╚ßst 24 - CW 34/97

Standardy bezpeΦnosti IT

Zatφmco v minulΘm pokraΦovßnφ naÜeho serißlu jsme se v∞novali standard∙m, umo₧≥ujφcφm zhodnotit bezpeΦnost systΘmu IT, v tomto dφlu si povφme n∞co o standardech, usnad≥ujφcφch vytvß°enφ bezpeΦnΘho systΘmu.

Existuje mnoho kategoriφ standard∙ (n∞kdy naz²van²ch takΘ normy), zab²vajφcφch se tvorbou bezpeΦn²ch informaΦnφch systΘm∙. Jde o standardy mezinßrodnφ, regionßlnφ (nap°. evropskΘ standardy), nßrodnφ standardy, standardy stßtnφ sprßvy n∞kterΘho stßtu, standardy urΦitΘho zßjmovΘho sdru₧enφ nebo pr∙myslovΘ standardy.

V²znam ka₧dΘho z t∞chto standard∙ zcela zßvisφ na rozsahu jeho pou₧itφ. Tento rozsah pou₧itφ nemusφ v₧dy odpovφdat ·mysl∙m tv∙rc∙ standardu. Znßme mnoho p°φpad∙, kdy ambici≤znφ standardy upadly v zapomn∞nφ, nebo kdy p∙vodn∞ zcela opomφjen² standard zφskal celosv∞tov² v²znam.

Zpravidla vÜak platφ, ₧e nejÜirÜφ platnost majφ standardy mezinßrodnφ a regionßlnφ. Pou₧itφ nßrodnφch standard∙ a standard∙ stßtnφ sprßvy zpravidla nep°esahuje hranice stßtu, ve kterΘm byly tyto standardy vytvo°eny. V²jimkou z tohoto pravidla jsou nßrodnφ standardy USA (oznaΦovanΘ ANSI) a standardy stßtnφ sprßvy USA, kterΘ jsou n∞kdy pou₧φvßny i mimo hranice USA.

Mezinßrodnφ standardy ISO/IEC

Nejd∙le₧it∞jÜφ mezinßrodnφ standardy v oblasti bezpeΦnosti informaΦnφch systΘm∙ jsou standardy ISO/IEC. Mezinßrodnφ organizace pro standardizaci ISO (International Organization for Standardization) je mezinßrodnφ federacφ nßrodnφch standardizaΦnφch orgßn∙. Mezinßrodnφ elektrotechnickß komise IEC (International Electrotechnical Commision) je organizace, kterß se v∞nuje standardizaci v oblasti elektrotechniky a elektroniky a ·zce spolupracuje s organizacφ ISO.

V roce 1987 vytvo°ily ISO a IEC spoleΦn² technick² v²bor ISO/IEC JTC1, kter² vytvß°φ standardy v oblasti informaΦnφch technologiφ a kter² je nynφ takΘ zodpov∞dn² za v∞tÜinu ISO/IEC standard∙ v oblasti bezpeΦnosti IT. Technick² v²bor JTC1 je slo₧en z n∞kolika podv²bor∙, kterΘ se zab²vajφ standardizacφ v r∙zn²ch oblastech IT. Tento v²bor se vÜak nezab²vß standardy pro zabezpeΦenφ IT v bankovnictvφ. TΘto Φinnosti se v∞nuje technickß komise ISO TC68, kterß vytvß°φ standardy pro zabezpeΦenφ bankovnφch a jin²ch finanΦnφch slu₧eb.

SouΦasnΘ standardizaΦnφ aktivity ISO/IEC v oblasti obecnΘ bezpeΦnosti IT zahrnujφ nßsledujφcφ projekty v²boru JTC1:

-- BezpeΦnostnφ architektura otev°en²ch systΘm∙ OSI (Open Systems Interconnection) a bezpeΦnostnφ zßsady (podv²bor SC21).
-- ZabezpeΦenφ vyÜÜφch vrstev OSI (podv²bor SC21).
-- ZabezpeΦenφ ni₧Üφch vrstev OSI (podv²bor SC6).
-- BezpeΦnostnφ mechanismy v IT (podv²bor SC27).
-- KritΘria pro hodnocenφ bezpeΦnosti IT (podv²bor SC27).

