IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Co dělat s normami?

Normy

Normy jsou v IT zmiňovány vlevo i vpravo. Ale jak se s nimi vlastně rozumně vypořádat? Co znamenají a hlavně, jaký mají dopad na firmy?

Než se na ně podíváme, je nutné si uvědomit současný právní status. To, co se v IT branži bere jako normy ve slova smyslu jakýchsi standardizačních opatření má jistou váhu. A váha vychází ze současného právního uspořádání. Mimo právní uspořádání je ale nutné brát v úvahu technologii a bohužel také politiku. Proč vlastně politiku? Protože, dle slov jistého pána, gentlemani si nečtou cizí dopisy. Ale v současnosti je gentlemanů poskrovnu.

Žijeme v České republice, ta je součástí Evropské unie. Zajímají nás především místní zákony, až teprve poté normy nebo různá doporučení. Při zjednodušení se tak dostáváme přibližně k následujícímu pořadí:

1) Nařízení Evropské unie

2) Zákony

3) Vyhlášky

4) Oborové normy

5) Doporučení

Za prvé v ČR nejsou normy závazné – dosavadní závaznost norem ČSN byla ukončena k 31. 12. 1999 novelizací Zákona 22/1997 – O technických požadavcích na výrobky, který řeší právní úpravu technické normalizace v ČR. Závaznost norem se nyní „vynucuje“ tím, že je na normu odkázáno v příslušném právním předpisu. Přímo aplikovatelná jsou evropská nařízení. Ostatní požadavky uvedené v právu EU (Směrnice, Doporučení, Stanoviska) jsou v ČR závazná až po zapracování do Národní legislativy. Dále platí, že národní legislativy může odkazovat jen na národní normy. Na druhou stranu platí, že normy vydané v evropské unii jako EN (European Norem) některou k tomu určenou organizací (ETSI, CE CENELEC, ISO) musejí být kooptovány mezi české národní normy.

V rámci IT branže se proto můžeme potkat s dokumenty, jejichž dodržování je přímo vynutitelné zákonem, nebo mají v zákoně oporu. Pro zjednodušení je možné je označit za zákony, ale především vyhlášky (tedy podzákonné úpravy) a případně nařízení. V Čechách jsou v tomto ohledu důležité například prováděcí vyhlášky ke kybernetickému zákonu. Německo má BSI-Standards a IT-Grundschutz, Spojené státy FIPS normy zaštiťované Národním úřadem pro Standardizaci a Technologie (NIST), dalo by takto ve výčtu pokračovat. Jenom v rámci EU je 28 států, další s nimi tvoří ekonomická či politická uskupení. V našich končinách se vzácně můžeme setkat i s pravidly IPA, což je japonská organizace.

Oborové normy

Oborové normy je možné rozdělit na placené, částečně placené (tedy většina dokumentace je zdarma) a volné. Placené jsou například ANSI X3, ISO/IEC, IEEE, ITU. Částečně placené jsou ANXI X9 a ETSI. Velkou zajímavostí je zde ISO/IEC. Přestože placené normy nejsou moc rozšířeny, přesněji často nejsou dodržovány, normy ISO/IEC jsou něčím jako známkou noblesy. Bohužel, vzhledem ke způsobu přístupu, kdy obsahem normy jsou odkazy na normy další, uvedené nepatří mezi mé oblíbené. Pokud budete potřebovat zabrousit až do důsledků, je koupě desítek standardizačních dokumentů vcelku běžná. Celému snažení pak nasazuje klobouk vynucení těchto norem v některých zákonech, kdy potřebné základní dokumenty nejsou veřejně přístupné. Tedy je tu kuriózní situace, kdy prováděcí dokument k zákonu si musíte koupit od třetí strany.

Oborové normy, které tu máme víceméně zdarma (až na jisté výjimky) jsou EN, ETSI, Common Criteria, NATO, OASIS, OMA, PCI-DSS, TCG. Až na jisté výjimky proto, že jednak malá část z těchto dokumentů může být zpoplatněna za účelem ochrany intelektuálního vlastnictví. Nebo, což je případ standardů NATO, není potřeba znalost těchto dokumentů mimo „obor“, dokonce by mohla být kontraproduktivní. Jedná se o podstatně lepší přístup z hlediska vynucení uvedených norem.

Doporučení

Mimo oborové normy jsou zajímavým příkladem ze života takzvaná doporučení. Mezi nejznámější z nich patří takzvaná RFC nebo BCP, vydávaná skupinou IRTF (Internet Engineering Task Force). Jedná se o doporučení, které je vhodné sledovat a dodržovat, pokud se vůbec s někým na internetu chcete domluvit. Jsou sice „pouze” doporučeními, ale vzhledem ke svému rozšíření a využívání zároveň standardem de facto. De-iure by byly, kdyby je vydala oficiální standardizační instituce – národní nebo nadnárodní s příslušnou regionální čí světovou působností.

