Razvoj lokalnih usluga socijalne zastite grada Pancevo
Adelsberger zdenko implementacija iso27001 2013
1. IMPLEMENTACIJA ISMS PREMA
STANDARDU ISO/IEC 27001:2013
Dr. Zdenko Adelsberger
Trener, konzultant i auditor za
RM, BCMS, ISMS, ITSMS, QSM, OHSAS
zdenko@bluefield.hr
www.bluefield.hr
ICT Security 2015
Kladovo, 14-16 maj 2015.
2. Agenda
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 2
• Značaj informacijske sigurnosti
• Upravljanje rizicima kao temelj informacijske sigurnosti
• Sistemski pristup upravljanju informacijskom sigurnošću
• Standardi za upravljanje informacijskom sigurnošću
• Implementacija informacijske sigurnosti
• Dokazivanje uspješnosti implementacije
• Poboljšanje informacijske sigurnosti
• Zaključak
3. Realna i virtualna domena kompanije
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 3
REALNA
domena
INFORMACIJSKA
(virtualna) domena
Dokumentacija
+
Zapisi
4. Ilustracija mehanizma rizika (hakerskog napada)
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 4
Prijetnja
Ranjivost
objekta
Sigurnosni
događaj
(incident)
Posljedica
Sigurnosne mjere
(Mjere zaštite)
Izvor
prijetnje
X
5. Odnos rizika i elemenata koji dovode do rizika
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 5
RIZIK
Posljedica
RIZIK
Posljedica
Vjerojatnost
a b
Rizik = Prijetnja & Ranjivost & Posljedica Rizik = Vjerojatnost & Posljedica
Rizik = Prijetnja * Ranjivost * Posljedica Rizik = Vjerojatnost * Posljedica
Funkcionalna
relacija
Matematička
relacija
Napomena: Vjerojatnost ≠ Prijetnja * Ranjivost
6. Nivo informacijske sigurnosti
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 6
Nivo informacijske sigurnosti je kompromis između prihvatljivog
rizika i investicije u sigurnost.
RIZIK
SIGURNOST
Skala prihvatljivosti rizika,
odnosno sigurnosti, određuje
se preko sigurnosne politike
7. Značenje pojma ISMS
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 7
ISMS = Information Security Management System
(Sistem za upravljanje sigurnošću informacija)
Naglasak je na: “SISTEM ZA UPRAVLJANJE”
Resursi
Pravila
Sistem upravljanja
Ulazni zahtjevi
(poslovni ciljevi)
Zadovoljenje
ulaznih zahtjeva
(poslovnih ciljeva)
8. Elementi sistema upravljanja
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 8
Misija
Vizija
Politike
Procesi
Strategije
Ciljevi
Ciljevi
Funkcija
upravljanja
je osigurati
postizanje
ciljeva i
poboljšanje
Sigurnost
postizanja ciljeva
temelji se na:
UPRAVLJANJU
RIZICIMA
Postizanje
poboljšanja temelji
se na:
MJERENJU
UČINKOVITOSTI
Ciljevi
9. Informacijski sistemi su uvijek postojali
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 10
IS
IT
IS
IT
10. Što je informacija?
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 11
Signali
(znakovi)
7910 je
PODATAK
7910
PIN: 7910
7910 je
INFORMACIJA
(kontekst označava
da je to PIN kartice)
(može biti npr.
nadmorska visina, prva
kozmička brzina, profit
organizacije, itd.)
0001111011100110
1EE6
11. Aspekti informacije
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 12
CJELOVITOST
Integrity
RASPOLOŽIVOST
Availability
INFORMACIJA
TAJNOST
Confidentiality
12. Relevantni nosioci informacija u poslovnom sistemu
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 13
Informacije na
serverima i mreži Informacije na lokalnim
kompjuterima
Informacije prenošene
telefonskim linijama i/ili
Internetom
Informacije zapisane
na papiru Informacije štampane
na papiru
Informacije spremljene
na diskovima, trakama,
CD-ovima, USB memorijama,
...
