Πρότυπα και πλαίσια βέλτιστων πρακτικών

Ο κλάδος της ασφάλειας πληροφοριών διαδραματίζει πλέον ένα σημαντικό ρόλο όσον αφορά στη μεγιστοποίηση της αξιοπιστίας των πληροφοριών ενός Οργανισμού. Δεδομένου ότι δεν υπάρχει κανένας μηχανισμός ή σύνολο δικλείδων ασφαλείας που μπορεί να εγγυηθεί την προστασία των πληροφοριών, υπάρχει ανάγκη για τη θέσπιση και υιοθέτηση ενός συνόλου προτύπων ή/και πλαισίου βέλτιστων πρακτικών, με σκοπό την εξασφάλιση ενός επαρκούς επιπέδου ασφάλειας.

Στην πράξη έχει θεσπιστεί ένας αρκετά μεγάλος αριθμός προτύπων και βέλτιστων πρακτικών, που είτε έχουν σαν αντικείμενό τους την ασφάλεια πληροφοριών είτε αναφέρονται άμεσα σε διάφορες σχετικές απαιτήσεις. Στα παραπάνω έρχεται να προστεθεί και ένα σύνολο οδηγιών και πλαισίων που αφορά σε συγκεκριμένους επιχειρηματικούς και άλλους κλάδους, όπως ο Τραπεζικός κλάδος ή ο κλάδος της υγείας. Στις περισσότερες των περιπτώσεων τα εξειδικευμένα πρότυπα δεν είναι τίποτε παραπάνω από υποσύνολο των ευρύτερων προτύπων, προσαρμοσμένων σε συγκεκριμένο αντικείμενο, κάνοντας χρήση ορολογίας πιο εύκολα κατανοητής από το κοινό στο οποίο απευθύνονται.
Για να συνειδητοποιήσουμε το συνονθύλευμα προτύπων, αρχών, πλαισίων αλλά και προσπάθειας εμπορευματοποίησης της ασφάλειας πληροφοριών για το οποίο μιλάμε, ας ρίξουμε μια ματιά στην παρακάτω ενδεικτική αποτύπωση των σημαντικότερων προτύπων και πλαισίων βέλτιστων πρακτικών, που άμεσα ή έμμεσα αφορούν στην ασφάλεια πληροφοριών.

. ISO/IEC 27001 – Information security management systems – Requirements
. ISO/IEC 27002 – Code of practice for information security management
. ISO/IEC 12207:2008 Systems and software engineering
. ISO/IEC 15288:2008 Systems and software engineering
. ISO/IEC 13335 IT security management
. ISO TR 13569 Financial services – information security guidelines
. ISO/IEC 13888 Non-repudiation
. ISO 15408 Common Criteria
. ISO 15489 Records management
. ISO/IEC 18028 IT network security
. ISO/IEC 18043 Selection, deployment and operations of Intrusion Detection Systems (IDS)
. ISO/IEC TR 18044 Security incident management
. ISO 22301:2012 Societal security – Business continuity management systems – Requirements
. ISO/IEC 20000 IT service management
. ISO 21827 Systems Security Engineering Capability Maturity Model (SSE CMM)
. ISO/IEC 24762 Guidelines for information and communications technology disaster recovery services
. ISO/PAS 28000 Specification for security management systems for the supply chain
. ISO 31000 Risk management – Principles and guidelines
. ISO/IEC 38500 Corporate governance of information technology
. PCI DSS Payment Card Industry Data Security Standard
. BSI IT Baseline Protection Manual, BSI Standard 100-1 Information Security Management Systems (ISMS)
. COBIT Control Objectives in IT
. GAISP Generally Accepted Information Security Practices
. GAIT (Guide to the Assessment of IT risk)
. ISF Information Security Forum, Standard of Good Practice for Information Security
. PAS56 (Publicly Accessible Specification 56) was a Guide to Business Continuity Management
. PAS77 (Publicly Accessible Specification 77) is a generic framework and guideline on IT Service Continuity Management
. SAA/SNZ HB 231 Information Security Risk Management Guidelines
. SAS70 Statement on Auditing Standards #70, Service Organizations
. SSAE16 Statement on Standards for Attestation Engagements #16,
. ISAE 3402, Assurance reports on controls at a service organization
. STIGs Security Technical Implementation Guides
. NIST Special Publications
. OECD Guidelines for the Security of Information Systems

