Adelsberger zdenko implementacija iso27001 2013

IMPLEMENTACIJA ISMS PREMA STANDARDU ISO/IEC 27001:2013

Dr. Zdenko AdelsbergerTrener, konzultant i auditor za

RM, BCMS, ISMS, ITSMS, QSM, [email protected]

www.bluefield.hr

ICT Security 2015Kladovo, 14-16 maj 2015.

2

Agenda

Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013

• Značaj informacijske sigurnosti

• Upravljanje rizicima kao temelj informacijske sigurnosti

• Sistemski pristup upravljanju informacijskom sigurnošću

• Standardi za upravljanje informacijskom sigurnošću

• Implementacija informacijske sigurnosti

• Dokazivanje uspješnosti implementacije

• Poboljšanje informacijske sigurnosti

• Zaključak

3

Realna i virtualna domena kompanije


REALNA domena

INFORMACIJSKA(virtualna) domena

Dokumentacija+

Zapisi

4

Ilustracija mehanizma rizika (hakerskog napada)


PrijetnjaRanjivost objekta

Sigurnosni događaj(incident) Posljedica

Sigurnosne mjere(Mjere zaštite)

Izvor prijetnje

X

5

Odnos rizika i elemenata koji dovode do rizika


RIZIK

Posljedica

RanjivostPrijet

nja

RIZIK

Posl

jedi

ca

Vjer

ojat

nost

a bRizik = Prijetnja & Ranjivost & Posljedica Rizik = Vjerojatnost & Posljedica

Rizik = Prijetnja * Ranjivost * Posljedica Rizik = Vjerojatnost * Posljedica

Funkcionalna relacija

Matematička relacija

Napomena: Vjerojatnost ≠ Prijetnja * Ranjivost

6

Nivo informacijske sigurnosti


Nivo informacijske sigurnosti je kompromis između prihvatljivog rizika i investicije u sigurnost.

RIZIK

SIGURNOST

Skala prihvatljivosti rizika, odnosno sigurnosti, određuje se preko sigurnosne politike

7

Značenje pojma ISMS


ISMS = Information Security Management System

(Sistem za upravljanje sigurnošću informacija)

Naglasak je na: “SISTEM ZA UPRAVLJANJE”

ResursiPravila

Sistem upravljanja

Ulazni zahtjevi (poslovni ciljevi)

Zadovoljenje ulaznih zahtjeva

(poslovnih ciljeva)

8

Elementi sistema upravljanja


Misija

Vizija

Politike

Procesi

Strategije

Ciljevi

Ciljevi

Funkcija upravljanja je osigurati postizanje

ciljeva i poboljšanje

Sigurnost postizanja ciljeva

temelji se na:UPRAVLJANJU

RIZICIMA

Postizanje poboljšanja temelji

se na:MJERENJU

UČINKOVITOSTI

Ciljevi

10

Informacijski sistemi su uvijek postojali


ISIT

ISIT

11

Što je informacija?


Signali (znakovi)

7910 je PODATAK

7910

PIN: 7910

7910 je INFORMACIJA

(kontekst označava da je to PIN kartice)

(može biti npr. nadmorska visina, prva kozmička brzina, profit

organizacije, itd.)

00011110111001101EE6

12

Aspekti informacije


CJELOVITOSTIntegrity

RASPOLOŽIVOSTAvailability

INFORMACIJA

TAJNOSTConfidentiality

13

Relevantni nosioci informacija u poslovnom sistemu


Informacije na serverima i mreži Informacije na lokalnim

kompjuterima

Informacije prenošene telefonskim linijama i/ili

Internetom

Informacije zapisanena papiru Informacije štampane

na papiru

Informacije spremljenena diskovima, trakama,

CD-ovima, USB memorijama, ...

Informacije fax strojeva

Zaposlenici ipartneri

14

Odnos ISO/IEC 27001 prema informaciji


“Informacija je imovina koja kao i ostala važna imovina u poslovanju ima vrijednost za organizaciju i mora biti stalno odgovarajuće štićena.”

