ISO 27001 – nowy standard bezpieczeństwa

Transkrypt

ISO 27001 – nowy standard bezpieczeństwa
CryptoCon, 30-31.08.2006
Plan prezentacji
• Zagrożenia dla informacji
• Normy zarządzania bezpieczeństwem informacji
• BS 7799-2:2002 a ISO/IEC 27001:2005
• ISO/IEC 27001:2005
• Wdrażanie Systemu Zarządzania Bezpieczeństwem
Informacji w firmie
Plan prezentacji
• BS 7799-2:2002 a ISO/IEC 27001:2005
• ISO/IEC 27001:2005
Informacji w firmie
Liczba incydentów
Procent firm deklarujących wystąpienie incydentów
%
60
56
50
20
2004
2005
51
46
40
30
2002
36
36
23
12 14 10
10
4
5
3
1
2
1
0
0
1-9
10-49
50-499
>500
Liczba incydentów
Źródło: CSO 2005
Główne typy ataków
Pięć głównych typów ataku
Złośliwy kod
59%
Inny
26%
Nieautoryzowane
wejście
25%
Przeciążenie serwera
poczty
21%
Nielegalne dane i
dokumenty
0%
15%
10%
20%
30%
40%
50%
60%
70%
Źródło: CSO 2005
Główne kierunki ataków
Pięć głównych kierunków ataku
E-mail z wirusem
68%
Znana luka w
systemie operacyjnym
26%
Nadużycie uprawnień
21%
Inne
19%
Znana luka w
programowaniu
0%
16%
10%
20%
30%
40%
50%
60%
70%
80%
Źródło: CSO 2005
Główne źródła ataków
Pięć głównych źródeł ataku
Hakerzy
63%
Pracownicy
33%
Inne
25%
Byli pracownicy
20%
Klienci
0%
11%
10%
20%
30%
40%
50%
60%
70%
Źródło: CSO 2005
Skąd firma dowiedziała się o ataku?
Skąd firma dowiedziała się o ataku
50%
Firewall, plik Log, IDS
39%
Ostrzeżenie od kolegi
Uszkodzenia
materialne lub danych
21%
Alarm od klienta
14%
Ostrzeżenie od
dostawcy usług
0%
11%
10%
20%
30%
40%
50%
60%
Źródło: CSO 2005
Kto został poinformowany o ataku
W rezultacie ataku skontaktowałem się z:
Nikim
55%
Klientami
16%
Partnerami/dostawcami
14%
Konsultantami
0%
12%
10%
20%
30%
40%
50%
60%
Źródło: CSO 2005
Bezpieczeństwo w praktyce
•
Jedno z czasopism stało się posiadaczem dysków twardych z danymi MSZ.
•
„Nie ma pewności, że dane podatników w urzędach skarbowych są
całkowicie bezpieczne” – cytat Wojewódzkiego Sądu Administracyjnego w
Warszawie.
•
Na śmietniku znaleziono dokumenty z informacjami o osobach,
które pobierały zasiłki (500 nazwisk, PESEL, adresy zamieszkania).
Bezpieczeństwo w praktyce
„Sprzedali mu nasze konta…”
Poufne dane z Banku Millennium znalazły się na wysypisku. Bankowcy są
zszokowani tą informacją. To jak mają czuć się klienci?
Tysiąc numerów kart płatniczych, dane osobowe, faktury, informacje o kontach
i niemal tysiąc listów od klientów Banku Millennium, wylądowało na
złomowisku. Wszystko to zawierał twardy dysk komputera, który trafił
przypadkiem do mieszkańca Gdańska.
Super Express, 17 lutego 2005
Konieczność ochrony informacji
• Konieczność uchronienia się przed utratą reputacji, odpowiedzialnością karną
czy koniecznością zapłaty kar finansowych spowodowanych przez
przypadkowe oraz umyślne naruszenia bezpieczeństwa.
• Zagrożenia związane z coraz to nowymi zastosowaniami
informatycznych, przetwarzających coraz więcej informacji.
systemów
• Niska świadomość pracowników dotycząca zagrożeń.
• Stworzenie struktury zarządzania gwarantującej monitorowanie stanu
