Transcript Řízení kontinuity organizace

Praktické využití norem
bezpečnosti informací
Luděk Novák
Obsah
• Představení subkomise JTC 1/SC 27
• Systém řízení bezpečnosti informací v2013
• Normy řízení bezpečnosti informací pro
odvětví
• Normy zaměřené na bezpečnostní opatření
• Systém řízení služeb IT
• Systém řízení kontinuity činností
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
2
Představení subkomise JTC 1/SC 27
• Oblasti normalizace subkomise JTC 1/SC 27 –
Bezpečnostní techniky IT
– Identifikace požadavků a metodik bezpečnostních
služeb systémů IT
– Vývoj bezpečnostních technik a mechanismů
– Vývoj směrnic pro interpretaci normalizačních
požadavků
– Vývoj dokumentů a norem pro podporu řízení
(terminologie, kritéria pro hodnocení apod.)
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
3
Pracovní skupiny JTC 1/SC27
Source: JTC 1/SC 27
4 května 2013
22.
Security and Protection of Information
2013 © Luděk Novák
Stádia tvorby norem
• ISO resp. ISO/IEC – mezinárodní norma
• FDIS – konečný návrh mezinárodní normy
(2013)
• DIS – návrh mezinárodní normy (2014)
• CD – návrh komise (2014 – 2015)
• WD – pracovní návrh (2014 – 2016)
• NP – nový projekt (?)
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
5
Významné normy
JTC 1 / SC 27 / WG1
Řízení bezpečnosti informací
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
6
Přehled řady norem ISO/IEC 27000
Základy a slovník ISMS
ISO/IEC 27000:2012 (ISO/IEC 13335-1)
Pravidla certifikace ISMS
ISO/IEC 27006:2011 (EA 7/03)
Metody řízení rizik
Požadavky na ISMS
ISO/IEC 27001:2005
BS 7799-3:2006
(BS 7799-2:2002)
ISO/IEC 27005:2011
Měření účinnosti ISMS
ISO/IEC 27004:2009
Příloha A
(ISO/IEC TR 13335-3:1998)
Směrnice pro
implementaci ISMS
ISO/IEC 27003:2010
Soubor postupů ISMS
ISO/IEC 27002:2005
(ISO/IEC 17799)
Směrnice auditora ISMS
ISO/IEC 27007:2011
ISO/IEC TR 27008:2011
Specifické normy, směrnice a standardy
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
7
ČSN ISO/IEC 27001:2006
• Systém řízení bezpečnosti informací – Požadavky
– Norma vychází z BS 7799-2:2002
– ISO/IEC 27001 vydána v říjnu 2005 (ukončena platnost BS 7799-2)
– ČSN ISO/IEC 27001:2006 vyšla v říjnu 2006, autor překladu RAC
• Využití PDCA pro řízení bezpečnosti informací
• Podle této normy se provádí certifikace !!!
ISO/IEC 27001:2013 (DIS)
0
Úvod
6
Plánování
0.1
Všeobecně
6.1
Činnosti na pokrytí rizik a příležitostí
0.2
Kompatibilita s dalšími systémy řízení
6.2
Cíle bezpečnosti informací a plány na jejich dosažení
1
2
3
4
Rozsah
Odkazy na normy
Termíny a definice
Kontext organizace
7
Podpora
7.1
Zdroje
7.2
Kompetence
7.3
Povědomí
4.1
Porozumění organizaci a jejímu kontextu
7.4
Komunikace
4.2
Porozumění potřebám a očekávání
zainteresovaných stran
7.5
Dokumentované informace
8
Provozování
4.3
Určení rozsahu systému řízení
8.1
Plánování a řízení provozu
4.4
Systém řízení bezpečnosti informací
8.2
Ohodnocení rizik bezpečnosti informací
5
Vůdcovství
8.3
Zvládání rizik bezpečnosti informací
5.1
Všeobecně
9
Hodnocení výkonnosti
5.2
Angažovanost vedení
9.1
Monitorování, měření, analýza a hodnocení
5.3
Politika
9.2
Interní audity
5.4
Organizační role, odpovědnosti a pravomoci
9.3
Přezkoumání vedením
10
Zlepšování
22. května 2013
10.1of Information
Neshody a nápravná opatření
Security and Protection
2013 © Luděk
10.2NovákNeustálé zlepšování
9
Věcné změny ISO/IEC 27001
• Řešení kontextu, kde ISMS působí
• Cíle ISMS a plán jejich dosažení
– Metriky orientované na plnění cílů ISMS
• Vlastník rizika jako nástroj přenesení odpovědnosti
• Dokumentované informace
– Zůstává prohlášení o aplikovatelnosti
• Pouze nápravná opatření
– Preventivní opatření opustí všechny systémy řízení
• Očekávané vydání: říjen 2013
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
10
Uspořádání ČSN ISO/IEC 27002:2006
Oddíly bezpečnosti informací
Bezpečnostní politika
Řízení aktiv
Organizace
bezpečnosti
informací
Řízení přístupu
