COMPUTERWORLD
Specializovaný týdeník o výpočetní technice

Seriál
o bezpečnosti
a informačním soukromí

Část 24 - CW 34/97

Standardy bezpečnosti IT

Petr Hanáček

Zatímco v minulém pokračování našeho seriálu jsme se věnovali standardům, umožňujícím zhodnotit bezpečnost systému IT, v tomto dílu si povíme něco o standardech, usnadňujících vytváření bezpečného systému.

Existuje mnoho kategorií standardů (někdy nazývaných také normy), zabývajících se tvorbou bezpečných informačních systémů. Jde o standardy mezinárodní, regionální (např. evropské standardy), národní standardy, standardy státní správy některého státu, standardy určitého zájmového sdružení nebo průmyslové standardy.

Význam každého z těchto standardů zcela závisí na rozsahu jeho použití. Tento rozsah použití nemusí vždy odpovídat úmyslům tvůrců standardu. Známe mnoho případů, kdy ambiciózní standardy upadly v zapomnění, nebo kdy původně zcela opomíjený standard získal celosvětový význam.

Zpravidla však platí, že nejširší platnost mají standardy mezinárodní a regionální. Použití národních standardů a standardů státní správy zpravidla nepřesahuje hranice státu, ve kterém byly tyto standardy vytvořeny. Výjimkou z tohoto pravidla jsou národní standardy USA (označované ANSI) a standardy státní správy USA, které jsou někdy používány i mimo hranice USA.

Mezinárodní standardy ISO/IEC

Nejdůležitější mezinárodní standardy v oblasti bezpečnosti informačních systémů jsou standardy ISO/IEC. Mezinárodní organizace pro standardizaci ISO (International Organization for Standardization) je mezinárodní federací národních standardizačních orgánů. Mezinárodní elektrotechnická komise IEC (International Electrotechnical Commision) je organizace, která se věnuje standardizaci v oblasti elektrotechniky a elektroniky a úzce spolupracuje s organizací ISO.

V roce 1987 vytvořily ISO a IEC společný technický výbor ISO/IEC JTC1, který vytváří standardy v oblasti informačních technologií a který je nyní také zodpovědný za většinu ISO/IEC standardů v oblasti bezpečnosti IT. Technický výbor JTC1 je složen z několika podvýborů, které se zabývají standardizací v různých oblastech IT. Tento výbor se však nezabývá standardy pro zabezpečení IT v bankovnictví. Této činnosti se věnuje technická komise ISO TC68, která vytváří standardy pro zabezpečení bankovních a jiných finančních služeb.

Současné standardizační aktivity ISO/IEC v oblasti obecné bezpečnosti IT zahrnují následující projekty výboru JTC1:

-- Bezpečnostní architektura otevřených systémů OSI (Open Systems Interconnection) a bezpečnostní zásady (podvýbor SC21).
-- Zabezpečení vyšších vrstev OSI (podvýbor SC21).
-- Zabezpečení nižších vrstev OSI (podvýbor SC6).
-- Bezpečnostní mechanismy v IT (podvýbor SC27).
-- Kritéria pro hodnocení bezpečnosti IT (podvýbor SC27).

Mimo to ISO/IEC vyvinuly a vyvíjejí standardy pro zabezpečení IT v následujících specializovaných oblastech:

-- Standardy pro čipové karty (JTC1, podvýbor SC17).
-- Zabezpečení systémů MHS (JTC1, podvýbor SC18).
-- Zabezpečení adresářových služeb (JTC1, podvýbor SC21).
-- Bezpečnostní požadavky a návody (JTC1, podvýbor SC27).
-- Zabezpečení "wholesale" bankovnictví (technický výbor TC68).
-- Zabezpečení "retail" bankovnictví (technický výbor TC68).
-- Bezpečnostní architektura bankovních systémů s čipovými kartami (technický výbor TC68).

Standardy ISO/IEC nejsou na síti Internet dostupné. Informace o těchto standardech je však možno získat na adrese <http://www.iso.ch/>. Na této adrese je možné rovněž nalézt podrobné informace o aktivitách jednotlivých standardizačních komisí a podvýborů a o stavu jednotlivých standardů.