Κοινός παρονομαστής όλων των παραπάνω αποτελεί το ότι η ασφάλεια πληροφοριών πρέπει να αντιμετωπίζεται σαν μια συνεχής διαδικασία, η οποία στηρίζεται στη συνεχή διαχείριση των κινδύνων που αφορούν στις πληροφορίες.

Κοινές συνιστώσες και πρακτικές
Τόσο τα σχετικά πρότυπα όσο και τα πλαίσια βέλτιστων πρακτικών, αναφέρονται στην υλοποίηση μιας συνεχούς διεργασίας κατά την οποία θα αποτιμώνται και θα διαχειρίζονται συνεχώς οι κίνδυνοι που αφορούν στην ασφάλεια πληροφοριών. Ταυτόχρονα απαιτείται και η διαμόρφωση ενός πλαισίου διαχείρισης της ασφάλειας πληροφοριών, το οποίο θα επιβάλει ένα σύνολο διαχειριστικών δικλείδων ασφαλείας και θα προδιαγράφει την υλοποίηση τεχνικών δικλείδων προστασίας και ελέγχου.
Η ασφάλεια πληροφοριών είναι μια διαρκής διαδικασία η οποία αποτελείται από συγκεκριμένα στάδια ανάπτυξης. Κάθε στάδιο αποτελεί ισότιμο μέρος της διαδικασίας και αποτελείται από επαναλαμβανόμενα επιμέρους στάδια, με σκοπό τη διαμόρφωση, διατήρηση και βελτίωση του κατάλληλου επιπέδου ασφάλειας. Στις επόμενες παραγράφους αποτυπώνονται οι κοινές συνιστώσες και πρακτικές που αφορούν στη δημιουργία μιας συνεχούς διεργασίας η οποία αφορά στην ασφάλεια πληροφοριών.
Το σημείο εκκίνησης και ταυτόχρονα το κρισιμότερο στάδιο της παραπάνω διαδικασίας, είναι η αξιολόγηση των κινδύνων που αφορούν στην Ασφάλεια Πληροφοριών. Αυτό αποτελεί κεντρικό σημείο της πλειοψηφίας των προτύπων αλλά και των πλαισίων βέλτιστων πρακτικών, ανεξαρτήτως του αν αφορούν αποκλειστικά στην ασφάλεια πληροφοριών ή στον ευρύτερο τομέα της πληροφορικής.
Η αξιολόγηση κινδύνων είναι η διεργασία κατά την οποία αναγνωρίζονται οι κίνδυνοι που αφορούν στην ασφάλεια πληροφοριών ενός Οργανισμού, ενώ ταυτόχρονα προσδιορίζεται η πιθανότητα εκδήλωσης του κινδύνου, η αρνητική επίδραση που θα προκληθεί σε περίπτωση εκδήλωσής του και οι δικλείδες ασφαλείας οι οποίες θα ελαχιστοποιήσουν την αρνητική επίδραση από την εκδήλωση του κινδύνου.
Σημαντικό σημείο της διαδικασίας αποτελεί ο προσδιορισμός των πληροφοριών οι οποίες χρήζουν προστασίας και οι οποίες αφού προσδιορισθούν πρέπει να αξιολογηθούν ως προς την κρισιμότητά τους για τον Οργανισμό.
Ο προσδιορισμός και η αξιολόγηση των πληροφοριών είναι πολύ σημαντική διαδικασία. Με τον τρόπο αυτό γίνονται αντιληπτές οι αλληλεπιδράσεις μεταξύ των πληροφορικών πόρων. Επίσης προσδιορίζεται η επίδραση που μπορεί να έχει για τον Οργανισμό πιθανή απώλεια της Εμπιστευτικότητας, Ακεραιότητας & Διαθεσιμότητας των υπό αξιολόγηση πληροφοριών.
