ASRO/CT 208 –Tehnici de securitate în informatică
Revista Standardizarea, ed. nr. 11/2019
Comitetul tehnic ASRO/CT 208 elaborează standarde care să răspundă noilor provocări legate de securitatea tehnologiei informației.
Tranziția de la societatea industrială la cea informațională a produs transformări majore, tehnologia comunicațiilor pătrunzând în toate aspectele vieții economice, sociale și culturale actuale. Accesul la informații prin intermediul unei rețele vine cu avantaje deosebite pentru toți utilizatorii acestora și facilitează comunicarea, productivitatea, sprijină progresul societății și calitatea vieții. În ultimii ani, însă, s-au raportat tot mai multe cazuri de atacuri informatice care au vizat proprietatea intelectuală, datele privind viața privată și reputația unei companii sau afaceri, iar securitatea informațiilor a reprezentat un instrument esențial pentru protejarea acestora față de potențialele amenințări și vulnerabilități și pentru asigurarea continuității activității și reducerii riscului organizațional.
Luând în considerare aceste aspecte, găsirea celor mai optime metode de protecție a rețelelor și de îmbunătățire a securității datelor, dar și a tranzitului de date ce are loc zilnic între părțile interesate, este extrem de necesară. Securitatea cibernetică a devenit preocuparea principală a multor companii, instituții publice și private, IMM-uri, administrații publice și universități, creând o piață de nișă foarte puternică datorită importanței acesteia în menținerea datelor în siguranță.
În România, domeniul securității cibernetice are o importanță majoră în scopul securității naționale, facilitării cooperării și schimbului eficient de informații între autoritățile, dar și în privința combaterii utilizării Tehnologiei Informației și Comunicațiilor în scopuri teroriste sau criminale.
În plus, vocea experților din industria națională se face cunoscută în fața forumurilor de standardizare internaționale și europene în care sunt elaborate standardele în sprijinul noului cadru de reglementare european, cum ar fi Directiva NIS privind măsurile pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în UE, Regulamentul general privind protecția datelor și Regulamentul privind securitatea cibernetică.
Standardizarea joacă un rol esențial în îmbunătățirea securității cibernetice, iar ASRO/CT 208, Tehnici de securitate în informatică, este comitetul tehnic al ASRO axat pe protecția internetului, comunicațiilor și companiilor care depind de acestea.
Domeniu de activitate
ASRO/CT 208 elaborează standarde privind procesele, instrumentele și tehnologiile produselor ingineriei software și sistemelor. Acest comitet tehnic se ocupă cu standardizarea metodelor generice și a tehnicilor pentru securitate în tehnologia informației. Aceasta include:
• identificarea cerințelor generice (și metodologice) pentru serviciile de securitate IT;
• dezvoltarea tehnicilor de securitate și a mecanismelor (și proceduri de înregistrare și corelații cu securitatea componentelor);
• dezvoltarea ghidurilor de securitate (documente interpretative, analize de risc);
• dezvoltarea documentației suport pentru management și standarde (criterii de evaluare ale securității și terminologiei).
Totodată, comitetul privind securitatea în informatică se ocupă cu standardizarea pentru integritatea algoritmilor de criptare, serviciile de autentificare și non-repudiere, standardizarea algoritmilor pentru serviciile confidențiale pentru folosirea în concordanță cu politicile internaționale acceptate, Internetul lucrurilor (IoT), Inteligența artificială (IA), tehnologia Blockchain.
ASRO/CT 208 elaborează standarde tehnice care să răspundă în mod eficient provocărilor de securitate în tehnologia informației. Până în prezent*, au fost publicate 121 de standarde, majoritatea fiind adoptate de la nivel internațional. Printre cele care se evidențiază la nivel național, se regăsesc SR EN ISO/IEC 27001:2019, Tehnologia informației. Tehnici de securitate. Sisteme de management al securității informației. Cerințe, care furnizează cerințe pentru stabilirea, implementarea, întreținerea și îmbunătățirea continuă a unui sistem de management al securității informației, SR ISO/IEC 27005, Tehnologia informației. Tehnici de securitate. Managementul riscului de securitate a informației și SR ISO/IEC 27006, Tehnologia informației. Tehnici de securitate. Cerințe pentru organismele care furnizează servicii de auditare și certificare a sistemelor de management al securității informației care specifică liniile directoare pentru managementul riscului de securitate a informației, respectiv îndrumările pentru organismele care furnizează servicii de auditare și certificare a sistemelor de management al securității informației. Și SR ISO/IEC 12207:2017, Ingineria sistemelor și software-ului. Procesele ciclului de viață al software-ului se face cunoscut în lumea securității informaționale, acesta stabilind un cadru comun pentru procesele ciclului de viață al unui software care conține procesele, activitățile și sarcinile care se aplică în timpul achiziționării unui produs sau serviciu software sau în timpul furnizării, dezvoltării, funcționării, mentenanței și eliminării produselor software.
Printre cele mai recente standarde adoptate de către ASRO/CT 208 (noiembrie 2019), amintim:
• SR ISO/IEC 27039:2019, Tehnologia informației. Tehnici de securitate. Selectarea, instalarea și operarea sistemelor de detectare și prevenire a intruziunilor (IDPS) care are menirea de a furniza liniile directoare care să asiste organizațiile ce se pregătesc să instaleze sisteme de detectare și prevenire a intruziunilor (IDPS);
• SR ISO 27035-2:2019, Tehnologia informației. Tehnici de securitate. Managementul incidentelor de securitate a informației. Partea 2: Îndrumări privind planificarea și pregătirea răspunsului la incidente ce furnizează liniile directoare pentru planificarea răspunsului la incident;
• SR ISO/IEC 27019:2019, Tehnologia informației. Tehnici de securitate. Mijloace de control al securității informațiilor pentru industria operatorilor în energie care oferă îndrumări bazate pe ISO/IEC 27002:2013 aplicate sistemelor de control ale proceselor utilizate de operatori în energie pentru controlul și monitorizarea producției sau generării, transmiterii, stocării și distribuției de energie electrică, gaz, petrol și căldură pentru controlul proceselor de susținere asociate;
• SR ISO 27033:2-2019, Tehnologia informației. Tehnici de securitate. Securitatea rețelei. Partea 2: Linii directoare pentru proiectarea și implementarea securității rețelei, care oferă linii directoare pentru organizații de a planifica, proiecta, implementa și documenta securitatea rețelei.
