Upload
andris-soroka
View
199
Download
9
Embed Size (px)
Citation preview
… W H E N E X P E R I E N C E M A T T E R S
STARPTAUTISKIE STANDARTI INFORMĀCIJAS DROŠĪBAIISO 27001 Informācijas drošības pārvaldības sistēma
… W H E N E X P E R I E N C E M A T T E R S
ISO publicējusi vairāk kā 21’000 Starptautisko Standartu
… W H E N E X P E R I E N C E M A T T E R S
ISO dalībvalstis
… W H E N E X P E R I E N C E M A T T E R S
Pārvaldības sistēmu sertifikācija un akreditācija
Akreditācijas birojs
Sertifikācijas institūcija 1
Organizācija 1
Organizācija 2
Sertifikācijas institūcija 2
Organizācija 3
Valsts organizācijasLATAK, UKAS, Swiss
Accreditation …
Privāto tiesību subjektiBM Trada, BVQI, Loyds,…
Akreditē
Sertificē
ISO Starptautiskos Standartus Apstiprina ISO dalībvalstu Nacionālās Standartu organizācijas (LVS)
Sertifikāts (piemērs)
Akreditācijas zīme
Derīguma termiņš
Sertifikācijas institūcijas logo
Standarts un darbības sfēra
Starptautiskās Atzīšanas zīme
… W H E N E X P E R I E N C E M A T T E R S
… W H E N E X P E R I E N C E M A T T E R S7
Kas ir informācijas sistēma?
… W H E N E X P E R I E N C E M A T T E R S
Informācijas sistēma var būt šāda…
8
… W H E N E X P E R I E N C E M A T T E R S
… arī šāda…
9
… W H E N E X P E R I E N C E M A T T E R S
… un protams arī šāda!
10
… W H E N E X P E R I E N C E M A T T E R S
Informācijas sistēma ir …• ISO27000: Jebkurš komponentu kopums, kas tiek izmantots lai
rīkotos ar informāciju. Informācijas sistēmas ietver lietojumprogrammas, pakalpojumus vai citus resursus informācijas apstrādei
(An information system is any set of components that is used to handle information. Information systems include applications, services, or any other assets that handle information)
• Definīcija 2: … iekārtu, procedūru un personāla kopums, kas ir izveidots, strādā un tiek uzturēts, lai vāktu, uzkrātu, apstrādātu, uzglabātu un izmantotu informāciju
• Valsts informācijas sistēmu likums: Strukturizēts informācijas tehnoloģiju un datu bāzu kopums, kuru lietojot tiek nodrošināta valsts funkciju izpildei nepieciešamās informācijas ierosināšana, radīšana, apkopošana, uzkrāšana, apstrādāšana, izmantošana un iznīcināšana (turpmāk — informācijas aprite) 11
… W H E N E X P E R I E N C E M A T T E R S
Kurš ir atbildīgs par informācijas drošību informācijas sistēmās?
12
… W H E N E X P E R I E N C E M A T T E R S
Administratori
13
… W H E N E X P E R I E N C E M A T T E R S
Kārtības uzturētāji
14
:
… W H E N E X P E R I E N C E M A T T E R S
Lietotāji
15
… W H E N E X P E R I E N C E M A T T E R S
Drošības kontekstā pamat-apdraudējumiir darbinieku un klientu dati kas ir to rīcībā
16
Avots PWC : The Global State of Information Security Survey 2016
… W H E N E X P E R I E N C E M A T T E R S
Riski pieaug
17
Avots PWC : The Global State of Information Security Survey 2016
… W H E N E X P E R I E N C E M A T T E R S
Tehnoloģijas vien nevar atrisināt drošības riskusJābūt standartizētām procedūrām
18
Avots PWC : The Global State of Information Security Survey 2016
… W H E N E X P E R I E N C E M A T T E R S19
Kas ir informācijas drošība?
… W H E N E X P E R I E N C E M A T T E R S
Informāciju var sargāt ieslēdzot seifā!
20
… W H E N E X P E R I E N C E M A T T E R S
Noliekot sargus priekšā visam!
21
… W H E N E X P E R I E N C E M A T T E R S
Veidojot rezerves kopijas!
22
… W H E N E X P E R I E N C E M A T T E R S
Visu rūpīgi uzraugot!
23
… W H E N E X P E R I E N C E M A T T E R S
Informācijas drošība nozīmē…Informācijas drošības mērķis ir aizsargāt un saglabāt informācijas konfidencialitāti, integritāti un pieejamību.Informācijas drošība var iekļaut arī informācijas autentiskuma un uzticamības aizsardzību un iesaistīto pušu
24
Konfidencialitāte
Integritāte
Pieejamība
… W H E N E X P E R I E N C E M A T T E R S
Kas ir ISO27001:2013?• Standarta oficiālais nosaukums:
ISO/IEC 27001:2013 „Information technology— Security techniques — Information security management systems — Requirements”
• Latviski:LVS ISO/IEC 27001:2013 „Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas. Prasības”
… W H E N E X P E R I E N C E M A T T E R S
ISO27001 vēsture• 1992.g. Apvienotās Karalistes Tirdzniecības un industrijas departaments
publicē „Informācijas drošības pārvaldības prakses kodeksu” (Code of Practice for Information Security Management).
