eric verheul, infosecurity.nl, 3 november, jaarbeurs utrecht

Infosecurity.nlPraktische implementatie van ISO

www.pwc.nl/security

PwC

Agenda

Achtergrond van ISO 27001

ISO 27001 implementatie in drie sporen

Projectopzet

Slide 24 november 2010Praktische Implementatie van de ISO 27001

PwC


Slide 3Praktische Implementatie van de ISO 27001

PwC

H5

H8

Citibank admits: we've

lost the backup tape

H13

H7

H6

H11

H12

H14

H10


PwC

Informatiebeveiliging


H ISO 27002 NEN Vertaling

5 Security Policy Beveiligingsbeleid

6 Organization of Information Security Beveiligingsorganisatie

7 Asset Management Classificatie en beheer van bedrijfsmiddelen

8 Human resources security Beveiligingseisen ten aanzien van personeel

9 Physical and Environmental Security Fysieke beveiliging en beveiliging van de omgeving

10 Communications and Operations Management

Beheer van communicatie- en bedieningsprocessen

11 Access Control Toegangsbeveiliging

12 Information Systems Acquisition, Development and Maintenance

Ontwikkeling en onderhoud van systemen

13 Information Security Incident Management

Incidentmanagement

14 Business Continuity Management Continuïteitsmanagement

15 Compliance Naleving


PwC

• Hoe zorgt een organisatie dat zijn informatie “adequaat beveiligd” is?

• ISO 27002 en diens definitie van informatiebeveiliging volstaan niet meer: “Preservation of confidentiality, integrity and availability of information”

• Informatiebeveiliging gaat niet (meer) over statische risico‟s en maatregelen maar over dynamische.

• Dit is wat security management beoogt.

Informatiebeveiliging



PwC

ISO 27001 versus ISO 27002

ISO 27002

• Ontwikkeld in 1989• Lange lijst met beveiligingsmaatregelen (133)• Kritiek in 1995:• Onvoldoende implementatie richtlijnen• Welke maatregelen wel en welke niet?• Risico management geen onderdeel van ISO 27002• Tegen ISO 27002 geen certificering mogelijk

ISO 27001

• 1998: ISO 27001, norm voor de implementatie van ISO 27002 op basis van een risico management systeem.

• ISO 27001 is de leidende norm op informatiebeveiliging en geadopteerd door de Rijksoverheid en de zorg

• Tegen ISO 27001 certificering mogelijk



PwC

ISO 27001

Achtergrond van ISO 27001 Plan

Do

Check

Act ISMS

Bron: ISO 27001


PwC

ISO 27001


• Gebaseerd op een management systeem (ISMS) net zoals ISO 9001• Bestaat uit ongeveer 100 eisen• ISO 27001 eis 4.2.1g) verwijst normatief naar de ISO 27002

maatregelen die minimaal zouden moeten worden overwogen• Enige overlap in ISO 27001 met ISO 27002:

• Eisen aan informatiebeveiligingsbeleid (H. 5)• Beheer van bedrijfsmiddelen (H. 7)• Beveiligingsbewustzijn (H. 8)• Management van beveiligingsincidenten (H. 13)


PwC

ISO 27001


Plan

Do

Check

ActSecurity

officerManagement

Auditors

Lijnmanagement

Werkvloer


PwC



PwC



• Spoor 1: ISMS handboek en PDCA processen implementeren• Spoor 2: baseline bepalen en implementeren• Spoor 3: risico analyses uitvoeren en resultaten borgen


PwC

Spoor 1: ISMS handboek en PDCA processen implementeren


• Fundamentele keuze is de ISMS scope (cf. ISO 27001, 4.2.1a):

Toepassingsgebied en grenzen van het ISMS vaststellen met

betrekking tot kenmerken van de bedrijfsvoering, de organisatie, de locatie, bedrijfsmiddelen en technologie, waaronder gegevens over en rechtvaardiging van eventuele uitsluitingen van het toepassingsgebied.

• Een beperkte scope kiezen lijkt aanlokkelijk, maar het is niet noodzakelijk.


PwC



Onderwerpen in het ISMS handboek:

• ISMS scope• Informatiebeveiligingsbeleid• Beveiligingsorganisatie (verantwoordelijkheden gerelateerd aan

PDCA)• Vastlegging van de risicobeoordeling en –behandeling methode• Interne en externe controles• Management review (bijsturing door management) • Documentatie systeem


PwC



Management review (bijsturing door management)

• Review „sluit‟ de PDCA cyclus en is misschien wel het allerbelangrijkste van ISO 27001

• Input voor de review:• Resultaten van onafhankelijke beoordelingen• Terugkoppeling van belanghebbende partijen (klachten)• Resultaten van voorgaande reviews• Procesprestaties en naleving van het ISMS handboek• Gerapporteerde beveiligingsincidenten en –trends


PwC

Spoor 2: baseline bepalen en implementeren


• Vergelijk de bestaande maatregelen met ISO 27002 en branche specifieke standaarden