Mimo to ISO/IEC vyvinuly a vyvφjejφ standardy pro zabezpeΦenφ IT v nßsledujφcφch specializovan²ch oblastech:

-- Standardy pro ΦipovΘ karty (JTC1, podv²bor SC17).
-- ZabezpeΦenφ systΘm∙ MHS (JTC1, podv²bor SC18).
-- ZabezpeΦenφ adresß°ov²ch slu₧eb (JTC1, podv²bor SC21).
-- BezpeΦnostnφ po₧adavky a nßvody (JTC1, podv²bor SC27).
-- ZabezpeΦenφ "wholesale" bankovnictvφ (technick² v²bor TC68).
-- ZabezpeΦenφ "retail" bankovnictvφ (technick² v²bor TC68).
-- BezpeΦnostnφ architektura bankovnφch systΘm∙ s Φipov²mi kartami (technick² v²bor TC68).

Standardy ISO/IEC nejsou na sφti Internet dostupnΘ. Informace o t∞chto standardech je vÜak mo₧no zφskat na adrese <http://www.iso.ch/>. Na tΘto adrese je mo₧nΘ rovn∞₧ nalΘzt podrobnΘ informace o aktivitßch jednotliv²ch standardizaΦnφch komisφ a podv²bor∙ a o stavu jednotliv²ch standard∙.

Mezinßrodnφ telekomunikaΦnφ standardy CCITT/ITU

Mezinßrodnφ telekomunikaΦnφ unie ITU (International Telecommunication Union) je mezinßrodnφ organizace, zalo₧enß v roce 1865. Zab²vß se standardizacφ v oblasti telekomunikacφ a reprezentuje vφce ne₧ 170 zemφ. Mezi aktivity ITU pat°φ tΘ₧ tvorba standard∙ (naz²van²ch doporuΦenφ). A₧ do roku 1993 byla standardizace provßd∞na dv∞ma odno₧emi ITU s nßzvy CCITT a CCIR. V tomto roce se vÜak internφ struktura ITU zm∞nila a byl zalo₧en takzvan² TelekomunikaΦnφ standardizaΦnφ sektor ITU (ITU-TS), kter² p°evzal ·dr₧bu d°φv∞jÜφch standard∙ CCITT a nynφ vyvφjφ standardy novΘ.

ITU vydala °adu standard∙, kterΘ se zab²vajφ v²hradn∞ bezpeΦnostφ otev°en²ch systΘm∙. Tyto standardy majφ oznaΦenφ X.8xx (nap°φklad X.800, X.803, X.810...). Nejv²znamn∞jÜφ z t∞chto standard∙ je patrn∞ standard X.800 -- Security Architecture for Open Systems Interconnection for CCITT, kter² definuje bezpeΦnostnφ architekturu otev°en²ch systΘm∙ a z n∞ho₧ vychßzφ v∞tÜina standard∙ tΘto °ady.

BezpeΦnosti se t²kajφ i n∞kterΘ standardy ITU, kterΘ nejsou souΦßstφ °ady standard∙ X.800. Nejznßm∞jÜφm z nich je standard X.509 The Directory -- Authentication Framework, kter² definuje strukturu certifikßt∙ pro kryptografii ve°ejn²m klφΦem a kter² dnes vyu₧φvß drtivß v∞tÜina systΘm∙ pou₧φvajφcφch kryptografii ve°ejn²m klφΦem.

Standardy bezpeΦnosti IT v USA

Hlavnφ standardizaΦnφ organizacφ v USA je Americk² nßrodnφ ·stav pro standardizaci (ANSI, American National Standards Institute), kter² koordinuje v²voj standard∙ v USA. ANSI mß n∞kolik akreditovan²ch standardizaΦnφch v²bor∙, kterΘ se zab²vajφ i standardizacφ v oblasti bezpeΦnosti IT. Jednß se p°edevÜφm o v²bor X3 -- SystΘmy pro zpracovßnφ informacφ, kter² vydßvß obecnΘ standardy z oblasti informatiky, v²bor X9 -- FinanΦnφ slu₧by (standardy z oblasti bankovnictvφ) a v²bor X12 -- Elektronickß v²m∞na obchodnφch dat (standardy EDI). ZvlßÜt∞ v²bory X3 a X9 vydaly v minul²ch letech znaΦnΘ mno₧stvφ standard∙, kterΘ majφ vztah k bezpeΦnosti informaΦnφch systΘm∙ a p°edevÜφm ke kryptografii.

