Standaryzacja Zarządzania Bezpieczeństwem Informacji (ISO 27001) Witold Kowal – Auditor Wiodący BSI 12/09/2012

Standaryzacja Zarządzania Bezpieczeństwem
Informacji (ISO 27001)
Witold Kowal – Auditor Wiodący BSI
Copyright © 2012 BSI. All rights reserved.
12/09/2012
Standaryzacja pomaga czy ogranicza ?
•
•
•
•
PUNKTEM WYJŚCIA SYSTEMU JEST:
NORMA ISO27001 – Załącznik A
ANALIZA RYZYKA
PDCA
ANALIZA
RYZYKA
PDCA
Załacznik A
ANALIZA RYZYKA
NORMA ISO 27001
Copyright © 2012 BSI. All rights reserved.
12/09/2012
2
Może jakieś przykłady?
Noriaki
Copyright © 2012 BSI. All rights reserved.
12/09/2012
3
Potrzebujemy standaryzacji bezpieczeństwa ?
Korzyści
Zagrożenia
PORÓWNYWALNOŚĆ – z innymi organizacjami
DOSTĘPNOŚĆ – systemu zabezpieczeń
NIEZALEŻNOŚĆ – ocena trzeciej strony
UN IWERSALNOŚĆ – nie dopasowanie - sektory
KOMPLETNOŚĆ – Załącznik A +++
ZŁUDZENIE – SoA nie zabezpiecza
LUDZIE – nacisk na szkolenia
TECHNOLOGIA – załącznik A
ANALIZA RYZYK – punkt wyjścia
ANALIZA RYZYK – jako wymaganie
CELE – Mierzalność - skuteczność
CELE – brak powiązania z Analizą Ryzyk
CERTYFIKACJA – niezależna ocena
CERTYFIKACJA – dokument na ścianę
ZABEZPIECZENIA – uzasadnienia wyboru
ZABEZPIECZENIA – uzasadnienia wyłączeń
Copyright © 2012 BSI. All rights reserved.
12/09/2012
4
POTRZEBUJEMY BEZPIECZENSTWA I/LUB STANDARYZACJI BEZPIECZEŃSTWA?
Copyright © 2012 BSI. All rights reserved.
12/09/2012
5
Australia (SA)
Austria (ASI)
Belgia (NBN)
Brazylia (ABNT)
Kanada (SCC)
Chiny (SAC)
Cypr (CYS)
Czechy (UNMZ)
Wybrzeże Kości Słoniowej (CODINORM)
Dania (DS)
Estonia (EVS)
Finlandia (SFS)
Francja (AFNOR)
Indie (BIS)
Irlandia (NSAI)
Izrael (SII)
Włochy (UNI)
Japonia (JISC)
Kazachstan (KAZMEMST)
Kenia (KEBS)
Republika Korei (KATS)
Luksemburg (ILNAS)
Malezja (DSM)
Mauritius (MSB)
Meksyk (DGN)
Maroko (IMANOR)
Holandia (NEN)
Nowa Zelandia (SNZ)
Norwegia (SN)
Polska (PKN)
Rumunia (ASRO)
Rosja (GOST R)
Singapur (SPRING SG)
Słowacja (SUTN)
Słowenia (SIST)
Afryka Południowa (SABS)
Hiszpania (AENOR)
Sri Lanka (SLSI)
Szwecja (SIS)
Szwajcaria (SNV)
Tajlandia (TISI)
USA (ANSI)
Ukraina (DSSU)
Zjednoczone Emiraty Arabskie (ESMA)
Wielka Brytania (BSI)
Urugwaj (UNIT)
Algieria (IANOR)
JTC 1/SC 27 - Techniki zabezpieczeń IT
Kraje uczestniczące: 48
Copyright © 2012 BSI. All rights reserved.
Kraje obserwatorzy: 17
12/09/2012
Argentina ( IRAM )
Belarus ( BELST )
Bosnia and Herzegovina ( BAS )
Costa Rica ( INTECO )
El Salvador ( OSN ) (Correspondent member)
Ghana ( GSA )
Hong Kong, China ( ITCHKSAR ) (Correspondent
member)
Hungary ( MSZT )
Iceland ( IST )
Indonesia ( BSN )
Iran, Islamic Republic of ( ISIRI )
Lithuania ( LST )
Portugal ( IPQ )
Saudi Arabia ( SASO )
Serbia ( ISS )
Swaziland ( SWASA ) (Correspondent member)
Turkey ( TSE )
6
JTC 1/SC 27 - Techniki zabezpieczeń IT
Kraje uczestniczące: 48
Kraje obserwatorzy: 17
Podkomisja / Groupa Robocza
Nazwa/Zakres
JTC 1/SC 27/WG 1
Information security management systems
Systemy zarządzania bezpieczeństwem informacji
JTC 1/SC 27/WG 2
Cryptography and security mechanisms
Kryptografia i mechanizmy bezpieczeństwa
JTC 1/SC 27/WG 3
Security evaluation, testing and specification
Ocena bezpieczeństwa, testowanie i specyfikacja
JTC 1/SC 27/WG 4
Security controls and services
Zabezpieczenia i usługi
Identity management and privacy technologies
Zarządzanie tożsamością i technologią ochrony
prywatności
JTC 1/SC 27/WG 5
Copyright © 2012 BSI. All rights reserved.
