Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji ISO/IEC 27001:2013 budowa ISO/IEC 27001:2005 przejście do ISO/IEC 27001:2013 Załącznik A do normy ISO 27001:2013 czyli budowa ISO/IEC 27002:2011 Polskie tłumaczenia norm dotyczących bezpieczeństwa informacji i zarządzania usługami 2013.11.28 (c) BSz Strona 1 z 19
ISO/IEC 27001:2013 Infoformation technology Security techniques - Information security management systems - Requirements Systemy zarządzania bezpieczeństwem informacji - Wymagania Najnowsza rewizja normy z 2005 roku Wg nowej struktury załącznika SL do dyrektywy ISO jednolitej dla wszystkich systemów zarządzania Angielska wersja załącznika SL jest dostępna na stronie www.iso.org szukaj directive Norma opublikowana 26 września 2013 (c) B.Sz 3 ISO/IEC 27001:2013 0. Wprowadzenie 0.1 Postanowienia ogólne ~~ 0.2 Zgodność z innymi systemami zarządzania ~~ 1 Zakres normy ~~ 2 Powołania normatywne ~~~~ 3 Terminy i definicje ~~~~~~~~~~~~ 4 Kontekst organizacji~++ 5 Przywództwo ~5 6. Planowanie + 4.1 7. Wsparcie + 5,4.3 8. Operacje + 4,2,3 9. Ocena działań <- 4.2.3, 6, 7 10. Doskonalenie 8 ~~ Załącznik A Cele stosowania zabezpieczeń i zabezpieczenia ~~~~ (c) B.Sz 4 2013.11.28 (c) BSz Strona 2 z 19
4. Kontekst organizacji 4.1 Zrozumienie kontekstu organizacji + 4.2. Zrozumienie potrzeb i o oczekiwań zainteresowanych stron + 4.3 Określenie zakresu systemu zarządzania ~~4.1 4.4 System zarządzania bezpieczeństwem o informacji 4.1 (c) B.Sz 5 5. Przywództwo ~~5 5.1. Przywództwo i zaangażowanie o 4.2.1, 5.1 5.2. Polityka ~~ 4.2.1 5.3 Organizacyjne role, odpowiedzialności, zwierzchnictwo + (c) B.Sz 6 2013.11.28 (c) BSz Strona 3 z 19
6. Planowanie 6.1 Działania dla zajmowania się ryzykiem o i możliwościami 6.1.1 Wprowadzenie 6.1.2. Ocena ryzyka w bezpieczeństwie informacji 6.1.3 Postępowanie z ryzykiem w bezpieczeństwie 6.2 Cele bezpieczeństwa informacji i plany do ich osiągnięcia (c) B.Sz 7 6.1.2. Ocena ryzyka w bezpieczeństwie informacji ~4.2.1 Organizacja powinna zdefiniować i wdrożyć proces o oceny bezpieczeństwa informacji który ustanowi i utrzyma kryteria ryzyka w bezpieczeństwie informacji zawierające o Kryteria akceptowania ryzyka o Kryteria dla przeprowadzenie oceny ryzyka zapewni że powtarzalna ocena ryzyka w bezpieczeństwie o informacji uzyska znaczące, ważne i powtarzalne wyniki Zidentyfikuje ryzyka w bezpieczeństwie informacji o Wykorzysta proces oceny ryzyka do zidentyfikowania ryzyk związanych o z utratą poufności, integralności i dostępności w zakresie o Systemu zarządzania bezpieczeństwem informacji (c) B.Sz 8 2013.11.28 (c) BSz Strona 4 z 19