MnohΘ z t∞chto standard∙ jsou vyu₧φvßny i mimo USA a mnohΘ rovn∞₧ slou₧ily jako p°edloha p°i vytvß°enφ standard∙ mezinßrodnφch. Pro ilustraci uve∩me alespo≥ ukßzky nejznßm∞jÜφch standard∙: standard ANSI X9.9 definuje autentizaci zprßv v bankovnictvφ, standard ANSI X9.17 definuje sprßvu kryptografick²ch klφΦ∙ v bankovnictvφ, standard ANSI X9.23 definuje kryptografickΘ zabezpeΦenφ bankovnφch zprßv, standardy ANSI X9.30 a ANSI X9.31 definujφ algoritmy pro kryptografii ve°ejn²m klφΦem.

Stßtnφ sprßva USA (resp. federßlnφ orgßny) v∞nujφ takΘ znaΦnou pozornost standardizaci v oblasti zabezpeΦenφ IT. Jejφ standardy se naz²vajφ FIPS (Federal Information Processing Standards) a jsou vydßvßny organizacφ NIST (National Institute of Standards and Technology). Platnost standard∙ FIPS je omezena pouze na federßlnφ orgßny USA.

ZnaΦn² v²znam t∞chto standard∙ vÜak spoΦφvß v tom, ₧e v t∞chto standardech se obvykle poprvΘ objevφ v²sledky aktivit stßtnφ sprßvy USA v oblasti bezpeΦnosti. Teprve pozd∞ji jsou mechanismy, publikovanΘ ve standardech FIPS, standardizovßny ve standardech ANSI nebo i v mezinßrodnφch standardech. V publikacφch FIPS se nap°φklad poprvΘ objevily standardy, kterΘ souvisely s kryptografick²mi algoritmy a kterΘ byly vytvo°eny stßtnφ sprßvou USA. Jednß se nap°. o kryptografick² algoritmus DES (Data Encryption Standard), algoritmy pro elektronick² podpis DSS (Digital Signature Standard) a SHS (Secure Hash Standard) nebo o systΘmy pro depozitnφ kryptografii EES (Escrowed Encryption Standard) a °adu dalÜφch.

V USA existuje mimo standardizaΦnφ aktivity stßtnφ sprßvy takΘ n∞kolik aktivit pr∙myslov²ch firem, kterΘ vytvß°ejφ tzv. pr∙myslovΘ standardy. V oblasti kryptografie je nejznßm∞jÜφ z t∞chto pr∙myslov²ch standard∙ sΘrie standard∙ PKCS (Public-Key Cryptography Standards), kterΘ vytvo°ila firma RSA DSI. Tyto standardy se sna₧φ pokr²t podstatnou oblast kryptografie ve°ejn²m klφΦem, vΦetn∞ algoritmu RSA (standard PKCS #1), algoritmu Diffie-Hellman (standard PKCS #3) a certifikßt∙ ve°ejn²ch klφΦ∙ (standard PKCS #6).

EvropskΘ standardy bezpeΦnosti IT

EvropskΘ sdru₧enφ pro standardizaci CEN (ComitΘ EuropΘen de Normalisation) vyvφjφ evropskΘ standardy v mnoha oborech, vΦetn∞ obor∙ elektrotechnick²ch. Standardy pro elektrotechnickΘ obory jsou zajiÜ¥ovßny sesterskou organizacφ CENELEC, kterß od roku 1984 zajiÜ¥uje spolu s CEN standardy pro zem∞ EvropskΘho spoleΦenstvφ. N∞kterΘ standardy CEN se zab²vajφ takΘ bezpeΦnostφ informaΦnφch systΘm∙ (p°edevÜφm bezpeΦnostφ otev°en²ch systΘm∙) a aplikovanou kryptografiφ (nap°φklad standardy pro ΦipovΘ karty).

