ISO 27001 nowy standard bezpieczeństwa CryptoCon, 30-31.08.2006
Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie
Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie
Liczba incydentów Procent firm deklarujących wystąpienie incydentów % 60 50 40 30 36 36 46 56 51 2002 2004 2005 20 23 10 0 12 14 10 4 5 3 1 2 1 0 1-9 10-49 50-499 >500 Liczba incydentów Źródło: CSO 2005
Główne typy ataków Pięć głównych typów ataku Złośliwy kod 59% Inny 26% Nieautoryzowane wejście Przeciążenie serwera poczty 21% 25% Nielegalne dane i dokumenty 15% 0% 10% 20% 30% 40% 50% 60% 70% Źródło: CSO 2005
Główne kierunki ataków Pięć głównych kierunków ataku E-mail z wirusem 68% Znana luka w systemie operacyjnym 26% Nadużycie uprawnień 21% Inne 19% Znana luka w programowaniu 16% 0% 10% 20% 30% 40% 50% 60% 70% 80% Źródło: CSO 2005
Główne źródła ataków Pięć głównych źródeł ataku Hakerzy 63% Pracownicy 33% Inne 25% Byli pracownicy 20% Klienci 11% 0% 10% 20% 30% 40% 50% 60% 70% Źródło: CSO 2005
Skąd firma dowiedziała się o ataku? Skąd firma dowiedziała się o ataku Firewall, plik Log, IDS 50% Ostrzeżenie od kolegi 39% Uszkodzenia materialne lub danych 21% Alarm od klienta Ostrzeżenie od dostawcy usług 11% 14% 0% 10% 20% 30% 40% 50% 60% Źródło: CSO 2005
Kto został poinformowany o ataku W rezultacie ataku skontaktowałem się z: Nikim 55% Klientami 16% Partnerami/dostawcami 14% Konsultantami 12% 0% 10% 20% 30% 40% 50% 60% Źródło: CSO 2005
Bezpieczeństwo w praktyce Jedno z czasopism stało się posiadaczem dysków twardych z danymi MSZ. Nie ma pewności, że dane podatników w urzędach skarbowych są całkowicie bezpieczne cytat Wojewódzkiego Sądu Administracyjnego w Warszawie. Na śmietniku znaleziono dokumenty z informacjami o osobach, które pobierały zasiłki (500 nazwisk, PESEL, adresy zamieszkania).
Bezpieczeństwo w praktyce Sprzedali mu nasze konta Poufne dane z Banku Millennium znalazły się na wysypisku. Bankowcy są zszokowani tą informacją. To jak mają czuć się klienci? Tysiąc numerów kart płatniczych, dane osobowe, faktury, informacje o kontach i niemal tysiąc listów od klientów Banku Millennium, wylądowało na złomowisku. Wszystko to zawierał twardy dysk komputera, który trafił przypadkiem do mieszkańca Gdańska. Super Express, 17 lutego 2005
Konieczność ochrony informacji Konieczność uchronienia się przed utratą reputacji, odpowiedzialnością karną czy koniecznością zapłaty kar finansowych spowodowanych przez przypadkowe oraz umyślne naruszenia bezpieczeństwa. Zagrożenia związane z coraz to nowymi zastosowaniami systemów informatycznych, przetwarzających coraz więcej informacji. Niska świadomość pracowników dotycząca zagrożeń. Stworzenie struktury zarządzania gwarantującej monitorowanie stanu bezpieczeństwa i reagującej na zmieniające się uwarunkowania w tym zakresie. Określenie odpowiedzialności związanych z bezpieczeństwem informacji. Aspekt marketingowy najlepsi inwestują w bezpieczeństwo.
Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie
Historia standardów 1993 BS PD0003:1993 WYTYCZNE WYMAGANIA 1995 BS 7799-1:1995 1998 1999 BS 7799-2:1998 BS 7799-1:1999 BS 7799-2:1999 Standardy: Polskie Brytyjskie Międzynarodowe 2000 2002 2003 2005 2007 ISO/IEC 17799:2000 BS 7799-1:2002 PN-ISO 17799:2003 ISO/IEC 17799:2005 BS 7799-2:2002 PN-I-07799-2:2005 ISO/IEC 27001:2005 Rodzina standardów ISO/IEC 27000
ISO/IEC 27001 a ISO/IEC 17799 Norma ISO/IEC 27001 służy do certyfikacji Norma ISO/IEC 17799 jest kodeksem, zawiera wytyczne, a nie wymagania Wymagania Wytyczne System zarządzania bezpieczeństwem informacji
Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie
Norma ISO/IEC 27001:2005 Mając na uwadze postępujący rozwój na rynku bezpieczeństwa informacji organizacja ISO (International Organization for Standardization) w listopadzie ubiegłego roku zakończyła prace nad nową normą, której zamierzeniem jest zapewnienie bezpieczeństwa informacji we wszystkich jego aspektach. Norma ta wprowadza udoskonalenia w stosunku do poprzednio obowiązującego standardu, czyli normy BS 7799-2:2002.
