4. WYMAGANIA ISO 27001:2007
Download
Report
Transcript 4. WYMAGANIA ISO 27001:2007
ISO 27001:2007 - WYMAGANIA
PROWADZĄCY
Andrzej Łęszczak
Konsultant systemów zarządzania
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
1
ISO 27001:2007 - WYMAGANIA
TEMAT SZKOLENIA
27001:2007 – przedstawienie
i interpretacja wymagań systemu
zarządzania bezpieczeństwem
informacji
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
2
ISO 27001:2007 - WYMAGANIA
PROGRAM SZKOLENIA
1.
2.
Powitanie i wstęp
Standardy międzynarodowe i inne wymagania
związane z bezpieczeństwem informacji
3. Podstawowe terminy związane z informacją
i bezpieczeństwem
4.
Zarys struktury i wymagania normy ISO
27001:2007
5.
Cele i zabezpieczenia zastosowane w ISO
27001:2007 i ISO 17799:2005
6.
Dokumentacja wymagana przez ISO 27001:2007
Przewidywany czas: ok. 3 godz.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
3
SYSTEM ZARZADZANIA BEZPIECZEŃSTWEM INFORMACJI
ISO 27001:2007 (poprzednio: BS 7799-2:2002)
„Information technology – Security techniques –
Information security management systems –
Requirements.”
„Technika informatyczna – Techniki
bezpieczeństwa - Systemy zarządzania
bezpieczeństwem informacji – Wymagania.”
Polskie wydanie:
PN – ISO/IEC 27001:2007
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
4
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA
ISO 27001:2007
o
o
o
Zawiera specyfikacje (do normy ogólnej) wymagań
odnoszących się do ustanawiania, wdrażania
i
dokumentowania
systemów
zarządzania
bezpieczeństwem informacji SZBI
Zawiera specyfikacje wymagań odnoszących się do
zabezpieczeń, wprowadzanych zależnie od potrzeb
indywidualnych organizacji
Stanowi podstawę referencyjną certyfikacji
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
5
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA
ISO 17799:2005
„Information technology – Security techniques –
Code of practice for information security
management.”
„Technika informatyczna – Techniki
bezpieczeństwa - Praktyczne zasady zarządzania
bezpieczeństwem informacji.”
Polskie wydanie:
PN-ISO/IEC 17799:2007
„Technika informatyczna. Praktyczne zasady
zarządzania bezpieczeństwem informacji.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
6
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA
ISO 17799:2005
o
o
o
o
o
o
Norma ogólna – omawia podejście, zasady
i praktyki
Norma stanowi dokument referencyjny (model)
Wskazuje na najbardziej wrażliwe zagrożenia,
obszary
Omawia najlepsze ze stosowanych praktyk
zapewnienia bezpieczeństwa
Zawiera 11 zestawów zabezpieczeń
Nie może być wykorzystywana do oceny
i certyfikacji
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
7
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA
RÓŻNICE
o
ISO 27001:2005 – charakter normatywny
...organizacja „powinna” = „musi” („shall”)
o
ISO 17799:2005 – charakter referencyjny
„...zaleca się” żeby organizacja („should”)
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
8
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA
WYMAGANIA PRAWNE
o
Ustawa o ochronie danych osobowych
o
Ustawa o ochronie osób i mienia
o
Ustawa o ochronie informacji niejawnych
(tekst jedn. Dz. U. z 2002 r, Nr 101 poz. 926 i Dz. U. Nr 153
poz. 1271 ze zmianami)
(Dz. U. z 1997 r. Nr 114 poz. 740 ze zmianami)
(Dz. U. z 1999 r. Nr 11 poz. 95 ze zmianami)
Zasady
organizowania,
klasyfikowania
(tajemnica
państwowa, służbowa – ściśle tajne, tajne, poufne,
zastrzeżone),
udostępniania
informacji
niejawnych;
postępowanie sprawdzające.
o
Ustawa o ochronie konkurencji i konsumentów
o
Kodeks Spółek Handlowych
o
Rachunkowość, przepisy giełdowe i inne
(Dz. U. z 2000 r. Nr 122 poz. 1319 ze zmianami)
(Dz. U. z 2000 r. Nr. 94 poz. 1037 ze zmianami)
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
9
2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA
Źródła wymagań bezpieczeństwa
(ISO 17799:2005)
o Wyniki szacowania ryzyka
o Wymagania prawne, statutowe, regulacyjne
i kontraktowe w stosunku do organizacji,
kontrahentów, dostawców
o Opracowany przez organizację, w celu
wspomagania swojej działalności, zbiór zasad,
celów i wymagań dotyczących przetwarzania
informacji
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
10
ISO 27001:2005 - WYMAGANIA
PROGRAM SZKOLENIA
1.
2.
Powitanie i wstęp
Standardy międzynarodowe i inne wymagania
związane z bezpieczeństwem informacji
3. Podstawowe terminy związane z informacją
i bezpieczeństwem
4.
Zarys struktury i wymagania normy ISO
27001:2005
5.
Cele i zabezpieczenia zastosowane w ISO
27001:2005 i ISO 17799:2005
6.
Dokumentacja wymagana przez ISO 27001:2005
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
11
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
Definicja informacji
(ISO 17799:2005)
o „INFORMACJA to aktyw, który, podobnie jak inne
ważne aktywa biznesowe, ma dla instytucji wartość
i dlatego należy go odpowiednio chronić.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
12
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
Definicja informacji
(BIZNESOWA)
o INFORMACJA to dane przetworzone (poukładane,
przefiltrowane, pogrupowane itd.) w taki sposób, że
na ich podstawie można wyciągać wnioski,
podejmować decyzje biznesowe.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
13
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
O informacji
(ISO 17799:2005)
„Informacja może przybierać różne formy. Może być
wydrukowana
lub
zapisana
na
papierze,
przechowywana elektronicznie, przesyłana pocztą lub
za pomocą urządzeń elektronicznych, wyświetlana
w formie filmu lub wypowiadana w rozmowie.
