- iso/iec 27000 seriens standarder som stöd ?
DESCRIPTION
Outsourcing. - ISO/IEC 27000 seriens standarder som stöd ?. Jan Branzell. Bakgrund inom bl.a. bilindustri samt papper & massa Arbetar med verksamhetsstyrning och kommunikation - PowerPoint PPT PresentationTRANSCRIPT
All
right
s re
serv
ed
1999
-20
12
All
right
s re
serv
ed
1999
-20
12
- ISO/IEC 27000 seriens standarder som stöd?
Outsourcing
All
right
s re
serv
ed
1999
-20
12
Jan Branzell
• Bakgrund inom bl.a. bilindustri samt papper & massa• Arbetar med verksamhetsstyrning och kommunikation• Informationssäkerhet sedan år 2000 som VD för Veriscan Security
som är inriktat på mätning och införande av informationssäkerhet • Varit med i SIS TK för ISO/IEC 27000-serien sedan år 2000• Co-Editor för ISO/IEC 27003 om införande av LIS samt kommande
ISO/IEC TR 27016 om IS och ekonomi • Ordförande i SIS Arbetsgrupp AG41 kring olika standarder kring
införande av säkerhetsåtgärder (ICT Business Continuity, Network security, Incident Management , Outsourcing mm)
• Stödjer SIS i framtagning och leverans av SIS Informationssäkerhetsakademi
All
right
s re
serv
ed
1999
-20
12
Standarder och Outsourcing -Hållpunkter• Vad är outsourcing?• Stöd i ISO/IEC 27001 och 27002• Stöd i andra standarder kring säkerhetsåtgärder• Molnet och standarder
All
right
s re
serv
ed
1999
-20
12
Vad är outsourcing?
All
right
s re
serv
ed
1999
-20
12
Medvetna parter har goda förutsättningar att göra allting bättre
Omedvetna parter löper stor risk att göra något bra sämre och någonting dåligt ännu
sämre
Risk vid outsourcing?
Kan standarder hjälpa till?
All
right
s re
serv
ed
1999
-20
12
27001LIS
27006Ackr.
27002Guide
27003Impl.
27004Mätn.
27005Risk 27000
Term.
BilagaA
27008Tech
27007Rev.
ISO/IEC 27001 och 27002 är vår bas
All
right
s re
serv
ed
1999
-20
12
ISO/IEC 27002–Guide (Best Practice)
OmfattningTermer och definitionerSäkerhetspolicyOrganisatorisk säkerhetKlassificering och styrning av tillgångarPersonal och säkerhetFysisk och miljörelaterad säkerhetStyrning av kommunikation och driftStyrning av åtkomstSystemutveckling och systemunderhållIncidentKontinuitetsplanering för verksamhetenEfterlevnad
ISO/IEC 27001– KRAV ”SKALL”
Orientering & OmfattningNormativa hänvisningarTermer och definitionerLedningssystem för informationssäkerhetLedningens ansvarLedningens genomgång av LISFörbättring av LISBilaga A (normativ) Styrmedel och
styrmåltabell som mappar SS ISO/IEC 27002
Bilaga B (informativ) Vägledning för användning av denna standardBilaga C (informativ) Samband mellan ISO 9001
(2000), ISO 14001 (1996) och ISO 27001 (2005)Bilaga D (informativ) Ändringar i intern numreringLitteraturförteckning
27001ISMS
27002Guide
ISO 27000 serien - basstandarder
All
right
s re
serv
ed
1999
-20
12
ISO/IEC 27002–Guide (Best Practice)
OmfattningTermer och definitionerSäkerhetspolicyOrganisatorisk säkerhetKlassificering och styrning av tillgångarPersonal och säkerhetFysisk och miljörelaterad säkerhetStyrning av kommunikation och driftStyrning av åtkomstSystemutveckling och systemunderhållIncidentKontinuitetsplanering för verksamhetenEfterlevnad
ISO/IEC 27001– KRAV ”SKALL”
Orientering & OmfattningNormativa hänvisningarTermer och definitionerLedningssystem för informationssäkerhetLedningens ansvarLedningens genomgång av LISFörbättring av LISBilaga A (normativ) Styrmedel och
styrmåltabell som mappar SS ISO/IEC 27002
Bilaga B (informativ) Vägledning för användning av denna standardBilaga C (informativ) Samband mellan ISO 9001
(2000), ISO 14001 (1996) och ISO 27001 (2005)Bilaga D (informativ) Ändringar i intern numreringLitteraturförteckning
27001ISMS 27002
Guide
Vart hittar vi outsourcing?
