Norma ISO/IEC 27001:2013

Transkrypt

WZ PW
Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji
IT security trends
Norma ISO/IEC 27001:2013 – najnowsze
zmiany w systemach zarzadzania
bezpieczeństwem informacji
dr inż. Bolesław Szomański
Wydział Zarządzania
Politechnika Warszawska
b.szomań[email protected]
Plan Prezentacji
ISO/IEC 27001:2013 budowa
ISO/IEC 27001:2005 przejście do
 ISO/IEC 27001:2013
Załącznik A do normy ISO 27001:2013 czyli
 budowa ISO/IEC 27002:2011
Polskie tłumaczenia norm dotyczących
 bezpieczeństwa informacji
 i zarządzania usługami
2013.11.28
(c) BSz
Strona 1 z 19
WZ PW
IT security trends
ISO/IEC 27001:2013
 Infoformation technology – Security techniques -
Information security management systems - Requirements
 Systemy zarządzania bezpieczeństwem informacji
 - Wymagania
 Najnowsza rewizja normy z 2005 roku
 Wg nowej struktury załącznika SL




do dyrektywy ISO
jednolitej dla wszystkich systemów zarządzania
Angielska wersja załącznika SL jest dostępna na stronie
www.iso.org szukaj directive
 Norma opublikowana 26 września 2013
2013-11-27
(c) B.Sz
3
ISO/IEC 27001:2013
0. Wprowadzenie
0.1 Postanowienia ogólne ~~
0.2 Zgodność z innymi systemami zarządzania ~~
1 Zakres normy ~~
2 Powołania normatywne ~~~~
3 Terminy i definicje ~~~~~~~~~~~~
4 Kontekst organizacji~++
5 Przywództwo ~5
6. Planowanie +  4.1
7. Wsparcie +  5,4.3
8. Operacje +  4,2,3
9. Ocena działań <- 4.2.3, 6, 7
10. Doskonalenie  8 ~~
Załącznik A Cele stosowania zabezpieczeń i zabezpieczenia ~~~~
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
4
Strona 2 z 19
WZ PW
IT security trends
4. Kontekst organizacji
4.1 Zrozumienie kontekstu organizacji +
4.2. Zrozumienie potrzeb i
o oczekiwań zainteresowanych stron +
 4.3 Określenie zakresu systemu zarządzania ~~4.1
4.4 System zarządzania bezpieczeństwem
o informacji  4.1
2013-11-27
(c) B.Sz
5
5. Przywództwo ~~5
5.1. Przywództwo i zaangażowanie
o  4.2.1 , 5.1
5.2. Polityka ~~ 4.2.1
 5.3 Organizacyjne role, odpowiedzialności,
 zwierzchnictwo +
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
6
Strona 3 z 19
WZ PW
IT security trends
6. Planowanie
 6.1 Działania dla zajmowania się ryzykiem



o i możliwościami
6.1.1 Wprowadzenie
6.1.2. Ocena ryzyka w bezpieczeństwie informacji
6.1.3 Postępowanie z ryzykiem w bezpieczeństwie
 6.2 Cele bezpieczeństwa informacji i plany do ich

osiągnięcia
2013-11-27
(c) B.Sz
7
6.1.2. Ocena ryzyka w
bezpieczeństwie informacji ~4.2.1
 Organizacja powinna zdefiniować i wdrożyć proces
o oceny bezpieczeństwa informacji który
 ustanowi i utrzyma kryteria ryzyka w bezpieczeństwie
• informacji zawierające
o Kryteria akceptowania ryzyka
o Kryteria dla przeprowadzenie oceny ryzyka
 zapewni że powtarzalna ocena ryzyka w bezpieczeństwie
o informacji uzyska znaczące, ważne i powtarzalne wyniki
 Zidentyfikuje ryzyka w bezpieczeństwie informacji
o Wykorzysta proces oceny ryzyka do zidentyfikowania ryzyk związanych
o z utratą poufności, integralności i dostępności w zakresie
o Systemu zarządzania bezpieczeństwem informacji
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
8
Strona 4 z 19
WZ PW
IT security trends
6.1.2
 Przeanalizuje ryzyka w bezpieczeństwie informacji
o oceniając potencjalne konsekwencje jakie wystąpią jeżeli
• ryzyka zidentyfikowane w 6.1.2 się zmaterializują
o Oceni realne prawdopodobieństwo wystąpienia ryzyk