• Leg alle bestaande en „common sense‟ maatregelen vast in een baseline, zinvol voor zowel management als operationele medewerkers („tactische documentatie‟)


PwC



• Zorg voor onderhoudbare referenties tussen de tactische documentatie en de operationele documentatie

• Beleg de verantwoordelijkheid voor onderhoud en implementatie van de baseline documenten in de lijn

• Dit vergemakkelijkt de (interne/externe) review ook enorm


PwC



PZ maatregelen

PZ procedures

ICT maatregelen Toegangsbeveiliging Bewustzijn

ICT handboekInstructie

medewerkers

Beveiligings-

jaarplan

Instructie

lijnmanagement

VOG voor alle

medewerkers

Kritische

security patches

< 1 dag

Initiële

wachtwoorden

worden niet

herbruikt

Minimaal 1 keer per

jaar een bewustzijn

event

tactisch

operationeel


PwC

Spoor 3: risico analyses uitvoeren en resultaten borgen


• Getrapte risico analyse methode:• High-level Business Impact Analysis (BIA) om kritische

bedrijfsprocessen te bepalen• Gedetailleerde Risicobeoordeling en Behandeling (RBB) methode

voor kritische bedrijfsprocessen• Vaak is het makkelijk om informatiesystemen als basis voor

bedrijfsprocessen te nemen


PwC



Baseline beveiliging

SA

P

……

…..

Ca

llc

en

ter

…..

….

HR

Kritische systemen


PwC



• Voorbeeld van Business Impact Analysis op informatiesysteem


PwC



• Simpel Excel tool gebaseerd op ISO 27005


PwC

Projectopzet


PwC

Project – fasering / resultaatpaden

PROJECT

PvA +

Kosten /

baten

300

85

Org

an

isa

tie

ISM

S

Ba

sis

ma

atr

eg

ele

nM

aa

tre

ge

len

pe

r o

bje

ct

Aanstellen

Security

Officer

Aanstellen

Coördinator

Per sector

Ontwerp

Informatie-

beveiliging

Inrichten

Informatie-

beveiliging

BEHEERanalyse

ISO 27002,

specifiek

Verificatie

relevantie

Ontwerp en

Bouw

Maatregelen

Invoeren

Maatregelen

(oa training)

Inventaris

Objecten

(loc/sys/app)

eerste filter &

vaststellen

Eigenaar

Impact

analyse

(BIA)

Risico

Analyse

(RBB)600 55

besluit

133

FASE IFASE II

FASE III

Projectopzet


PwC

Project – fasering / resultaatpaden

PROJECT

PvA +

Kosten /

baten

300

85

Org

an

isa

tie

ISM

S

Ba

sis

ma

atr

eg

ele

nM

aa

tre

ge

len

pe

r o

bje

ct

Aanstellen

Security

Officer

Aanstellen

Coördinator

Per sector

Ontwerp

Informatie-

beveiliging

Inrichten

Informatie-

beveiliging

BEHEERanalyse

ISO 27002,

specifiek

Verificatie

relevantie

Ontwerp en

Bouw

Maatregelen

Invoeren

Maatregelen

(oa training)

Inventaris

Objecten

(loc/sys/app)

eerste filter &

vaststellen

Eigenaar

Impact

analyse

(BIA)

Risico

Analyse

(RBB)600 55

besluit

133

FASE IFASE II

FASE III

Projectopzet

Certificering punt

< 3 maanden > < 6-9 maanden >


PwC

Aandachtspunten bij ISO 27001 implementatie

Projectopzet

• Maak er geen papieren tijger van

• Zorg voor betrokkenheid van het management

• Bestaande informatiebeveiliging is de basis (niet opnieuw beginnen)• Zorg dat je operationele medewerkers meekrijgt• Zorg voor koppeling tussen beleid en de werkvloer

• Neem ook technische beveiliging mee (Cisco, Windows etc.)

• Voer zinvolle risico analyses uit:• realistische ambities• concentratie op de echt kritische zaken

• Certificering is een mooi projectdoel om na te streven• Informatiebeveiliging is geen project….


Van statische naar dynamische

beveiligingsmaatregelen.

This publication has been prepared for general guidance on matters of interest only, and does

not constitute professional advice. You should not act upon the information contained in this

publication without obtaining specific professional advice. No representation or warranty

(express or implied) is given as to the accuracy or completeness of the information contained

in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Advisory N.V.,

its members, employees and agents do not accept or assume any liability, responsibility or

duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance

on the information contained in this publication or for any decision based on it.

© 2010 PricewaterhouseCoopers Advisory N.V. All rights reserved. In this document, “PwC”

refers to PricewaterhouseCoopers Advisory N.V., which is a member firm of

PricewaterhouseCoopers International Limited, each member firm of which is a separate legal

entity.

eric verheul, infosecurity.nl, 3 november, jaarbeurs utrecht

Technology

pwc iso

pwc achtergrond van

eisen iso

pwc agenda achtergrond

drie sporen iso

zorg tegen iso

isms net zoals iso

aanzien van personeel