Zmiany wprowadzone w ISO/IEC 27001:2005 Wymagania dotyczące zarządzaniu incydentami bezpieczeństwa zebrano w jeden nowy punkt normy. Rozszerzone zostały kwestie dotyczące identyfikacji sprzętu w sieciach, jak również zarządzania i nadzoru nad technicznymi podatnościami. Dodano kryteria oceny nowych technologii takich jak: transakcje on-line, mobilny kod.
Zmiany wprowadzone w ISO/IEC 27001:2005 Wprowadzono wymaganie dotyczące pomiaru skuteczności wdrożonych zabezpieczeń. Wprowadzono wymaganie ukierunkowania planów ciągłości działania na aspekt bezpieczeństwa informacji. Rozszerzone zostały kwestie dotyczące między innymi bezpieczeństwa w kontaktach z klientami.
Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie
Systemowe podejście do bezpieczeństwa informacji Ludzie Bezpieczeństwo osobowe Usługi Bezpieczeństwo fizyczne ISO 27001 Bezpieczeństwo informatyczne Informacje Bezpieczeństwo prawne Technologia
Norma ISO/IEC 27001:2005 Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństwem informacji, podporządkowanych 11 grupom wymagań. Pozwala przedsiębiorstwu na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie. Szczególny nacisk położony jest na zarządzanie ryzykiem utraty ważnych informacji. Norma dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów. Norma uwzględnia najnowsze formy działalności gospodarczej, np. e-biznes, internet, outsourcing, teleworking, mobile computing.
Zarządzanie ryzykiem Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest minimalizacja ryzyka utraty najważniejszych informacji organizacji. OCENA RYZYKA UTRATY INFORMACJI OPRACOWANIE PLANU MINIMALIZACJI RYZYKA MONITOROWANIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI WDROŻENIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI
ISO/IEC 27001 Spis treści Wymagania 0 Wstęp 1 Zakres normy 2 Odwołania normatywne 3 Terminy i definicje 4 System zarządzania bezpieczeństwem informacji 5 Odpowiedzialność kierownictwa 6 Audyty wewnętrzne 7 Przegląd kierownictwa SZBI 8 Udoskonalanie SZBI 9 Załącznik A (ISO/IEC 17799) ISO/IEC 27001
ISO/IEC 27001 Spis treści ISO/IEC 27001 1. Polityka bezpieczeństwa 2. Organizacja bezpieczeństwa 3. Klasyfikacja i kontrola zasobów 4. Bezpieczeństwo osobowe Wymagania 5. Zarządzanie systemami i sieciami 6. Bezpieczeństwo fizyczne i środowiskowe 7. Kontrola dostępu do systemu 8. Pozyskiwanie, rozwój i utrzymanie systemu 9. Zarządzanie incydentami bezpieczeństwa 10. Zarządzanie ciągłością działania 11. Zgodność z wymaganiami prawa i własnymi standardami A.5 Polityka bezpieczeństwa A.6 Organizacja bezpieczeństwa informacji A.7 Zarządzanie aktywami A.8 Bezpieczeństwo osobowe A.9 Bezpieczeństwo fizyczne i środowiskowe A.10 Zarządzanie systemami i sieciami A.11 Kontrola dostępu do systemów A.12 Pozyskanie, rozwój i utrzymanie systemów A.13 Zarządzanie incydentami bezpieczeństwa A.14 Zarządzanie ciągłością działania A.15 Zgodność (z wymaganiami prawa i własnymi standardami)
ISO/IEC 27001 wymagania Wymagania dotyczące ce dokumentacji Zakres dokumentacji SZBI Polityka Bezpieczeństwa Informacji Zakres SZBI Raport z procesu szacowania ryzyka Plan minimalizacji ryzyka Udokumentowane procedury służące eksploatacji SZBI Metodyka szacowania skuteczności wdrożonych zabezpieczeń Zapisy wymagane przez normę Deklaracja stosowania Nadzór nad dokumentami Nadzór nad zapisami
ISO/IEC 27001 wymagania Odpowiedzialność kierownictwa Zaangażowanie kierownictwa Zapewnienie zasobów Zapewnienie kompetencji osób odpowiedzialnych za bezpieczeństwo Szkolenia i uświadamianie pracowników
ISO/IEC 27001 wymagania Audyty wewnętrzne SZBI Badające spełnienie wymagań prawnych i normy Badające spełnienie wymagań SZBI Udokumentowane Przeprowadzane planowo
ISO/IEC 27001 wymagania Przegląd d SZBI realizowany przez kierownictwo Przeprowadzane planowo Zapewniające stosowność, adekwatność i efektywność SZBI Udokumentowane Dane wejściowe przeglądu Dane wyjściowe przeglądu
ISO/IEC 27001 wymagania Doskonalenie SZBI Ciągłe doskonalenie Działania korygujące Działania prewencyjne
ISO/IEC 27001 wymagania A.5 Polityka bezpieczeństwa Polityka bezpieczeństwa informacji Ukazanie wsparcia kierownictwa dla bezpieczeństwa informacji.