În plus, acest comitet sprijină și elaborarea standardelor referitoare la îndeplinirea cerințelor de securitate funcțională pentru aplicațiile de creare și verificare a semnăturii electronice (ESI), dar și ghiduri pentru asigurarea conformității semnăturii electronice. Mai mult, standardele acestui comitet tehnic acoperă și algoritmii de criptare, gestionarea vulnerabilității, securitatea stocării, guvernanța tehnologiei informației etc.
În prezent, ASRO/CT 208, prin experții săi, se implică în activitatea de standardizare de la nivel european și internațional, în special în cea a comitetului CEN/CLC/JTC 13, Cybersecurity and Data Protection. Acesta a fost înființat de către CEN și CENELEC pentru a veni cu soluții fiabile și practici interoperabile pentru securitatea cibernetică și protecția datelor, astfel încât piața unică europeană să nu fie afectată. Cu această ocazie, menționăm întâlnirea pe care ASRO a găzduit-o la București în perioada 19-21 noiembrie 2019, cea de-a șaptea întâlnire plenară a comitetului unde s-a discutat revizuirea și actualizarea diverselor documente de standardizare privind securitatea cibernetică, s-au stabilit viitoare întâlniri și ședințe ale comitetului, s-au raportat activitățile de lucru ale WG 2 și WG 6, s-au întocmit rapoarte și s-au prezentat noi propuneri de standarde.
Comitete tehnice europene și internaționale în oglindă:
CEN/SS F12 – Information Processing Systems ESI – Electronic Signatures and Infrastructures
ISO/IEC JTC 1 – Information technology
ISO/IEC JTC 1/SC 27 – Information security, cybersecurity and privacy protection
ISO/IEC JTC 1/SC 37 – Biometrics
ISO/IEC JTC 1/SC 7 – Software and systems engineering
ISO/IEC JTC 1/SC 40 – IT Service Management and IT Governance
ISO/TC 307 – Blockchain and distributed ledger technologies
ISO/IEC JTC 1/SC 41 – Internet of things and related technologies
CEN/CLC/JTC 13 – Cybersecurity and Data Protection
ISO/IEC JTC 1/SC 42 – Artificial Intelligence
Revista Standardizarea: Care este viziunea comitetului pentru a elabora noi standarde în domeniul securității cibernetice și al protecției datelor?
Martin Uhlherr: Unul dintre elementele esențiale ale standardizării realizate de Organizațiile Europene de Standardizare (OES) este un consens larg în rândul diferitelor părți interesate atunci când sunt elaborate și publicate standarde. Implicarea mai multor grupuri de interes distincte este menită să conducă la standarde care să reflecte cu adevărat stadiul actual al tehnologiei și să nu conducă la un dezechilibru pe piață. Acest lucru contribuie, desigur, la viziunea JTC 13 de a furniza standarde de securitate cibernetică aplicabile unui public țintă larg, se bazează pe o vastă bază de cunoștințe și crește nivelul general de securitate cibernetică pe piață.
R.S.: Care aspecte ale societății informaționale sunt acoperite de standardele elaborate de CEN/CLC JTC 13?
M.U.: Diversitatea socială este reflectată de varietatea grupurilor de părți interesate reprezentate în JTC 13. Există reprezentanți ai industriei, ai asociațiilor, ai autorităților juridice și ai societății civile. Obiectivul este, desigur, acela de a acoperi în cea mai mare parte toate aspectele societății informaționale legate de securitatea și de protecția datelor și, prin urmare, standardele elaborate în cadrul JTC 13 includ domenii ca protecția vieții private și a datelor pentru cetățeni, precum și specificațiile de testare pentru laboratoarele de testare. Două domenii complet diferite, dar intercorelate cu complexitatea pieței IT. În acest sens, JTC 13 poate fi considerat un epicentru al societății informaționale, deoarece, mai devreme sau mai târziu, toate domeniile se confruntă cu securitatea informației.
R.S.: Cât de productivă a fost întâlnirea ținută la București în perioada 19-21 noiembrie 2019? Ce v-ați propus să elaborați, să discutați, să clarificați?
M.U.: Interesul pentru activitatea JTC 13 crește din ce în ce mai mult. La reuniunea de la București, am început să lucrăm la câteva proiecte noi, iar JTC 13 a făcut un pas înainte. Cerințele pentru produse și metodele de evaluare a acestora au fost două dintre subiectele discutate intens. S-au realizat progrese importante și în domeniul protecției datelor și a vieții private, unde JTC 13 va supune un standard european privind „protecția datelor și a vieții private începând cu momentul conceperii și în mod implicit” anchetei publice, așa cum s-a convenit la reuniunea de la București. Desigur, au existat și multe activități de coordonare pentru securitatea cibernetică, considerată un subiect orizontal având numeroase relații cu așa zisele comitete „verticale”, afaceri sau domenii tehnice, precum managementul traficului aerian sau sistemele de control industrial.
*data publicării articolului.