eric verheul, infosecurity.nl, 3 november, jaarbeurs utrecht
DESCRIPTION
Praktische implementatie van ISOTRANSCRIPT
Infosecurity.nlPraktische implementatie van ISO
www.pwc.nl/security
PwC
Agenda
Achtergrond van ISO 27001
ISO 27001 implementatie in drie sporen
Projectopzet
Slide 24 november 2010Praktische Implementatie van de ISO 27001
PwC
Achtergrond van ISO 27001
Slide 3Praktische Implementatie van de ISO 27001
PwC
H5
H8
Citibank admits: we've
lost the backup tape
H13
H7
H6
H11
H12
H14
H10
Slide 4Praktische Implementatie van de ISO 27001
PwC
Informatiebeveiliging
Achtergrond van ISO 27001
H ISO 27002 NEN Vertaling
5 Security Policy Beveiligingsbeleid
6 Organization of Information Security Beveiligingsorganisatie
7 Asset Management Classificatie en beheer van bedrijfsmiddelen
8 Human resources security Beveiligingseisen ten aanzien van personeel
9 Physical and Environmental Security Fysieke beveiliging en beveiliging van de omgeving
10 Communications and Operations Management
Beheer van communicatie- en bedieningsprocessen
11 Access Control Toegangsbeveiliging
12 Information Systems Acquisition, Development and Maintenance
Ontwikkeling en onderhoud van systemen
13 Information Security Incident Management
Incidentmanagement
14 Business Continuity Management Continuïteitsmanagement
15 Compliance Naleving
Slide 5Praktische Implementatie van de ISO 27001
PwC
• Hoe zorgt een organisatie dat zijn informatie “adequaat beveiligd” is?
• ISO 27002 en diens definitie van informatiebeveiliging volstaan niet meer: “Preservation of confidentiality, integrity and availability of information”
• Informatiebeveiliging gaat niet (meer) over statische risico‟s en maatregelen maar over dynamische.
• Dit is wat security management beoogt.
Informatiebeveiliging
Achtergrond van ISO 27001
Slide 6Praktische Implementatie van de ISO 27001
PwC
ISO 27001 versus ISO 27002
ISO 27002
• Ontwikkeld in 1989• Lange lijst met beveiligingsmaatregelen (133)• Kritiek in 1995:• Onvoldoende implementatie richtlijnen• Welke maatregelen wel en welke niet?• Risico management geen onderdeel van ISO 27002• Tegen ISO 27002 geen certificering mogelijk
ISO 27001
• 1998: ISO 27001, norm voor de implementatie van ISO 27002 op basis van een risico management systeem.
• ISO 27001 is de leidende norm op informatiebeveiliging en geadopteerd door de Rijksoverheid en de zorg
• Tegen ISO 27001 certificering mogelijk
Achtergrond van ISO 27001
Slide 7Praktische Implementatie van de ISO 27001
PwC
ISO 27001
Achtergrond van ISO 27001 Plan
Do
Check
Act ISMS
Bron: ISO 27001
Slide 8Praktische Implementatie van de ISO 27001
PwC
ISO 27001
Achtergrond van ISO 27001
• Gebaseerd op een management systeem (ISMS) net zoals ISO 9001• Bestaat uit ongeveer 100 eisen• ISO 27001 eis 4.2.1g) verwijst normatief naar de ISO 27002
maatregelen die minimaal zouden moeten worden overwogen• Enige overlap in ISO 27001 met ISO 27002:
• Eisen aan informatiebeveiligingsbeleid (H. 5)• Beheer van bedrijfsmiddelen (H. 7)• Beveiligingsbewustzijn (H. 8)• Management van beveiligingsincidenten (H. 13)
Slide 9Praktische Implementatie van de ISO 27001
PwC
ISO 27001
Achtergrond van ISO 27001
Plan
Do
Check
ActSecurity
officerManagement
Auditors
Lijnmanagement
Werkvloer
Slide 10Praktische Implementatie van de ISO 27001
PwC
ISO 27001 implementatie in drie sporen
Slide 11Praktische Implementatie van de ISO 27001
PwC
ISO 27001 implementatie in drie sporen
ISO 27001 implementatie in drie sporen
• Spoor 1: ISMS handboek en PDCA processen implementeren• Spoor 2: baseline bepalen en implementeren• Spoor 3: risico analyses uitvoeren en resultaten borgen
Slide 12Praktische Implementatie van de ISO 27001
PwC
Spoor 1: ISMS handboek en PDCA processen implementeren
ISO 27001 implementatie in drie sporen
• Fundamentele keuze is de ISMS scope (cf. ISO 27001, 4.2.1a):
Toepassingsgebied en grenzen van het ISMS vaststellen met
betrekking tot kenmerken van de bedrijfsvoering, de organisatie, de locatie, bedrijfsmiddelen en technologie, waaronder gegevens over en rechtvaardiging van eventuele uitsluitingen van het toepassingsgebied.
