Adelsberger zdenko implementacija iso27001 2013
-
Upload
dejan-jeremic -
Category
Engineering
-
view
99 -
download
11
Transcript of Adelsberger zdenko implementacija iso27001 2013
IMPLEMENTACIJA ISMS PREMA STANDARDU ISO/IEC 27001:2013
Dr. Zdenko AdelsbergerTrener, konzultant i auditor za
RM, BCMS, ISMS, ITSMS, QSM, [email protected]
www.bluefield.hr
ICT Security 2015Kladovo, 14-16 maj 2015.
2
Agenda
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
• Značaj informacijske sigurnosti
• Upravljanje rizicima kao temelj informacijske sigurnosti
• Sistemski pristup upravljanju informacijskom sigurnošću
• Standardi za upravljanje informacijskom sigurnošću
• Implementacija informacijske sigurnosti
• Dokazivanje uspješnosti implementacije
• Poboljšanje informacijske sigurnosti
• Zaključak
3
Realna i virtualna domena kompanije
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
REALNA domena
INFORMACIJSKA(virtualna) domena
Dokumentacija+
Zapisi
4
Ilustracija mehanizma rizika (hakerskog napada)
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
PrijetnjaRanjivost objekta
Sigurnosni događaj(incident) Posljedica
Sigurnosne mjere(Mjere zaštite)
Izvor prijetnje
X
5
Odnos rizika i elemenata koji dovode do rizika
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
RIZIK
Posljedica
RanjivostPrijet
nja
RIZIK
Posl
jedi
ca
Vjer
ojat
nost
a bRizik = Prijetnja & Ranjivost & Posljedica Rizik = Vjerojatnost & Posljedica
Rizik = Prijetnja * Ranjivost * Posljedica Rizik = Vjerojatnost * Posljedica
Funkcionalna relacija
Matematička relacija
Napomena: Vjerojatnost ≠ Prijetnja * Ranjivost
6
Nivo informacijske sigurnosti
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Nivo informacijske sigurnosti je kompromis između prihvatljivog rizika i investicije u sigurnost.
RIZIK
SIGURNOST
Skala prihvatljivosti rizika, odnosno sigurnosti, određuje se preko sigurnosne politike
7
Značenje pojma ISMS
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
ISMS = Information Security Management System
(Sistem za upravljanje sigurnošću informacija)
Naglasak je na: “SISTEM ZA UPRAVLJANJE”
ResursiPravila
Sistem upravljanja
Ulazni zahtjevi (poslovni ciljevi)
Zadovoljenje ulaznih zahtjeva
(poslovnih ciljeva)
8
Elementi sistema upravljanja
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Misija
Vizija
Politike
Procesi
Strategije
Ciljevi
Ciljevi
Funkcija upravljanja je osigurati postizanje
ciljeva i poboljšanje
Sigurnost postizanja ciljeva
temelji se na:UPRAVLJANJU
RIZICIMA
Postizanje poboljšanja temelji
se na:MJERENJU
UČINKOVITOSTI
Ciljevi
10
Informacijski sistemi su uvijek postojali
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
ISIT
ISIT
11
Što je informacija?
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Signali (znakovi)
7910 je PODATAK
7910
PIN: 7910
7910 je INFORMACIJA
(kontekst označava da je to PIN kartice)
(može biti npr. nadmorska visina, prva kozmička brzina, profit
organizacije, itd.)
00011110111001101EE6
12
Aspekti informacije
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
CJELOVITOSTIntegrity
RASPOLOŽIVOSTAvailability
INFORMACIJA
TAJNOSTConfidentiality
13
Relevantni nosioci informacija u poslovnom sistemu
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Informacije na serverima i mreži Informacije na lokalnim
kompjuterima
Informacije prenošene telefonskim linijama i/ili
Internetom
Informacije zapisanena papiru Informacije štampane
na papiru
Informacije spremljenena diskovima, trakama,
CD-ovima, USB memorijama, ...