Mezinárodní telekomunikační standardy CCITT/ITU

Mezinárodní telekomunikační unie ITU (International Telecommunication Union) je mezinárodní organizace, založená v roce 1865. Zabývá se standardizací v oblasti telekomunikací a reprezentuje více než 170 zemí. Mezi aktivity ITU patří též tvorba standardů (nazývaných doporučení). Až do roku 1993 byla standardizace prováděna dvěma odnožemi ITU s názvy CCITT a CCIR. V tomto roce se však interní struktura ITU změnila a byl založen takzvaný Telekomunikační standardizační sektor ITU (ITU-TS), který převzal údržbu dřívějších standardů CCITT a nyní vyvíjí standardy nové.

ITU vydala řadu standardů, které se zabývají výhradně bezpečností otevřených systémů. Tyto standardy mají označení X.8xx (například X.800, X.803, X.810...). Nejvýznamnější z těchto standardů je patrně standard X.800 -- Security Architecture for Open Systems Interconnection for CCITT, který definuje bezpečnostní architekturu otevřených systémů a z něhož vychází většina standardů této řady.

Bezpečnosti se týkají i některé standardy ITU, které nejsou součástí řady standardů X.800. Nejznámějším z nich je standard X.509 The Directory -- Authentication Framework, který definuje strukturu certifikátů pro kryptografii veřejným klíčem a který dnes využívá drtivá většina systémů používajících kryptografii veřejným klíčem.

Standardy bezpečnosti IT v USA

Hlavní standardizační organizací v USA je Americký národní ústav pro standardizaci (ANSI, American National Standards Institute), který koordinuje vývoj standardů v USA. ANSI má několik akreditovaných standardizačních výborů, které se zabývají i standardizací v oblasti bezpečnosti IT. Jedná se především o výbor X3 -- Systémy pro zpracování informací, který vydává obecné standardy z oblasti informatiky, výbor X9 -- Finanční služby (standardy z oblasti bankovnictví) a výbor X12 -- Elektronická výměna obchodních dat (standardy EDI). Zvláště výbory X3 a X9 vydaly v minulých letech značné množství standardů, které mají vztah k bezpečnosti informačních systémů a především ke kryptografii.

Mnohé z těchto standardů jsou využívány i mimo USA a mnohé rovněž sloužily jako předloha při vytváření standardů mezinárodních. Pro ilustraci uveďme alespoň ukázky nejznámějších standardů: standard ANSI X9.9 definuje autentizaci zpráv v bankovnictví, standard ANSI X9.17 definuje správu kryptografických klíčů v bankovnictví, standard ANSI X9.23 definuje kryptografické zabezpečení bankovních zpráv, standardy ANSI X9.30 a ANSI X9.31 definují algoritmy pro kryptografii veřejným klíčem.

Státní správa USA (resp. federální orgány) věnují také značnou pozornost standardizaci v oblasti zabezpečení IT. Její standardy se nazývají FIPS (Federal Information Processing Standards) a jsou vydávány organizací NIST (National Institute of Standards and Technology). Platnost standardů FIPS je omezena pouze na federální orgány USA.

Značný význam těchto standardů však spočívá v tom, že v těchto standardech se obvykle poprvé objeví výsledky aktivit státní správy USA v oblasti bezpečnosti. Teprve později jsou mechanismy, publikované ve standardech FIPS, standardizovány ve standardech ANSI nebo i v mezinárodních standardech. V publikacích FIPS se například poprvé objevily standardy, které souvisely s kryptografickými algoritmy a které byly vytvořeny státní správou USA. Jedná se např. o kryptografický algoritmus DES (Data Encryption Standard), algoritmy pro elektronický podpis DSS (Digital Signature Standard) a SHS (Secure Hash Standard) nebo o systémy pro depozitní kryptografii EES (Escrowed Encryption Standard) a řadu dalších.

