Você está na página 1de 12

A

Sigurnosni standardi i programi sertifikacije


U ovom dodatku su ukratko pobrojani neki od sigurnosnih standarda i programa sertifikacije. Navedeni su neki meunarodni, a takoe i ameriki standardi i regulacioni propisi. Neki standardi opisani su u prethodnim poglavima ove kige a mai broj se prvi put pomie u ovom dodatku. Programi sertifikacije vrlo su znaajni u novije vreme jer omoguavaju odreeni nivo standardizacije kvaliteta proizvoda i usluga, kao i kadrova koji rade u oblasti sigurnosti. Kompletna lista vanih standarda zauzela bi verovatno polovinu ove kige. Zato smo se odluili da prikaemo samo mali broj reprezentativnih standarda, a ostale moete potraiti na Internetu ili kod organizacija za standardizaciju. Naveden je i postupak donoea Internet standarda i RFC-ova, kao zanimiv primer procesa defacto standardizacije koja je plod entuzijastikog rada profesora i studenata, zatim ineera i korisnika koji su razvijali prve TCP/IP mree. Ovaj proces je kasnije formalizovan u okviru institucija, to e biti objaeno u ovom dodatku.

653

654

Dodatak A: Sigurnosni standardi i programi sertifikacije

A.1 Sigurnosni standardi


ISO 17799
Standard ISO/IEC 17799 postava osnovne i opte principe za inicirae, implementaciju, odravae i unapreee upravaa sigurnou informacija u nekoj organizaciji. Pomenuti principi daju opte smernice za zajedniki prihvaene cieve upravaa sigurnou informacija. ISO/IEC 17799:2005 se oslaa na najboa iskustva upravaa u sledeim podrujima: sigurnosne polise organizacija sigurnosti informacija upravae vrednostima sigurnost udskih resursa fizika sigurnost i sigurnost okruea upravae komunikacijama i operacijama kontrola pristupa akvizicija, razvoj i odravae informacionih sistema reavae incidenata u oblasti sigurnosti upravae odraem kontinuiteta posla potovae propisa i standarda

Pretea ovog standarda je Britanski standard BS7799-1. Korisne adrese su: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= http://www.iso-17799.com/ http://www.itgovernance.co.uk/page.bs7799

ISO 27001
ISO/IEC 27001:2005 obuhvata sve vrste organizacija (komercijalna preduzea, dravne agencije, neprofitne organizacije). ISO/IEC 27001:2005 specificira zahteve za uspostavae, implementaciju, rad, nadzor, pregledae, odravae i unapreee dokumentovanog sistema upravaa sigurnou kao delom poslovnih rizika te organizacije. Tu su specificirani zahtevi za implementaciju upravaa sigurnou za pojedinane organizacije i ihove delove. ISO/IEC 27001:2005 daje mogunost izbora odgovarajuih sistema upravaa za zatitu imovine i stvaraa poverea kod svih zainteresovanih strana. Primeiv je na razliite tipove i veliine kompanija, organizacija i institucija.

A.1 Sigurnosni standardi

655

ISO/IEC 27001:2005 je pogodan za nekoliko razliitih tipova primene, ukuujui sledee: koriee u organizacijama pri formulisau sigurnosnih zahteva i cieva koriee u organizacijama, kao osigurae da je upravae sigurnosnim rizicima efikasno koriee u organizacijama, kako bi se osiguralo potovae zakona i ostalih regulacionih propisa koriee u nekoj organizaciji, kao okvir procesa za implementaciju i rukovoee kontrolom, kako bi pojedinani sigurnosni cievi u toj organizaciji bili ispueni definisae novih procesa u rukovoeu sigurnou identifikacija i razjaee postojeih procesa upravaa sigurnou informacija koristi ga rukovodstvo organizacija kako bi se odredio status aktivnosti koje se odnose na upravae sigurnou informacija koriste ga interni i eksterni revizori (engl. auditor) organizacije kako bi se odredio stepen potovaa polisa, direktiva i standarda koje je organizacija prihvatila koriste ga organizacije, kako bi poslovnim partnerima i drugim organizacijama s kojima sarauju ili iz komercijalnih razloga obezbedile relevantne informacije o pravilima informacione sigurnosti, direktivama, standardima i procedurama implementacija informacione sigurnosti koja omoguava odvijae posla koriste ga organizacije kako bi klijentima dostavile relevantne podatke o sigurnosti informacija. Korisne adrese su: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3= http://www.iso27001security.com/html/iso27000.html

