Adelsberger zdenko implementacija iso27001 2013

IMPLEMENTACIJA ISMS PREMA
STANDARDU ISO/IEC 27001:2013
Dr. Zdenko Adelsberger
Trener, konzultant i auditor za
RM, BCMS, ISMS, ITSMS, QSM, OHSAS
zdenko@bluefield.hr
www.bluefield.hr
ICT Security 2015
Kladovo, 14-16 maj 2015.

Agenda
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 2
• Značaj informacijske sigurnosti
• Upravljanje rizicima kao temelj informacijske sigurnosti
• Sistemski pristup upravljanju informacijskom sigurnošću
• Standardi za upravljanje informacijskom sigurnošću
• Implementacija informacijske sigurnosti
• Dokazivanje uspješnosti implementacije
• Poboljšanje informacijske sigurnosti
• Zaključak

Realna i virtualna domena kompanije
REALNA
domena
INFORMACIJSKA
(virtualna) domena
Dokumentacija
+
Zapisi

Ilustracija mehanizma rizika (hakerskog napada)
Prijetnja
Ranjivost
objekta
Sigurnosni
događaj
(incident)
Posljedica
Sigurnosne mjere
(Mjere zaštite)
Izvor
prijetnje
X

Odnos rizika i elemenata koji dovode do rizika
RIZIK
Posljedica
RIZIK
Posljedica
Vjerojatnost
a b
Rizik = Prijetnja & Ranjivost & Posljedica Rizik = Vjerojatnost & Posljedica
Rizik = Prijetnja * Ranjivost * Posljedica Rizik = Vjerojatnost * Posljedica
Funkcionalna
relacija
Matematička
relacija
Napomena: Vjerojatnost ≠ Prijetnja * Ranjivost

Nivo informacijske sigurnosti
Nivo informacijske sigurnosti je kompromis između prihvatljivog
rizika i investicije u sigurnost.
RIZIK
SIGURNOST
Skala prihvatljivosti rizika,
odnosno sigurnosti, određuje
se preko sigurnosne politike

Značenje pojma ISMS
ISMS = Information Security Management System
(Sistem za upravljanje sigurnošću informacija)
Naglasak je na: “SISTEM ZA UPRAVLJANJE”
Resursi
Pravila
Sistem upravljanja
Ulazni zahtjevi
(poslovni ciljevi)
Zadovoljenje
ulaznih zahtjeva
(poslovnih ciljeva)

Elementi sistema upravljanja
Misija
Vizija
Politike
Procesi
Strategije
Ciljevi
Ciljevi
Funkcija
upravljanja
je osigurati
postizanje
ciljeva i
poboljšanje
Sigurnost
postizanja ciljeva
temelji se na:
UPRAVLJANJU
RIZICIMA
Postizanje
poboljšanja temelji
se na:
MJERENJU
UČINKOVITOSTI
Ciljevi

Informacijski sistemi su uvijek postojali
IS
IT
IS
IT

Što je informacija?
Signali
(znakovi)
7910 je
PODATAK
7910
PIN: 7910
7910 je
INFORMACIJA
(kontekst označava
da je to PIN kartice)
(može biti npr.
nadmorska visina, prva
kozmička brzina, profit
organizacije, itd.)
0001111011100110
1EE6

Aspekti informacije
CJELOVITOST
Integrity
RASPOLOŽIVOST
Availability
INFORMACIJA
TAJNOST
Confidentiality

Relevantni nosioci informacija u poslovnom sistemu
Informacije na
serverima i mreži Informacije na lokalnim
kompjuterima
Informacije prenošene
telefonskim linijama i/ili
Internetom
Informacije zapisane
na papiru Informacije štampane
na papiru
Informacije spremljene
na diskovima, trakama,
CD-ovima, USB memorijama,
...
Informacije fax
strojeva
Zaposlenici i
partneri

Odnos ISO/IEC 27001 prema informaciji
“Informacija je imovina koja
kao i ostala važna imovina u
poslovanju ima vrijednost za
organizaciju i mora biti stalno
odgovarajuće štićena.”
U kontekstu ISO/IEC 27001 pod štićenjem informacija se smatra
očuvanje aspekata informacije: tajnosti, cjelovitosti i raspoloživosti.
(C-I-A)