• 1995.g. atjaunota dokumenta versija publicē BSI (British Standards Institute), piešķirot tam BS7799 kodu.
• 1999.g. Būtiskas izmaiņas, paredzot akreditācijas un sertifikācijas procedūras• 2000.g. standarta 1. daļa adaptēta kā ISO/IEC 17799.
• LVS ISO/IEC 17799:2002 “Informācijas tehnoloģija. Prakses kodekss informācijas drošības pārvaldībai” noteiktās prasības
• 2005.g. jauna standarta versija, mainot standarta kodu uz ISO 27001 un saskaņojot prasības ar ISO 9001 (Kvalitātes vadības sistēmas prasības) un ISO 14000 (Vides pārvaldības sistēmas prasības).
• 2013.g. būtiskas izmaiņas, ņemot vērā industrijas tendences, kā arī, atvieglojot un piemērojot to ieviešanai mazos un vidējos uzņēmumos.
… W H E N E X P E R I E N C E M A T T E R S
ISO 27001:2013 standarta principi• Informācijas konfidencialitāte – aizsardzība pret neatļautu piekļuvi.• Informācijas savietojamība – novērst traucējošu un nevēlamu
informācijas pārveidošanu.• Informācijas pieejamība – nodrošināt ērtu pieeju informācijai un
pakalpojumiem pilnvarotajām personām.
Ar BM TRADA palīdzību Jūs varat pierādīt sava uzņēmuma Informācijas drošības sistēmas atbilstību ISO 27001 standartam un iegūt:
• Darbības nepārtrauktību un efektivitāti• Klientu un sadarbības partneru uzticību• Atbilstību normatīvajiem aktiem• Priekšrocību pār konkurentiem, parādot klientiem, ka informāciju
uzskatāt par ļoti svarīgu resursu
… W H E N E X P E R I E N C E M A T T E R S
Standarta piemērojamība• Standarts tikt piemērots jebkurā organizācijā, neatkarīgi no
tās izmēra un darbības veida• Kritiskās nozares
• Informācijas un telekomunikāciju pakalpojumi• Datu apstrāde (piemēram, papīra informācijas digitalizācija,
grāmatvedības un personāla vadības ārpakalpojumi u.c.);• Zvanu centru pakalpojumi• Pacientu datu apstrāde (telemedicīna, elektroniska pacientu datu
uzglabāšana, pārsūtīšana u.c.)• Finanšu pakalpojumu sniegšana• Publiskā pārvalde• Energoapgāde
… W H E N E X P E R I E N C E M A T T E R S
Kāpēc nepieciešams• Pārliecība par to, ka informācijas drošības riski ir
identificēti, atbilstoši novērtēti un pārvaldīti• Drošības izdevumu samērīgums ar riskiem• Aizsardzība pret iespējamiem kiberuzbrukumu
apdraudējumiem• Atbilstības demonstrēšana likumdošanas prasībām,
industriālajiem un nozares standartiem• Pārliecība, ka tiks nodrošinātas līgumiskās saistības un
korporatīvās pārvaldības prasības• Atbilstība iepirkuma kvalifikācijas prasībām tajos gadījumos,
ja informācijas drošības pārvaldības sistēmas esamība ir pretendentu atlases kritērijs
… W H E N E X P E R I E N C E M A T T E R S
ISO 27001 standarta pieejamība• International Organization for Standardization interneta
katalogā www.iso.ch (118-142 CHF)• Standartizācijas, akreditācijas un metroloģijas centrs (LVS e-
veikals)• u.c. Nacionālo Standartu organizāciju mājas lapās
• https://standards.cen.eu/dyn/www/f?p=CENWEB:5
… W H E N E X P E R I E N C E M A T T E R S
Standartu saimeISO/IEC 27000:2014Information technology -- Security techniques -- Information security management systems -- Overview and vocabularyISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems -- RequirementsISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controlsISO/IEC 27003:2010 Information technology -- Security techniques -- Information security management system implementation guidanceISO/IEC 27004:2009 Information technology -- Security techniques -- Information security management -- Measurement
… W H E N E X P E R I E N C E M A T T E R S
Un vēl ….ISO/IEC 27005:2011Information technology -- Security techniques -- Information security risk managementISO/IEC 27006:2011Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systemsISO/IEC 27007:2011Information technology -- Security techniques -- Guidelines for information security management systems auditingISO/IEC TR 27008:2011Information technology -- Security techniques -- Guidelines for auditors on information security controlsISO/IEC 27010:2012Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communications
… W H E N E X P E R I E N C E M A T T E R S