Informacije fax strojeva
Zaposlenici ipartneri
14
Odnos ISO/IEC 27001 prema informaciji
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
“Informacija je imovina koja kao i ostala važna imovina u poslovanju ima vrijednost za organizaciju i mora biti stalno odgovarajuće štićena.”
U kontekstu ISO/IEC 27001 pod štićenjem informacija se smatra očuvanje aspekata informacije: tajnosti, cjelovitosti i raspoloživosti. (C-I-A)
15
Informacijska imovina
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
16
Komponente sigurnosnog rješenja
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Tehničkarješenja Organizacijska
rješenja
Procjenarizika
Politike
ProcedureSvjesnostLegitimnost
20% 80%SIGURNOSNORJEŠENJE
17
Upravljanje informacijskom sigurnošću obuhvaća tri široka područja
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Upravljanje informacijskom
sigurnošću
Upravljanje ICT i fizičkom
zaštitom
Upravljanje legislativom, regulativom i
ugovornim obvezama
Upravljanje ljudima, procesima,
poslovanjem, operacijama, treningom / sviješću
18
Križ standarda za ISMS
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Nacionalna legislativa
MODELISO/IEC 27001
Rječnik i definicijeISO/IEC 27000
PROPISIISO 19011
ISO/IEC 27007ISO/IEC 27008
AKREDITACIJAISO 17021
ISO/IEC 27006
Dodatni standardiISO/IEC 270xx
19
Kratka povijest ISO 27000ff
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
• 1992The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'.
• 1995This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.
• 1996Support and compliance tools begin to emerge, such as COBRA.
• 1999The first major revision of BS7799 was published. This included many major enhancements.Accreditation and certification schemes are launched.
• 2000In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).
• 2001The 'ISO 17799 Toolkit' is launched.
• 2002A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000.
• 2005A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..
• 2005ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001
• 2013ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security management system)
20
Odnosi relevantnih standarda za informacijske sisteme
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
IT-GSHBISO 27001ISO 13335
ITSEC/C
CobIT
Ne tehničkiTehnički
Usmjereno na produkt
Usmjereno na sistem
CobIT = Control Objectives for Information and Related Technology (http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx)ITSEC/C = Information Technology Security Evaluation Criteria /Communication (http://www.iitsec.org/Pages/default.aspx)IT-GSHB = IT-Grundschutzhandbuch (https://www.bsi.bund.de/)
21
Serija standarda za ISMS
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
22
ISO/IEC 27001:2013
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Information technology -- Security techniques – Information security management systems -- Requirements
• Specifikacija zahtjeva za implementaciju, rad, nadziranje, provjeru, održavanje i unapređivanje sistema upravljanja informacionom sigurnošću (Information Security Management System - ISMS);
• osnova za procjenu usuglašenosti (audit) od strane zainteresiranih strana kada je u pitanju ISMS;
• temelj za obrazovanje specijalista za ISMS (kako za menadžere ISMS, tako i za auditore ISMS);
• Osnovna norma za ISMS (sve ostale norme ove serije su smjernice - upute).
23
Koristi od primjene ISMS standarda
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
• Stvaranje viška vrijednosti• Strukturiran način podržava proces specificiranja, implementacije, rada,
održavanje, isplativosti rješenja, integriranost i usklađenost ISMS-a;• Promoviranje globalno prihvaćenih dobrih praksi informacijske sigurnosti;• Povećanje povjerenja zainteresiranih strana u organizaciju;• Zadovoljavanje socijalnih potreba i očekivanja, te• Učinkovitija ulaganja menadžmenta u informacijsku sigurnost.