Informacijska imovina

Komponente sigurnosnog rješenja
Tehnička
rješenja Organizacijska
rješenja
Procjena
rizika
Politike
ProcedureSvjesnostLegitimnost
20% 80%SIGURNOSNO
RJEŠENJE

Upravljanje informacijskom sigurnošću obuhvaća tri široka područja
Upravljanje
informacijskom
sigurnošću
Upravljanje
ICT i fizičkom
zaštitom
Upravljanje
legislativom,
regulativom i
ugovornim obvezama
Upravljanje
ljudima, procesima,
poslovanjem, operacijama,
treningom / sviješću

Križ standarda za ISMS
Nacionalna
legislativa
MODEL
ISO/IEC 27001
Rječnik i definicije
ISO/IEC 27000
PROPISI
ISO 19011
ISO/IEC 27007
ISO/IEC 27008
AKREDITACIJA
ISO 17021
ISO/IEC 27006
Dodatni standardi
ISO/IEC 270xx

Kratka povijest ISO 27000ff
• 1992
The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security
Management'.
• 1995
This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.
• 1996
Support and compliance tools begin to emerge, such as COBRA.
• 1999
The first major revision of BS7799 was published. This included many major enhancements.
Accreditation and certification schemes are launched.
• 2000
In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).
• 2001
The 'ISO 17799 Toolkit' is launched.
• 2002
A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It
begins the process of alignment with other management standards such as ISO 9000.
• 2005
A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..
• 2005
ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management
system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001
• 2013
ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security
management system)

Odnosi relevantnih standarda za informacijske sisteme
IT-GSHB
ISO 27001
ISO 13335
ITSEC/C
CobIT
Ne tehničkiTehnički
Usmjereno
na produkt
Usmjereno
na sistem
CobIT = Control Objectives for Information and Related Technology (http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx)
ITSEC/C = Information Technology Security Evaluation Criteria /Communication (http://www.iitsec.org/Pages/default.aspx)
IT-GSHB = IT-Grundschutzhandbuch (https://www.bsi.bund.de/)

Serija standarda
za ISMS

ISO/IEC 27001:2013
Information technology -- Security techniques –
Information security management systems -- Requirements
• Specifikacija zahtjeva za implementaciju, rad, nadziranje, provjeru,
održavanje i unapređivanje sistema upravljanja informacionom
sigurnošću (Information Security Management System - ISMS);
• osnova za procjenu usuglašenosti (audit) od strane zainteresiranih
strana kada je u pitanju ISMS;
• temelj za obrazovanje specijalista za ISMS (kako za menadžere
ISMS, tako i za auditore ISMS);
• Osnovna norma za ISMS (sve ostale norme ove serije su smjernice -
upute).

Koristi od primjene ISMS standarda
• Stvaranje viška vrijednosti
• Strukturiran način podržava proces specificiranja, implementacije, rada,
održavanje, isplativosti rješenja, integriranost i usklađenost ISMS-a;
• Promoviranje globalno prihvaćenih dobrih praksi informacijske sigurnosti;
• Povećanje povjerenja zainteresiranih strana u organizaciju;
• Zadovoljavanje socijalnih potreba i očekivanja, te
• Učinkovitija ulaganja menadžmenta u informacijsku sigurnost.
Prednost provedbe ISMS-a prvenstveno će biti vidljiva u smanjenju rizika
informacijske sigurnosti (tj. smanjenja vjerojatnosti, i/ili štete uzrokovane
informacijskim sigurnosnim incidentima). Ostvareni dobitak organizacije za
postizanje održivog uspjeha od usvajanja ISMS standarda su:

ISO/IEC 27001:2013
Foreword
0 Introduction
1 Scope
2 Normative references
3 Terms and definitions
4 Context of the organization
4.1 Understanding the organization and its context
4.2 Understanding the needs and expectations of interested parties
4.3 Determining the scope of the information security management system
4.4 Information security management system
5 Leadership
5.1 Leadership and commitment
5.2 Policy
5.3 Organizational roles, responsibilities and authorities
6 Planning
6.1 Actions to address risks and opportunities
6.2 Information security objectives and planning to achieve them
7 Support
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented information
8 Operation
8.1 Operational planning and control
8.2 Information security risk assessment
8.3 Information security risk treatment
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
9.2 Internal audit
9.3 Management review
10 Improvement
10.1 Nonconformity and corrective action
10.2 Continual improvement
Annex A (normative) Reference control objectives and controls
Bibliography