• Een beperkte scope kiezen lijkt aanlokkelijk, maar het is niet noodzakelijk.
Slide 13Praktische Implementatie van de ISO 27001
PwC
Spoor 1: ISMS handboek en PDCA processen implementeren
ISO 27001 implementatie in drie sporen
Onderwerpen in het ISMS handboek:
• ISMS scope• Informatiebeveiligingsbeleid• Beveiligingsorganisatie (verantwoordelijkheden gerelateerd aan
PDCA)• Vastlegging van de risicobeoordeling en –behandeling methode• Interne en externe controles• Management review (bijsturing door management) • Documentatie systeem
Slide 14Praktische Implementatie van de ISO 27001
PwC
Spoor 1: ISMS handboek en PDCA processen implementeren
ISO 27001 implementatie in drie sporen
Management review (bijsturing door management)
• Review „sluit‟ de PDCA cyclus en is misschien wel het allerbelangrijkste van ISO 27001
• Input voor de review:• Resultaten van onafhankelijke beoordelingen• Terugkoppeling van belanghebbende partijen (klachten)• Resultaten van voorgaande reviews• Procesprestaties en naleving van het ISMS handboek• Gerapporteerde beveiligingsincidenten en –trends
Slide 15Praktische Implementatie van de ISO 27001
PwC
Spoor 2: baseline bepalen en implementeren
ISO 27001 implementatie in drie sporen
• Vergelijk de bestaande maatregelen met ISO 27002 en branche specifieke standaarden
• Leg alle bestaande en „common sense‟ maatregelen vast in een baseline, zinvol voor zowel management als operationele medewerkers („tactische documentatie‟)
Slide 16Praktische Implementatie van de ISO 27001
PwC
Spoor 2: baseline bepalen en implementeren
ISO 27001 implementatie in drie sporen
• Zorg voor onderhoudbare referenties tussen de tactische documentatie en de operationele documentatie
• Beleg de verantwoordelijkheid voor onderhoud en implementatie van de baseline documenten in de lijn
• Dit vergemakkelijkt de (interne/externe) review ook enorm
Slide 17Praktische Implementatie van de ISO 27001
PwC
Spoor 2: baseline bepalen en implementeren
ISO 27001 implementatie in drie sporen
PZ maatregelen
PZ procedures
ICT maatregelen Toegangsbeveiliging Bewustzijn
ICT handboekInstructie
medewerkers
Beveiligings-
jaarplan
Instructie
lijnmanagement
VOG voor alle
medewerkers
Kritische
security patches
< 1 dag
Initiële
wachtwoorden
worden niet
herbruikt
Minimaal 1 keer per
jaar een bewustzijn
event
tactisch
operationeel
Slide 18Praktische Implementatie van de ISO 27001
PwC
Spoor 3: risico analyses uitvoeren en resultaten borgen
ISO 27001 implementatie in drie sporen
• Getrapte risico analyse methode:• High-level Business Impact Analysis (BIA) om kritische
bedrijfsprocessen te bepalen• Gedetailleerde Risicobeoordeling en Behandeling (RBB) methode
voor kritische bedrijfsprocessen• Vaak is het makkelijk om informatiesystemen als basis voor
bedrijfsprocessen te nemen
Slide 19Praktische Implementatie van de ISO 27001
PwC
Spoor 3: risico analyses uitvoeren en resultaten borgen
ISO 27001 implementatie in drie sporen
Baseline beveiliging
SA
P
……
…..
