Norma ISO/IEC 27001:2013
Transkrypt
Norma ISO/IEC 27001:2013
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomań[email protected] Plan Prezentacji ISO/IEC 27001:2013 budowa ISO/IEC 27001:2005 przejście do ISO/IEC 27001:2013 Załącznik A do normy ISO 27001:2013 czyli budowa ISO/IEC 27002:2011 Polskie tłumaczenia norm dotyczących bezpieczeństwa informacji i zarządzania usługami 2013.11.28 (c) BSz Strona 1 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security management systems - Requirements Systemy zarządzania bezpieczeństwem informacji - Wymagania Najnowsza rewizja normy z 2005 roku Wg nowej struktury załącznika SL do dyrektywy ISO jednolitej dla wszystkich systemów zarządzania Angielska wersja załącznika SL jest dostępna na stronie www.iso.org szukaj directive Norma opublikowana 26 września 2013 2013-11-27 (c) B.Sz 3 ISO/IEC 27001:2013 0. Wprowadzenie 0.1 Postanowienia ogólne ~~ 0.2 Zgodność z innymi systemami zarządzania ~~ 1 Zakres normy ~~ 2 Powołania normatywne ~~~~ 3 Terminy i definicje ~~~~~~~~~~~~ 4 Kontekst organizacji~++ 5 Przywództwo ~5 6. Planowanie + 4.1 7. Wsparcie + 5,4.3 8. Operacje + 4,2,3 9. Ocena działań <- 4.2.3, 6, 7 10. Doskonalenie 8 ~~ Załącznik A Cele stosowania zabezpieczeń i zabezpieczenia ~~~~ 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 4 Strona 2 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends 4. Kontekst organizacji 4.1 Zrozumienie kontekstu organizacji + 4.2. Zrozumienie potrzeb i o oczekiwań zainteresowanych stron + 4.3 Określenie zakresu systemu zarządzania ~~4.1 4.4 System zarządzania bezpieczeństwem o informacji 4.1 2013-11-27 (c) B.Sz 5 5. Przywództwo ~~5 5.1. Przywództwo i zaangażowanie o 4.2.1 , 5.1 5.2. Polityka ~~ 4.2.1 5.3 Organizacyjne role, odpowiedzialności, zwierzchnictwo + 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 6 Strona 3 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends 6. Planowanie 6.1 Działania dla zajmowania się ryzykiem o i możliwościami 6.1.1 Wprowadzenie 6.1.2. Ocena ryzyka w bezpieczeństwie informacji 6.1.3 Postępowanie z ryzykiem w bezpieczeństwie 6.2 Cele bezpieczeństwa informacji i plany do ich osiągnięcia 2013-11-27 (c) B.Sz 7 6.1.2. Ocena ryzyka w bezpieczeństwie informacji ~4.2.1 Organizacja powinna zdefiniować i wdrożyć proces o oceny bezpieczeństwa informacji który ustanowi i utrzyma kryteria ryzyka w bezpieczeństwie • informacji zawierające o Kryteria akceptowania ryzyka o Kryteria dla przeprowadzenie oceny ryzyka zapewni że powtarzalna ocena ryzyka w bezpieczeństwie o informacji uzyska znaczące, ważne i powtarzalne wyniki Zidentyfikuje ryzyka w bezpieczeństwie informacji o Wykorzysta proces oceny ryzyka do zidentyfikowania ryzyk związanych o z utratą poufności, integralności i dostępności w zakresie o Systemu zarządzania bezpieczeństwem informacji 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 8 Strona 4 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends 6.1.2 Przeanalizuje ryzyka w bezpieczeństwie informacji o oceniając potencjalne konsekwencje jakie wystąpią jeżeli • ryzyka zidentyfikowane w 6.1.2 się zmaterializują o Oceni realne prawdopodobieństwo wystąpienia ryzyk • zidentyfikowanych w 6.1.2 i o Określi Poziom tych ryzyk Oszacuje ryzyka w bezpieczeństwie informacji o