ISO 27001 – nowy standard bezpieczeństwa
CryptoCon, 30-31.08.2006
Plan prezentacji
•• ZagroZagrożżenia dla informacjienia dla informacji
•• Normy zarzNormy zarząądzania bezpieczedzania bezpieczeńństwem informacjistwem informacji
•• BS 7799BS 7799--2:2002 a ISO/IEC 27001:20052:2002 a ISO/IEC 27001:2005
•• ISO/IEC 27001:2005ISO/IEC 27001:2005
•• WdraWdrażżanie Systemu Zarzanie Systemu Zarząądzania Bezpieczedzania Bezpieczeńństwem stwem Informacji w firmieInformacji w firmie
Plan prezentacji
•• ZagroZagrożżenia dla informacjienia dla informacji
•• Normy zarzNormy zarząądzania bezpieczedzania bezpieczeńństwem informacjistwem informacji
•• BS 7799BS 7799--2:2002 a ISO/IEC 27001:20052:2002 a ISO/IEC 27001:2005
•• ISO/IEC 27001:2005ISO/IEC 27001:2005
•• WdraWdrażżanie Systemu Zarzanie Systemu Zarząądzania Bezpieczedzania Bezpieczeńństwem stwem Informacji w firmieInformacji w firmie
Liczba incydentów
Procent firm deklarujących wystąpienie incydentów
36
46
12 4 1
23
56
14 5 2
36
51
10 3 10
10
20
30
40
50
60
0 1-9 10-49 50-499 >500
Liczba incydentów
%
2002 2004 2005
Źródło: CSO 2005
Główne typy ataków
Źródło: CSO 2005
Pięć głównych typów ataku
15%
21%
25%
26%
59%
0% 10% 20% 30% 40% 50% 60% 70%
Nielegalne dane idokumenty
Przeciążenie serwerapoczty
Nieautoryzowanewejście
Inny
Złośliwy kod
Główne kierunki ataków
Pięć głównych kierunków ataku
16%
19%
21%
26%
68%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Znana luka w programowaniu
Inne
Nadużycie uprawnień
Znana luka w systemie operacyjnym
E-mail z wirusem
Źródło: CSO 2005
Główne źródła ataków
Pięć głównych źródeł ataku
11%
20%
25%
33%
63%
0% 10% 20% 30% 40% 50% 60% 70%
Klienci
Byli pracownicy
Inne
Pracownicy
Hakerzy
Źródło: CSO 2005
Skąd firma dowiedziała się o ataku?
Skąd firma dowiedziała się o ataku
11%
14%
21%
39%
50%
0% 10% 20% 30% 40% 50% 60%
Ostrzeżenie oddostawcy usług
Alarm od klienta
Uszkodzeniamaterialne lub danych
Ostrzeżenie od kolegi
Firewall, plik Log, IDS
Źródło: CSO 2005
Kto został poinformowany o ataku
W rezultacie ataku skontaktowałem się z:
12%
14%
16%
55%
0% 10% 20% 30% 40% 50% 60%
Konsultantami
Partnerami/dostawcami
Klientami
Nikim
Źródło: CSO 2005
Bezpieczeństwo w praktyce
• Jedno z czasopism stało się posiadaczem dysków twardych z danymi MSZ.
• „Nie ma pewności, że dane podatników w urzędach skarbowych sącałkowicie bezpieczne” – cytat Wojewódzkiego Sądu Administracyjnego w Warszawie.
• Na śmietniku znaleziono dokumenty z informacjami o osobach, które pobierały zasiłki (500 nazwisk, PESEL, adresy zamieszkania).
Bezpieczeństwo w praktyce
„Sprzedali mu nasze konta…”
Poufne dane z Banku Millennium znalazły się na wysypisku. Bankowcy sązszokowani tą informacją. To jak mają czuć się klienci?