Bezpečnost
lidských
zdrojů
Fyzická
bezpečnost a
bezpečnost
prostředí
Řízení
komunikací
a řízení
provozu
Řízení
kontinuity
činností
organizace
Zvládání bezpečnostních incidentů
Soulad s požadavky
Zdroj: ČSN ISO/IEC 27002
Akvizice,
vývoj a
údržba
informačních
systémů
Nové uspořádání ISO/IEC 27002
5 Bezpečnostní politika
6 Organizace
bezpečnosti informací
7 Bezpečnost lidských
zdrojů
8 Řízení aktiv
9 Řízení přístupů
10 Kryptografie
11 Fyzická bezpečnost a
bezpečnost prostředí
22. května 2013
12 Bezpečnost provozu
13 Bezpečnost komunikací
14 Akvizice, vývoj a údržba
systémů
15 Vztahy s dodavateli
16 Zvládání incidentů
bezpečnosti informací
17 Aspekty bezpečnosti
informací při řízení
kontinuity činností
18 Soulad s požadavky
Security and Protection of Information
2013 © Luděk Novák
12
Věcné změny ISO/IEC 27002
• Zjednodušení + odstranění redundantních opatření
– Bezpečnost sítí, odpovědnost vedení, omezení času
přihlášení, …
• Nové oblasti
– Bezpečnost v rámci řízení projektů
– Bezpečnost vývoje informačních systémů
– Redundance pro řízení kontinuity
• Podstatné změny
– Bezpečnost aplikací a transakcí
– Podrobné bezpečnostní politiky
– Podrobnější popis řízení incidentů
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
13
Významné normy
JTC 1 / SC 27 / WG1
Řízení bezpečnosti informací
pro odvětví
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
14
IEC 62443 Bezpečnost průmyslových systémů
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
15
Přehled oborových norem
ISO/IEC 27010 Řízení bezpečnosti informací pro komunikaci mezi organizacemi
(2012)
ISO/IEC 27011 Směrnice řízení bezpečnosti informací pro telekomunikace
(2008)
ISO/IEC 27013 Směrnice pro společné nasazení ISO/IEC 20000-1 a ISO/IEC
27001 (2012)
ISO/IEC 27014 Governance bezpečnosti informací (2013)
ISO/IEC 27015 Směrnice řízení bezpečnosti informací pro finanční služby (2012)
ISO/IEC 27016 Řízení bezpečnosti informací – Organizační ekonomika (PDTR)
ISO/IEC 27017 Směrnice pro bezpečné použití služeb cloud computing (WD)
ISO/IEC 27018 Směrnice pro ochranu dat pro veřejné služby cloud (WD)
ISO/IEC 27019 Směrnice pro energetické řídicí systémy (DTR)
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
16
Významné normy
JTC 1 / SC 27 / WG4
Bezpečnostní opatření
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
17
ISO/IEC 27031
Specifikace pro připravenost ICT na kontinuitu
organizace (2011)
• Významným východiskem BS 25777
• Efektivní přístup k rozdělení podpůrných aktiv
• Koncepce testování kontinuity
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
18
Zdroj: ISO/IEC 27031
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
19
Pojetí řízení kontinuity
Zdroj: ISO/IEC 27031
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
20
Testování kontinuity
Zdroj: ISO/IEC 27031
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
21
ISO/IEC 27032
Směrnice pro kybernetickou bezpečnost (2012)
Zdroj: ISO/IEC 27032
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
22
Pojetí kybernetické bezpečnosti
Zdroj: ISO/IEC 27032
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
23
ISO/IEC 27033 (18028)
Bezpečnost sítí
• Část 1: Směrnice pro bezpečnost sítí (2009)
• Část 2: Směrnice pro návrh a nasazení bezpečnosti sítí (2012)
• Část 3: Záležitosti hrozeb, návrhu, technologií a opatření
(2010)
• Část 4: Zabezpečení komunikace mezi sítěmi s využitím
bezpečných brán (DIS)
• Část 5: Zabezpečení komunikace mezi sítěmi s využitím
virtuálních privátních sítí VPN (DIS)
• Část 6: Zabezpečení přístupu k síti IP s využitím bezdrátových
technologií (WG)
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
24
Pojetí bezpečnosti sítě
Zdroj: ISO/IEC 27033
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
25
ISO/IEC 27034
Bezpečnost aplikací
• Část 1: Přehled a koncepce (2011)
• Část 2: Normativní rámce organizace (WD)
• Část 3: Proces řízení bezpečnosti aplikací (NP)
