iso 27001 –nowy standard bezpieczeństwa -...

ISO 27001 – nowy standard bezpieczeństwa

CryptoCon, 30-31.08.2006

Plan prezentacji

•• ZagroZagrożżenia dla informacjienia dla informacji

•• Normy zarzNormy zarząądzania bezpieczedzania bezpieczeńństwem informacjistwem informacji

•• BS 7799BS 7799--2:2002 a ISO/IEC 27001:20052:2002 a ISO/IEC 27001:2005

•• ISO/IEC 27001:2005ISO/IEC 27001:2005

•• WdraWdrażżanie Systemu Zarzanie Systemu Zarząądzania Bezpieczedzania Bezpieczeńństwem stwem Informacji w firmieInformacji w firmie

Liczba incydentów

Procent firm deklarujących wystąpienie incydentów

36

46

12 4 1

23

56

14 5 2

36

51

10 3 10

10

20

30

40

50

60

0 1-9 10-49 50-499 >500

Liczba incydentów

%

2002 2004 2005

Źródło: CSO 2005

Główne typy ataków

Źródło: CSO 2005

Pięć głównych typów ataku

15%

21%

25%

26%

59%

0% 10% 20% 30% 40% 50% 60% 70%

Nielegalne dane idokumenty

Przeciążenie serwerapoczty

Nieautoryzowanewejście

Inny

Złośliwy kod

Główne kierunki ataków

Pięć głównych kierunków ataku

16%

19%

21%

26%

68%

0% 10% 20% 30% 40% 50% 60% 70% 80%

Znana luka w programowaniu

Inne

Nadużycie uprawnień

Znana luka w systemie operacyjnym

E-mail z wirusem

Źródło: CSO 2005

Główne źródła ataków

Pięć głównych źródeł ataku

11%

20%

25%

33%

63%

0% 10% 20% 30% 40% 50% 60% 70%

Klienci

Byli pracownicy

Inne

Pracownicy

Hakerzy

Źródło: CSO 2005

Skąd firma dowiedziała się o ataku?

Skąd firma dowiedziała się o ataku

11%

14%

21%

39%

50%

0% 10% 20% 30% 40% 50% 60%

Ostrzeżenie oddostawcy usług

Alarm od klienta

Uszkodzeniamaterialne lub danych

Ostrzeżenie od kolegi

Firewall, plik Log, IDS

Źródło: CSO 2005

Kto został poinformowany o ataku

W rezultacie ataku skontaktowałem się z:

12%

14%

16%

55%

0% 10% 20% 30% 40% 50% 60%

Konsultantami

Partnerami/dostawcami

Klientami

Nikim

Źródło: CSO 2005

Bezpieczeństwo w praktyce

• Jedno z czasopism stało się posiadaczem dysków twardych z danymi MSZ.

• „Nie ma pewności, że dane podatników w urzędach skarbowych sącałkowicie bezpieczne” – cytat Wojewódzkiego Sądu Administracyjnego w Warszawie.

• Na śmietniku znaleziono dokumenty z informacjami o osobach, które pobierały zasiłki (500 nazwisk, PESEL, adresy zamieszkania).

Bezpieczeństwo w praktyce

„Sprzedali mu nasze konta…”

Poufne dane z Banku Millennium znalazły się na wysypisku. Bankowcy sązszokowani tą informacją. To jak mają czuć się klienci?

Tysiąc numerów kart płatniczych, dane osobowe, faktury, informacje o kontach i niemal tysiąc listów od klientów Banku Millennium, wylądowało na złomowisku. Wszystko to zawierał twardy dysk komputera, który trafiłprzypadkiem do mieszkańca Gdańska.

Super Express, 17 lutego 2005

Konieczność ochrony informacji

• Konieczność uchronienia się przed utratą reputacji, odpowiedzialnością karnączy koniecznością zapłaty kar finansowych spowodowanych przez przypadkowe oraz umyślne naruszenia bezpieczeństwa.

• Zagrożenia związane z coraz to nowymi zastosowaniami systemów informatycznych, przetwarzających coraz więcej informacji.