U kontekstu ISO/IEC 27001 pod štićenjem informacija se smatra očuvanje aspekata informacije: tajnosti, cjelovitosti i raspoloživosti. (C-I-A)

15

Informacijska imovina


16

Komponente sigurnosnog rješenja


Tehničkarješenja Organizacijska

rješenja

Procjenarizika

Politike

ProcedureSvjesnostLegitimnost

20% 80%SIGURNOSNORJEŠENJE

17

Upravljanje informacijskom sigurnošću obuhvaća tri široka područja


Upravljanje informacijskom

sigurnošću

Upravljanje ICT i fizičkom

zaštitom

Upravljanje legislativom, regulativom i

ugovornim obvezama

Upravljanje ljudima, procesima,

poslovanjem, operacijama, treningom / sviješću

18

Križ standarda za ISMS


Nacionalna legislativa

MODELISO/IEC 27001

Rječnik i definicijeISO/IEC 27000

PROPISIISO 19011

ISO/IEC 27007ISO/IEC 27008

AKREDITACIJAISO 17021

ISO/IEC 27006

Dodatni standardiISO/IEC 270xx

19

Kratka povijest ISO 27000ff


• 1992The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'.

• 1995This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.

• 1996Support and compliance tools begin to emerge, such as COBRA.

• 1999The first major revision of BS7799 was published. This included many major enhancements.Accreditation and certification schemes are launched.

• 2000In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).

• 2001The 'ISO 17799 Toolkit' is launched.

• 2002A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000.

• 2005A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..

• 2005ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001

• 2013ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security management system)

20

Odnosi relevantnih standarda za informacijske sisteme


IT-GSHBISO 27001ISO 13335

ITSEC/C

CobIT

Ne tehničkiTehnički

Usmjereno na produkt

Usmjereno na sistem

CobIT = Control Objectives for Information and Related Technology (http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx)ITSEC/C = Information Technology Security Evaluation Criteria /Communication (http://www.iitsec.org/Pages/default.aspx)IT-GSHB = IT-Grundschutzhandbuch (https://www.bsi.bund.de/)

http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx

http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx

http://www.iitsec.org/Pages/default.aspx

http://www.iitsec.org/Pages/default.aspx

https://www.bsi.bund.de/

https://www.bsi.bund.de/

21

Serija standarda za ISMS


22

ISO/IEC 27001:2013


Information technology -- Security techniques – Information security management systems -- Requirements

• Specifikacija zahtjeva za implementaciju, rad, nadziranje, provjeru, održavanje i unapređivanje sistema upravljanja informacionom sigurnošću (Information Security Management System - ISMS);

• osnova za procjenu usuglašenosti (audit) od strane zainteresiranih strana kada je u pitanju ISMS;

• temelj za obrazovanje specijalista za ISMS (kako za menadžere ISMS, tako i za auditore ISMS);

• Osnovna norma za ISMS (sve ostale norme ove serije su smjernice - upute).

23

Koristi od primjene ISMS standarda


• Stvaranje viška vrijednosti• Strukturiran način podržava proces specificiranja, implementacije, rada,

održavanje, isplativosti rješenja, integriranost i usklađenost ISMS-a;• Promoviranje globalno prihvaćenih dobrih praksi informacijske sigurnosti;• Povećanje povjerenja zainteresiranih strana u organizaciju;• Zadovoljavanje socijalnih potreba i očekivanja, te• Učinkovitija ulaganja menadžmenta u informacijsku sigurnost.