• zidentyfikowanych w 6.1.2 i
o Określi Poziom tych ryzyk
 Oszacuje ryzyka w bezpieczeństwie informacji
o porówna wyniki analizy ryzyka z kryteriami ustanowionymi w
• Pkt. 6.1.2
o określi priorytety ryzyk dla postępowania z ryzykiem
 Organizacja powinna zachować udokumentowaną
 informację o procesie oceny ryzyka w bezpieczeństwie informacji
2013-11-27
(c) B.Sz
9
6.1.3 Postępowanie z ryzykiem w
bezpieczeństwie Informacji ~~ 4.2.1
Organizacja powinna zdefiniować i wdrożyć proces
o postępowania z ryzykiem bezpieczeństwie informacji dla
 Wybrania odpowiednich opcji w postępowania z
o ryzykiem w bezpieczeństwie informacji biorąc pod uwagę wyniki
o oceny ryzyka
 Ustalenia wszystkich zabezpieczeń które są potrzebne
o dla wdrożenia wybranych opcji postępowania z ryzykiem w
o bezpieczeństwa informacji
 Porównania wyników w pkt. 6.1.3 powyżej
o z podanymi w załączniku A i weryfikacji że niepotrzebne
o zabezpieczenia będą ominięte
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
10
Strona 5 z 19
WZ PW
IT security trends
6.1.3
 Wykonania Deklaracji Stosowania która zawiera
o niezbędne zabezpieczenia (patrz 6.1.3 i uzasadnienie ich
o włączenia czy są wdrożone czy nie i uzasadnienie wyłączenia
o zabezpieczeń z załącznika A
 Sformułowania planu postępowania z ryzykiem
 Uzyskania aprobaty właścicieli ryzyka dla planu
o postępowania z ryzykiem w bezpieczeństwie informacji
Organizacja powinna zachować udokumentowaną
 informację o procesie postępowania z ryzykiem w
 bezpieczeństwie informacji
2013-11-27
(c) B.Sz
11
7. Wsparcie
7.1 Zasoby ~~ 5.2.1
7.2. Kompetencje ~~ 5.2.2
7.3. Świadomość ~~ 5.2.2
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
12
Strona 6 z 19
WZ PW
IT security trends
7.4. Komunikacja +
Organizacja powinna określić potrzebę wewnętrznej i
o zewnętrznej komunikacji istotnej systemu zarządzania
o bezpieczeństwem informacji, a w tym
 Co jest komunikowane;
 Kiedy jest komunikowane;
 Z kim jest prowadzona komunikacja
 Kto powinien się komunikować
 Proces na który wpływa komunikacja
2013-11-27
(c) B.Sz
13
7.5. Udokumentowana informacja ~~
4.3
7.5.1 Wymagania ogólne
7.5.2. Opracowanie i aktualizowanie
7.5.3. Nadzór nad udokumentowaną informacją
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
14
Strona 7 z 19
WZ PW
IT security trends
7.5.3
Udokumentowane informacje pochodzenia




zewnętrznego uznane przez organizację za niezbędne
do planowania i funkcjonowania systemu zarządzania
bezpieczeństwem informacji powinny być zidentyfikowane
jako odpowiednie i nadzorowane.
2013-11-27
(c) B.Sz
15
8. Operacje
 8.1 Planowanie i nadzorowanie operacji
 8.2 Ocena ryzyka w bezpieczeństwie informacji ~~ 4.2.3
 Organizacja powinna prowadzić ocenę ryzyka w
 bezpieczeństwie informacji w planowanych odstępach lub
 kiedy istotne zmiany są proponowane lub nastąpią biorąc
 po uwagę kryteria ustanowione w 6.1.2
 informację o wynikach oceny ryzyka w
 8.3 Postępowanie z ryzykiem w bezpieczeństwie informacji 4.2.3
 Organizacja powinna prowadzić plan postępowania
 z ryzykiem w
 informację o wynikach planu postępowania z ryzykiem
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
16
Strona 8 z 19
WZ PW
IT security trends
9. Ocena wykonania
9.1. Monitorowanie, pomiar analiza i ocena  4.2.3
9.2 Wewnętrzny audit ~~ 6
9.3. Przegląd realizowany przez kierownictwo  7
2013-11-27