Prednost provedbe ISMS-a prvenstveno će biti vidljiva u smanjenju rizika informacijske sigurnosti (tj. smanjenja vjerojatnosti, i/ili štete uzrokovane
informacijskim sigurnosnim incidentima). Ostvareni dobitak organizacije za postizanje održivog uspjeha od usvajanja ISMS standarda su:
24
ISO/IEC 27001:2013
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Foreword0 Introduction1 Scope2 Normative references3 Terms and definitions4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system5 Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities6 Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and planning to achieve them7 Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information8 Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk treatment9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review10 Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement
Annex A (normative) Reference control objectives and controls
Bibliography
25
Sigurnosna područja prema 27001:2013 Aneks A
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
1 A.5. Politike informacijske sigurnosti2 A.6. Organizacija informacijske sigurnosti3 A.7. Sigurnost ljudskih resursa4 A.8. Upravljanje imovinom5 A.9. Kontrola pristupa6 A.10. Kriptografija7 A.11. Fizička sigurnost i sigurnost okoliša8 A.12. Operativna sigurnost9 A.13. Sigurnost komunikacija10 A.14. Nabavka sistema, razvoj i održavanje11 A.15. Odnosi s dobavljačima12 A.16. Upravljanje incidentima informacijske sigurnosti13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja14 A.18. Usuglašenost
26
Dokumentacija za ISMS – dokumentirane informacije
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Procedure
Radne upute,check liste,formulari
Zapisi
ISMS DOKUMENTACIJASigurnosne upute
(Manual)Sigurnosna politika,područje djelovanja,
procjena rizika,SoA
PROCEDURE:tko, šta, kada, gdje?
RADNE UPUTE:Detaljni opis zadataka i aktivnosti
ZAPISI:Evidencije o sukladnosti s ISMS zahtjevima
NIVO 2
NIVO 3
NIVO 4
NIVO 1
Op
erat
ivn
i n
ivo
Org
aniz
acij
ski
niv
o
27
ISMS je poslovni proces
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
ISMS
Ula
zni z
ahtje
vi
Zad
ovol
jeni
Ula
zni z
ahtje
vi
RESURSI
PRAVILA
28
PDCA model primijenjen na ISMS proces
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
PLAN(uspostaviti ISMS)
Uspostaviti ISMS politiku, ciljeve, procese i procedure važne za upravljanje rizikom i poboljšanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije.
DO(implementirati i izvršavati ISMS)
Implementirati i izvršavati ISMS politiku, kontrole, procese i procedure.
CHECK(nadgledati i
provjeravati ISMS)
Procijeniti i gdje je primjenjivo, mjeriti izvršavanje procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavati upravu o rezultatima radi provjere.
ACT(održavati i
poboljšavati ISMS)
Poduzeti korektivne i preventivne akcije zasnivane na rezultatima interne ISMS prosudbe (audita) i provjere uprave ili ostalim bitnim informacijama, kako bi se postiglo stalno poboljšanje ISMS-a.
Zainteresiranestrane
Zahtjevi i očekivanja od informacijske
sigurnosti
Zainteresiranestrane
Upravljana informacijska
sigurnost
Usposta-vljanje ISMS
Implementacija i pokretanje
ISMS
Kontrola i nadgledanje
ISMS
Poboljšanje i održavanje
ISMS
29
Projekt implementacije ISMS prema ISO/IEC 27001
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Definiranjeopsega
Evidencijaimovine
Odgovornosti
Klasifikacija
Upravljanje dokumentacijom
Plan procjene rizika
Izjava o primjenljivosti
(SoA)
i preostalom riziku
ImplementacijaISMS Procedure
za upravljanje incidentima
Identifikacija i implementacija
poboljšanja
Sigurnosna politika uprave
