ISO 27001 – nowy standard bezpieczeństwa
Transkrypt
ISO 27001 – nowy standard bezpieczeństwa
ISO 27001 – nowy standard bezpieczeństwa CryptoCon, 30-31.08.2006 Plan prezentacji • Zagrożenia dla informacji • Normy zarządzania bezpieczeństwem informacji • BS 7799-2:2002 a ISO/IEC 27001:2005 • ISO/IEC 27001:2005 • Wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji w firmie Plan prezentacji • Zagrożenia dla informacji • Normy zarządzania bezpieczeństwem informacji • BS 7799-2:2002 a ISO/IEC 27001:2005 • ISO/IEC 27001:2005 • Wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji w firmie Liczba incydentów Procent firm deklarujących wystąpienie incydentów % 60 56 50 20 2004 2005 51 46 40 30 2002 36 36 23 12 14 10 10 4 5 3 1 2 1 0 0 1-9 10-49 50-499 >500 Liczba incydentów Źródło: CSO 2005 Główne typy ataków Pięć głównych typów ataku Złośliwy kod 59% Inny 26% Nieautoryzowane wejście 25% Przeciążenie serwera poczty 21% Nielegalne dane i dokumenty 0% 15% 10% 20% 30% 40% 50% 60% 70% Źródło: CSO 2005 Główne kierunki ataków Pięć głównych kierunków ataku E-mail z wirusem 68% Znana luka w systemie operacyjnym 26% Nadużycie uprawnień 21% Inne 19% Znana luka w programowaniu 0% 16% 10% 20% 30% 40% 50% 60% 70% 80% Źródło: CSO 2005 Główne źródła ataków Pięć głównych źródeł ataku Hakerzy 63% Pracownicy 33% Inne 25% Byli pracownicy 20% Klienci 0% 11% 10% 20% 30% 40% 50% 60% 70% Źródło: CSO 2005 Skąd firma dowiedziała się o ataku? Skąd firma dowiedziała się o ataku 50% Firewall, plik Log, IDS 39% Ostrzeżenie od kolegi Uszkodzenia materialne lub danych 21% Alarm od klienta 14% Ostrzeżenie od dostawcy usług 0% 11% 10% 20% 30% 40% 50% 60% Źródło: CSO 2005 Kto został poinformowany o ataku W rezultacie ataku skontaktowałem się z: Nikim 55% Klientami 16% Partnerami/dostawcami 14% Konsultantami 0% 12% 10% 20% 30% 40% 50% 60% Źródło: CSO 2005 Bezpieczeństwo w praktyce • Jedno z czasopism stało się posiadaczem dysków twardych z danymi MSZ. • „Nie ma pewności, że dane podatników w urzędach skarbowych są całkowicie bezpieczne” – cytat Wojewódzkiego Sądu Administracyjnego w Warszawie. • Na śmietniku znaleziono dokumenty z informacjami o osobach, które pobierały zasiłki (500 nazwisk, PESEL, adresy zamieszkania). Bezpieczeństwo w praktyce „Sprzedali mu nasze konta…” Poufne dane z Banku Millennium znalazły się na wysypisku. Bankowcy są zszokowani tą informacją. To jak mają czuć się klienci? Tysiąc numerów kart płatniczych, dane osobowe, faktury, informacje o kontach i niemal tysiąc listów od klientów Banku Millennium, wylądowało na złomowisku. Wszystko to zawierał twardy dysk komputera, który trafił przypadkiem do mieszkańca Gdańska. Super Express, 17 lutego 2005 Konieczność ochrony informacji • Konieczność uchronienia się przed utratą reputacji, odpowiedzialnością karną czy koniecznością zapłaty kar finansowych spowodowanych przez przypadkowe oraz umyślne naruszenia bezpieczeństwa. • Zagrożenia związane z coraz to nowymi zastosowaniami informatycznych, przetwarzających coraz więcej informacji. systemów • Niska świadomość pracowników dotycząca zagrożeń. • Stworzenie struktury zarządzania gwarantującej monitorowanie stanu bezpieczeństwa i reagującej na zmieniające się uwarunkowania w tym zakresie. • Określenie odpowiedzialności związanych z bezpieczeństwem informacji. • Aspekt „marketingowy” – najlepsi inwestują w bezpieczeństwo. Plan prezentacji • Zagrożenia dla informacji • Normy zarządzania bezpieczeństwem informacji • BS 7799-2:2002 a ISO/IEC 27001:2005 • ISO/IEC 27001:2005 • Wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji w firmie Historia standardów BS PD0003:1993 1993 WYTYCZNE 1995 BS 7799-1:1995 BS 7799-2:1998 1998 1999 2000 BS 7799-1:1999 BS 7799-2:1999 ISO/IEC 17799:2000 2002 BS 7799-1:2002 2003 PN-ISO 17799:2003 Standardy: WYMAGANIA BS 7799-2:2002 Polskie 2005 ISO/IEC 17799:2005 PN-I-07799-2:2005 Brytyjskie ISO/IEC 27001:2005 Międzynarodowe 2007 Rodzina standardów ISO/IEC 