Niezależnie od tego, jaką formę informacja przybiera
lub za pomocą jakich środków jest udostępniana lub
przechowywana,
zaleca
się,
aby
zawsze
była
w odpowiedni sposób chroniona”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
14
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
Rodzaje informacji objęte SZBI
o Wewnętrzne – informacje, które nie powinny
dotrzeć do konkurencji, ponieważ my tego nie chcemy.
o Dotyczące konsumentów/klientów –
informacje, które nie powinny być ujawnione,
ponieważ oni tego nie chcą.
o Informacje, które muszą być przekazywane innym
partnerom handlowym.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
15
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
System informacyjny ≠ system
informatyczny
System zarządzania
bezpieczeństwem informacji ≠
zarządzanie bezpieczeństwem
systemów informatycznych
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
16
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
SYSTEM ZARZĄDZANIA
BEZPIECZEŃSTWEM INFORMACJI
(SZBI)
INFORMATION SECURITY MANAGEMENT SYSTEM
(ISMS)
o
To część całościowego systemu zarządzania, oparta
na podejściu wynikającym z ryzyka biznesowego,
odnosząca
się
do
ustanawiania,
wdrażania,
eksploatacji,
monitorowania,
utrzymywania
i doskonalenia bezpieczeństwa informacji
System
zarządzania
obejmuje
strukturę
organizacyjną,
polityki,
działania
związane
z
planowaniem,
zakresy
odpowiedzialności,
praktyki, procedury, procesy i zasoby.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
17
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
Informacje można:
o Tworzyć
o Przechowywać
o Zniszczyć
o Przetwarzać
o Przekazywać
o Wykorzystać
o Utracić
o Uszkodzić
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
18
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
Ochrona informacji jest ważna dla
naszego codziennego życia:
o Banki
o Towarzystwa ubezpieczeniowe
o Operatorzy telefoniczni
o Tajemnica przemysłowa
o Obronność kraju
o Kartoteki policyjne
o itp
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
19
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
Dlaczego organizacje wdrażają system zarządzania
bezpieczeństwem informacji (SZBI):
o Lepsze postrzeganie na rynku
o Wymagania przetargowe
o Zwiększone zaufanie klientów
o Ochrona danych osobowych, innych powierzonych przez klienta,
własnego know-how itd..
o Zapobieganie stratom związanym z utratą informacji
o Zapewnienie ciągłości działania (plany awaryjne, disaster recovery)
o Kierownictwo może „spać spokojnie”
o Świadome, oparte na faktach podejmowanie decyzji co do zarządzania
aktywami i związanymi z nimi ryzykami
o Większa świadomość personelu
o Uwzględnienie informacji w zarządzaniu procesami biznesowymi
o Lepszy wynik finansowy
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
20
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
Trudności we wdrożeniu SZBI:
o Trudności w interpretacji wymagań normy
o Trudno stworzyć dobry model szacowania
ryzyka
(prosty, a jednocześnie mający odniesienie do biznesu
i naprawdę zapewniający bezpieczeństwo)
o Duża ilość procedur i polityk
o Konieczność
uświadamiania
pracowników
i
szkolenia
o Dużo formalnych wymagań systemu (dużo zapisów)
o Trzeba często szacować ryzyko
o Potrzebne nakłady na zabezpieczenia
o Potrzebna wiedza specjalistyczna (zwłaszcza IT)
o Potrzeba zaangażowania całego personelu
o Niebezpieczeństwo odejścia od rzeczywistości
biznesowej (organizacje są „ślepe” na prawdziwe
zagrożenia, zbyt bardzo polegają na systemie)
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
21
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
o Bezpieczeństwo informacji
„Bezpieczeństwo informacji oznacza, że informacje są
chronione przed szerokim zakresem zagrożeń w celu
zapewnienia ciągłości działalności, ograniczenia strat i
maksymalizacji zwrotu z inwestycji oraz działań
biznesowych (rozwoju firmy)”
o Bezpieczeństwo informacji oznacza
zachowanie:
POUFNOŚĆ
INTEGRALNOŚĆ
Zapewnienie,
że informacje
są dostępne
tylko dla osób
uprawnionych
Zagwarantowanie
dokładności i
kompletności
informacji
oraz metod
ich przetwarzania
(confidentiality)
(integrity)
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
DOSTĘPNOŚĆ
(availability)
Zapewnienie
upoważnionym
użytkownikom
dostępu do informacji
i związanych z nimi
zasobów,
zgodnie z potrzebami
22
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
AKTYWA, ZASOBY
(assets)
o
To wszystko co ma wartość dla
organizacji
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
23
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
ZAGROŻENIE
(threat)
o
Potencjalna przyczyna niepożądanego
incydentu, którego skutkiem może być
szkoda dla systemu lub instytucji.
PODATNOŚĆ
(vulnerability)
o
Słabość aktywa lub grupy aktywów, która
może być wykorzystana przez co
najmniej jedno zagrożenie.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
24
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
SKUTEK
(impact)
o
Rezultat niepożądanego incydentu.
PRAWDOPODOBIEŃSTWO
(probability)
o
Stopień pewności, że incydent się zdarzy.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
25
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
ZDARZENIE BEZPIECZEŃSTWA
INFORMACJI
(information security event)
o
Zidentyfikowane
wystąpienie
stanu
w systemie, usłudze lub sieci, który
wskazuje
na
możliwość
naruszenia
polityki bezpieczeństwa informacji lub nie
zadziałanie zabezpieczeń, lub wcześniej
nieznana sytuacja która może mieć
znaczenie dla bezpieczeństwa informacji.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
26
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
INCYDENT BEZPIECZEŃSTWA
INFORMACJI
(information security incident)
o
Pojedyncze
zdarzenie
lub
seria
niepożądanych
lub
nieoczekiwanych
zdarzeń związanych z bezpieczeństwem
informacji,
które
ze
znaczącym
prawdopodobieństwem mogą powodować
zagrożenie dla działalności biznesowej
i bezpieczeństwa informacji.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
27
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
RYZYKO
(risk)
o
Prawdopodobieństwo, że określone
zagrożenie wykorzysta podatność aktywa
lub grupy aktywów, aby spowodować
straty lub zniszczenie aktywów.
(PN-I-13335-1)
o
Kombinacja prawdopodobieństwa
zdarzenia i jego konsekwencji.
(ISO Guide 73:2002)
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
28
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
RYZYKO
SZCZĄTKOWE
(residual risk)
o
Ryzyko, które pozostaje po
wprowadzeniu zabezpieczeń.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
29
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
SZACOWANIE RYZYKA
(risk assessment)
o
Całościowy proces analizy ryzyka i oceny ryzyka
ANALIZA RYZYKA
(risk analysis)
o
Systematyczne korzystanie z informacji w celu
zidentyfikowania źródeł i oceny ryzyka
OCENA RYZYKA
(risk evaluation)
o
Proces porównywania estymowanego ryzyka z
założonymi kryteriami ryzyka w celu wyznaczenia
wagi ryzyka
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
30
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
ZARZĄDZANIE RYZYKIEM
(risk management)
o
Skoordynowane działania w celu kierowania i
kontroli organizacji z uwzględnieniem ryzyka
POSTĘPOWANIE Z RYZYKIEM
(risk treatment)
o
Proces polegający na wyborze i wdrożeniu środków
modyfikujących ryzyko
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
31
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
REDUKOWANIE RYZYKA
(risk reduction)
o
Działania podjęte, aby zmniejszyć
prawdopodobieństwo i/lub negatywne
konsekwencje związane z ryzykiem.
AKCEPTACJA RYZYKA
(risk acceptance)
o
Decyzja, aby zaakceptować ryzyko.