• Část 4: Validace bezpečnosti aplikací (NP)
• Část 5: Datová struktura protokolů a opatření
bezpečnosti aplikací (WD)
• Část 6: Bezpečnostní pokyny pro specifikování datové
struktury aplikačních opatření (WD)
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
26
Pojetí bezpečnosti aplikací
Zdroj: ISO/IEC 27034
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
27
ISO/IEC 27035 (18044)
Řízení bezpečnostních incidentů (2011)
• Část 1: Principy řízení incidentů (WD)
• Část 2: Směrnice pro plánování a přípravu
reakce na incident (WD)
• Část 3: Směrnice pro provoz CSIRT (WD)
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
28
Pojetí řízení bezpečnostních incidentů
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
Zdroj: ISO/IEC 27035
29
ISO/IEC 27036
Bezpečnost informací ve vztazích s dodavateli
• Část 1: Přehled a koncept (DIS)
• Část 2: Požadavky (DIS)
• Část 3: Směrnice pro bezpečnost v dodavatelském
řetězci ICT (DIS)
• Část 4: Směrnice pro bezpečnost služeb v cloudu
(WD)
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
30
Pojetí bezpečnosti ve vztazích s dodavateli
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
Zdroj: ISO/IEC 27036
31
ISO/IEC 27037
Směrnice pro určování, sbírání a získávání a
ochranu digitálních důkazů (2012)
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
32
Další připravované normy
ISO/IEC 27038 Směrnice pro vedení digitálních
záznamů (DIS)
ISO/IEC 27039 Výběr, nasazení a provoz systémů pro
detekci a prevenci průniku (DIS)
ISO/IEC 27040 Bezpečnost uložení dat (CD)
ISO/IEC 27044 Řízení informací a událostí bezpečnosti
informací (SIEM) (WD)
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
33
Normy významné pro bezpečnost
mimo působnost JTC 1/ SC 27
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
34
ISO/IEC 20000
Řízení služeb IT
• Část 1: Požadavky na systém řízení služeb (2011)
• Část 2: Pokyny pro použití systémů řízení služeb (2012)
• Část 3: Pokyny pro vymezení rozsahu a použitelnosti ISO/IEC
200001 (2012)
• Část 4: Referenční model procesů (CD)
• Část 5: Příklad plánu zavedení pro ISO/IEC 200001 (DTR)
• Část 10: Koncept a terminologie (DTR)
• Část 11: Pokyny o vztahu mezi ISO/IEC 2000 a ITIL (PDTR)
ISO/IEC 90006 Řízení služeb a integrace ISO/IEC 20000-1 (DTR)
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
35
Pojetí řízení služeb IT
Zákazníci
(a další
zainteresované
strany)
Systém řízení služeb (SMS)
Odpovědnost vedení
Ovládání procesů
provozovaných jinými subjekty
Zákazníci
(a další
zainteresované
strany)
Řízení dokumentace
Vytvoření SMS
Požadavky
Řízení zdrojů
Návrh a nasazení nových nebo změněných služeb
Služby
Procesy dodávky služeb
Řízení kapacit
Řízení úrovně služeb
Řízení bezpečnosti
informací
Předkládání
zpráv o službách
Řízení kontinuity
a dostupnosti služeb
Procesy řešení
Řízení incidentů a
žádostí o službu
Řízení problémů
Řídicí procesy
Rozpočtování a účtování
pro služby
Řízení konfigurací
Procesy
vzájemných vztahů
Řízení změn
Řízení vztahů s
odběrateli
Řízení
uvolnění a nasazení
Řízení vztahů s
dodavateli
Zdroj: ISO/IEC 20000-1
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
36
Řízení kontinuity činností
ISO 22300 Terminologie (2012)
ISO 22301 Systémy řízení kontinuity – Požadavky
(2012)
ISO 22313 Systémy řízení kontinuity – Pokyny (2012)
ISO 22320 Požadavky pro reakci na incidenty (2011)
ISO 22325 Směrnice pro hodnocení schopností
krizového řízení (CD)
ISO 22398 Směrnice pro nácvik (FDIS)
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
37
Životní cyklus řízení kontinuity
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
38
Závěr
• Vždy je jednoduší opisovat než vše tvořit od
počátku
• Publikace ISO resp. ČNI nabízejí velký prostor
pro opisování
– Je potřeba mít představu o tom,
z čeho je možné vybírat
• I opisování si vyžaduje vysokou profesionalitu
22. května 2013
Security and Protection of Information
2013 © Luděk Novák
39