信息安全标准(银监会+普华永道)

中国银行业监督管理委员会培训,信息安全标准2008年4月3日季瑞华合伙人系统和流程管理,第2页,提纲,信息安全标准概述国际标准ISO/IEC系列信息安全标准国际标准COBIT国内标准等级保护安全标准的总结问题与回答,第3页,提纲,信息安全标准概述国际标准ISO/IEC系列信息安全标准国际标准COBIT国内标准等级保护安全标准的总结问题与回答,第4页,信息安全标准概述,信息安全的重要性得到广泛的关注。与此同时，国际和国内的各种官方和科研机构都发布了大量的安全标准。这些标准都是为实现安全目标而服务，并从不同的角度对如何保障组织的信息安全提供了指导。,第5页,信息安全标准的演进,第6页,主要的信息安全标准国际标准,第7页,主要的信息安全标准国际标准(续）,除了上述标准，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。,第8页,主要的信息安全标准国内标准,第9页,在下面的课程中，我们会主要介绍以下标准：,ISO系列安全标准，包括ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR13569ISACA的COBIT4.1全国信息安全标准化技术委员会的等级保护系列标准,第10页,提纲,信息安全标准概述国际标准ISO/IEC系列信息安全标准国际标准COBIT国内标准等级保护安全标准的比较问题与回答,第11页,国际标准化组织简介,国际标准化组织(InternationalOrganizationforStandardization)是由多国联合组成的非政府性国际标准化机构。到目前为止，ISO有正式成员国120多个，中国是其中之一。国际标准化组织1946年成立于瑞士日内瓦，负责制定在世界范围内通用的国际标准；ISO技术工作是高度分散的，分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担。ISO技术工作的成果是正式出版的国际标准，即ISO标准。ISO在信息安全方面的标准主要包括：ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR13569,第12页,关于ISO/IEC17799/27001/27002,ISO/IEC17799是由国际标准化组织（ISO）与IEC（国际电工委员会）共同成立的联合技术委员会ISO/IECJTC1，以英国标准BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准。ISO/IEC17799于2000年正式颁布。ISO/IEC17799标准由两部分构成:第一部分是信息安全管理体系的实施指南，相当于BS7799-1;第二部分是信息安全管理体系规范，相当于BS7799-2。ISO/IEC17799标准的内容涉及10个领域，36个管理目标和127个控制措施。2005年ISO17799更名为ISO27001和ISO27002，分别为：ISO/IEC27001:2005Informationtechnology-Securitytechniques-InformationsecuritymanagementsystemsRequirementsISO/IEC27002:2005Informationtechnology-Securitytechniques-Codeofpracticeforinformationsecuritymanagement2007年ISO又颁布了Informationtechnology-Securitytechniques-Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems.,第13页,ISO/IEC17799模型,ISO/IEC17799标准的内容涉及10个领域，36个控制目标和127个控制措施。,第14页,ISO17799模型,SecurityPolicy,AssetClassificationAndControl,SecurityOrganization,纪录和沟通信息系统政策和法规的审核,分配职责和分工，第3方授权，风险/控制的外包,资产的保存，对于敏感/商业风险的区分,第15页,ISO17799模型,PersonalSecurity,Comm/OpsManagement,PhysicalandEnvironmentSecurity,员工聘请，知识培训，事故报告等,物理安全参数，设备保护，桌面及电脑的重要文件的保护,事故流程，职责分离，系统规划，电子邮件控制,第16页,ISO17799模型,AccessControl,BusinessContinuityPlanning,SystemDevelopmentandMaintenance,权限管理：包括应用系统，操作系统，网络,变更控制，环境划分，安全设备,商业可持续性计划及其框架，测试计划以及计划的维护和更新,Compliance,版权控制，记录和信息的保存，数据保护，公司制度的服从,第17页,ISO/IEC27001/27002:2005的內容,总共分成11个领域、39个控制目标、133个控制措施。11个领域包括A.1SecurityPolicyA.2organizationofinformationsecurityA.3AssetmanagementA.4HumanresourcessecurityA.5PhysicalandenvironmentalsecurityA.6CommunicationsandoperationsmanagementA.7AccesscontrolA.8Informationsystemsacquisition,developmentandmaintenanceA.8InformationsecurityincidentmanagementA.10BusinesscontinuitymanagementA.11Compliance,第18页,关于ISO/IEC15408,90年代开始，由于Internet的日益普及，信息安全领域呼吁修改桔皮书，以解决商用信息系统安全问题。1991年欧盟(EuropeanCommission)颁布了ITSEC(InformationTechnologySecurityEvaluationCriteria,信息技术安全评估准则)。