych za bezpieczeństwo w in-
stytucji, a mianowicie: komitet bez-
pieczeństwa systemów informa-
tycznych, główny inspektor bezpie-
czeństwa systemów informatycz-
nych, inspektorzy bezpieczeństwa
projektu/systemu informatycznego.
Zasadniczą sprawą dla efektywno-
ści działań w zakresie zapewnie-
nia bezpieczeństwa systemów in-
formatycznych instytucji jest popar-
cie ze strony najwyższego kierow-
nictwa instytucji. Poparcie to musi
być faktyczne, a nie tylko deklaro-
wane. Raport techniczny ISO/IEC
13335-3, wydanie polskie – Pol-
ski Komitet Normalizacyjny 2003,
zawiera wytyczne do zarządzania
bezpieczeństwem systemów infor-
matycznych. Zarządzanie bezpie-
czeństwem systemów informatycz-
nych obejmuje analizę wymagań
bezpieczeństwa, stworzenie planu,
który zapewni spełnienie tych wy-
magań, wdrożenie tego planu oraz
utrzymanie i administrowanie wdro-
żonymi zabezpieczeniami. Proces
ten rozpoczyna się od określenia
celów i strategii instytucji w dzie-
dzinie bezpieczeństwa systemów
informatycznych oraz od opraco-
wania polityki bezpieczeństwa in-
O autorze
Andrzej Guzik – audytor systemów
zarządzania jakością i bezpieczeń-
stwem informacji, specjalista w zakre-
sie ochrony informacji prawnie chro-
nionych, redaktor portalu http://www.
ochronainformacji.pl
Kontakt z autorem: a.guzik@ochrona-
informacji.pl
Rysunek 2.
Model PDCA stosowany w procesach SZBI
Wykonuj
(Do)
Działaj
(Act)
Utrzymanie
i doskonalenie ISMS
Wdrożenie
i eksploatacja ISMS
Planuj
(Plan)
Sprawdzaj
(Check)
Ustanowienie
ISMS
Monitorowanie
i przegląd ISMS
Wymagania
i oczekiwania
dotyczące
bezpieczeństwa
informacji
Zainteresowane
strony
Zarządzanie
bezpieczeństwem
informacji
Zainteresowane
strony
Bezpieczeństwo informacji w polskich normach
hakin9 Nr 8/2007
www.hakin9.org
69
stytucji w zakresie systemów in-
formatycznych. Ważną częścią
procesu zarządzania bezpieczeń-
stwem systemów informatycznych
jest oszacowanie i analiza ryzyka,
ponieważ w oparciu o wyniki ana-
lizy ryzyka dobiera się odpowied-
nie zabezpieczenia. Zastosowane
zabezpieczenia powinny być opła-
calne, pod względem poniesionych
na nie kosztów i uwzględniać wy-
magania wynikające z przepisów
prawa, wymagania biznesowe i wy-
magania z analizy ryzyka zasobów
posiadających wartość dla dzia-
łania instytucji. Ryzyko, jakie po-
wstaje po wprowadzeniu zabezpie-
czeń, nazywamy ryzykiem szcząt-
kowym. Również dokument polity-
ki bezpieczeństwa powinien zawie-
rać m. in. podejście do zarządza-
nia ryzykiem, strategię dla analizy
ryzyka i części składowe tej ana-
lizy (metody i techniki). Przyję-
ta strategia analizy ryzyka powin-
na uwzględniać warunki charakte-
rystyczne dla jednostki organiza-
cyjnej i koncentrować się na dzia-
łaniach związanych z bezpieczeń-
stwem, tam gdzie są one napraw-
dę potrzebne. W raporcie przedsta-
wiono cztery warianty podejścia do
analizy ryzyka: podejście podsta-
wowego poziomu bezpieczeństwa,
podejście nieformalne, szczegóło-
wą analizę ryzyka i podejście mie-
szane. Podstawowa różnica pomię-
dzy nimi dotyczy stopnia szczegó-
łowości analizy ryzyka. Podejście
podstawowego poziomu bezpie-
czeństwa polega na wprowadzeniu
standardowych zabezpieczeń, nie-
zależnie od ryzyka wynikającego z
analizy zasobów, zagrożeń i podat-
ności. Podejście nieformalne pole-
ga na wykorzystaniu wiedzy i do-
świadczenia ekspertów; koncentru-
je się na zasobach narażonych na
wysokie ryzyko. Z kolei szczegóło-
wa analiza ryzyka wymaga identy-