27000 ISO/IEC 27001 a ISO/IEC 17799 Norma ISO/IEC 27001 służy do certyfikacji Wymagania Norma ISO/IEC 17799 – jest kodeksem, zawiera wytyczne, a nie wymagania Wytyczne System zarządzania bezpieczeństwem informacji Plan prezentacji • Zagrożenia dla informacji • Normy zarządzania bezpieczeństwem informacji • BS 7799-2:2002 a ISO/IEC 27001:2005 • ISO/IEC 27001:2005 • Wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji w firmie Norma ISO/IEC 27001:2005 • Mając na uwadze postępujący rozwój na rynku bezpieczeństwa informacji organizacja ISO (International Organization for Standardization) w listopadzie ubiegłego roku zakończyła prace nad nową normą, której zamierzeniem jest zapewnienie bezpieczeństwa informacji we wszystkich jego aspektach. • Norma ta wprowadza udoskonalenia w stosunku do poprzednio obowiązującego standardu, czyli normy BS 7799-2:2002. Zmiany wprowadzone w ISO/IEC 27001:2005 • Wymagania dotyczące zarządzaniu incydentami bezpieczeństwa zebrano w jeden nowy punkt normy. • Rozszerzone zostały kwestie dotyczące identyfikacji sprzętu w sieciach, jak również zarządzania i nadzoru nad technicznymi podatnościami. • Dodano kryteria oceny nowych technologii takich jak: – transakcje on-line, – mobilny kod. Zmiany wprowadzone w ISO/IEC 27001:2005 • Wprowadzono wymaganie dotyczące pomiaru skuteczności wdrożonych zabezpieczeń. • Wprowadzono wymaganie ukierunkowania planów ciągłości działania na aspekt bezpieczeństwa informacji. • Rozszerzone zostały kwestie dotyczące między innymi bezpieczeństwa w kontaktach z klientami. Plan prezentacji • Zagrożenia dla informacji • Normy zarządzania bezpieczeństwem informacji • BS 7799-2:2002 a ISO/IEC 27001:2005 • ISO/IEC 27001:2005 • Wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji w firmie Systemowe podejście do bezpieczeństwa informacji Bezpieczeństwo fizyczne Informacje ISO 27001 Ludzie Bezpieczeństwo osobowe Usługi Bezpieczeństwo informatyczne Bezpieczeństwo prawne Technologia Norma ISO/IEC 27001:2005 • Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństwem informacji, podporządkowanych 11 grupom wymagań. • Pozwala przedsiębiorstwu na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie. • Szczególny nacisk położony jest na zarządzanie ryzykiem utraty ważnych informacji. • Norma dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów. • Norma uwzględnia najnowsze formy działalności gospodarczej, np. e-biznes, internet, outsourcing, teleworking, mobile computing. Zarządzanie ryzykiem Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest minimalizacja ryzyka utraty najważniejszych informacji organizacji . OCENA RYZYKA UTRATY INFORMACJI OPRACOWANIE PLANU MINIMALIZACJI RYZYKA MONITOROWANIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI WDROŻENIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI ISO/IEC 27001 – Spis treści Wymagania 0 1 2 3 4 5 6 7 8 9 Wstęp Zakres normy Odwołania normatywne Terminy i definicje System zarządzania bezpieczeństwem informacji Odpowiedzialność kierownictwa Audyty wewnętrzne Przegląd kierownictwa SZBI Udoskonalanie SZBI Załącznik A (ISO/IEC 17799) ISO/IEC 27001 ISO/IEC 27001 – Spis treści ISO/IEC Wymagania A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 27001 1. Poli tyk 2. Org a bezpieczeństw anizacja a be 3. Kla syfikacja zpieczeństwa ik 4. Bez pieczeńs ontrola zasobów t w 5. Zar o osobow ząd e 6. Bez zanie systemam pieczeńs i i sieciami i środow two fizyczne is kowe 7 . K on tro 8. Poz la dostępu do sy yskiwa stemu systemu nie, rozwój i utr zymanie 9. Zar ządzanie incydent 10. Zar ami ząd 11. Zgo zanie ciągłością bezpieczeństwa d n ość z działa własnym wymaganiami p nia i standa rawa i rdami Polityka bezpieczeństwa Organizacja bezpieczeństwa informacji Zarządzanie aktywami Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do systemów Pozyskanie, rozwój i utrzymanie systemów Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania Zgodność (z wymaganiami prawa i