bezpieczeństwa i reagującej na zmieniające się uwarunkowania w tym
zakresie.
• Określenie odpowiedzialności związanych z bezpieczeństwem informacji.
• Aspekt „marketingowy” – najlepsi inwestują w bezpieczeństwo.
Plan prezentacji
• BS 7799-2:2002 a ISO/IEC 27001:2005
• ISO/IEC 27001:2005
Informacji w firmie
Historia standardów
BS PD0003:1993
1993
WYTYCZNE
1995
BS 7799-1:1995
BS 7799-2:1998
1998
1999
2000
BS 7799-1:1999
BS 7799-2:1999
ISO/IEC
17799:2000
2002
BS 7799-1:2002
2003
PN-ISO 17799:2003
Standardy:
WYMAGANIA
BS 7799-2:2002
Polskie
2005
ISO/IEC 17799:2005
PN-I-07799-2:2005
Brytyjskie
ISO/IEC 27001:2005
Międzynarodowe
2007
Rodzina standardów ISO/IEC 27000
ISO/IEC 27001 a ISO/IEC 17799
Norma ISO/IEC 27001 służy do
certyfikacji
Wymagania
Norma ISO/IEC 17799 – jest kodeksem,
zawiera wytyczne, a nie wymagania
Wytyczne
System zarządzania
bezpieczeństwem informacji
Plan prezentacji
• BS 7799-2:2002 a ISO/IEC 27001:2005
• ISO/IEC 27001:2005
Informacji w firmie
Norma ISO/IEC 27001:2005
•
Mając na uwadze postępujący rozwój na rynku
bezpieczeństwa informacji organizacja ISO (International
Organization for Standardization) w listopadzie ubiegłego roku
zakończyła prace nad nową normą, której zamierzeniem jest
zapewnienie bezpieczeństwa informacji we wszystkich jego
aspektach.
•
Norma ta wprowadza udoskonalenia w stosunku do
poprzednio obowiązującego standardu, czyli normy
BS 7799-2:2002.
Zmiany wprowadzone w ISO/IEC 27001:2005
•
Wymagania dotyczące zarządzaniu incydentami bezpieczeństwa zebrano w jeden
nowy punkt normy.
•
Rozszerzone zostały kwestie dotyczące identyfikacji sprzętu w sieciach, jak również
zarządzania i nadzoru nad technicznymi podatnościami.
•
Dodano kryteria oceny nowych technologii takich jak:
– transakcje on-line,
– mobilny kod.
Zmiany wprowadzone w ISO/IEC 27001:2005
•
Wprowadzono wymaganie dotyczące pomiaru skuteczności wdrożonych
zabezpieczeń.
•
Wprowadzono wymaganie ukierunkowania planów ciągłości działania na aspekt
bezpieczeństwa informacji.
•
Rozszerzone zostały kwestie dotyczące między innymi
bezpieczeństwa w kontaktach z klientami.
Plan prezentacji
• BS 7799-2:2002 a ISO/IEC 27001:2005
• ISO/IEC 27001:2005
Informacji w firmie
Systemowe podejście do bezpieczeństwa informacji
Bezpieczeństwo
fizyczne
Informacje
ISO 27001
Ludzie
Bezpieczeństwo
osobowe
Usługi
Bezpieczeństwo
informatyczne
Bezpieczeństwo
prawne
Technologia
Norma ISO/IEC 27001:2005
•
Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństwem
informacji, podporządkowanych 11 grupom wymagań.
•
Pozwala przedsiębiorstwu na zidentyfikowanie najwłaściwszych
zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą
oraz otoczenia rynkowego i potrzeb w powyższym zakresie.
•
Szczególny nacisk położony jest na zarządzanie ryzykiem
utraty ważnych informacji.
•
Norma dotyczy wszystkich form informacji, w tym także ustnych
i graficznych, powstających z wykorzystaniem telefonów komórkowych
i faksów.
•
Norma uwzględnia najnowsze formy działalności gospodarczej, np.
e-biznes, internet, outsourcing, teleworking, mobile computing.
