Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Praktické využití norem bezpečnosti informací Luděk Novák.

Podobné prezentace


Prezentace na téma: "Praktické využití norem bezpečnosti informací Luděk Novák."— Transkript prezentace:

1 Praktické využití norem bezpečnosti informací Luděk Novák

2 Obsah Představení subkomise JTC 1/SC 27 Systém řízení bezpečnosti informací v2013 Normy řízení bezpečnosti informací pro odvětví Normy zaměřené na bezpečnostní opatření Systém řízení služeb IT Systém řízení kontinuity činností 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 2

3 Představení subkomise JTC 1/SC 27 Oblasti normalizace subkomise JTC 1/SC 27 – Bezpečnostní techniky IT – Identifikace požadavků a metodik bezpečnostních služeb systémů IT – Vývoj bezpečnostních technik a mechanismů – Vývoj směrnic pro interpretaci normalizačních požadavků – Vývoj dokumentů a norem pro podporu řízení (terminologie, kritéria pro hodnocení apod.) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 3

4 4 Pracovní skupiny JTC 1/SC27 Source: JTC 1/SC května 2013 Security and Protection of Information 2013 © Luděk Novák

5 Stádia tvorby norem ISO resp. ISO/IEC – mezinárodní norma FDIS – konečný návrh mezinárodní normy (2013) DIS – návrh mezinárodní normy (2014) CD – návrh komise (2014 – 2015) WD – pracovní návrh (2014 – 2016) NP – nový projekt (?) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 5

6 Významné normy JTC 1 / SC 27 / WG1 Řízení bezpečnosti informací 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 6

7 Přehled řady norem ISO/IEC Základy a slovník ISMS ISO/IEC 27000:2012 (ISO/IEC ) Měření účinnosti ISMS ISO/IEC 27004:2009 Metody řízení rizik BS :2006 ISO/IEC 27005:2011 (ISO/IEC TR :1998) Požadavky na ISMS ISO/IEC 27001:2005 (BS :2002) Soubor postupů ISMS ISO/IEC 27002:2005 (ISO/IEC 17799) Směrnice pro implementaci ISMS ISO/IEC 27003:2010 Směrnice auditora ISMS ISO/IEC 27007:2011 ISO/IEC TR 27008:2011 Specifické normy, směrnice a standardy Příloha A Pravidla certifikace ISMS ISO/IEC 27006:2011 (EA 7/03) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 7

8 ČSN ISO/IEC 27001:2006 Systém řízení bezpečnosti informací – Požadavky – Norma vychází z BS :2002 – ISO/IEC vydána v říjnu 2005 (ukončena platnost BS ) – ČSN ISO/IEC 27001:2006 vyšla v říjnu 2006, autor překladu RAC Využití PDCA pro řízení bezpečnosti informací Podle této normy se provádí certifikace !!!

9 ISO/IEC 27001:2013 (DIS) 0Úvod Všeobecně Kompatibilita s dalšími systémy řízení 1Rozsah 2Odkazy na normy 3Termíny a definice 4Kontext organizace Porozumění organizaci a jejímu kontextu Porozumění potřebám a očekávání zainteresovaných stran Určení rozsahu systému řízení Systém řízení bezpečnosti informací 5Vůdcovství Všeobecně Angažovanost vedení Politika Organizační role, odpovědnosti a pravomoci 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 9 6Plánování Činnosti na pokrytí rizik a příležitostí Cíle bezpečnosti informací a plány na jejich dosažení 7Podpora Zdroje Kompetence Povědomí Komunikace Dokumentované informace 8Provozování Plánování a řízení provozu Ohodnocení rizik bezpečnosti informací Zvládání rizik bezpečnosti informací 9Hodnocení výkonnosti Monitorování, měření, analýza a hodnocení Interní audity Přezkoumání vedením 10Zlepšování Neshody a nápravná opatření Neustálé zlepšování

10 Věcné změny ISO/IEC Řešení kontextu, kde ISMS působí Cíle ISMS a plán jejich dosažení – Metriky orientované na plnění cílů ISMS Vlastník rizika jako nástroj přenesení odpovědnosti Dokumentované informace – Zůstává prohlášení o aplikovatelnosti Pouze nápravná opatření – Preventivní opatření opustí všechny systémy řízení Očekávané vydání: říjen května 2013 Security and Protection of Information 2013 © Luděk Novák 10

11 Uspořádání ČSN ISO/IEC 27002:2006 Zdroj: ČSN ISO/IEC 27002

12 Nové uspořádání ISO/IEC Bezpečnostní politika 6Organizace bezpečnosti informací 7Bezpečnost lidských zdrojů 8Řízení aktiv 9Řízení přístupů 10Kryptografie 11Fyzická bezpečnost a bezpečnost prostředí 12Bezpečnost provozu 13Bezpečnost komunikací 14Akvizice, vývoj a údržba systémů 15Vztahy s dodavateli 16Zvládání incidentů bezpečnosti informací 17Aspekty bezpečnosti informací při řízení kontinuity činností 18Soulad s požadavky 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 12

13 Věcné změny ISO/IEC Zjednodušení + odstranění redundantních opatření – Bezpečnost sítí, odpovědnost vedení, omezení času přihlášení, … Nové oblasti – Bezpečnost v rámci řízení projektů – Bezpečnost vývoje informačních systémů – Redundance pro řízení kontinuity Podstatné změny – Bezpečnost aplikací a transakcí – Podrobné bezpečnostní politiky – Podrobnější popis řízení incidentů 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 13

14 Významné normy JTC 1 / SC 27 / WG1 Řízení bezpečnosti informací pro odvětví 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 14

15 IEC Bezpečnost průmyslových systémů 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 15

16 Přehled oborových norem ISO/IEC 27010Řízení bezpečnosti informací pro komunikaci mezi organizacemi (2012) ISO/IEC 27011Směrnice řízení bezpečnosti informací pro telekomunikace (2008) ISO/IEC 27013Směrnice pro společné nasazení ISO/IEC a ISO/IEC (2012) ISO/IEC 27014Governance bezpečnosti informací (2013) ISO/IEC 27015Směrnice řízení bezpečnosti informací pro finanční služby (2012) ISO/IEC 27016Řízení bezpečnosti informací – Organizační ekonomika (PDTR) ISO/IEC 27017Směrnice pro bezpečné použití služeb cloud computing (WD) ISO/IEC 27018Směrnice pro ochranu dat pro veřejné služby cloud (WD) ISO/IEC 27019Směrnice pro energetické řídicí systémy (DTR) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 16

17 Významné normy JTC 1 / SC 27 / WG4 Bezpečnostní opatření 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 17

18 ISO/IEC Specifikace pro připravenost ICT na kontinuitu organizace (2011) Významným východiskem BS Efektivní přístup k rozdělení podpůrných aktiv Koncepce testování kontinuity 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 18

19 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 19 Zdroj: ISO/IEC 27031

20 Pojetí řízení kontinuity 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 20 Zdroj: ISO/IEC 27031

21 Testování kontinuity 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 21 Zdroj: ISO/IEC 27031

22 ISO/IEC Směrnice pro kybernetickou bezpečnost (2012) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 22 Zdroj: ISO/IEC 27032

23 Pojetí kybernetické bezpečnosti 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 23 Zdroj: ISO/IEC 27032

24 ISO/IEC (18028) Bezpečnost sítí Část 1: Směrnice pro bezpečnost sítí (2009) Část 2: Směrnice pro návrh a nasazení bezpečnosti sítí (2012) Část 3: Záležitosti hrozeb, návrhu, technologií a opatření (2010) Část 4: Zabezpečení komunikace mezi sítěmi s využitím bezpečných brán (DIS) Část 5: Zabezpečení komunikace mezi sítěmi s využitím virtuálních privátních sítí VPN (DIS) Část 6: Zabezpečení přístupu k síti IP s využitím bezdrátových technologií (WG) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 24