KRYTERIA RYZYKA
(risk criteria)
o Punkty odniesienia według których szacuje się ważność
(wagę) ryzyka.
UWAGA: Kryteria ryzyka mogą zawierać powiązane koszty
i korzyści, wymagania prawne i regulacyjne, socjoekonomiczne i środowiskowe aspekty, interesy akcjonariuszy,
priorytety i inne dane wejściowe do szacowania.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
32
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
UNIKANIE RYZYKA
(risk avoidance)
o
Decyzja, aby nie pozostawać w sytuacji ryzyka, albo
działanie w celu wycofania się z takiej sytuacji.
TRANSFER RYZYKA
(risk transfer)
o
Podzielenie się z trzecią stroną ciężarem lub
korzyścią z ryzyka.
UWAGA: Transfer ryzyka może tworzyć nowe ryzyka
lub modyfikować już istniejące.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
33
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
ZABEZPIECZENIE
(safeguard, control)
o
Praktyka, procedura lub mechanizm
redukujący ryzyko
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
34
3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ
DEKLARACJA STOSOWANIA
(statement of applicability)
o
Udokumentowana deklaracja opisująca
cele zabezpieczeń i zabezpieczenia, które
odnoszą
się
i
mają
zastosowanie
w systemie zarządzania bezpieczeństwem
informacji organizacji
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
35
ISO 27001:2007 - WYMAGANIA
PROGRAM SZKOLENIA
1.
2.
Powitanie i wstęp
Standardy międzynarodowe i inne wymagania
związane z bezpieczeństwem informacji
3. Podstawowe terminy związane z informacją
i bezpieczeństwem
4.
Zarys struktury i wymagania normy ISO
27001:2005
5.
Cele i zabezpieczenia zastosowane w ISO
27001:2005 i ISO 17799:2005
6.
Dokumentacja wymagana przez ISO 27001:2005
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
36
4. WYMAGANIA ISO 27001:2007
SPIS TREŚCI
0.
Wprowadzenie
0.1 Postanowienia ogólne
0.2 Podejście procesowe
1. Zakres normy
1.1 Postanowienia ogólne
1.2 Zastosowanie
2. Powołania normatywne
3. Terminy i definicje
4. System zarządzania bezpieczeństwem informacji SZBI
4.1 Wymagania ogólne
4.2 Ustanowienie i zarządzanie SZBI
4.2.1 Ustanowienie SZBI
4.2.2 Wdrożenie i funkcjonowanie SZBI
4.2.3 Monitorowanie i przegląd SZBI
4.2.4 Utrzymanie i doskonalenie SZBI
4.3 Wymagania dotyczące dokumentacji
4.3.1 Postanowienia ogólne
4.3.2 Nadzór nad dokumentami
4.3.3 Nadzór nad zapisami
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
37
4. WYMAGANIA ISO 27001:2007
SPIS TREŚCI – c.d.
5.
Odpowiedzialność kierownictwa
5.1. Zaangażowanie kierownictwa
5.2 Zarządzanie zasobami
5.2.1 Zapewnienie zasobów
5.2.2 Szkolenie, świadomość i kompetencje
6.
Audity wewnętrzne SZBI
7.
Przegląd SZBI przez kierownictwo
7.1. Postanowienia ogólne
7.2. Dane wejściowe do przeglądu
7.3. Dane wyjściowe z przeglądu
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
38
4. WYMAGANIA ISO 27001:2007
SPIS TREŚCI – c.d.
8.
Doskonalenie SZBI
8.1. Ciągłe doskonalenie
8.2. Działania korygujące
8.3. Działania zapobiegawcze
Aneks A (normatywny)
zabezpieczenia
Cele
stosowania
zabezpieczeń
oraz
Aneks B (informacyjny) Wytyczne OECD do stosowania niniejszej
Normy Międzynarodowej
Aneks C (informacyjny) Powiązania między ISO 9001:2008, ISO
14001:2004 niniejszą Normą Międzynarodową”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
39
4. WYMAGANIA ISO 27001:2007
0.2 PODEJŚCIE PROCESOWE
„Niniejszy standard przyjmuje podejście procesowe do
ustanowienia, wdrożenia, stosowania, monitorowania,
przeglądania, utrzymywania i doskonalenia
udokumentowanego Systemu Zarządzania
Bezpieczeństwem Informacji (SZBI).”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
40
4. WYMAGANIA ISO 27001:2007
1.1 WYMAGANIA OGÓLNE
o Standard
organizacji
dotyczy
wszelkiego
rodzaju
o „Celem
SZBI jest zapewnienie wyboru
adekwatnych i proporcjonalnych zabezpieczeń
w celu ochrony aktywów informacyjnych oraz
zapewnienie zaufania do organizacji stron
zainteresowanych.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
41
4. WYMAGANIA ISO 27001:2007
1.2 ZASTOSOWANIE
„Wyłączenie jakichkolwiek wymagań zawartych w klauzulach
4, 5, 6, 7 i 8 nie jest możliwe, jeżeli organizacja deklaruje
zgodność z niniejszym międzynarodowym standardem.
Jakiekolwiek
wyłączenie
zabezpieczeń
uważanych
za
konieczne, aby spełnić kryteria akceptacji ryzyka powinno
być uzasadnione i powinien być dostarczony dowód, że
powiązane ryzyka zostały zaakceptowane przez upoważnione
osoby. Jeżeli dokonano wyłączenia zabezpieczeń, to nie
można deklarować zgodności z niniejszym międzynarodowym
standardem, chyba że takie wyłączenia nie wpływają na
zdolność i odpowiedzialność organizacji, do zapewnienia
bezpieczeństwa informacji, które spełnia wymagania
bezpieczeństwa wynikające z szacowania ryzyka i mających
zastosowanie wymagań prawa i innych regulacji.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
42
4. WYMAGANIA ISO 27001:2007
4. SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM
INFORMACJI
4.1 WYMAGANIA OGÓLNE
„Organizacja powinna ustanowić, wdrożyć, stosować,
monitorować, przeglądać, utrzymywać i doskonalić
udokumentowany SZBI w kontekście ogólnej działalności
biznesowej organizacji i ryzyk które napotyka. Dla celów
niniejszego standardu międzynarodowego zastosowano
proces oparty na modelu PDCA pokazanym na rysunku 1”
Patrz także „0.2 Podejście procesowe”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
43
4. WYMAGANIA ISO 27001:2007
Model PDCA stosowany w procesach SZBI
Planuj
Ustanowienie SZBI
Wykonuj
Zainteresowane
strony
Wdrożenie i
eksploatacja SZBI
Cykl
opracowywania,
utrzymywania i
doskonalenia
Utrzymanie
i doskonalenie SZBI
Zainteresowane
strony
Działaj
Wymagania i
oczekiwania
dotyczące
bezpieczeństwa
informacji
Monitorowanie i
przegląd SZBI
Zarządzanie
bezpieczeństwem
informacji
Sprawdzaj
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
44
4. WYMAGANIA ISO 27001:2007
Model PDCA stosowany w procesach SZBI
o
Planuj
(ustanowienie SZBI)
o
Wykonuj
(wdrożenie i
eksploatacja SZBI
Wdrożenie
i
zastosowanie
polityk
zabezpieczeń, procesów, procedur.