NIST standardi
Odeee za raunarsku sigurnost amerikog Nacionalnog instituta za standarde i tehnologiju (National Institute of Standards and Technology, NIST) ukueno je u mnogo razliitih projekata. CSRC takoe obezbeuje dosta resursa koji su raspoloivi on-line, a koji su zasnovani na ovim projketima. Korisne adrese su: NIST Computer Security Division, Web stranica CSRC, http://csrc. nist.gov/ NIST Computer Security Special Publications, http://csrc.nist.gov/ publications/nistpubs/

656

Dodatak A: Sigurnosni standardi i programi sertifikacije

Na primer, kriptografski algoritmi DES (Data Encryption Standard) i AES (Advanced Encryption Standard) jesu NIST standardi. O ima moete vie proitati u 3. poglavu ove kige i na sledeim Web stranicama: DES, http://csrc.nist.gov/publications/fips/fips46-3/fips46-3.pdf AES, http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf

Zajedniki kriterijum
Zajedniki kriterijum (Common Criteria, CC) rezultat je napora da se naprave kriterijumi za proveru i vrednovae IT sigurnosti koji e moi da se koriste u meunarodnoj zajednici. To je svojevrsno ujednaavae velikog broja razliitih izvornih kriterijuma: postojeih evropskih (ITSEC), amerikih (TCSEC) i kanadskih kriterijuma (CTCPEC). Zajedniki kriterijum razreava konceptualne i tehnike razlike meu izvornim kriterijumima. On i doprinosi razvoju meunarodnog standarda i otvara vrata ka uzajamnom priznavau rezultata provere i vrednovaa. Zajedniki kriterijum je sada meunarodni standard (ISO/IEC 15408) za raunarsku sigurnost. Za razliku od standarda kao to je USA standard FIPS 140, u CC-u se ne daje lista zahteva u pogledu sigurnosti ili funkcionalnosti koje proizvodi moraju da sadre. Umesto toga, tu se opisuje radni okvir (engl. framework) u kome korisnici raunarskih sistema i mrea mogu da specificiraju svoje zahteve; proizvoai (engl. vendors) mogu onda da ih implementiraju i/ili da iznesu stavove i tvrde o svojim proizvodima, a laboratorije mogu da provere i evaluiraju proizvode da provere da li stvarno odgovaraju tim tvrdama, odnosno deklaracijama. Drugim reima, CC obezbeuje garanciju da e se proces specifikacije, implementacije i evaluacije proizvoda za raunarsku sigurnost voditi i sprovesti na rigorozan i standardizovan nain, to garantuje odreeni nivo kvaliteta proizvoda i usluga u ovoj oblasti. Korisne adrese su: http://www.commoncriteriaportal.org/ http://www.commoncriteriaportal.org/public/files/ccintroduction.pdf

Internet standardi i IETF


Poseban, vrlo znaajan segment sigurnosti odnosi se na Internet. Mnogi su protokoli iz skupa protokola TCP/IP ili standardizovani ili su u procesu standardizacije. Internet ima sopstvene mehanizme standardizovaa, veoma razliite od postupaka koji se primeuju po standardima ITU-T i ISO. Prema univerzalnom dogovoru, organizacija poznata kao Internet drutvo (engl. Internet Society) bavi se razvojem i publikovaem ovih standarda. Tri organizacije pod okriem Internet drutva odgovorne su za stvarni rad na ovom podruju. To su:

A.1 Sigurnosni standardi

657

Internet Architecture Board (IAB), odgovorna za definiciju celokupne arhitekture Interneta; obezbeuje rukovoee, opte principe i pravce razvoja za IETF. Kada je mrea ARPANET putena u rad, Ministarstvo odbrane je obrazovalo formalni komitet da je nadgleda. Godine 1983. komitet je preimenovan u Odbor za aktivnosti na Internetu (engl. Internet Activities Board, IAB) i dodeena mu je malo ira misija: podsticae istraivae da mreu razvijaju i odravae Internet u priblino istom duhu. Ista skraenica (IAB) koriena je i od onda kada je ime Odbora promeeno u Odbor za arhitekturu Interneta (engl. Internet Architecture Board)1. IAB se okupa vie puta godie da razmotri rezultate i da o ima izvesti organizacije koje su ga osnovale i koje ga finasiraju. Kada se ukae potreba za novim standardom (na primer, za novim algoritmom za rutirae), lanovi IAB-a ga razmatraju, a zatim objavuju izmene. Izmene su objavivane u nizu tehnikih izvetaja zvanih Zahtevi za komentare (engl. Request For Comments, RFC). RFC dokumenti su skladiteni na mrei tako da ih svaki zainteresovani korisnik moe preuzeti sa adrese www.ietf.org/rfc. Oni su numerisani hronoloki, po redu pojavivaa i danas ih ima preko 3.000. U ovoj kizi se pozivamo na neke RFC dokumente. Internet Engineering Task Force (IETF), koja se bavi ineeringom protokola i razvojem Inteneta. Do 1989. godine, Internet je tako narastao da opisani neformalni stil rada vie nije bio primeniv. Mnogi proizvoai su ve nudili TCP/IP proizvode i nisu eleli da ih meaju samo zato to aica istraivaa ima bou ideju. U leto 1989. godine, IAB je ponovo reorganizovan. Istraivai su prebaeni u Istraivake snage Interneta (engl. Internet Research Task Force, IRTF) telo podreeno IAB-u i paralelno telo Ineerske snage Interneta (engl. Internet Engineering Task Force, IETF). IAB su popunili predstavnici organizacija koje nisu vie bile samo akademske i istraivake. U poetku je to bila grupa koja se sama obnavala tako to su posle dvogodieg mandata stari lanovi imenovali nove. Kasnije je od osoba zainteresovanih za Internet obrazovano Internet drutvo. Rad IETF-a je podeen na osam podruja, tj. na radne grupe: opte (IETF procesi i procedure na primer, proces za razvoj Internet standarda), aplikacije ili primene (protokoli zasnovani na Webu, EDI-Internet integracija, LDAP), Internet infrastruktura (IPv6, PPP proirea), operacije i upravae (standardi i definicije za mrene operacije, koriee i upravae na primer SNMPv3 i dainsko nadgledae mrea), rutirae (protokoli za rutirae, kao to je OSPF), sigurnost (sigurnosni protokoli i tehnologije, kao to su Kerberos, IPSec, X.509, S/MIME, TLS), transport (protokoli transportnog nivoa, kao to su IP telefonija NFS, RSVP) i korisnike usluge (naini da se poboa kvalitet informacija raspoloivih korisnicima Interneta; na primer, odgovorno

http://www.iab.org/

658

Dodatak A: Sigurnosni standardi i programi sertifikacije

koriee Interneta, korisnike usluge i dokumenti vama za informaciju engl. for your information, FYI documents). Uoavamo da se oblast sigurnosti tretira kao posebno podruje, to govori o znaaju ove problematike u okviru Interneta. Internet Engineering Steering Group (IESG), odgovorna za tehniko upravae IETF aktivnostima i procesom donoea Internet standarda. Odluku o tome koji e RFC postati Internet standard, donosi IESG, na predlog IETF-a. Da bi postala standard, specifikacija mora zadovoiti sledee kriterijume: da bude stabilna i razumiva, da bude tehniki kompletna, da ono to specifikacija definie ima vie nezavisnih i interoperativnih implementacija koje su proverene u praksi, da ima znaajnu javnu podrku, da bude prepoznativa i korisna u znaajnom delu Interneta ili na celom Internetu. Kuna razlika izmeu ovih kriterijuma i onih koji se koriste kao internacionalni ITU standardi jeste isticae radnog (operativnog) iskustva, odnosno primene u praksi. Leva strana slike A.1 prikazuje niz koraka zvanih standardna staza (engl. standard track), kojom prolazi specifikacija da bi postala standard. Ovaj proces je definisan u RFC 2026. Koraci podrazumevaju detano ispitivae i testirae. U svakom koraku, IETF moe preporuiti unapreee protokola i IESG mora da to ratifikuje. Proces poie kada IESG odobri objavivae Internet nacrta (radnog dokumenta) kao RFC-a sa statusom predloeni standard (engl. Proposed Standard). Beli pravougaonici na dijagramu predstavaju privremena staa, u kojima se moe biti minimalno vreme. Meutim, dokument mora ostati u fazi predloeni standard najmae 6 meseci i u fazi nacrt standarda (engl. Draft Standard) najmae 4 meseca kako bi bilo dovono vremena za pregled i recenziju dokumenta. Oseneni pravougaonici predstavaju dugorona staa u kojima se dokument moe zadrati godinama. Da bi specifikacija postala nacrt standarda, moraju postojati najmae dve nezavisne i interoperabilne implementacije iz kojih je dobijeno adekvatno operativno iskustvo. Kada se ostvari znaajno implementaciono i operativno iskustvo, specifikacija se moe podii na nivo Internet standarda. U ovoj taki, specifikacija dobija STD broj i RFC broj. Na kraju, specifikacija koja postane zastarela ili prevaziena dobija istorijski status (engl. historic).

