信息安全管理正在逐步受到安全界的重视,加强信息安全管理被普遍认为是解决信息安全问题的重要途径。但由于管理的复杂性与多样性,信息安全管理制度的制定和实施往往与决策者的个人思路有很大关系,随意性较强。信息安全管理也同样需要一定的标准来指导。这就是英国标准协会(BSI)制订并于1999年修订的《信息安全管理标准》(BS7799)受到空前重视的原因。如今BS7799的一部分已经在2000末被采纳为国际标准,以标准号ISO/IEC17799发布,全名为《信息安全管理操作规则》。我国很多行业已经在参照BS7799或ISO/IEC17799制定自己的行业信息安全管理法规。但需要指出,管理问题极为复杂,单纯依靠一部标准难免有失偏颇,况且国际信息安全界对ISO/IEC17799的争议很多。鉴于界内对BS7799或ISO/IEC17799的高度关注及其引发的各种争论,美国国家标准和技术研究所(NIST)在2001年8月发布了非官方性质的ISO/IEC17799 FAQ,以期通过对背景资料的介绍,使围绕ISO/IEC17799的讨论更有意义。本文作者从中摘录了部分材料,希望通过对ISO/IEC17799 FAQ的介绍,使大家能够从侧面更深入地了解ISO/IEC17799。
ISO/IEC17799的目的是什么?
根据官方的报告,ISO/IEC17799的目的是"为信息安全管理提供建议,供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,并得以使跨机构的交易得到互信"。
ISO/IEC17799覆盖那些内容?
作为一个通用的信息安全管理指南,ISO/IEC17799的目的并不是告诉你有关"怎么做"的细节,它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明,它是"制订一个机构自己的标准时的出发点",并不是说它所包含的所有方针和控制策略都是放之四海而皆准的,也不是其它未列出的便不再要求。在这样的原则指导下,这份65页的文档简要地讨论了如下的主题:
* 建立机构的安全策略
* 机构的安全基础设施
* 资产分类和控制
* 人员安全
* 物理与环境安全
* 通讯与操作管理
* 访问控制
* 系统开发和维护
* 业务连续性管理
* 遵循性
ISO/IEC17799不涉及哪些内容?
ISO/IEC17799不是一篇技术性的信息安全操作手册,它讨论的主题很广泛,如上所列。但是,它对每一项内容的讨论都没有深入下去。所以,ISO/IEC17799没有提供关于任何安全主题的确定或专门的材料。
17799没有提供足够的信息以帮助一个机构进行深入的信息安全检查,它离认证项目也还差得远。但是,作为对各类信息安全主题的高级别概述,17799显然是非常有用的,它有助于人们在高级管理中理解每一类信息安全主题的基础性问题。
需要说明,目前已经有几个国家指出,17799的某些部分与其国家法律存在着冲突,尤其是在隐私领域。
ISO/IEC17799与密码、数字签名或PKI互操作性的关系是怎样的?
17799涉及到一些密码的事情。但是,17799中没有包含与密码项目的开发和管理--比如PKI互操作性--有关的足够信息。17799中谈论PKI的内容不过区区几句话。
NIST发布的800-21《密码实施准则》现在可以免费下载,这里面包含了建立各种与密码有关的安全项目时的实施准则,可见http://csrc.nist.gov/publications/nistpubs/index.html。
ISO/IEC17799与BS7799的关系怎样的?
BS7799是英国标准学会(BSI)开发的一篇由两部分组成的安全管理标准,在英国政府的支持下,它在英国得到了非常广泛的应用。BS7799的两部分如下:
* 7799-1(第一部分):《信息安全管理操作规则》。它不是一个机构的信息安全管理项目的规范--这种规范称为"信息安全管理系统(ISMS)",而且,到目前为止,7799-1还不能用于认证的目的。请注意,ISO/IEC17799的当前版本(不久它就会出新版本)是完全基于BS7799-1的。
* 7799-2(第二部分):《信息安全管理系统规
范》。该部分是安全控制的"核对表"(checklist)。英国方面认为,BS7799-2是ISMS,可以用于认证的依据。7799-2与ISO/IEC17799没有直接联系。
BSI在2000年初将BS7799-1交给了ISO/IEC JTC1(国际标准化组织和国际电工委员会的联合技术委员会),以供各成员国对其投票表决。根据ISO的规定,JTC1的永久成员或与JTC1有A类联系的组织,都可以将来自任何地方的已有标准直接提交给ISO/IEC JTC1,不用作任何修改,作为国际草案标准(DIS)接受投票。需要注明的是,BS7799的内容早在几年前就曾经以非正式方式交给过ISO/IEC JTC1,但在投票时遭到了否决。这一次提交的版本是修改过的。
ISO/IEC17799与ISO/IEC15408(即CC,《IT安全评估公共准则》)的关系是怎样的?