Tysiąc numerów kart płatniczych, dane osobowe, faktury, informacje o kontach i niemal tysiąc listów od klientów Banku Millennium, wylądowało na złomowisku. Wszystko to zawierał twardy dysk komputera, który trafiłprzypadkiem do mieszkańca Gdańska.
Super Express, 17 lutego 2005
Konieczność ochrony informacji
• Konieczność uchronienia się przed utratą reputacji, odpowiedzialnością karnączy koniecznością zapłaty kar finansowych spowodowanych przez przypadkowe oraz umyślne naruszenia bezpieczeństwa.
• Zagrożenia związane z coraz to nowymi zastosowaniami systemów informatycznych, przetwarzających coraz więcej informacji.
• Niska świadomość pracowników dotycząca zagrożeń.
• Stworzenie struktury zarządzania gwarantującej monitorowanie stanu bezpieczeństwa i reagującej na zmieniające się uwarunkowania w tym zakresie.
• Określenie odpowiedzialności związanych z bezpieczeństwem informacji.
• Aspekt „marketingowy” – najlepsi inwestują w bezpieczeństwo.
Plan prezentacji
•• ZagroZagrożżenia dla informacjienia dla informacji
•• Normy zarzNormy zarząądzania bezpieczedzania bezpieczeńństwem informacjistwem informacji
•• BS 7799BS 7799--2:2002 a ISO/IEC 27001:20052:2002 a ISO/IEC 27001:2005
•• ISO/IEC 27001:2005ISO/IEC 27001:2005
•• WdraWdrażżanie Systemu Zarzanie Systemu Zarząądzania Bezpieczedzania Bezpieczeńństwem stwem Informacji w firmieInformacji w firmie
Historia standardów
Standardy:
Brytyjskie
Polskie
Międzynarodowe
BS PD0003:1993
WYTYCZNE WYMAGANIA
BS 7799-1:2002
PN-ISO 17799:2003
BS 7799-1:1995
BS 7799-1:1999 BS 7799-2:1999
BS 7799-2:2002
ISO/IEC 17799:2000
ISO/IEC 27001:2005
Rodzina standardów ISO/IEC 27000
ISO/IEC 17799:2005 PN-I-07799-2:2005
1993
1995
1998
1999
2000
2002
2003
2005
2007
BS 7799-2:1998
ISO/IEC 27001 a ISO/IEC 17799
WymaganiaWymagania
Norma ISO/IEC 27001 służy do certyfikacji
WytyczneWytyczne
System zarządzania bezpieczeństwem informacji
Norma ISO/IEC 17799 – jest kodeksem,
zawiera wytyczne, a nie wymagania
Plan prezentacji
•• ZagroZagrożżenia dla informacjienia dla informacji
•• Normy zarzNormy zarząądzania bezpieczedzania bezpieczeńństwem informacjistwem informacji
•• BS 7799BS 7799--2:2002 a ISO/IEC 27001:20052:2002 a ISO/IEC 27001:2005
•• ISO/IEC 27001:2005ISO/IEC 27001:2005
•• WdraWdrażżanie Systemu Zarzanie Systemu Zarząądzania Bezpieczedzania Bezpieczeńństwem stwem Informacji w firmieInformacji w firmie
Norma ISO/IEC 27001:2005
• Mając na uwadze postępujący rozwój na rynku bezpieczeństwa informacji organizacja ISO (International Organization for Standardization) w listopadzie ubiegłego roku zakończyła prace nad nową normą, której zamierzeniem jest zapewnienie bezpieczeństwa informacji we wszystkich jego aspektach.
• Norma ta wprowadza udoskonalenia w stosunku dopoprzednio obowiązującego standardu, czyli normyBS 7799-2:2002.
Zmiany wprowadzone w ISO/IEC 27001:2005
• Wymagania dotyczące zarządzaniu incydentami bezpieczeństwa zebrano w jeden nowy punkt normy.
• Rozszerzone zostały kwestie dotyczące identyfikacji sprzętu w sieciach, jak również
zarządzania i nadzoru nad technicznymi podatnościami.