Zarządzanie ryzykiem
Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest
minimalizacja ryzyka utraty najważniejszych informacji organizacji .
OCENA RYZYKA
UTRATY INFORMACJI
OPRACOWANIE
PLANU
MINIMALIZACJI
RYZYKA
MONITOROWANIE PLANU
MINIMALIZACJI RYZYKA
UTRATY INFORMACJI
WDROŻENIE PLANU
MINIMALIZACJI
RYZYKA UTRATY
INFORMACJI
ISO/IEC 27001 – Spis treści
Wymagania
0
1
2
3
4
5
6
7
8
9
Wstęp
Zakres normy
Odwołania normatywne
Terminy i definicje
System zarządzania bezpieczeństwem informacji
Odpowiedzialność kierownictwa
Audyty wewnętrzne
Przegląd kierownictwa SZBI
Udoskonalanie SZBI
Załącznik A (ISO/IEC 17799)
ISO/IEC 27001
ISO/IEC 27001 – Spis treści
ISO/IEC
Wymagania
A.5
A.6
A.7
A.8
A.9
A.10
A.11
A.12
A.13
A.14
A.15
27001
1. Poli
tyk
2. Org a bezpieczeństw
anizacja
a
be
3. Kla
syfikacja zpieczeństwa
ik
4. Bez
pieczeńs ontrola zasobów
t
w
5. Zar
o osobow
ząd
e
6. Bez zanie systemam
pieczeńs
i
i
sieciami
i środow two fizyczne
is
kowe
7 . K on
tro
8. Poz la dostępu do sy
yskiwa
stemu
systemu nie, rozwój i utr
zymanie
9. Zar
ządzanie
incydent
10. Zar
ami
ząd
11. Zgo zanie ciągłością bezpieczeństwa
d n ość z
działa
własnym wymaganiami p nia
i standa
rawa i
rdami
Polityka bezpieczeństwa
Organizacja bezpieczeństwa informacji
Zarządzanie aktywami
Bezpieczeństwo osobowe
Bezpieczeństwo fizyczne i środowiskowe
Zarządzanie systemami i sieciami
Kontrola dostępu do systemów
Pozyskanie, rozwój i utrzymanie systemów
Zarządzanie incydentami bezpieczeństwa
Zarządzanie ciągłością działania
Zgodność (z wymaganiami prawa i własnymi standardami)
ISO/IEC 27001 – wymagania
Wymagania dotyczące dokumentacji
Zakres dokumentacji SZBI
Polityka Bezpieczeństwa Informacji
Zakres SZBI
Raport z procesu szacowania ryzyka
Plan minimalizacji ryzyka
Udokumentowane procedury służące eksploatacji SZBI
Metodyka szacowania skuteczności wdrożonych zabezpieczeń
Zapisy wymagane przez normę
Deklaracja stosowania
Nadzór nad dokumentami
Nadzór nad zapisami
Odpowiedzialność kierownictwa
Zaangażowanie kierownictwa
Zapewnienie zasobów
Zapewnienie kompetencji osób odpowiedzialnych za bezpieczeństwo
Szkolenia i uświadamianie pracowników
Audyty wewnętrzne SZBI
Badające spełnienie wymagań prawnych i normy
Badające spełnienie wymagań SZBI
Udokumentowane
Przeprowadzane planowo
Przegląd SZBI realizowany przez
kierownictwo
Przeprowadzane planowo
Zapewniające stosowność, adekwatność i
efektywność SZBI
Udokumentowane
Dane wejściowe przeglądu
Dane wyjściowe przeglądu
Doskonalenie SZBI
Ciągłe doskonalenie
Działania korygujące
Działania prewencyjne
A.5
Polityka bezpieczeństwa
Polityka bezpieczeństwa informacji
Ukazanie wsparcia kierownictwa dla bezpieczeństwa informacji.
A.6
Organizacja bezpieczeństwa
informacji
Infrastruktura wewnątrz organizacji
Określenie odpowiedzialności i zasad zarządzania
bezpieczeństwem informacji.
Strony trzecie
Ryzyka związane z dostępem stron trzecich do aktywów
organizacji.
A.7
Zarządzanie aktywami
Odpowiedzialność za aktywa
Określenie odpowiedzialności za aktywa organizacji.