• Niska świadomość pracowników dotycząca zagrożeń.

• Stworzenie struktury zarządzania gwarantującej monitorowanie stanu bezpieczeństwa i reagującej na zmieniające się uwarunkowania w tym zakresie.

• Określenie odpowiedzialności związanych z bezpieczeństwem informacji.

• Aspekt „marketingowy” – najlepsi inwestują w bezpieczeństwo.

Plan prezentacji




•• ISO/IEC 27001:2005ISO/IEC 27001:2005


Historia standardów

Standardy:

Brytyjskie

Polskie

Międzynarodowe

BS PD0003:1993

WYTYCZNE WYMAGANIA

BS 7799-1:2002

PN-ISO 17799:2003

BS 7799-1:1995

BS 7799-1:1999 BS 7799-2:1999

BS 7799-2:2002

ISO/IEC 17799:2000

ISO/IEC 27001:2005

Rodzina standardów ISO/IEC 27000

ISO/IEC 17799:2005 PN-I-07799-2:2005

1993

1995

1998

1999

2000

2002

2003

2005

2007

BS 7799-2:1998

ISO/IEC 27001 a ISO/IEC 17799

WymaganiaWymagania

Norma ISO/IEC 27001 służy do certyfikacji

WytyczneWytyczne

System zarządzania bezpieczeństwem informacji

Norma ISO/IEC 17799 – jest kodeksem,

zawiera wytyczne, a nie wymagania

Plan prezentacji




•• ISO/IEC 27001:2005ISO/IEC 27001:2005


Norma ISO/IEC 27001:2005

• Mając na uwadze postępujący rozwój na rynku bezpieczeństwa informacji organizacja ISO (International Organization for Standardization) w listopadzie ubiegłego roku zakończyła prace nad nową normą, której zamierzeniem jest zapewnienie bezpieczeństwa informacji we wszystkich jego aspektach.

• Norma ta wprowadza udoskonalenia w stosunku dopoprzednio obowiązującego standardu, czyli normyBS 7799-2:2002.

Zmiany wprowadzone w ISO/IEC 27001:2005

• Wymagania dotyczące zarządzaniu incydentami bezpieczeństwa zebrano w jeden nowy punkt normy.

• Rozszerzone zostały kwestie dotyczące identyfikacji sprzętu w sieciach, jak również

zarządzania i nadzoru nad technicznymi podatnościami.

• Dodano kryteria oceny nowych technologii takich jak:

– transakcje on-line,

– mobilny kod.

Zmiany wprowadzone w ISO/IEC 27001:2005

• Wprowadzono wymaganie dotyczące pomiaru skuteczności wdrożonych zabezpieczeń.

• Wprowadzono wymaganie ukierunkowania planów ciągłości działania na aspekt bezpieczeństwa informacji.

• Rozszerzone zostały kwestie dotyczące między innymibezpieczeństwa w kontaktach z klientami.

Plan prezentacji




•• ISO/IEC 27001:2005ISO/IEC 27001:2005


Systemowe podejście do bezpieczeństwa informacji

Bezpieczeństwo

prawne

Bezpieczeństwo

informatyczneBezpieczeństwo

fizyczne

Bezpieczeństwo

osobowe

ISO 27001

Informacje

Ludzie Usługi

Technologia

Norma ISO/IEC 27001:2005

• Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństweminformacji, podporządkowanych 11 grupom wymagań.

• Pozwala przedsiębiorstwu na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadząoraz otoczenia rynkowego i potrzeb w powyższym zakresie.

• Szczególny nacisk położony jest na zarządzanie ryzykiemutraty ważnych informacji.

• Norma dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów.

• Norma uwzględnia najnowsze formy działalności gospodarczej, np. e-biznes, internet, outsourcing, teleworking, mobile computing.

Zarządzanie ryzykiem

Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest minimalizacja ryzyka utraty najważniejszych informacji organizacji .