Η αξιολόγηση κινδύνων θα καταδείξει ποιες από τις απαιτήσεις των προτύπων ή των πλαισίων βέλτιστων πρακτικών αφορούν στον εκάστοτε Οργανισμό, αλλά και ποιες δικλείδες ασφαλείας χρειάζεται να υλοποιηθούν.
Ο τρόπος ή η μεθοδολογία διενέργειας της αξιολόγησης κινδύνων μπορεί να γίνει χρησιμοποιώντας οποιαδήποτε μεθοδολογία που ταιριάζει στον κάθε Οργανισμό. Οι κατευθύνσεις οι οποίες δίνονται από τα διάφορα πρότυπα και τα πλαίσια βέλτιστων πρακτικών είναι αρκετά γενικές και μπορεί να χαρακτηρισθούν ως βασικές αρχές, παρά ως κανόνες που κανείς χρειάζεται να ακολουθήσει κατά γράμμα. Ακόμα και στο εξειδικευμένο πρότυπο για τη διαχείριση των κινδύνων ISO31000, γίνεται αναφορά σε βασικά στάδια που χρειάζεται να ακολουθηθούν από την οποιαδήποτε μεθοδολογία επιλέξει ο εκάστοτε Οργανισμός.
Επόμενη κοινή συνιστώσα στα περισσότερα πρότυπα και στα πλαίσια βέλτιστων πρακτικών είναι η διαμόρφωση πλαισίου Διαχείρισης της Ασφάλειας Πληροφοριών. Το εν λόγω πλαίσιο αφορά στην τεκμηρίωση των διαδικασιών, κανόνων και πολιτικών, οι οποίες θα υποδείξουν τις κατάλληλες δικλείδες ασφαλείας που χρειάζεται να υλοποιηθούν. Απαιτείται δηλαδή η διαμόρφωση του συστήματος διαχείρισης ασφάλειας πληροφοριών (information security management system), το οποίο αποτελείται από μια σειρά από έντυπα που αναθεωρούνται συνεχώς, σύμφωνα με τις αλλαγές της εγκατεστημένης τεχνολογικής βάσης, τις μεταβαλλόμενες επιχειρησιακές δραστηριότητες και τις εκάστοτε απαιτήσεις ασφάλειας της εταιρείας. Το εύρος της απαιτούμενης τεκμηρίωσης ποικίλει ανάλογα με το πρότυπο και το πλαίσιο βέλτιστων πρακτικών.
Ένα ακόμα σημείο το οποίο είναι κοινό στα περισσότερα πρότυπα και στα πλαίσια βέλτιστων πρακτικών, είναι η όσο το δυνατόν αποτελεσματικότερη υλοποίηση των διαχειριστών και τεχνικών δικλείδων ασφαλείας. Πρακτικά αυτό σημαίνει επιβολή της κανόνων και των οδηγιών που έχουν υιοθετηθεί, καθώς και υλοποίηση των κατάλληλων τεχνικών δικλείδων ασφαλείας.
Σημαντικό επίσης μέρος κάθε προτύπου και πλαισίου βέλτιστων πρακτικών αποτελεί η διαρκής παρακολούθηση τήρησης των κανόνων ασφάλειας και η συνεχής αξιολόγηση της αποτελεσματικότητας των υφιστάμενων δικλείδων και της επάρκειας του υφιστάμενου επιπέδου ασφάλειας. Η αποτελεσματική εφαρμογή της ασφάλειας πληροφοριών είναι συνυφασμένη με την αποτελεσματική εφαρμογή ενός πλαισίου συνεχούς παρακολούθησης και ελέγχου.