Informacije fax
strojeva
Zaposlenici i
partneri
13. Odnos ISO/IEC 27001 prema informaciji
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 14
“Informacija je imovina koja
kao i ostala važna imovina u
poslovanju ima vrijednost za
organizaciju i mora biti stalno
odgovarajuće štićena.”
U kontekstu ISO/IEC 27001 pod štićenjem informacija se smatra
očuvanje aspekata informacije: tajnosti, cjelovitosti i raspoloživosti.
(C-I-A)
16. Upravljanje informacijskom sigurnošću obuhvaća tri široka područja
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 17
Upravljanje
informacijskom
sigurnošću
Upravljanje
ICT i fizičkom
zaštitom
Upravljanje
legislativom,
regulativom i
ugovornim obvezama
Upravljanje
ljudima, procesima,
poslovanjem, operacijama,
treningom / sviješću
17. Križ standarda za ISMS
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 18
Nacionalna
legislativa
MODEL
ISO/IEC 27001
Rječnik i definicije
ISO/IEC 27000
PROPISI
ISO 19011
ISO/IEC 27007
ISO/IEC 27008
AKREDITACIJA
ISO 17021
ISO/IEC 27006
Dodatni standardi
ISO/IEC 270xx
18. Kratka povijest ISO 27000ff
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 19
• 1992
The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security
Management'.
• 1995
This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.
• 1996
Support and compliance tools begin to emerge, such as COBRA.
• 1999
The first major revision of BS7799 was published. This included many major enhancements.
Accreditation and certification schemes are launched.
• 2000
In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).
• 2001
The 'ISO 17799 Toolkit' is launched.
• 2002
A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It
begins the process of alignment with other management standards such as ISO 9000.
• 2005
A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..
• 2005
ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management
system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001
• 2013
ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security
management system)
19. Odnosi relevantnih standarda za informacijske sisteme
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 20
IT-GSHB
ISO 27001
ISO 13335
ITSEC/C
CobIT
Ne tehničkiTehnički
Usmjereno
na produkt
Usmjereno
na sistem
CobIT = Control Objectives for Information and Related Technology (http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx)
ITSEC/C = Information Technology Security Evaluation Criteria /Communication (http://www.iitsec.org/Pages/default.aspx)
IT-GSHB = IT-Grundschutzhandbuch (https://www.bsi.bund.de/)
21. ISO/IEC 27001:2013
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 22
Information technology -- Security techniques –
Information security management systems -- Requirements
• Specifikacija zahtjeva za implementaciju, rad, nadziranje, provjeru,
održavanje i unapređivanje sistema upravljanja informacionom
sigurnošću (Information Security Management System - ISMS);
• osnova za procjenu usuglašenosti (audit) od strane zainteresiranih
strana kada je u pitanju ISMS;
• temelj za obrazovanje specijalista za ISMS (kako za menadžere
ISMS, tako i za auditore ISMS);
• Osnovna norma za ISMS (sve ostale norme ove serije su smjernice -
upute).
22. Koristi od primjene ISMS standarda
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 23
• Stvaranje viška vrijednosti
• Strukturiran način podržava proces specificiranja, implementacije, rada,
održavanje, isplativosti rješenja, integriranost i usklađenost ISMS-a;
• Promoviranje globalno prihvaćenih dobrih praksi informacijske sigurnosti;
• Povećanje povjerenja zainteresiranih strana u organizaciju;
• Zadovoljavanje socijalnih potreba i očekivanja, te
• Učinkovitija ulaganja menadžmenta u informacijsku sigurnost.