A.1 Sigurnosni standardi

659

Radni dokument (Internet draft)

Predloeni standard

Trenutno najbolja praksa

Eksperimentalna specifikacija

Informativna specifikacija

Radni standard

Internet standard

Istorijska specifikacija

Slika A.1 Internet RFC proces publikovaa

Svi Internet standardi spadaju u jednu od dve kategorije: Tehnika specifikacija (engl. Technical specification, TS). TS definie protokol, uslugu, proceduru, konvenciju ili format. Gomila Internet standarda su TS-ovi. Izjava o primenivosti (engl. Applicability statement, AS). AS specificira kako i pod kojim okolnostima jedan ili vie TS-ova mogu biti primeeni da podre odreenu Internet mogunost (engl. capability). Brojni RFC dokumenti ne postaju Internet standardi. U nekim RFC dokumentima standardizuju se rezultati dogovora, izjave o principima ili zakuci o tome koji je najboi nain da se izvre odreene operacije, kao i o IETF procesnim funkcijama. Takvi RFC dokumenti sadre trenutno najbou praksu (engl. Best Current Practice, BCP). Odobravae BCP-ova odvija se isto kao i odobravae predloenih standarda. Za razliku od dokumenata koji prolaze kroz sve etape na stazi standarda, nema trostepenog procesa za BCP; BCP prelazi iz staa radnog dokumenta u odobreni BCP u jednom koraku. Protokol ili druga specifikacija koja se ne smatra spremnom za standardizaciju, moe se objaviti kao eksperimentalni RFC. Posle dodatnog rada, specifikacija moe biti ponovo podneta na razmatrae. Ukoliko je specifikacija generalno stabilna, jasna i razumiva, javno razmatrana i oceena povono, i ako za u postoji dovoan drutveni interes i poveree da bi se smatrala vrednom, RFC e postati predloeni standard. Posle svega, Informativna specifikacija (engl. Informational Specification) objavuje se kao opta informacija za Internet zajednicu.

660

Dodatak A: Sigurnosni standardi i programi sertifikacije

PCI DSS (standard sigurnosti podataka industrije platnih kartica)