6.1.2 Przeanalizuje ryzyka w bezpieczeństwie informacji o oceniając potencjalne konsekwencje jakie wystąpią jeżeli ryzyka zidentyfikowane w 6.1.2 się zmaterializują o Oceni realne prawdopodobieństwo wystąpienia ryzyk zidentyfikowanych w 6.1.2 i o Określi Poziom tych ryzyk Oszacuje ryzyka w bezpieczeństwie informacji o porówna wyniki analizy ryzyka z kryteriami ustanowionymi w Pkt. 6.1.2 o określi priorytety ryzyk dla postępowania z ryzykiem Organizacja powinna zachować udokumentowaną informację o procesie oceny ryzyka w bezpieczeństwie informacji (c) B.Sz 9 6.1.3 Postępowanie z ryzykiem w bezpieczeństwie Informacji ~~ 4.2.1 Organizacja powinna zdefiniować i wdrożyć proces o postępowania z ryzykiem bezpieczeństwie informacji dla Wybrania odpowiednich opcji w postępowania z o ryzykiem w bezpieczeństwie informacji biorąc pod uwagę wyniki o oceny ryzyka Ustalenia wszystkich zabezpieczeń które są potrzebne o dla wdrożenia wybranych opcji postępowania z ryzykiem w o bezpieczeństwa informacji Porównania wyników w pkt. 6.1.3 powyżej o z podanymi w załączniku A i weryfikacji że niepotrzebne o zabezpieczenia będą ominięte (c) B.Sz 10 2013.11.28 (c) BSz Strona 5 z 19
6.1.3 Wykonania Deklaracji Stosowania która zawiera o niezbędne zabezpieczenia (patrz 6.1.3 i uzasadnienie ich o włączenia czy są wdrożone czy nie i uzasadnienie wyłączenia o zabezpieczeń z załącznika A Sformułowania planu postępowania z ryzykiem Uzyskania aprobaty właścicieli ryzyka dla planu o postępowania z ryzykiem w bezpieczeństwie informacji Organizacja powinna zachować udokumentowaną informację o procesie postępowania z ryzykiem w bezpieczeństwie informacji (c) B.Sz 11 7. Wsparcie 7.1 Zasoby ~~ 5.2.1 7.2. Kompetencje ~~ 5.2.2 7.3. Świadomość ~~ 5.2.2 (c) B.Sz 12 2013.11.28 (c) BSz Strona 6 z 19
7.4. Komunikacja + Organizacja powinna określić potrzebę wewnętrznej i o zewnętrznej komunikacji istotnej systemu zarządzania o bezpieczeństwem informacji, a w tym Co jest komunikowane; Kiedy jest komunikowane; Z kim jest prowadzona komunikacja Kto powinien się komunikować Proces na który wpływa komunikacja (c) B.Sz 13 7.5. Udokumentowana informacja ~~ 4.3 7.5.1 Wymagania ogólne 7.5.2. Opracowanie i aktualizowanie 7.5.3. Nadzór nad udokumentowaną informacją (c) B.Sz 14 2013.11.28 (c) BSz Strona 7 z 19
7.5.3 Udokumentowane informacje pochodzenia zewnętrznego uznane przez organizację za niezbędne do planowania i funkcjonowania systemu zarządzania bezpieczeństwem informacji powinny być zidentyfikowane jako odpowiednie i nadzorowane. (c) B.Sz 15 8. Operacje 8.1 Planowanie i nadzorowanie operacji 8.2 Ocena ryzyka w bezpieczeństwie informacji ~~ 4.2.3 Organizacja powinna prowadzić ocenę ryzyka w bezpieczeństwie informacji w planowanych odstępach lub kiedy istotne zmiany są proponowane lub nastąpią biorąc po uwagę kryteria ustanowione w 6.1.2 Organizacja powinna zachować udokumentowaną informację o wynikach oceny ryzyka w bezpieczeństwie informacji 8.3 Postępowanie z ryzykiem w bezpieczeństwie informacji 4.2.3 Organizacja powinna prowadzić plan postępowania z ryzykiem w bezpieczeństwie informacji Organizacja powinna zachować udokumentowaną informację o wynikach planu postępowania z ryzykiem (c) B.Sz 16 2013.11.28 (c) BSz Strona 8 z 19