o
Sprawdzaj
(monitorowanie i
przegląd SZBI)
o
Ustanowienie
polityk
bezpieczeństwa,
zadań,
celów,
procesów i procedur
odpowiednich dla zarządzania
ryzykiem i doskonalenia bezpieczeństwa informacji w celu
spełnienia postanowień polityki i celów organizacji.
bezpieczeństwa
Ocena i gdzie to możliwe pomiar wykonania procesów
w
odniesieniu
do
polityk
bezpieczeństwa,
celów
i
praktycznych
doświadczeń
oraz
przekazywanie
kierownictwu wyników do przeglądu.
Działaj
(utrzymanie i
doskonalenie SZBI)
Podejmowanie działań korygujących i zapobiegawczych na
podstawie
wyników
przeglądu
realizowanego
przez
kierownictwo tak, aby osiągnąć ciągłe doskonalenie SZBI.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
45
4. WYMAGANIA ISO 27001:2007
4.2 USTANOWNIE I ZARZĄDZANE SZBI
4.2.1 a USTANÓW SZBI
„Organizacja powinna określić zakres i granice
SZBI z uwzględnieniem rodzaju działalności
biznesowej, organizacji, jej lokalizacji, aktywów
i technologii, zawierając również szczegóły
i uzasadnienie dla jakichkolwiek wyłączeń
z zakresu (patrz 1.2).”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
46
4. WYMAGANIA ISO 27001:2007
Ustanowienie struktury zarządzania
Etap 1
Etap 2
Etap 3
Etap 4
Określenie zakresu SZBI
Zakres SZBI
Dokument polityki
Określenie polityki
Stworzyć systematyczne podejście do
szacowania ryzyka:
- wybrać metodę szacowania
- określić bezpieczeństwo informacji,
wymagania prawne i nadzoru
- ustanowić politykę i cele
- wyznaczyć kryteria akceptowania ryzyka
i określić akceptowalne jego poziomy
Określić ryzyka:
- określić aktywa i ich właścicieli
- określić skutki zagrożeń
- określić zagrożenia
- określić podatności
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
Arkusz szacowania ryzyka,
polityki
Arkusz szacowania ryzyka
47
4. WYMAGANIA ISO 27001:2007
Ustanowienie struktury zarządzania – c.d
Etap 5
Etap 6
Etap 7
Etap 8
Etap 9
Oszacować ryzyka:
- oszacować szkody i straty biznesowe
- oszacować prawdopodobieństwo
- wyznaczyć poziomy ryzyk
- stwierdzić czy ryzyko jest akceptowalne
czy też wymaga działania
Zidentyfikować i ocenić warianty
postępowania z ryzykiem:
- zastosowanie zabezpieczeń
- akceptacja ryzyka
- unikanie ryzyka
- przeniesienie ryzyka
Wybór celów i zabezpieczeń, które
zostaną wdrożone
Sporządzenie deklaracji stosowania
Sporządzenie planu postępowania
z ryzykiem:
- odpowiedzialności
- priorytety
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
Arkusz szacowania ryzyka
Raport z oceny ryzyka
Raport z oceny ryzyka
Wybrane cele
i zabezpieczenia
Deklaracja stosowania
Plan postępowania
z ryzykiem
48
4. WYMAGANIA ISO 27001:2007
Ustanowienie struktury zarządzania – c.d
Etap 10
Wdrożenie wybranych zabezpieczeń
Etap 11
Ustalenie sposobu pomiaru skuteczności
i doskonalenie zastosowanych zabezpieczeń
Etap 12
Ponowne szacowanie ryzyka
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
Księga SZBI
Polityki, procedury
Księga SZBI
Raport z oceny ryzyka
49
4. WYMAGANIA ISO 27001:2007
4.2.1. b OKREŚL POLITYKĘ SZBI
„Organizacja powinna:
...ustanowić
politykę
SZBI
uwzględniającą
charakter
prowadzonej działalności biznesowej, organizację, jej
lokalizację, aktywa i technologię, która:
1) stanowi podstawę dla wyznaczania celów i wytycza
zasadniczy kierunek i zasady działania w związku
z bezpieczeństwem informacji;
2) bierze pod uwagę wymagania biznesowe, prawne
i regulacyjne oraz obowiązki w zakresie bezpieczeństwa
wynikające z umów;
3) jest zgodna z kontekstem zarządzania przez organizację
ryzykiem strategicznym, w którym zostanie ustanowiony
i utrzymywany SZBI;
4) ustanawia kryteria w oparciu o które ryzyko będzie
oceniane (patrz 4.2.1 c); i
5) została zaakceptowana przez kierownictwo.
UWAGA:
Dla
potrzeb
niniejszego
międzynarodowego
standardu polityka SZBI jest traktowana jako dokument
nadrzędny
(„nadzbiór”)
w
stosunku
do
polityki
bezpieczeństwa informacji. Polityki te mogą być opisane
w jednym dokumencie”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
50
4. WYMAGANIA ISO 27001:2007
4.2.1 c OKREŚL PODEJŚCIE DO SZACOWANIA
RYZYKA
„Organizacja powinna:
1) Określić metodykę szacowania ryzyka, która jest
odpowiednia dla SZBI i zidentyfikowanych biznesowych,
prawnych i regulaminowych wymagań w zakresie
bezpieczeństwa informacji.”
2) Opracuj kryteria akceptowania ryzyka i zidentyfikuj
akceptowalne poziomy ryzyk (patrz 5.1 f).
Wybrana metodyka szacowania ryzyka powinna zapewnić,
aby kolejne szacowania ryzyka dawały porównywalne
i powtarzalne wyniki.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
51
4. WYMAGANIA ISO 27001:2007
4.2.1 d ZIDENTYFIKOWAĆ RYZYKA
„Organizacja powinna.....
d) Zidentyfikować ryzyka.
1) Zidentyfikować aktywa w zakresie SZBI i właścicieli
tych aktywów.
2) Zidentyfikować zagrożenia dla tych aktywów.
3) Zidentyfikować podatności które mogą być
wykorzystane przez zagrożenia.
4)Zidentyfikować skutki jakie utrata poufności,
integralności i dostępności może mieć dla aktywów.