ISO/IEC 27001 wymagania A.6 Organizacja bezpieczeństwa informacji Infrastruktura wewnątrz organizacji Określenie odpowiedzialności i zasad zarządzania bezpieczeństwem informacji. Strony trzecie Ryzyka związane z dostępem stron trzecich do aktywów organizacji.
ISO/IEC 27001 wymagania A.7 Zarządzanie aktywami Odpowiedzialność za aktywa Określenie odpowiedzialności za aktywa organizacji. Klasyfikacja informacji Zdefiniowanie klasyfikacji informacji i określenie właściwych poziomów ochrony.
ISO/IEC 27001 wymagania A.8 Bezpieczeństwo osobowe Bezpieczeństwo procesu rekrutacji Zapewnienie bezpieczeństwa procesu rekrutacji (określenie odpowiedzialności, przypisanie ról, redukcja ryzyka kradzieży, oszustwa lub nadużycia). Obsługa zatrudnienia Kreowanie świadomości pracowników w odniesieniu do zagrożeń dla informacji organizacji, odpowiedzialności i obowiązków. Derekrutacja lub ruchy kadrowe Zapewnienie prawidłowości procesu derekrutacji (odpowiedzialności za derekrutację, zwrot aktywów, odebranie praw dostępu).
ISO/IEC 27001 wymagania A.9 Bezpieczeństwo fizyczne i środowiskowe Obszary bezpieczne Zapobieganie nieautoryzowanemu wtargnięciu lub zakłóceniu działania organizacji. Bezpieczeństwo wyposażenia Zapobieganie utracie, uszkodzeniu, kradzieży wyposażenia.
ISO/IEC 27001 wymagania A.10 Zarządzanie systemami i sieciami Procedury operacyjne i odpowiedzialność Zapewnienie bezpieczeństwa dla działania urządzeń przetwarzających informacje. Zarządzanie realizacją usług przez strony trzecie Zapewnienie właściwego poziomu bezpieczeństwa informacji i usług dostarczanych przez strony trzecie. Planowanie systemu i akceptacja Minimalizowanie ryzyka wystąpienia awarii systemu.
ISO/IEC 27001 wymagania A.10 Zarządzanie systemami i sieciami c.d. Ochrona przed złośliwym oprogramowaniem Zapewnienie integralności oprogramowania i informacji. Kopie zapasowe Zapewnienie integralności i dostępności informacji oraz zabezpieczenie miejsc ich przetwarzania. Zarządzanie bezpieczeństwem sieciowym Zapewnienie bezpieczeństwa informacji w sieci teleinformatycznej.
ISO/IEC 27001 wymagania A.10 Zarządzanie systemami i sieciami c.d. Bezpieczeństwo nośników informacji Zapobieganie nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu informacji zawartych na nośnikach. Wymiana informacji Zapewnienie bezpieczeństwa informacji przesyłanych wewnątrz oraz na zewnątrz organizacji. Usługi handlu elektronicznego Zapewnienie bezpieczeństwa usług handlu elektronicznego. Monitorowanie użycia systemów Zapewnienie możliwości wykrycia nieuprawnionego przetwarzania informacji.