12/09/2012
7
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
Zawartość
ISO/IEC 27000
Overview and
vocabulary
Wprowadzenie do
norm ISO 27k,
specjalistyczne
słownictwo
słownikowa
:2009
PN w opracowaniu
ISO/IEC 27001
Specification for an
Information Security
Management System
SZBI –wymagania
dla wdrożenia i
funkcjonowania SZBI.
Wymagania
SC27 – przyszłość
harmonizacja z ISO
27002 i ISO 31000
???
Guide 83 !!!
:2005
PN:2007
(BS 7799-2: 19992002)
Nowa w 2013/14?
Obecnie 3CD
Code of Practice for
Information Security
Management
Praktyczne zasady
zarządzania
bezpieczeństwem
informacji
Wytyczne
zbiór ogólnie
przyjętych dobrych
praktyk
:2005
PL
ISO/IEC 27002
PL
Copyright © 2012 BSI. All rights reserved.
12/09/2012
Typ
Wydania
ISO-17799:2005
PN-17799:2007
8
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
Zawartość
ISO/IEC 27003
Information security
management system
implementation
guidance
wytyczne do budowy
SZBI pomocne przy
wdrożeniu
wytyczne
:2010
ISO/IEC 27004
Information security
management
measurements
Wytyczne rozwoju
pomiarów dla oceny
skuteczności SZBI
Wytyczne
Mierniki skuteczności
zabezpieczeń i grup
zabezpieczeń
:2009
Obecnie jest
przeglądana – Rzym
2012 SC27
ISO/IEC 27005
Information security
risk management
wytyczne dla procesu
zarządzania ryzykiem
wytyczne
:2008
(BS 7799-3)
ISO/IEC TR 133353/4
PL
Copyright © 2012 BSI. All rights reserved.
12/09/2012
Typ
Wydania
9
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
Zawartość
Reguirements for
bodies providing
audit and
certyfication of
information security
managemen systems
Wymagania dla
jednostek
prowadzących audyt i
certyfikację SZBI
Wytyczne/
wymagania
:2007
PN:2009
ISO/IEC 27007
Guidelines for
Information security
management
systems auditing
Dobre praktyki dla
przeprowadzania
audytów SZBI
Wytyczne
Auditu systemu
:2011
(ISO 19011:2002)
ISO/IEC 27008
(TR)
Guidelines for
auditors on
information security
management
systems controls
Wytyczne dla
audytorów Uzupełnienie do ISO
27007
(27002+A z 27001)
Wytyczne
Auditu zabezpieczeń,
BI, podejście oparte
na ryzyku
:2011
Raport techniczny
ISO/IEC 27006
PL
Copyright © 2012 BSI. All rights reserved.
12/09/2012
Typ
Wydania
10
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
ISO/IEC 27010
Zawartość
Information security
management for
inter-sector and
inter-organizational
communications
Copyright © 2012 BSI. All rights reserved.
12/09/2012
Zarządzanie
bezpieczeństwem
informacji w
komunikacji międzysektorowej i między
organizacjami
Typ
wytyczne w
odniesieniu do
dzielenia się
informacjami na
temat zagrożeń dla
bezpieczeństwa
informacji,
problemów i / lub
zdarzeń, które
obejmują granice
pomiędzy sektorami
przemysłu i / lub
narodów, zwłaszcza
tych wpływających
na infrastrukturę
krytyczną.
Wydania
:2012
11
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
Zawartość
Typ
Wydania
ISO/IEC 27011
Information security
management
guidelines for
telecommunications
rozszerzenie ISO
27001/27002 o dobre
praktyki dla
przemysłu
telekomunikacyjnego
wytyczne
:2008
ITU-T Zalecenie
X.1051:2004
ISO/IEC 27013
Guideline on the
integrated
implementation of
ISO/IEC 20000-1 and
ISO/IEC 27001
Wytyczne dotyczące
zintegrowanego
wdrożenia ISO/IEC
20000-1 oraz ISO /
IEC 27001
wytyczne w sprawie
wdrożenia
zintegrowanego
bezpieczeństwa
informacji i systemu
zarządzania usługami
IT, oparta na
ISO/IEC27001:2005
oraz ISO/IEC 20001:2011
: w 2012
Obecnie FDIS
Copyright © 2012 BSI. All rights reserved.