25 Pojetí bezpečnosti sítě 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 25 Zdroj: ISO/IEC 27033

26 ISO/IEC Bezpečnost aplikací Část 1: Přehled a koncepce (2011) Část 2: Normativní rámce organizace (WD) Část 3: Proces řízení bezpečnosti aplikací (NP) Část 4: Validace bezpečnosti aplikací (NP) Část 5: Datová struktura protokolů a opatření bezpečnosti aplikací (WD) Část 6: Bezpečnostní pokyny pro specifikování datové struktury aplikačních opatření (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 26

27 Pojetí bezpečnosti aplikací 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 27 Zdroj: ISO/IEC 27034

28 ISO/IEC (18044) Řízení bezpečnostních incidentů (2011) Část 1: Principy řízení incidentů (WD) Část 2: Směrnice pro plánování a přípravu reakce na incident (WD) Část 3: Směrnice pro provoz CSIRT (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 28

29 Pojetí řízení bezpečnostních incidentů 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 29 Zdroj: ISO/IEC 27035

30 ISO/IEC Bezpečnost informací ve vztazích s dodavateli Část 1: Přehled a koncept (DIS) Část 2: Požadavky (DIS) Část 3: Směrnice pro bezpečnost v dodavatelském řetězci ICT (DIS) Část 4: Směrnice pro bezpečnost služeb v cloudu (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 30

31 Pojetí bezpečnosti ve vztazích s dodavateli 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 31 Zdroj: ISO/IEC 27036

32 ISO/IEC Směrnice pro určování, sbírání a získávání a ochranu digitálních důkazů (2012) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 32

33 Další připravované normy ISO/IEC 27038Směrnice pro vedení digitálních záznamů (DIS) ISO/IEC 27039Výběr, nasazení a provoz systémů pro detekci a prevenci průniku (DIS) ISO/IEC 27040Bezpečnost uložení dat (CD) ISO/IEC Řízení informací a událostí bezpečnosti informací (SIEM) (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 33

34 Normy významné pro bezpečnost mimo působnost JTC 1/ SC května 2013 Security and Protection of Information 2013 © Luděk Novák 34

35 ISO/IEC Řízení služeb IT Část 1: Požadavky na systém řízení služeb (2011) Část 2: Pokyny pro použití systémů řízení služeb (2012) Část 3: Pokyny pro vymezení rozsahu a použitelnosti ISO/IEC 20000­1 (2012) Část 4: Referenční model procesů (CD) Část 5: Příklad plánu zavedení pro ISO/IEC 20000­1 (DTR) Část 10: Koncept a terminologie (DTR) Část 11: Pokyny o vztahu mezi ISO/IEC 2000 a ITIL (PDTR) ISO/IEC Řízení služeb a integrace ISO/IEC (DTR) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 35

36 Pojetí řízení služeb IT 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 36 Zdroj: ISO/IEC

37 Řízení kontinuity činností ISO 22300Terminologie (2012) ISO 22301Systémy řízení kontinuity – Požadavky (2012) ISO 22313Systémy řízení kontinuity – Pokyny (2012) ISO 22320Požadavky pro reakci na incidenty (2011) ISO 22325Směrnice pro hodnocení schopností krizového řízení (CD) ISO 22398Směrnice pro nácvik (FDIS) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 37

38 Životní cyklus řízení kontinuity 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 38

39 Závěr Vždy je jednoduší opisovat než vše tvořit od počátku Publikace ISO resp. ČNI nabízejí velký prostor pro opisování – Je potřeba mít představu o tom, z čeho je možné vybírat I opisování si vyžaduje vysokou profesionalitu 22. května 2013 Security and Protection of Information 2013 © Luděk Novák 39


Stáhnout ppt "Praktické využití norem bezpečnosti informací Luděk Novák."

Podobné prezentace


Reklamy Google