Klasyfikacja informacji
Zdefiniowanie klasyfikacji informacji i określenie właściwych
poziomów ochrony.
A.8
Bezpieczeństwo osobowe
Bezpieczeństwo procesu rekrutacji
Zapewnienie bezpieczeństwa procesu rekrutacji (określenie
odpowiedzialności, przypisanie ról, redukcja ryzyka kradzieży,
oszustwa lub nadużycia).
Obsługa zatrudnienia
Kreowanie świadomości pracowników w odniesieniu do zagrożeń dla
informacji organizacji, odpowiedzialności i obowiązków.
Derekrutacja lub ruchy kadrowe
Zapewnienie prawidłowości procesu derekrutacji (odpowiedzialności
za derekrutację, zwrot aktywów, odebranie praw dostępu).
A.9
Bezpieczeństwo fizyczne i
środowiskowe
Obszary bezpieczne
Zapobieganie nieautoryzowanemu wtargnięciu lub
zakłóceniu działania organizacji.
Bezpieczeństwo wyposażenia
Zapobieganie utracie, uszkodzeniu, kradzieży
wyposażenia.
A.10
Zarządzanie systemami i
sieciami
Procedury operacyjne i odpowiedzialność
Zapewnienie bezpieczeństwa dla działania urządzeń
przetwarzających informacje.
Zarządzanie realizacją usług przez strony trzecie
Zapewnienie właściwego poziomu bezpieczeństwa informacji i usług
dostarczanych przez strony trzecie.
Planowanie systemu i akceptacja
Minimalizowanie ryzyka wystąpienia awarii systemu.
A.10
sieciami c.d.
Ochrona przed złośliwym oprogramowaniem
Zapewnienie integralności oprogramowania i informacji.
Kopie zapasowe
Zapewnienie integralności i dostępności informacji oraz
zabezpieczenie miejsc ich przetwarzania.
Zarządzanie bezpieczeństwem sieciowym
Zapewnienie bezpieczeństwa informacji w sieci
teleinformatycznej.
A.10
sieciami c.d.
Bezpieczeństwo nośników informacji
Zapobieganie nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub
zniszczeniu informacji zawartych na nośnikach.
Wymiana informacji
Zapewnienie bezpieczeństwa informacji przesyłanych wewnątrz oraz na
zewnątrz organizacji.
Usługi handlu elektronicznego
Zapewnienie bezpieczeństwa usług handlu elektronicznego.
Monitorowanie użycia systemów
Zapewnienie możliwości wykrycia nieuprawnionego przetwarzania
informacji.
A.11
Kontrola dostępu do
systemów
Wymagania biznesowe w dostępie do informacji
Określenie polityki kontroli dostępu do informacji.
Zarządzanie dostępem użytkowników
Zapewnienie kontroli dostępu do systemów informacyjnych.
Odpowiedzialność użytkowników
Zapobieganie nieuprawnionemu dostępowi do informacji i systemów
informacyjnych, jak również ich zniszczeniu, modyfikacji oraz
kradzieży.
A.11
Kontrola dostępu do
systemów c.d.
Kontrola dostępu do sieci
Zapobieganie nieuprawnionemu dostępowi do usług sieciowych.
Kontrola dostępu do systemów operacyjnych
Zapobieganie nieuprawnionemu dostępowi do systemów operacyjnych.
Kontrola dostępu do aplikacji i informacji
Zapobieganie nieuprawnionemu dostępowi do aplikacji i zawartych w
nich informacji.
Stosowanie komputerów przenośnych i praca
zdalna
Zapewnienie bezpieczeństwa informacji w komputerach przenośnych i
w trakcie pracy zdalnej.
A.12
Pozyskanie, rozwój i
utrzymanie systemów
Wymagania dotyczące bezpieczeństwa