• Dodano kryteria oceny nowych technologii takich jak:
– transakcje on-line,
– mobilny kod.
Zmiany wprowadzone w ISO/IEC 27001:2005
• Wprowadzono wymaganie dotyczące pomiaru skuteczności wdrożonych zabezpieczeń.
• Wprowadzono wymaganie ukierunkowania planów ciągłości działania na aspekt bezpieczeństwa informacji.
• Rozszerzone zostały kwestie dotyczące między innymibezpieczeństwa w kontaktach z klientami.
Plan prezentacji
•• ZagroZagrożżenia dla informacjienia dla informacji
•• Normy zarzNormy zarząądzania bezpieczedzania bezpieczeńństwem informacjistwem informacji
•• BS 7799BS 7799--2:2002 a ISO/IEC 27001:20052:2002 a ISO/IEC 27001:2005
•• ISO/IEC 27001:2005ISO/IEC 27001:2005
•• WdraWdrażżanie Systemu Zarzanie Systemu Zarząądzania Bezpieczedzania Bezpieczeńństwem stwem Informacji w firmieInformacji w firmie
Systemowe podejście do bezpieczeństwa informacji
Bezpieczeństwo
prawne
Bezpieczeństwo
informatyczneBezpieczeństwo
fizyczne
Bezpieczeństwo
osobowe
ISO 27001
Informacje
Ludzie Usługi
Technologia
Norma ISO/IEC 27001:2005
• Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństweminformacji, podporządkowanych 11 grupom wymagań.
• Pozwala przedsiębiorstwu na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadząoraz otoczenia rynkowego i potrzeb w powyższym zakresie.
• Szczególny nacisk położony jest na zarządzanie ryzykiemutraty ważnych informacji.
• Norma dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów.
• Norma uwzględnia najnowsze formy działalności gospodarczej, np. e-biznes, internet, outsourcing, teleworking, mobile computing.
Zarządzanie ryzykiem
Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest minimalizacja ryzyka utraty najważniejszych informacji organizacji .
OCENA RYZYKA UTRATY INFORMACJI
WDROŻENIE PLANU MINIMALIZACJI
RYZYKA UTRATY INFORMACJI
MONITOROWANIE PLANU MINIMALIZACJI RYZYKA
UTRATY INFORMACJI
OPRACOWANIE PLANU
MINIMALIZACJI RYZYKA
ISO/IEC 27001 – Spis treści
ISO/IEC 27001ISO/IEC 27001
WymaganiaWymagania
0 Wstęp
1 Zakres normy
2 Odwołania normatywne
3 Terminy i definicje
4 System zarządzania bezpieczeństwem informacji
5 Odpowiedzialność kierownictwa
6 Audyty wewnętrzne
7 Przegląd kierownictwa SZBI
8 Udoskonalanie SZBI
9 Załącznik A (ISO/IEC 17799)
ISO/IEC 27001 – Spis treści
WymaganiaWymagania
ISO/IEC 270011. Polityka bezpieczeństwa2. Organizacja bezpieczeństwa3. Klasyfikacja i kontrola zasobów4. Bezpieczeństwo osobowe5. Zarządzanie systemami i sieciami6. Bezpieczeństwo fizycznei środowiskowe7. Kontrola dostępu do systemu
8. Pozyskiwanie, rozwój i utrzymanie systemu
9. Zarządzanie incydentami bezpieczeństwa
10. Zarządzanie ciągłością działania11. Zgodność z wymaganiami prawa i
własnymi standardami
A.5 Polityka bezpieczeństwa
A.6 Organizacja bezpieczeństwa informacji
A.7 Zarządzanie aktywami
A.8 Bezpieczeństwo osobowe
A.9 Bezpieczeństwo fizyczne i środowiskowe
A.10 Zarządzanie systemami i sieciami
A.11 Kontrola dostępu do systemów
A.12 Pozyskanie, rozwój i utrzymanie systemów