fikacji i wyceny aktywów, oszaco-
wania zagrożeń oraz oszacowa-
nia podatności. Możliwość czwar-
ta, podejście mieszane, obejmu-
je dwa etapy. W pierwszym eta-
pie przeprowadza się ogólną ana-
lizę ryzyka dla wszystkich zasobów
z uwzględnieniem ich wartości biz-
nesowej i ryzyka, na które są one
narażone. Dla wszystkich zidenty-
fikowanych zasobów, które są waż-
ne dla instytucji i narażone na wy-
sokie ryzyko, należy przeprowa-
dzić później szczegółową analizę
ryzyka. W drugim etapie dla pozo-
stałych zasobów należy zastoso-
wać podejście podstawowego po-
ziomu bezpieczeństwa. Przyjęcie
podejścia mieszanego zalecane
jest dla większości instytucji. Jest
ono najbardziej efektywne – szcze-
gółowa analiza ryzyka w odniesie-
niu do zasobów posiadających war-
tość lub narażonych na wysokie ry-
zyko, a dla pozostałych zasobów
zastosowanie podstawowego po-
ziomu bezpieczeństwa – wdroże-
nie standardowych zabezpieczeń.
Wdrożeniu zabezpieczeń powi-
nien towarzyszyć również program
uświadamiania i szkoleń, ważny
dla uzyskania efektywności zabez-
pieczeń. Ponadto nie należy zapo-
minać o działaniach po wdrożeniu
zabezpieczeń. Działania te powin-
ny obejmować m. in. konserwacje,
sprawdzenie zgodności z zasadami
bezpieczeństwa, zarządzanie za-
mianami, monitorowanie oraz po-
stępowanie w przypadku incyden-
tów. Warto również zwrócić uwa-
gę na załączniki do raportu. Mają
one charakter praktyczny. Załącz-
nik A zawiera przykład spisu treści
polityki bezpieczeństwa instytucji
w zakresie systemów informatycz-
nych, załącznik B omawia wycenę
aktywów, załącznik C przedstawia
listę kontrolną możliwych typów za-
grożeń, załącznik D zawiera przy-
kłady typowych podatności, zaś za-
łącznik E przykłady wykorzystania
różnych metod analizy ryzyka.
Zarządzanie
bezpieczeństwem
informacji
Norma PN-ISO/IEC 17799: 2007
Technika informatyczna – Tech-
niki bezpieczeństwa – Praktycz-
ne zasady zarządzania bezpie-
czeństwem informacji jest pierw-
szym standardem obejmującym
kompleksowo zarządzanie bezpie-
czeństwem informacji. Celem tej
normy jest wdrożenie takich me-
chanizmów zarządzania, które za-
pewnią, że bezpieczeństwo infor-
macji będzie istotnym elementem
funkcjonowania organizacji. Nor-
ma zawiera wytyczne zarządzania
bezpieczeństwem informacji. Do-
tyczy wszystkich obszarów bez-
pieczeństwa: fizycznego i środo-
wiskowego, osobowego, IT, zarzą-
dzenia ciągłością działania i za-
pewnienia zgodności z przepisami
prawa. Zgodnie z ową normą, infor-
macja jest aktywem, który podob-
nie jak inne ważne aktywa bizneso-
we ma dla instytucji wartość i dla-
tego należy ją odpowiednio chro-
nić. Dotyczy to zarówno ochro-
ny informacji własnych instytucji,
jak i zapewnienia bezpieczeństwa
informacji udostępnionych przez
klienta. Bezpieczeństwo informa-
cji oznacza według normy ochro-
nę informacji przed różnymi za-
grożeniami w taki sposób, aby za-
pewnić ciągłość działania – reali-
zację celów statutowych instytu-
cji, zminimalizować straty i zmak-
symalizować zwrot nakładów na in-
westycje i działania o charakterze
biznesowym. Norma odnosi się tyl-
ko do 3 aspektów informacji podle-
gających ochronie: poufności – za-
pewnienie dostępu do informacji
tylko osobom upoważnionym, inte-
gralności – zapewnienie dokładno-
ści i kompletności informacji i me-
tod jej przetwarzania, dostępno-
ści – zapewnienia, że osoby upo-
ważnione mają dostęp do informa-
cji i związanych z nią aktywów wte-