12/09/2012
12
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
Zawartość
Typ
Wydania
ISO/IEC 27014
Governance of
information security
Nadzór nad
bezpieczeństwem
informacji (ład
korporacyjny w
bezpieczeństwie
informacji)
Wytyczne zarządzanie
korporacyjne,
grupowe,
zarządzanie na
najwyższym poziomie
: w 2012
Obecnie DIS
ISO/IEC 27015
(TR)
Information security
management
guidelines for
financial services
Wytyczne
zarządzania
bezpieczeństwem
informacji w zakresie
usług finansowych
wytyczne dodatkowe
do ISO / IEC 27002
w kilku obszarach –
(np. 6.2.2, kontakty z
klientami)
:2012
Obecnie FINAL
DRAFT
Copyright © 2012 BSI. All rights reserved.
12/09/2012
13
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
ISO/IEC 27016
(TR)
Zawartość
Information
security
management –
organizational
economics
Copyright © 2012 BSI. All rights reserved.
12/09/2012
Zarządzanie
bezpieczeństwem
informacji z
uwzględnieniem
przewidywanych
wyników
finansowych,
ekonomicznych
Typ
wytyczne
Wydania
: w 2013
14
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
Zawartość
Typ
Wydania
ISO/IEC 27017
Security in cloud
computing
Wytyczne w sprawie
kontroli w zakresie
ochrony informacji
dla usług cloud
computing na
podstawie normy ISO
/IEC 27002
wytyczne
: ???
SC27 wstrzymane
DRAFT
ISO/IEC 27018
Code of practice for
data protection
controls for public
cloud computing
services
Wytyczne w zakresie
ochrony danych
publicznych usług
cloud computing
zabezpieczenia
odnoszące się do
ochrony prywatności
i danych osobowych
w chmurze.
wytyczne dotyczące
elementów
prywatności /
aspektów publicznych
w odniesieniu do
cloud computing,
: 2013
Copyright © 2012 BSI. All rights reserved.
12/09/2012
DRAFT
Projekt ma szerokie
poparcie
15
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
Zawartość
Typ
ISO/IEC 27019
TR
Information security
management
guidelines based on
ISO/IEC 27002 for
process control
systems specific to
the energy industry
wytyczne zarządzania
bezpieczeństwem
informacji w oparciu
o normę ISO / IEC
27002 dla systemów
kontroli procesów
specyficznych dla
branży energetycznej
wytyczne
ISO/IEC 27031
Guidelines for
information and
communication
technology readiness
for business
continuity
Wytyczne dotyczące
informacji i gotowości
technologii
komunikacyjnych dla
ciągłości biznesowej
wytyczne
Copyright © 2012 BSI. All rights reserved.
12/09/2012
Wydania
: 2012 lub 2013
DRAFT
:2011
BS 25999
16
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
Zawartość
Typ
Wydania
ISO/IEC 27032
Guidelines for
cybersecurity
bezpieczeństwo w
internecie
wytyczne
:2012
opublikowany
ISO/IEC 27033
Network security
bezpieczeństwo sieci
(teleinformatycznych)
Wytyczne
Część 1: Przegląd i
koncepcje
Część 2: Wytyczne
dotyczące projektowania i
wdrażania
bezpieczeństwa sieci
Część 3: Scenariusze
referencyjne sieci zagrożenia, techniki
projektowania oraz
kwestie zabezpieczeń
Część 4:bramki
bezpieczeństwa
Część 5:VPN
Część 6: sieci radiowe)
Część 7 - ??? LAN/ WAN,
Hosting
1-:2009
2-:2012
3-:2010
4-6-:Draft
7+-: wczesny etap
Copyright © 2012 BSI. All rights reserved.
12/09/2012
ISO/IEC
18028:2006
17
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
ISO/IEC 27034
Zawartość
Application security
Copyright © 2012 BSI. All rights reserved.
