NASA - Information Systems Security Policy
NODIS vs ISO 27000
Vlatka Sekovanić
Sadržaj |
UVOD
Broj različitih oblika prijetnji sigurnosti IS-a svakodnevno raste i bez zalijevanja! - Vlatko Košturjak :) Zašto? Zato jer napadači iz samo njima znanih razloga žele doći do određenih informacija, a što je informacija zaštićenija to je njihova motivacija ($) veća. Danas je upravo prava informacija u pravo vrijeme ono što daje konkurentsku prednost na bilo kojem polju i u bilo kojem obliku. Svako suvremeno poslovanje svoje poslovne procese podupire informacijskim sustavom kojim procesuira (ulaz, obrada, pohrana, izlaz) vitalne informacije. Poslovni sustavi razlikuju se po organizacijskoj strukturi, poslovnim procesima, IS-a, oblicima prijetnji i potrebnoj razini zaštite IS-a,... Uzmemo li NASA-u kao primjer, čiji je cilj ostvarenje javnog svemirskog programa SAD-a koji se provodi čitavim nizom znanstveno-istraživačkih programa u brojnim NASA-nim centrima – istraživanje Svemira, Solarnog sustava i njegove sastavnice Zemlje putem Misija (svemirske stanice, letovi), zatim razvoj i primjena aeronautike, novih tehnologija i materijala, obrazovanje i još puno toga (slika 1: izvor dijagrama - http://www.nasa.gov/about/org_index.html ), tada je jasno da sigurnost i zaštita NASA-inog IS mora imati snagu Chuck Norrisa koji će zaštititi sve itekako interesantne i neprocijenjive informacije (jedna od njih - da li imaju kakve vanzemaljce u formaldehidu ili govorimo o previše SF).
Slika 1: NASA organizacijska struktura
S druge strane, IS nekog malog poslovnog sustava, naspram NASA-inog, sasvim dovoljno štiti i Johnny English. To nikako ne znači da su manji poslovni sustavi manje vrijedni, kao što je prikaz na slici 2 (to je samo sinonim, a tu je jer ima cool prikaz organizacijske strukture umjesto običnog i dosadnog: izvor dijagrama - http://www.issworld.com/our_services/integrated_facility_services/pages/overview_of_facility_management.aspx ). No, da bi sigurnost i zaštitu nekog IS frizirali na snagu Chuck Norrisa (ili nekog slabijeg, ali opet dovoljno snažnog) potrebno je jako puno znanja i iskustva koje su se pametni ljudi sjetili zapisati u veliki dokument o sigurnosti IS (pod raznim imenima, npr. ISO 27000, NIST, NODIS) i time svima olakšali život. Sad se zna definicija, što se traži, protokol, tko je kriv, a sve to lijepo i detaljno opisuju norme o sigurnosti i zaštiti IS.
Slika 2: Organizacijska struktura uslužnog poduzeća
Tako NASA svoju sigurnost i zaštitu IS-a temelji na NODIS-u, a neki drugi poslovni sustav na normama sustava ISO 27000. Koje su razlike, a koje sličnosti između njih slijedi u nastavku. No najprije da ih upoznamo ponaosob, dakle - tko je tko?
WHO IS WHO?
Cilj svakog poslovnog sustava je nesmetano odvijanje poslovnih procesa, sigurnost vitalnih informacija, te ako i dođe do ispada sustava njegov brzi oporavak. Koliko je to važno u NASA-inom primjeru sasvim je suvišno naglašavati. Dovoljno je samo zamisliti što bi se dogodilo da NASA umjesto snažnog ISMS-a (sustava za upravljanje informacijskom sigurnošću) ima neki slabi kojeg i hakerski šegrt može probiti (pa im proda vanzemaljca na eBay-u ili malo pomakne koordinate slijetanja Space Shuttle-a u susjedovo dvorište). Upravo je tu vrijednost kvalitete samih normi kad govorimo o metodologiji uvođenja ISMS-a iz razloga što je sve dokumentirano. Dokumentiranost štiti na puno razina – od jasnih definicija, pa propisanih procedura koje se bez panike „što sad“ koriste za čim brži oporavak sustava, zatim jasnog definiranja odgovornosti i snošenja posljedica i još puno toga. Obzirom da se radi o izuzetno dinamičnom području svakodnevno novih i sve kreativnijih oblika prijetnji, same norme se nadograđuju.