ISO/IEC 27001 wymagania A.11 Kontrola dostępu do systemów Wymagania biznesowe w dostępie do informacji Określenie polityki kontroli dostępu do informacji. Zarządzanie dostępem użytkowników Zapewnienie kontroli dostępu do systemów informacyjnych. Odpowiedzialność użytkowników Zapobieganie nieuprawnionemu dostępowi do informacji i systemów informacyjnych, jak również ich zniszczeniu, modyfikacji oraz kradzieży.
ISO/IEC 27001 wymagania A.11 Kontrola dostępu do systemów w c.d. Kontrola dostępu do sieci Zapobieganie nieuprawnionemu dostępowi do usług sieciowych. Kontrola dostępu do systemów operacyjnych Zapobieganie nieuprawnionemu dostępowi do systemów operacyjnych. Kontrola dostępu do aplikacji i informacji Zapobieganie nieuprawnionemu dostępowi do aplikacji i zawartych w nich informacji. Stosowanie komputerów przenośnych i praca zdalna Zapewnienie bezpieczeństwa informacji w komputerach przenośnych i w trakcie pracy zdalnej.
ISO/IEC 27001 wymagania A.12 Pozyskanie, rozwój j i utrzymanie systemów Wymagania dotyczące bezpieczeństwa systemów Zapewnienie, że bezpieczeństwo jest integralną częścią systemów informacyjnych. Poprawność przetwarzania w aplikacjach Zapobieganie błędom, utracie, nieupoważnionej modyfikacji lub nadużyciu informacji w aplikacjach. Kryptograficzne środki nadzoru Zapewnienie poufności oraz integralności informacji przy wykorzystaniu kryptografii.
ISO/IEC 27001 wymagania A.12 Pozyskanie, rozwój j i utrzymanie systemów w c.d. Bezpieczeństwo plików systemowych Zapewnienie bezpieczeństwa plików systemowych i kontroli nad wykorzystywanym oprogramowaniem. Bezpieczeństwo procesu tworzenia oprogramowania i pomocy technicznej Zapewnienie utrzymania bezpieczeństwa systemów aplikacji i informacji. Zarządzanie podatnościami technicznymi Zapewnienie ograniczania ryzyka wynikającego z wykorzystania wykrytych podatności technicznych.
ISO/IEC 27001 wymagania A.13 Zarządzanie incydentami bezpieczeństwa Raportowanie incydentów bezpieczeństwa i słabości Zapewnienie, że incydenty bezpieczeństwa i słabości będą zgłaszane w sposób umożliwiający podjęcie na czas stosownych działań. Zarządzanie incydentami bezpieczeństwa i doskonalenie Zapewnienie spójnego i efektywnego podejścia do zarządzania incydentami bezpieczeństwa.
ISO/IEC 27001 wymagania A.14 Zarządzanie ciągłości cią działania ania Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania Przeciwdziałanie przerwom w działaniach biznesowych oraz ochrona krytycznych procesów biznesowych przed wynikami poważnych awarii systemów informacyjnych i katastrof oraz zapewnienie terminowego wznowienia ich działalności.
ISO/IEC 27001 wymagania A.15 Zgodność (z wymaganiami prawa i własnymi w standardami) Zgodność z przepisami prawnymi Zapewnienie zgodności z wszelkimi przepisami prawnymi, które dotyczą organizacji (w tym wymagań bezpieczeństwa). Zgodność z politykami bezpieczeństwa i zgodność techniczna Zapewnienie zgodności systemów z politykami bezpieczeństwa i standardami organizacji. Rozważania dotyczące audytu systemów Zapewnienie maksymalizacji efektywności audytów i minimalizacji ich negatywnego wpływu na działalność biznesową (zajętość zasobów).
Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie
Wdrożenie i certyfikacja systemu Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Minimalizacji Ryzyka Opracowanie dokumentacji Szkolenia z dokumentacji Monitorowanie Planu Minimalizacji Ryzyka Certyfikacja systemu
Liczba akredytowanych certyfikatów na świecie czerwiec 2006 1800 1634 1500 1200 900 600 300 244 186 92 57 42 39 38 30 27 26 22 20 15 14 14 13 0 Japonia Wlk. Bryt. Indie Tajwan Niemcy Włochy USA Korea Węgry Chiny Holandia Hong Kong Australia Finlandia Polska Norwegia Szwajcaria Źródło: ISMS International User Group
Tomasz Szała tomasz.szala@dga.pl tel. (61) 643-51-95 Dziękuję za uwagę Krzysztof Maćkowiak krzysztof.mackowiak@dga.pl tel. (61) 643-51-97