Prednost provedbe ISMS-a prvenstveno će biti vidljiva u smanjenju rizika
informacijske sigurnosti (tj. smanjenja vjerojatnosti, i/ili štete uzrokovane
informacijskim sigurnosnim incidentima). Ostvareni dobitak organizacije za
postizanje održivog uspjeha od usvajanja ISMS standarda su:
23. ISO/IEC 27001:2013
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 24
Foreword
0 Introduction
1 Scope
2 Normative references
3 Terms and definitions
4 Context of the organization
4.1 Understanding the organization and its context
4.2 Understanding the needs and expectations of interested parties
4.3 Determining the scope of the information security management system
4.4 Information security management system
5 Leadership
5.1 Leadership and commitment
5.2 Policy
5.3 Organizational roles, responsibilities and authorities
6 Planning
6.1 Actions to address risks and opportunities
6.2 Information security objectives and planning to achieve them
7 Support
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented information
8 Operation
8.1 Operational planning and control
8.2 Information security risk assessment
8.3 Information security risk treatment
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
9.2 Internal audit
9.3 Management review
10 Improvement
10.1 Nonconformity and corrective action
10.2 Continual improvement
Annex A (normative) Reference control objectives and controls
Bibliography
24. Sigurnosna područja prema 27001:2013 Aneks A
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 25
1 A.5. Politike informacijske sigurnosti
2 A.6. Organizacija informacijske sigurnosti
3 A.7. Sigurnost ljudskih resursa
4 A.8. Upravljanje imovinom
5 A.9. Kontrola pristupa
6 A.10. Kriptografija
7 A.11. Fizička sigurnost i sigurnost okoliša
8 A.12. Operativna sigurnost
9 A.13. Sigurnost komunikacija
10 A.14. Nabavka sistema, razvoj i održavanje
11 A.15. Odnosi s dobavljačima
12 A.16. Upravljanje incidentima informacijske sigurnosti
13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja
14 A.18. Usuglašenost
25. Dokumentacija za ISMS – dokumentirane informacije
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 26
Procedure
Radne upute,
check liste,
formulari
Zapisi
ISMS
DOKUMENTACIJA
Sigurnosne upute
(Manual)Sigurnosna politika,
područje djelovanja,
procjena rizika,
SoA
PROCEDURE:
tko, šta, kada, gdje?
RADNE UPUTE:
Detaljni opis zadataka i aktivnosti
ZAPISI:
Evidencije o sukladnosti s ISMS zahtjevima
NIVO 2
NIVO 3
NIVO 4
NIVO 1
OperativninivoOrganizacijskinivo
26. ISMS je poslovni proces
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 27
ISMS
Ulaznizahtjevi
Zadovoljeni
Ulaznizahtjevi
RESURSI
PRAVILA
27. PDCA model primijenjen na ISMS proces
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 28
PLAN
(uspostaviti ISMS)
Uspostaviti ISMS politiku, ciljeve, procese i
procedure važne za upravljanje rizikom i
poboljšanje informacijske sigurnosti kako bi
dali rezultate u skladu s ukupnom politikom
i ciljevima organizacije.
DO
(implementirati i
izvršavati ISMS)
Implementirati i izvršavati ISMS politiku,
kontrole, procese i procedure.
CHECK
(nadgledati i
provjeravati ISMS)
Procijeniti i gdje je primjenjivo, mjeriti
izvršavanje procesa u odnosu na ISMS
politiku, ciljeve i praktično iskustvo te
izvještavati upravu o rezultatima radi
provjere.
ACT
(održavati i
poboljšavati ISMS)
Poduzeti korektivne i preventivne akcije
zasnivane na rezultatima interne ISMS
prosudbe (audita) i provjere uprave ili
ostalim bitnim informacijama, kako bi se
postiglo stalno poboljšanje ISMS-a.