ISO 27000 je brzorastuća familija međunarodnih normi iz područja informacijske sigurnosti, upravo iz razloga dinamičnosti promjena prijetnji IS. Svoje korijene vuče iz 1995. godine pod imenom BS 7799 – sustava preporuka najbolje prakse, pa dalje kroz ISO 17799 iz 2005. godine, da bi nakon toga krenula klasa ISO 27000. Danas su određene norme publicirane (ISO 27000-08, 27011, 27033, 27799), neke od njih su u nastajanju (ISO 27031-34, 27051), dok se za neke predviđa buduća potreba za specifičnom standardizacijom (ISO 27012, 27013). Slika 3a prikazuje ime i prezime i specijalnost nekih od članova obitelji ISO 27000 (slika 3a: prema http://www.27000.org/index.htm, 3b: http://www.oxialweb.com/wp-content/uploads/2010/12/iso27000c2-300x300.jpg). Ona dakle omogućuje metodologiju uvođenja ISMS-a u neku organizaciju, ali i mogućnost dobivanja certifikata što znači da je informacijska sigurnost provedena na najbolji način. Sustav sigurnosti izgrađuje se kroz donošenje politike sigurnosti, procjenu rizika i odabira mjera za smanjivanje rizika, izgradnju ISMS-a, te certifikacije. Ono što je izuzetno bitno, sustav normi ISO 27000 svojim smjernicama i preporukama u svakom koraku izgradnje sustava sigurnosti pruža maksimalnu podršku.
Slika 3a i 3b: ISO 27000 Family
A kako to izgleda u NASA-i? NASA ima svoju jedinicu za IT sigurnost čiji je zadatak osigurati nesmetani protok podataka i informacija uz očuvanje povjerljivosti, integriteta i dostupnosti kroz sigurnost cjelokupne informacijske tehnologije. NODIS je NASA-ina online dostupna baza važnih direktiva, politika i proceduralnih zahtjeva. Glavna lista direktiva podijeljena je na 10 cjelina (vidi slika 4a: prema http://nodis3.gsfc.nasa.gov/policy_lib.cfm) koje se odnose na (1) organizaciju i administraciju, (2) zakone, (3) ljudske potencijale, (4) vlasništvo, ponudu i opremu, (5) nabavu, malo poslovanje i industrijske veze, (6) transport, (7) formulaciju programa, (8) menadžment programa, (9) financijski menadžment i (10) reviziju i istrage. Iz navedenih NODIS-ovih cjelina glavne liste direktiva za cjelokupnu NASA-inu informacijsku sigurnost izdvajaju se dva glavna dokumenta - politika informacijske sigurnosti - NPD 2810.1A i procedura o sigurnosti informacijske tehnologije - NPR 2810.1D. Dodatni izvori za upravljanje informacijskom sigurnošću odnose se na NID (prijelazne direktive), NITR (prijelazne tehničke zahtjeve), IT S-HBK (Priručnik za informacijsku sigurnost), standarde i memorandume (slika 4b: prema http://www.nasa.gov/offices/ocio/itsecurity/index.html).
Slika 4a i 4b - Sastavnice NODIS-a i Dokumentacija sigurnosti IS
NODIS vs ISO 27000
Nakon osnovnih crta upoznavanja strukture ISO 27000 i NODIS-a slijedi pogled „ispod haube“, odnosno usporedba nekih dodirnih točaka kod izgradnje ISMS-a. Kao da uspoređujemo - Alien vs Predator. Svaki od njih ima svoje specifičnosti (Alien – ako ga prepiliš s kapljicom krvi rastali pola svemirskog broda, nema arsenal oružja dosta mu je rep...; Predator – može biti nevidljiv, ima efikasno oružje, od njegovog infracrvenog pogleda moguće je sakriti se ako se namažeš blatom,...), ali i zajedničke karakteristike (pa čovjek ih baš i ne bi želio sresti u mračnoj uličici...). Glavna zajednička karakteristika i ISO-a i NODIS-a je svakako podrška u izgradnji visokokvalitetnog i učinkovitog ISMS-a.