A.13 Zarządzanie incydentami bezpieczeństwa
A.14 Zarządzanie ciągłością działania
A.15 Zgodność (z wymaganiami prawa i własnymi standardami)
ISO/IEC 27001 – wymagania
Zakres dokumentacji SZBI� Polityka Bezpieczeństwa Informacji
� Zakres SZBI
� Raport z procesu szacowania ryzyka
� Plan minimalizacji ryzyka
� Udokumentowane procedury służące eksploatacji SZBI
� Metodyka szacowania skuteczności wdrożonych zabezpieczeń
� Zapisy wymagane przez normę
� Deklaracja stosowania
Nadzór nad dokumentami
Nadzór nad zapisami
Wymagania dotyczWymagania dotycząące dokumentacjice dokumentacji
OdpowiedzialnoOdpowiedzialnośćść kierownictwakierownictwa
ISO/IEC 27001 – wymagania
� Zaangażowanie kierownictwa
� Zapewnienie zasobów
� Zapewnienie kompetencji osób odpowiedzialnych za bezpieczeństwo
� Szkolenia i uświadamianie pracowników
ISO/IEC 27001 – wymagania
Audyty wewnAudyty wewnęętrzne SZBItrzne SZBI
� Badające spełnienie wymagań prawnych i normy
� Badające spełnienie wymagań SZBI
� Udokumentowane
� Przeprowadzane planowo
ISO/IEC 27001 – wymagania
PrzeglPrzegląąd SZBI realizowany przez d SZBI realizowany przez kierownictwokierownictwo
� Przeprowadzane planowo
� Zapewniające stosowność, adekwatność i efektywność SZBI
� Udokumentowane
Dane wejściowe przeglądu
Dane wyjściowe przeglądu
ISO/IEC 27001 – wymagania
Doskonalenie SZBIDoskonalenie SZBI
� Ciągłe doskonalenie
� Działania korygujące
� Działania prewencyjne
ISO/IEC 27001 – wymagania
A.5 A.5 Polityka bezpieczePolityka bezpieczeńństwastwa
� Polityka bezpieczeństwa informacji
Ukazanie wsparcia kierownictwa dla bezpieczeństwa informacji.
ISO/IEC 27001 – wymagania
A.6 A.6 Organizacja bezpieczeOrganizacja bezpieczeńństwa stwa informacjiinformacji
� Infrastruktura wewnątrz organizacjiOkreślenie odpowiedzialności i zasad zarządzania bezpieczeństwem informacji.
� Strony trzecieRyzyka związane z dostępem stron trzecich do aktywów organizacji.
ISO/IEC 27001 – wymagania
A.7 A.7 ZarzZarząądzanie aktywamidzanie aktywami
� Odpowiedzialność za aktywaOkreślenie odpowiedzialności za aktywa organizacji.
� Klasyfikacja informacji
Zdefiniowanie klasyfikacji informacji i określenie właściwych
poziomów ochrony.
ISO/IEC 27001 – wymagania
A.8 A.8 BezpieczeBezpieczeńństwo osobowestwo osobowe
� Bezpieczeństwo procesu rekrutacjiZapewnienie bezpieczeństwa procesu rekrutacji (określenie odpowiedzialności, przypisanie ról, redukcja ryzyka kradzieży, oszustwa lub nadużycia).
� Obsługa zatrudnieniaKreowanie świadomości pracowników w odniesieniu do zagrożeń dla informacji organizacji, odpowiedzialności i obowiązków.
� Derekrutacja lub ruchy kadroweZapewnienie prawidłowości procesu derekrutacji (odpowiedzialności za derekrutację, zwrot aktywów, odebranie praw dostępu).
ISO/IEC 27001 – wymagania
A.9 A.9 BezpieczeBezpieczeńństwo fizyczne i stwo fizyczne i śśrodowiskowerodowiskowe
� Obszary bezpieczneZapobieganie nieautoryzowanemu wtargnięciu lub zakłóceniu działania organizacji.
