All

right

s re

serv

ed

1999

-20

12

All

right

s re

serv

ed

1999

-20

12

- ISO/IEC 27000 seriens standarder som stöd?

Outsourcing

All

right

s re

serv

ed

1999

-20

12

Jan Branzell

• Bakgrund inom bl.a. bilindustri samt papper & massa• Arbetar med verksamhetsstyrning och kommunikation• Informationssäkerhet sedan år 2000 som VD för Veriscan Security

som är inriktat på mätning och införande av informationssäkerhet • Varit med i SIS TK för ISO/IEC 27000-serien sedan år 2000• Co-Editor för ISO/IEC 27003 om införande av LIS samt kommande

ISO/IEC TR 27016 om IS och ekonomi • Ordförande i SIS Arbetsgrupp AG41 kring olika standarder kring

införande av säkerhetsåtgärder (ICT Business Continuity, Network security, Incident Management , Outsourcing mm)

• Stödjer SIS i framtagning och leverans av SIS Informationssäkerhetsakademi

All

right

s re

serv

ed

1999

-20

12

Standarder och Outsourcing -Hållpunkter• Vad är outsourcing?• Stöd i ISO/IEC 27001 och 27002• Stöd i andra standarder kring säkerhetsåtgärder• Molnet och standarder

All

right

s re

serv

ed

1999

-20

12

Vad är outsourcing?

All

right

s re

serv

ed

1999

-20

12

Medvetna parter har goda förutsättningar att göra allting bättre

Omedvetna parter löper stor risk att göra något bra sämre och någonting dåligt ännu

sämre

Risk vid outsourcing?

Kan standarder hjälpa till?

All

right

s re

serv

ed

1999

-20

12

27001LIS

27006Ackr.

27002Guide

27003Impl.

27004Mätn.

27005Risk 27000

Term.

BilagaA

27008Tech

27007Rev.

ISO/IEC 27001 och 27002 är vår bas

All

right

s re

serv

ed

1999

-20

12

ISO/IEC 27002–Guide (Best Practice)

OmfattningTermer och definitionerSäkerhetspolicyOrganisatorisk säkerhetKlassificering och styrning av tillgångarPersonal och säkerhetFysisk och miljörelaterad säkerhetStyrning av kommunikation och driftStyrning av åtkomstSystemutveckling och systemunderhållIncidentKontinuitetsplanering för verksamhetenEfterlevnad

ISO/IEC 27001– KRAV ”SKALL”

Orientering & OmfattningNormativa hänvisningarTermer och definitionerLedningssystem för informationssäkerhetLedningens ansvarLedningens genomgång av LISFörbättring av LISBilaga A (normativ) Styrmedel och

styrmåltabell som mappar SS ISO/IEC 27002

Bilaga B (informativ) Vägledning för användning av denna standardBilaga C (informativ) Samband mellan ISO 9001

(2000), ISO 14001 (1996) och ISO 27001 (2005)Bilaga D (informativ) Ändringar i intern numreringLitteraturförteckning

27001ISMS

27002Guide

ISO 27000 serien - basstandarder

All

right

s re

serv

ed

1999

-20

12

ISO/IEC 27002–Guide (Best Practice)

OmfattningTermer och definitionerSäkerhetspolicyOrganisatorisk säkerhetKlassificering och styrning av tillgångarPersonal och säkerhetFysisk och miljörelaterad säkerhetStyrning av kommunikation och driftStyrning av åtkomstSystemutveckling och systemunderhållIncidentKontinuitetsplanering för verksamhetenEfterlevnad

ISO/IEC 27001– KRAV ”SKALL”

Orientering & OmfattningNormativa hänvisningarTermer och definitionerLedningssystem för informationssäkerhetLedningens ansvarLedningens genomgång av LISFörbättring av LISBilaga A (normativ) Styrmedel och

styrmåltabell som mappar SS ISO/IEC 27002

Bilaga B (informativ) Vägledning för användning av denna standardBilaga C (informativ) Samband mellan ISO 9001

(2000), ISO 14001 (1996) och ISO 27001 (2005)Bilaga D (informativ) Ändringar i intern numreringLitteraturförteckning

27001ISMS 27002

Guide

Vart hittar vi outsourcing?

