adelsberger zdenko implementacija iso27001 2013

IMPLEMENTACIJA ISMS PREMA STANDARDU ISO/IEC 27001:2013

Dr. Zdenko AdelsbergerTrener, konzultant i auditor za

RM, BCMS, ISMS, ITSMS, QSM, OHSASzdenko@bluefield.hr

www.bluefield.hr

ICT Security 2015Kladovo, 14-16 maj 2015.

Agenda

Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013

• Značaj informacijske sigurnosti

• Upravljanje rizicima kao temelj informacijske sigurnosti

• Sistemski pristup upravljanju informacijskom sigurnošću

• Standardi za upravljanje informacijskom sigurnošću

• Implementacija informacijske sigurnosti

• Dokazivanje uspješnosti implementacije

• Poboljšanje informacijske sigurnosti

• Zaključak

Realna i virtualna domena kompanije

REALNA domena

INFORMACIJSKA(virtualna) domena

Dokumentacija+

Zapisi

Ilustracija mehanizma rizika (hakerskog napada)

PrijetnjaRanjivost objekta

Sigurnosni događaj(incident) Posljedica

Sigurnosne mjere(Mjere zaštite)

Izvor prijetnje

Odnos rizika i elemenata koji dovode do rizika

Posljedica

RanjivostPrijet

a bRizik = Prijetnja & Ranjivost & Posljedica Rizik = Vjerojatnost & Posljedica

Rizik = Prijetnja * Ranjivost * Posljedica Rizik = Vjerojatnost * Posljedica

Funkcionalna relacija

Matematička relacija

Napomena: Vjerojatnost ≠ Prijetnja * Ranjivost

Nivo informacijske sigurnosti

Nivo informacijske sigurnosti je kompromis između prihvatljivog rizika i investicije u sigurnost.

SIGURNOST

Skala prihvatljivosti rizika, odnosno sigurnosti, određuje se preko sigurnosne politike

Značenje pojma ISMS

ISMS = Information Security Management System

(Sistem za upravljanje sigurnošću informacija)

Naglasak je na: “SISTEM ZA UPRAVLJANJE”

ResursiPravila

Sistem upravljanja

Ulazni zahtjevi (poslovni ciljevi)

Zadovoljenje ulaznih zahtjeva

(poslovnih ciljeva)

Elementi sistema upravljanja

Misija

Vizija

Politike

Procesi

Strategije

Ciljevi

Funkcija upravljanja je osigurati postizanje

ciljeva i poboljšanje

Sigurnost postizanja ciljeva

temelji se na:UPRAVLJANJU

RIZICIMA

Postizanje poboljšanja temelji

se na:MJERENJU

UČINKOVITOSTI

Ciljevi

Informacijski sistemi su uvijek postojali

Što je informacija?

Signali (znakovi)

7910 je PODATAK

PIN: 7910

7910 je INFORMACIJA

(kontekst označava da je to PIN kartice)

(može biti npr. nadmorska visina, prva kozmička brzina, profit

organizacije, itd.)

00011110111001101EE6

Aspekti informacije

CJELOVITOSTIntegrity

RASPOLOŽIVOSTAvailability

INFORMACIJA

TAJNOSTConfidentiality

Relevantni nosioci informacija u poslovnom sistemu

Informacije na serverima i mreži Informacije na lokalnim

kompjuterima

Informacije prenošene telefonskim linijama i/ili

Internetom

Informacije zapisanena papiru Informacije štampane

na papiru

Informacije spremljenena diskovima, trakama,

CD-ovima, USB memorijama, ...

Informacije fax strojeva

Zaposlenici ipartneri

Odnos ISO/IEC 27001 prema informaciji

“Informacija je imovina koja kao i ostala važna imovina u poslovanju ima vrijednost za organizaciju i mora biti stalno odgovarajuće štićena.”

