4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016
Obsah Standardy– dvě perspektivy Perspektiva funkce/profese/útvaru (Assurance function perspective) (ITAF, IPPF, SSAE) Perspektiva vlastního ujištění (Assessment perspective (bezpečnost, kvalita, ..) Co je informační bezpečnost? Kategorizace standardů Příklady mezinárodních regulací
1. Informační bezpečnost Znamená, že v rámci podniku je informace chráněna před neautorizovaným přístupem (důvěrnost, confidentiality), nesprávnými úpravami (úplnost a správnost, integrity) a nedostupností v případě potřeby (dostupnost, availability).
2. Standardy informační bezpečnosti (hledisko úrovně) Úrovně řízení bezpečnosti Normy - příklady Operativní –security services (zálohování, archivace) Taktická – security management (např. BCP) Strategická (Security Governance, plán, zavedení ISMS - metriky) ITIL, COBIT ISO/IEC 24762:2008 ‘Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services BS 25999 , nahrazen ISO 22301 Business continuity management Information Security Governance: Guidance for Information Security Managers (ISACA) COBIT 5 for Information Security ISO 27000
Standardy informační bezpečnosti ( hledisko předmětu) Předmět normy Normy-příklady Bezpečnost procesů IT – pohled IT manažerů ISMS – součást systému řízení – pohled business manažerů Bezpečnost produktů – pohled vývojářů, dodavatelů, zákazníků IT Bezpečnost – pohled stakeholderů Cobit, ITIL, SAMM (Software Assurance Maturity Model) ISO 27000, ISO/IEC 21827 Information technology -- Security techniques -- Systems Security Engineering -- Capability Maturity Model® (SSE-CMM®) (base practices, domény) ISO/IEC 15408 (TCSEC, ITSEC) příručka Cobit Security Baseline, Business Model for information Security, Cobit 5 for Information Security
3. CobiT Security Baseline Sada pro přežití - Information Security Survival Kit Rizika specifická pro informační bezpečnost, různí uživatelé Obsah: 20 bezpečnostních procesů 44 kontrolních kroků, vazby na obsah ISO/IEC 27002 a procesy Cobit 4.1 „sady pro přežití”: domácí uživatelé, profesionální uživatelé, manažeři, výkonní ředitelé, vyšší výkonní ředitelé a členové představenstva Pro každou tuto skupinu uživatelů příručka nabízí Přehled rizik spojených s danou skupinou uživatelů Dotazník, který má pomoci dané skupině uživatelů zhodnotit, zda dodržují pravidla ISG Seznam akcí, které by měli realizovat Závěr: bezpečnostní rizika - tři kategorie: Rizika záměrného zneužití počítače (trojský kůň, DOS, Email spoofing, spamming atd.) Rizika plynoucí z porušení pravidel, norem (porušení autorského práva, nepřiměřené využívání internetu, průmyslová špionáž, nesoulad s pravidly a regulacemi) Havárie (porucha disku, porucha dodávky elektřiny, problémy softwaru).
SAMM A guide to building security into software development Autor: The Open Web Application Security Project (OWASP) otevřené společenství zaměřené na zlepšování bezpečnosti aplikačního SW Cíl SAMM - otevřený rámec zaměřený na formulování a zavádění strategie pro zlepšování bezpečnosti SW přizpůsobené specifickým rizikům v jednotlivých organizacích Dílčí cíle: Hodnocení existujících praktik v řízení SW Vytvoření vyváženého programu pro ujištění založeného na iteracích Demonstrace konkrétních přínosů Definování a měření bezpečnostních praktik napříč organizací
ISO 27000 - ISMS
Revize norem 27001 a 27002 Říjen 2013 Změny ve struktuře obsahu (sjednocení podle ISO Guide 83, poprvé u sady norem ISO 22301:2012 Societal security — Business continuity management systems — Requirements) Certifikace nově od dubna 2014
ISO/IEC 27001:2005 ISO/IEC 27001:2005 (BS 7799-2) Information technology - Security techniques - Information security management systems – Requirements, říjen 2005 poskytuje model pro zavedení a správu efektivního systému řízení bezpečnosti informací stanovuje jednoznačné požadavky na systém řízení, kontrolu zavedení ISMS a případnou certifikaci, tedy nezávislé ověření ISMS třetím (důvěryhodným a akreditovaným) subjektem Je úzce propojená s ISO 27002: ISO 27002 poskytuje podrobný přehled (katalog) bezpečnostních opatření, která mohou být vybrána při budování ISMS, ISO 27001 specifikuje požadavky na to, jak ISMS v organizaci správně zavést. Případná certifikace ISMS pak probíhá podle ISO 27001
Obsah ISO 27001 0. Úvod 1. Předmět normy 2. Normativní odkazy 3. Termíny a definice 4. Systém managementu bezpečnosti informací 5. Odpovědnost vedení 6. Interní audity ISMS 7. Přezkoumání ISMS vedením organizace 8. Zlepšování ISMS Příloha A – Cíle opatření a jednotlivá bezpečnostní opatření Příloha B – Principy směrnice OECD a norma ISO/IEC 27001 normou Příloha C – vztah mezi ISO 9001 a ISO 14001 a touto normou
