Szkolenie Norma ISO 27001-2013 - 3 dni

Wymagania normy ISO/IEC 27001:2013 ISO/IEC 27001 PLAN prezentacji Na każdym etapie można zadawać pytania ws - pdf za darmo

15 downloads 53727 Views 5MB Size

Recommend Stories


PN-EN ISO 9001
PN-EN ISO 9001 - pdf za darmo

norma 6946 - 1999 dydaktyka 2015
norma 6946 - 1999 dydaktyka 2015 - pdf za darmo

Certyfikat ISO 27001 2013
Certyfikat ISO 27001 2013 - pdf za darmo

Story Transcript


Wymagania normy ISO/IEC 27001:2013

ISO/IEC 27001

PLAN prezentacji wstęp

Kierunek zmian w nowej normie ISO 27001

Wymagania normy ISO 27001

Na każdym etapie można zadawać pytania

wstęp

Podstawowe informacje o normach

Normy podstawowe ISO/IEC 27000: 2014 Systemy zarządzania bezpieczeństwem informacji Przegląd i terminologia ISO/IEC 27001: 2013 Systemy zarządzania bezpieczeństwem informacji. Wymagania ISO/IEC 27002: 2013 Praktyczne zasady zabezpieczania informacji

Inne normy powiązane

ISO/IEC 27005:2011 - Zarządzanie ryzykiem w bezpieczeństwie informacji

ISO/IEC 27006:2011 - Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji ISO 31000:2009 - Zarządzanie ryzykiem - Zasady i wytyczne

Dlaczego istnieje potrzeba zarządzania bezpieczeństwem informacji • 15000 kart pacjentów znalazło się na śmietniku • Zaginięcie w archiwum dokumentów dotyczących zgody właściciela na postawienie linii wysokiego napięcia naraziło spółkę na przegrany proces i duże straty finansowe • 25 pracowników z działu rozwoju przeszło nagle do konkurencji • dostawca nowego systemu obiecywał migrację danych ze starego systemu do nowego w 4 dni – migracja trwała 3 miesiące • Brak aktualnych planów z infrastrukturą podziemną spowodował zwiększenie kosztów inwestycji o 30%. Inwestor zerwał umowę i wygrał w sądzie duże odszkodowanie za poniesione straty. • Dyrektor Generalny Forda przeszedł do VW, biorąc ze sobą trochę dokumentów – planów rozwojowych

Dlaczego istnieje potrzeba zarządzania bezpieczeństwem informacji • Wprowadzanie tzw. ‚martwych dusz” do systemu informatycznego Zakładu Ubezpieczeń Społecznych • Listę osób kilkunastu milionów klientów sieci komórkowej w Moskwie można kupić na bazarze za 10$ na CD (po negocjacjach) • Dziennik Polski (Kraków): Od kilku dni policja wyjaśnia pochodzenie mapy przedstawiającej m.in. VIP-ów podczas ubiegłotygodniowych uroczystości w Auschitz-Birkenau. Mapę znaleziono w pociągu dwa dni przed obchodami. • Raport Departamentu Obrony USA stwierdza, że 88% ich komputerów było penetrowane. Skutecznie penetrowane były także systemy MON, Urzędu Rady Ministrów, Urzędu Ochrony Państwa, TPSA.

Jestem pewien, że istnieją lepsze sposoby na kamuflaż dla danych wrażliwych, ale mamy ograniczony budżet.

Odpowiedzialność i konsekwencje za informacje

Kierunek zmian w nowej normie ISO 27001

Zakres zmian

W nowej wersji standardu ISO 27001, która została opublikowana w 20013 roku, wprowadzono szereg zmian. Część z nich to zmiany kosmetyczne, jednak pojawia się także kilka istotnych modyfikacji, które powinny zostać uwzględnione przez organizację posiadające SZBI.

Nowy standard kładzie większy nacisk na pomiar i ocenę wydajności SZBI danej organizacji. Dużo więcej uwagi poświęca się tzw. kontekstowi organizacji. Zanim ustanowi się SZBI, organizacja powinna zidentyfikować i zrozumieć potrzeby oraz oczekiwania wszystkich zainteresowanych stron. Zainteresowane strony mogą obejmować klientów i dostawców. Ich wymagania zawarte mogą być w udokumentowanych kontraktach, zamówieniach, specyfikacjach, itp.