Turpinājums ….ISO/IEC 27011:2008Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002ISO/IEC 27013:2012Information technology -- Security techniques -- Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1ISO/IEC 27014:2013Information technology -- Security techniques -- Governance of information securityISO/IEC TR 27015:2012Information technology -- Security techniques -- Information security management guidelines for financial servicesISO/IEC TR 27016:2014Information technology -- Security techniques -- Information security management -- Organizational economicsISO/IEC 27018:2014Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
… W H E N E X P E R I E N C E M A T T E R S
Papildus ?ISO/IEC TR 27019:2013Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry
…. Viss
… W H E N E X P E R I E N C E M A T T E R S
LVS ISO/IEC 27001:2013 „Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas. Prasības”
Standarts adaptēts Latvijas Republikā (skat. www.samc.gov.lv)
International Organization for Standardization
International Electrotechnical Comission (Commission électrotechnique internationale)
Sērija – 27k – «informācijas drošība»
Apstiprināšanas gads
Galvenie jēdzieni
… W H E N E X P E R I E N C E M A T T E R S
Standarta struktūraStandarts satur 11 daļas un 1 pielikumu:• 0. Ievads• 1. Darbības sfēra (scope)• 2. Normatīvās atsauces• 3. Termini un definīcijas • 4. Organizācijas konteksts • 5. Vadības atbildība (leadership) • 6. Plānošana • 7. Uzturēšana • 8. Darbināšana • 9. Darbības novērtējums • 10. Uzlabošana• Pielikums A (Annex A) – Atsauces kontroles mērķi un kontroles
(Reference Control Objectives and controls)
… W H E N E X P E R I E N C E M A T T E R S
Riski• Iepriekš ISO27000:2012 definēts kā ‘combination of the probability
of an event and its consequence’• Jaunā definīcija atbilstoši ISO31000: ‘effect of uncertainty on
objectives’• Piezīme 1: Novirzes no mērķiem var būt pozitīvas un negatīvas• Piezīme 2: Mērķiem var būt dažādi aspekti: piemēram, finansiāli,
darba drošības un veselības, informācijas drošības un vides. Mērķi var attiekties uz dažādiem organizācijas struktūras līmeņiem, projektiem, produktiem un/vai procesiem.
• Piezīme 3: Riski bieži tiek raksturoti kā notikuma un seku kombinācija• Piezīme 4: Informācijas drošības riski parasti tiek raksturoti kā
informācijas drošības notikuma seku un varbūtības kombinācija.
… W H E N E X P E R I E N C E M A T T E R S
6.3 Informācijas drošības mērķi• Jānosaka atbilstošos funkcionālajos līmeņos• Mērķiem jābūt:
• Saskanīgiem ar informācijas drošības politiku• Jābūt mērāmiem (ja piemērojams)• Jāņem vērā piemērojamās informācijas drošības prasības, risku
novērtēšanas un risku novēršanas plāna rezultāti• Jābūt komunicētiem• Jābūt atbilstoši aktualizētiem
• Informācijas drošības mērķi ir jādokumentē
… W H E N E X P E R I E N C E M A T T E R S
6.3.1 Plānojot informācijas drošības mērķus:• Jānosaka, ko ir nepieciešams izdarīt• Kādi resursi ir nepieciešami• Kas ir atbildīgs• Kad tas ir jāizdara• Kā tiks novērtēti rezultāti
• SMART: Specific/ Measurable/ Actionable/ Results-oriented/ Timely• Nav tieša ISO27001 prasība
… W H E N E X P E R I E N C E M A T T E R S
7.Atbalsts
7.1 ResursiOrganizācijai ir jānosaka un jānodrošina nepieciešamie resursi informācijas drošības pārvaldības sistēmas izveidei, ieviešanai, uzturēšanai un nepārtrauktai uzlabošanai• Budžeti• Cilvēkresursi• Materiālie un tehniskie resursi
… W H E N E X P E R I E N C E M A T T E R S
7.2 Kompetence• Jānosaka, kāda kompetence ir nepieciešama darbiniekiem,
kas strādā organizācijas pārvaldībā un ietekmē tās informācijas drošību• Prasība ir attiecināma arī uz līgumdarbiniekiem un
ārpakalpojumu sniedzējiem• Jānodrošina minēto personu kompetence, balstoties uz
atbilstošu izglītību, apmācību vai pieredzi• Ja piemērojams, jānodrošina pasākumi nepieciešamās
kompetencesBM Trada Latvija piedāvā virkni dažādus izglītojošos seminārus darbinieku kompetences celšanai: Tuvākais 4,5 CPE stundu apmācības seminārs par ISO 27001 būs 29.aprīlī plašāka informācija http://bmtrada.lv/apmacibas/