All

right

s re

serv

ed

1999

-20

12

ISO/IEC 27001 Annex A 6.2

All

right

s re

serv

ed

1999

-20

12

11

Övrig informationTillhandahåller ytterligare information som kan behöva beaktas, t.ex. juridiska överväganden och referenser till andra standarder.

Åtgärd

Vägledning

Övrig information

Mål

SäkerhetsåtgärdDefinierar den specifika säkerhetsåtgärd som krävs för att tillgodose åtgärdsmålet.

Vägledning för införandeTillhandahåller mer detaljerad information

ISO/IEC 27002

All

right

s re

serv

ed

1999

-20

12

12

ISO/IEC 27002 Kap 6 och då 6.2

All

right

s re

serv

ed

1999

-20

12

ISO/IEC 27002 Kap 6.26.2 Utomstående parter

Mål : Att bibehålla säkerheten hos organisationens information och informationsbehandlingsresurser som är åtkomliga för, bearbetas av, kommuniceras till eller hanteras av utomstående parter. Säkerheten hos organisationens information och informationsbehandlingsresurser bör inte minskas genom introduktion av utomstående parters produkter eller tjänster. All åtkomst till organisationens informationsbehandlingsresurser liksom utomståendes bearbetning och kommunikation av information bör styras.

Där verksamhetsbehov finns för att arbeta med utomstående parter som kan kräva åtkomst till organisationens information och informationsbehandlingsresurser eller att erhålla eller lämna en produkt eller tjänst från eller till en utomstående part, bör en riskbedömning göras. Riskbedömningen görs för att avgöra säkerhetskonsekvenser och behov av styrning. Säkerhetsåtgärder bör överenskommas och definieras i en överenskommelse med den utomstående parten.

All

right

s re

serv

ed

1999

-20

12

Exempel med utdrag från ISO/EC 27002 6.2.1 Identifiering av risker med utomstående parter Säkerhetsåtgärd

Riskerna för organisationens information och informationsbehandlingsresurser i verksamhetsprocesser där utomstående parter är involverade bör identifieras och lämpliga säkerhetsåtgärder införas innan åtkomst beviljas.

Vägledning för införande Där det finns behov av att tillåta en utomstående part att ha åtkomst till informationsbehandlingsresurser eller information i en organisation bör en riskbedömning (se även avsnitt 4) utföras för att identifiera eventuella krav på särskilda säkerhetsåtgärder. Vid identifieringen av risker vid utomståendes åtkomst bör följande faktorer beaktas:

a) de informationsbehandlingsresurser som den utomstående parten behöver få åtkomst till

b) den typ av åtkomst som den utomstående kommer att ha till information och informationsbehandlingsresurser, t.ex. 1) fysisk åtkomst, t.ex. till kontorsutrymmen, datorrum, arkiv 2) logisk åtkomst, t.ex. till en organisations databaser, informationssystem 3) nätverkskoppling mellan organisationens och den utomstående partens nätverk,

t.ex. permanent uppkoppling, fjärråtkomst 4) om åtkomsten äger rum inom eller utanför organisationens lokaler OSV……….

All

right

s re

serv

ed

1999

-20

12

Men……

Vi hittar alltså stöd i ISO/IEC 27002

All

right

s re

serv

ed

1999

-20

12

Vad gäller hantering av övriga säkerhetsåtgärder?

All

right

s re

serv

ed

1999

-20

12

Det betyder!

• Att övriga ”relevanta” säkerhetsåtgärderna i ISO/IEC 27002 gäller!

• Att för att uppnå målen när det gäller säkerhetsåtgärderna så är kraven minst lika höga på outsourcing partnern som om det varit den egna organisationen

• Snarare så har ett beroende uppstått till en annan organisation som i sig utgör en risk

• Men vi kan också ha reducerat andra risker – Som vadå?

All

right

s re

serv

ed

1999

-20

12

Steg 1 är alltså att nyttja ISO/IEC 27002 som bas• Säkerhetsåtgärderna skall vara adresserade (kravställda) i

avtalet med den andra parten• Säkerhet som “Non Functional Requirements” bör mao

vara borta• Vissa säkerhetsåtgärder och risk mitigering tas över av

outsourcing parten – T.ex. risker vid Back Up tagning, risk DoS attacker• Men ansvaret att kontrollera betyder ytterligare aktiviteter

för uppföljning och kontroll som t.ex. revision, mätning och även riskstatus som återrapporteras inom ramen för LIS (ISO/IEC 27001)

All

right

s re

serv

ed

1999

-20

12

Hur gör vi det? Teoretiskt enkelt – Praktiskt inte lika enkelt….