V USA existuje mimo standardizační aktivity státní správy také několik aktivit průmyslových firem, které vytvářejí tzv. průmyslové standardy. V oblasti kryptografie je nejznámější z těchto průmyslových standardů série standardů PKCS (Public-Key Cryptography Standards), které vytvořila firma RSA DSI. Tyto standardy se snaží pokrýt podstatnou oblast kryptografie veřejným klíčem, včetně algoritmu RSA (standard PKCS #1), algoritmu Diffie-Hellman (standard PKCS #3) a certifikátů veřejných klíčů (standard PKCS #6).

Evropské standardy bezpečnosti IT

Evropské sdružení pro standardizaci CEN (Comité Européen de Normalisation) vyvíjí evropské standardy v mnoha oborech, včetně oborů elektrotechnických. Standardy pro elektrotechnické obory jsou zajišťovány sesterskou organizací CENELEC, která od roku 1984 zajišťuje spolu s CEN standardy pro země Evropského společenství. Některé standardy CEN se zabývají také bezpečností informačních systémů (především bezpečností otevřených systémů) a aplikovanou kryptografií (například standardy pro čipové karty).

Jinou evropskou standardizační institucí je Sdružení evropských výrobců počítačů ECMA (European Computer Manufacturers Association). ECMA je nezisková organizace, jejímiž členy jsou evropské firmy, které vyvíjejí, vyrábějí a prodávají hardware a software. ECMA vydala přes dvě stovky standardů IT a technických zpráv, které byly často použity jako podklady pro tvorbu ISO/IEC a ITU standardů. ECMA je aktivní především v oblasti otevřených systémů (OSI) a její technický výbor TC36 se zabývá standardy v oblasti bezpečnosti informačních systémů. Mezi nejznámější standardy ECMA z této oblasti patří standardy ECMA-138 Security in Open Systems a ECMA-205 Commercially Oriented Functionality Class for Security Evaluation.

Bezpečnostní standardy pro Internet

Provoz sítě Internet je silně závislý na komunikačních standardech, zajišťujících propojení jednotlivých uzlů sítě. Proto je standardizace v síti Internet jedním z jejích nejdůležitějších elementů. Orgánem zodpovědným za architekturu, rozvoj a správu sítě je tzv. Internet Activities Board (IAB).

IAB delegoval zodpovědnost za tvorbu a vývoj standardů pro síť Internet na orgán zvaný Internet Engineering Task Force (IETF). Personální obsazení IETF není založeno na existenci formálních zástupců jednotlivých organizací, jako tomu bývá u jiných standardizačních orgánů, ale na individuálním členství jednotlivců s vysokou odbornou úrovní. Proces standardizace do značné míry závisí na duchu spolupráce mezi jednotlivými účastníky.

Standardy pro Internet (jak ve fázi návrhu, ve fázi draft standardu nebo ve fázi standardu) jsou publikovány v publikacích, zvaných Request for Comments (RFC). Ve standardech RFC je specifikována většina běžně používaných bezpečnostních protokolů sítě Internet. Těchto standardů je velké množství, zmíníme se pouze o některých.

Standardy RFC1825, RFC1826, RFC1827 a RFC1828 definují zabezpečení na úrovni protokolu IP, standardy RFC1829 a RFC1847 definují zabezpečení zpráv elektronické pošty ve formátu MIME, RFC1898 specifikuje platební protokol CyberCash, RFC1991 specifikuje strukturu zpráv zabezpečených systémem PGP atd. Dokumenty RFC je možno získat pomocí FTP na mnoha serverech v síti Internet, například na adrese ds.internic.net.

Jak je z předchozího textu vidět, situace v oblasti standardů pro vytváření bezpečných informačních systémů je ještě nepřehlednější než u standardů pro hodnocení bezpečnosti. Světový trend však jednoznačně směřuje ke standardizaci bezpečnostních mechanismů; nestandardizovaná proprietární (tj. "naše vlastní") řešení jsou ve většině oblastí odmítána. Přestože vývoj bezpečnostních mechanismů, odpovídající standardům, bývá někdy nákladnější než přímočará intuitivní řešení, vložené náklady se bohatě vrátí při instalaci, údržbě a hlavně při modifikacích informačního systému.


Seriál je rovněž dostupný na www.idg.cz/computerworld/bvsk/


| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage |