Audyt systemu zarzdzania bezpieczestwem informacji zgodnego z ISO/IEC 27001 - aspekt technologiczny. Podejcie, etapy realizacji, prezentacja wynikw.

Dr in. Elbieta Andrukiewicz, CISSP

Dyrektor ds. Audytu Trusted Information Consulting Sp. z o.o.

Plan prezentacji

Wprowadzenie do systemu norm ISO/IEC 270xx Audyt zgodnoci z ISO/IEC 27001 Cz technologiczna audytu zgodnoci z ISO/IEC 27001 Podejcie do audytu technologicznego Etapy realizacji testw technologicznych Prezentacja wynikw audytu technologicznego Wnioski z punktu widzenia audytu zgodnoci z ISO/IEC 27001

Prezentacja - osoba Prelegenta

Ekspert normalizacyjny ISO od 1997 roku; przewodniczca delegacji polskiej do podkomitetu SC27 IT Security Techniques od 2000 roku Edytor normy ISO/IEC 27005 Information Security Risk Management oraz ISO/IEC 27000 Fundamentals and vocabulary Przewodniczca Komitetu Technicznego nr 182 Ochrona informacji w sieciach teleinformatycznych Kierownik merytoryczny/ Audytor wiodcy audytw bezpieczestwa informacji w administracji publicznej, organizacjach sektora finansowego, energetycznego, usug komunalnych, informatyki.

Podstawowe definicje

system zarzdzania bezpieczestwem informacji (SZBI)cz caociowego systemu zarzdzania, oparta na podejciu wynikajcym z ryzyka biznesowego, odnoszca si do ustanawiania, wdraania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczestwa informacji ISMS - information security management system PN ISO/IEC 27001:2007

zarzdzanie ryzykiemskoordynowane dziaania kierowania i kontrolowania organizacji z uwzgldnieniem ryzyka ISO/IEC Guide 73:2002 PN-ISO/IEC 27001:2007

Podstawowe definicje (2)

bezpieczestwo informacji i systemw teleinformatycznychzachowanie poufnoci, integralnoci i dostpnoci informacji; dodatkowo, mog by brane pod uwag inne wasnoci, takie jak autentyczno, rozliczalno, niezaprzeczalno i niezawodno [PN-ISO/IEC 17799:2007]

zabezpieczenierodki suce zarzdzaniu ryzykiem, cznie z politykami, procedurami, zaleceniami, praktyk lub strukturami organizacyjnymi, ktre mog mie natur administracyjn, techniczn, zarzdcz lub prawn PN- ISO/IEC 17799:2007

Krtkie wprowadzenie do systemu norm ISO/IEC 270xx

Rodzina norm ISO 2700xOpublikowane jako PolskIe Normy

Wymagania dla akredytacji jednostek certyfikujcychFundamentals and vocabulary27006 27000 27007

ISMS Auditor Guidelines Guidlines for auditors on ISMS controls

27008

SZBI. Wymagania Wytyczne do wdraania zabezpiecze

27001

Rodzina 2700x

27005

Zarzadzanie ryzykiem w bezpieczenstwie informacji ISM measurements

27002 27003

27004

ISMS implementation guidance

Zestawienie norm rodziny 2700x

Numer normy ISO/IEC 27000 27001

Tytu normy midzynarodowej (ISO/IEC)/ Tytu normy polskiej (PN lub projektu PN) ISMS. Fundamentals and Vocabulary (bezpatna!) Information security management systems Requirements Systemy zarzdzania bezpieczestwem informacji. Wymagania

Termin opublikowania

Listopad 2008 Padziernik 2005 Stycze 2007

17799 (27002)27003 27004 27005 27006

Code of Practice for Information Security Management Praktyczne zasady zarzdzania bezpieczestwem informacjiISMS Implementation Guidance Information security management measurements Information Security Risk Management Zarzdzanie ryzykiem w bezpieczestwie informacji Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems Wymagania dla jednostek prowadzcych audyt i certyfikacj systemw zarzdzania bezpieczestwem informacji ISMS Auditor Guidelines Guidlines for auditors on ISMS controls

Czerwiec 2005 Stycze 2007Listopad 2009* Listopad 2009* Czerwiec 2008 Marzec 2010 Luty 2007

Czerwiec 2009 Listopad 2010* Maj 2011*

27007 27008

*Zgodnie z planem prac ISO/IEC JTC1/SC27

Normy wspierajce sektorowe. Rodzina 2701xISMS for telecommunication organisations based on ISO/IEC 27002 (pub. 2008)Information security management for inter-sector communications Guidance on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 270012701127010Polska Norma w opracowaniu

27013

Rodzina 2700x

Informatyka w ochronie zdrowia Zarzdzanie bezpieczestwem informacji w 27799 ochronie zdrowia przy uyciu ISO/IEC 2700227015

Information security governance framework

27014

ISMS for Financial and Insurance Services Sector

Normy wspierajce obszar IT. Rodzina 2703x

Guidelines for security of outsourcing27037

27036

Guidelines for ident., collect., & acquis. & preserv. of Digital Evidence

Guidelines for ICT readiness for business continuity

27031

Rodzina 2700x

27035

Information security incident management

Guidelines for cybersecurity

27032 27033

27034

IT Network Security (7 czci)

Application security (5 czci)

Informacje dodatkowe nt. rodziny 2703xNumer normy ISO/IEC 27033 Tytu normy midzynarodowej (ISO/IEC)

IT Network Security Part 1: Overview and concepts Part 2: Guidelines for the design and implementation of network security Part 3: Reference networking scenarios -- Risks, design technologies and control issues Part 4: Securing communications between networks using security gateways - Risks, design techniques and control issues Part 5: Securing communications across networks using Virtual Private Networks (VPNs) - Risks, design techniques and control Issues Part 6: IP convergence Part 7: Wireless Application security Part 1: Overview and concepts Part 2: Organization normative framework Part 3: Application security management process Part 4: Application security validation Protocols and application security controls data structure

270034

Krtkie wprowadzenie do ISO/IEC 27001

Model PDCA dla SZBI

Wdroenie SZBIPLAN ACT

Zaplanowani e SZBI

DO

CHECK

Utrzymywanie Monitorowanie & Doskonalenie & Przegld ISMS SZBI

Cykl ycia SZBIrdo: Ted Humphreys, Konferencja Wyzwania bezpieczestwa informacji, Warszawa, 30 marca 2006

ISO/IEC 27001 Faza planowania (PLAN)

Wybr odpowiednich zabezpiecze na podstawie ISO/IEC 17799 Uzyskanie aprobaty kierownictwa dla ryzyka szcztkowego i autoryzacja do wdraania zabezpiecze Deklaracja stosowania (SoA) lista stosowanych zabezpiecze oraz lista wycze uzasadnienie wyczeniaProces planowania SZBI Szacowanie ryzyk Wybr wariantw postpowania z ryzykiem Wybr zabezpiecze

ISO/IEC 27001 Faza wykonania (DO) Sformuowanie i wdroenie planu postpowania z ryzykiem Odpowiednie dziaania kierownictwa Role i zakresy odpowiedzialnoci Priorytety Wdroenie wybranych zabezpiecze Okrelenie metod pomiaru skutecznoci zabezpiecze oraz sposobu wykorzystania wynikw pomiarw w SZBI (porwnywalne i odtwarzalne rezultaty) Programy uwiadamiania i szkole Zarzdzanie projektami i zasobami Wdroenie zarzdzania incydentami

ISO/IEC 27001 Faza sprawdzania (CHECK) Monitorowanie eksploatacji Wykrywanie bdw Identyfikowanie narusze, incydentw itp. Sprawdzanie zgodnoci dziaania zabezpiecze z zaoeniami Przegld skutecznoci SZBI Pomiar skutecznoci zabezpiecze Przegld wynikw szacowania ryzyka Zmiany warunkw biznesowych lub prawnych Zmiany poziomu akceptowalnego ryzyka Zmiany zagroe i podatnoci Przeprowadzanie audytw wewntrznych Przegldy SZBI inicjowane przez kierownictwo Zapisy dotyczce podejmowanych dziaa