Slika 5: Potpora ISMS-a prema ISO 27000 i NODIS-u
POLITIKA SIGURNOSTI
Sigurnost IS je čitav niz mjera i postupaka koje se poduzimaju kako bi se osigurala funkcionalnost IS u pretpostavljenim uvjetima. Zaštita IS dopunjuje sigurnost – kao čitav niz mjera i postupaka kojima se smanjuje rizik od dodatnih uočenih ili pretpostavljenih izvora i oblika prijetnji. (predavanja prof. Hutinski)
Pa prvi korak u izgradnji sustava sigurnosti je donošenje politike sigurnosti. Politika sigurnosti sadrži niz dokumenata koji se odnose na (1) Dokument s odlukom o uvođenju sustava sigurnosti te obvezom financiranja, (2) Dokument o granicama funkcionalnosti sigurnosti IS, (3) Dokument o prijenosu odgovornosti za sigurnost IS, (4) Dokument o strategiji razvoja sigurnosti IS, (5) Dokument o organizacijskom ustroju sigurnosti IS (NASA ima svoj odjel za informacijsku sigurnost koji razvija i održava sustav sigurnosti – IT Security).
Slika 6: NASA - Politika sigurnosti
NASA ima svoju politiku sigurnosti (NPD 2810.1D : izvor - http://nodis3.gsfc.nasa.gov/displayDir.cfm?t=NPD&c=2810&s=1D ), dokument od devet stranica, koja u prvom redu definira odgovornost odjela za informacijsku sigurnost i to za klasificirane (Office of Security and Program Protection (OSPP)) i neklasificirane (Office of the Chief Information Officer (OCIO)) informacije te podrijetlo samih informacija (štite se obje vrste informacija prema propisanoj nacionalnoj sigurnosnoj klasifikacijskoj razini, od neautoriziranog pristupa, promjene ili uništenja u bilo kojem procesu obrade informacija, nadalje štite se sve informacije nastale ili korištene u NASA-nim misijama, programima, istraživanjima...). Sljedeća stavka promatrane politike sigurnosti odnosi se na primjenu same politike na sve NASA-ine sastavnice. Dane su i definicije vezane uz informacijsku sigurnost. Navedeni su i svi primjenjivi zakonski akti i primjenjivi dokumenti (NPR 1600.1, NPR 2810.1, NPD 9800.1, Federal Information Processing Standards (FIPS), National Institute of Standards and Technology (NIST) Special Publications (SPs) 800 Series). Najveći dio same politike sigurnosti odnosi se na opis odgovornosti koje nose određene poslovne pozicije (NASA Administrator, NASA CIO, NASA Assistant Administrator for Security and Program Protection (SPP), Associate/Assistant Administrators for Mission Directorates and Mission Support Offices, SAISO, Center Directors and the Director for Headquarters Operations, Center CIOs and the Headquarters Operations CIO, for information and information systems under their purview). Opisan je i način provjere efektivnosti politike sigurnosti.
Što se tiče usporedbe NASA-ine Politike sigurnosti sa smjernicama ISO 27000 (27002; 5. poglavlje) može se zaključiti povezanost elemenata.
PROCJENA RIZIKA
Rizik je sastavni dio svakodnevnog života. Gotovo svaka odluka ili korak koji poduzimamo ima u sebi elemente rizika. Tako rizik može predstavljati i štene Koker španijela (no i svako drugo) i to prema više odrednica - cipelama, namještaju, raznim kablovima za struju (TV, računalo, mobitel,...gdje se opet dolazi do novih rizika - da li će kokera dok sažvače kebel ubiti struja ili vlasnik),... Posebno veliki rizik je onaj vezan uz informacijsku sigurnost, zbog svih onih napadača (hakerskih ili nekih drugih Aliena i Predatora) koji do zaštičenih informacija žele doći pod svaku cijenu. ISO 27002 definira rizik kao spregu vjerojatnosti događaja i njegovih posljedica, a procjenu rizika kao cjelokupan proces analize rizika i njegovog vrednovanja.
