Norma ISO/IEC 27001:2007
Transkrypt
Norma ISO/IEC 27001:2007
Zarządzanie Jakością Teoria i praktyka ochrony informacji Dr Mariusz Maciejczak Informacja • „Informacja jest czynnikiem, który zwiększa naszą wiedzę o otaczającej nas rzeczywistości” W. Flakiewicz • „Bez materii nie ma nic, bez energii wszystko jest nieruchome, bez informacji jest chaos” E. Niedzielska • „Informacja to taki rodzaj zasobów, który pozwala na zwiększenie naszej wiedzy o nas i otaczającym nas świecie” J. Kisielnicki i H. Sroka Piramida Mądrości Przetworzone dane podstawą podejmowania decyzji Informacja a wiedza Człowiek od zarania dziejów wykorzystywał wiedzę dla siebie, ukrywał przed innymi i manipulował nią dla własnych (osobistych, plemiennych czy też narodowych) celów. To właśnie konieczność dzielenia się fragmentaryczną wiedzą z innymi w grupie, niezbędna dla osiągnięcia założonych (ukrytych przed innymi członkami populacji) celów, wywołała potrzebę ochrony informacji, stworzyła formy i metody niezbędne do jej realizacji. Ochrona informacji Rozwijała się różnymi drogami (od szyfru Cezara po steganografię), ale zawsze chodziło przede wszystkim o ogólnie rozumianą ochronę istotnych wartości dotyczących ludzi (pieniądza – Fenicjanie, tajemnic wiary – templariusze, tajemnic grupy – loże masońskie itd.) na poziomie maksymalnego, możliwego do osiągnięcia bezpieczeństwa. Czy pojedynczy człowiek, sam z siebie, jest w stanie na tyle opanować swoje świadome i nieświadome (mowa ciała) reakcje, aby nie poddać się bezpośredniej ocenie i odczytowi własnych emocji (kod werbalny, werbalne zachowania maskujące – wokalne i wizualne sygnały stanu) w odniesieniu do chronionych przezeń informacji? Ochrona informacji jako dziedzina nauki – SECURITOLOGIA Pierwsze publikacje podejmujące próbę wyodrębnienia nauki o zarządzaniu bezpieczeństwem życia człowieka – securitologii jako dyscypliny naukowej pochodzą z lat 90. ubiegłego wieku. Samego określenia securitologia (Секюритология ) z propozycją jego definicji użył w 1989 roku w Rosji W.I. Jaroczkin, który w sposób nowatorski wskazał na wyodrębniającą się wśród innych dyscyplin naukowych nową naukę o bezpieczeństwie życia człowieka. Szerzej informują o samym problemie i sposobach jego badania, liczne prace polskich naukowców z tej dziedziny: Janusza Świniarskiego, Stanisława Piochy, Leszka Korzeniowskiego, Jana Maciejewskiego i innych. Tekst jawny IP L0 R0 f K1 L1 R 0 R1 L 0 f ( R 0 , K 1 ) f K2 L 2 R1 R 2 L1 f ( R1 , K 2 ) L15 R14 R15 L14 f ( R14 , K15 ) K16 R15 L14 f ( R14 , K15 ) IP Szyfrogram NP. Schemat szyfrowania algorytmem DES Społeczeństwo informacyjne a bezpieczeństwo informacji W bezpiecznym społeczeństwie informacyjnym („trzeciej fali” wg A. H. Tofflerów*) wszelkie działania muszą i powinny opierać się na świadomym kontrolowaniu bezpieczeństwa ogólnego przez nadzorowanie bezpieczeństwa informacji – tej, którą gromadzimy, wykorzystujemy i udostępniamy otoczeniu. Inżynieria bezpieczeństwa informacji to przede wszystkim umiejętność analizowania otoczenia pod względem zbierania i wykorzystywania każdej z wielu dostępnych danych i jego analizy na potrzeby bieżące bezpieczeństwa instytucji/organizacji/grupy społecznej. * Alvin i Heidi Toffler: Trzecia fala (1980, wyd. polskie: 1989). Bezpieczeństwo informacji obrona informacyjna, która polega na uniemożliwieniu i utrudnieniu zdobywania danych o fizycznej