27000serien*og*nyheder*i* iso*27001*og*iso*27002* · 27000serien*og*nyheder*i*...
TRANSCRIPT
27000-‐serien og nyheder i ISO 27001 og ISO 27002
Dansk Industri/ITEK 3. juni 2014
Jesper E. Siig
Senior Security Advisor
Om Neupart • ISO 27001 certificeret virksomhed.
• Udvikler og sælger SecureAware®, en komplet og effektiv ISMS-‐løsning, som hjælper virksomheder med it-‐risikovurdering og enklere efterlevelse af deres it-‐sikkerhedskrav
• Leverer SecureConsult, som er rådgivning og hjælp fra erfarne it-‐sikkerhedskonsulenter.
• Mere end 200+ kunder i mange brancher og
størrelser
IT GRC = IT Governance,
Risk & Compliance Management
Indhold 1. Overblik over ISO 27000-‐serien 2. Hvad blev der lige af DS 484? 3. ISO 27001 vs. ISO 27002 vs. DS 484 4. Nyheder i 2014-‐udgaven af ISO 27002 5. Nyheder i 2013-‐udgaven af ISO 27001 6. Hvordan skifter man fra den gamle ISO 27001 til den nye? 7. Hvordan skifter man fra DS 484 til ISO 27001?
© Neupart A/S
Hele ISO 270
00 Fam
ilien
© ISO/IEC 27000:2014
Det formelle krav om efterlevelse DS 484 indenfor Staten er udfaset, da ISO 27001 kom på dansk d. 23. januar 2014
DS 484 • 2005 • Dansk norm • Checkliste-‐sikkerhed • Opera<onelle krav • “One size fits all”
ISO 27001 • 2013 • Interna<onal Standard • Risikobaseret • Krav <l ledelsessystem • Tilpasses virksomheden
Hvad blev der lige af DS 484?
ISO 27002 ..... 9.1.3 ..should.. 9.1.4 ..should.. 9.1.5 ..should.. 9.1.6 ..should.. 9.2.1 ..should.. 9.2.2 ..should.. …. 35 objectives, 113 controls ~600 guidances …should..
ISO 27001 ISMS: • Ledelsesforankring • Risikostyring • Statement of Applicability • Performance-‐måling • Konstant forbedring ISO 27001 -‐ Annex A ..... A9.1.3 ..shall.. A9.1.4 ..shall.. A9.1.5 ..shall.. A9.1.6 ..shall.. A9.2.1 ..shall.. A9.2.2 ..shall.. …. 35 styringsmål (”objectives”) + 113 foranstaltninger (”controls”) som skal vælges til eller fra i ”Statement of Applicability”
DS 484 …. 9.1.3 ..skal.. 9.1.4 ..skal.. 9.1.5 ..skal.. 9.1.6 ..skal.. 9.2.1 ..skal.. 9.2.2 ..skal.. …. 39 mål, 135 foranstalt-‐ninger
..skal..
…. 9.1.3 a,b,*c,*d 9.1.4 a,b,c 9.1.5 .a,*b,*c,*d 9.1.6 a,b,*c,*d,e,*f 9.2.1 a,b,c,d,e,*f .. 9.2.2 a,*b,*c,*d,*e,f,*g …. ~600 implementerings-‐retningslinjer ..skal.. Dvs. det er absolutte krav ift. efterlevelse af DS 484
LEDELSES-OVERBYGNING
Hvad er der af nyt i ISO 27002? (ift. DS 484)
• Flere kapitler • Færre krav • En del kontroller har holdt flyttedag • Kapitel 3 – Termer og definitioner er flyttet hjemmefra, til ISO 27000
• Kapitel 4 – Risikovurdering og –håndtering er flyttet hjemmefra, til ISO 27001
• Men ellers er tankegang og opbygning bevaret • Bonus: Den engelske version følger med (på hver anden side)
Fra DS 48
4 til IS
O 270
02
5 Informa<onssikkerhedspoli<kker
6 Organisering af informa<onssikkerhed
7 Medarbejdersikkerhed
8 Styring af ak<ver
9 Adgangsstyring
10 Kryptografi
11 Fysisk sikring og miljøsikring
12 DriTssikkerhed
13 Kommunika<onssikkerhed
14 Anskaffelse, udvikling og vedlige-‐holdelse af systemer
15 Leverandørforhold
16 Styring af informa<onssikkerhedsbrud
17 Informa<onssikkerhedsaspekter ved nød-‐, beredskabs-‐ og reetableringsstyring
18 Overensstemmelse
4 Risikovurdering og –håndtering
5 Overordnede retningslinjer
6 Organisering af informa<onssikkerhed
7 Styring af informa<onsrelaterede ak<ver
8 Medarbejdersikkerhed
9 Fysisk sikkerhed
10 Styring af netværk og driT
11 Adgangsstyring
12 Indkøb, udvikling og vedligeholdelse af informa<onsbehandlingssystemer
13 Styring af sikkerhedshændelser
14 Beredskabsstyring
15 Overensstemmelse med lovbestemte og kontraktlige krav
Nyt
11 nye kontroller en masse flyttet 20 slettet
Nyt
Opsplitning
ISO 27001
Er der noget om Cloud? Ikke direkte, men afsnittet om leverandører er nyt og indholdet strammet op. Og der er en ny standard på vej: ISO 27017 Code of practice for information security controls based on ISO/IEC 27002 for cloud services (ETA 2015)
Hvad så med BYOD?