All
right
s re
serv
ed
1999
-20
12
ISO/IEC 27001 Annex A 6.2
All
right
s re
serv
ed
1999
-20
12
11
Övrig informationTillhandahåller ytterligare information som kan behöva beaktas, t.ex. juridiska överväganden och referenser till andra standarder.
Åtgärd
Vägledning
Övrig information
Mål
SäkerhetsåtgärdDefinierar den specifika säkerhetsåtgärd som krävs för att tillgodose åtgärdsmålet.
Vägledning för införandeTillhandahåller mer detaljerad information
ISO/IEC 27002
All
right
s re
serv
ed
1999
-20
12
12
ISO/IEC 27002 Kap 6 och då 6.2
All
right
s re
serv
ed
1999
-20
12
ISO/IEC 27002 Kap 6.26.2 Utomstående parter
Mål : Att bibehålla säkerheten hos organisationens information och informationsbehandlingsresurser som är åtkomliga för, bearbetas av, kommuniceras till eller hanteras av utomstående parter. Säkerheten hos organisationens information och informationsbehandlingsresurser bör inte minskas genom introduktion av utomstående parters produkter eller tjänster. All åtkomst till organisationens informationsbehandlingsresurser liksom utomståendes bearbetning och kommunikation av information bör styras.
Där verksamhetsbehov finns för att arbeta med utomstående parter som kan kräva åtkomst till organisationens information och informationsbehandlingsresurser eller att erhålla eller lämna en produkt eller tjänst från eller till en utomstående part, bör en riskbedömning göras. Riskbedömningen görs för att avgöra säkerhetskonsekvenser och behov av styrning. Säkerhetsåtgärder bör överenskommas och definieras i en överenskommelse med den utomstående parten.
All
right
s re
serv
ed
1999
-20
12
Exempel med utdrag från ISO/EC 27002 6.2.1 Identifiering av risker med utomstående parter Säkerhetsåtgärd
Riskerna för organisationens information och informationsbehandlingsresurser i verksamhetsprocesser där utomstående parter är involverade bör identifieras och lämpliga säkerhetsåtgärder införas innan åtkomst beviljas.
Vägledning för införande Där det finns behov av att tillåta en utomstående part att ha åtkomst till informationsbehandlingsresurser eller information i en organisation bör en riskbedömning (se även avsnitt 4) utföras för att identifiera eventuella krav på särskilda säkerhetsåtgärder. Vid identifieringen av risker vid utomståendes åtkomst bör följande faktorer beaktas:
a) de informationsbehandlingsresurser som den utomstående parten behöver få åtkomst till
b) den typ av åtkomst som den utomstående kommer att ha till information och informationsbehandlingsresurser, t.ex. 1) fysisk åtkomst, t.ex. till kontorsutrymmen, datorrum, arkiv 2) logisk åtkomst, t.ex. till en organisations databaser, informationssystem 3) nätverkskoppling mellan organisationens och den utomstående partens nätverk,
t.ex. permanent uppkoppling, fjärråtkomst 4) om åtkomsten äger rum inom eller utanför organisationens lokaler OSV……….
All
right
s re
serv
ed
1999
-20
12
Men……
Vi hittar alltså stöd i ISO/IEC 27002
All
right
s re
serv
ed
1999
-20
12
Vad gäller hantering av övriga säkerhetsåtgärder?
All
right
s re
serv
ed
1999
-20
12
Det betyder!
• Att övriga ”relevanta” säkerhetsåtgärderna i ISO/IEC 27002 gäller!
• Att för att uppnå målen när det gäller säkerhetsåtgärderna så är kraven minst lika höga på outsourcing partnern som om det varit den egna organisationen
• Snarare så har ett beroende uppstått till en annan organisation som i sig utgör en risk
• Men vi kan också ha reducerat andra risker – Som vadå?