Termin „właściciel” oznacza osobę lub jednostkę która formalnie
odpowiada
za
wytwarzanie,
rozwój,
utrzymanie,
użytkowanie
i bezpieczeństwo aktywów. Termin „właściciel” nie oznacza, że dana
osoba w rzeczywistości ma jakieś prawa własności w stosunku do
aktywa.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
52
4. WYMAGANIA ISO 27001:2007
Zagrożenia bezpieczeństwa
informacji
o Kradzież informacji
o Włamania i sabotaż systemu IT
o Podszywanie się pod cudzą tożsamość
o Odmowa dostępu do usług elektronicznych
o Zgubienie
o Uszkodzenie
o Atak z internetu (konie trojańskie, fałszywe adresy
nadawcy poczty elektronicznej, podstawianie stron
transakcyjnych, infekowanie sektorów startowych
komputera wirusami powodującymi awarie)
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
53
4. WYMAGANIA ISO 27001:2007
4.2.1 e ZANALIZOWAĆ I OCENIĆ RYZYKA
„Organizacja powinna.....
1) Oszacować skutki biznesowe dla organizacji, które mogą
wyniknąć z naruszenia bezpieczeństwa, biorąc pod uwagę
konsekwencje utraty poufności, integralności i dostępności
aktywów.
2) Ocenić
realistyczne
prawdopodobieństwo
wystąpienia
naruszeń bezpieczeństwa informacji w świetle przeważających
zagrożeń i podatności, skutków związanych z tymi zasobami oraz
obecnie stosowanych zabezpieczeń.
3) Oszacować poziomy ryzyk.
4) Ustalić czy ryzyka są akceptowalne czy też wymagają
postępowania przy zastosowaniu kryteriów akceptacji ryzyk
ustanowionych w 4.2.1 c)2.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
54
4. WYMAGANIA ISO 27001:2007
4.2.1 f OKREŚL I OCEŃ OPCJE
„Organizacja powinna:
f) Określić i ocenić opcje postępowania z ryzykiem.
Możliwe działania to:
1) zastosowanie odpowiednich zabezpieczeń;
2) świadome i celowe zaakceptowanie ryzyk, pod warunkiem, że
spełniają wymagania polityk organizacji i kryteria akceptacji
ryzyk (patrz 4.2.1 c)2;
3) unikanie ryzyk; i
4) przeniesienie związanych ryzyk biznesowych na inne strony,
np. ubezpieczycieli, dostawców.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
55
4. WYMAGANIA ISO 27001:2007
4.2.1 g WYBÓR CELÓW I ZABEZPIECZEŃ
„Organizacja powinna...
g) Wybrać cele i zabezpieczenia w celu postępowania
z ryzykiem.”
- wybrane
zabezpieczenia powinny spełniać wymagania
wynikające z szacowania ryzyka i podjętych decyzji co do
postępowania z nim
- wybór
powinien brać pod uwagę kryteria akceptacji
ryzyka, prawne, regulacyjne i kontraktowe wymagania
- należy
rozważyć obowiązkowo zabezpieczenia z Aneksu
A, ale można również wybrać odpowiednie zabezpieczenia
spoza niego
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
56
4. WYMAGANIA ISO 27001:2007
4.2.1 h, i) AKCEPTACJA RYZYK SZCZĄTKOWYCH i
AUTORYZACJA
„Organizacja powinna...:
h) Uzyskać akceptację kierownictwa co do
zaproponowanych ryzyk szczątkowych.
i) Uzyskać autoryzację kierownictwa do wdrożenia
i stosowania SZBI.”
W niektórych sytuacjach kierownictwo może podjąć
decyzję o akceptacji ryzyk szczątkowych wykraczających
poza poziom akceptowalny. Decyzja taka powinna zostać
formalnie udokumentowana!!!
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
57
4. WYMAGANIA ISO 27001:2007
4.2.2 WDRÓŻ I STOSUJ SZBI
„Organizacja powinna:
a) Stworzyć plan postępowania z ryzykiem, który określa
właściwe działania, zasoby, odpowiedzialności i priorytety
związane z zarządzaniem ryzykami bezpieczeństwa
informacji.
b) Wdrożyć plan postępowania z ryzykiem w celu
osiągnięcia zidentyfikowanych celów zabezpieczeń, łącznie
z
rozważeniem
finansowania
i
przydzielenia
ról
i odpowiedzialności.
c) Wdrożyć zabezpieczenia wybrane w 4.2.1 g), aby
osiągnąć cele zabezpieczeń.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
58
4. WYMAGANIA ISO 27001:2007
4.2.2 WDRÓŻ I STOSUJ SZBI – c.d.
„Organizacja powinna:
d) Określić jak będzie mierzona skuteczność stosowanych
zabezpieczeń lub grup zabezpieczeń i jak te pomiary mają
być stosowane, aby zapewnić, że dadzą porównywalne
i powtarzalne wyniki (patrz 4.2.3 c).
Uwaga: Pomiar skuteczności zabezpieczeń umożliwia
kierownictwu i personelowi określić w jakim stopniu
zabezpieczenia spełniają zaplanowane cele ich stosowania.
e) Wdrożyć programy szkoleń i uświadamiania (patrz
5.2.2).
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
59
4. WYMAGANIA ISO 27001:2007
4.2.2 WDRÓŻ I STOSUJ SZBI – c.d.
„Organizacja powinna:
f) Zarządzać funkcjonowaniem SZBI.
g) Zarządzać zasobami potrzebnymi SZBI (patrz 5.2)
h) Wdrożyć procedury i inne zabezpieczenia, które
umożliwią
natychmiastowe
wykrycie
zdarzeń
bezpieczeństwa informacji i reakcję na incydenty
bezpieczeństwa informacji.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
60
4. WYMAGANIA ISO 27001:2007
4.2.3 MONITORUJ I DOKONUJ PRZEGLĄDÓW
SZBI
4.2.3 a) PROCEDURY MONITOROWANIA I PRZEGLĄDÓW
„Organizacja powinna.
a) Stosować procedury monitorowania i przeglądów oraz inne
zabezpieczenia po to, aby:
1) natychmiast wykrywać błędy w wynikach przetwarzania;
2) natychmiast wykrywać próby oraz
i incydenty bezpieczeństwa informacji;
dokonane
naruszenia
3) Umożliwić kierownictwu ustalenie czy działania w zakresie
bezpieczeństwa delegowane personelowi lub wdrożone za pomocą
środków informatycznych funkcjonują zgodnie z oczekiwaniami;
4) Pomóc wykryć naruszenia bezpieczeństwa i w ten sposób
zapobiegać incydentom poprzez wczesne wykrywanie sygnałów; i
5) Ustalić czy działania podjęte
bezpieczeństwa były skuteczne.”
w
celu
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
naprawy
naruszeń
61
4. WYMAGANIA ISO 27001:2007
4.2.3 b) REGULARNY PRZEGLĄD SKUTECZNOŚCI SZBI
„Organizacja powinna.