dy, gdy im jest to potrzebne. Nor-
ma PN-ISO/IEC 27001: 2007 Tech-
nika informatyczna – Techniki bez-
pieczeństwa – Systemy zarządza-
nia bezpieczeństwem informacji
– Wymagania definiuje system za-
rządzania bezpieczeństwem infor-
macji (SZBI). Powinien on stano-
wić część składową systemu za-
rządzania instytucją i być oparty
na podejściu wynikającym z ryzy-
ka biznesowego. Norma zaleca po-
dejście systemowe oparte na cią-
głym doskonaleniu, zgodnie z cy-
klem PDCA (Plan-Do-Check-Act)
hakin9 Nr 8/2007
www.hakin9.org
Bezpieczna firma
70
Deminga obejmującym: ustanowie-
nie, wdrożenie, eksploatację, moni-
torowanie, przegląd, a także utrzy-
manie i doskonalenie SZBI.
Norma oparta jest podobnie
jak norma ISO 9001: 2000 i nor-
ma ISO 14001: 2004 na zasadach
podejścia procesowego. Umożli-
wia w instytucji budowę zintegro-
wanego systemu zarządzania: za-
rządzania jakością w oparciu o nor-
mę ISO 9001 i zarządzania bezpie-
czeństwem informacji w oparciu o
normę ISO 27001. Wdrożenie w in-
stytucji zintegrowanego systemu
zarządzania może przynieść or-
ganizacji szereg korzyści: pozwo-
li objąć systemem wszystkie ob-
szary działania firmy, zwróci uwa-
gę na ochronę informacji i jej war-
tość, zwiększy zainteresowanie
technologiami ICT, spowoduje pro-
wadzenie analizy i zarządzania ry-
zykiem, zapewni opracowanie pla-
nów ciągłości działania, przyczyni
się do uzyskania przewagi nad kon-
kurencją i poprawi wizerunek firmy.
W załączniku A do normy przedsta-
wiono cele stosowania zabezpie-
czeń i zabezpieczenia, które na-
leży wybrać w przypadku podję-
cia decyzji o wdrożeniu w instytucji
SZBI. Norma może być przydatna
dla każdej organizacji, niezależnie
od wielkości czy branży, niezależ-
nie od tego, czy instytucja będzie
ubiegać się o certyfikację systemu
zarządzania bezpieczeństwem in-
formacji, czy nie.
Wspólne Kryteria
Warto wspomnieć również o nor-
mie ISO/IEC 15408. Norma skła-
da się z trzech części, z czego na
język polski przetłumaczono pierw-
szą i trzecią część, odpowiednio
PN-ISO/IEC 15408-1: 2002 Tech-
nika informatyczna – Techniki za-
bezpieczeń – Kryteria oceny za-
bezpieczeń informatycznych Część
1: Wprowadzenie i model ogólny i
PN-ISO/IEC 15408-3: 2002 Tech-
nika informatyczna – Techniki za-
bezpieczeń – Kryteria oceny za-
bezpieczeń informatycznych Część
3: Wymagania uzasadnienia zaufa-
nia do zabezpieczeń. Nie przetłu-
maczono części drugiej, ISO/IEC
15408-2 Security functional re-
quirements (Wymagania funkcjo-
nalne zabezpieczeń). W normie
PN-ISO/IEC 15408-1 przedsta-
wiono terminologię używaną we
wszystkich częściach normy. Za-
warto zasady oceny systemów za-
bezpieczeń oraz ogólny model, na
którym taka ewaluacja może być
oparta. W załączniku A do normy
opisano projekt Wspólnych Kryte-
riów, w załączniku B przedstawio-
no specyfikację profili zabezpie-
czeń, a w załączniku C specyfika-
cję zadań zabezpieczeń. Zgodnie z
normą, profil zabezpieczeń definio-
wany jest przez niezależny od im-
plementacji zbiór wymagań na za-
bezpieczenia teleinformatyczne dla
określonego typu przedmiotu oce-
ny. Zadanie zabezpieczeń zawie-
ra natomiast wymagania w zakre-
sie bezpieczeństwa dla konkret-
nego przedmiotu oceny i stano-
wi podstawę takiej ewaluacji. Za-
danie zabezpieczeń może zawie-
rać wymagania lub być zgodne z
jednym lub wieloma profilami za-
bezpieczeń. W części trzeciej nor-
my ISO/IEC 15408-3 zdefiniowano
wymagania uzasadnienia zaufania.