9. Ocena wykonania 9.1. Monitorowanie, pomiar analiza i ocena 4.2.3 9.2 Wewnętrzny audit ~~ 6 9.3. Przegląd realizowany przez kierownictwo 7 (c) B.Sz 17 10. Doskonalenie ~~ 4.2.4 10.1 Niezgodności i działania korygujące 10.2 Ciągłe doskonalenie Organizacja powinna ciągle doskonalić o przydatność, o adekwatność i o skuteczność o Systemu zarządzania bezpieczeństwem informacji (c) B.Sz 18 2013.11.28 (c) BSz Strona 9 z 19
Załącznik A Cele stosowania zabezpieczeń i zabezpieczeń Załącznik A jest obligatoryjny o ale możliwe jest wyłączenie zabezpieczeń z tego załącznika po podaniu uzasadnienia Załącznik A stanowi podstawę do opracowania Deklaracji Stosowania Załącznik A może być uzupełniony o inne zabezpieczenia (c) B.Sz 19 A.5. Polityka bezpieczeństwa =A5 A.5.1 Wskazówki dla kierownictwa o o bezpieczeństwie informacji [2] (c) B.Sz 20 2013.11.28 (c) BSz Strona 10 z 19
A.6. Organizacja bezpieczeństwa informacji A. 6.1 Wewnątrz organizacji [5] + A.6.1.5 Bezpieczeństwo informacji w zarządzaniu o Projektami {!} A.6.2 Urządzenia mobilne i praca zdalna [2] ~~11.7 (c) B.Sz 21 A.7. Bezpieczeństwo zasobów ludzkich A8 A.7.1 Przed zatrudnieniem~[2] A.8.1 A.7.2 Podczas zatrudnienia =[3] A.8.2 A.7.3 Zakończenie lub zmiana zatrudnienia ~~A.8.3 [1] (c) B.Sz 22 2013.11.28 (c) BSz Strona 11 z 19
A.8. Zarządzanie zasobami A7 A.8.1 Odpowiedzialność za zasoby A7.1 [4]+A8.3 A.8.2 Klasyfikacja informacji A7.2 [3]+ A.8.2.3 Utrzymanie zasobów A.8.3 Utrzymywanie nośników [3] A.10.7+A10.8 (c) B.Sz 23 A.9. Kontrola dostępu A11 A.9.1 Wymagania biznesowe kontroli dostępu A11.1[2]+ A.9.1.2 Dostęp do sieci i usług sieciowych A.9.2 Zarządzanie dostępem użytkowników [6]+ A.9.2.2 Zabezpieczenia dostępu użytkowników+ A.8.2.3 A.9.3 Odpowiedzialność użytkowników A.11.3 [1] A.9.4 Kontrola dostępu do aplikacji i systemów ~~A.11.5 i A.11.6 [5] (c) B.Sz 24 2013.11.28 (c) BSz Strona 12 z 19
A.10 Kryptografia ^^^ A.10.1 Zabezpieczenia kryptograficzne = A12.3 [2] (c) B.Sz 25 A.11. Bezpieczeństwo fizyczne i środowiskowe A.9 A.11.1 OBSZARY BEZPIECZNE =A9.1 A.11. Bezpieczeństwo fizyczne i środowiskowe A.11.2 Bezpieczeństwo sprzętu =A9.2 [9]+A.11.3.2 (c) B.Sz 26 2013.11.28 (c) BSz Strona 13 z 19
A.12. Bezpieczeństwo operacyjne A.10 A.12.1 Procedury eksploatacyjne i zakresy o Odpowiedzialności = A.10.1 A.12.2 Ochrona przed złośliwym Oprogramowaniem ~~A.10.4 [1] A.12.3 Kopie zapasowe = A.10.5 [1] A.12.4 Logowanie i monitorowanie A.10.10 [5] A 12.5 Nadzór nad oprogramowaniem ~~ A.12.5.2 A.12.6 Zarządzanie podatnościami technicznymi [2] ~~A18.1+ A.12.5.3 A.12.7 Rozważania dotyczące audytu o systemów informacyjnych [1] A15.3 (c) B.Sz 27 A.13 Bezpieczeństwo komunikacji ^^ A.13.1 Zarządzanie bezpieczeństwem sieci [3] ~~~~A.11.4+A.10.6 A.13.2 Przekazywanie informacji [4] ~~ A.10.8+A6.1 (c) B.Sz 28 2013.11.28 (c) BSz Strona 14 z 19