Sigurnosna područja prema 27001:2013 Aneks A
1 A.5. Politike informacijske sigurnosti
2 A.6. Organizacija informacijske sigurnosti
3 A.7. Sigurnost ljudskih resursa
4 A.8. Upravljanje imovinom
5 A.9. Kontrola pristupa
6 A.10. Kriptografija
7 A.11. Fizička sigurnost i sigurnost okoliša
8 A.12. Operativna sigurnost
9 A.13. Sigurnost komunikacija
10 A.14. Nabavka sistema, razvoj i održavanje
11 A.15. Odnosi s dobavljačima
12 A.16. Upravljanje incidentima informacijske sigurnosti
13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja
14 A.18. Usuglašenost

Dokumentacija za ISMS – dokumentirane informacije
Procedure
Radne upute,
check liste,
formulari
Zapisi
ISMS
DOKUMENTACIJA
Sigurnosne upute
(Manual)Sigurnosna politika,
područje djelovanja,
procjena rizika,
SoA
PROCEDURE:
tko, šta, kada, gdje?
RADNE UPUTE:
Detaljni opis zadataka i aktivnosti
ZAPISI:
Evidencije o sukladnosti s ISMS zahtjevima
NIVO 2
NIVO 3
NIVO 4
NIVO 1
OperativninivoOrganizacijskinivo

ISMS je poslovni proces
ISMS
Ulaznizahtjevi
Zadovoljeni
Ulaznizahtjevi
RESURSI
PRAVILA

PDCA model primijenjen na ISMS proces
PLAN
(uspostaviti ISMS)
Uspostaviti ISMS politiku, ciljeve, procese i
procedure važne za upravljanje rizikom i
poboljšanje informacijske sigurnosti kako bi
dali rezultate u skladu s ukupnom politikom
i ciljevima organizacije.
DO
(implementirati i
izvršavati ISMS)
Implementirati i izvršavati ISMS politiku,
kontrole, procese i procedure.
CHECK
(nadgledati i
provjeravati ISMS)
Procijeniti i gdje je primjenjivo, mjeriti
izvršavanje procesa u odnosu na ISMS
politiku, ciljeve i praktično iskustvo te
izvještavati upravu o rezultatima radi
provjere.
ACT
(održavati i
poboljšavati ISMS)
Poduzeti korektivne i preventivne akcije
zasnivane na rezultatima interne ISMS
prosudbe (audita) i provjere uprave ili
ostalim bitnim informacijama, kako bi se
postiglo stalno poboljšanje ISMS-a.
Zainteresirane
strane
Zahtjevi i
očekivanja
od
informacijske
sigurnosti
Zainteresirane
strane
Upravljana
informacijska
sigurnost
Usposta-
vljanje
ISMS
Implementacija
i pokretanje
ISMS
Kontrola i
nadgledanje
ISMS
Poboljšanje i
održavanje
ISMS

Projekt implementacije ISMS prema ISO/IEC 27001
Definiranje
opsega
Evidencija
imovine
Odgovornosti
Klasifikacija
Upravljanje
dokumentacijom
Plan procjene rizika
Izjava o
primjenljivosti
(SoA)
i preostalom
riziku
Implementacija
ISMS Procedure
za upravljanje
incidentima
Identifikacija i
implementacija
poboljšanja
Sigurnosna
politika
uprave
Procjena
rizika i
plan
obrade
Prihvaćanje
i odobrenje
uprave
Priprema
dokumentacije
Trening i
svijesnost
Monitoring,
pregledi,
testiranje,
audit
P D C A