Jinou evropskou standardizaΦnφ institucφ je Sdru₧enφ evropsk²ch v²robc∙ poΦφtaΦ∙ ECMA (European Computer Manufacturers Association). ECMA je neziskovß organizace, jejφmi₧ Φleny jsou evropskΘ firmy, kterΘ vyvφjejφ, vyrßb∞jφ a prodßvajφ hardware a software. ECMA vydala p°es dv∞ stovky standard∙ IT a technick²ch zprßv, kterΘ byly Φasto pou₧ity jako podklady pro tvorbu ISO/IEC a ITU standard∙. ECMA je aktivnφ p°edevÜφm v oblasti otev°en²ch systΘm∙ (OSI) a jejφ technick² v²bor TC36 se zab²vß standardy v oblasti bezpeΦnosti informaΦnφch systΘm∙. Mezi nejznßm∞jÜφ standardy ECMA z tΘto oblasti pat°φ standardy ECMA-138 Security in Open Systems a ECMA-205 Commercially Oriented Functionality Class for Security Evaluation.

BezpeΦnostnφ standardy pro Internet

Provoz sφt∞ Internet je siln∞ zßvisl² na komunikaΦnφch standardech, zajiÜ¥ujφcφch propojenφ jednotliv²ch uzl∙ sφt∞. Proto je standardizace v sφti Internet jednφm z jejφch nejd∙le₧it∞jÜφch element∙. Orgßnem zodpov∞dn²m za architekturu, rozvoj a sprßvu sφt∞ je tzv. Internet Activities Board (IAB).

IAB delegoval zodpov∞dnost za tvorbu a v²voj standard∙ pro sφ¥ Internet na orgßn zvan² Internet Engineering Task Force (IETF). Personßlnφ obsazenφ IETF nenφ zalo₧eno na existenci formßlnφch zßstupc∙ jednotliv²ch organizacφ, jako tomu b²vß u jin²ch standardizaΦnφch orgßn∙, ale na individußlnφm Φlenstvφ jednotlivc∙ s vysokou odbornou ·rovnφ. Proces standardizace do znaΦnΘ mφry zßvisφ na duchu spoluprßce mezi jednotliv²mi ·Φastnφky.

Standardy pro Internet (jak ve fßzi nßvrhu, ve fßzi draft standardu nebo ve fßzi standardu) jsou publikovßny v publikacφch, zvan²ch Request for Comments (RFC). Ve standardech RFC je specifikovßna v∞tÜina b∞₧n∞ pou₧φvan²ch bezpeΦnostnφch protokol∙ sφt∞ Internet. T∞chto standard∙ je velkΘ mno₧stvφ, zmφnφme se pouze o n∞kter²ch.

Standardy RFC1825, RFC1826, RFC1827 a RFC1828 definujφ zabezpeΦenφ na ·rovni protokolu IP, standardy RFC1829 a RFC1847 definujφ zabezpeΦenφ zprßv elektronickΘ poÜty ve formßtu MIME, RFC1898 specifikuje platebnφ protokol CyberCash, RFC1991 specifikuje strukturu zprßv zabezpeΦen²ch systΘmem PGP atd. Dokumenty RFC je mo₧no zφskat pomocφ FTP na mnoha serverech v sφti Internet, nap°φklad na adrese ds.internic.net.

Jak je z p°edchozφho textu vid∞t, situace v oblasti standard∙ pro vytvß°enφ bezpeΦn²ch informaΦnφch systΘm∙ je jeÜt∞ nep°ehledn∞jÜφ ne₧ u standard∙ pro hodnocenφ bezpeΦnosti. Sv∞tov² trend vÜak jednoznaΦn∞ sm∞°uje ke standardizaci bezpeΦnostnφch mechanism∙; nestandardizovanß proprietßrnφ (tj. "naÜe vlastnφ") °eÜenφ jsou ve v∞tÜin∞ oblastφ odmφtßna. P°esto₧e v²voj bezpeΦnostnφch mechanism∙, odpovφdajφcφ standard∙m, b²vß n∞kdy nßkladn∞jÜφ ne₧ p°φmoΦarß intuitivnφ °eÜenφ, vlo₧enΘ nßklady se bohat∞ vrßtφ p°i instalaci, ·dr₧b∞ a hlavn∞ p°i modifikacφch informaΦnφho systΘmu.