在此基础上，美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”（CC：CommonCriteria）。1999年6月ISO通过了ISO/IEC15408安全评估准则（ISO/IEC15408:1999SecurityTechniquesEvaluationCriteriaforITSecurity）。目前的最新版本于2005年发布。ISO/IEC15408是基于多个标准而产生的，它的演进过程如下图所示：,第19页,ISO/IEC15408的内容,ISO/IEC15408由以下三部分组成：第一部分：介绍和一般模型第二部分：安全功能需求第三部分：安全认证需求ISO/IEC15408准则比以往的其他信息技术安全评估标准更加规范，采用以下方式定义：类别（CLASS）；认证族（ASSURANCEFAMILY）；认证部件（ASSURANCECOMPONENT）；认证元素（ASSURANCEELEMENT）。其中类别中有若干族，族中有若干部件，部件中有若干元素。,第20页,ISO/IEC15408的特点,ISO/IEC15408信息技术安全评估准则中讨论的是TOE（targetofevaluation),即评估对象。该准则关注于评估对象的安全功能，安全功能执行的是安全策略。ISO/IEC15408定义了安全属性，包括用户属性、客体属性、主体属性、和信息属性。ISO/IEC15408加强了完整性和可用性的防护措施，强调了抗抵赖性的安全要求。ISO/IEC15408还定义了加密的要求，强调对用户的隐私保护。ISO/IEC15408还讨论了某些故障、错误和异常的安全保护问题。,第21页,ISO/IEC15408的类别,ISO/IEC15408中，类别（class)代表最概括的分类和定义方式。包括:安全功能类别，共11个，分别为安全审计、通信、加密支持、用户数据防护、标识与鉴别、安全管理、隐私、安全功能的防护、资源利用、对评估对象的访问、可信通路/通道。安全认知类别，共8个，分别为配置管理、递交和操作、开发、指南文档、生存期支持、测试、脆弱性评估、认证维护。评估认证级别类别，共7个，分别为评估功能测试、结构测试、方法测试和检查、半形式设计和测试、半形式验证设计和测试、形式验证设计和测试。评估类别，共3个，包括2个预评估类别和TOE评估（即评估对象的评估）。其中预评估类别分别为：防护框架评估（ProtectionProfileevaluation,简称PP评估）:评估的一般是某类安全产品，如防火墙等，提出测评的常为是行业组织；安全目标评估（SecurityTargetevaluation,简称ST评估）：评估的一般是某一类的特定产品，如某品牌的防火墙，提出测评的常为厂商。,第22页,ISO/IEC15408的评估方法,对于信息系统和产品进行安全认证ISO/IEC15408通常采用如下方法进行评估：分析和检查进程与过程检查进程和过程被应用的情况分析TOE设计表示一致性分析TOE设计表示与需求的满足性验证分析指南文档分析功能测试和测试结果独立功能测试分析脆弱性（包括漏洞假说）侵入测试等（TOE是评估对象（TargetofEvaluation）的缩写）,第23页,关于ISO/IEC13335,ISO/IEC13335InformationTechnologyGuidelinesfortheManagementofITSecurity是一套关于信息安全管理的技术文件，共由五个部分组成，这五个组成部分分别在1996至2001年间发布。第一部分：安全概念和模型（Part1ConceptsandModelsforITSecurity），发布于1996年12月15日。第二部分：安全管理和规划（Part2ManagingandPlanningITSecurity），发布于1997年12月15日。第三部分：安全管理技术（Part3TechniquesfortheManagementofITSecurity），发布于1998年6月15日。第四部分：保护的选择（Part4SelectionofSafeguards），发布于2000年3月1日。第五部分：外部联接的防护（Part5ManagementGuidanceonNetworkSecurity），发布于2001年1月2日。其中第一部分分别于1997年和2004年发布了更新版本。,第24页,关于ISO13569,ISO13569的全称为ISO/TR13569:2005Financialservices-Informationsecurityguidelines。它提供了对于金融服务行业机构的信息安全程序开发的指导方针。它包括了对制度，组织结构和法律法规等内容的讨论。该标准对组织选择和实施安全控制，和金融机构用于管理信息安全风险的要素进行了阐述。ISO13569于1997年首次发布，分别于2003年和2005年更新，目前的最新版本为2005年的版本。,第25页,ISO/IEC13569的主要内容,ISO/IEC13569是针对金融行业的信息安全标准，包括以下主要内容：组织的IT安全政策IT安全管理风险分析和评估安全保护的实施和选择IT系统保护金融服务行业专题，包括如银行卡、电子资金传输(ElectronicFundTransfer)、支票、电子商务等内容；另外，还包括如加密、审计、事件管理等专项讨论。,第26页,提纲,信息安全标准概述国际标准ISO/IEC系列信息安全标准国际标准COBIT国内标准等级保护安全标准的比较问题与回答,第27页,COBIT简介,COBIT（ControlObjectivesforInformationandrelatedTechnology）是由信息系统审计与控制学会ISACA（InformationSystemsAuditandControlAssociation）在1996年所公布的控制框架；目前已经更新至第4.1版;COBIT的主要目的是研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和审计专业人员日常使用。COBIT框架共有34个IT的流程，分成四个领域：PO（计划与组织）、AI（获取与实施）、DS（交付与支持）、和ME（监控与评估）。,第28页,COBIT来源,1992年：ISACF(InformationSystemAuditandControlFoundation)发起，参阅全球不同国家、政府、标准组织的26份文件后，基于其中之18份文件，研擬COBIT，同时筹组COBIT指导委员会(SteeringCommittee)。