12/09/2012
Bezpieczeństwo
aplikacji - Część 1:
Przegląd i koncepcja
Część 2 - Ramy prawne
Część 3 Bezpieczeństwo
aplikacji procesu
zarządzania (pre-draft)
Część 4 -walidacja;
Część 5 – Protokoły
bezpieczeństwa
aplikacji kontrola
struktury danych
(projekt);
Cześć 6 - wytyczne
bezpieczeństwa dla
konkretnych aplikacji
Typ
Wytyczne
Wydania
1-:2011
2-6-:Draft
18
System norm ISO/IEC 270xx
Oznaczenie
Tytuł
Zawartość
Typ
Wydania
ISO/IEC 27035
Information
security incident
management
Przygotowanie na
zaistnienie
incydentów: polityka
zarządzania
incydentami, zespół;
Sposób zgłaszania:
zbieranie dowodów
sądowych,
Reagowanie
Wyciąganie
wniosków dokonywania zmian,
które poprawiają
procesy
wytyczne
:2011
Część 1 zastępuje
ISO TR 18044
EN ISO 27799
Security Management
in Heath using
ISO/IEC 17799
Wytyczne dla sektora
medycznego
Wytyczne –
uzupełnienie
branżowe ISO27002
:2006
Komitet Techniczny
ds. informatyki
zdrowia TC215
Copyright © 2012 BSI. All rights reserved.
12/09/2012
19
Może coś zmienić?
Oznaczenie
ISO Guide 83
Tytuł
Zawartość
High level structure
and identical text for
management system
standards and
common core
management system
terms and definitions
Struktura wysokiego
poziomu i identyczny
tekst dla systemów
zarządzania,
podstawowe terminy
i definicje.
Copyright © 2012 BSI. All rights reserved.
12/09/2012
Typ
Strukturalna
/terminologiczna
Wydania
:?2013
Certyfikacja (re)
2013 +3 ???
20
Rola ISO/Guide 83 w dopasowaniu normy ISO/IEC 27001
• zakres
• powołania normatywne
• terminy i definicje
• kontekst organizacji
• przywództwo
• planowanie
• wsparcie
• funkcjonowanie
• ocena działalności
• doskonalenie.
Copyright © 2012 BSI. All rights reserved.
12/09/2012
21
Rola ISO/Guide 83 w opracowaniu normy ISO/IEC 27001
Punkt 4:
System
zarządzania BI
(4.4)
Określenie
zakresu systemu
zarządzania (4.3)
Zrozumienie
organizacji i
kontekstu jej
działania (4.1)
Zrozumienie wymagań i
oczekiwań
zainteresowanych
stron (4.2)
Copyright © 2012 BSI. All rights reserved.
12/09/2012
22
Rola ISO/Guide 83 w opracowaniu normy ISO/IEC 27001
Punkt 5 określa czego
oczekuje się od
najwyższego kierownictwa,
bez względu na dyscyplinę.
Opisuje sposoby
zaangażowania się
najwyższego kierownictwa
w system zarządzania,
między innymi przez
określenie polityki SZ oraz
ról i odpowiedzialności i
uprawnień w organizacji
Punkt 6 dotyczy
planowania i obejmuje
działania dotyczące ryzyka,
planowanie celów i ich
osiągania
Copyright © 2012 BSI. All rights reserved.
Punkt 7 dotyczy
zapewnienia zasobów
niezbędnych do wdrożenia
i utrzymywania systemu
zarządzania w tym:
kompetencje, świadomość,
wewnętrzną i zewnętrzną
komunikację,
dokumentację SZ i nadzór
nad nią
12/09/2012
Punkt 8 to rdzeń
dyscypliny, której dotyczy
dana norma – lecz jego
zawartość jest
ustandaryzowana
Punkt 9 dotyczy oceny
efektywności i obejmuje:
monitorowanie, pomiar,
analizę i ocenę, audyt
wewnętrzny oraz przegląd
zarządzania
Punkt 10 dotyczy
doskonalenia w tym
niezgodności i działań
korygujących oraz ciągłego
doskonalenia
23
Zmiany w strukturze normy
ISO/ IEC CD 27001
ISO/IEC 27001:2005
1.Zakres normy
1.Scope
2. Powołania normatywne
2.Normative references
3. Terminy i definicje
3.Terms and definitions
4. System zarządzania BI
4.Context of the organisation
4.1 Wymagania ogólne
5.Leadership
4.2 Ustanowienie i zarządzanie SZBI
4.3 Wymagania dot. dokumentacji
5. Odpowiedzialność kierownictwa
6. Wewnętrzne audity SZBI
Copyright © 2012 BSI. All rights reserved.
7.Suport
8.Operation
9.Performance evaluation
7. Przeglądy SZBI r.. p. kierownictwo
8. Doskonalenie SZBI
6.Planing
12/09/2012
10.Improvement
24
Model PDCA w zarządzaniu ryzykiem, doskonaleniu, utrzymaniu.
PDCA
Szacowanie ryzyk
Plan postępowania z
ryzykiem
Zmiany
Doskonalenie
Copyright © 2012 BSI. All rights reserved.
12/09/2012
25