W nowym standardzie usunięto punkt dotyczący działań zapobiegawczych. Wynikało to z faktu, że podstawowy element SZBI czyli zarządzanie ryzykiem, obejmowało już podejmowanie działań zapobiegawczych i dodatkowe elementy były zbędne.

Ponadto w procesie zarządzania ryzykiem nie wymaga się już identyfikacji zagrożeń i podatności dla aktywów. Organizacji pozostawia się więcej swobody w doborze metodyki identyfikacji i oceny ryzyka. Wskazuje się jednocześnie standard ISO 31000 jako źródło dodatkowych wytycznych dotyczących zarządzania ryzykiem. Pojęcie właściciela aktywów zastąpione zostało właścicielem ryzyka, aby podkreślić kluczową odpowiedzialność.

Jakie zmiany wprowadza aktualizacja normy? ISO 27001 można podzielić na 3 obszary: - klauzule od 0 do 3, - klauzule od 4 do 10 i - załącznika A.

Klauzule 0 do 3: Nie jest już wymagane, aby Organizacja opierała swój SZBI na modelu PDCA.

Klauzule od 4 do 10: Klauzule od 4 do 10 są przeredagowane pod kątem zgodności z nowym "wzorcem" dla wszystkich norm dotyczących systemów zarządzania. Obecnie wymagania składają się z 7 rozdziałów, od 4 do 10.

Klauzula 4 wymaga od Organizacji podczas tworzenia SZBI wzięcia pod uwagę "kontekstu organizacji". Kontekst organizacji zawiera w sobie kwestie zewnętrzne i wewnętrzne oraz skupia się na interesach zainteresowanych stron i zgodności z wymaganiami prawnymi.

Klauzula 5.2 jasno określa wymagania polityki SZBI. Zmiany sprawiają, że wymogi polityki SZBI są bardziej spójne z innymi standardami i nawiązują do celów (klauzula 6.2).

Wymagania dotyczące "Nadzoru nad dokumentacją" oraz "Nadzoru nad zapisami„ zastąpione są wymaganiami w zakresie nadzoru nad „Udokumentowaną informacją”.

W aneksie A dokonano modyfikacji w zabezpieczeniach. Przede wszystkim mamy do czynienia z nowym podziałem zabezpieczeń na grupy. Zamiast 10 mamy teraz 14 grup zabezpieczeń: Część zabezpieczeń zostało zmodyfikowanych, połączonych lub doprecyzowanych. Mamy teraz 114 zamiast 133 zabezpieczeń.

Wprowadzono kilka nowych zabezpieczeń, m.in.: A.6.1.5 Bezpieczeństwo informacji w zarządzaniu projektami A.14.2.1 Polityka bezpieczeństwa prac rozwojowych A.14.2.5 Zasady projektowania bezpiecznych systemów A.14.2.6 Bezpieczne środowisko rozwojowe A.14.2.8 Testowanie bezpieczeństwa systemów

cd. A.15.1.3 Łańcuch dostaw technologii informacyjnych i telekomunikacyjnych A.16.1.4 Ocena i podejmowanie decyzji w sprawie zdarzeń związanych z bezpieczeństwem informacji A.16.1.5 Reagowanie na incydenty związane z bezpieczeństwem informacji A.17.2.1 Dostępniść środków przetwarzania informacji

Definicja informacji (Encyklopedia Powszechna PWN) INFORMACJA : obiekt abstrakcyjny, który w postaci zakodowanej może być przechowywany na nośniku danych, przesyłany np. głosem, falą elektromagnetyczną, prądem elektrycznym, przetwarzany i użyty do sterowania.

Definicja informacji (ISO 27002:2013) „INFORMACJA to aktyw, który, podobnie jak inne ważne aktywa biznesowe, ma dla instytucji wartość i dlatego należy go odpowiednio chronić.”

System informacyjny ≠ system informatyczny!!!

System zarządzania bezpieczeństwem informacji

≠ zarządzanie bezpieczeństwem systemów informatycznych!!!