naturze aktualnego i planowanego stanu rzeczy i zjawisk we własnej przestrzeni funkcjonowania oraz utrudnianiu wnoszenia entropii informacyjnej do komunikatów i destrukcji fizycznej do nośników danych Borowiecki R., Kwieciński M., Monitorowanie otoczenia, przepływ i bezpieczeństwo informacji. W stronę integralności przedsiębiorstwa, Zakamycze 2003. Poczucie bezpieczeństwa • • • • W odniesieniu do postrzegania i poszukiwania poczucia bezpieczeństwa warto wziąć pod uwagę model zaprezentowany przez D. Frei’a, który uwzględnia cztery elementy: stan braku bezpieczeństwa – w którym występuje rzeczywiste i istotne zagrożenie zewnętrzne, którego postrzeganie jest adekwatne, stan obsesji – w którym niewielkie zagrożenie postrzega się jako duże, stan fałszywego bezpieczeństwa – w którym istotne zagrożenie postrzegane jest jako niewielkie, stan bezpieczeństwa – w którym zagrożenie zewnętrzne jest niewielkie, a jego postrzeganie prawidłowe. Podział zagrożeń informacyjnych Składowe bezpieczeństwa informacji Trzeba pamiętać, że przyczyną kryzysu jest zawsze najsłabiej chroniony element 10 9 8 6 7 1 5 2 3 4 Analiza funkcjonalna w kontekście metod biometrycznych Podejście praktyczne do SZBI Istotnym, żeby nie powiedzieć głównym, elementem budowania warunków bezpieczeństwa i przeciwstawiania się zagrożeniom jest wiedza menedżera o charakterze samych zagrożeń oraz jego sposób komunikowania się z personelem zarządczym średniego szczebla i pracownikami – otwarty, bezpośredni (o ile to możliwe), na poziomie ich percepcji, co w dobie rozwoju współczesnych środków przekazu zapewnia nieosiągalną w innym układzie pełnię porozumienia (werbalny i niewerbalny kontakt osobisty). Uzupełnieniem jest wnikliwa strategiczna analiza systemowa wdrożonej polityki bezpieczeństwa, znajomość jej zasad i umiejętność skutecznego odwołania się do jej ustaleń na każdym (polityki cząstkowe/procedury) poziomie działania Sposoby budowy wysokiego poziomu systemu bezpieczeństwa informacji Polityka Standardy DLACZEGO CO JAK Procedury Wytyczne i Plany Współzależności biznesu i systemu IT Bezpieczeństwo informacji to nie tylko bezpieczeństwo IT System kontroli bezpieczeństwa informatycznego dużej firmy w USA Klasyfikacja stopnia poufności danych Informacja publiczna Informacja do Własność Informacja Informacja Tajemnica użytku zastrzeżona prywatna poufna firmy Przedsiębiorstwa wewnętrznego firmy Tajemnica Państwowa Ta sama osoba może mieć wtedy dostęp do jednych zasobów i brak dostępu do innych zasobów Program Sterujący Dostęp Udzielony Brak Dostępu Komputer PC Drzwi 1 ol i vet t i Drzwi 2 ol iv ett i Sposób automatycznej analizy odcisku palca Identyfikacja typu „coś co masz” tokeny Sprawdzanie kart magnetycznych lub chipowych Bezpieczeństwo systemu komputerowego stan systemu komputerowego, w którym ryzyko urzeczywistnienia się zagrożeń związanych z jego funkcjonowaniem jest ograniczone do akceptowalnego poziomu. Słabe punkty sieci komputerowych Klasyfikacja zagrożeń 1: ze względu na charakter przyczyny: świadoma i celowa działalność człowieka chęć rewanżu, szpiegostwo, wandalizm, terroryzm, chęć zaspokojenia własnych ambicji wydarzenie losowe - błędy i zaniedbania ludzkie, awarie sprzętu i oprogramowania, temperatura, wilgotność, zanieczyszczenie powietrza, zakłócenia w zasilaniu, klęski żywiołowe, wyładowania atmosferyczne, katastrofy Klasyfikacja zagrożeń 