własnymi standardami) ISO/IEC 27001 – wymagania Wymagania dotyczące dokumentacji Zakres dokumentacji SZBI Polityka Bezpieczeństwa Informacji Zakres SZBI Raport z procesu szacowania ryzyka Plan minimalizacji ryzyka Udokumentowane procedury służące eksploatacji SZBI Metodyka szacowania skuteczności wdrożonych zabezpieczeń Zapisy wymagane przez normę Deklaracja stosowania Nadzór nad dokumentami Nadzór nad zapisami ISO/IEC 27001 – wymagania Odpowiedzialność kierownictwa Zaangażowanie kierownictwa Zapewnienie zasobów Zapewnienie kompetencji osób odpowiedzialnych za bezpieczeństwo Szkolenia i uświadamianie pracowników ISO/IEC 27001 – wymagania Audyty wewnętrzne SZBI Badające spełnienie wymagań prawnych i normy Badające spełnienie wymagań SZBI Udokumentowane Przeprowadzane planowo ISO/IEC 27001 – wymagania Przegląd SZBI realizowany przez kierownictwo Przeprowadzane planowo Zapewniające stosowność, adekwatność i efektywność SZBI Udokumentowane Dane wejściowe przeglądu Dane wyjściowe przeglądu ISO/IEC 27001 – wymagania Doskonalenie SZBI Ciągłe doskonalenie Działania korygujące Działania prewencyjne ISO/IEC 27001 – wymagania A.5 Polityka bezpieczeństwa Polityka bezpieczeństwa informacji Ukazanie wsparcia kierownictwa dla bezpieczeństwa informacji. ISO/IEC 27001 – wymagania A.6 Organizacja bezpieczeństwa informacji Infrastruktura wewnątrz organizacji Określenie odpowiedzialności i zasad zarządzania bezpieczeństwem informacji. Strony trzecie Ryzyka związane z dostępem stron trzecich do aktywów organizacji. ISO/IEC 27001 – wymagania A.7 Zarządzanie aktywami Odpowiedzialność za aktywa Określenie odpowiedzialności za aktywa organizacji. Klasyfikacja informacji Zdefiniowanie klasyfikacji informacji i określenie właściwych poziomów ochrony. ISO/IEC 27001 – wymagania A.8 Bezpieczeństwo osobowe Bezpieczeństwo procesu rekrutacji Zapewnienie bezpieczeństwa procesu rekrutacji (określenie odpowiedzialności, przypisanie ról, redukcja ryzyka kradzieży, oszustwa lub nadużycia). Obsługa zatrudnienia Kreowanie świadomości pracowników w odniesieniu do zagrożeń dla informacji organizacji, odpowiedzialności i obowiązków. Derekrutacja lub ruchy kadrowe Zapewnienie prawidłowości procesu derekrutacji (odpowiedzialności za derekrutację, zwrot aktywów, odebranie praw dostępu). ISO/IEC 27001 – wymagania A.9 Bezpieczeństwo fizyczne i środowiskowe Obszary bezpieczne Zapobieganie nieautoryzowanemu wtargnięciu lub zakłóceniu działania organizacji. Bezpieczeństwo wyposażenia Zapobieganie utracie, uszkodzeniu, kradzieży wyposażenia. ISO/IEC 27001 – wymagania A.10 Zarządzanie systemami i sieciami Procedury operacyjne i odpowiedzialność Zapewnienie bezpieczeństwa dla działania urządzeń przetwarzających informacje. Zarządzanie realizacją usług przez strony trzecie Zapewnienie właściwego poziomu bezpieczeństwa informacji i usług dostarczanych przez strony trzecie. Planowanie systemu i akceptacja Minimalizowanie ryzyka wystąpienia awarii systemu. ISO/IEC 27001 – wymagania A.10 Zarządzanie systemami i sieciami c.d. Ochrona przed złośliwym oprogramowaniem Zapewnienie integralności oprogramowania i informacji. Kopie zapasowe Zapewnienie integralności i dostępności informacji oraz zabezpieczenie miejsc ich przetwarzania. Zarządzanie bezpieczeństwem sieciowym Zapewnienie bezpieczeństwa informacji w sieci teleinformatycznej. ISO/IEC 27001 – wymagania A.10 Zarządzanie systemami i sieciami c.d. Bezpieczeństwo nośników informacji Zapobieganie nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu informacji zawartych na nośnikach. Wymiana informacji Zapewnienie bezpieczeństwa informacji przesyłanych wewnątrz oraz na zewnątrz organizacji. Usługi handlu elektronicznego Zapewnienie bezpieczeństwa usług handlu elektronicznego. Monitorowanie użycia systemów Zapewnienie możliwości wykrycia nieuprawnionego przetwarzania informacji. ISO/IEC 27001 – wymagania A.11 Kontrola dostępu do systemów Wymagania biznesowe w dostępie do