Standaryzacja Zarządzania Bezpieczeństwem Informacji (ISO 27001) Witold Kowal – Auditor Wiodący BSI 12/09/2012
Transcription
Standaryzacja Zarządzania Bezpieczeństwem Informacji (ISO 27001) Witold Kowal – Auditor Wiodący BSI 12/09/2012
Standaryzacja Zarządzania Bezpieczeństwem Informacji (ISO 27001) Witold Kowal – Auditor Wiodący BSI Copyright © 2012 BSI. All rights reserved. 12/09/2012 Standaryzacja pomaga czy ogranicza ? • • • • PUNKTEM WYJŚCIA SYSTEMU JEST: NORMA ISO27001 – Załącznik A ANALIZA RYZYKA PDCA ANALIZA RYZYKA PDCA Załacznik A ANALIZA RYZYKA NORMA ISO 27001 Copyright © 2012 BSI. All rights reserved. 12/09/2012 2 Może jakieś przykłady? Noriaki Copyright © 2012 BSI. All rights reserved. 12/09/2012 3 Potrzebujemy standaryzacji bezpieczeństwa ? Korzyści Zagrożenia PORÓWNYWALNOŚĆ – z innymi organizacjami DOSTĘPNOŚĆ – systemu zabezpieczeń NIEZALEŻNOŚĆ – ocena trzeciej strony UN IWERSALNOŚĆ – nie dopasowanie - sektory KOMPLETNOŚĆ – Załącznik A +++ ZŁUDZENIE – SoA nie zabezpiecza LUDZIE – nacisk na szkolenia TECHNOLOGIA – załącznik A ANALIZA RYZYK – punkt wyjścia ANALIZA RYZYK – jako wymaganie CELE – Mierzalność - skuteczność CELE – brak powiązania z Analizą Ryzyk CERTYFIKACJA – niezależna ocena CERTYFIKACJA – dokument na ścianę ZABEZPIECZENIA – uzasadnienia wyboru ZABEZPIECZENIA – uzasadnienia wyłączeń Copyright © 2012 BSI. All rights reserved. 12/09/2012 4 POTRZEBUJEMY BEZPIECZENSTWA I/LUB STANDARYZACJI BEZPIECZEŃSTWA? Copyright © 2012 BSI. All rights reserved. 12/09/2012 5 Australia (SA) Austria (ASI) Belgia (NBN) Brazylia (ABNT) Kanada (SCC) Chiny (SAC) Cypr (CYS) Czechy (UNMZ) Wybrzeże Kości Słoniowej (CODINORM) Dania (DS) Estonia (EVS) Finlandia (SFS) Francja (AFNOR) Indie (BIS) Irlandia (NSAI) Izrael (SII) Włochy (UNI) Japonia (JISC) Kazachstan (KAZMEMST) Kenia (KEBS) Republika Korei (KATS) Luksemburg (ILNAS) Malezja (DSM) Mauritius (MSB) Meksyk (DGN) Maroko (IMANOR) Holandia (NEN) Nowa Zelandia (SNZ) Norwegia (SN) Polska (PKN) Rumunia (ASRO) Rosja (GOST R) Singapur (SPRING SG) Słowacja (SUTN) Słowenia (SIST) Afryka Południowa (SABS) Hiszpania (AENOR) Sri Lanka (SLSI) Szwecja (SIS) Szwajcaria (SNV) Tajlandia (TISI) USA (ANSI) Ukraina (DSSU) Zjednoczone Emiraty Arabskie (ESMA) Wielka Brytania (BSI) Urugwaj (UNIT) Algieria (IANOR) JTC 1/SC 27 - Techniki zabezpieczeń IT Kraje uczestniczące: 48 Copyright © 2012 BSI. All rights reserved. Kraje obserwatorzy: 17 12/09/2012 Argentina ( IRAM ) Belarus ( BELST ) Bosnia and Herzegovina ( BAS ) Costa Rica ( INTECO ) El Salvador ( OSN ) (Correspondent member) Ghana ( GSA ) Hong Kong, China ( ITCHKSAR ) (Correspondent member) Hungary ( MSZT ) Iceland ( IST ) Indonesia ( BSN ) Iran, Islamic Republic of ( ISIRI ) Lithuania ( LST ) Portugal ( IPQ ) Saudi Arabia ( SASO ) Serbia ( ISS ) Swaziland ( SWASA ) (Correspondent member) Turkey ( TSE ) 6 JTC 1/SC 27 - Techniki zabezpieczeń IT Kraje uczestniczące: 48 Kraje obserwatorzy: 17 Podkomisja / Groupa Robocza Nazwa/Zakres JTC 1/SC 27/WG 1 Information security management systems Systemy zarządzania bezpieczeństwem informacji JTC 1/SC 27/WG 2 Cryptography and security mechanisms Kryptografia i mechanizmy bezpieczeństwa JTC 1/SC 27/WG 3 Security evaluation, testing and specification Ocena bezpieczeństwa, testowanie i specyfikacja JTC 1/SC 27/WG 4 Security controls and services Zabezpieczenia i usługi Identity management and privacy technologies Zarządzanie tożsamością i technologią ochrony prywatności JTC 1/SC 27/WG 5 Copyright © 2012 BSI. All rights reserved. 