2: ze względu na umiejscowienie źródła zagrożenia: wewnętrzne - mające swoje źródło wewnątrz organizacji użytkującej system informacyjny zewnętrzne - mające swoje źródło na zewnątrz organizacji (poprzez sieć komputerową, za pośrednictwem wirusów komputerowych) Typy najczęściej spotykanych zagrożeń w sieci komputerowej fałszerstwo komputerowe, włamanie do systemu, czyli tzw. hacking, oszustwo, a w szczególności manipulacja danymi, manipulacja programami, oszustwa, jakim są manipulacje wynikami, sabotaż komputerowy, piractwo, podsłuch, niszczenie danych oraz programów komputerowych Najwygodniejsze dla konstruktorów systemów informatycznych są metody oparte na hasłach lub PIN Wadą jest ryzyko, że użytkownik zapomni hasło lub że intruz wejdzie nielegalnie w posiadanie hasła Opracowano z wykorzystaniem artykułów: • Blim M.: 2007. Teoria ochrony informacji. Cz. 1, 2, 3. Magazyn Zabezpieczenia. • Blim M.: 2009. Normalizacja w zarządzaniu bezpieczeństwem - nowe spojrzenie. Magazyn Zabezpieczenia. • Jabłoński M., Mielus M.: 2009: Zagrożenia bezpieczeństwa informacji w przedsiębiorstwie. Magazyn Zabezpieczenia Zarządzanie Jakością System Zarządzania Bezpieczeństwem Informacji - NORMALIZACJA Dr Mariusz Maciejczak Bezpieczeństwo Informacji Norma PN-ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji - Wymagania. Historia normy Norma PN-ISO/IEC 27001: 2007 • Jest tłumaczeniem (bez zmian) angielskiej wersji normy międzynarodowej ISO/IEC 27001 • Zastępuje normę PN-I-07799-2:2005 • Obejmuje: Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Norma PN-ISO/IEC 27001: 2007 Norma ISO/IEC 27001:2007 Międzynarodowa norma ISO 27001 określa wymagania związane z: – ustanowieniem, – wdrożeniem, – eksploatacją, – monitorowaniem, – przeglądem, – Utrzymaniem, – doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji. Norma PN-ISO/IEC 27001: 2007 Norma ISO 27001 oparta jest na podejściu procesowym i wykorzystuje model Planuj – Wykonuj – Sprawdzaj – Działaj (PDCA tj. Plan – Do – Check - Act ), który jest stosowany dla całej struktury procesów SZBI. Zgodność z innymi systemami NORMY ZWIĄZANE: • BS 7799-2:2002 – standard brytyjski na podstawie którego opracowana została norma ISO/IEC 27001:2005 • PN-ISO/IEC 27001:2007 – polskie tłumaczenie normy ISO/IEC 27001:2005 • ISO/IEC 17799:2005 – norma zawierająca wytyczne, określające w jaki sposób spełnić poszczególne wymagania normy ISO/IEC 27001:2005 NORMY SPÓJNE: • Wspieranie spójnego wdrażania z innymi normami dotyczącymi zarządzania, np. dostosowana do ISO 9001:2000 i ISO 14001:2004 • Norma 27001 została tak zaprojektowana, aby umożliwić organizacji dopasowanie lub zintegrowanie swojego SZBI z innymi systemami ISO 27001 a ISO 1779 Zawartość normy Norma składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami SZBI, przeglądami SZBI oraz ciągłym doskonaleniem SZBI. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania SZBI jest określenie metody oraz przeprowadzenie analizy ryzyka. Analiza ryzyka • • • • • • • • • • Mehari: metoda zarządzania i analizy ryzyka rozwijana przez CLUSIF - Club de la Sécurité de l'Information Francis. CRAMM: "CCTA Risk Assessment and Management Methodology" metodyka pierwotnie opracowana na potrzeby rządu Wielkiej Brytani, w okresie późniejszym skomercjalizowana. W chwili obecnej jest własnością Insight Consulting, będącego częścią światowej grupy