Przedstawiono kryteria oceny pro-
filu zabezpieczeń i zadania zabez-
pieczeń, a także wprowadzono po-
ziomy uzasadnienia zaufania EAL
(Evaluation Assurance Levels),
które wskazują skalę do określenia
tych poziomów (miarę wiarygodno-
ści). Wynikiem oceny systemu (pro-
duktu) informatycznego według za-
leceń Common Criteria jest doku-
ment stwierdzający:
•
zgodność tego systemu z okre-
ślonym profilem zabezpieczeń,
•
spełnienie wymagań bezpie-
czeństwa określonych w zada-
niach zabezpieczenia lub przy-
pisanie do konkretnego poziomu
uzasadnionego zaufania (EAL).
Wykrywanie włamań
Na koniec warto wspomnieć o ra-
porcie technicznym ISO/IEC TR
15947: 2002 Technika informatycz-
na – Techniki zabezpieczeń – Struk-
tura wykrywania włamań w syste-
mach teleinformatycznych. Raport
ten stanowi kompendium wiedzy na
temat wykrywania włamań w syste-
mach teleinformatycznych. Zapre-
zentowano w nim nie tylko ogólny
system wykrywania włamań, ale
scharakteryzowano również typy i
źródła danych wejściowych, w opar-
ciu o które konstruuje się modele
reakcji tych systemów na określo-
ne zdarzenia. Szczegółowo opisano
działania podejmowane w odpowie-
dzi na wykrycie włamania. Raport
zawiera wiele cennych danych przy-
datnych osobom, które są odpowie-
dzialne za bezpieczeństwo sieci
korporacyjnych. Może być również
dobrym źródłem informacji dla pro-
jektantów i osób, zajmujących się
systemami wykrywania włamań.
Podsumowanie
Polskie normy dotyczące bez-
pieczeństwa informacji stanowią
tłumaczenie dokumentów ISO.
Oprócz norm International Orga-
nization for Standardization istnie-
je szereg zaleceń zawierających
wytyczne w zakresie ochrony sys-
temów teleinformatycznych o za-
sięgu lokalnym dotyczącym kraju,
grupy krajów lub grupy użytkowni-
ków, np. Internetu. Dokumenty te-
go typu stanowią cenne uzupełnie-
nie norm ISO i IEC (International
Electrotechnical Commission). W
polskich warunkach mamy zwykle
do czynienia z konglomeratem kil-
ku tajemnic prawnie chronionych i
informacji biznesowych chronio-
nych we własnym interesie. Tylko
niektóre z nich (dane osobowe, in-
formacje niejawne) mają przepi-
sy wykonawcze, wymagania w za-
kresie ochrony. Większość z nich
nie określa wymagań, jak je chro-
nić, a chronić je należy. W przy-
padku tych tajemnic, dla których
brak wymagań i wytycznych w za-
kresie ochrony, pomocne mogą być
standardy, zalecenia i polskie nor-
my dotyczące bezpieczeństwa in-
formacji, które stanowią źródło tzw.
dobrych praktyk. Zachęcam do za-
poznania się z nimi i praktycznego
ich stosowania. l