133 säkerhetsåtgärder skall omsättas till krav i avtalet

SäkerhetspolicyOrganisatorisk säkerhetKlassificering och styrning av tillgångarPersonal och säkerhetFysisk och miljörelaterad säkerhetStyrning av kommunikation och driftStyrning av åtkomstSystemutveckling och systemunderhållIncidentKontinuitetsplanering för verksamhetenEfterlevnad

Vad outsourcas till vem av

vem?

Appendix A + Motsvarande i ISO/IEC 27002

All

right

s re

serv

ed

1999

-20

12

ATT Outsourcing Parten är ISO/IEC 27001 Certifierade•Kontrollera omfattning och avgränsningar samt SoA* enligt ISO/IEC 27001• Analysera prestanda/hantering vissa säkerhetsåtgärder utifrån ISO/IEC 27002•Sök gärna ytterligare tredje parts information

Den första förenklade slutsatsen att nyttja standarder

*) SoA = Statement of Applicability, dvs. vilka säkerhetsåtgärder man har certifierat

All

right

s re

serv

ed

1999

-20

12

Men vi vill ha mer samarbete!Speciellt om det gäller ICT Outsourcing• Incidentprocessen• Kontinuitetsplanering• Riskrapportering• “CHANGE”

– Egna processer– Outsourcing partnerns process

• Livscykel problematik• Forensics• MMMMM?

Kan vi finna mer stöd i ISO 27000 serien av standarder?

All

right

s re

serv

ed

1999

-20

12

27001ISMS

27006Accr.

27002Guide

27003Impl.

27004Measurement

27005Risk

27000Term.

AnnexA

27008Tech

27007Rev.

Dom här?

All

right

s re

serv

ed

1999

-20

12

27001ISMS

27006Accr.

27002Guide

27003Impl.

27004Measurement

27005Risk

27000Term.

AnnexA

27008Tech

27007Rev.

En bubblare? …”Vi kör ITIL”27013

Om 27001 & 20000

All

right

s re

serv

ed

1999

-20

12

ISO/IEC 27013 om 27001 och 20000

All

right

s re

serv

ed

1999

-20

12

27031 ICT

readiness for BCM

Dom här fördjupningarna?

27033 Network security

27034 Application security

27035 Incident

Management

27036Outsourcin

g27037

Forensics

27034 Application securityFlera delar

27033 Network securityFlera delar

KLARA!Under

utveckling

27036Outsourcin

gFlera delar

27040Storage

JAPP – Begrepp & Processer kan vara ett bra underlag för standardiserad samverkan

All

right

s re

serv

ed

1999

-20

12

27031 ICT

readiness for BCM

Vad till vad?

27033 Network security

27034 Application security

27035 Incident

Management

27036Outsourcin

g27037

Forensics

27034 Application security

27033 Network security

Stödja att målen för verksamheten är de samma när det gäller ICT – klarar man dem för BCP?

27036Outsourcin

gFlera delar

27040Storage

All

right

s re

serv

ed

1999

-20

12

ISO/IEC 27031 ICT Readiness for

Business Continuity

ISO/IEC 27002

All

right

s re

serv

ed

1999

-20

12

27031 ICT

readiness for BCM

Vad till vad?

27033 Network security

27034 Application security

27035 Incident

Management

27036Outsourcin

g27037

Forensics

27034 Application security

27033 Network security

Nätverkssäkerhet är bas för all ICT säkerhet. Det som står här skall outsourcing leverantören ha koll på.

En sådan självklarhet att den kanske inte behövs?

27040Storage

27036Outsourcin

gFlera delar

All

right

s re

serv

ed

1999

-20

12

29

ISO/IEC 27002

ISO/IEC 27033 Nätverkssäkerhet

OBS Delvis UNDER UTVECKLING

Valt exempel ur kap 11

All

right

s re

serv

ed

1999

-20

12

Nätverkssäkerhet är grundläggande och det märks….