Bezpieczeństwo informacji „Bezpieczeństwo informacji oznacza, że informacje są chronione przed szerokim zakresem zagrożeń w celu zapewnienia ciągłości działalności, ograniczenia strat i maksymalizacji zwrotu z inwestycji oraz działań biznesowych (rozwoju firmy)” Bezpieczeństwo informacji oznacza zachowanie:

POUFNOŚĆ

INTEGRALNOŚĆ

(confidentiality)

(integrity)

Zapewnienie, że informacje są dostępne tylko dla osób uprawnionych

Zagwarantowanie dokładności i kompletności informacji oraz metod ich przetwarzania

DOSTĘPNOŚĆ DOSTĘPNOŚĆ (availability) (availability)

Zapewnienie Zapewnienie upoważnionym upoważnionym użytkownikom użytkownikom dostępu dostępudo doinformacji informacji i izwiązanych związanychzznimi nimi zasobów, zasobów, zgodnie zgodniezzpotrzebami potrzebami

Rodzaje informacji objęte SZBI • Wewnętrzne – informacje, które nie powinny dotrzeć do konkurencji, ponieważ my tego nie chcemy. • Dotyczące konsumentów/pacjentów – informacje, które nie powinny być ujawnione, ponieważ oni tego nie chcą. • Informacje, które muszą być przekazywane innym partnerom (np. handlowym).

PODSTAWOWE DEFINICJE ZAGROŻENIE Potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub instytucji.

PODATNOŚĆ Słabość zasobu lub grupy zasobów, która może wykorzystana przez zagrożenie.

Przykłady zagrożeń dla informacji: • Człowiek – najsłabsze ogniwo (każdego można przekupić) – chronić centra kompetencyjne (identyfikacja kompetencji, odejście do konkurencji, dostępność kompetencji) • Nieautoryzowana informacja w Internecie • Dostęp fizyczny do stref chronionych (bramki) • Pracownik współpracujący z prasą • Rozmowy w miejscach publicznych • Zagubienie laptopa • Kradzież twardych dysków • Zagubione nośniki danych • Sprzątanie biur • Zasada czystego ekranu i biurka, tablice do prezentacji • Brak klauzul poufności w umowach i weryfikacji dostawców • Brak zarządzania kluczami do pomieszczeń

Przykłady zagrożeń dla informacji cd.: • Dokumenty wrażliwe, a drukowanie (brak nadzoru) • Brak procedur przeglądu stacji roboczych • Kopie zapasowe (brak regularności, nie robi się kopii dokumentów, właściwy nadzór – poza siedzibą, weryfikacja zapisu) • Przeciążanie danymi w celu wywołania awarii systemu lub sieci • Brak sprawdzania szyfrowania transakcji w Internecie (certyfikat bezpieczeństwa) • Brak planów awaryjnych (usuwanie skutków, zasilanie awaryjne)

Przykłady zagrożeń dla informacji cd.: • Używanie tego samego hasła przez wielu użytkowników • Stosowanie domyślnych nazw kont i haseł (zapamiętywanie w systemie operacyjnym) • Łamanie słabo zabezpieczonych haseł (powinien być odpowiednio długi łańcuch znaków, znaki specjalne i alfa – numeryczne) • Hasła nieodporne na metodę słownikową • Hasła na „żółtych karteczkach”

Wymagania ISO/IEC 27001

Technika informatyczna --Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji. WYMAGANIA

4. Kontekst organizacji 4.1. Zrozumienie organizacji i jej kontekstu

Organizacja powinna określić zagadnienia zewnętrzne i wewnętrzne, które mają związek z jej przeznaczeniem, a wywierają wpływ na jej zdolność do osiągania zamierzonych rezultatów stosowanego systemu zarządzania bezpieczeństwem informacji.

4.2. Zrozumienie potrzeb i oczekiwań stron zainteresowanych Organizacja powinna określić: a) zainteresowane strony związane z systemem zarządzania bezpieczeństwem informacji; oraz b) wymagania tych zainteresowanych stron odnoszące się do bezpieczeństwa informacji.

Uwaga: Wymagania stron zainteresowanych mogą obejmować wymagania prawne i regulaminowe oraz zobowiązania umowne.

4.3. Określenie zakresu systemu zarządzania bezpieczeństwem informacji Organizacja powinna określić granic...

Life Enjoy

When life gives you a hundred reasons to cry, show life that you have a thousand reasons to smile

Get in touch

Social

© Copyright 2016 - 2019 AZPDF.PL - All rights reserved.