systemów
Zapewnienie, że bezpieczeństwo jest integralną częścią
systemów informacyjnych.
Poprawność przetwarzania w aplikacjach
Zapobieganie błędom, utracie, nieupoważnionej modyfikacji lub
nadużyciu informacji w aplikacjach.
Kryptograficzne środki nadzoru
Zapewnienie poufności oraz integralności informacji przy
wykorzystaniu kryptografii.
A.12
Pozyskanie, rozwój i
utrzymanie systemów c.d.
Bezpieczeństwo plików systemowych
Zapewnienie bezpieczeństwa plików systemowych i kontroli nad
wykorzystywanym oprogramowaniem.
Bezpieczeństwo procesu tworzenia
oprogramowania i pomocy technicznej
Zapewnienie utrzymania bezpieczeństwa systemów aplikacji i
informacji.
Zarządzanie podatnościami technicznymi
Zapewnienie ograniczania ryzyka wynikającego z wykorzystania
wykrytych podatności technicznych.
A.13
Zarządzanie incydentami
bezpieczeństwa
Raportowanie incydentów bezpieczeństwa i
słabości
Zapewnienie, że incydenty bezpieczeństwa i słabości będą zgłaszane w
sposób umożliwiający podjęcie na czas stosownych działań.
Zarządzanie incydentami bezpieczeństwa i
doskonalenie
Zapewnienie spójnego i efektywnego podejścia do zarządzania
incydentami bezpieczeństwa.
A.14
Zarządzanie ciągłością
działania
Aspekty bezpieczeństwa informacji w zarządzaniu
ciągłością działania
Przeciwdziałanie przerwom w działaniach biznesowych oraz ochrona
krytycznych procesów biznesowych przed wynikami poważnych awarii
systemów informacyjnych i katastrof oraz zapewnienie terminowego
wznowienia ich działalności.
A.15
Zgodność (z wymaganiami
prawa i własnymi standardami)
Zgodność z przepisami prawnymi
Zapewnienie zgodności z wszelkimi przepisami prawnymi, które dotyczą
organizacji (w tym wymagań bezpieczeństwa).
Zgodność z politykami bezpieczeństwa i zgodność
techniczna
Zapewnienie zgodności systemów z politykami bezpieczeństwa i standardami
organizacji.
Rozważania dotyczące audytu systemów
Zapewnienie maksymalizacji efektywności audytów i minimalizacji ich
negatywnego wpływu na działalność biznesową (zajętość zasobów).
Plan prezentacji
• BS 7799-2:2002 a ISO/IEC 27001:2005
• ISO/IEC 27001:2005
Informacji w firmie
Wdrożenie i certyfikacja systemu
Diagnoza systemu
Szkolenia
wstępne
Przeprowadzenie
Analizy Ryzyka
Przygotowanie Planu
Minimalizacji Ryzyka
Opracowanie
dokumentacji
Szkolenia z
dokumentacji
Monitorowanie Planu
Minimalizacji Ryzyka
Certyfikacja
systemu
Liczba akredytowanych certyfikatów na świecie – czerwiec
2006
1800
1634
1500
1200
900
600
92
57
42
39
38
30
27
26
22
20
15
14
14
13
Niemcy
W łochy
USA
Korea
W ęgry
Chiny
Holandia
Hong Kong
Australia
Finlandia
Polska
Norwegia
Szwajcaria
186
Tajwan
244
300
Indie
W lk. Bryt.
Japonia
0
Źródło: ISMS International User
Group
Tomasz Szała
[email protected]
tel. (61) 643-51-95
Dziękuję za uwagę
Krzysztof Maćkowiak
[email protected]
tel. (61) 643-51-97

ISO 27001 – nowy standard bezpieczeństwa

Transkrypt

Podobne dokumenty

Pobranie biuletynu informacyjnego dla producentów

PDF by LASER

PDF by LASER

PDF by LASER

PDF by LASER

PDF by LASER