12/09/2012 7 System norm ISO/IEC 270xx Oznaczenie Tytuł Zawartość ISO/IEC 27000 Overview and vocabulary Wprowadzenie do norm ISO 27k, specjalistyczne słownictwo słownikowa :2009 PN w opracowaniu ISO/IEC 27001 Specification for an Information Security Management System SZBI –wymagania dla wdrożenia i funkcjonowania SZBI. Wymagania SC27 – przyszłość harmonizacja z ISO 27002 i ISO 31000 ??? Guide 83 !!! :2005 PN:2007 (BS 7799-2: 19992002) Nowa w 2013/14? Obecnie 3CD Code of Practice for Information Security Management Praktyczne zasady zarządzania bezpieczeństwem informacji Wytyczne zbiór ogólnie przyjętych dobrych praktyk :2005 PL ISO/IEC 27002 PL Copyright © 2012 BSI. All rights reserved. 12/09/2012 Typ Wydania ISO-17799:2005 PN-17799:2007 8 System norm ISO/IEC 270xx Oznaczenie Tytuł Zawartość ISO/IEC 27003 Information security management system implementation guidance wytyczne do budowy SZBI pomocne przy wdrożeniu wytyczne :2010 ISO/IEC 27004 Information security management measurements Wytyczne rozwoju pomiarów dla oceny skuteczności SZBI Wytyczne Mierniki skuteczności zabezpieczeń i grup zabezpieczeń :2009 Obecnie jest przeglądana – Rzym 2012 SC27 ISO/IEC 27005 Information security risk management wytyczne dla procesu zarządzania ryzykiem wytyczne :2008 (BS 7799-3) ISO/IEC TR 133353/4 PL Copyright © 2012 BSI. All rights reserved. 12/09/2012 Typ Wydania 9 System norm ISO/IEC 270xx Oznaczenie Tytuł Zawartość Reguirements for bodies providing audit and certyfication of information security managemen systems Wymagania dla jednostek prowadzących audyt i certyfikację SZBI Wytyczne/ wymagania :2007 PN:2009 ISO/IEC 27007 Guidelines for Information security management systems auditing Dobre praktyki dla przeprowadzania audytów SZBI Wytyczne Auditu systemu :2011 (ISO 19011:2002) ISO/IEC 27008 (TR) Guidelines for auditors on information security management systems controls Wytyczne dla audytorów Uzupełnienie do ISO 27007 (27002+A z 27001) Wytyczne Auditu zabezpieczeń, BI, podejście oparte na ryzyku :2011 Raport techniczny ISO/IEC 27006 PL Copyright © 2012 BSI. All rights reserved. 12/09/2012 Typ Wydania 10 System norm ISO/IEC 270xx Oznaczenie Tytuł ISO/IEC 27010 Zawartość Information security management for inter-sector and inter-organizational communications Copyright © 2012 BSI. All rights reserved. 12/09/2012 Zarządzanie bezpieczeństwem informacji w komunikacji międzysektorowej i między organizacjami Typ wytyczne w odniesieniu do dzielenia się informacjami na temat zagrożeń dla bezpieczeństwa informacji, problemów i / lub zdarzeń, które obejmują granice pomiędzy sektorami przemysłu i / lub narodów, zwłaszcza tych wpływających na infrastrukturę krytyczną. Wydania :2012 11 System norm ISO/IEC 270xx Oznaczenie Tytuł Zawartość Typ Wydania ISO/IEC 27011 Information security management guidelines for telecommunications rozszerzenie ISO 27001/27002 o dobre praktyki dla przemysłu telekomunikacyjnego wytyczne :2008 ITU-T Zalecenie X.1051:2004 ISO/IEC 27013 Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001 Wytyczne dotyczące zintegrowanego wdrożenia ISO/IEC 20000-1 oraz ISO / IEC 27001 wytyczne w sprawie wdrożenia zintegrowanego bezpieczeństwa informacji i systemu zarządzania usługami IT, oparta na ISO/IEC27001:2005 oraz ISO/IEC 20001:2011 : w 2012 Obecnie FDIS Copyright © 2012 BSI. All rights reserved. 