Siemens. OCTAVE: Operationally Critical Threat, Asset and Vulnerability Evaluation metodologia analizy ryzyka, będąca własnością CERT i przez nią utrzymywana. CiticusOne: komercyjne oprogramowanie stworzone przez Citicus, bazujące na jednej z najbardziej znanych metodyk analizy ryzyka zwanej FIRM, opracowanej przez Information Security Forum. ISO TR 13335: ten wielostronicowy raport techniczny opracowany przez ISO określany jako wytyczne do zarządzania bezpieczeństwem systemów informatycznych, będzie podstawą opracowywanego standardu ISO 27005 związanego z procesem zarządzania ryzykiem. AS/NZS 4360:2004: uznany standard, dotyczący zarządzania ryzykiem, opublikowany wspólnie z Australia Standards oraz New Zealand Standards. HB 436:2004: wytyczne do zarządzania ryzykiem rozszerzające standard AS/NZS 4360. NIST SP 800-30: wytyczne do zarządzania ryzykiem w systemach IT stworzone przez NIST. Proteus Enterprise: narzędzie przeznaczone do zarządzania ryzykiem w obszarze bezpieczeństwa, opracowane przez Veridion, a dystrybuowane przez BSI. ISO 31000: jest to nowy standard ISO, obecnie na etapie projektu, zawierający wytyczne w zakresie ogólnego implementowania procesu zarządzania ryzykiem. Standard nie jest opracowywany z myślą o IT czy bezpieczeństwie informacji. Część podstawowa • 39 obszarów wymagających kontroli • 133 punkty kontrolne bezwzględnie wymagane przez normę Zawartość normy 0. wprowadzenie 1. Zakres normy 2. Powołania 3. Terminologia i definicje 4. System zarządzania bezpieczeństwem informacji 5. Odpowiedzialność kierownictwa 6. Wewnętrzne audity SZBI 7. Przegląd dokonywany przez kierownictwo 8. Doskonalenie ISMS Zał. A. Cele sterowania i sterowanie (controls) Zał. B. Przewodnik do stosowania normy Zał. C. Korespondencja z ISO 9001 i ISO 14001 Zał. D. Różnice w numeracji System Zarządzania Bezpieczeństwem Informacji 4.1. Wymagania podstawowe 4.2. Tworzenie i zarządzanie SZBI 4.2.1. Tworzenie SZBI 4.2.2. Wdrożenie i funkcjonowanie SZBI 4.2.3. Monitorowanie i przeglądy SZBI 4.2.4. Obsługa i doskonalenie SZBI 4.3 Wymagania dotyczące dokumentacji 4.3.1 Założenia 4.3.2. Nadzór nad dokumentami 4.3.3. Nadzór nad zapisami Odpowiedzialność kierownictwa • • • • 5.1. Zaangażowanie kierownictwa 5.2. Zarządzanie zasobami 5.2.1 Dostępność zasobów 5.2.2. Szkolenie, uświadomienie i kompetencje Przeglądy dokonywane przez kierownictwo • • • • 6.1. Założenia 6.2. Dane wejściowe 6.3. Dane wyjściowe 6.4. Audyty wewnętrzne Doskonalenie • 7.1. Ciągłe doskonalenie • 7.2. Działania korygujące • 7.3. Działania zapobiegawcze Ciągłe doskonalenie Ciągłe doskonalenie Planuj (ustanowienie ISMS) Opracuj politykę bezpieczeństwa, zadania, cele, procesy i procedury odpowiednie do określonego ryzyka i rosnącego bezpieczeństwa aby otrzymać wyniki zgodne zadaniami i polityką organizacji. Wykonaj (wdrożenie i stosowanie ISMS) Zastosuj i spowoduj rozpoczęcie funkcjonowania polityki bezpieczeństwa informacji, procesów i sterowania ISMS) Sprawdź (monitorowanie i przegląd ISMS) Sprawdzaj a gdzie to możliwe mierz wydajność procesów w stosunku do polityki bezpieczeństwa, zadań i doświadczeń praktycznych oraz raportuj wyniki zarządowi w celu dokonywania przeglądu Popraw (utrzymanie i doskonalenie ISMS) Wprowadzaj działania korygujące i zapobiegawcze w oparciu o wyniki przeglądów kierownictwa aby ciągle doskonalić ISMS. Załącznik A • Załącznik A - normatywny; • Cele stosowania zabezpieczeń i zabezpieczenia Lista celów i zabezpieczeń podana w tym załączniku nie wyczerpuje wszystkich możliwości i organizacja może/powinna rozważyć zastosowanie innych Załącznik A zawiera wymagane zabezpieczenia podzielone na 11 obszarów: 1. A.5 Polityka bezpieczeństwa 2. A.6 Organizacja bezpieczeństwa informacji 3. A.7 Zarządzanie aktywami 4. A.8 Bezpieczeństwo zasobów ludzkich 5. A.9 Bezpieczeństwo fizyczne i środowiskowe 6. A.10 Zarządzanie systemami i sieciami 7. A.11 Kontrola dostępu 8. A.12 Pozyskiwanie, rozwój i utrzymanie systemów informatycznych 9. A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji 10.A.14 Zarządzanie ciągłością działania 11.A.15 Zgodność Załączniki B i C • Załącznik B - informacyjny • Zasady OECD i Norma Międzynarodowa Wytyczne OECD dotyczące bezpieczeństwa systemów informacyjnych i sieci • Załącznik C - informacyjny Opisuje powiązania z normami ISO 9001:2000 ISO 14001:2004 Zalety normy PN-ISO/IEC 27001: 2007 Dużą zaletą normy jest kompleksowe podejście do bezpieczeństwa informacji. Norma porusza obszary bezpieczeństwa fizycznego, osobowego, teleinformatycznego oraz prawnego. Jednocześnie norma nie określa szczegółowych technicznych wymagań, lecz wskazuje na obszary, które należy uregulować. Sposób zabezpieczenia tych obszarów zależy od nas samych i powinien być oparty na przeprowadzonej analizie ryzyka. Ze względu na kompleksowe podejście do tematu bezpieczeństwa informacji oraz ogólny charakter wymagań, norma może być podstawą budowy SZBI w organizacjach małych jak i wielkich koncernach oraz może dotyczyć różnych sektorów branżowych. Zalety normy PN-ISO/IEC 27001: 2007 Zasady kodeksowe normy ISO 17799 Przyszłość czy już konieczność dzisiaj? • ISO/IEC 20000 Systemu zarządzania usługami informatycznymi • BS 25999 Wytyczne do zarządzania ciągłością działania ISO/IEC 20000 Fundamentem standardu jest pojęcie usługi informatycznej, z której korzysta organizacja a której dostarczeniem zajmuje się dział informatyki. Dostarczanie usług podlega zarządzaniu poprzez wymienione w normie procesy. ISO/IEC 20000 Część pierwsza- określa wymagania zarządzania usługami IT i jest skierowana do osób odpowiedzialnych za zainicjowanie, wdrożenie i utrzymanie zarządzania usługami IT w organizacji. Część druga - najlepsze praktyki, prezentuje wytyczne dla audytorów oraz dostawców usług, którzy planują doskonalenie usług lub przeprowadzenie audytów. ISO/IEC 20000 Wyróżniono 5 obszarów i 13 procesów: Procesy dostarczania usług 1. • • • • • • 2. Zarządzanie poziomem usług Raportowanie poziomu usług Zarządzanie pojemnością Zarządzanie dostępnością i ciągłością działania Budżetowanie i rozliczanie usług Zarządzanie bezpieczeństwem informacji Procesy relacji • • 3. Zarządzanie relacjami z biznesem Zarządzanie relacjami z dostawcą Procesy kontroli • • 4. Zarządzanie konfiguracją Zarządzanie zmianą Procesy naprawy • • 5. Zarządzanie incydentem Zarządzanie problemem Proces wersji • Zarządzanie wersją BS 25999 Seria BS 25999 dotyczy obszaru zarządzania ciągłością działania. BS 25999 został opracowany przez specjalistów pracujących w organizacjach z różnych krajów w oparciu o doświadczenie akademickie, techniczne i praktyczne w zarządzaniu ciągłością działania. Standard wprowadza systemowe podejście do zarządzania ciągłością działania w oparciu o dobre praktyki. Celem tego