Zainteresirane
strane
Zahtjevi i
očekivanja
od
informacijske
sigurnosti
Zainteresirane
strane
Upravljana
informacijska
sigurnost
Usposta-
vljanje
ISMS
Implementacija
i pokretanje
ISMS
Kontrola i
nadgledanje
ISMS
Poboljšanje i
održavanje
ISMS
28. Projekt implementacije ISMS prema ISO/IEC 27001
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 29
Definiranje
opsega
Evidencija
imovine
Odgovornosti
Klasifikacija
Upravljanje
dokumentacijom
Plan procjene rizika
Izjava o
primjenljivosti
(SoA)
i preostalom
riziku
Implementacija
ISMS Procedure
za upravljanje
incidentima
Identifikacija i
implementacija
poboljšanja
Sigurnosna
politika
uprave
Procjena
rizika i
plan
obrade
Prihvaćanje
i odobrenje
uprave
Priprema
dokumentacije
Trening i
svijesnost
Monitoring,
pregledi,
testiranje,
audit
P D C A
29. USPOSTAVA
ISMS
(P – faza)
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 30
Definicija
područja i
obuhvata
ISMS
Korak 1
Definicija
sigurnosn
e politike
ISMS
Korak 2
Identifikacija
rizika
Korak 4
Analiza i
procjena
rizika
Korak 5
Obrada
rizika
Korak 6
Izbor ciljeva
sigurnosnih
mjera i
kontrola
Korak 7
Osiguranje
autorizacije
uprave za
implementaci
ju ISMS
Korak 9
Priprema
dokumenta:
Izjava o
primjenljivost
i
Korak10
Osiguranje
uprave za
odobrenje i
prihvaćanje
preostalog
rizika
Korak 8
Dokument
Područje
ISMS
Dokument
Sigurnosn
a politika
Lista rizika i
popisa
imovine
Izvještaj o
rezultatima
procjene
rizika
Izvještaj o
rezultatima
obrade
rizika
Standard za
mjerenje
rizika
Pisano
odobrenje
za preostali
rizik
Izjava o
primjenljivos
ti
(SoA)
Informacijska imovina, prijetnje, ranjivost i posljedice
Definicija
metode
procjene
rizika
Korak 3
Faza 1 Faza 2 Faza 3
Standardi za implementaciju
upravljanja rizicima (prisup
organizacije, metode i analize
za postizanja zahtjevanog
nivoa sigurnosti)
• Lista potencijalnih
ciljeva i
sigurnosnih mjera
(kontrola)
• Lista dodatnih
kontrola koje nisu
definirane u ISMS
certifikacijskim
kriterijima
30. Faze implementacije ISMS
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 31
P
DC
A
PROJEKT
IMPLEMENTACIJE
ISMS
PROCES
UPRAVLJANJA
ISMS
AUDIT
(CERTIFIKACIJA)
Početak
projekta
implementacije
ISMS
PRIPREMA ZA
PROJEKT
IMPLEMENTACIJE
ISMS
•Animacija vrhovne uprave
•Obrazovanje tima za
implementaciju (procjenu rizika)
31. Mjerenje ISMS-a: zašto i kako?
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 32
Zato što standard
ISO/IEC 27001
eksplicitno zahtjeva
mjerenja na niz mjesta
!!!
Zato što apsolutno vrijedi
konstatacija koju je izrekao
Kelvin, Lord William Thomson,
1824-1907:
„Kada ono, o čemu govorite,
možete izmjeriti i brojčano izraziti,
onda Vi o tome i nešto znate – ali
ako ne možete izmjeriti i brojčano
izraziti, onda je Vaše znanje
mršavo i nezadovoljavajuće
vrste!”
Zato što su mjerenja preduvjet temeljnog zahtjeva svakog sistema
upravljanja: POBOLJŠANJE
32. Što mjeriti kod ISMS ?
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 33
Učinkovitost
(efektivnost) je pojam
pod kojim se
podrazumijeva
izvođenje pravih stvari
(aktivnosti) koje
dovode do ostvarenja
cilja.
Efikasnost
se definira kao
ostvarenje nekog cilja
s minimumom
troškova, napora ili
gubitaka.
PRAVA STVAR na PRAVI NAČIN
34. Kontinuirano poboljšanje
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 35
Organizacija mora kontinuirano provoditi primjereno i učinkovito
poboljšanje sistema upravljanja informacijskom sigurnošću.
PDCA ciklus
poboljšanja
35. Zaključak
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 36
• Uspostavljanje i poboljšanje ISMS-a je poslovna potreba svih
organizacija u cilju očuvanje ključnog resursa – INFORMACIJE
• Uspostavljanje ISMS-a stvara doprinos povećanja viška vrijednosti
• Uspostavljanje ISMS-a ponekad je zakonska ili obligatorna obaveza
• Uspostavljeni ISMS ne garantira uspješno poslovanje, ali neuspješni
ISMS garantira propast kompanije – pitanje je samo vremena.
36. Hvala na pažnji …
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 37
Pitanja
Komentari