b) Przeprowadzać regularne przeglądy skuteczności SZBI
(łącznie ze spełnieniem polityki i celów SZBI, i przeglądem
zabezpieczeń),
biorąc
pod
uwagę
wyniki
auditów
bezpieczeństwa,
incydentów,
wyników
pomiarów
skuteczności, sugestii i informacji zwrotnych od wszystkich
zainteresowanych stron”
4.2.3 c) POMIAR SKUTECZNOŚCI ZABEZPIECZEŃ
„Organizacja powinna.
c) Mierzyć skuteczność zabezpieczeń w celu weryfikacji czy
wymagania w zakresie bezpieczeństwa informacji zostały
spełnione.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
62
4. WYMAGANIA ISO 27001:2007
4.2.3 d) REGULARNY PRZEGLĄD SZACOWANIA RYZYKA
„Organizacja powinna.
d) Przeglądać szacowania ryzyka w zaplanowanych
odstępach czasu oraz przeglądać ryzyka szczątkowe
i określone akceptowalne poziomy ryzyk, biorąc pod
uwagę zmiany w:
1) organizacji;
2) technologii;
3) celach biznesowych i procesach;
4) zidentyfikowanych zagrożeniach;
5) skuteczności wdrożonych zabezpieczeń; i
6) zewnętrznych zdarzeniach, takich jak zmiana
w otoczeniu prawnym i regulacyjnym, zmienione
obowiązki wynikające z umów i zmiany w stosunkach
społecznych.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
63
4. WYMAGANIA ISO 27001:2007
4.2.3
e)
przeprowadzaj
audity
w zaplanowanych odstępach czasu
wewnętrzne
4.2.3 f) dokonuj regularnie przeglądów zarządzania, aby
zapewnić, że zakres systemu jest adekwatny i
zidentyfikowane są możliwości doskonalenia procesów
SZBI
4.2.3 g) aktualizuj plany zapewnienia bezpieczeństwa
biorąc pod uwagę wyniki monitorowania i przeglądów
4.2.3 h) zapisuj działania i zdarzenia, które mogą mieć
wpływ na skuteczność lub funkcjonowanie SZBI (patrz
4.3.3).
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
64
4. WYMAGANIA ISO 27001:2007
4.2.4 UTRZMUJ I DOSKONAL SZBI
4.2.4 a) wdróż zidentyfikowane udoskonalenia SZBI
4.2.4
b)
przeprowadzaj
działania
korygujące
i zapobiegawcze zgodnie z 8.2 i 8.3; ucz się na błędach
swoich i innych
4.2.4 c) wymieniaj się działaniami i doświadczeniami ze
wszystkimi zainteresowanymi stronami na poziomie
szczegółowości odpowiednim do okoliczności i uzgadniaj
postępowanie, jeżeli to zasadne
4.2.4 d) zapewnij, że działania doskonalące osiągnęły
zamierzone cele.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
65
4. WYMAGANIA ISO 27001:2007
4.3.2 NADZÓR NAD DOKUMENTAMI
Dokumenty wymagane przez SZBI powinny być chronione
i
nadzorowane.
Udokumentowana
procedura
powinna
zapewnić:
a) akceptowanie
stosowania
dokumentów
b) przegląd, aktualizację
akceptowanie dokumentów
w
przed
razie
dopuszczeniem
potrzeby
i
do
ponowne
c) oznaczanie zmian i obecnego statusu dokumentów
d) właściwe dokumenty są dostępne w miejscach użycia
e) czytelność i identyfikowalność dokumentów
f) dostępność dokumentów dla właściwych osób, oraz
przekazywanie, przechowywanie i niszczenie dokumentów
zgodnie z ich klasyfikacją
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
66
4. WYMAGANIA ISO 27001:2007
4.3.2 NADZÓR NAD DOKUMENTAMI – c.d.
g) identyfikację dokumentów pochodzenia zewnętrznego
h) dystrybucję dokumentów w warunkach nadzorowanych
i) zapobieganie niezamierzonemu stosowaniu wycofanych
dokumentów
j) właściwe oznaczanie w przypadku, gdy są zachowywane
w organizacji
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
67
4. WYMAGANIA ISO 27001:2007
4.3.3 NADZÓR NAD ZAPISAMI
Powinny być tworzone i utrzymywane zapisy, aby dostarczyć
dowodów zgodności z wymaganiami i skuteczności SZBI.
Zapisy powinny być chronione i nadzorowane. SZBI powinien
uwzględniać
wszystkie
właściwe
wymagania
prawne,
regulacyjne i zobowiązania umowne.
Zapisy
powinny
i odtwarzalne.
być
czytelne,
łatwo
identyfikowalne
Zabezpieczenia potrzebne dla identyfikacji, przechowywania,
odtwarzania, czasu archiwizacji i niszczenia zapisów powinny
zostać udokumentowane i wdrożone.
Powinny być utrzymywane zapisy dotyczące ustanawiania
i zarządzania SZBI oraz znaczących incydentów związanych
z SZBI.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
68
4. WYMAGANIA ISO 27001:2007
5. ODPOWIEDZIALNOŚĆ KIEROWNICTWA
5.1 Zaangażowanie kierownictwa
Kierownictwo powinno wykazać zaangażowanie w ustanowienie,
wdrożenie, funkcjonowanie, monitorowanie, przegląd, utrzymanie
i doskonalenie SZBI poprzez:
a) ustanowienie polityki SZBI
b) zapewnienie ustanowienia celów i planów SZBI
c) określenie ról i odpowiedzialności w zakresie bezpieczeństwa
informacji
d)
zakomunikowane
organizacji
ważności
spełniania
celów
bezpieczeństwa informacji i zgodności z politykami, odpowiedzialności
prawnej i potrzeby ciągłego doskonalenia
e) zapewnienie wystarczających zasobów dla SZBI
g) zapewnienie przeprowadzania auditów wewnętrznych SZBI
h) przeprowadzanie przeglądów zarządzania SZBI
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
69
4. WYMAGANIA ISO 27001:2007
5. ODPOWIEDZIALNOŚĆ KIEROWNICTWA – c.d.
5.2 Zarządzanie zasobami
5.2.1 Zapewnienie zasobów
Organizacja powinna określić i zapewnić zasoby potrzebne do:
a)
ustanowienia,
wdrożenia,
funkcjonowania,
przeglądu, utrzymywania i doskonalenia SZBI
monitorowania,
b) zapewnienia, że procedury bezpieczeństwa informacji wspierają
procesy biznesowe
c) określenia i spełniania wymagań prawnych i regulacyjnych oraz
zobowiązań kontraktowych
d) utrzymywania adekwatnego bezpieczeństwa poprzez właściwe
zastosowanie wszystkich zaimplementowanych zabezpieczeń
e) przeprowadzania przeglądów w razie potrzeby oraz właściwego
reagowania na wyniki tych przeglądów
f) doskonalenia skuteczności SZBI, gdzie jest to wymagane
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
70
4. WYMAGANIA ISO 27001:2007
5. ODPOWIEDZIALNOŚĆ KIEROWNICTWA – c.d.
5.2 Zarządzanie zasobami
5.2.2 Szkolenia, świadomość i kompetencje
Organizacja
powinna
zapewnić,
że
odpowiedzialności określone w SZBI
wykonywać wymagane zadania poprzez:
cały
ma
personel
mający
kompetencje, aby
a) określenie potrzebnych kompetencji personelu wykonującego prace
mające wpływ na SZBI
b) zapewnienie szkoleń i podjęcie innych działań (np. zatrudnienie
kompetentnego personelu), aby spełnić te potrzeby
c) ocenianie skuteczności podjętych działań
d) utrzymywania zapisów z wykształcenia, szkoleń, umiejętności,
doświadczenia i kwalifikacji.