(c) B.Sz
17
10. Doskonalenie ~~ 4.2.4
10.1 Niezgodności i działania korygujące
10.2 Ciągłe doskonalenie
 Organizacja powinna ciągle doskonalić
o przydatność,
o adekwatność i
o skuteczność
o Systemu zarządzania bezpieczeństwem informacji
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
18
Strona 9 z 19
WZ PW
IT security trends
Załącznik A Cele stosowania
zabezpieczeń i zabezpieczeń
Załącznik A jest obligatoryjny
o ale
 możliwe jest wyłączenie zabezpieczeń z tego załącznika
 po podaniu uzasadnienia
Załącznik A stanowi podstawę do opracowania
 Deklaracji Stosowania
Załącznik A może być uzupełniony o inne
 zabezpieczenia
2013-11-27
(c) B.Sz
19
A.5. Polityka bezpieczeństwa =A5
A.5.1 Wskazówki dla kierownictwa o
o bezpieczeństwie informacji [2]
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
20
Strona 10 z 19
WZ PW
IT security trends
A.6. Organizacja bezpieczeństwa
informacji
A. 6.1 Wewnątrz organizacji [5]
+
 A.6.1.5 Bezpieczeństwo informacji w zarządzaniu
o Projektami {!}
A.6.2 Urządzenia mobilne i praca zdalna [2]
~~11.7
2013-11-27
(c) B.Sz
21
A.7. Bezpieczeństwo zasobów
ludzkich  A8
A.7.1 Przed zatrudnieniem~[2] A.8.1
A.7.2 Podczas zatrudnienia =[3] A.8.2
A.7.3 Zakończenie lub zmiana zatrudnienia
 ~~A.8.3 [1] 
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
22
Strona 11 z 19
WZ PW
IT security trends
A.8. Zarządzanie zasobami  A7
A.8.1 Odpowiedzialność za zasoby
  A7.1 [4]+A8.3
A.8.2 Klasyfikacja informacji  A7.2 [3]+
 A.8.2.3 Utrzymanie zasobów
A.8.3 Utrzymywanie nośników [3] A.10.7+A10.8
2013-11-27
(c) B.Sz
23
A.9. Kontrola dostępu  A11
 A.9.1 Wymagania biznesowe kontroli dostępu A11.1[2]+
 A.9.1.2 Dostęp do sieci i usług sieciowych
 A.9.2 Zarządzanie dostępem użytkowników [6]+
 A.9.2.2 Zabezpieczenia dostępu użytkowników+ A.8.2.3
 A.9.3 Odpowiedzialność użytkowników A.11.3 [1]
 A.9.4 Kontrola dostępu do aplikacji i systemów
 ~~A.11.5 i A.11.6 [5]
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
24
Strona 12 z 19
WZ PW
IT security trends
A.10 Kryptografia ^^^
A.10.1 Zabezpieczenia kryptograficzne = A12.3 [2]
2013-11-27
(c) B.Sz
25
A.11. Bezpieczeństwo fizyczne i
środowiskowe  A.9
A.11.1 OBSZARY BEZPIECZNE =A9.1
A.11. Bezpieczeństwo fizyczne i środowiskowe
 A.11.2 Bezpieczeństwo sprzętu =A9.2 [9]+A.11.3.2
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
26
Strona 13 z 19
WZ PW
IT security trends
A.12. Bezpieczeństwo operacyjne 
A.10
 A.12.1 Procedury eksploatacyjne i zakresy
o Odpowiedzialności = A.10.1
 A.12.2 Ochrona przed złośliwym
 Oprogramowaniem ~~A.10.4 [1]
 A.12.3 Kopie zapasowe = A.10.5 [1]
 A.12.4 Logowanie i monitorowanie  A.10.10 [5]
 A 12.5 Nadzór nad oprogramowaniem ~~ A.12.5.2
 A.12.6 Zarządzanie podatnościami technicznymi [2]
 ~~A18.1+ A.12.5.3
 A.12.7 Rozważania dotyczące audytu
o systemów informacyjnych [1]  A15.3
2013-11-27
(c) B.Sz
27
A.13 Bezpieczeństwo komunikacji
^^
A.13.1 Zarządzanie bezpieczeństwem sieci [3]
 ~~~~A.11.4+A.10.6
A.13.2 Przekazywanie informacji [4]
 ~~ A.10.8+A6.1
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
28
Strona 14 z 19
WZ PW
IT security trends
A.14. Pozyskiwanie, rozwój i
utrzymanie systemu  A.12
A.14.1 Wymagania bezpieczeństwa systemów
o Informacyjnych  A.12.1+A.10.9 [3]
A.14.2 Bezpieczeństwo w procesach






o rozwojowych i obsługi informatycznej [9] ~~ A.12.5
A.14.2.1 Polityka bezpiecznego rozwoju