Kontroller i ISO 27002:
5.1.1 Politikker for informations-‐sikkerhed
6.2.1 Politik for mobilt
udstyr
5.1.1 Politikker for informationssikkerhed
ISO 27002 Afsnit 5.1.1 (uddrag)
Eksempler på sådanne emner omfatter: …Slutbrugerorienterede emner som fx: ... d) mobilt udstyr og mernarbejdspladser …
6.2.1 Politik for mobilt udstyr
ISO 27002 Afsnit 6.2.1 (uddrag)
Politikken for mobilt udstyr bør omfatte: a) Registrering af mobilt udstyr b) Krav til fysisk beskyttelse c) Begrænsning af softwareinstallation d) Krav til softwareversioner i mobilt udstyr og
anvendelse af patches e) Begrænsninger af forbindelse til
informationstjenester f) Adgangsstyring g) Kryptografi h) Malwarebeskyttelse i) Deaktivering, sletning og spærring j) Backup k) Brug af webtjenster og webapps
Så hvad er der sket med ISO 27001?
• En ny struktur • Nyt indhold • Den er stadig kort: 9 sider
med krav til et ”ISMS” • Konkrete kontroller findes
stadig i Annex A, som refererer til ISO 27002
• Den er rimeligt bagud-‐kompatibel
ISO 27001 : 2013 indhold
4 Organisa<onens
kontekst 5 Lederskab 6 Planlægning
7 Support 8 DriT 9 Evaluering
10 Forbedring
Hvad skete der lige med PDCA? Der er stadig krav løbende forbedringer Plan -‐ Do – Check – Act kan vælges til at opnå dette. Og metoden ligger stadig nedenunder, som vi skal se…
Kontekst
Lederskab
Planlægning
Support
DriT
Forbedring
Evaluering
PLAN
DO
CHECK
ACT
4 Organisationens kontekst
1. Forståelse af organisationen og dens kontekst
2. Forståelse af interessenters behov og forventninger
3. Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed
4. Ledelsessystem for informationssikkerhed
5 Lederskab
1. Lederskab og engagement
2. Politik 3. Roller, ansvar og
beføjelser i organisationen
Kontekst
Lederskab
Planlægning
Support
DriT
Forbedring
Evaluering
PLAN
DO
CHECK
ACT
6 Planlægning
1. Handlinger til håndtering af risici og muligheder
2. Informationssikkerhedsmålsætninger og planlægning for opnåelse heraf
Kontekst
Lederskab
Planlægning
Support
DriT
Forbedring
Evaluering
PLAN
DO
CHECK
ACT
Hovedbudskabet: Virksomheden skal have en proces til
at håndtere risici
Mere frihed i dit valg af risikometode Krav til processen: 1. Kriterier for risiko, også for
risikoappetit 2. Risikovurderinger 3. Fortløbende, konsistent
proces, der sikrer sammenlignelige og korrekte resultater
Men bemærk: Der er ikke længere krav om at det skal være ISO 27005, der anvendes
Et enkelt nyt begreb: Risiko-‐ejer • Godkender handlingsplaner for risikohåndtering og accepterer/afviser risici • Bemærk: Aktiv-‐ejerskab er ikke længere et formelt 27001-‐krav, men findes
som kontrol i Annex A/ISO 27002
SoA hænger tæt sammen med risikohåndtering
Risikohåndtering
SoA = Statement of Applicability
• Vælg behandlingsform • Vælg tiltag/kontroller • Check Annex A for om alle nødvendige kontroller er med • Begrund fravalg OG tilvalg
7 Support
1. Ressourcer 2. Kompetencer 3. Bevidsthed 4. Kommunikation 5. Dokumenteret
information
Kontekst
Lederskab
Planlægning
Support
DriT
Forbedring
Evaluering
PLAN
DO
CHECK
ACT
8 Drift
1. Driftplanlægning og –styring
2. Vurdering af informationssikkerheds-‐risici
3. Håndtering af informationssikkerheds-‐risici
Kontekst
Lederskab
Planlægning
Support
DriT
Forbedring
Evaluering
PLAN
DO
CHECK
ACT
Risikostyring = Risikovurdering + Risikohåndtering
• Risikoejer • (Aktiver) • Trusler • Business Impact
Assessment
• Sårbarhedsvurdering • Rapportering og evaluering • Håndtering: Acceptér, Reducér,
Del eller Undgå
Risikohåndtering
Accepter Reducér
Del Undgå
Dette er valgmulighederne jævnfør ISO 27001:2005 og ISO 27005. ISO 27001:2013 kræver ikke netop disse 4 former. Kravet er, at der er findes en struktureret proces for risikohåndtering. Man kan selvfølgeligt stadig vælge disse 4 måder
9 Evaluering
1. Overvågning, måling, analyse og evaluering
2. Intern audit 3. Ledelsens gennemgang
Kontekst
Lederskab
Planlægning
Support
DriT
Forbedring
Evaluering
PLAN
DO
CHECK
ACT
10 Forbedring
1. Afvigelser og korrigerende handlinger
2. Løbende forbedring
Kontekst
Lederskab
Planlægning
Support
DriT
Forbedring
Evaluering
PLAN
DO
CHECK
ACT
Hvad skal jeg gøre for at skifte fra den gamle 27001 til den nye?