Kao odgovor na rastui broj zloupotreba (engl. fraud) u poslovau na Internetu i uopte u poslovau kreditnim i slinim karticama, nekoliko vodeih svetskih kompanija odluile su da donesu sigurnosni standard koji bi pomogao da se smae pronevere i zloupotrebe. Glavni inicijatori PCI DSS (Payment Card Industry Data Security Standard) standarda jesu Visa i Master Card International. Kasnije su ovaj standard prihvatile i ostale kompanije koje izdaju kreditne kartice. Doneti su i programi i definisane procedure sertifikacije kojima podleu kompanije koje se bave trgovinom preko Interneta uz primae uplata kreditnim karticama. Kompanije koje prou ovu sertifikaciju, imaju kod kompanija koje izdaju platne kartice znaajno povonije uslove u pogledu provizija i naina refundiraa transakcija koje su posledica pronevera i zloupotreba. Ovaj standard obuhvata 12 podruja svrstanih u 6 grupa. To su: [I] Izgraivae i odravae sigurne mree Zahtev 1: Instalirae i odravae konfiguracije zatitne barijere radi zatite podataka. Zahtev 2: Ne koristiti podrazumevane vrednosti za lozinke i druge sigurnosne parametre. Zatita podataka vlasnika platnih kartica Zahtev 3: Zatita uskladitenih podataka. Zahtev 4: ifrovae podataka o karticama i drugih osetivih informacija koje se prenose preko javnih mrea. Odravae programa za rukovae raivostima Zahtev 5: Koriee i redovno aurirae antivirusnog softvera. Zahtev 6: Razvoj i odravae sigurnosnog sistema i aplikacija. Implementacija strogih mera kontrole pristupa Zahtev 7: Ograniavae pristupa podacima po poslovnom principu treba da zna. Zahtev 8: Dodela jedinstvene identifikacije svakom licu koje ima pristup raunaru. Zahtev 9: Ograniavae fizikog pristupa podacima o vlasnicima kartica. Redovno nadzirae i testirae mree Zahtev 10: Praee i nadzor svih pristupa mrenim resursima i podacima o vlasnicima kartica. Zahtev 11: Redovno ispitivae sigurnosnih sistema i procesa. Odravae politike sigurnosti informacija Zahtev 12: Odravae pravila koja se odnose na sigurnost informacija.

[II]

[III]

[IV]

[V]

[VI]

A.2 Programi sertifikacije

661

U trenutku pisaa ove kige, PCI DSS standard je relativno nov i programi sertifikacije su tek u poetnoj fazi. Korisna adresa je: http://usa.visa.com/download/business/accepting_visa/ ops_risk_management/cisp_PCI_Data_Security_Standard.pdf

A.2 Programi sertifikacije


Sigurnost je vrlo osetivo podruje. Mnoge firme i institucije ele da posebnu pau posvete proveri i sertifikaciji svojih proizvoda i usluga, kao i kadrova koji rade bilo kao zaposleni, bilo po ugovoru ili onih koji na drugi nain (recimo kao poslovni partneri i saradnici) barataju osetivim informacijama. Primera radi: u procesu ispitivaa mogu se otkriti osetive informacije o organizaciji. Mnoge firme koje se bave ispitivaem sigurnosti, trude se da dokau kako ne zapoavaju bive hakere s crnim eirima i kako se ihovi zaposleni na poslu dre strogih etikih i moralnih principa. Kao dodatna garancija pouzdanosti i poslovnosti ovih firmi, postoje sertifikati o stepenu poverea, pouzdanosti i usklaenosti sa industrijskim standardima i najboom praksom i procedurama, koje izdaju profesionalne i vladine (dravne) institucije. U ovu svrhu su, pored standarda, uvedeni i brojni programi sertifikacija koje mogu propisivati vladine i zakonodavne agencije i/ili institucije, zatim profesionalne grupe i udruea, a takoe i pojedini proizvoai opreme ili davaoci usluga. Naveemo nekoliko predstavnika da bi itaoci stekli osnovnu predstavu o ihovom domenu i obimu rada, kao i pristupu.

CISSP
Certified Information Systems Security Professional (CISSP) sertifikacija daje profesionalcima u oblasti sigurnosti objektivno merilo kompetencije, kao i globalno priznat standard u pogledu dostignua u ovoj oblasti. CISSP uveree pokazuje kompetenciju u 10 domena (ISC) CISSP CBK. Ovo uveree su akreditovale organizacije ANSI i ISO (ISO 17024:2003) u pou informacione sigurnosti. CISSP uveree, tj. sertifikat, potreban je rukovodiocima sredeg i vieg nivoa koji nameravaju da budu ili su ve na poloajima CISO (Chief Information Security Officer), CSO (Chief Security Officer) ili Senior Security Engineer. Korisne adrese su: CISSP Certification i (ISC)2 https://www.isc2.org/ Web portal za sertifikovane profesionalce u oblasti raunarske sigurnosti, http://www.cissp.com/

662

Dodatak A: Sigurnosni standardi i programi sertifikacije

CHECK, CESG
U Velikoj Britaniji, glavni standard/akreditacija je CHECK ema koju administrira CESG (Communications-Electronics Security Group, deo GCHQ-a). Ovaj standard je obavezan preduslov za zapoavae u svim vladinim institucijama (centralnim, lokalnim, policijskim snagama itd.), i u mnogim komercijalnim blue chip organizacijama.2 Organizacije potpisnici ove eme dune su da odravaju stroge etike norme, a od nosilaca sertifikata se automatski zahteva da imaju najmae SC nivo sigurnosne provere (engl. SC level security clearance).

