Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO
description
Transcript of Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO
Międzynarodowy system normalizacji ISO Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania 2700x jako wsparcie dla zarządzania
bezpieczeństwem informacji bezpieczeństwem informacji w administracji państwowej i samorządowejw administracji państwowej i samorządowej
Międzynarodowy system normalizacji ISO Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania 2700x jako wsparcie dla zarządzania
bezpieczeństwem informacji bezpieczeństwem informacji w administracji państwowej i samorządowejw administracji państwowej i samorządowej
Dr inż. Elżbieta AndrukiewiczEkspert normalizacyjny ISO
Stowarzyszenie Wspierania Rozwoju Systemów Zarządzania bezpieczeństwem
informacji ISMS PolskaPolish Chapter
26 czerwca 2007Jak rozwijać społeczeństwo informacyjne w latach 2007-2010
Plan prezentacji
• Krótkie wprowadzenie • Wymagania bezpieczeństwa systemów teleinformatycznych
używanych przez podmioty publiczne do realizacji zadań publicznych
• Bezpieczeństwo systemów teleinformatycznych i informacji oparte na Polskich Normach
• Rodzina norm ISO/IEC 2700x• Krótka prezentacja normy ISO/IEC 27001:2005 (PrPN ISO/IEC
27001) Wymagania na systemy zarządzania bezpieczeństwem informacji.
• Warunki dojścia do certyfikacji na zgodność z ISO 27001• Praktyczne zastosowanie normy ISO/IEC 17799 (27002) –
odwzorowania wymagań przepisów prawa na kryteria bezpieczeństwa zgodne z normą
• Podsumowanie
Czym jest bezpieczeństwo informacji?
• Błędne podejście:– Pokaż mi ROI– To tylko generuje koszty– Czy mogę mieć pewność?
– Transfer ryzyka = transfer odpowiedzialności
– Bezpieczeństwo informacji = bezpieczeństwo internetowe
– Bezpieczeństwo to sprzęt, a nie organizacja („twarde”, a nie „miękkie”)
• W rzeczywistości:– Model oparty na ryzyku– To jest dźwignia biznesu– Mogę zmniejszyć ryzyko, ale
nie mogę go wyeliminować w 100%
– Większość problemów z
bezpieczeństwem ma swoje źródło wewnątrz organizacji
– Bezpieczeństwo to tylko 5% nakładów na informatykę
– Bezpieczeństwo jest b. niedojrzałym biznesem
bezpieczeństwo informacji i systemów teleinformatycznych –wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, niezaprzeczalności, rozliczalności autentyczności i niezawodności informacji i systemów, w których są one przetwarzanePN ISO/IEC 17799:2003PN-I-13335-1:1999
Podstawowe definicje
system zarządzania bezpieczeństwem informacji -ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacjiISO/IEC 27001:2005
polityka bezpieczeństwa informacji - udokumentowany zbiór zasad, praktyk i procedur, w którym dana organizacja określa, w jaki sposób chroni aktywa swego systemu informatycznego oraz przetwarzane informacje. PN ISO/IEC 17799:2003
Podejście do określania wymagań bezpieczeństwa informacji w polskich aktach prawnych
• Brak przywołań norm– Ustawa o ochronie danych osobowych i rozporządzenie
MSWiA [….] w sprawie warunków organizacyjnych i technicznych, jakim powinny odpowiadać systemy służące do przetwarzania danych osobowych
– Rozporządzenie o Biuletynie Informacji Publicznej• Strukturalny problem aktualizacji aktów prawnych
wraz ze zmieniającym się stanem techniki i uaktualnieniem norm– Ustawa o podpisie elektronicznym
• Wpisane w dyrektywy normalizacyjne mechanizmy uaktualniania norm – W ISO – normy techniczne są aktualizowane co 3 lata,
normy dotyczące zarządzania – co 5 lat– Normy można ustanowić, ale można też wycofać
Nowe podejście w aktach prawnych a wymagania dotyczące bezpieczeństwa informacji
• Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne
• Rozporządzenie RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych
§ 3. 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych.2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji.