porówna wyniki analizy ryzyka z kryteriami ustanowionymi w • Pkt. 6.1.2 o określi priorytety ryzyk dla postępowania z ryzykiem Organizacja powinna zachować udokumentowaną informację o procesie oceny ryzyka w bezpieczeństwie informacji 2013-11-27 (c) B.Sz 9 6.1.3 Postępowanie z ryzykiem w bezpieczeństwie Informacji ~~ 4.2.1 Organizacja powinna zdefiniować i wdrożyć proces o postępowania z ryzykiem bezpieczeństwie informacji dla Wybrania odpowiednich opcji w postępowania z o ryzykiem w bezpieczeństwie informacji biorąc pod uwagę wyniki o oceny ryzyka Ustalenia wszystkich zabezpieczeń które są potrzebne o dla wdrożenia wybranych opcji postępowania z ryzykiem w o bezpieczeństwa informacji Porównania wyników w pkt. 6.1.3 powyżej o z podanymi w załączniku A i weryfikacji że niepotrzebne o zabezpieczenia będą ominięte 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 10 Strona 5 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends 6.1.3 Wykonania Deklaracji Stosowania która zawiera o niezbędne zabezpieczenia (patrz 6.1.3 i uzasadnienie ich o włączenia czy są wdrożone czy nie i uzasadnienie wyłączenia o zabezpieczeń z załącznika A Sformułowania planu postępowania z ryzykiem Uzyskania aprobaty właścicieli ryzyka dla planu o postępowania z ryzykiem w bezpieczeństwie informacji Organizacja powinna zachować udokumentowaną informację o procesie postępowania z ryzykiem w bezpieczeństwie informacji 2013-11-27 (c) B.Sz 11 7. Wsparcie 7.1 Zasoby ~~ 5.2.1 7.2. Kompetencje ~~ 5.2.2 7.3. Świadomość ~~ 5.2.2 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 12 Strona 6 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends 7.4. Komunikacja + Organizacja powinna określić potrzebę wewnętrznej i o zewnętrznej komunikacji istotnej systemu zarządzania o bezpieczeństwem informacji, a w tym Co jest komunikowane; Kiedy jest komunikowane; Z kim jest prowadzona komunikacja Kto powinien się komunikować Proces na który wpływa komunikacja 2013-11-27 (c) B.Sz 13 7.5. Udokumentowana informacja ~~ 4.3 7.5.1 Wymagania ogólne 7.5.2. Opracowanie i aktualizowanie 7.5.3. Nadzór nad udokumentowaną informacją 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 14 Strona 7 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends 7.5.3 Udokumentowane informacje pochodzenia zewnętrznego uznane przez organizację za niezbędne do planowania i funkcjonowania systemu zarządzania bezpieczeństwem informacji powinny być zidentyfikowane jako odpowiednie i nadzorowane. 2013-11-27 (c) B.Sz 15 8. Operacje 8.1 Planowanie i nadzorowanie operacji 8.2 Ocena ryzyka w bezpieczeństwie informacji ~~ 4.2.3 Organizacja powinna prowadzić ocenę ryzyka w bezpieczeństwie informacji w planowanych odstępach lub kiedy istotne zmiany są proponowane lub nastąpią biorąc po uwagę kryteria ustanowione w 6.1.2 Organizacja powinna zachować udokumentowaną informację o wynikach oceny ryzyka w bezpieczeństwie informacji 8.3 Postępowanie z ryzykiem w bezpieczeństwie informacji 4.2.3 Organizacja powinna prowadzić plan postępowania z ryzykiem w bezpieczeństwie informacji Organizacja powinna zachować udokumentowaną informację o wynikach planu postępowania z ryzykiem 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 16 Strona 8 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends 9. Ocena wykonania 9.1. Monitorowanie, pomiar analiza i ocena 4.2.3 9.2 Wewnętrzny audit ~~ 6 9.3. Przegląd realizowany przez kierownictwo 7 2013-11-27 (c) B.Sz 17 10. Doskonalenie ~~ 4.2.4 10.1 Niezgodności i działania korygujące 10.2 Ciągłe doskonalenie Organizacja powinna ciągle doskonalić o przydatność, o adekwatność i o skuteczność o Systemu zarządzania bezpieczeństwem informacji 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 18 Strona 9 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Załącznik A Cele stosowania zabezpieczeń i zabezpieczeń Załącznik A jest obligatoryjny o ale możliwe jest wyłączenie zabezpieczeń z tego załącznika po podaniu uzasadnienia Załącznik A stanowi podstawę do opracowania Deklaracji Stosowania Załącznik A może być uzupełniony o inne zabezpieczenia 2013-11-27 (c) B.Sz 19 A.5. Polityka bezpieczeństwa =A5 A.5.1 Wskazówki dla kierownictwa o o bezpieczeństwie informacji [2] 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 20 Strona 10 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends A.6. Organizacja bezpieczeństwa informacji A. 6.1 Wewnątrz organizacji [5] + A.6.1.5 Bezpieczeństwo informacji w zarządzaniu o Projektami {!} A.6.2 Urządzenia mobilne i praca zdalna [2] ~~11.7 2013-11-27 (c) B.Sz 21 A.7. Bezpieczeństwo zasobów ludzkich A8 A.7.1 Przed zatrudnieniem~[2] A.8.1 A.7.2 Podczas zatrudnienia =[3] A.8.2 A.7.3 Zakończenie lub zmiana zatrudnienia ~~A.8.3 [1] 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 22 Strona 11 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends A.8. Zarządzanie zasobami A7 A.8.1 Odpowiedzialność za zasoby A7.1 [4]+A8.3 A.8.2 Klasyfikacja informacji A7.2 [3]+ A.8.2.3 Utrzymanie zasobów A.8.3 Utrzymywanie nośników [3] A.10.7+A10.8 2013-11-27 (c) B.Sz 23 A.9. Kontrola dostępu A11 A.9.1 Wymagania biznesowe kontroli dostępu A11.1[2]+ A.9.1.2 Dostęp do sieci i usług sieciowych A.9.2 Zarządzanie dostępem użytkowników [6]+ A.9.2.2 Zabezpieczenia dostępu użytkowników+ A.8.2.3 A.9.3 Odpowiedzialność użytkowników A.11.3 [1] A.9.4 Kontrola dostępu do aplikacji i systemów ~~A.11.5 i A.11.6 [5] 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 24 Strona 12 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends A.10 Kryptografia ^^^ A.10.1 Zabezpieczenia kryptograficzne = A12.3 [2] 2013-11-27 (c) B.Sz 25 A.11. Bezpieczeństwo fizyczne i środowiskowe A.9 A.11.1 OBSZARY BEZPIECZNE =A9.1 A.11. Bezpieczeństwo fizyczne i środowiskowe A.11.2 Bezpieczeństwo sprzętu =A9.2 [9]+A.11.3.2 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 26 Strona 13 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends A.12. Bezpieczeństwo operacyjne A.10 A.12.1 Procedury eksploatacyjne i zakresy o Odpowiedzialności = A.10.1 A.12.2 Ochrona przed złośliwym Oprogramowaniem ~~A.10.4 [1] A.12.3 Kopie zapasowe = A.10.5 [1] A.12.4 Logowanie i monitorowanie A.10.10 [5] A 12.5 Nadzór nad oprogramowaniem ~~ A.12.5.2 A.12.6 Zarządzanie podatnościami technicznymi [2] ~~A18.1+ A.12.5.3 A.12.7 Rozważania dotyczące audytu o systemów informacyjnych [1] A15.3 2013-11-27 (c) B.Sz 27 A.13 Bezpieczeństwo komunikacji ^^ A.13.1 Zarządzanie bezpieczeństwem sieci [3] ~~~~A.11.4+A.10.6 A.13.2 Przekazywanie informacji [4] ~~ A.10.8+A6.1 