200 likes | 399 Views
international user group. ISMS. Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji w administracji państwowej i samorządowej. Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO
E N D
international user group ISMS Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji w administracji państwowej i samorządowej Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO Stowarzyszenie Wspierania Rozwoju Systemów Zarządzania bezpieczeństwem informacji ISMS Polska Polish Chapter Jak rozwijać społeczeństwo informacyjne w latach 2007-2010 26 czerwca 2007
Plan prezentacji • Krótkie wprowadzenie • Wymagania bezpieczeństwa systemów teleinformatycznych używanych przez podmioty publiczne do realizacji zadań publicznych • Bezpieczeństwo systemów teleinformatycznych i informacji oparte na Polskich Normach • Rodzina norm ISO/IEC 2700x • Krótka prezentacja normy ISO/IEC 27001:2005 (PrPN ISO/IEC 27001) Wymagania na systemy zarządzania bezpieczeństwem informacji. • Warunki dojścia do certyfikacji na zgodność z ISO 27001 • Praktyczne zastosowanie normy ISO/IEC 17799 (27002) – odwzorowania wymagań przepisów prawa na kryteria bezpieczeństwa zgodne z normą • Podsumowanie
Błędne podejście: Pokaż mi ROI To tylko generuje koszty Czy mogę mieć pewność? Transfer ryzyka = transfer odpowiedzialności Bezpieczeństwo informacji = bezpieczeństwo internetowe Bezpieczeństwo to sprzęt, a nie organizacja („twarde”, a nie „miękkie”) W rzeczywistości: Model oparty na ryzyku To jest dźwignia biznesu Mogę zmniejszyć ryzyko, ale nie mogę go wyeliminować w 100% Większość problemów z bezpieczeństwem ma swoje źródło wewnątrz organizacji Bezpieczeństwo to tylko 5% nakładów na informatykę Bezpieczeństwo jest b. niedojrzałym biznesem Czym jest bezpieczeństwo informacji?
Podstawowe definicje bezpieczeństwo informacji i systemów teleinformatycznych –wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, niezaprzeczalności, rozliczalności autentyczności i niezawodności informacji i systemów, w których są one przetwarzane PN ISO/IEC 17799:2003 PN-I-13335-1:1999 polityka bezpieczeństwa informacji - udokumentowany zbiór zasad, praktyk i procedur, w którym dana organizacja określa, w jaki sposób chroni aktywa swego systemu informatycznego oraz przetwarzane informacje. PN ISO/IEC 17799:2003 system zarządzania bezpieczeństwem informacji - ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji ISO/IEC 27001:2005
Podejście do określania wymagań bezpieczeństwa informacji w polskich aktach prawnych • Brak przywołań norm • Ustawa o ochronie danych osobowych i rozporządzenie MSWiA [….] w sprawie warunków organizacyjnych i technicznych, jakim powinny odpowiadać systemy służące do przetwarzania danych osobowych • Rozporządzenie o Biuletynie Informacji Publicznej • Strukturalny problem aktualizacji aktów prawnych wraz ze zmieniającym się stanem techniki i uaktualnieniem norm • Ustawa o podpisie elektronicznym • Wpisane w dyrektywy normalizacyjne mechanizmy uaktualniania norm • W ISO – normy techniczne są aktualizowane co 3 lata, normy dotyczące zarządzania – co 5 lat • Normy można ustanowić, ale można też wycofać
Nowe podejście w aktach prawnych a wymagania dotyczące bezpieczeństwa informacji • Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne • Rozporządzenie RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych § 3. 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych. 2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji.