ISMS Auditor Guidelines
ISMS Auditor Guidelines
Wytyczne do wdrażania zabezpieczeń
Wytyczne do wdrażania zabezpieczeń ISMS implementation
guidelines
ISMS implementation guidelines
ISM measurements
ISM measurements
ISMS Risk Managemen
t
ISMS Risk Managemen
t
WymaganiaWymagania
Wymagania dla akredytacji jednostek certyfikujących
Wymagania dla akredytacji jednostek certyfikujących
Fundamentals and vocabulary
Fundamentals and vocabulary
2700027000
2700127001
2700227002
27003270032700427004
2700527005
2700727007
27006
Rodzina2700x
Opublikowane jako Polskie normy
Projekty norm międzynarodowych w opracowaniu
Polska Norma w opracowaniu
Numer normy ISO/IEC
Tytuł normy międzynarodowej (ISO/IEC)/ Tytuł normy polskiej (PN)
Termin opublikowania
27000 ISMS. Fundamentals and Vocabulary Listopad 2008*
27001 Information security management systems – RequirementsSystemy zarządzania bezpieczeństwem informacji. Wymagania
Październik 2005
Styczeń 2007
17799 (27002)
Code of Practice for Information Security Management
Praktyczne zasady zarządzania bezpieczeństwem informacji
Czerwiec 2005
Styczeń 2007
27003 ISMS Implementation Guidance Listopad 2008*
27004 Information security management measurements
Maj 2008*
27005 Information Security Risk Management Luty 2008*
27006 Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems
Luty 2007
27007 ISMS Auditor Guidelines 2010*
*Zgodnie z planem prac ISO/IEC JTC1/SC27
Systemy Zarządzania Bezpieczeństwem Informacji Systemy Zarządzania Bezpieczeństwem Informacji - zgodne z PN ISO/IEC 27001- zgodne z PN ISO/IEC 27001
Nowa norma międzynarodowa ISO/IEC 27001
Model PDCA Systemu Zarządzania Bezpieczeństwem Informacji
Cykl życia SZBI
PLAN
CHECK
ACT
DO
Zaplanowanie SZBI
Wdrożenie SZBI
Utrzymywanie & Doskonalenie
ISMS
Monitorowanie & Przegląd
SZBI
Źródło: Ted Humphreys, Konferencja Wyzwania bezpieczeństwa informacji, Warszawa, 30 marca 2006
System zarządzania bezpieczeństwem
informacji zgodny z ISO/IEC 27001
Wytyczne a Wymagania bezpieczeństwa
ISO/IEC 27002(17799) Zbiór wytycznych ISO/IEC 27001 –
Załącznik AZbiór wymagań
ISO/IEC 27002 jest normą niezbędną do wdrożenia ISO/IEC 27001
Czym ISO/IEC 17799 jest, a czym nie jest?