Ca
llc
en
ter
…..
….
HR
Kritische systemen
Slide 20Praktische Implementatie van de ISO 27001
PwC
Spoor 3: risico analyses uitvoeren en resultaten borgen
ISO 27001 implementatie in drie sporen
• Voorbeeld van Business Impact Analysis op informatiesysteem
Slide 21Praktische Implementatie van de ISO 27001
PwC
Spoor 3: risico analyses uitvoeren en resultaten borgen
ISO 27001 implementatie in drie sporen
• Simpel Excel tool gebaseerd op ISO 27005
Slide 22Praktische Implementatie van de ISO 27001
PwC
Projectopzet
Slide 23Praktische Implementatie van de ISO 27001
PwC
Project – fasering / resultaatpaden
PROJECT
PvA +
Kosten /
baten
300
85
Org
an
isa
tie
ISM
S
Ba
sis
ma
atr
eg
ele
nM
aa
tre
ge
len
pe
r o
bje
ct
Aanstellen
Security
Officer
Aanstellen
Coördinator
Per sector
Ontwerp
Informatie-
beveiliging
Inrichten
Informatie-
beveiliging
BEHEERanalyse
ISO 27002,
specifiek
Verificatie
relevantie
Ontwerp en
Bouw
Maatregelen
Invoeren
Maatregelen
(oa training)
Inventaris
Objecten
(loc/sys/app)
eerste filter &
vaststellen
Eigenaar
Impact
analyse
(BIA)
Risico
Analyse
(RBB)600 55
besluit
133
FASE IFASE II
FASE III
Projectopzet
Slide 24Praktische Implementatie van de ISO 27001
PwC
Project – fasering / resultaatpaden
PROJECT
PvA +
Kosten /
baten
300
85
Org
an
isa
tie
ISM
S
Ba
sis
ma
atr
eg
ele
nM
aa
tre
ge
len
pe
r o
bje
ct
Aanstellen
Security
Officer
Aanstellen
Coördinator
Per sector
Ontwerp
Informatie-
beveiliging
Inrichten
Informatie-
beveiliging
BEHEERanalyse
ISO 27002,
specifiek
Verificatie
relevantie
Ontwerp en
Bouw
Maatregelen
Invoeren
Maatregelen
(oa training)
Inventaris
Objecten
(loc/sys/app)
eerste filter &
vaststellen
Eigenaar
Impact
analyse
(BIA)
Risico
Analyse
(RBB)600 55
besluit
133
FASE IFASE II
FASE III
Projectopzet
Certificering punt
< 3 maanden > < 6-9 maanden >
Slide 25Praktische Implementatie van de ISO 27001
PwC
Aandachtspunten bij ISO 27001 implementatie
Projectopzet
• Maak er geen papieren tijger van
• Zorg voor betrokkenheid van het management
• Bestaande informatiebeveiliging is de basis (niet opnieuw beginnen)• Zorg dat je operationele medewerkers meekrijgt• Zorg voor koppeling tussen beleid en de werkvloer
• Neem ook technische beveiliging mee (Cisco, Windows etc.)
• Voer zinvolle risico analyses uit:• realistische ambities• concentratie op de echt kritische zaken
• Certificering is een mooi projectdoel om na te streven• Informatiebeveiliging is geen project….
Slide 26Praktische Implementatie van de ISO 27001
Van statische naar dynamische
beveiligingsmaatregelen.
This publication has been prepared for general guidance on matters of interest only, and does
not constitute professional advice. You should not act upon the information contained in this
publication without obtaining specific professional advice. No representation or warranty
(express or implied) is given as to the accuracy or completeness of the information contained
in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Advisory N.V.,
its members, employees and agents do not accept or assume any liability, responsibility or
duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance
on the information contained in this publication or for any decision based on it.
© 2010 PricewaterhouseCoopers Advisory N.V. All rights reserved. In this document, “PwC”
refers to PricewaterhouseCoopers Advisory N.V., which is a member firm of
PricewaterhouseCoopers International Limited, each member firm of which is a separate legal
entity.