27033-1Overview

and Concept

27033-2Design och införande

27033-4Nät-koppling

viaSecure

Gateways

27033-3Risk

scenarier och

säkerhets-åtgärder

27033-5VPN

kommunikation

27033-6Trådlöst

2wdDIS DIS

All

right

s re

serv

ed

1999

-20

12

27031 ICT

readiness for BCM

Vad till vad?

27033 Network security

27034 Application security

27035 Incident

Management

27036Outsourcin

g27037

Forensics

27034 Application security

27033 Network security

Om man har lagt ut sin applikationsutveckling så finns det stöd för hur säkerhet bör hanteras i processen

27040Storage

27036Outsourcin

gFlera delar

All

right

s re

serv

ed

1999

-20

12

32

ISO/IEC 27002

ISO/IEC 27034 ApplikationssäkerhetOBS Delvis UNDER UTVECKLING

All

right

s re

serv

ed

1999

-20

12

27034 “Applikations

-säkerhet”

All

right

s re

serv

ed

1999

-20

12

27031 ICT

readiness for BCM

Vad till vad?

27033 Network security

27034 Application security

27035 Incident

Management

27036Outsourcin

g27037

Forensics

27034 Application security

27033 Network security

Vad är en incident? Vem rapporterar vad till vem? Hur eskalerar man till ev BCM läge? Osv…..

27036Outsourcin

gFlera delar

27040Storage

All

right

s re

serv

ed

1999

-20

12

ISO/IEC 27002

ISO/IEC 27035“Incident”

All

right

s re

serv

ed

1999

-20

12

ISO/IEC 27035 Basic structure

1Plan and prepare phase

2Detection

and reporting phase

3Assessment and decision

phase

4Responses

phase

5Lessons

learnt phase

Annex A Example

Approaches to the Categorization and Classification

ofInformation

Security Events and Incidents

Annex B Examples of Information

Security Incidents and their Causes

Annex C Example

Information Security Event,

Incident and Vulnerability Reports and

Forms

Annex D Cross Reference Table of ISO/IEC 27001/27002 vs ISO/IEC 27035

Annex E Legal and Regulatory

Aspects

All

right

s re

serv

ed

1999

-20

12

27036Outsourcin

gFlera delar

27031 ICT

readiness for BCM

Vad till vad?

27033 Network security

27034 Application security

27035 Incident

Management

27036Outsourcin

g27037

Forensics

27034 Application security

27033 Network security

Hela livscykel perspektivet. Brett angreppssätt. Flera delar…

27040Storage

All

right

s re

serv

ed

1999

-20

12

38

ISO/IEC 27036Outsorcing

OBS UNDER UTVECKLING

ISO/IEC 27002 Kap 6

All

right

s re

serv

ed

1999

-20

12

ISO/IEC 27036 Structure

Definitions

Problem Definition

Threat Landscape

Overview of other parts

(e.g. framework part 2)

Part 1 (Overview and Concepts)(15 pages)

ICT Supply Chain Security

Part 2 (Common Requirements)20 pages)

Part 3 (Guidelines for ICT Supply Chain)(25 pages)

High level and general

Generic“Guide”

Detailed and Specific“Guide”

Provider and Supplier CharacteristicsRelated Threats

RelationshipManagement

Framework -Governance;

Lifecycle Processes;RequirementsStatements

Problem Definition

Threat Landscape

Provider and Supplier CharacteristicsRelated Threats

OBS UNDER UTVECKLING

All

right

s re

serv

ed

1999

-20

12

27040Storage

27031 ICT

readiness for BCM

Vad till vad?

27033 Network security

27034 Application security

27035 Incident

Management

27036Outsourcin

g27037

Forensics

27034 Application security

27033 Network security

Vad gäller här? Vet vi det? Vet outsourcing partnern det? Hur kan vi lära om digitala bevis?

27036Outsourcin

gFlera delar

All

right

s re

serv

ed

1999

-20

12

Exempel från ISO/IEC 27037 “Forensics”

All

right

s re

serv

ed

1999

-20

12

27040Storage

27031 ICT

readiness for BCM

Vad till vad?

27033 Network security

27034 Application security

27035 Incident

Management

27036Outsourcin

g27037

Forensics

27034 Application security

27033 Network security

Lagring och destruktion beror på informationen.Vet outsourcing partnern det? Hur kan vi följa upp det här?