Procjena rizika i plan
obrade
Prihvaćanje i odobrenje
uprave
Priprema dokumentacije
Trening i svijesnost
Monitoring, pregledi, testiranje,
audit
P D C A
30
USPOSTAVA ISMS(P – faza)
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Definicija područja i obuhvata
ISMS
Korak 1
Definicija sigurnosne politike
ISMS
Korak 2
Identifikacija rizika
Korak 4
Analiza i procjena
rizika
Korak 5
Obrada rizika
Korak 6
Izbor ciljeva sigurnosnih
mjera i kontrola
Korak 7
Osiguranje autorizacije uprave za
implementaciju ISMS
Korak 9
Priprema dokumenta:
Izjava o primjenljivosti
Korak10
Osiguranje uprave za
odobrenje i prihvaćanje preostalog
rizika
Korak 8
Dokument Područje
ISMS
DokumentSigurnosna politika
Lista rizika i popisa
imovine
Izvještaj o rezultatima
procjene rizika
Izvještaj o rezultatima
obrade rizika
Standard za mjerenje
rizika
Pisano odobrenje za preostali
rizik
Izjava o primjenljivost
i(SoA)
Informacijska imovina, prijetnje, ranjivost i posljedice
Definicija metode procjene
rizika
Korak 3
Faza 1 Faza 2 Faza 3
Standardi za implementaciju upravljanja rizicima (prisup
organizacije, metode i analize za postizanja zahtjevanog
nivoa sigurnosti)
• Lista potencijalnih ciljeva i sigurnosnih mjera (kontrola)
• Lista dodatnih kontrola koje nisu definirane u ISMS certifikacijskim kriterijima
31
Faze implementacije ISMS
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
PDC
A
PROJEKTIMPLEMENTACIJE
ISMS
PROCES UPRAVLJANJA
ISMS
AUDIT (CERTIFIKACIJA)
Početak projekta
implementacije ISMS
PRIPREMA ZA PROJEKT
IMPLEMENTACIJE ISMS
•Animacija vrhovne uprave•Obrazovanje tima za implementaciju (procjenu rizika)
32
Mjerenje ISMS-a: zašto i kako?
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Zato što standard ISO/IEC 27001
eksplicitno zahtjeva mjerenja na niz
mjesta !!!
Zato što apsolutno vrijedi konstatacija koju je izrekao
Kelvin, Lord William Thomson,1824-1907:
„Kada ono, o čemu govorite, možete izmjeriti i brojčano izraziti, onda Vi o tome i nešto znate – ali ako ne možete izmjeriti i brojčano
izraziti, onda je Vaše znanje mršavo i nezadovoljavajuće
vrste!”
Zato što su mjerenja preduvjet temeljnog zahtjeva svakog sistema upravljanja: POBOLJŠANJE
33
Što mjeriti kod ISMS ?
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Učinkovitost (efektivnost) je pojam
pod kojim se podrazumijeva izvođenje pravih stvari (aktivnosti)
koje dovode do ostvarenja cilja.
Efikasnost
se definira kao ostvarenje nekog cilja
s minimumom troškova, napora ili
gubitaka.
PRAVA STVAR na PRAVI NAČIN
34
Ocjenjivanje uspješnosti ISMS – Interni audit
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
ISO/IEC 27001
ISO 19011
ISO/IEC 27007
ISO/IEC 27008
Nacionalna legislativa
Organizacijski dokumenti
Obligatorni zahtjevi partnera
INTERNI AUDIT
35
Kontinuirano poboljšanje
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Organizacija mora kontinuirano provoditi primjereno i učinkovito poboljšanje sistema upravljanja informacijskom sigurnošću.
Upravina ocjena
Unutarnji audit
Mjerenje učinkovitosti
Upravljanje incidentima
Procjena rizikaKorektivne
akcije
PDCA ciklus poboljšanja
36
Zaključak
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
• Uspostavljanje i poboljšanje ISMS-a je poslovna potreba svih
organizacija u cilju očuvanje ključnog resursa – INFORMACIJE
• Uspostavljanje ISMS-a stvara doprinos povećanja viška vrijednosti
• Uspostavljanje ISMS-a ponekad je zakonska ili obligatorna obaveza
• Uspostavljeni ISMS ne garantira uspješno poslovanje, ali neuspješni
ISMS garantira propast kompanije – pitanje je samo vremena.
37
Hvala na pažnji …
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013
Pitanja
Komentari