� Bezpieczeństwo wyposażeniaZapobieganie utracie, uszkodzeniu, kradzieży wyposażenia.
ISO/IEC 27001 – wymagania
A.10 A.10 ZarzZarząądzanie systemami i dzanie systemami i sieciamisieciami
� Procedury operacyjne i odpowiedzialnośćZapewnienie bezpieczeństwa dla działania urządzeńprzetwarzających informacje.
� Zarządzanie realizacją usług przez strony trzecieZapewnienie właściwego poziomu bezpieczeństwa informacji i usług dostarczanych przez strony trzecie.
� Planowanie systemu i akceptacjaMinimalizowanie ryzyka wystąpienia awarii systemu.
ISO/IEC 27001 – wymagania
A.10 A.10 ZarzZarząądzanie systemami i dzanie systemami i sieciami c.d.sieciami c.d.
� Ochrona przed złośliwym oprogramowaniemZapewnienie integralności oprogramowania i informacji.
� Kopie zapasoweZapewnienie integralności i dostępności informacji oraz zabezpieczenie miejsc ich przetwarzania.
� Zarządzanie bezpieczeństwem sieciowymZapewnienie bezpieczeństwa informacji w sieci teleinformatycznej.
ISO/IEC 27001 – wymagania
A.10 A.10 ZarzZarząądzanie systemami i dzanie systemami i sieciami c.d.sieciami c.d.
� Bezpieczeństwo nośników informacjiZapobieganie nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu informacji zawartych na nośnikach.
� Wymiana informacjiZapewnienie bezpieczeństwa informacji przesyłanych wewnątrz oraz na zewnątrz organizacji.
� Usługi handlu elektronicznegoZapewnienie bezpieczeństwa usług handlu elektronicznego.
� Monitorowanie użycia systemówZapewnienie możliwości wykrycia nieuprawnionego przetwarzania informacji.
ISO/IEC 27001 – wymagania
A.11 A.11 Kontrola dostKontrola dostęępu do pu do systemsystemóóww
� Wymagania biznesowe w dostępie do informacjiOkreślenie polityki kontroli dostępu do informacji.
� Zarządzanie dostępem użytkownikówZapewnienie kontroli dostępu do systemów informacyjnych.
� Odpowiedzialność użytkownikówZapobieganie nieuprawnionemu dostępowi do informacji i systemów informacyjnych, jak również ich zniszczeniu, modyfikacji oraz kradzieży.
A.11 A.11 Kontrola dostKontrola dostęępu do pu do systemsystemóów c.d.w c.d.
ISO/IEC 27001 – wymagania
� Kontrola dostępu do sieciZapobieganie nieuprawnionemu dostępowi do usług sieciowych.
� Kontrola dostępu do systemów operacyjnychZapobieganie nieuprawnionemu dostępowi do systemów operacyjnych.
� Kontrola dostępu do aplikacji i informacjiZapobieganie nieuprawnionemu dostępowi do aplikacji i zawartych w nich informacji.
� Stosowanie komputerów przenośnych i praca zdalnaZapewnienie bezpieczeństwa informacji w komputerach przenośnych i w trakcie pracy zdalnej.
ISO/IEC 27001 – wymagania
A.12 A.12 Pozyskanie, rozwPozyskanie, rozwóój i j i utrzymanie systemutrzymanie systemóóww
� Wymagania dotyczące bezpieczeństwa systemówZapewnienie, że bezpieczeństwo jest integralną częściąsystemów informacyjnych.
� Poprawność przetwarzania w aplikacjachZapobieganie błędom, utracie, nieupoważnionej modyfikacji lub nadużyciu informacji w aplikacjach.
� Kryptograficzne środki nadzoruZapewnienie poufności oraz integralności informacji przy wykorzystaniu kryptografii.