U kontekstu ISO/IEC 27001 pod štićenjem informacija se smatra očuvanje aspekata informacije: tajnosti, cjelovitosti i raspoloživosti. (C-I-A)

Informacijska imovina

Komponente sigurnosnog rješenja

Tehničkarješenja Organizacijska

rješenja

Procjenarizika

Politike

ProcedureSvjesnostLegitimnost

20% 80%SIGURNOSNORJEŠENJE

Upravljanje informacijskom sigurnošću obuhvaća tri široka područja

Upravljanje informacijskom

sigurnošću

Upravljanje ICT i fizičkom

zaštitom

Upravljanje legislativom, regulativom i

ugovornim obvezama

Upravljanje ljudima, procesima,

poslovanjem, operacijama, treningom / sviješću

Križ standarda za ISMS

Nacionalna legislativa

MODELISO/IEC 27001

Rječnik i definicijeISO/IEC 27000

PROPISIISO 19011

ISO/IEC 27007ISO/IEC 27008

AKREDITACIJAISO 17021

ISO/IEC 27006

Dodatni standardiISO/IEC 270xx

Kratka povijest ISO 27000ff

• 1992The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'.

• 1995This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.

• 1996Support and compliance tools begin to emerge, such as COBRA.

• 1999The first major revision of BS7799 was published. This included many major enhancements.Accreditation and certification schemes are launched.

• 2000In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).

• 2001The 'ISO 17799 Toolkit' is launched.

• 2002A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000.

• 2005A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..

• 2005ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001

• 2013ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security management system)

Odnosi relevantnih standarda za informacijske sisteme

IT-GSHBISO 27001ISO 13335

ITSEC/C

Ne tehničkiTehnički

Usmjereno na produkt

Usmjereno na sistem

CobIT = Control Objectives for Information and Related Technology (http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx)ITSEC/C = Information Technology Security Evaluation Criteria /Communication (http://www.iitsec.org/Pages/default.aspx)IT-GSHB = IT-Grundschutzhandbuch (https://www.bsi.bund.de/)

Serija standarda za ISMS

ISO/IEC 27001:2013

Information technology -- Security techniques – Information security management systems -- Requirements

• Specifikacija zahtjeva za implementaciju, rad, nadziranje, provjeru, održavanje i unapređivanje sistema upravljanja informacionom sigurnošću (Information Security Management System - ISMS);

• osnova za procjenu usuglašenosti (audit) od strane zainteresiranih strana kada je u pitanju ISMS;

• temelj za obrazovanje specijalista za ISMS (kako za menadžere ISMS, tako i za auditore ISMS);

• Osnovna norma za ISMS (sve ostale norme ove serije su smjernice - upute).

Koristi od primjene ISMS standarda

• Stvaranje viška vrijednosti• Strukturiran način podržava proces specificiranja, implementacije, rada,

održavanje, isplativosti rješenja, integriranost i usklađenost ISMS-a;• Promoviranje globalno prihvaćenih dobrih praksi informacijske sigurnosti;• Povećanje povjerenja zainteresiranih strana u organizaciju;• Zadovoljavanje socijalnih potreba i očekivanja, te• Učinkovitija ulaganja menadžmenta u informacijsku sigurnost.

Prednost provedbe ISMS-a prvenstveno će biti vidljiva u smanjenju rizika informacijske sigurnosti (tj. smanjenja vjerojatnosti, i/ili štete uzrokovane

informacijskim sigurnosnim incidentima). Ostvareni dobitak organizacije za postizanje održivog uspjeha od usvajanja ISMS standarda su:

ISO/IEC 27001:2013

Foreword0 Introduction1 Scope2 Normative references3 Terms and definitions4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system5 Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities6 Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and planning to achieve them7 Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information8 Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk treatment9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review10 Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement

Annex A (normative) Reference control objectives and controls

Bibliography

Sigurnosna područja prema 27001:2013 Aneks A

1 A.5. Politike informacijske sigurnosti2 A.6. Organizacija informacijske sigurnosti3 A.7. Sigurnost ljudskih resursa4 A.8. Upravljanje imovinom5 A.9. Kontrola pristupa6 A.10. Kriptografija7 A.11. Fizička sigurnost i sigurnost okoliša8 A.12. Operativna sigurnost9 A.13. Sigurnost komunikacija10 A.14. Nabavka sistema, razvoj i održavanje11 A.15. Odnosi s dobavljačima12 A.16. Upravljanje incidentima informacijske sigurnosti13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja14 A.18. Usuglašenost

Dokumentacija za ISMS – dokumentirane informacije

Procedure

Radne upute,check liste,formulari

Zapisi

ISMS DOKUMENTACIJASigurnosne upute

(Manual)Sigurnosna politika,područje djelovanja,

procjena rizika,SoA

PROCEDURE:tko, šta, kada, gdje?

RADNE UPUTE:Detaljni opis zadataka i aktivnosti

ZAPISI:Evidencije o sukladnosti s ISMS zahtjevima

NIVO 2

NIVO 3

NIVO 4

NIVO 1

ISMS je poslovni proces

RESURSI

PRAVILA

PDCA model primijenjen na ISMS proces

PLAN(uspostaviti ISMS)

Uspostaviti ISMS politiku, ciljeve, procese i procedure važne za upravljanje rizikom i poboljšanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije.

DO(implementirati i izvršavati ISMS)

Implementirati i izvršavati ISMS politiku, kontrole, procese i procedure.

CHECK(nadgledati i

provjeravati ISMS)

Procijeniti i gdje je primjenjivo, mjeriti izvršavanje procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavati upravu o rezultatima radi provjere.

ACT(održavati i

poboljšavati ISMS)

Poduzeti korektivne i preventivne akcije zasnivane na rezultatima interne ISMS prosudbe (audita) i provjere uprave ili ostalim bitnim informacijama, kako bi se postiglo stalno poboljšanje ISMS-a.

Zainteresiranestrane

Zahtjevi i očekivanja od informacijske

sigurnosti

Zainteresiranestrane

Upravljana informacijska

sigurnost

Usposta-vljanje ISMS

Implementacija i pokretanje

Kontrola i nadgledanje

Poboljšanje i održavanje

Projekt implementacije ISMS prema ISO/IEC 27001

Definiranjeopsega

Evidencijaimovine

Odgovornosti

Klasifikacija

Upravljanje dokumentacijom

Plan procjene rizika

Izjava o primjenljivosti

i preostalom riziku

ImplementacijaISMS Procedure

za upravljanje incidentima

Identifikacija i implementacija

poboljšanja

Sigurnosna politika uprave

Procjena rizika i plan

obrade

Prihvaćanje i odobrenje

uprave

Priprema dokumentacije

Trening i svijesnost

Monitoring, pregledi, testiranje,

P D C A

USPOSTAVA ISMS(P – faza)

Definicija područja i obuhvata

Korak 1

Definicija sigurnosne politike

Korak 2

Identifikacija rizika

Korak 4

Analiza i procjena

rizika

Korak 5

Obrada rizika

Korak 6

Izbor ciljeva sigurnosnih

mjera i kontrola

Korak 7

Osiguranje autorizacije uprave za

implementaciju ISMS

Korak 9

Priprema dokumenta:

Izjava o primjenljivosti

Korak10

Osiguranje uprave za

odobrenje i prihvaćanje preostalog

rizika

Korak 8

Dokument Područje

DokumentSigurnosna politika

Lista rizika i popisa

imovine

Izvještaj o rezultatima

procjene rizika

Izvještaj o rezultatima

obrade rizika

Standard za mjerenje

rizika

Pisano odobrenje za preostali

Izjava o primjenljivost

i(SoA)

