Praktické využití norem bezpečnosti informací Luděk Novák
Security and Protection of Information 2013 © Luděk Novák Obsah Představení subkomise JTC 1/SC 27 Systém řízení bezpečnosti informací v2013 Normy řízení bezpečnosti informací pro odvětví Normy zaměřené na bezpečnostní opatření Systém řízení služeb IT Systém řízení kontinuity činností 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Představení subkomise JTC 1/SC 27 Normy a standardy v oblasti bezpečnosti 7. listopadu 2006 Představení subkomise JTC 1/SC 27 Oblasti normalizace subkomise JTC 1/SC 27 – Bezpečnostní techniky IT Identifikace požadavků a metodik bezpečnostních služeb systémů IT Vývoj bezpečnostních technik a mechanismů Vývoj směrnic pro interpretaci normalizačních požadavků Vývoj dokumentů a norem pro podporu řízení (terminologie, kritéria pro hodnocení apod.) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák Copyright © ANECT, 2006
Pracovní skupiny JTC 1/SC27 Source: JTC 1/SC 27 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák Stádia tvorby norem ISO resp. ISO/IEC – mezinárodní norma FDIS – konečný návrh mezinárodní normy (2013) DIS – návrh mezinárodní normy (2014) CD – návrh komise (2014 – 2015) WD – pracovní návrh (2014 – 2016) NP – nový projekt (?) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Významné normy JTC 1 / SC 27 / WG1 Řízení bezpečnosti informací 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Přehled řady norem ISO/IEC 27000 Základy a slovník ISMS ISO/IEC 27000:2012 (ISO/IEC 13335-1) Pravidla certifikace ISMS ISO/IEC 27006:2011 (EA 7/03) Požadavky na ISMS ISO/IEC 27001:2005 (BS 7799-2:2002) Metody řízení rizik BS 7799-3:2006 ISO/IEC 27005:2011 (ISO/IEC TR 13335-3:1998) Měření účinnosti ISMS ISO/IEC 27004:2009 Příloha A Směrnice pro implementaci ISMS ISO/IEC 27003:2010 Soubor postupů ISMS ISO/IEC 27002:2005 (ISO/IEC 17799) Směrnice auditora ISMS ISO/IEC 27007:2011 ISO/IEC TR 27008:2011 Specifické normy, směrnice a standardy 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Úvod do řízení bezpečnosti informací 13. a 14. květen 2008 ČSN ISO/IEC 27001:2006 Systém řízení bezpečnosti informací – Požadavky Norma vychází z BS 7799-2:2002 ISO/IEC 27001 vydána v říjnu 2005 (ukončena platnost BS 7799-2) ČSN ISO/IEC 27001:2006 vyšla v říjnu 2006, autor překladu RAC Využití PDCA pro řízení bezpečnosti informací Podle této normy se provádí certifikace !!! Copyright © ANECT, 2008
Security and Protection of Information 2013 © Luděk Novák ISO/IEC 27001:2013 (DIS) Úvod 0.1 0.2 Všeobecně Kompatibilita s dalšími systémy řízení 1 Rozsah 2 Odkazy na normy 3 Termíny a definice 4 Kontext organizace 4.1 4.2 4.3 4.4 Porozumění organizaci a jejímu kontextu Porozumění potřebám a očekávání zainteresovaných stran Určení rozsahu systému řízení Systém řízení bezpečnosti informací 5 Vůdcovství 5.1 5.2 5.3 5.4 Angažovanost vedení Politika Organizační role, odpovědnosti a pravomoci 6 Plánování 6.1 6.2 Činnosti na pokrytí rizik a příležitostí Cíle bezpečnosti informací a plány na jejich dosažení 7 Podpora 7.1 7.2 7.3 7.4 7.5 Zdroje Kompetence Povědomí Komunikace Dokumentované informace 8 Provozování 8.1 8.2 8.3 Plánování a řízení provozu Ohodnocení rizik bezpečnosti informací Zvládání rizik bezpečnosti informací 9 Hodnocení výkonnosti 9.1 9.2 9.3 Monitorování, měření, analýza a hodnocení Interní audity Přezkoumání vedením 10 Zlepšování 10.1 10.2 Neshody a nápravná opatření Neustálé zlepšování 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák Věcné změny ISO/IEC 27001 Řešení kontextu, kde ISMS působí Cíle ISMS a plán jejich dosažení Metriky orientované na plnění cílů ISMS Vlastník rizika jako nástroj přenesení odpovědnosti Dokumentované informace Zůstává prohlášení o aplikovatelnosti Pouze nápravná opatření Preventivní opatření opustí všechny systémy řízení Očekávané vydání: říjen 2013 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Uspořádání ČSN ISO/IEC 27002:2006 Úvod do řízení bezpečnosti informací 13. a 14. květen 2008 Uspořádání ČSN ISO/IEC 27002:2006 Zdroj: ČSN ISO/IEC 27002 Copyright © ANECT, 2008