A.14. Pozyskiwanie, rozwój i utrzymanie systemu A.12 A.14.1 Wymagania bezpieczeństwa systemów o Informacyjnych A.12.1+A.10.9 [3] A.14.2 Bezpieczeństwo w procesach o rozwojowych i obsługi informatycznej [9] ~~ A.12.5 A.14.2.1 Polityka bezpiecznego rozwoju A.14.2.2 Procedury kontroli zmian A.14.2.5 Zasady konstrukcji bezpiecznego systemu A.14.2.6 Bezpieczne środowisko projektowania A.14.2.8 Testowanie bezpieczeństwa systemu A.14.2.9 Testy akceptacyjne systemu A.14.3 Dane testowe == A.12.4.3 (c) B.Sz 29 A 15 Stosunki z dostawcami ^^ A. 15.1 Bezpieczeństwo informacji w stosunkach z o Dostawcami ~~A.6.2 [2]+A10.8.1 A.15.1.3 Informacja i komunikacja w łańcuchu dostaw A.15.2. Zarządzanie usługami dostarczonymi przez o Dostawców~~ A.10.2 (c) B.Sz 30 2013.11.28 (c) BSz Strona 15 z 19
A.16. Zarządzanie incydentami w bezpieczeństwie informacji A13 A.16.1 Zarządzanie incydentami w o bezpieczeństwem informacji oraz doskonaleniem A13 [6]+ A.16.1.4 Ocena i decyzja dotycząca zdarzeń w o bezpieczeństwie informacji (c) B.Sz 31 A.17. Aspekty bezpieczeństwa informacji w Zarządzania ciągłością działania A14 A.17.1 Ciągłość działania w bezpieczeństwie o Informacji ~~ A.14.1 [3] A.17.2 Nadmiarowość [1] (c) B.Sz 32 2013.11.28 (c) BSz Strona 16 z 19
A.18. Zgodność A 15 A.18.1 Zgodność z przepisami prawnymi i o wymaganiami kontraktowymi A.15.1 [5] (c) B.Sz 33 ISO/IEC 27001:2005 budowa 0. wprowadzenie 0.1 Postanowienia ogólne ~~ 0.2 Podejście procesowe # 0.3 0,2 Zgodność z innymi systemami zarządzania ~~ 1. Zakres normy ~~ 2. Powołania normatywne ~~ 3. Terminologia i definicje ISO/IEC 27000 4. System zarządzania bezpieczeństwem informacji 4,5,6, ISO 27003 5. Odpowiedzialność kierownictwa 5 6. Wewnętrzne audyty SZBI 9.2 7. Przegląd realizowany przez kierownictwo 9.3 8. Doskonalenie SZBI 10 Załącznik. A. Cele stosowania zabezpieczeń i zabezpieczenia (czeka na ISO 27002) Załącznik. B. Zasady OECD # Załącznik. C. Korespondencja z ISO 9001:2000 i ISO 14001:2004 # 2013.11.28 (c) BSz Strona 17 z 19
Polskie tłumaczenia norm ISO rodziny 27000 PN ISO/IEC 27000:2012 Technika informatyczna -- Techniki bezpieczeństwa Terminologia systemów zarządzania bezpieczeństwem informacji PN-ISO/IEC 24762 :2010 Technika informatyczna Techniki zabezpieczeń Wytyczne do technik informacyjnych i komunikacyjnych dla usług odtwarzania po katastrofie Nowe tłumaczenia PN ISO/IEC 27005:2013 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji PN-ISO/IEC 27006:2013 Technika informatyczna Techniki bezpieczeństwa Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji 2013.11.28 (c) BSz Strona 18 z 19
Nowe tłumaczenia PN-ISO/IEC 27013 Technika informatyczna Techniki bezpieczeństwa Wytyczne do zintegrowanego wdrożenia ISO/IEC 27001 oraz ISO/IEC 20000-1 PN-ISO/IEC 20000-1:2013 Technika informatyczna Zarządzanie usługami Część 1: Wymagania dla systemu zarządzania usługami 2013.11.28 (c) BSz Strona 19 z 19