12/09/2012 12 System norm ISO/IEC 270xx Oznaczenie Tytuł Zawartość Typ Wydania ISO/IEC 27014 Governance of information security Nadzór nad bezpieczeństwem informacji (ład korporacyjny w bezpieczeństwie informacji) Wytyczne zarządzanie korporacyjne, grupowe, zarządzanie na najwyższym poziomie : w 2012 Obecnie DIS ISO/IEC 27015 (TR) Information security management guidelines for financial services Wytyczne zarządzania bezpieczeństwem informacji w zakresie usług finansowych wytyczne dodatkowe do ISO / IEC 27002 w kilku obszarach – (np. 6.2.2, kontakty z klientami) :2012 Obecnie FINAL DRAFT Copyright © 2012 BSI. All rights reserved. 12/09/2012 13 System norm ISO/IEC 270xx Oznaczenie Tytuł ISO/IEC 27016 (TR) Zawartość Information security management – organizational economics Copyright © 2012 BSI. All rights reserved. 12/09/2012 Zarządzanie bezpieczeństwem informacji z uwzględnieniem przewidywanych wyników finansowych, ekonomicznych Typ wytyczne Wydania : w 2013 14 System norm ISO/IEC 270xx Oznaczenie Tytuł Zawartość Typ Wydania ISO/IEC 27017 Security in cloud computing Wytyczne w sprawie kontroli w zakresie ochrony informacji dla usług cloud computing na podstawie normy ISO /IEC 27002 wytyczne : ??? SC27 wstrzymane DRAFT ISO/IEC 27018 Code of practice for data protection controls for public cloud computing services Wytyczne w zakresie ochrony danych publicznych usług cloud computing zabezpieczenia odnoszące się do ochrony prywatności i danych osobowych w chmurze. wytyczne dotyczące elementów prywatności / aspektów publicznych w odniesieniu do cloud computing, : 2013 Copyright © 2012 BSI. All rights reserved. 12/09/2012 DRAFT Projekt ma szerokie poparcie 15 System norm ISO/IEC 270xx Oznaczenie Tytuł Zawartość Typ ISO/IEC 27019 TR Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry wytyczne zarządzania bezpieczeństwem informacji w oparciu o normę ISO / IEC 27002 dla systemów kontroli procesów specyficznych dla branży energetycznej wytyczne ISO/IEC 27031 Guidelines for information and communication technology readiness for business continuity Wytyczne dotyczące informacji i gotowości technologii komunikacyjnych dla ciągłości biznesowej wytyczne Copyright © 2012 BSI. All rights reserved. 12/09/2012 Wydania : 2012 lub 2013 DRAFT :2011 BS 25999 16 System norm ISO/IEC 270xx Oznaczenie Tytuł Zawartość Typ Wydania ISO/IEC 27032 Guidelines for cybersecurity bezpieczeństwo w internecie wytyczne :2012 opublikowany ISO/IEC 27033 Network security bezpieczeństwo sieci (teleinformatycznych) Wytyczne Część 1: Przegląd i koncepcje Część 2: Wytyczne dotyczące projektowania i wdrażania bezpieczeństwa sieci Część 3: Scenariusze referencyjne sieci zagrożenia, techniki projektowania oraz kwestie zabezpieczeń Część 4:bramki bezpieczeństwa Część 5:VPN Część 6: sieci radiowe) Część 7 - ??? LAN/ WAN, Hosting 1-:2009 2-:2012 3-:2010 4-6-:Draft 7+-: wczesny etap Copyright © 2012 BSI. All rights reserved. 12/09/2012 ISO/IEC 18028:2006 17 System norm ISO/IEC 270xx Oznaczenie Tytuł ISO/IEC 27034 Zawartość Application security Copyright © 2012 BSI. All rights reserved. 