Nové uspořádání ISO/IEC 27002 Bezpečnost provozu Bezpečnost komunikací Akvizice, vývoj a údržba systémů Vztahy s dodavateli Zvládání incidentů bezpečnosti informací Aspekty bezpečnosti informací při řízení kontinuity činností Soulad s požadavky 5 Bezpečnostní politika 6 Organizace bezpečnosti informací 7 Bezpečnost lidských zdrojů 8 Řízení aktiv Řízení přístupů Kryptografie Fyzická bezpečnost a bezpečnost prostředí 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák Věcné změny ISO/IEC 27002 Zjednodušení + odstranění redundantních opatření Bezpečnost sítí, odpovědnost vedení, omezení času přihlášení, … Nové oblasti Bezpečnost v rámci řízení projektů Bezpečnost vývoje informačních systémů Redundance pro řízení kontinuity Podstatné změny Bezpečnost aplikací a transakcí Podrobné bezpečnostní politiky Podrobnější popis řízení incidentů 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák Významné normy JTC 1 / SC 27 / WG1 Řízení bezpečnosti informací pro odvětví 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
IEC 62443 Bezpečnost průmyslových systémů 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Přehled oborových norem ISO/IEC 27010 Řízení bezpečnosti informací pro komunikaci mezi organizacemi (2012) ISO/IEC 27011 Směrnice řízení bezpečnosti informací pro telekomunikace (2008) ISO/IEC 27013 Směrnice pro společné nasazení ISO/IEC 20000-1 a ISO/IEC 27001 (2012) ISO/IEC 27014 Governance bezpečnosti informací (2013) ISO/IEC 27015 Směrnice řízení bezpečnosti informací pro finanční služby (2012) ISO/IEC 27016 Řízení bezpečnosti informací – Organizační ekonomika (PDTR) ISO/IEC 27017 Směrnice pro bezpečné použití služeb cloud computing (WD) ISO/IEC 27018 Směrnice pro ochranu dat pro veřejné služby cloud (WD) ISO/IEC 27019 Směrnice pro energetické řídicí systémy (DTR) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Významné normy JTC 1 / SC 27 / WG4 Bezpečnostní opatření 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák ISO/IEC 27031 Specifikace pro připravenost ICT na kontinuitu organizace (2011) Významným východiskem BS 25777 Efektivní přístup k rozdělení podpůrných aktiv Koncepce testování kontinuity 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák Zdroj: ISO/IEC 27031 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Pojetí řízení kontinuity Zdroj: ISO/IEC 27031 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák Testování kontinuity Zdroj: ISO/IEC 27031 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák ISO/IEC 27032 Směrnice pro kybernetickou bezpečnost (2012) Zdroj: ISO/IEC 27032 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Pojetí kybernetické bezpečnosti Zdroj: ISO/IEC 27032 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák ISO/IEC 27033 (18028) Bezpečnost sítí Část 1: Směrnice pro bezpečnost sítí (2009) Část 2: Směrnice pro návrh a nasazení bezpečnosti sítí (2012) Část 3: Záležitosti hrozeb, návrhu, technologií a opatření (2010) Část 4: Zabezpečení komunikace mezi sítěmi s využitím bezpečných brán (DIS) Část 5: Zabezpečení komunikace mezi sítěmi s využitím virtuálních privátních sítí VPN (DIS) Část 6: Zabezpečení přístupu k síti IP s využitím bezdrátových technologií (WG) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Pojetí bezpečnosti sítě Zdroj: ISO/IEC 27033 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák ISO/IEC 27034 Bezpečnost aplikací Část 1: Přehled a koncepce (2011) Část 2: Normativní rámce organizace (WD) Část 3: Proces řízení bezpečnosti aplikací (NP) Část 4: Validace bezpečnosti aplikací (NP) Část 5: Datová struktura protokolů a opatření bezpečnosti aplikací (WD) Část 6: Bezpečnostní pokyny pro specifikování datové struktury aplikačních opatření (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Pojetí bezpečnosti aplikací Zdroj: ISO/IEC 27034 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák ISO/IEC 27035 (18044) Řízení bezpečnostních incidentů (2011) Část 1: Principy řízení incidentů (WD) Část 2: Směrnice pro plánování a přípravu reakce na incident (WD) Část 3: Směrnice pro provoz CSIRT (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Pojetí řízení bezpečnostních incidentů 22. května 2013 Security and Protection of Information 2013 © Luděk Novák Zdroj: ISO/IEC 27035
Security and Protection of Information 2013 © Luděk Novák ISO/IEC 27036 Bezpečnost informací ve vztazích s dodavateli Část 1: Přehled a koncept (DIS) Část 2: Požadavky (DIS) Část 3: Směrnice pro bezpečnost v dodavatelském řetězci ICT (DIS) Část 4: Směrnice pro bezpečnost služeb v cloudu (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Pojetí bezpečnosti ve vztazích s dodavateli 22. května 2013 Security and Protection of Information 2013 © Luděk Novák Zdroj: ISO/IEC 27036
Security and Protection of Information 2013 © Luděk Novák ISO/IEC 27037 Směrnice pro určování, sbírání a získávání a ochranu digitálních důkazů (2012) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Další připravované normy ISO/IEC 27038 Směrnice pro vedení digitálních záznamů (DIS) ISO/IEC 27039 Výběr, nasazení a provoz systémů pro detekci a prevenci průniku (DIS) ISO/IEC 27040 Bezpečnost uložení dat (CD) ISO/IEC 27044 Řízení informací a událostí bezpečnosti informací (SIEM) (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Normy významné pro bezpečnost mimo působnost JTC 1/ SC 27 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák ISO/IEC 20000 Řízení služeb IT Část 1: Požadavky na systém řízení služeb (2011) Část 2: Pokyny pro použití systémů řízení služeb (2012) Část 3: Pokyny pro vymezení rozsahu a použitelnosti ISO/IEC 200001 (2012) Část 4: Referenční model procesů (CD) Část 5: Příklad plánu zavedení pro ISO/IEC 200001 (DTR) Část 10: Koncept a terminologie (DTR) Část 11: Pokyny o vztahu mezi ISO/IEC 2000 a ITIL (PDTR) ISO/IEC 90006 Řízení služeb a integrace ISO/IEC 20000-1 (DTR) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Pojetí řízení služeb IT Zdroj: ISO/IEC 20000-1 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Řízení kontinuity činností ISO 22300 Terminologie (2012) ISO 22301 Systémy řízení kontinuity – Požadavky (2012) ISO 22313 Systémy řízení kontinuity – Pokyny (2012) ISO 22320 Požadavky pro reakci na incidenty (2011) ISO 22325 Směrnice pro hodnocení schopností krizového řízení (CD) ISO 22398 Směrnice pro nácvik (FDIS) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Životní cyklus řízení kontinuity 22. května 2013 Security and Protection of Information 2013 © Luděk Novák
Security and Protection of Information 2013 © Luděk Novák Závěr Vždy je jednoduší opisovat než vše tvořit od počátku Publikace ISO resp. ČNI nabízejí velký prostor pro opisování Je potřeba mít představu o tom, z čeho je možné vybírat I opisování si vyžaduje vysokou profesionalitu 22. května 2013 Security and Protection of Information 2013 © Luděk Novák