- 论坛徽章:
- 0
|
ISO/IEC17799则不同,它不是一篇技术标准,而是管理标准。它处理的是对IT系统中非技术内容的检查。这些内容与人员、流程、物理安全以及一般意义上的安全管理有关。\r\n\r\n 一般说来,经过ISO/IEC15408评估的IT安全产品有助于确保一个机构安全项目的成功,这些IT产品的使用能够极大地减少机构所面临的安全风险。如有兴趣知道一个机构如何使用ISO/IEC15408来迎接安全挑战,可以参考NIST 800-23《联邦机构安全保障和采购指南/使用可信或经评估的产品指南》,该文献可以见于:http://csrc.nist.gov/publications/nistpubs/index.html。\r\n\r\n ISO/IEC17799有没有第二部分,就像BS7799一样?\r\n BSI没有提交BS7799-2,可能的原因会在后面的问题回答中有所暗示。目前没有迹象表明BSI是否会在将来提交第二部分。ISO/IEC JTC1还没有计划去制定ISO/IEC17799-2。\r\n\r\n ISO有没有类似于ISO9000过程质量认证项目的ISO/IEC17799系统安全认证项目:\r\n\r\n ISO/IEC17799是一种操作规则,或称之为信息安全管理方针,它没有达到必要的详细级别,无法支持这种认证。正如上面说述,没有人计划去制定ISO/IEC17799-2,去为一个机构的信息安全管理项目提供足够详细的参照规范。在类似于ISO/IEC17799-2的标准被ISO/IEC JTC1接受以前,不可能有\"官方\"的ISO/IEC17799认证项目。当然,人们可以去选择BS7799-2,与ISO/IEC17799一起非正式使用(更确切地说,是与BS7799-1一起使用),以完成某种形式的系统安全\"认证\",但这不能等同于ISO认证。要着重指出,到目前为止,已知的正式认可的认证方案是根据7799-2实施的,而不是根据ISO/IEC17799。\r\n\r\n 围绕ISO/IEC17799被国际标准化组织的采纳过程,人们对它的\"不正常现象\"存在哪些争议?\r\n\r\n ISO/IEC17799是在很多国家的反对声中被采纳的。ISO/IEC JTC1 SC27(联合技术委员会下的第27分委员会:IT安全技术组)内安全标准化工作的很多积极参与国对2000年夏季的DIS(国际草案标准)投票议论纷纷,由\"不正常现象\"引发的争议包括:对于迟到选票的接受、把明显的反对票记为赞成票、对DIS投票方案(该方案要求开会考虑投票中提交的大量技术评论)的拒绝、投票结束后ISO/IEC JTC1标准就以不正常的速度迅速发布……。成员国中,德国、法国、加拿大已经就这些不正常现象向ISO/IEC权力机关提出了抗议。加拿大最近提出了17799内容中的28处\"缺陷报告\"。美国也曾考虑提出类似的抗议,但最终没有行动,但他支持其他国家的抗议。\r\n\r\n 分别是哪些成员国投了DIS 17799的赞成票和反对票?\r\n\r\n 英国显然要投赞成票。他的支持者有澳大利亚、新西兰、巴西以及其他14个成员国。反对国则包括比利时、加拿大、法国、德国、意大利、日本以及美国。有一个特点值得注意:7大经济强国中,除了英国,其他6个国家反对通过DIS 17799。\r\n\r\n 美国对ISO/IEC17799的态度如何?\r\n\r\n 美国在2000年6月提交的DIS 17799意见中,反对其成为ISO/IEC17799。JTC1以及SC27(第27分委会)的美国技术顾问组(TAG)中的大多数成员可以说代表了美国工业界,虽然美国政府的官方立场还未表达过,但来自商业部(通过NIST)和国防部(通过DISA--国防信息系统局)的美国技术顾问组成员们支持美国代表的立场。现在,美国强烈希望对这篇文档早做大的修改,并希望能正确考虑2000年夏人们提出的那些持反对立场的技术评论。\r\n\r\n 为什么美国反对ISO/IEC17799?\r\n\r\n 下面是2000年6月美国代表对17799提出的评论中的主要观点:\r\n\r\n 1.当前,尚未看到有任何迫切需要使得必须在一个计算机安全\"操作规则\"这样一个难以量化的领域中制定国际标准。\"操作规则\"所涉及的领域最好交由方针文档来处理,比如现有的\"ISO13335《IT安全管理方针》(GMITS)\"系列。\r\n\r\n 2.虽然DIS 17799作为自我评估和改良工具时是很有价值的,但它不能成为一种标准,因为它不包含技术标准所必需的测量精度。\r\n\r\n 3.虽然DIS 17799看起来是一篇不错的文档,它描述了一种有用的安全方法,但并不能看出它比其它的\"操作规则\"--类似的\"操作规则\"很多,某些也已经是ISO的文档(其它很多则被广泛接受为安全管理文档,包括NIST发布的安全管理文档)--在技术上有何更加合理之处,或更适于提供安全管理的普遍方针。\r\n\r\n 4. 很多其它安全管理文档中列出的大量有用的安全管理信息却没有包含在DIS 17799之中,所以如果DIS 17799能成为国际标准的话,它无疑是不全面的,这种不全面已到了使人无法接受的地步。\r\n\r\n 5.17799试图成为国际标准的评审时间太短,不足以全面分析其不足。与此对照的是,同样也是讨论安全管理的ISO13335:《IT安全管理方针》系列(第一至第五部分),已经在国际社会中开发了很多年,其间经历了相当多的讨论和评估。\r\n\r\n NIST对ISO/IEC17799持什么立场?\r\n\r\n NIST一直支持美国代表以前以及现在的立场,JTC1以及SC27的美国技术顾问组中的相当多数美国政府及工业界人士也支持美国代表的立场。