informacji Określenie polityki kontroli dostępu do informacji. Zarządzanie dostępem użytkowników Zapewnienie kontroli dostępu do systemów informacyjnych. Odpowiedzialność użytkowników Zapobieganie nieuprawnionemu dostępowi do informacji i systemów informacyjnych, jak również ich zniszczeniu, modyfikacji oraz kradzieży. ISO/IEC 27001 – wymagania A.11 Kontrola dostępu do systemów c.d. Kontrola dostępu do sieci Zapobieganie nieuprawnionemu dostępowi do usług sieciowych. Kontrola dostępu do systemów operacyjnych Zapobieganie nieuprawnionemu dostępowi do systemów operacyjnych. Kontrola dostępu do aplikacji i informacji Zapobieganie nieuprawnionemu dostępowi do aplikacji i zawartych w nich informacji. Stosowanie komputerów przenośnych i praca zdalna Zapewnienie bezpieczeństwa informacji w komputerach przenośnych i w trakcie pracy zdalnej. ISO/IEC 27001 – wymagania A.12 Pozyskanie, rozwój i utrzymanie systemów Wymagania dotyczące bezpieczeństwa systemów Zapewnienie, że bezpieczeństwo jest integralną częścią systemów informacyjnych. Poprawność przetwarzania w aplikacjach Zapobieganie błędom, utracie, nieupoważnionej modyfikacji lub nadużyciu informacji w aplikacjach. Kryptograficzne środki nadzoru Zapewnienie poufności oraz integralności informacji przy wykorzystaniu kryptografii. ISO/IEC 27001 – wymagania A.12 Pozyskanie, rozwój i utrzymanie systemów c.d. Bezpieczeństwo plików systemowych Zapewnienie bezpieczeństwa plików systemowych i kontroli nad wykorzystywanym oprogramowaniem. Bezpieczeństwo procesu tworzenia oprogramowania i pomocy technicznej Zapewnienie utrzymania bezpieczeństwa systemów aplikacji i informacji. Zarządzanie podatnościami technicznymi Zapewnienie ograniczania ryzyka wynikającego z wykorzystania wykrytych podatności technicznych. ISO/IEC 27001 – wymagania A.13 Zarządzanie incydentami bezpieczeństwa Raportowanie incydentów bezpieczeństwa i słabości Zapewnienie, że incydenty bezpieczeństwa i słabości będą zgłaszane w sposób umożliwiający podjęcie na czas stosownych działań. Zarządzanie incydentami bezpieczeństwa i doskonalenie Zapewnienie spójnego i efektywnego podejścia do zarządzania incydentami bezpieczeństwa. ISO/IEC 27001 – wymagania A.14 Zarządzanie ciągłością działania Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania Przeciwdziałanie przerwom w działaniach biznesowych oraz ochrona krytycznych procesów biznesowych przed wynikami poważnych awarii systemów informacyjnych i katastrof oraz zapewnienie terminowego wznowienia ich działalności. ISO/IEC 27001 – wymagania A.15 Zgodność (z wymaganiami prawa i własnymi standardami) Zgodność z przepisami prawnymi Zapewnienie zgodności z wszelkimi przepisami prawnymi, które dotyczą organizacji (w tym wymagań bezpieczeństwa). Zgodność z politykami bezpieczeństwa i zgodność techniczna Zapewnienie zgodności systemów z politykami bezpieczeństwa i standardami organizacji. Rozważania dotyczące audytu systemów Zapewnienie maksymalizacji efektywności audytów i minimalizacji ich negatywnego wpływu na działalność biznesową (zajętość zasobów). Plan prezentacji • Zagrożenia dla informacji • Normy zarządzania bezpieczeństwem informacji • BS 7799-2:2002 a ISO/IEC 27001:2005 • ISO/IEC 27001:2005 • Wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji w firmie Wdrożenie i certyfikacja systemu Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Minimalizacji Ryzyka Opracowanie dokumentacji Szkolenia z dokumentacji Monitorowanie Planu Minimalizacji Ryzyka Certyfikacja systemu Liczba akredytowanych certyfikatów na świecie – czerwiec 2006 1800 1634 1500 1200 900 600 92 57 42 39 38 30 27 26 22 20 15 14 14 13 Niemcy W łochy USA Korea W ęgry Chiny Holandia Hong Kong Australia Finlandia Polska Norwegia Szwajcaria 186 Tajwan 244 300 Indie W lk. Bryt. Japonia 0 Źródło: ISMS International User Group Tomasz Szała [email protected] tel. (61) 643-51-95 Dziękuję za uwagę Krzysztof Maćkowiak [email protected] tel. (61) 643-51-97