ISO/IEC 27001 – wymagania
A.12 A.12 Pozyskanie, rozwPozyskanie, rozwóój i j i utrzymanie systemutrzymanie systemóów c.d.w c.d.
� Bezpieczeństwo plików systemowychZapewnienie bezpieczeństwa plików systemowych i kontroli nad wykorzystywanym oprogramowaniem.
� Bezpieczeństwo procesu tworzenia oprogramowania i pomocy technicznejZapewnienie utrzymania bezpieczeństwa systemów aplikacji i informacji.
� Zarządzanie podatnościami technicznymiZapewnienie ograniczania ryzyka wynikającego z wykorzystania wykrytych podatności technicznych.
ISO/IEC 27001 – wymagania
A.13 A.13 ZarzZarząądzanie incydentami dzanie incydentami bezpieczebezpieczeńństwastwa
� Raportowanie incydentów bezpieczeństwa i słabości Zapewnienie, że incydenty bezpieczeństwa i słabości będą zgłaszane w sposób umożliwiający podjęcie na czas stosownych działań.
� Zarządzanie incydentami bezpieczeństwa i doskonalenieZapewnienie spójnego i efektywnego podejścia do zarządzania incydentami bezpieczeństwa.
ISO/IEC 27001 – wymagania
A.14 A.14 ZarzZarząądzanie cidzanie ciąąggłłoośściciąądziadziałłaniaania
� Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działaniaPrzeciwdziałanie przerwom w działaniach biznesowych oraz ochrona krytycznych procesów biznesowych przed wynikami poważnych awarii systemów informacyjnych i katastrof oraz zapewnienie terminowego wznowienia ich działalności.
ISO/IEC 27001 – wymagania
A.15 A.15 ZgodnoZgodnośćść (z wymaganiami (z wymaganiami prawa i wprawa i włłasnymi standardami)asnymi standardami)
� Zgodność z przepisami prawnymiZapewnienie zgodności z wszelkimi przepisami prawnymi, które dotycząorganizacji (w tym wymagań bezpieczeństwa).
� Zgodność z politykami bezpieczeństwa i zgodnośćtechnicznaZapewnienie zgodności systemów z politykami bezpieczeństwa i standardami organizacji.
� Rozważania dotyczące audytu systemówZapewnienie maksymalizacji efektywności audytów i minimalizacji ich negatywnego wpływu na działalność biznesową (zajętość zasobów).
Plan prezentacji
•• ZagroZagrożżenia dla informacjienia dla informacji
•• Normy zarzNormy zarząądzania bezpieczedzania bezpieczeńństwem informacjistwem informacji
•• BS 7799BS 7799--2:2002 a ISO/IEC 27001:20052:2002 a ISO/IEC 27001:2005
•• ISO/IEC 27001:2005ISO/IEC 27001:2005
•• WdraWdrażżanie Systemu Zarzanie Systemu Zarząądzania Bezpieczedzania Bezpieczeńństwem stwem Informacji w firmieInformacji w firmie
Wdrożenie i certyfikacja systemu
Certyfikacjasystemu
Monitorowanie PlanuMinimalizacji Ryzyka
Szkolenia zdokumentacji
Opracowaniedokumentacji
Przygotowanie PlanuMinimalizacji Ryzyka
PrzeprowadzenieAnalizy Ryzyka
Szkolenia wstępne
Diagnoza systemu
1634
244186
92 57 42 39 38 30 27 26 22 20 15 14 14 130
300
600
900
1200
1500
1800
Japonia
Wlk. Bryt.
Indie
Tajwan
Niemcy
Włochy
USA
Korea
Węgry
Chiny
Holandia
Hong Kong
Australia
Finlandia
Polska
Norwegia
Szwajcaria
Liczba akredytowanych certyfikatów na świecie – czerwiec 2006
Źródło: ISMS International UserGroup
Dziękuję za uwagę Krzysztof Mać[email protected]. (61) 643-51-97
Tomasz Szał[email protected]. (61) 643-51-95