A.14.2.2 Procedury kontroli zmian
A.14.2.5 Zasady konstrukcji bezpiecznego systemu
A.14.2.6 Bezpieczne środowisko projektowania
A.14.2.8 Testowanie bezpieczeństwa systemu
A.14.2.9 Testy akceptacyjne systemu
A.14.3 Dane testowe == A.12.4.3
2013-11-27
(c) B.Sz
29
A 15 Stosunki z dostawcami ^^
A. 15.1 Bezpieczeństwo informacji w stosunkach z
o Dostawcami ~~A.6.2 [2]+A10.8.1
 A.15.1.3 Informacja i komunikacja w łańcuchu dostaw
A.15.2. Zarządzanie usługami dostarczonymi przez
o Dostawców~~ A.10.2
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
30
Strona 15 z 19
WZ PW
IT security trends
A.16. Zarządzanie incydentami w
bezpieczeństwie informacji  A13
A.16.1 Zarządzanie incydentami w
o bezpieczeństwem informacji oraz doskonaleniem A13 [6]+
 A.16.1.4 Ocena i decyzja dotycząca zdarzeń w
o bezpieczeństwie informacji
2013-11-27
(c) B.Sz
31
A.17. Aspekty bezpieczeństwa informacji
w Zarządzania ciągłością działania  A14
A.17.1 Ciągłość działania w bezpieczeństwie
o Informacji ~~ A.14.1 [3]
A.17.2 Nadmiarowość [1]
2013-11-27
2013.11.28
(c) B.Sz
(c) BSz
32
Strona 16 z 19
WZ PW
IT security trends
A.18. Zgodność  A 15
A.18.1 Zgodność z przepisami prawnymi i
o wymaganiami kontraktowymi A.15.1 [5]
2013-11-27
(c) B.Sz
33
ISO/IEC 27001:2005 budowa
0. wprowadzenie
0.1 Postanowienia ogólne ~~
0.2 Podejście procesowe #
0.30,2 Zgodność z innymi systemami zarządzania ~~
1. Zakres normy ~~
2. Powołania normatywne ~~
3. Terminologia i definicje  ISO/IEC 27000
4. System zarządzania bezpieczeństwem informacji  4,5,6, ISO 27003
5. Odpowiedzialność kierownictwa  5
6. Wewnętrzne audyty SZBI 9.2
7. Przegląd realizowany przez kierownictwo 9.3
8. Doskonalenie SZBI  10
Załącznik. A. Cele stosowania zabezpieczeń i zabezpieczenia (czeka na ISO 27002)
Załącznik. B. Zasady OECD #
Załącznik. C. Korespondencja z ISO 9001:2000 i ISO 14001:2004 #
2013.11.28
(c) BSz
Strona 17 z 19
WZ PW
IT security trends
Polskie tłumaczenia norm ISO
rodziny 27000
PN ISO/IEC 27000:2012




Technika informatyczna -Techniki bezpieczeństwa
Terminologia systemów
zarządzania bezpieczeństwem informacji




Technika informatyczna
Techniki zabezpieczeń
Wytyczne do technik informacyjnych i komunikacyjnych
dla usług odtwarzania po katastrofie
PN-ISO/IEC 24762 :2010
Nowe tłumaczenia
 PN ISO/IEC 27005:2013
 Technika informatyczna
 Techniki bezpieczeństwa
 Zarządzanie ryzykiem w bezpieczeństwie informacji
 PN-ISO/IEC 27006:2013





2013.11.28
Techniki bezpieczeństwa
Wymagania dla jednostek prowadzących audyt i
certyfikację systemów zarządzania bezpieczeństwem
informacji
(c) BSz
Strona 18 z 19
WZ PW
IT security trends
Nowe tłumaczenia
PN-ISO/IEC 27013




Techniki bezpieczeństwa
Wytyczne do zintegrowanego wdrożenia ISO/IEC 27001
oraz ISO/IEC 20000-1
 PN-ISO/IEC 20000-1:2013
 Technika informatyczna
 Zarządzanie usługami
 Część 1: Wymagania dla systemu zarządzania usługami
2013.11.28
(c) BSz
Strona 19 z 19

Norma ISO/IEC 27001:2013

Transkrypt

Podobne dokumenty

Quallab Szkolenie PŚ

Systemy Zarządzania Bezpieczeństwem Informacji wg

Harmonogram 3D_ ISO 17025 _2_

Studia podyplomowe, kursy i szkolenia Państwowa Wyższa Szkoła

P O Ś W I A D C Z E N I E B E Z P I E C Z E Ń S T W A

Pobranie biuletynu informacyjnego dla producentów

Recertyfikacja Systemu Zarządzania Bezpieczeństwem Żywności

Systemy Zarządzania - Gaz

PDF by LASER