All
right
s re
serv
ed
1999
-20
12
Steg 1 är alltså att nyttja ISO/IEC 27002 som bas• Säkerhetsåtgärderna skall vara adresserade (kravställda) i
avtalet med den andra parten• Säkerhet som “Non Functional Requirements” bör mao
vara borta• Vissa säkerhetsåtgärder och risk mitigering tas över av
outsourcing parten – T.ex. risker vid Back Up tagning, risk DoS attacker• Men ansvaret att kontrollera betyder ytterligare aktiviteter
för uppföljning och kontroll som t.ex. revision, mätning och även riskstatus som återrapporteras inom ramen för LIS (ISO/IEC 27001)
All
right
s re
serv
ed
1999
-20
12
Hur gör vi det? Teoretiskt enkelt – Praktiskt inte lika enkelt….
133 säkerhetsåtgärder skall omsättas till krav i avtalet
SäkerhetspolicyOrganisatorisk säkerhetKlassificering och styrning av tillgångarPersonal och säkerhetFysisk och miljörelaterad säkerhetStyrning av kommunikation och driftStyrning av åtkomstSystemutveckling och systemunderhållIncidentKontinuitetsplanering för verksamhetenEfterlevnad
Vad outsourcas till vem av
vem?
Appendix A + Motsvarande i ISO/IEC 27002
All
right
s re
serv
ed
1999
-20
12
ATT Outsourcing Parten är ISO/IEC 27001 Certifierade•Kontrollera omfattning och avgränsningar samt SoA* enligt ISO/IEC 27001• Analysera prestanda/hantering vissa säkerhetsåtgärder utifrån ISO/IEC 27002•Sök gärna ytterligare tredje parts information
Den första förenklade slutsatsen att nyttja standarder
*) SoA = Statement of Applicability, dvs. vilka säkerhetsåtgärder man har certifierat
All
right
s re
serv
ed
1999
-20
12
Men vi vill ha mer samarbete!Speciellt om det gäller ICT Outsourcing• Incidentprocessen• Kontinuitetsplanering• Riskrapportering• “CHANGE”
– Egna processer– Outsourcing partnerns process
• Livscykel problematik• Forensics• MMMMM?
Kan vi finna mer stöd i ISO 27000 serien av standarder?
All
right
s re
serv
ed
1999
-20
12
27001ISMS
27006Accr.
27002Guide
27003Impl.
27004Measurement
27005Risk
27000Term.
AnnexA
27008Tech
27007Rev.
Dom här?
All
right
s re
serv
ed
1999
-20
12
27001ISMS
27006Accr.
27002Guide
27003Impl.
27004Measurement
27005Risk
27000Term.
AnnexA
27008Tech
27007Rev.
En bubblare? …”Vi kör ITIL”27013
Om 27001 & 20000
All
right
s re
serv
ed
1999
-20
12
ISO/IEC 27013 om 27001 och 20000
All
right
s re
serv
ed
1999
-20
12
27031 ICT
readiness for BCM
Dom här fördjupningarna?
27033 Network security
27034 Application security
27035 Incident
Management
27036Outsourcin
g27037
Forensics
27034 Application securityFlera delar
27033 Network securityFlera delar
KLARA!Under
utveckling
27036Outsourcin
gFlera delar
27040Storage
JAPP – Begrepp & Processer kan vara ett bra underlag för standardiserad samverkan
All
right
s re
serv
ed
1999
-20
12
27031 ICT
readiness for BCM
Vad till vad?
27033 Network security
27034 Application security
27035 Incident
Management
27036Outsourcin
g27037
Forensics
27034 Application security
27033 Network security
Stödja att målen för verksamheten är de samma när det gäller ICT – klarar man dem för BCP?
27036Outsourcin
gFlera delar
27040Storage
All
right
s re
serv
ed
1999
-20
12
ISO/IEC 27031 ICT Readiness for
Business Continuity
ISO/IEC 27002
All
right
s re
serv
ed
1999
-20
12
27031 ICT
readiness for BCM
Vad till vad?
27033 Network security
27034 Application security
27035 Incident
Management
27036Outsourcin
g27037
Forensics
27034 Application security
27033 Network security
Nätverkssäkerhet är bas för all ICT säkerhet. Det som står här skall outsourcing leverantören ha koll på.
En sådan självklarhet att den kanske inte behövs?
27040Storage
27036Outsourcin
gFlera delar
All
right
s re
serv
ed
1999
-20
12
29
ISO/IEC 27002
ISO/IEC 27033 Nätverkssäkerhet
OBS Delvis UNDER UTVECKLING
Valt exempel ur kap 11
All
right
s re
serv
ed
1999
-20
12
Nätverkssäkerhet är grundläggande och det märks….