ISO/IEC 27001: 2013 Upravena struktura normy - nová kapitola Kontext organizace zajišťuje zavedení ISMS v souladu s obchodními aktivitami organizace a klade velký důraz na šíření informační bezpečnosti v rámci celé organizace Procesní přístup - nová norma nespecifikuje, jaký bude použit procesní přístup (nevyžaduje PDCA) Hodnocení rizik - rizika jsou nově identifikována vůči informacím (a ne k aktivům) Opatření - revidována a upravena bezpečnostní opatření z Přílohy A, která nyní odpovídají novým IT trendům
Evolution of ISO/IEC 27001 certificates in Czech Republic, Zdroj: iso Evolution of ISO/IEC 27001 certificates in Czech Republic, Zdroj: iso.org
Poslední verze: ISO/IEC 27002:2013 1. Historie ISO 27002 Code of Practice for Information Security Management Na začátku byl tzv. Britský standard BS7799, který byl poprvé publikován v roce 1995 BS 7799-1, později ISO 17799, ISO 17799:2005, nyní ISO 27002 -Code of Practice for Information Security Management – je souhrnem bezpečnostních kontrol (opatření) roztříděných do 11 hlavních sekcí BS 7799-2 , nyní ISO 27001: Specifikace systému řízení bezpečnosti (Specification for Information Security Management System)- certifikace BS 7799-3:2006 Information Security Management Systems - Guidelines for information security risk management, nyní ISO 27005- řízení rizika Poslední verze: ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls
ISO/IEC 27002 – porovnání oblastí verze 2005 a 2013
ISO/IEC 27002 – struktura 2005 11 oddílů -oblastí bezpečnosti 39 kategorií bezpečnosti 133 opatření
Změny ISO 27002 - 2013 Redukce opatření z původních 133 na 114 Rozšíření kapitol z původních 11 na 14. Většina stávajících opatření zůstala nepozměněna, aktualizován byl pouze text doporučení.
ISO/IEC 27002 - struktura Každá z kategorií bezpečnosti obsahuje: cíl opatření, čeho má být dosaženo jedno nebo více opatření Popis opatření: Opatření Doporučení k realizaci Další informace
Kategorie Opatření 1
ISO 27004: 2009 Information technology – Security techniques – information Security management - measurement prosinec 2009 pomůcka k měření a prezentaci efektivity systémů řízení bezpečnosti informací (ISMS) organizací zahrnující řídící procesy definované v ISO 27001 a opatření z ISO 27002 vhodná pro všechny typy organizací Klíčové části: Information security measurement overview; Management responsibilities; Measures and measurement development; Measurement operation; Data analysis and measurement results reporting; Information Security Measurement Program evaluation and improvement. Příloha A obsahuje vzor pro popis metrik Příloha B nabízí pracovní příklady
Obsah ISO/IEC 27005:2008 Information technology - Security techniques -- Information security risk management Foreword Introduction Normative references Terms and definitions Structure Background Overview of the ISRM Process Context Establishment Information Security Risk Assessment (ISRA) Information Security Risk Treatment Information security Risk Acceptance Information security Risk Communication Information security Risk Monitoring and Review Annex A: Defining the scope of the process Annex B: Asset valuation and impact assessment Annex C: Examples of Typical Threats Annex D: Vulnerabilities and vulnerability assessment methods Annex E: ISRA approaches
Přehled nové řady 27000 ISO 27000: 2014 – Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary ISO 27001:2013 – Information technology -- Security techniques -- Information security management systems – Requirements, certifikace, ISO 27002:2013 –Information technology -- Security techniques -- Code of practice for information security controls, souhrn bezpečnostních kontrol ISO 27003:2010 – Information technology -- Security techniques -- Information security management system implementation guidance, návod pro implementaci standardů celé série, ISO 27004: 2009 – Information technology -- Security techniques -- Information security management -- Measurement, metriky pro řízení informační bezpečnosti ISO 27005:2011 – Information technology -- Security techniques -- Information security risk management, řízení bezpečnostních rizik ISO 27006:2011 – Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems, požadavky na akreditované, autority poskytující certifikace
27000 - pokračování ISO/IEC 27007:2011 Information technology - Security techniques - Guidelines for information security management systems auditing, návod na audit ISO/IEC TR 27008:2011 Information technology — Security techniques — Guidelines for auditors on information security management systems controls, návody pro auditory týkající se ISMS kontrol ISO 27009 – byla nahrazena ISO/IEC 27013:2012 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1, návod na implementaci ISMS (ISO 27001) a ITSM (ISO 20000) ISO 27010:2012 Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communications ISO/IEC 27018:2014 Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, doporučení ohledně ochrany osobních údajů v prostředí cloud computingu …… ISO 27037:2012 Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence - doporučení pro zjišťování, sběr a získávání a uchovávání digitálních důkazů