Organizacja powinna ponadto zapewnić, że właściwy personel jest
świadomy sensu i ważności swych działań związanych z
bezpieczeństwem informacji i jak przyczyniają się one do osiągania
celów SZBI.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
71
4. WYMAGANIA ISO 27001:2007
6. AUDITY WEWNĘTRZNE SZBI
„Organizacja powinna przeprowadzać audity wewnętrzne SZBI
w zaplanowanych odstępach czasu, aby ustalić czy cele
zabezpieczeń, zabezpieczenia, procesy i procedury SZBI:
a) są zgodne z wymaganiami niniejszego Standardu
międzynarodowego i właściwymi regulacjami i legislacją
b) są zgodne
bezpieczeństwa
z
określonymi
wymaganiami
w
zakresie
c) są skutecznie wdrożone i utrzymywane
d) funkcjonują zgodnie z zamierzeniami”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
72
4. WYMAGANIA ISO 27001:2007
6. AUDITY WEWNĘTRZNE SZBI – c.d.
Inne wymagania:
- Planowanie
auditów: status procesów, wyniki poprzednich
auditów, kryteria, zakres, częstotliwość, metody, wybór
auditorów (obiektywność)
- Udokumentowana
procedura:
utrzymywanie zapisów
planowanie,
raportowanie,
- Niezwłoczne
podejmowanie działań eliminujących wykryte
niezgodności i ich przyczyny + weryfikacja działań i raporty
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
73
4. WYMAGANIA ISO 27001:2007
7. PRZEGLĄD ZARZĄDZANIA SZBI
7.1 Wymagania ogólne
Kierownictwo
powinno
dokonywać
przeglądów
SZBI
w zaplanowanych odstępach czasu (przynajmniej raz do roku),
aby
zapewnić
jego
ciągłą
poprawność,
adekwatność
i skuteczność.
Przegląd powinien zawierać ocenę możliwości doskonalenia
i potrzeb zmian w SZBI, łącznie z polityką i celami
bezpieczeństwa informacji.
Wyniki przeglądów powinny być
i powinny być utrzymywane zapisy.
jasno
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
dokumentowane
74
4. WYMAGANIA ISO 27001:2007
7. PRZEGLĄD ZARZĄDZANIA SZBI – c.d.
7.2 Dane wejściowe na przegląd:
a) wyniki auditów i przeglądów SZBI
b) informacje zwrotne od stron zainteresowanych
c) techniki, produkty lub procedury, które można zastosować
w organizacji w celu doskonalenia funkcjonowania
i skuteczności SZBI
d) status działań zapobiegawczych i korygujących
e) podatności lub zagrożenia w niewystarczający sposób
potraktowane w poprzednim szacowaniu ryzyka
f) wyniki pomiarów skuteczności
g) działania podjęte po poprzednich przeglądach zarządzania
h) wszelkie zmiany mające wpływ na SZBI
i) rekomendacje co do doskonalenia
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
75
4. WYMAGANIA ISO 27001:2007
7. PRZEGLĄD ZARZĄDZANIA SZBI – c.d.
7.3 Dane wyjściowe z przeglądu:
Decyzje i działania związane z:
a) doskonaleniem skuteczności SZBI
b) aktualizacją szacowania ryzyka i planu postępowania z ryzykiem
c) modyfikacją (w razie konieczności) procedur i zabezpieczeń mających wpływ
na bezpieczeństwo informacji, aby zareagować na wewnętrzne lub zewnętrzne
zdarzenia , mogące mieć wpływ na SZBI, łącznie ze zmianami w:
1) wymaganiach biznesowych
2) wymaganiach bezpieczeństwa
3) procesach biznesowych mających wpływ na istniejące wymagania
biznesowe
4) wymaganiach regulacyjnych lub prawnych
5) zobowiązaniach umownych
6) poziomach ryzyka i/lub kryteriach akceptacji ryzyk
d) potrzebami w zakresie zasobów
e) doskonaleniem pomiarów skuteczności zabezpieczeń
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
76
4. WYMAGANIA ISO 27001:2007
8. DOSKONALENIE SZBI
8.1 Ciągłe doskonalenie
Organizacja powinna ciągle doskonalić skuteczność SZBI
poprzez wykorzystanie polityki i celów bezpieczeństwa
informacji, wyników auditów, analizę monitorowanych
zdarzeń, działania zapobiegawcze i korygujące i przeglądy
zarządzania.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
77
4. WYMAGANIA ISO 27001:2007
8. DOSKONALENIE SZBI – c.d.
8.2 Działania korygujące
Organizacja powinna podejmować działania w celu
eliminacji przyczyn niezgodności z wymaganiami SZBI,
aby zapobiegać powtórnemu wystąpieniu:
- udokumentowana procedura
- identyfikacja niezgodności
- określenie przyczyn niezgodności
- ocena działań do podjęcia w celu zapewnienia, że
niezgodność nie wystąpi ponownie
- określenie i wdrożenie działań korygujących
- zapisy z działań
- przegląd działań
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
78
4. WYMAGANIA ISO 27001:2007
8. DOSKONALENIE SZBI – c.d.
8.3 Działania zapobiegawcze
Organizacja powinna określać działania w celu eliminacji
przyczyn potencjalnych niezgodności z wymaganiami SZBI,
aby zapobiegać powtórnemu wystąpieniu. Podjęte działania
powinny być adekwatne do potencjalnych problemów:
- udokumentowana procedura
- identyfikacja potencjalnych
niezgodności
(zwłaszcza zmiany w znaczących ryzykach)
i
ich
przyczyn
- ocena
działań do podjęcia w celu zapobieżenia wystąpieniu
niezgodności (priorytet zgodnie z wynikami szacowania
ryzyka)
- określenie i wdrożenie działań zapobiegawczych
- zapisy z działań
- przegląd działań
DZIAŁANIA ZAPOBIEGAWCZE SĄ TAŃSZE NIŻ KORYGUJĄCE
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
79
ISO 27001:2007 - WYMAGANIA
PROGRAM SZKOLENIA
1.