GIAC
GIAC je skraenica za Global Information Assurance Certification. GIAC je osnovan 1999. godine, kako bi se proveravale realne i praktine vetine profesionalaca u oblasti IT sigurnosti i izdavao sertifikat o tome. Sertifikat GIAC je svojevrsno jemstvo da ovlaena osoba ima praktina znaa i vetine koje se mogu primeniti u kunim oblastima raunarske sigurnosti. GIAC trenutno nudi sertifikovae za 18 specifinih tipova poslovnih odgovornosti koje odraavaju tekuu praksu informacione sigurnosti. GIAC je jedinstven po tome to meri pojedine specifine oblasti znaa umesto optih znaa u oblasti informatike sigurnosti. GIAC sertifikacije su klasifikovane u 5 osnovnih podruja: Security Administration (administrirae sigurnosti) Management (menadment) Operations (operacije) Legal (pravni aspekti) Audit (nadzor)

Postoji nekoliko nivoa sertifikacije: srebrna, zlatna i platinska (engl. silver, gold, platinum). Korisna adresa je: http://www.giac.org/

Cisco Certified Security Professional (CCSP)


CCSP sertifikacija je potvrda posedovaa naprednih znaa i vetina koje su potrebne da se Cisco mree uine sigurnim. Profesionalac u oblasti raunarskih mrea koji ima sertifikat CCSP, vlada vetinama potrebnim za upravae mrenim infrastrukturama, zatitu produktivnosti i smaivae trokova. U CCSP kurikulumu (engl. curriculum) naglaava se upravae VPN mreama, Cisco Adaptive Security Device Manager (ASDM), PIX firewall, Adaptive Security Appliance (ASA), Intrusion Prevention Systems (IPS), Cisco Security Agent (CSA) kao i tehnike kojima se ove tehnologije kombinuju u jedinstvena i integrisana mrena reea.
2

Organizacije, odnosno kompanije koje su dobro organizovane, stabilne i nemaju veliki teret neizvrenih obaveza tj. dugovanja i zbog toga se ubrajaju u vrednije kompanije.

A.2 Programi sertifikacije

663

Korisna adresa je: http://www.cisco.com/web/learning/le3/le2/le37/le54/ learning_certification_type_home.html

Information Systems Security (INFOSEC) Professional Recognition


Namena INFOSEC instrukcije je da ustanovi minimalni standard za obuavae profesionalaca za sigurnost informacionih sistema (INFOSEC) i to u oblasti telekomunikacija i automatizovanih informacionih sistema. Amerika direktiva National Security Telecommunications and Information Systems Security Directive No. 501 sadri zahtev da sva federalna ministarstva i agencije sprovedu programe obuke za INFOSEC profesionalce. Kao to je definisano u NSTISSD 501, INFOSEC profesionalac je osoba koja je odgovorna za pregled/ nadzor ili rukovoee, ili za nacionalne sigurnosne sisteme tokom odreenih faza ivotnog ciklusa. Direktiva 501 implementira se kroz zajedniki rad odeea i agencija koje su obavezne da zadovoe INFOSEC obrazovne zahteve na najboi i najefikasniji nain. Ova instrukcija je prva u seriji standarda koji definiu minimum obuke i obrazovaa; ona treba da pomognu ministarstvima i agencijama da postignu i zadovoe zahteve u ovim podrujima. Instrukcija vai kako za ihove zaposlene, tako i za saradnike po ugovoru (engl. contractors). Korisne adrese: http://www.cnss.gov/Assets/pdf/nstissi_4011.pdf http://niatec.info/pdf/4011.pdf