OCENA RYZYKA UTRATY INFORMACJI

WDROŻENIE PLANU MINIMALIZACJI

RYZYKA UTRATY INFORMACJI

MONITOROWANIE PLANU MINIMALIZACJI RYZYKA

UTRATY INFORMACJI

OPRACOWANIE PLANU

MINIMALIZACJI RYZYKA

ISO/IEC 27001 – Spis treści

ISO/IEC 27001ISO/IEC 27001

WymaganiaWymagania

0 Wstęp

1 Zakres normy

2 Odwołania normatywne

3 Terminy i definicje

4 System zarządzania bezpieczeństwem informacji

5 Odpowiedzialność kierownictwa

6 Audyty wewnętrzne

7 Przegląd kierownictwa SZBI

8 Udoskonalanie SZBI

9 Załącznik A (ISO/IEC 17799)

ISO/IEC 27001 – Spis treści

WymaganiaWymagania

ISO/IEC 270011. Polityka bezpieczeństwa2. Organizacja bezpieczeństwa3. Klasyfikacja i kontrola zasobów4. Bezpieczeństwo osobowe5. Zarządzanie systemami i sieciami6. Bezpieczeństwo fizycznei środowiskowe7. Kontrola dostępu do systemu

8. Pozyskiwanie, rozwój i utrzymanie systemu

9. Zarządzanie incydentami bezpieczeństwa

10. Zarządzanie ciągłością działania11. Zgodność z wymaganiami prawa i

własnymi standardami

A.5 Polityka bezpieczeństwa

A.6 Organizacja bezpieczeństwa informacji

A.7 Zarządzanie aktywami

A.8 Bezpieczeństwo osobowe

A.9 Bezpieczeństwo fizyczne i środowiskowe

A.10 Zarządzanie systemami i sieciami

A.11 Kontrola dostępu do systemów

A.12 Pozyskanie, rozwój i utrzymanie systemów

A.13 Zarządzanie incydentami bezpieczeństwa

A.14 Zarządzanie ciągłością działania

A.15 Zgodność (z wymaganiami prawa i własnymi standardami)

ISO/IEC 27001 – wymagania

Zakres dokumentacji SZBI� Polityka Bezpieczeństwa Informacji

� Zakres SZBI

� Raport z procesu szacowania ryzyka

� Plan minimalizacji ryzyka

� Udokumentowane procedury służące eksploatacji SZBI

� Metodyka szacowania skuteczności wdrożonych zabezpieczeń

� Zapisy wymagane przez normę

� Deklaracja stosowania

Nadzór nad dokumentami

Nadzór nad zapisami

Wymagania dotyczWymagania dotycząące dokumentacjice dokumentacji

OdpowiedzialnoOdpowiedzialnośćść kierownictwakierownictwa


� Zaangażowanie kierownictwa

� Zapewnienie zasobów

� Zapewnienie kompetencji osób odpowiedzialnych za bezpieczeństwo

� Szkolenia i uświadamianie pracowników


Audyty wewnAudyty wewnęętrzne SZBItrzne SZBI

� Badające spełnienie wymagań prawnych i normy

� Badające spełnienie wymagań SZBI

� Udokumentowane

� Przeprowadzane planowo


PrzeglPrzegląąd SZBI realizowany przez d SZBI realizowany przez kierownictwokierownictwo

� Przeprowadzane planowo

� Zapewniające stosowność, adekwatność i efektywność SZBI

� Udokumentowane

Dane wejściowe przeglądu

Dane wyjściowe przeglądu


Doskonalenie SZBIDoskonalenie SZBI

� Ciągłe doskonalenie

� Działania korygujące

� Działania prewencyjne


A.5 A.5 Polityka bezpieczePolityka bezpieczeńństwastwa

� Polityka bezpieczeństwa informacji

Ukazanie wsparcia kierownictwa dla bezpieczeństwa informacji.


A.6 A.6 Organizacja bezpieczeOrganizacja bezpieczeńństwa stwa informacjiinformacji

� Infrastruktura wewnątrz organizacjiOkreślenie odpowiedzialności i zasad zarządzania bezpieczeństwem informacji.

� Strony trzecieRyzyka związane z dostępem stron trzecich do aktywów organizacji.