2.
Powitanie i wstęp
Standardy międzynarodowe i inne wymagania
związane z bezpieczeństwem informacji
3. Podstawowe terminy związane z informacją
i bezpieczeństwem
4.
Zarys struktury i wymagania normy ISO
27001:2005
5.
Cele i zabezpieczenia zastosowane w ISO
27001:2007 i ISO 17799:2007
6.
Dokumentacja wymagana przez ISO 27001:2007
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
80
5. CELE I ZABEZPIECZENIA – ISO 17799:2005
Cele i zabezpieczenia
(control objectives and controls)
ISO 27001:2005 zawiera
39 celów i 134 zabezpieczeń
„Nie wszystkie z opisanych zabezpieczeń znajdą
zastosowanie w każdej sytuacji, podobnie nie
mogą
one
uwzględniać
specyficznych
miejscowych uwarunkowań środowiskowych lub
technicznych, jak też nie mogą być podane
w formie, która zadowoli każdego potencjalnego
użytkownika w dowolnej organizacji”
„reprezentują przykłady powszechnie używanych
metod,
uważanych
za
dobre
praktyki
w dziedzinie ochrony informacji”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
81
5. CELE I ZABEZPIECZENIA – ISO 17799:2005
BUDOWA ANEKSU A
Cel całego rozdziału
= odwrotność
ZAGROŻENIA
Nazwa
zabezpieczenia
Opis zabezpieczenia
Wskazuje na
ZAGROŻENIE !
A.10.5 Kopie zapasowe
Cel: Utrzymać integralność i dostępność informacji i urządzeń
przetwarzających informacje
A.10.5.1.
Kopie zapasowe
informacji
Zabezpieczenie
Powinny być tworzone i testowane regularnie
kopie zapasowe informacji i oprogramowania
zgodnie z zatwierdzoną polityką tworzenia
kopii zapasowych.
Nr klauzuli
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
82
5. CELE I ZABEZPIECZENIA – ISO 17799:2005
ANEKS A CELE I ZABEZPIECZENIA
A 5 Polityka bezpieczeństwa
A 6 Organizacja bezpieczeństwa informacji
A 7 Zarządzanie aktywami
A 8 Bezpieczeństwo osobowe
A 9 Bezpieczeństwo fizyczne i środowiskowe
A 10 Zarządzanie komunikacją i operacjami
A 11 Kontrola dostępu do systemu
A 12 Pozyskiwanie, rozwój i utrzymanie systemów
informatycznych
A 13 Zarządzanie incydentami związanymi z
bezpieczeństwem informacji
A 14 Zarządzanie ciągłością działania
A 15 Zgodność
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
83
ISO 27001:2007 - WYMAGANIA
PROGRAM SZKOLENIA
1.
2.
Powitanie i wstęp
Standardy międzynarodowe i inne wymagania
związane z bezpieczeństwem informacji
3. Podstawowe terminy związane z informacją i
bezpieczeństwem
4.
Zarys struktury i wymagania normy ISO
27001:2005
5.
Cele i zabezpieczenia zastosowane w ISO
27001:2005 i ISO 17799:2005
6.
Dokumentacja wymagana przez ISO 27001:2005
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
84
6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007
Dokumentacja SZBI (4.3.1)
o SZBI winien zawierać:
o Udokumentowaną deklarację polityki SZBI i celów
o Zakres SZBI
o Procedury i zabezpieczenia wspierające SZBI (np. zawarte w
Aneksie A)
o Opis metodyki szacowania ryzyka
o Raport z szacowania ryzyka
o Plan postępowania z ryzykiem
o Udokumentowane procedury potrzebne organizacji do
skutecznego planowania, funkcjonowania i nadzorowania procesów
SZBI i opisania pomiarów skuteczności zabezpieczeń (m.in. 5
wymaganych procedur)
o Zapisy wymagane przez standard (np. zapisy ze szkoleń,
przeglądów zarządzania)
o Deklarację stosowania
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
85
6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007
Dokumentacja SZBI
o „Udokumentowana” = ustanowiona,
udokumentowana, wdrożona, utrzymywana
o Zakres dokumentacji zależy od:
o rozmiaru i charakteru działalności organizacji
o zakresu i stopnia skomplikowania wymagań
bezpieczeństwa i zarządzanego systemu
o Dokumentacja i zapisy mogą być utrwalone za
pomocą jakiegokolwiek nośnika.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
86
6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007
Wymagane udokumentowane procedury
SZBI
o
Działania korygujące
o
Działania zapobiegawcze
o
Nadzór nad dokumentami
o
Nadzór nad zapisami
o
Audity wewnętrzne
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
87
6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007
o ISO 27001:2005 - 4.3.1. drugie zdanie)
„Ważne jest, aby pokazać powiązanie wstecz od
wybranych
zabezpieczeń
do
wyników
szacowania ryzyka i procesu postępowania
z ryzykiem i jeszcze wcześniej do polityki i celów
SZBI .”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
88
6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007
Struktura dokumentacji SZBI
Podręcznik
bezpieczeństwa
Poziom 1
Polityka, zakres,
ocena ryzyka,
deklaracja
Poziom 2
Opis procesu: kto, co, kiedy,gdzie
Procedury
Poziom 3
Opisuje jak maja być realizowane zadania
Poziom 4
Dostarcza dowodów na zgodność SZBI z wymaganiami p.3.6
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
Instrukcje,
listy kontrolne,
formularze
Zapisy
89
6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007
DEKLARACJA STOSOWANIA
(statement of applicability)
o
Dokument, w którym opisano cele stosowania
zabezpieczeń oraz zabezpieczenia, które
odnoszą się i mają zastosowanie w SZBI danej
organizacji, oparte na rezultatach i wnioskach
wynikających
z
procesów
szacowania
i postępowania z ryzykiem.
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
90
6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007
ISO 27001:2007 - 4.2.1 j)
„j) Przygotuj Deklarację Stosowania.
Powinna zostać przygotowana Deklaracja Stosowania
zawierająca:
1) cele zabezpieczeń i zabezpieczenia wybrane w punkcie
4.2.1 g oraz przyczyny ich wyboru;
2) cele zabezpieczeń i zabezpieczenia obecnie
zastosowane (patrz 4.2.1 e)2); i
3) wyłączenia jakichkolwiek celów i zabezpieczeń
zawartych w Aneksie A wraz z uzasadnieniem ich
wyłączenia.”
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
91
ISO 27001:2007 - WYMAGANIA
PYTANIA I WĄTPLIWOŚCI
Prosimy Państwa
o zadawanie pytań
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
92
ISO 27001:2007 - WYMAGANIA
KONIEC
Dziękujemy Państwu
za uwagę
Więcej informacji:
www.iquelle.com
Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ
93