Podobným příkladem je OWASP. Pokud vás zajímá bezpečnost vašich webových aplikací, měli byste zbystřit. V tomto případě jde o sadu doporučení. Jsou tak dobře sepsaná, že je uznávají i autority. Pokud náhodou budete zadávat žádost o nový e-shop, firemní web, portál pro klienty… – mimo požadavků ke splnění jako je GDPR tam vložte ještě pět těchto písmenek. Ušetří vám to nemalé problémy.

Další z doporučení vydává ENISA (Agentura EU pro bezpečnost informačních technologií). Tato organizace se snaží v rámci EU poskytovat rady, jak zajistit vhodná pravidla pro zajištění bezpečnosti. V rámci pravidel týkajících se kryptografie byly aktivity předány sdružení ECRYPT. Důvodem je nutnost obsáhlých odborných znalostí. A nesmíme zapomenout ani na SOGIS, tedy poradní institut manažerů informační bezpečnosti.

Normy a politika

Máme tedy základní přehled, co nás v oblasti bezpečnosti čeká. Ale, napsal jsem na začátku, že tu je ještě politika. A zde nám začínají být normy přítěží. Příkladem je například norma FIPS 140-2. Jedná se o normu popisující požadavky na zabezpečené kryptografické moduly, tedy jedny z nejcitlivějších prvků. Americké NSA se do této normy podařilo propašovat požadavek, kdy jedním z generátorů náhodnosti musí být takzvaný DualEC DRBG. Už po dvou letech bylo odhaleno, že tento generátor není až tak nevinný, NIST následně vydal opravy uvedené normy (drafty), které ale nikdy nebyly schváleny. A to je pouze jeden z mnoha příkladů obdobných aktivit na mnoha místech.

Pokud budeme vyžadovat dodržení standardů NIST, je například FIPS-197 (šifrovací algoritmus AES) velice důležitý. Stejně tak je vhodné dodržet i standardy FIPS 180-3 (SHA-1, SHA-2), FIPS 186-4 (DSA), FIPS 202 (SHA-3). Ale právě v případě již zmíněného FIPS 140-2 je vhodné se zeptat a nechat si doložit, jaký generátor náhodnosti je použit, zda nemůže dojít k použití prokazatelně nevhodného algoritmu.

Dnes se hodně mluví o zákeřné NSA, ale je potřeba si uvědomit jeden důležitý fakt. Organizace tohoto typu brání národní zájmy. Je jedno, zda se jedná o USA, Čínu, Rusko nebo jakoukoliv jinou zemi. Můžeme mít pouze podobné cíle a na jejich dosažení je vhodné spolupracovat. Z uvedených důvodů (členství v EU, členství v NATO a jiné) je pro nás podstatně výhodnější používat standardy pocházející od našich partnerů než od možných protivníků. Zvláště pokud to jsou partneři v rámci EU, tedy víceméně uspořádání s podobnými zákony a jednotnou hospodářskou politikou.

Poslední standard, který souvisí s hodnocením bezpečnosti vývoje software jsou Common Criteria (případně ISO ekvivalent ISO15408, ČSNISO15408), kde se zavádí tzv. EAL (Evaluation of Assurance Level, tedy míra ohodnocení jistoty – důvěry v dané hodnocení). Jedná se o způsob doporučeného ohodnocení kritérií při vývoji, které mají za cíl dát zákazníkovi „jistotu“, jakou míru bezpečnosti by daný produkt měl splňovat. Pro bezpečností produkty je potřeba splnit alespoň úroveň EAL4.

Co říci závěrem? V případě koupě produktu nebo služby je vhodné se zamyslet nejenom nad požadavky specifikovanými v našich zákonech, ale i nad splňovanými normami a zemí původu. Každý kamínek této mozaiky je velice důležitým prvkem v celkové bezpečnosti systému.

Odkazy:

https://ansi.org/ https://etsi.org/ https://europa.eu/ https://ietf.org/ https://irtf.org/ https://www.bsi.bund.de/ https://www.cen.eu/ https://www.cencenelec.eu/ https://www.cenelec.eu/ https://www.commoncriteriaportal.org/ https://www.ecrypt.eu.org/csa/ https://www.enisa.europa.eu/ https://www.iec.ch/ https://www.ieee.org/ https://www.incits.org/ https://www.ipa.go.jp/ https://www.iso.org/ https://www.itu.int/ https://www.nato.int/ https://www.nist.gov/ https://www.nukib.cz/ https://www.oasis-open.org/ https://www.omaspecworks.org/ https://www.owasp.org/ https://www.pcisecuritystandards.org/ https://www.sogis.org/ https://www.trustedcomputinggroup.org/ https://x9.org/

Autor: Jan Dušátko, specialista na šifrování a kryptologii