Ingenting!
Ok, måske ikke, men næsten…
• Der er meget der kan genbruges • Med enkelte ændringer kan dit eksisterende ISMS tilpasses ISO27001:2013
• SoA bør omstruktureres jf. den nye ISO 27002 • Udnyt fleksibiliteten • (Hvis man ikke er så erfaren i ISMS, så kan det være sværere at starte helt fra bunden)
Hvor kan man optimere?
• Hvis man allerede har et ERM vil integrere til
• Hvis man vil simplificere eller ændre risikoprocessen
• Hvis man har implementeret management review efter ISO27001:2005 kan man nok simplificere
• Hvis man vil tilpasse sit ISMS endnu bedre til sin egen virksomhed
Mindre form, mere funktion
4 gode steder at starte
Risk
• Evaluer din riskmetode
• Risikohåndtering er central
• Husk “opportuni<es”
• Særskilt emne på Neupart Webinar
• Neupart Whitepaper*
Metrikker
• Start pragma<sk • Mål hvad du kan måle
• Rafinér i takt med at modenheden i dit ISMS s<ger
• Neupart Whitepaper*
Mgmt. review
• Smid din nuværende proces ud!
• Lav review af det der giver mening
• Du skal sikre dig dit ISMS kører som det skal
SoA
• Der er nye sikrings<ltag i 27002
• Begrund <lvalg og fravalg
• Husk sammen-‐hæng med risiko-‐håndtering
• Særskilt emne på Neupart Webinar
*http://www.neupart.dk/temaer/iso-‐27001.aspx
“Men vi bruger DS 484!”
• Den var straks værre • Det er virkelig synd for jer! • Modtag vores dybeste
medfølelse J • Spøg til side…. • I får mere at lave end dem
der bruger ISO 27001:2005 • For, hvad er det I mangler?
ISO 27002 ..... 9.1.3 ..should.. 9.1.4 ..should.. 9.1.5 ..should.. 9.1.6 ..should.. 9.2.1 ..should.. 9.2.2 ..should.. …. 35 objectives, 113 controls ~600 guidances …should..
ISO 27001 ISMS: • Ledelsesforankring • Risikostyring • Statement of Applicability • Performance-‐måling • Konstant forbedring ISO 27001 -‐ Annex A ..... A9.1.3 ..shall.. A9.1.4 ..shall.. A9.1.5 ..shall.. A9.1.6 ..shall.. A9.2.1 ..shall.. A9.2.2 ..shall.. …. 35 styringsmål (”objectives”) + 113 foranstaltninger (”controls”) som skal vælges til eller fra i ”Statement of Applicability”
DS 484 …. 9.1.3 ..skal.. 9.1.4 ..skal.. 9.1.5 ..skal.. 9.1.6 ..skal.. 9.2.1 ..skal.. 9.2.2 ..skal.. …. 39 mål, 135 foranstalt-‐ninger
..skal..
…. 9.1.3 a,b,*c,*d 9.1.4 a,b,c 9.1.5 .a,*b,*c,*d 9.1.6 a,b,*c,*d,e,*f 9.2.1 a,b,c,d,e,*f .. 9.2.2 a,*b,*c,*d,*e,f,*g …. ~600 implementerings-‐retningslinjer ..skal.. Dvs. det er absolutte krav ift. efterlevelse af DS 484
LEDELSES-OVERBYGNING
Hvordan får i lavet overbygninger?
1. Ledelsesforankring – Kig på organisationen
2. Etabler risikostyring – Der findes ikke IT-‐risici – kun forretningsrisici!
3. Vurder behovet for kontroller – Dokumenteres i Statement of Applicability
4. Tænk i processer – Plan-‐Do-‐Check-‐Act/Konstant forbedring
Læs mere (I)
http://www.neupart.dk/nyheder/gratis-‐whitepaper-‐om-‐at-‐skifte-‐fra-‐ds-‐484-‐til-‐iso-‐27001.aspx
Læs mere (II)
http://www.neupart.com/news/iso-‐270012013-‐statement-‐of-‐applicability.aspx
Ellers skriv gerne til [email protected]