简单地说,这两个标准之间没有任何紧密联系,它们没有相同或类似的主题。
ISO/IEC15408旨在支持产品(最终是指已经在系统中安装了的产品,虽然目前指的是一般产品)中IT安全特征的技术性评估。ISO/IEC15408标准还有一个重要作用,即它可以用于描述用户对安全性的技术需求。
ISO/IEC17799则不同,它不是一篇技术标准,而是管理标准。它处理的是对IT系统中非技术内容的检查。这些内容与人员、流程、物理安全以及一般意义上的安全管理有关。
一般说来,经过ISO/IEC15408评估的IT安全产品有助于确保一个机构安全项目的成功,这些IT产品的使用能够极大地减少机构所面临的安全风险。如有兴趣知道一个机构如何使用ISO/IEC15408来迎接安全挑战,可以参考NIST 800-23《联邦机构安全保障和采购指南/使用可信或经评估的产品指南》,该文献可以见于:http://csrc.nist.gov/publications/nistpubs/index.html。
ISO/IEC17799有没有第二部分,就像BS7799一样?
BSI没有提交BS7799-2,可能的原因会在后面的问题回答中有所暗示。目前没有迹象表明BSI是否会在将来提交第二部分。ISO/IEC JTC1还没有计划去制定ISO/IEC17799-2。
ISO有没有类似于ISO9000过程质量认证项目的ISO/IEC17799系统安全认证项目:
ISO/IEC17799是一种操作规则,或称之为信息安全管理方针,它没有达到必要的详细级别,无法支持这种认证。正如上面说述,没有人计划去制定ISO/IEC17799-2,去为一个机构的信息安全管理项目提供足够详细的参照规范。在类似于ISO/IEC17799-2的标准被ISO/IEC JTC1接受以前,不可能有"官方"的ISO/IEC17799认证项目。当然,人们可以去选择BS7799-2,与ISO/IEC17799一起非正式使用(更确切地说,是与BS7799-1一起使用),以完成某种形式的系统安全"认证",但这不能等同于ISO认证。要着重指出,到目前为止,已知的正式认可的认证方案是根据7799-2实施的,而不是根据ISO/IEC17799。
围绕ISO/IEC17799被国际标准化组织的采纳过程,人们对它的"不正常现象"存在哪些争议?
ISO/IEC17799是在很多国家的反对声中被采纳的。ISO/IEC JTC1 SC27(联合技术委员会下的第27分委员会:IT安全技术组)内安全标准化工作的很多积极参与国对2000年夏季的DIS(国际草案标准)投票议论纷纷,由"不正常现象"引发的争议包括:对于迟到选票的接受、把明显的反对票记为赞成票、对DIS投票方案(该方案要求开会考虑投票中提交的大量技术评论)的拒绝、投票结束后ISO/IEC JTC1标准就以不正常的速度迅速发布……。成员国中,德国、法国、加拿大已经就这些不正常现象向ISO/IEC权力机关提出了抗议。加拿大最近提出了17799内容中的28处"缺陷报告"。美国也曾考虑提出类似的抗议,但最终没有行动,但他支持其他国家的抗议。
分别是哪些成员国投了DIS 17799的赞成票和反对票?
英国显然要投赞成票。他的支持者有澳大利亚、新西兰、巴西以及其他14个成员国。反对国则包括比利时、加拿大、法国、德国、意大利、日本以及美国。有一个特点值得注意:7大经济强国中,除了英国,其他6个国家反对通过DIS 17799。
美国对ISO/IEC17799的态度如何?
美国在2000年6月提交的DIS 17799意见中,反对其成为ISO/IEC17799。JTC1以及SC27(第27分委会)的美国技术顾问组(TAG)中的大多数成员可以说代表了美国工业界,虽然美国政府的官方立场还未表达过,但来自商业部(通过NIST)和国防部(通过DISA--国防信息系统局)的美国技术顾问组成员们支持美国代表的立场。现在,美国强烈希望对这篇文档早做大的修改,并希望能正确考虑2000年夏人们提出的那些持反对立场的技术评论。
为什么美国反对ISO/IEC17799?
下面是2000年6月美国代表对17799提出的评论中的主要观点:
1.当前,尚未看到有任何迫切需要使得必须在一个计算机安全"操作规则"这样一个难以量化的领域中制定国际标准。"操作规则"所涉及的领域最好交由方针文档来处理,比如现有的"ISO13335《IT安全管理方针》(GMITS)"系列。
2.虽然DIS 17799作为自我评估和改良工具时是很有价值的,但它不能成为一种标准,因为它不包含技术标准所必需的测量精度。
3.虽然DIS 17799看起来是一篇不错的文档,它描述了一种有用的安全方法,但并不能看出它比其它的"操作规则"--类似的"操作规则"很多,某些也已经是ISO的文档(其它很多则被广泛接受为安全管理文档,包括NIST发布的安全管理文档)--在技术上有何更加合理之处,或更适于提供安全管理的普遍方针。
4. 很多其它安全管理文档中列出的大量有用的安全管理信息却没有包含在DIS 17799之中,所以如果DIS 17799能成为国际标准的话,它无疑是不全面的,这种不全面已到了使人无法接受的地步。
5.17799试图成为国际标准的评审时间太短,不足以全面分析其不足。与此对照的是,同样也是讨论安全管理的ISO13335:《IT安全管理方针》系列(第一至第五部分),已经在国际社会中开发了很多年,其间经历了相当多的讨论和评估。
NIST对ISO/IEC17799持什么立场?