27033-1Overview
and Concept
27033-2Design och införande
27033-4Nät-koppling
viaSecure
Gateways
27033-3Risk
scenarier och
säkerhets-åtgärder
27033-5VPN
kommunikation
27033-6Trådlöst
2wdDIS DIS
All
right
s re
serv
ed
1999
-20
12
27031 ICT
readiness for BCM
Vad till vad?
27033 Network security
27034 Application security
27035 Incident
Management
27036Outsourcin
g27037
Forensics
27034 Application security
27033 Network security
Om man har lagt ut sin applikationsutveckling så finns det stöd för hur säkerhet bör hanteras i processen
27040Storage
27036Outsourcin
gFlera delar
All
right
s re
serv
ed
1999
-20
12
32
ISO/IEC 27002
ISO/IEC 27034 ApplikationssäkerhetOBS Delvis UNDER UTVECKLING
All
right
s re
serv
ed
1999
-20
12
27034 “Applikations
-säkerhet”
All
right
s re
serv
ed
1999
-20
12
27031 ICT
readiness for BCM
Vad till vad?
27033 Network security
27034 Application security
27035 Incident
Management
27036Outsourcin
g27037
Forensics
27034 Application security
27033 Network security
Vad är en incident? Vem rapporterar vad till vem? Hur eskalerar man till ev BCM läge? Osv…..
27036Outsourcin
gFlera delar
27040Storage
All
right
s re
serv
ed
1999
-20
12
ISO/IEC 27002
ISO/IEC 27035“Incident”
All
right
s re
serv
ed
1999
-20
12
ISO/IEC 27035 Basic structure
1Plan and prepare phase
2Detection
and reporting phase
3Assessment and decision
phase
4Responses
phase
5Lessons
learnt phase
Annex A Example
Approaches to the Categorization and Classification
ofInformation
Security Events and Incidents
Annex B Examples of Information
Security Incidents and their Causes
Annex C Example
Information Security Event,
Incident and Vulnerability Reports and
Forms
Annex D Cross Reference Table of ISO/IEC 27001/27002 vs ISO/IEC 27035
Annex E Legal and Regulatory
Aspects
All
right
s re
serv
ed
1999
-20
12
27036Outsourcin
gFlera delar
27031 ICT
readiness for BCM
Vad till vad?
27033 Network security
27034 Application security
27035 Incident
Management
27036Outsourcin
g27037
Forensics
27034 Application security
27033 Network security
Hela livscykel perspektivet. Brett angreppssätt. Flera delar…
27040Storage
All
right
s re
serv
ed
1999
-20
12
38
ISO/IEC 27036Outsorcing
OBS UNDER UTVECKLING
ISO/IEC 27002 Kap 6
All
right
s re
serv
ed
1999
-20
12
ISO/IEC 27036 Structure
Definitions
Problem Definition
Threat Landscape
Overview of other parts
(e.g. framework part 2)
Part 1 (Overview and Concepts)(15 pages)
ICT Supply Chain Security
Part 2 (Common Requirements)20 pages)
Part 3 (Guidelines for ICT Supply Chain)(25 pages)
High level and general
Generic“Guide”
Detailed and Specific“Guide”
Provider and Supplier CharacteristicsRelated Threats
RelationshipManagement
Framework -Governance;
Lifecycle Processes;RequirementsStatements
Problem Definition
Threat Landscape
Provider and Supplier CharacteristicsRelated Threats
OBS UNDER UTVECKLING
All
right
s re
serv
ed
1999
-20
12
27040Storage
27031 ICT
readiness for BCM
Vad till vad?
27033 Network security
27034 Application security
27035 Incident
Management
27036Outsourcin
g27037
Forensics
27034 Application security
27033 Network security
Vad gäller här? Vet vi det? Vet outsourcing partnern det? Hur kan vi lära om digitala bevis?
27036Outsourcin
gFlera delar
All
right
s re
serv
ed
1999
-20
12
Exempel från ISO/IEC 27037 “Forensics”
All
right
s re
serv
ed
1999
-20
12
27040Storage
27031 ICT
readiness for BCM
Vad till vad?