USPOSTAVA
ISMS
(P – faza)
Definicija
područja i
obuhvata
ISMS
Korak 1
Definicija
sigurnosn
e politike
ISMS
Korak 2
Identifikacija
rizika
Korak 4
Analiza i
procjena
rizika
Korak 5
Obrada
rizika
Korak 6
Izbor ciljeva
sigurnosnih
mjera i
kontrola
Korak 7
Osiguranje
autorizacije
uprave za
implementaci
ju ISMS
Korak 9
Priprema
dokumenta:
Izjava o
primjenljivost
i
Korak10
Osiguranje
uprave za
odobrenje i
prihvaćanje
preostalog
rizika
Korak 8
Dokument
Područje
ISMS
Dokument
Sigurnosn
a politika
Lista rizika i
popisa
imovine
Izvještaj o
rezultatima
procjene
rizika
Izvještaj o
rezultatima
obrade
rizika
Standard za
mjerenje
rizika
Pisano
odobrenje
za preostali
rizik
Izjava o
primjenljivos
ti
(SoA)
Informacijska imovina, prijetnje, ranjivost i posljedice
Definicija
metode
procjene
rizika
Korak 3
Faza 1 Faza 2 Faza 3
Standardi za implementaciju
upravljanja rizicima (prisup
organizacije, metode i analize
za postizanja zahtjevanog
nivoa sigurnosti)
• Lista potencijalnih
ciljeva i
sigurnosnih mjera
(kontrola)
• Lista dodatnih
kontrola koje nisu
definirane u ISMS
certifikacijskim
kriterijima

Faze implementacije ISMS
P
DC
A
PROJEKT
IMPLEMENTACIJE
ISMS
PROCES
UPRAVLJANJA
ISMS
AUDIT
(CERTIFIKACIJA)
Početak
projekta
implementacije
ISMS
PRIPREMA ZA
PROJEKT
IMPLEMENTACIJE
ISMS
•Animacija vrhovne uprave
•Obrazovanje tima za
implementaciju (procjenu rizika)

Mjerenje ISMS-a: zašto i kako?
Zato što standard
ISO/IEC 27001
eksplicitno zahtjeva
mjerenja na niz mjesta
!!!
Zato što apsolutno vrijedi
konstatacija koju je izrekao
Kelvin, Lord William Thomson,
1824-1907:
„Kada ono, o čemu govorite,
možete izmjeriti i brojčano izraziti,
onda Vi o tome i nešto znate – ali
ako ne možete izmjeriti i brojčano
izraziti, onda je Vaše znanje
mršavo i nezadovoljavajuće
vrste!”
Zato što su mjerenja preduvjet temeljnog zahtjeva svakog sistema
upravljanja: POBOLJŠANJE

Što mjeriti kod ISMS ?
Učinkovitost
(efektivnost) je pojam
pod kojim se
podrazumijeva
izvođenje pravih stvari
(aktivnosti) koje
dovode do ostvarenja
cilja.
Efikasnost
se definira kao
ostvarenje nekog cilja
s minimumom
troškova, napora ili
gubitaka.
PRAVA STVAR na PRAVI NAČIN

Ocjenjivanje uspješnosti ISMS – Interni audit
ISO/IEC
27001
ISO
19011
ISO/IEC
27007
ISO/IEC
27008
Nacionalna
legislativa
Organizacijski
dokumenti
Obligatorni
zahtjevi
partnera
INTERNI AUDIT

Kontinuirano poboljšanje
Organizacija mora kontinuirano provoditi primjereno i učinkovito
poboljšanje sistema upravljanja informacijskom sigurnošću.
PDCA ciklus
poboljšanja

Zaključak
• Uspostavljanje i poboljšanje ISMS-a je poslovna potreba svih
organizacija u cilju očuvanje ključnog resursa – INFORMACIJE
• Uspostavljanje ISMS-a stvara doprinos povećanja viška vrijednosti
• Uspostavljanje ISMS-a ponekad je zakonska ili obligatorna obaveza
• Uspostavljeni ISMS ne garantira uspješno poslovanje, ali neuspješni
ISMS garantira propast kompanije – pitanje je samo vremena.

Hvala na pažnji …
Pitanja
Komentari

Adelsberger zdenko implementacija iso27001 2013

More Related Content

Viewers also liked (15)

Similar to Adelsberger zdenko implementacija iso27001 2013 (6)

More from Dejan Jeremic (20)

Adelsberger zdenko implementacija iso27001 2013