1996年：COBIT指导委员会公布COBIT第一版。1998年：COBIT指导委员会公布COBIT第二版，將第一版之32個高级控制目标(HighLevelControlObjectives)扩充成34个。2000年：COBIT指导委员会公布COBIT第三版。2005年：COBIT指导委员会公布COBIT第四版。2007年：发布COBIT4.1版，为目前最新版本。,第29页,COBIT涉及领域,第30页,COBIT的组件,实施概要,管理层指引,具体控制目标,构架伴随高级控制目标,关键职能和目标说明关键的成功因素,成熟的模板,审计指引,实施工具,第31页,COBIT框架的原理,控制领域(Domains),流程(Processes),活动(Activities/Tasks),人力资源,应用系统,基础架构,信息,信息技术资源,可信赖性需求,质量需求,信息处理要求,信息技术流程,安全性需求,第32页,COBIT框架的原理,第33页,COBIT框架的原理,IT流程管理各种IT资源，以产生、传递并存储可满足业务需求的各种信息。CobiT中定义的IT资源包括如下方面：应用系统：处理信息的自动化信息系统及相应手册程序信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形式使用基础架构：保障应用系统处理信息所需的技术和设施（硬件、操作系统、数据库管理系统、网络、多媒体，以及放置上述设施所需的环境）人员：策划、组织、采购、实施、交付、支持、监控和评价信息系统和服务所需的人员，可以是内部的也可以是外部的,第34页,提纲,信息安全标准概述国际标准ISO/IEC系列信息安全标准国际标准COBIT国内标准等级保护安全标准的总结问题与回答,第35页,全国信息安全标准化技术委员会简介,中国从1984年开始就组建了数据加密技术委员会，并在1997年8月，将该委员会改组为全国信息技术标准化分技术委员会，主要负责制定信息安全的国家标准。2001年，国家标准化管理委员会批准成立全国信息安全标准化技术委员会，简称“全国安标委”。标准委员会的标号是TC260。全国信息安全标准化技术委员会包括四个工作组：信息安全标准体系与协调工作组PKI和PMI工作组信息安全评估工作组信息安全管理工作组截至2007年底，全国信息安全标准化技术委员会已经完成了国家标准59项，还有56项国家标准在研制中。,第36页,等级保护是什么？,等级保护基本概念：信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。,第37页,等级保护法律和政策依据,中华人民共和国计算机信息系统安全保护条例第二章安全保护制度部分规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”计算机信息系统安全保护等级划分准则GB17859-1999（技术法规）规定：“国家对信息系统实行五级保护。”国家信息化领导小组关于加强信息安全保障工作的意见重点强调：“实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。”,第38页,等级保护的分级,等级保护分为5级管理制度：第一级，自主保护级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成损害，但不损害国家安全，社会秩序和公共利益。第二级，指导保护级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，监督保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，强制保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成严重损害。第五级，专控保护级：信息系统受到破坏后，会对国家安全造成特别严重损害。,第39页,等级保护定级要素,受侵害的客体公民，法人和其他组织的合法权益社会秩序，公共利益国家安全,对客体的侵害程度造成一般损害造成严重损害造成特别严重损害,第40页,安全保护要素与等级关系,第41页,等级保护监管级别与等级对应情况,第42页,等级保护定级流程,信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体得侵害程度可能不同，因此信息系统定级也应由业务信息安全和系统服务安全两方面确定。具体流程为：,第43页,等级保护定级对象确定,作为定级对象的信息系统应具有如下基本特征：具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。承载单一或相对独立的业务应用定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以使完整的业务流程的一部分。,第44页,等级保护的基本要求,信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力，不同安全保护等级的信息系统要求具有不同的安全保护能力。基本安全要求分为基本技术要求和基本管理要求两大类。二者都是确保信息系统安全不可分割的两个部分。信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外，还要考虑组件之间的相互关系，来保证信息系统的整体安全保护能力。,第45页,等级保护的基本要求（续）,第46页,基本技术要求的类型,基本技术要求分为三种类型：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）。,第47页,等级保护-实施指南,基本原则：等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。等级保护在实施过程中应遵循以下基本原则：自主保护原则：由各主管部门和运营使用单位按照国家相关法规和标准，自主确定信息系统的安全等级自行组织实施安全保同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。适当调整原则：要跟踪信息系统的变化情况，调整安全保护措施。因为信息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理规范和技术标准的