27036Outsourcin

gFlera delar

All

right

s re

serv

ed

1999

-20

12

Exempel från ISO/IEC 27037 “Storage”

OBS UNDER UTVECKLING

All

right

s re

serv

ed

1999

-20

12

ATT båda parter tar stöd i andra standarder för att samverka inom områden som är viktiga för

informationssäkerheten inom ramen för avtalet

Den andra förenklade slutsatsen att nyttja standarder

All

right

s re

serv

ed

1999

-20

12

Glömt något?

All

right

s re

serv

ed

1999

-20

12

OUTSOURCING?

All

right

s re

serv

ed

1999

-20

12

ISO/IEC 17788/WD (vocabulary) and ISO/IEC 17789/WD (Reference Architecture)

ISO/IEC 27017Cloud Specific Control

ISO/IEC 27036-5 (New) Guidelines for Security of

Cloud ServicesISO/IEC 27018

Data Protection Controls

ISO/IEC 27036-2Common Requirements

Structure of Standards related to Cloud Computing security and privacy in SC27

ISO/IEC 27002

All

right

s re

serv

ed

1999

-20

12

Current status on ISO/IEC 27036-5 - 4

ISO SC27 Meeting Rome Oct. 25 2012

Koji Nakao and Adrian DavisCo-Editors of 27036-5

All

right

s re

serv

ed

1999

-20

12

A New Part of 27036 – Rome Oct 2012Title:

Guidelines for Security of Cloud Services

Scope statement:This part of international standard ISO/IEC 27036 provides guidelines for information security of cloud services throughout the supply chain from the perspective of both the acquirer and supplier of such services. Specifically, it involves gaining visibility into and managing the information security risks associated with cloud services throughout the lifecycle.

All

right

s re

serv

ed

1999

-20

12

Current “Scope” – Rome Oct 2012 This part of international standard ISO/IEC 27036 provides cloud service acquirers and suppliers with guidance on:

• gaining visibility into and managing the information security risks caused by using cloud services;• Integrating information security processes and practices into the cloud –based product and service lifecycle processes, described in ISO/IEC 15288 and ISO/IEC 12207 while supporting information security controls, described in ISO/IEC 27002;• responding to risks specific to the acquisition or provision of cloud-based services that can have an information security impact on organisations using these services.

This part of ISO/IEC 27036 does not include business continuity management/resiliency issues involved with the cloud service. ISO/IEC 27031 addresses business continuity.

All

right

s re

serv

ed

1999

-20

12

Men fortfarande lite dimmigtNB Type Comment ResolutionSE 1 Ge In order to provide comments in the right context we see

a need to further define Cloud services and in what way it is different to outsourcing of ICT in general terms. We see this standard as focusing on Cloud Services specific and the distinction requested is not only to review this document but also to avoid repletion of texts in the other parts of ISO/IEC 27036. We do understand that this definition may have an impact on other Cloud related standard work within SC27 but we see that this document is where the overlap and confusion can rely create problems. A clarification will be most welcome not only for the document but for the market. Please see SE2 for our standpoint and view to discuss.

Accepted in principleDiscuss in meeting

All

right

s re

serv

ed

1999

-20

12

Current: PD stage – Rome Oct 2012• The PD (Preliminary Draft text) was produced by the editors and has been reviewed by NBs.• 84 comments (general, technical and editorial) received for the PD.• Work items (to be discussed in this meeting):

- Remove parts which are not related to cloud security;- Relationship with 27017/27018 should be clarified;- Consider further detailed cloud security issues;- etc.

All

right

s re

serv

ed

1999

-20

12

Liaisons – Rome Oct 2012The meeting agreed to liaize with the following SDOs: - SC38 - ITU-T JCA Cloud (SG13 and SG17) - SC7 - CSA and ISF

All

right

s re

serv

ed

1999

-20

12

ISO/IEC 27036 - 4Cloud Services

ISO/IEC 27017(”27002 för Cloud”)

All

right

s re

serv

ed

1999

-20

12

Tackar och gärna frågor!

“Now this is not the end. It is not even the beginning of the end. But it is, perhaps, the

end of the beginning.” W. Churchill