A.7 A.7 ZarzZarząądzanie aktywamidzanie aktywami

� Odpowiedzialność za aktywaOkreślenie odpowiedzialności za aktywa organizacji.

� Klasyfikacja informacji

Zdefiniowanie klasyfikacji informacji i określenie właściwych

poziomów ochrony.


A.8 A.8 BezpieczeBezpieczeńństwo osobowestwo osobowe

� Bezpieczeństwo procesu rekrutacjiZapewnienie bezpieczeństwa procesu rekrutacji (określenie odpowiedzialności, przypisanie ról, redukcja ryzyka kradzieży, oszustwa lub nadużycia).

� Obsługa zatrudnieniaKreowanie świadomości pracowników w odniesieniu do zagrożeń dla informacji organizacji, odpowiedzialności i obowiązków.

� Derekrutacja lub ruchy kadroweZapewnienie prawidłowości procesu derekrutacji (odpowiedzialności za derekrutację, zwrot aktywów, odebranie praw dostępu).


A.9 A.9 BezpieczeBezpieczeńństwo fizyczne i stwo fizyczne i śśrodowiskowerodowiskowe

� Obszary bezpieczneZapobieganie nieautoryzowanemu wtargnięciu lub zakłóceniu działania organizacji.

� Bezpieczeństwo wyposażeniaZapobieganie utracie, uszkodzeniu, kradzieży wyposażenia.


A.10 A.10 ZarzZarząądzanie systemami i dzanie systemami i sieciamisieciami

� Procedury operacyjne i odpowiedzialnośćZapewnienie bezpieczeństwa dla działania urządzeńprzetwarzających informacje.

� Zarządzanie realizacją usług przez strony trzecieZapewnienie właściwego poziomu bezpieczeństwa informacji i usług dostarczanych przez strony trzecie.

� Planowanie systemu i akceptacjaMinimalizowanie ryzyka wystąpienia awarii systemu.


A.10 A.10 ZarzZarząądzanie systemami i dzanie systemami i sieciami c.d.sieciami c.d.

� Ochrona przed złośliwym oprogramowaniemZapewnienie integralności oprogramowania i informacji.

� Kopie zapasoweZapewnienie integralności i dostępności informacji oraz zabezpieczenie miejsc ich przetwarzania.

� Zarządzanie bezpieczeństwem sieciowymZapewnienie bezpieczeństwa informacji w sieci teleinformatycznej.


A.10 A.10 ZarzZarząądzanie systemami i dzanie systemami i sieciami c.d.sieciami c.d.

� Bezpieczeństwo nośników informacjiZapobieganie nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu informacji zawartych na nośnikach.

� Wymiana informacjiZapewnienie bezpieczeństwa informacji przesyłanych wewnątrz oraz na zewnątrz organizacji.

� Usługi handlu elektronicznegoZapewnienie bezpieczeństwa usług handlu elektronicznego.

� Monitorowanie użycia systemówZapewnienie możliwości wykrycia nieuprawnionego przetwarzania informacji.


A.11 A.11 Kontrola dostKontrola dostęępu do pu do systemsystemóóww

� Wymagania biznesowe w dostępie do informacjiOkreślenie polityki kontroli dostępu do informacji.

� Zarządzanie dostępem użytkownikówZapewnienie kontroli dostępu do systemów informacyjnych.

� Odpowiedzialność użytkownikówZapobieganie nieuprawnionemu dostępowi do informacji i systemów informacyjnych, jak również ich zniszczeniu, modyfikacji oraz kradzieży.

A.11 A.11 Kontrola dostKontrola dostęępu do pu do systemsystemóów c.d.w c.d.


� Kontrola dostępu do sieciZapobieganie nieuprawnionemu dostępowi do usług sieciowych.

� Kontrola dostępu do systemów operacyjnychZapobieganie nieuprawnionemu dostępowi do systemów operacyjnych.

� Kontrola dostępu do aplikacji i informacjiZapobieganie nieuprawnionemu dostępowi do aplikacji i zawartych w nich informacji.