Audyt wewntrzny SZBI Cel audytu wewntrznego (ISO/IEC 27001, pkt. 6) okrelenie, czy cele stosowania zabezpiecze, zabezpieczenia, procesy i procedury SZBI s:

zgodne z wymaganiami niniejszej normy i odpowiednimi ustawami i przepisami; zgodne ze zidentyfikowanymi wymaganiami bezpieczestwa informacji; skutecznie wdroone i utrzymywane; zgodne z oczekiwaniami

Organizacja i planowanie audytu Uwzgldnienie wagi obszarw oraz wynikw poprzedniego audytu Okrelenie kryteriw, zakresu, czstotliwoci i metod Zasady doboru audytorw

Charakterystyka zabezpiecze i moliwe techniki audytu w SZBI

Zacznik A normy ISO/IEC 27001

System zarzdzania bezpieczestwem informacji zgodny z ISO/IEC 27001 ISO/IEC 27001 Zacznik A Zbir wymaga

ISO/IEC 27002(17799) Zbir wytycznych

ISO/IEC 27002 jest norm niezbdn do wdroenia ISO/IEC 27001

Rodzaje zabezpiecze i techniki audytu ISO/IEC 27006Podzia zabezpieczeo i techniki audytowe dla zabezpieczeo technicznych (ISO/IEC 27006, Zacznik D) Zabezpieczenia Zabezpieczenia Testowanie Kontrola organizacyjne techniczne systemu wizualna X X X X X X X X X X X X X X X X X X Moliwe (8.3.3) Zalecane Zalecane/ moliwe Zalecane/ moliwe Zalecane/ moliwe Moliwe Moliwe Moliwe X (9.1.3)

Zabezpieczenia ISO/IEC 27001:2005, Zacznik A A.5 A.6 A.7 A.8 A.9 Polityka bezpieczeostwa informacji Organizacja bezpieczeostwa informacji Zarzdzanie aktywami Zarzdzanie zasobami ludzkimi Bezpieczeostwo fizyczne i rodowiskowe

A.10 Zarzdzanie systemami i sieciami A.11 Kontrola dostpu Pozyskiwanie, rozwj i utrzymanie systemw informatycznych Zarzdzanie incydentami bezpieczeostwa A.13 informacji A.12 A.14 Zarzdzanie cigoci dziaania A.15 Zgodnod

X (11.3.3) X (12.4.2) X (14.1.3) X (14.1.5)

Metodyka badania wdroenia zabezpieczenia (test techniczny)

Logowanie zdarze na serwerze WIN 2003 (przykad)

Fragment Raportu (przykad)

Niedostatki systemw logowania (Serwery WIN 2003):

A. Brak logowania zdarze systemowych zwizanych z bezpieczestwem (security logs). B. Na serwerach nie s zapisywane dane dotyczce zdarze zwizanych z logowaniem si uytkownikw. C. Logi nie s przechowywane w izolowanym, dedykowanym rodowisku

Fragment Raportu (przykad -2)Zalecenia: Oglne 1. Naley opracowa zasady: definiowania zakresu logowania zdarze, monitorowania logw systemowych okrelania zasad skadowania zapisw z systemw w wydzielonym, chronionym rodowisku, regularnego przegldu logw. Szczegowe 1. Zaleca si wczenie zapisywania w dziennikach systemowych zdarze zwizanych z logowaniem si uytkownikw. 2. Zaleca si przy tym zapisywanie informacji zarwno o udanych, jak i nieudanych prbach zalogowania si.

Wnioski z audytu zabezpiecze dla SZBI

Podsumowanie

Sprawdzenie zgodnoci SZBI z ISO/IEC 27001 obejmuje cay szereg testw technicznych Wnioski z testw technicznych mog okaza si niewystarczajce do oceny wdroenia zabezpieczenia Rekomendacje wynikajce z oceny zabezpiecze mog prowadzi do: Dziaa korygujcych (domknicie czystego modelu PDCA) Koniecznoci przejcia do fazy Plan (szacowanie ryzyka)

Pytania, uwagi, komentarze ...

Dyrektor ds. Audytu Trusted Information Consulting Sp. z o.o. elzbieta.andrukiewicz@ticons.pl