Da bi procijenili rizik potrebno je identificirati (1) informacijsku imovinu i dodijeliti vlasnika (HW, SW, ljudi, procesi, podaci), (2) procijeniti značaj podatkovnog sadržaja (vanjski i unutarnji čimbenici, (3) procijeniti izvore (priroda, čovjek, tehnička pogreška) i oblike (neautorizirano i neidentificirano korištenje, neregistrirana promjena sadržaja,...) prijetnji i (4) izračunati rizik (temelji se na procjeni izvora prijetnji).
NASA-ini zahtjevi za zaštitu informacija i IS izvedeni su prema NIST-ovim (National Institute of Standards and Technology) standardima - Special Publication (SP) 800-53, Recommended Security Controls for Federal Information Systems and Organizations, a kod procjene rizika - NIST SP 800-37, Guide for Applying the Risk Management Framework to Federal Information Systems. Na slici 7 prikazani su koraci dinamičkog djelovanja RMF-a prema NIST-ovim standardima: izvor - http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf .
Slika 7: NIST - RMF
MJERE ZA SMANJIVANJE RIZIKA
Kao izvorna kategorija čuva se podatak koji mora biti na nekom materijalnom nositelju koji se opet štiti kroz daljnji sustav od programskih, tehničkih, fizičkih, organizacijskih pa sve do pravnih mjera (slika 8). Navedene mjere opisuje NPR 2810.1A koje se također zasnivaju na NIST-ovim standardima. Prvo poglavlje govori o informacijskoj sigurnosti menadžmenta, zatim slijedi opis upravljačkih (organizacijskih) mjera, operacijskih i tehničkih mjera. ISO 27002 također daje niz mjera za smanjivanje rizika.
Slika 8: Sustav zaštitnih mjera
ZAKLJUČAK
NASA je izuzetno ovisna o svojem IS i toga je i svjesna, zbog čega poduzima ogromne i ozbiljne napore da maksimalno zaštiti ranjivost IS. To čini kroz dokumentiranost, edukaciju, primjenu visoke razine zaštite uključivanjem svih dostupnih mjera. Kroz sve NASA-ine dokumente vezane uz sigurnost glavni naglasak je na - Tko?, Gdje?, Kako? i Zašto? Drugim riječima, naglasak je na edukaciji zaposlenika na svim razinama da u prvom redu shvate važnost informacijske sigurnosti, zatim svoju odgovornost koje nosi određeno radno mjesto i posljedice nepridržavanja pravila. Gotovo da nema niti jednog dokumenta u kojem nije naglašena važnost informacijske sigurnosti, definiranje bitnih pojmova (od toga što je IS, informacijska imovina, rizik,... pa sve do "banalnih" pojmova - što je monitor), navedena je sva relevantna zakonska regulativa i posebno je naglašena - odgovornost. U velikom dijelu NASA-inih dokumenata vezanih uz informacijsku sigurnost podloga su NIST-ovi standardi (specijalna serija 800) koji su razumljivi, dobro koncipirani, temeljno objašnjeni, definiraju bitne pojmove, naglašavaju važnost, imaju posebno označene dijelove koji služe za samu implementaciju, uglavnom daju jako dobru podršku i dostupni su online, jednom riječju - osvoje vas, postanu draži od ISO-a (ko da je ISO norma ikomu draga). Unatoč zavidnoj organizaciji zaposlenicima u NASA-inom sektoru informacijske sigurnosti sigurno nije lako (a ni dosadno) raditi i biti korak ispred svih mogućih eventualnih napada koji mogu za posljedicu, polućiti visoke štete. No, NASA-in sustav sigurnost IS s pravom može biti Chuck Norris u odnosu na druge sustave sigurnosti. :-)
Slika 9: Mercury Space Capsule Undergoes Testing 22.1.1959.
Slika 10: Astronaut Tests SAFER Backpack
LITERATURA
1. http://www.27000.org/index.htm
3. http://www.nasa.gov/offices/ocio/itsecurity/index.html
4. http://nodis3.gsfc.nasa.gov/policy_lib.cfm
5. http://science.howstuffworks.com/nasa4.htm
6. http://nodis3.gsfc.nasa.gov/displayDir.cfm?t=NPR&c=2810&s=1A
7. http://nodis3.gsfc.nasa.gov/displayDir.cfm?t=NPD&c=2810&s=1D
9. ISO 27002 ppt
--vlatka.sekovanic 19:33, 6. siječnja 2012. (CET)