Informacijska imovina, prijetnje, ranjivost i posljedice

Definicija metode procjene

rizika

Korak 3

Faza 1 Faza 2 Faza 3

Standardi za implementaciju upravljanja rizicima (prisup

organizacije, metode i analize za postizanja zahtjevanog

nivoa sigurnosti)

• Lista potencijalnih ciljeva i sigurnosnih mjera (kontrola)

• Lista dodatnih kontrola koje nisu definirane u ISMS certifikacijskim kriterijima

Faze implementacije ISMS

PROJEKTIMPLEMENTACIJE

PROCES UPRAVLJANJA

AUDIT (CERTIFIKACIJA)

Početak projekta

implementacije ISMS

PRIPREMA ZA PROJEKT

IMPLEMENTACIJE ISMS

•Animacija vrhovne uprave•Obrazovanje tima za implementaciju (procjenu rizika)

Mjerenje ISMS-a: zašto i kako?

Zato što standard ISO/IEC 27001

eksplicitno zahtjeva mjerenja na niz

mjesta !!!

Zato što apsolutno vrijedi konstatacija koju je izrekao

Kelvin, Lord William Thomson,1824-1907:

„Kada ono, o čemu govorite, možete izmjeriti i brojčano izraziti, onda Vi o tome i nešto znate – ali ako ne možete izmjeriti i brojčano

izraziti, onda je Vaše znanje mršavo i nezadovoljavajuće

vrste!”

Zato što su mjerenja preduvjet temeljnog zahtjeva svakog sistema upravljanja: POBOLJŠANJE

Što mjeriti kod ISMS ?

Učinkovitost (efektivnost) je pojam

pod kojim se podrazumijeva izvođenje pravih stvari (aktivnosti)

koje dovode do ostvarenja cilja.

Efikasnost

se definira kao ostvarenje nekog cilja

s minimumom troškova, napora ili

gubitaka.

PRAVA STVAR na PRAVI NAČIN

Ocjenjivanje uspješnosti ISMS – Interni audit

ISO/IEC 27001

ISO 19011

ISO/IEC 27007

ISO/IEC 27008

Nacionalna legislativa

Organizacijski dokumenti

Obligatorni zahtjevi partnera

INTERNI AUDIT

Kontinuirano poboljšanje

Organizacija mora kontinuirano provoditi primjereno i učinkovito poboljšanje sistema upravljanja informacijskom sigurnošću.

Upravina ocjena

Unutarnji audit

Mjerenje učinkovitosti

Upravljanje incidentima

Procjena rizikaKorektivne

akcije

PDCA ciklus poboljšanja

Zaključak

• Uspostavljanje i poboljšanje ISMS-a je poslovna potreba svih

organizacija u cilju očuvanje ključnog resursa – INFORMACIJE

• Uspostavljanje ISMS-a stvara doprinos povećanja viška vrijednosti

• Uspostavljanje ISMS-a ponekad je zakonska ili obligatorna obaveza

• Uspostavljeni ISMS ne garantira uspješno poslovanje, ali neuspješni

ISMS garantira propast kompanije – pitanje je samo vremena.

Hvala na pažnji …

Pitanja

Komentari

adelsberger zdenko implementacija iso27001 2013

Engineering

lešić, zdenko - novi historicizam

iso27001 bilgi güvenliği yönetim sistemi uyum...

prof.dr.sc.. zdenko klepić

integracija - iso27001-iso20000

isms iso27001

norma iso27001

bsi iso27001 requirements r1

dr.sc. zdenko adelsberger - "upravljanje rizicima prema iso...

prof. dr zdenko - core

vodstvo prof.dr.sc zdenko klepić

iso27001 processimplementation

zdenko runjic - album

mr sci zdenko janković

isms iso27001:2005

iso27001 persian

zdenko basic (zdenko baŠiĆ)

information security & iso27001

zaštitno kodiranje - zdenko vrdoljak

adelsberger zdenko - integracija sistema upravljanja prema...

iso27001 introduction basic