12/09/2012 Bezpieczeństwo aplikacji - Część 1: Przegląd i koncepcja Część 2 - Ramy prawne Część 3 Bezpieczeństwo aplikacji procesu zarządzania (pre-draft) Część 4 -walidacja; Część 5 – Protokoły bezpieczeństwa aplikacji kontrola struktury danych (projekt); Cześć 6 - wytyczne bezpieczeństwa dla konkretnych aplikacji Typ Wytyczne Wydania 1-:2011 2-6-:Draft 18 System norm ISO/IEC 270xx Oznaczenie Tytuł Zawartość Typ Wydania ISO/IEC 27035 Information security incident management Przygotowanie na zaistnienie incydentów: polityka zarządzania incydentami, zespół; Sposób zgłaszania: zbieranie dowodów sądowych, Reagowanie Wyciąganie wniosków dokonywania zmian, które poprawiają procesy wytyczne :2011 Część 1 zastępuje ISO TR 18044 EN ISO 27799 Security Management in Heath using ISO/IEC 17799 Wytyczne dla sektora medycznego Wytyczne – uzupełnienie branżowe ISO27002 :2006 Komitet Techniczny ds. informatyki zdrowia TC215 Copyright © 2012 BSI. All rights reserved. 12/09/2012 19 Może coś zmienić? Oznaczenie ISO Guide 83 Tytuł Zawartość High level structure and identical text for management system standards and common core management system terms and definitions Struktura wysokiego poziomu i identyczny tekst dla systemów zarządzania, podstawowe terminy i definicje. Copyright © 2012 BSI. All rights reserved. 12/09/2012 Typ Strukturalna /terminologiczna Wydania :?2013 Certyfikacja (re) 2013 +3 ??? 20 Rola ISO/Guide 83 w dopasowaniu normy ISO/IEC 27001 • zakres • powołania normatywne • terminy i definicje • kontekst organizacji • przywództwo • planowanie • wsparcie • funkcjonowanie • ocena działalności • doskonalenie. Copyright © 2012 BSI. All rights reserved. 12/09/2012 21 Rola ISO/Guide 83 w opracowaniu normy ISO/IEC 27001 Punkt 4: System zarządzania BI (4.4) Określenie zakresu systemu zarządzania (4.3) Zrozumienie organizacji i kontekstu jej działania (4.1) Zrozumienie wymagań i oczekiwań zainteresowanych stron (4.2) Copyright © 2012 BSI. All rights reserved. 12/09/2012 22 Rola ISO/Guide 83 w opracowaniu normy ISO/IEC 27001 Punkt 5 określa czego oczekuje się od najwyższego kierownictwa, bez względu na dyscyplinę. Opisuje sposoby zaangażowania się najwyższego kierownictwa w system zarządzania, między innymi przez określenie polityki SZ oraz ról i odpowiedzialności i uprawnień w organizacji Punkt 6 dotyczy planowania i obejmuje działania dotyczące ryzyka, planowanie celów i ich osiągania Copyright © 2012 BSI. All rights reserved. Punkt 7 dotyczy zapewnienia zasobów niezbędnych do wdrożenia i utrzymywania systemu zarządzania w tym: kompetencje, świadomość, wewnętrzną i zewnętrzną komunikację, dokumentację SZ i nadzór nad nią 12/09/2012 Punkt 8 to rdzeń dyscypliny, której dotyczy dana norma – lecz jego zawartość jest ustandaryzowana Punkt 9 dotyczy oceny efektywności i obejmuje: monitorowanie, pomiar, analizę i ocenę, audyt wewnętrzny oraz przegląd zarządzania Punkt 10 dotyczy doskonalenia w tym niezgodności i działań korygujących oraz ciągłego doskonalenia 23 Zmiany w strukturze normy ISO/ IEC CD 27001 ISO/IEC 27001:2005 1.Zakres normy 1.Scope 2. Powołania normatywne 2.Normative references 3. Terminy i definicje 3.Terms and definitions 4. System zarządzania BI 4.Context of the organisation 4.1 Wymagania ogólne 5.Leadership 4.2 Ustanowienie i zarządzanie SZBI 4.3 Wymagania dot. dokumentacji 5. Odpowiedzialność kierownictwa 6. Wewnętrzne audity SZBI Copyright © 2012 BSI. All rights reserved. 7.Suport 8.Operation 9.Performance evaluation 7. Przeglądy SZBI r.. p. kierownictwo 8. Doskonalenie SZBI 6.Planing 12/09/2012 10.Improvement 24 Model PDCA w zarządzaniu ryzykiem, doskonaleniu, utrzymaniu. PDCA Szacowanie ryzyk Plan postępowania z ryzykiem Zmiany Doskonalenie Copyright © 2012 BSI. All rights reserved. 12/09/2012 25