� Stosowanie komputerów przenośnych i praca zdalnaZapewnienie bezpieczeństwa informacji w komputerach przenośnych i w trakcie pracy zdalnej.


A.12 A.12 Pozyskanie, rozwPozyskanie, rozwóój i j i utrzymanie systemutrzymanie systemóóww

� Wymagania dotyczące bezpieczeństwa systemówZapewnienie, że bezpieczeństwo jest integralną częściąsystemów informacyjnych.

� Poprawność przetwarzania w aplikacjachZapobieganie błędom, utracie, nieupoważnionej modyfikacji lub nadużyciu informacji w aplikacjach.

� Kryptograficzne środki nadzoruZapewnienie poufności oraz integralności informacji przy wykorzystaniu kryptografii.


A.12 A.12 Pozyskanie, rozwPozyskanie, rozwóój i j i utrzymanie systemutrzymanie systemóów c.d.w c.d.

� Bezpieczeństwo plików systemowychZapewnienie bezpieczeństwa plików systemowych i kontroli nad wykorzystywanym oprogramowaniem.

� Bezpieczeństwo procesu tworzenia oprogramowania i pomocy technicznejZapewnienie utrzymania bezpieczeństwa systemów aplikacji i informacji.

� Zarządzanie podatnościami technicznymiZapewnienie ograniczania ryzyka wynikającego z wykorzystania wykrytych podatności technicznych.


A.13 A.13 ZarzZarząądzanie incydentami dzanie incydentami bezpieczebezpieczeńństwastwa

� Raportowanie incydentów bezpieczeństwa i słabości Zapewnienie, że incydenty bezpieczeństwa i słabości będą zgłaszane w sposób umożliwiający podjęcie na czas stosownych działań.

� Zarządzanie incydentami bezpieczeństwa i doskonalenieZapewnienie spójnego i efektywnego podejścia do zarządzania incydentami bezpieczeństwa.


A.14 A.14 ZarzZarząądzanie cidzanie ciąąggłłoośściciąądziadziałłaniaania

� Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działaniaPrzeciwdziałanie przerwom w działaniach biznesowych oraz ochrona krytycznych procesów biznesowych przed wynikami poważnych awarii systemów informacyjnych i katastrof oraz zapewnienie terminowego wznowienia ich działalności.


A.15 A.15 ZgodnoZgodnośćść (z wymaganiami (z wymaganiami prawa i wprawa i włłasnymi standardami)asnymi standardami)

� Zgodność z przepisami prawnymiZapewnienie zgodności z wszelkimi przepisami prawnymi, które dotycząorganizacji (w tym wymagań bezpieczeństwa).

� Zgodność z politykami bezpieczeństwa i zgodnośćtechnicznaZapewnienie zgodności systemów z politykami bezpieczeństwa i standardami organizacji.

� Rozważania dotyczące audytu systemówZapewnienie maksymalizacji efektywności audytów i minimalizacji ich negatywnego wpływu na działalność biznesową (zajętość zasobów).

Plan prezentacji




•• ISO/IEC 27001:2005ISO/IEC 27001:2005


Wdrożenie i certyfikacja systemu

Certyfikacjasystemu

Monitorowanie PlanuMinimalizacji Ryzyka

Szkolenia zdokumentacji

Opracowaniedokumentacji

Przygotowanie PlanuMinimalizacji Ryzyka

PrzeprowadzenieAnalizy Ryzyka

Szkolenia wstępne

Diagnoza systemu

1634

244186

92 57 42 39 38 30 27 26 22 20 15 14 14 130

300

600

900

1200

1500

1800

Japonia

Wlk. Bryt.

Indie

Tajwan

Niemcy

Włochy

USA

Korea

Węgry

Chiny

Holandia

Hong Kong

Australia

Finlandia

Polska

Norwegia

Szwajcaria

Liczba akredytowanych certyfikatów na świecie – czerwiec 2006

Źródło: ISMS International UserGroup

Dziękuję za uwagę Krzysztof Mać[email protected]. (61) 643-51-97

Tomasz Szał[email protected]. (61) 643-51-95

iso 27001 –nowy standard bezpieczeństwa -...

Documents