NIST一直支持美国代表以前以及现在的立场,JTC1以及SC27的美国技术顾问组中的相当多数美国政府及工业界人士也支持美国代表的立场。
除了上述的保留意见外,美国代表还觉得ISO/IEC17799太贵了。相反,NIST一直在开发大量非常有用的文档,这些文档能够有效支持一个机构的信息安全项目,但它们是免费的。
NIST的哪些文档可以用于替代ISO/IEC17799?
NIST网站上有各类非常有用的安全文档,可见于:
http://csrc.nist.gov/publications/nistpubs/index.html。
美国代表认为,在NIST的SP 800系列(Special Publication 800-series)中,下列文档对一个机构的信息安全管理意义很大:
* SP 800-12,《计算机安全手册》(Computer Security Handbook)
* SP 800-14,《公认[安全]原则和操作》(Generally Accepted [Security] Principles & Practices)
* SP 800-18,《安全计划开发指南》,(Guide for Developing Security Plans)
SP 800系列中,还有些文档也会对信息安全管理有帮助:
* SP 800-23,《联邦机构安全保障和采购指南/使用可信或经评估的产品指南》,(Guide to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products)
* SP 800-26,《IT系统自我评估指南》,(Self-Assessment Guide for IT
Systems)
还有哪些ISO/IEC文档可以替代ISO/IEC17799?
ISO/IEC13335《IT安全管理方针》(GMITS)系列用处非常大,可以作为替代。13335分5个部分组成,分别如下:
* ISO/IEC13335-1:1996《IT安全的概念与模型》
* ISO/IEC13335-2:1997《IT安全管理和计划制定》
* ISO/IEC13335-3:1998《IT安全管理技术》
* ISO/IEC13335-4:2000《安全措施的选择》
* ISO/IEC13335-5(目前尚未正式公布)《网络安全管理方针》
这些文档中,某些正在更新,关于更新的信息可以见于:http://www.ncits.org/tc_home/t4htm/index.htm。
作为国际标准,ISO/IEC17799目前的情况怎样?
虽然很多国家将ISO/IEC17799视为合法的国际标准,但也有些国家持不同意见。上面所谈到的那些技术或处理程序方面的抱怨还没有被ISO/IEC的权力机关充分考虑。因此,在当前的情况下,对17799的看法尚未出现一致。
ISO/IEC JTC1正在对一个得到强有力支持的提议进行投票,该提议希望考虑以前的那些持反对立场的技术性意见,立即开始对17799进行修改。这份提议包括:
* 请求第27分委会(SC27)秘书处在成员国之间发起一次投票信(letter ballot)活动,以征求各成员国对尽早修订17799的支持意见。
* 确保当改写17799时,能够认真考虑加拿大提出的缺陷报告以及其他成员国代表的评论。
* 要求第27分委会秘书处发布组稿号召(call),以及对编辑的提名号召(即SC27发布号召来征集17799改版后的文稿以及号召相关方面对编辑进行提名)。
也许,只有这一种办法才能够平息人们对17799的争论。值得人兴奋的是,ISO/IEC JTC1 SC27的成员最近批准由来自德国的Oliver Weisman担任提交的17799修订计划的代主编,并且还将在未来通过开放的方式选择一名正式的主编。
总的来说NIST发布的17799 FAQ为我们更深入地了解17799而提供了宝贵的资料,重要的是,它阐述了几个权威机构对信息安全管理标准的看法--尤其是对于这类管理标准的本质的认识。安全标准的制定是在几个不从层次上展开的--产品、系统、管理等。到目前为止,人们对产品标准的争议一般是围绕具体的测评指标和所参照的评估体系(TCSEC和CC)而展开,但对由不同产品有机组合而成的信息系统的安全标准以及信息安全的管理标准的争议的重点还在方法学上,而且,这些争论在短时间内将不会有确定的结果,待研究的内容还很多。如果不考虑政治或集团利益因素的话,所有的这些争论和研究工作无疑将大大促进信息安全的发展。
根据英国方面发布的资料,在1999年被调查的1000家公司中,有超过50%的公司已经准备或正在采纳BS7799,超过40%的公司对BS7799在促进商业信息安全、建立信息安全框架方面的作用深信不疑。但BS7799/ISO17799在其他国家中显然没有受到这样热烈的欢迎。原因是很容易从上文看出的。而我们的很多单位却在盲目地摘抄7799/17799,一些媒体甚至曾大力报道我国"成为继英国、瑞典之后,第三个使用BS7799标准进行信息安全管理体系认证的国家,从而使中国的信息安全管理和认证工作,跨入了世界前列"。跨入世界前列是我们希望实现的,但这种跨入却没有丝毫必要去沾沾自喜。也许,对国际信息安全发展形成全面的认识、踏踏实实做好基础性理论研究,形成我们自己的看法,拿出我们自己的东西,才是我们更应该做的。
1/9/2005
|