standardu jest zbudowanie pojedynczego źródła informacji pozwalającego zidentyfikować środki kontroli, które zgodnie z praktyką są niezbędne do zarządzania ciągłością działania. Standard może być wykorzystywany przez organizacje każdej wielkości w sektorach przemysłowym, handlowym, publicznym i non-profit. Seria BS 25999 składa się z dwóch standardów • Pierwszy – BS 25999-1:2006 jest zbiorem wytycznych, które wprowadzają procesy, zasady i terminologię. • Drugi– BS 25999-2 jest standardem, w oparciu o który może być przyznany certyfikat zgodności. Określa on wymagania do wdrożenia środków kontroli ciągłości działania. BS 25999-2 Jest to brytyjski standard opracowany przez BSI i opublikowany 20 listopada 2007 roku. Definiuje on wymagania związane z funkcjonowaniem systemu zarządzania ciągłością działania w organizacji. Wymagania zostały określone w stosunku do ustanowienia, wdrożenia, eksploatacji, przeglądu, testowania, utrzymania i doskonalenia systemu zarządzania ciągłością działania (Business Continuity Management System - BCMS). Standard pozwala utworzyć system zarządzania ciągłością działania, który może funkcjonować w ramach kompleksowego zarządzania ryzykiem działalności. Inne standardy • ISO/PAS 22399:2007, Societal security – Guidelines for incident preparedness and operational continuity management (including the „best of five” documents), • TR 19:2005: Technical reference for business continuity management (Singapore), • CSA Z1600 Standard on emergency management and continuity programs (draft standard from Canadian Standards Association,) • All Hazards Risk Management Systems Best Practices Standard: Requirements with Guidance for Use: A practical management systems approach to security, preparedness, response, business/operational continuity and recovery for disruptive incidents resulting in an emergency, crisis, or disaster (draft standard from ASIS International). • inne Certyfikat ISO/IEC 27001:2007 Certyfikat ISO/IEC 27001 w Polsce na tle innych krajów w 2006r. Certyfikat ISO/IEC 27001 w Polsce w 2009r. ok. 100 certyfikatów Pełna lista podmiotów na stronie http://www.iso27000.pl/index.php?page=rejestr&page_num=all Certyfikat ISO/IEC 27001 w Polsce w 2009r. – podział wg. jednostek certyfikacyjnych http://www.iso27000.pl/index.php?page=statystyki&stat=3 Rejestr certyfikatów BS 7799-2 oraz ISO/IEC 27001 przyznanych organizacjom w Polsce w 2009r. Data cert. Organizacja Jednost ka home.pl sp.j. BSI 2009-09-14 CWW sp. k. TUV Nord 2009-07-20 PKP Cargo S.A. ZSJZ 2009-06-16 Polskie Górnictwo Naftowe i Gazownictwo SA TUV Nord 2009-04-10 Elektrotim S.A. ZSJZ 2009-09-15 Źródło: http://www.iso27000.pl/index.php?page=najnowsze, 04.12.2009r. Przykład: Bank Zachodni WBK S.A. Bank Zachodni WBK S.A. Branża: Usługi Wielkość organizacji: 1000-5000 pracowników Data przyznania certyfikatu: 2009-02-18 Numer certyfikatu: HU09/3782 Akredytacja: Tak Jednostka certyfikująca: SGS Group Standard: ISO/IEC 27001:2005 Zakres systemu: Certyfikowany System Zarządzania Bezpieczeństwem Informacji obejmuje: - zarządzanie bezpieczeństwem informacji w banku, - obsługę systemów internetowej bankowości elektronicznej BZWBK24, - obsługę autoryzacji i rozliczeń kart kredytowych, - personalizację kart płatniczych. Sposoby budowy wysokiego poziomu systemu bezpieczeństwa informacji Polityka Standardy DLACZEGO CO JAK Procedury Wytyczne i Plany