\r\n\r\n 除了上述的保留意见外,美国代表还觉得ISO/IEC17799太贵了。相反,NIST一直在开发大量非常有用的文档,这些文档能够有效支持一个机构的信息安全项目,但它们是免费的。\r\n\r\n NIST的哪些文档可以用于替代ISO/IEC17799?\r\n\r\n NIST网站上有各类非常有用的安全文档,可见于:\r\n http://csrc.nist.gov/publications/nistpubs/index.html。\r\n\r\n 美国代表认为,在NIST的SP 800系列(Special Publication 800-series)中,下列文档对一个机构的信息安全管理意义很大:\r\n * SP 800-12,《计算机安全手册》(Computer Security Handbook)\r\n * SP 800-14,《公认[安全]原则和操作》(Generally Accepted [Security] Principles & Practices)\r\n * SP 800-18,《安全计划开发指南》,(Guide for Developing Security Plans)\r\n SP 800系列中,还有些文档也会对信息安全管理有帮助:\r\n * SP 800-23,《联邦机构安全保障和采购指南/使用可信或经评估的产品指南》,(Guide to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products)\r\n * SP 800-26,《IT系统自我评估指南》,(Self-Assessment Guide for IT\r\nSystems)\r\n 还有哪些ISO/IEC文档可以替代ISO/IEC17799?\r\n\r\n ISO/IEC13335《IT安全管理方针》(GMITS)系列用处非常大,可以作为替代。13335分5个部分组成,分别如下:\r\n * ISO/IEC13335-1:1996《IT安全的概念与模型》\r\n * ISO/IEC13335-2:1997《IT安全管理和计划制定》\r\n * ISO/IEC13335-3:1998《IT安全管理技术》\r\n * ISO/IEC13335-4:2000《安全措施的选择》\r\n * ISO/IEC13335-5(目前尚未正式公布)《网络安全管理方针》\r\n\r\n 这些文档中,某些正在更新,关于更新的信息可以见于:http://www.ncits.org/tc_home/t4htm/index.htm。\r\n 作为国际标准,ISO/IEC17799目前的情况怎样?\r\n\r\n 虽然很多国家将ISO/IEC17799视为合法的国际标准,但也有些国家持不同意见。上面所谈到的那些技术或处理程序方面的抱怨还没有被ISO/IEC的权力机关充分考虑。因此,在当前的情况下,对17799的看法尚未出现一致。\r\n\r\n ISO/IEC JTC1正在对一个得到强有力支持的提议进行投票,该提议希望考虑以前的那些持反对立场的技术性意见,立即开始对17799进行修改。这份提议包括:\r\n * 请求第27分委会(SC27)秘书处在成员国之间发起一次投票信(letter ballot)活动,以征求各成员国对尽早修订17799的支持意见。\r\n * 确保当改写17799时,能够认真考虑加拿大提出的缺陷报告以及其他成员国代表的评论。\r\n * 要求第27分委会秘书处发布组稿号召(call),以及对编辑的提名号召(即SC27发布号召来征集17799改版后的文稿以及号召相关方面对编辑进行提名)。\r\n\r\n 也许,只有这一种办法才能够平息人们对17799的争论。值得人兴奋的是,ISO/IEC JTC1 SC27的成员最近批准由来自德国的Oliver Weisman担任提交的17799修订计划的代主编,并且还将在未来通过开放的方式选择一名正式的主编。\r\n\r\n 总的来说NIST发布的17799 FAQ为我们更深入地了解17799而提供了宝贵的资料,重要的是,它阐述了几个权威机构对信息安全管理标准的看法--尤其是对于这类管理标准的本质的认识。安全标准的制定是在几个不从层次上展开的--产品、系统、管理等。到目前为止,人们对产品标准的争议一般是围绕具体的测评指标和所参照的评估体系(TCSEC和CC)而展开,但对由不同产品有机组合而成的信息系统的安全标准以及信息安全的管理标准的争议的重点还在方法学上,而且,这些争论在短时间内将不会有确定的结果,待研究的内容还很多。如果不考虑政治或集团利益因素的话,所有的这些争论和研究工作无疑将大大促进信息安全的发展。\r\n\r\n 根据英国方面发布的资料,在1999年被调查的1000家公司中,有超过50%的公司已经准备或正在采纳BS7799,超过40%的公司对BS7799在促进商业信息安全、建立信息安全框架方面的作用深信不疑。但BS7799/ISO17799在其他国家中显然没有受到这样热烈的欢迎。原因是很容易从上文看出的。而我们的很多单位却在盲目地摘抄7799/17799,一些媒体甚至曾大力报道我国\"成为继英国、瑞典之后,第三个使用BS7799标准进行信息安全管理体系认证的国家,从而使中国的信息安全管理和认证工作,跨入了世界前列\"。跨入世界前列是我们希望实现的,但这种跨入却没有丝毫必要去沾沾自喜。也许,对国际信息安全发展形成全面的认识、踏踏实实做好基础性理论研究,形成我们自己的看法,拿出我们自己的东西,才是我们更应该做的。\r\n(摘自《信息网络安全》第十一期) |
|