Για το λόγο αυτό, υπάρχει η ανάγκη σχεδιασμού και εφαρμογής διαδικασιών επαναλαμβανόμενων ελέγχων, με στόχο τη διατήρηση ενός ικανοποιητικού επιπέδου ασφάλειας πληροφοριών και συμμόρφωσης με τις απαιτήσεις των προτύπων και πλαισίων βέλτιστων πρακτικών που ακολουθεί ο κάθε Οργανισμός.
Τα σημαντικότερα κοινά σημεία που χρειάζεται να παρακολουθούμε και να αξιολογούμε είναι τα ακόλουθα:

• Πληρότητα και αποτελεσματικότητα υφιστάμενων δικλείδων ασφαλείας
• Τήρηση – συμμόρφωση με την υφιστάμενη πολιτική ασφάλειας
• Αξιολόγηση των κινδύνων ασφάλειας πληροφοριών
• Συμμόρφωση με κανονιστικό, θεσμικό πλαίσιο

Τα παραπάνω είναι ανάγκη να ελέγχονται και να αξιολογούνται ανά τακτά χρονικά διαστήματα, τα οποία προσδιορίζονται από την αξία των ίδιων των πληροφοριών. Για να γίνει αυτό χρειάζεται η θέσπιση και εφαρμογή ενός πλαισίου επαναλαμβανόμενων ελέγχων και αξιολογήσεων κινδύνων, το οποίο σε ετήσια βάση θα περιλαμβάνει τα εξής:

• Έλεγχος πληρότητας συστήματος διαχείρισης ασφάλειας πληροφοριών
• Τακτικοί έλεγχοι (έλεγχοι τήρησης μέτρων προστασίας, επαναλαμβανόμενοι σε τακτά χρονικά διαστήματα)
• Αξιολόγηση κινδύνων ασφάλειας πληροφοριών
• Αξιολόγηση ασφάλειας, στο πλαίσιο ανάπτυξης νέων συστημάτων

Έχοντας θεσπίσει το παραπάνω πλαίσιο ελέγχων, καλύπτουμε τις ανάγκες εναρμόνισης με οποιοδήποτε πρότυπο ή πλαίσιο βέλτιστων πρακτικών που αφορά ή περιλαμβάνει την ασφάλεια πληροφοριών. Επιπροσθέτως αξιολογούμε συνεχώς το βαθμό συμμόρφωσής μας με τα πρότυπα που έχουμε επιλέξει και αποδεικνύουμε εύκολα το επίπεδο συμμόρφωσης.

Τελευταία κοινή απαίτηση των σχετικών προτύπων και πλαισίων βέλτιστων πρακτικών είναι η ενημέρωση και ευαισθητοποίηση του προσωπικού σε θέματα ασφάλειας πληροφοριών. Η εμπειρία αποδεικνύει ότι ο σωστά ενημερωμένος, εκπαιδευμένος και σε εγρήγορση χρήστης, αποτελεί την καλύτερη δικλείδα ασφαλείας των επιχειρησιακών πληροφοριών.

Logging off
Η υιοθέτηση προτύπων και πλαισίων βέλτιστων πρακτικών είναι μια καλή πρακτική, αλλά δεν είναι απαραίτητο ότι θα οδηγήσει στην αποτελεσματική υλοποίηση της ασφάλειας πληροφοριών. Τα πρότυπα πρέπει να αντιμετωπίζονται ως οι ελάχιστες απαιτήσεις υλοποίησης.
Η υλοποίηση μιας συνεχούς διεργασίας που αφορά στην ασφάλεια πληροφοριών αλλά και η συνεχής αξιολόγηση και διαχείριση των σχετικών κινδύνων, καλύπτουν τις απαιτήσεις της πλειοψηφίας των προτύπων και πλαισίων βέλτιστων πρακτικών, που άμεσα ή έμμεσα αφορούν στην ασφάλεια πληροφοριών. Το ζητούμενο είναι η αποτελεσματικότητα της κάθε υλοποίησης και όχι η υιοθέτηση προτύπων και βέλτιστων πρακτικών έτσι απλά, για να πλανάται η ψευδαίσθηση της προστασίας των επιχειρηματικών πληροφοριών.

“ISO 27000 series – Αποτύπωση των περιεχομένων”

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com