Sada norem ISO 223xx Societal Security (Společenská bezpečnost) Nahrazuje BS 25999 BS 25999 –1: 2006 Business Continuity Management - Code of Practice BS 25999-2: 2007 Specification for Business Continuity Management (certifikace ve Velké Britanii) Cíl: vytvořit sadu norem, které budou vytvářet základ pro regulaci v oblasti společenské bezpečnosti (včetně BCM) Součást integrovaného systému řízení organizací ??? Systém řízení bezpečnosti informací (Information Security Management System - ISMS) ISO 27000 Systém řízení kvality (Quality Management System - QMS) - ISO 9000 Řízení environmentálního systému (Environment Management System - EMS), ISO 14000 Řízení IT služeb (IT Service Management System), ISO 20000 Integrace Úprava ISO 27001 (v roce 2013) ISO 9001 (v roce 2015) Všechny systémy se budou řídit PDCA (Plan – Do – Check – Act)
Sada norem ISO 223xx Societal Security ISO 22300:2012, Societal security – Terminology ISO 22301: 2012, Societal security -- Business continuity management systems --- Requirements Cíl – podporovat firemní odolnost vůči nepředvídaným událostem V ČR do června 2013 certifikace podle BS 25999 V současné době certifikace podle ISO 22301 ISO 22313: 2012, Societal security – Business continuity management systems – Guidance ISO 22320:2011, Societal security – Emergency management – Requirements for incident response ISO/TR 22312:2011, Societal security – Technological capabilities ISO/PAS 22399:2007, Societal security – Guideline for incident preparedness and operational continuity management. ISO 22315, Societal security – Mass evacuation ISO 22322, Societal security – Emergency management – Public warning ISO 22323, Organizational resilience management systems – Requirements with guidance for use ISO 22325, Societal security – Guidelines for emergency capability assessment for organizations ISO 22351, Societal security – Emergency management – Shared situation awareness ISO 22397, Societal security – Public Private Partnership – Guidelines to set up partnership agreements ISO 22398, Societal security – Guidelines for exercises and testing ISO 22324, Societal security – Emergency management – Colour-coded alert
Bezpečnost softwarových produktů ISO/IEC 15408 – Evaluation Criteria for IT Security (CC) Rámec pro: Uživatele počítačového systému: mohou specifikovat bezpečnostní funkcionalitu a jistící požadavky Prodejce: mohou implementovat a zároveň/nebo se dožadovat bezpečnostních atributů svých produktů Testovací laboratoře: mohou vyhodnocovat produkty Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným a standardizovaným způsobem Tři části
ISO/IEC 15408-1:2009 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model Zavádí obecné koncepty a principy hodnocení základní koncept „Target of Evaluation“ (TOE) může to být produkt i systém profily ochrany „Protection Profiles“ (PP) – sady požadavků na bezpečnost Specifikace bezpečnostních cílů „Security Targets (ST)“
ISO/IEC 15408-2:2008 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional components Představuje komplexní katalog předdefinovaných požadavků na bezpečnost SW produktů (hierarchická struktura (třídy – rodiny- komponenty) Možnost výběru z předdefinovaných požadavků nebo návody na přizpůsobení předdefinovaných požadavků v případě, že předdefinované vzory neexistují Definuje požadavky na hodnocení TOE – škály hodnocení a úrovně hodnocení (Evaluation Assurance Levels - EAL 1 – 7) Čím je EAL vyšší, tím jsou dokumentace, analýzy a testy podrobnější, ale tím pádem také časově a finančně náročnější ISO/IEC 15408-3:2008 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance components
Přehled EAL EAL1:Funkčně testováno EAL2: Strukturálně testováno EAL3: Metodicky testováno a kontrolováno EAL4: Metodicky navrženo, testováno, a revidováno EAL5: Semi-formálně navrženo a testováno EAL6: Semi-formálně ověřený návrh a testováno EAL7: Formálně ověřený návrh a testováno
Podobné standardy (nahrazeny CC) TCSEC – Trusted Computer System Evaluation Criteria (Orange Book) Jde o dokument amerického ministerstva obrany, vydaný v roce 1985. Zavádí 4 skupiny (A,B,C,D), které odpovídají vždy jednomu kvalitativně odlišnému stupni bezpečnosti a jsou dále děleny do tříd (D, C1, C2, B1 pro konvenční systémy a B2, B3, A1 pro důvěryhodné systémy). Zabývá se rovněž bezpečnostní politikou a bezpečnostními kritérii pro ochranu dat v informačních systémech. ITSEC – Information Technology Security Evaluation Criteria, který je významný pro země EU. Vznikl v roce 199O a reprezentuje ho mezinárodní instituce sídlící ve Velké Británii. Zaměřuje se na prověřování produktů z hlediska bezpečnosti v informačních technologiích. Definuje 7 tříd míry zaručitelnosti bezpečnosti E0 – E6 , které reprezentují vzrůstající úrovně důvěry. Na každý ověřený produkt pak ITSEC vydá certifikát, který je volně dostupný na internetu.
Porovnání norem Canadian Trusted Computer Product Evaluation Criteria Federal Criteria for IT (USA, NIST)