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 28 Strona 14 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends A.14. Pozyskiwanie, rozwój i utrzymanie systemu A.12 A.14.1 Wymagania bezpieczeństwa systemów o Informacyjnych A.12.1+A.10.9 [3] A.14.2 Bezpieczeństwo w procesach o rozwojowych i obsługi informatycznej [9] ~~ A.12.5 A.14.2.1 Polityka bezpiecznego rozwoju A.14.2.2 Procedury kontroli zmian A.14.2.5 Zasady konstrukcji bezpiecznego systemu A.14.2.6 Bezpieczne środowisko projektowania A.14.2.8 Testowanie bezpieczeństwa systemu A.14.2.9 Testy akceptacyjne systemu A.14.3 Dane testowe == A.12.4.3 2013-11-27 (c) B.Sz 29 A 15 Stosunki z dostawcami ^^ A. 15.1 Bezpieczeństwo informacji w stosunkach z o Dostawcami ~~A.6.2 [2]+A10.8.1 A.15.1.3 Informacja i komunikacja w łańcuchu dostaw A.15.2. Zarządzanie usługami dostarczonymi przez o Dostawców~~ A.10.2 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 30 Strona 15 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends A.16. Zarządzanie incydentami w bezpieczeństwie informacji A13 A.16.1 Zarządzanie incydentami w o bezpieczeństwem informacji oraz doskonaleniem A13 [6]+ A.16.1.4 Ocena i decyzja dotycząca zdarzeń w o bezpieczeństwie informacji 2013-11-27 (c) B.Sz 31 A.17. Aspekty bezpieczeństwa informacji w Zarządzania ciągłością działania A14 A.17.1 Ciągłość działania w bezpieczeństwie o Informacji ~~ A.14.1 [3] A.17.2 Nadmiarowość [1] 2013-11-27 2013.11.28 (c) B.Sz (c) BSz 32 Strona 16 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends A.18. Zgodność A 15 A.18.1 Zgodność z przepisami prawnymi i o wymaganiami kontraktowymi A.15.1 [5] 2013-11-27 (c) B.Sz 33 ISO/IEC 27001:2005 budowa 0. wprowadzenie 0.1 Postanowienia ogólne ~~ 0.2 Podejście procesowe # 0.30,2 Zgodność z innymi systemami zarządzania ~~ 1. Zakres normy ~~ 2. Powołania normatywne ~~ 3. Terminologia i definicje ISO/IEC 27000 4. System zarządzania bezpieczeństwem informacji 4,5,6, ISO 27003 5. Odpowiedzialność kierownictwa 5 6. Wewnętrzne audyty SZBI 9.2 7. Przegląd realizowany przez kierownictwo 9.3 8. Doskonalenie SZBI 10 Załącznik. A. Cele stosowania zabezpieczeń i zabezpieczenia (czeka na ISO 27002) Załącznik. B. Zasady OECD # Załącznik. C. Korespondencja z ISO 9001:2000 i ISO 14001:2004 # 2013.11.28 (c) BSz Strona 17 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Polskie tłumaczenia norm ISO rodziny 27000 PN ISO/IEC 27000:2012 Technika informatyczna -Techniki bezpieczeństwa Terminologia systemów zarządzania bezpieczeństwem informacji Technika informatyczna Techniki zabezpieczeń Wytyczne do technik informacyjnych i komunikacyjnych dla usług odtwarzania po katastrofie PN-ISO/IEC 24762 :2010 Nowe tłumaczenia PN ISO/IEC 27005:2013 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji PN-ISO/IEC 27006:2013 2013.11.28 Technika informatyczna Techniki bezpieczeństwa Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji (c) BSz Strona 18 z 19 WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Nowe tłumaczenia PN-ISO/IEC 27013 Technika informatyczna Techniki bezpieczeństwa Wytyczne do zintegrowanego wdrożenia ISO/IEC 27001 oraz ISO/IEC 20000-1 PN-ISO/IEC 20000-1:2013 Technika informatyczna Zarządzanie usługami Część 1: Wymagania dla systemu zarządzania usługami 2013.11.28 (c) BSz Strona 19 z 19