Prednost provedbe ISMS-a prvenstveno će biti vidljiva u smanjenju rizika informacijske sigurnosti (tj. smanjenja vjerojatnosti, i/ili štete uzrokovane

informacijskim sigurnosnim incidentima). Ostvareni dobitak organizacije za postizanje održivog uspjeha od usvajanja ISMS standarda su:

24

ISO/IEC 27001:2013


Foreword0 Introduction1 Scope2 Normative references3 Terms and definitions4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system5 Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities6 Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and planning to achieve them7 Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information8 Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk treatment9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review10 Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement

Annex A (normative) Reference control objectives and controls

Bibliography

25

Sigurnosna područja prema 27001:2013 Aneks A


1 A.5. Politike informacijske sigurnosti2 A.6. Organizacija informacijske sigurnosti3 A.7. Sigurnost ljudskih resursa4 A.8. Upravljanje imovinom5 A.9. Kontrola pristupa6 A.10. Kriptografija7 A.11. Fizička sigurnost i sigurnost okoliša8 A.12. Operativna sigurnost9 A.13. Sigurnost komunikacija10 A.14. Nabavka sistema, razvoj i održavanje11 A.15. Odnosi s dobavljačima12 A.16. Upravljanje incidentima informacijske sigurnosti13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja14 A.18. Usuglašenost

26

Dokumentacija za ISMS – dokumentirane informacije


Procedure

Radne upute,check liste,formulari

Zapisi

ISMS DOKUMENTACIJASigurnosne upute

(Manual)Sigurnosna politika,područje djelovanja,

procjena rizika,SoA

PROCEDURE:tko, šta, kada, gdje?

RADNE UPUTE:Detaljni opis zadataka i aktivnosti

ZAPISI:Evidencije o sukladnosti s ISMS zahtjevima

NIVO 2

NIVO 3

NIVO 4

NIVO 1

Op

erat

ivn

i n

ivo

Org

aniz

acij

ski

niv

o

27

ISMS je poslovni proces


ISMS

Ula

zni z

ahtje

vi

Zad

ovol

jeni

Ula

zni z

ahtje

vi

RESURSI

PRAVILA

28

PDCA model primijenjen na ISMS proces


PLAN(uspostaviti ISMS)

Uspostaviti ISMS politiku, ciljeve, procese i procedure važne za upravljanje rizikom i poboljšanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije.

DO(implementirati i izvršavati ISMS)

Implementirati i izvršavati ISMS politiku, kontrole, procese i procedure.

CHECK(nadgledati i

provjeravati ISMS)

Procijeniti i gdje je primjenjivo, mjeriti izvršavanje procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavati upravu o rezultatima radi provjere.

ACT(održavati i

poboljšavati ISMS)

Poduzeti korektivne i preventivne akcije zasnivane na rezultatima interne ISMS prosudbe (audita) i provjere uprave ili ostalim bitnim informacijama, kako bi se postiglo stalno poboljšanje ISMS-a.

Zainteresiranestrane

Zahtjevi i očekivanja od informacijske

sigurnosti

Zainteresiranestrane

Upravljana informacijska

sigurnost

Usposta-vljanje ISMS

Implementacija i pokretanje

ISMS

Kontrola i nadgledanje

ISMS

Poboljšanje i održavanje

ISMS

29

Projekt implementacije ISMS prema ISO/IEC 27001


Definiranjeopsega

Evidencijaimovine

Odgovornosti

Klasifikacija

Upravljanje dokumentacijom

Plan procjene rizika

Izjava o primjenljivosti

(SoA)

i preostalom riziku

ImplementacijaISMS Procedure

za upravljanje incidentima

Identifikacija i implementacija

poboljšanja

Sigurnosna politika uprave

Procjena rizika i plan

obrade

Prihvaćanje i odobrenje

uprave

Priprema dokumentacije

Trening i svijesnost

Monitoring, pregledi, testiranje,

audit

P D C A

30

USPOSTAVA ISMS(P – faza)


Definicija područja i obuhvata

ISMS

Korak 1

Definicija sigurnosne politike

ISMS

Korak 2

Identifikacija rizika

Korak 4

Analiza i procjena

rizika

Korak 5

Obrada rizika

Korak 6

Izbor ciljeva sigurnosnih

mjera i kontrola

Korak 7

Osiguranje autorizacije uprave za

implementaciju ISMS

Korak 9

Priprema dokumenta:

Izjava o primjenljivosti

Korak10

Osiguranje uprave za

odobrenje i prihvaćanje preostalog

rizika

Korak 8

Dokument Područje

ISMS

DokumentSigurnosna politika

Lista rizika i popisa

imovine

Izvještaj o rezultatima

procjene rizika

Izvještaj o rezultatima

obrade rizika

Standard za mjerenje

rizika

Pisano odobrenje za preostali

rizik

Izjava o primjenljivost

i(SoA)

Informacijska imovina, prijetnje, ranjivost i posljedice

Definicija metode procjene

rizika

Korak 3

Faza 1 Faza 2 Faza 3

Standardi za implementaciju upravljanja rizicima (prisup

organizacije, metode i analize za postizanja zahtjevanog

nivoa sigurnosti)

• Lista potencijalnih ciljeva i sigurnosnih mjera (kontrola)

• Lista dodatnih kontrola koje nisu definirane u ISMS certifikacijskim kriterijima

31

Faze implementacije ISMS


PDC

A

PROJEKTIMPLEMENTACIJE

ISMS

PROCES UPRAVLJANJA

ISMS

AUDIT (CERTIFIKACIJA)

Početak projekta

implementacije ISMS

PRIPREMA ZA PROJEKT

IMPLEMENTACIJE ISMS

•Animacija vrhovne uprave•Obrazovanje tima za implementaciju (procjenu rizika)

32

Mjerenje ISMS-a: zašto i kako?


Zato što standard ISO/IEC 27001

eksplicitno zahtjeva mjerenja na niz

mjesta !!!

Zato što apsolutno vrijedi konstatacija koju je izrekao

Kelvin, Lord William Thomson,1824-1907:

„Kada ono, o čemu govorite, možete izmjeriti i brojčano izraziti, onda Vi o tome i nešto znate – ali ako ne možete izmjeriti i brojčano

izraziti, onda je Vaše znanje mršavo i nezadovoljavajuće

vrste!”

Zato što su mjerenja preduvjet temeljnog zahtjeva svakog sistema upravljanja: POBOLJŠANJE

33

Što mjeriti kod ISMS ?


Učinkovitost (efektivnost) je pojam

pod kojim se podrazumijeva izvođenje pravih stvari (aktivnosti)

koje dovode do ostvarenja cilja.

Efikasnost

se definira kao ostvarenje nekog cilja

s minimumom troškova, napora ili

gubitaka.

PRAVA STVAR na PRAVI NAČIN

34

Ocjenjivanje uspješnosti ISMS – Interni audit


ISO/IEC 27001

ISO 19011

ISO/IEC 27007

ISO/IEC 27008

Nacionalna legislativa

Organizacijski dokumenti

Obligatorni zahtjevi partnera

INTERNI AUDIT

35

Kontinuirano poboljšanje


Organizacija mora kontinuirano provoditi primjereno i učinkovito poboljšanje sistema upravljanja informacijskom sigurnošću.

Upravina ocjena

Unutarnji audit

Mjerenje učinkovitosti

Upravljanje incidentima

Procjena rizikaKorektivne

akcije

PDCA ciklus poboljšanja

36

Zaključak


• Uspostavljanje i poboljšanje ISMS-a je poslovna potreba svih

organizacija u cilju očuvanje ključnog resursa – INFORMACIJE

• Uspostavljanje ISMS-a stvara doprinos povećanja viška vrijednosti

• Uspostavljanje ISMS-a ponekad je zakonska ili obligatorna obaveza

• Uspostavljeni ISMS ne garantira uspješno poslovanje, ali neuspješni

ISMS garantira propast kompanije – pitanje je samo vremena.

37

Hvala na pažnji …


Pitanja

Komentari

Engineering

Adelsberger zdenko implementacija iso27001 2013