• Zarządzanie bezpieczeństwem informacji – Zasady (polityka) bezpieczeństwa informacji z punktu
widzenia potrzeb biznesowych– Organizacja bezpieczeństwa
• Gestorzy aktywów• Delegacja odpowiedzialności
– Mechanizmy wykonawcze, zarządcze (zatwierdzanie), nadzoru (przegląd), kontroli (niezależny audyt)
• Wyniki szacowania ryzyka podstawą wyboru zabezpieczeń
• Nie jest to poradnik dotyczący szacowania ryzyka– Jakkolwiek dodano nowy rozdział o szacowaniu i
postępowaniu z ryzykiem– ISO/IEC 27005 jako następca ISO/IEC 13335-1/3
Polityka bezpieczeństwa
Organizacja bezpieczeństwa
Klasyfikacja i kontrola aktywów
Bezpieczeństwo osobowe
Bezpieczeństwo fizyczne i środowiskowe
Zarządzanie systemami i sieciami
Kontrola dostępu
Rozwój i utrzymanie systemu
Zarządzanie ciągłością działania
Zgodność
Wydanie 2000Polityka bezpieczeństwa
Organizacja bezp. informacji
Zarządzanie aktywami
Bezpieczeństwo zasobów ludzkich
Bezpieczeństwo fizyczne i środowiskowe
Zarządzanie systemami i sieciami
Kontrola dostępu
Pozyskanie, rozwój i utrzymanie systemów informacyjnych
Zarządzanie ciągłością działania
Zgodność
Zarządzanie incydentami naruszenia bezpieczeństwa informacji
Wydanie 2005
ZABEZPIECZENIE+
Wskazówki do wdrożenia
przemieszane z innymi
informacjami
W 1. wydaniu:
ZABEZPIECZENIEZABEZPIECZENIE
W 2. wydaniu:
Wytyczne do wdrożenia
Wytyczne do wdrożenia
Inne informacjeInne informacje
Deklaracja zabezpieczenia spełniającego cel stosowania
Wytyczne ułatwiające wdrożenie zabezpieczenia w sposób umożliwiający spełnienie celu stosowania
Wyjaśnienia związane z wdrożeniem zabezpieczenia (np. uwarunkowania prawne), które należy uwzględnić przy wdrożeniu
OBSZAR BEZPIECZEŃSTWAOBSZAR BEZPIECZEŃSTWA
CEL STOSOWANIA ZABEZPIECZEŃCEL STOSOWANIA ZABEZPIECZEŃ
11 głównych zagadnień
bezpieczeństwa
39 celów stosowania zabezpieczeń w
obszarach bezpieczeństwa
Praktyczne zastosowanie normy ISO/IEC 17799 – audyt bezpieczeństwa
Sformułowanie kryteriówaudytu
Zdefiniowanie miernikówspełnienia kryteriów
Poszukiwanie dowodówspelnienia kryteriów
Ocena - porównanie stanufaktycznego z stanemopisanym za pomocą
mierników
1
3
2
4
Certyfikacja systemów zarządzania bezpieczeństwem informacji przez niezależną stronę trzecią
• Normy certyfikacji na zgodność– ISO/IEC 27001:2005 (wcześniej BS 7799 Part:2002) –
Załącznik A zawiera zabezpieczenia z ISO/IEC 17799:2005
• ISO/IEC 27006 Wymagania akredytacji dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji– ISO Guide 62/EN 45012 (ISO 17021) - Conformity
assessment — Requirements for bodies providing audit and certification of management systems
– ISO 19011 (PN ISO 19011) Wytyczne do audytowania systemów zarządzania jakością i/lub środowiskowego
Dynamika wzrostu certyfikacji systemów zarządzania bezpieczeństwem informacji
Data Liczba certyfikatów zgodności z BS 7799-2:2002 i jej następcą, normą międzynarodową ISO/IEC 27001 (na świecie)
Luty 2003 60
Listopad 2003 400
Listopad 2004 960
Kwiecień 2005 1222
Kwiecień 2006 2165
Styczeń 2007 3285
Czerwiec 2007 3615
Źródło: http://www.iso27001certificates.com
16 certyfikatów zgodności organizacji polskich
• Kompletny zbiór norm międzynarodowych dotyczący zarządzania bezpieczeństwa informacji jest w trakcie tworzenia– Kierunki są wyraźnie zaznaczone (horyzont 2008)– Potrzeby są zdefiniowane (horyzont 2010)
• Rynek a obowiązek ISMS– Wymagania kontraktowe– Niezależne potwierdzenie strony trzeciej
• Możliwość wpisania mechanizmów zgodności z aktualnymi wydaniami norm międzynarodowych/krajowych jako wymagań bezpieczeństwa informacji i systemów teleinformatycznych do stosownych aktów prawnych– Rozporządzenie Komisji UE 1290/2006 w sprawie akredytacji
Agencji Płatniczych – Ustawa o informatyzacji i rozporządzenie dot. minimalnych
wymagań dla systemów teleinformatycznych - Ujednolicenie wymagań dla systemów administracji państwowej i samorządowej
Podsumowanie