27033 Network security
27034 Application security
27035 Incident
Management
27036Outsourcin
g27037
Forensics
27034 Application security
27033 Network security
Lagring och destruktion beror på informationen.Vet outsourcing partnern det? Hur kan vi följa upp det här?
27036Outsourcin
gFlera delar
All
right
s re
serv
ed
1999
-20
12
Exempel från ISO/IEC 27037 “Storage”
OBS UNDER UTVECKLING
All
right
s re
serv
ed
1999
-20
12
ATT båda parter tar stöd i andra standarder för att samverka inom områden som är viktiga för
informationssäkerheten inom ramen för avtalet
Den andra förenklade slutsatsen att nyttja standarder
All
right
s re
serv
ed
1999
-20
12
Glömt något?
All
right
s re
serv
ed
1999
-20
12
OUTSOURCING?
All
right
s re
serv
ed
1999
-20
12
ISO/IEC 17788/WD (vocabulary) and ISO/IEC 17789/WD (Reference Architecture)
ISO/IEC 27017Cloud Specific Control
ISO/IEC 27036-5 (New) Guidelines for Security of
Cloud ServicesISO/IEC 27018
Data Protection Controls
ISO/IEC 27036-2Common Requirements
Structure of Standards related to Cloud Computing security and privacy in SC27
ISO/IEC 27002
All
right
s re
serv
ed
1999
-20
12
Current status on ISO/IEC 27036-5 - 4
ISO SC27 Meeting Rome Oct. 25 2012
Koji Nakao and Adrian DavisCo-Editors of 27036-5
All
right
s re
serv
ed
1999
-20
12
A New Part of 27036 – Rome Oct 2012Title:
Guidelines for Security of Cloud Services
Scope statement:This part of international standard ISO/IEC 27036 provides guidelines for information security of cloud services throughout the supply chain from the perspective of both the acquirer and supplier of such services. Specifically, it involves gaining visibility into and managing the information security risks associated with cloud services throughout the lifecycle.
All
right
s re
serv
ed
1999
-20
12
Current “Scope” – Rome Oct 2012 This part of international standard ISO/IEC 27036 provides cloud service acquirers and suppliers with guidance on:
• gaining visibility into and managing the information security risks caused by using cloud services;• Integrating information security processes and practices into the cloud –based product and service lifecycle processes, described in ISO/IEC 15288 and ISO/IEC 12207 while supporting information security controls, described in ISO/IEC 27002;• responding to risks specific to the acquisition or provision of cloud-based services that can have an information security impact on organisations using these services.
This part of ISO/IEC 27036 does not include business continuity management/resiliency issues involved with the cloud service. ISO/IEC 27031 addresses business continuity.
All
right
s re
serv
ed
1999
-20
12
Men fortfarande lite dimmigtNB Type Comment ResolutionSE 1 Ge In order to provide comments in the right context we see
a need to further define Cloud services and in what way it is different to outsourcing of ICT in general terms. We see this standard as focusing on Cloud Services specific and the distinction requested is not only to review this document but also to avoid repletion of texts in the other parts of ISO/IEC 27036. We do understand that this definition may have an impact on other Cloud related standard work within SC27 but we see that this document is where the overlap and confusion can rely create problems. A clarification will be most welcome not only for the document but for the market. Please see SE2 for our standpoint and view to discuss.
Accepted in principleDiscuss in meeting
All
right
s re
serv
ed
1999
-20
12
Current: PD stage – Rome Oct 2012• The PD (Preliminary Draft text) was produced by the editors and has been reviewed by NBs.• 84 comments (general, technical and editorial) received for the PD.• Work items (to be discussed in this meeting):
- Remove parts which are not related to cloud security;- Relationship with 27017/27018 should be clarified;- Consider further detailed cloud security issues;- etc.
All
right
s re
serv
ed
1999
-20
12
Liaisons – Rome Oct 2012The meeting agreed to liaize with the following SDOs: - SC38 - ITU-T JCA Cloud (SG13 and SG17) - SC7 - CSA and ISF
All
right
s re
serv
ed
1999
-20
12
ISO/IEC 27036 - 4Cloud Services
ISO/IEC 27017(”27002 för Cloud”)
All
right
s re
serv
ed
1999
-20
12
Tackar och gärna frågor!
“Now this is not the end. It is not even the beginning of the end. But it is, perhaps, the
end of the beginning.” W. Churchill