Opublikowane jako Polskie normy Polska Norma w opracowaniu Projekty norm międzynarodowych w opracowaniu Wymagania dla akredytacji jednostek certyfikujących Fundamentals and vocabulary ISMS Auditor Guidelines ISMS Risk Management Wymagania Wytyczne do wdrażania zabezpieczeń ISM measurements ISMS implementation guidelines
Systemy Zarządzania Bezpieczeństwem Informacji - zgodne z PN ISO/IEC 27001
Model PDCA Systemu Zarządzania Bezpieczeństwem Informacji Wdrożenie SZBI ZaplanowanieSZBI Utrzymywanie & Doskonalenie ISMS Monitorowanie & PrzeglądSZBI Cykl życia SZBI Źródło: Ted Humphreys, Konferencja Wyzwania bezpieczeństwa informacji, Warszawa, 30 marca 2006
ISO/IEC 27002(17799) Zbiór wytycznych ISO/IEC 27001 – Załącznik A Zbiór wymagań Wytyczne a Wymagania bezpieczeństwa System zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001 ISO/IEC 27002 jest normą niezbędną do wdrożenia ISO/IEC 27001
Czym ISO/IEC 17799 jest, a czym nie jest? • Zarządzanie bezpieczeństwem informacji • Zasady (polityka) bezpieczeństwa informacji z punktu widzenia potrzeb biznesowych • Organizacja bezpieczeństwa • Gestorzy aktywów • Delegacja odpowiedzialności • Mechanizmy wykonawcze, zarządcze (zatwierdzanie), nadzoru (przegląd), kontroli (niezależny audyt) • Wyniki szacowania ryzyka podstawą wyboru zabezpieczeń • Nie jest to poradnik dotyczący szacowania ryzyka • Jakkolwiek dodano nowy rozdział o szacowaniu i postępowaniu z ryzykiem • ISO/IEC 27005 jako następca ISO/IEC 13335-1/3
Wydanie 2000 Wydanie 2005 Polityka bezpieczeństwa Polityka bezpieczeństwa Organizacja bezpieczeństwa Organizacja bezp. informacji Zarządzanie aktywami Klasyfikacja i kontrola aktywów Bezpieczeństwo zasobów ludzkich Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Zarządzanie systemami i sieciami Kontrola dostępu Kontrola dostępu Pozyskanie, rozwój i utrzymanie systemów informacyjnych Rozwój i utrzymanie systemu Zarządzanie incydentami naruszenia bezpieczeństwa informacji Zarządzanie ciągłością działania Zarządzanie ciągłością działania Zgodność Zgodność
W 1. wydaniu: ZABEZPIECZENIE + Wskazówki do wdrożenia przemieszane z innymi informacjami 11 głównych zagadnień bezpieczeństwa OBSZAR BEZPIECZEŃSTWA 39 celów stosowania zabezpieczeń w obszarach bezpieczeństwa CEL STOSOWANIA ZABEZPIECZEŃ W 2. wydaniu: Deklaracja zabezpieczenia spełniającego cel stosowania ZABEZPIECZENIE Wytyczne do wdrożenia Wytyczne ułatwiające wdrożenie zabezpieczenia w sposób umożliwiający spełnienie celu stosowania Inne informacje Wyjaśnienia związane z wdrożeniem zabezpieczenia (np. uwarunkowania prawne), które należy uwzględnić przy wdrożeniu
Sformułowanie kryteriów 1 audytu Zdefiniowanie mierników 2 spełnienia kryteriów Poszukiwanie dowodów 3 spelnienia kryteriów 4 Ocena - porównanie stanu faktycznego z stanem opisanym za pomocą mierników Praktyczne zastosowanie normy ISO/IEC 17799 – audyt bezpieczeństwa
Certyfikacja systemów zarządzania bezpieczeństwem informacji przez niezależną stronę trzecią • Normy certyfikacji na zgodność • ISO/IEC 27001:2005 (wcześniej BS 7799 Part:2002) – Załącznik A zawiera zabezpieczeniaz ISO/IEC 17799:2005 • ISO/IEC 27006 Wymagania akredytacji dla jednostek certyfikującychsystemy zarządzania bezpieczeństwem informacji • ISO Guide 62/EN 45012 (ISO 17021) - Conformity assessment — Requirements for bodies providing audit and certification of management systems • ISO 19011 (PN ISO 19011) Wytyczne do audytowania systemów zarządzania jakością i/lub środowiskowego
Dynamika wzrostu certyfikacji systemów zarządzania bezpieczeństwem informacji 16 certyfikatów zgodności organizacji polskich Źródło: http://www.iso27001certificates.com
Podsumowanie • Kompletny zbiór norm międzynarodowych dotyczący zarządzania bezpieczeństwa informacji jest w trakcie tworzenia • Kierunki są wyraźnie zaznaczone (horyzont 2008) • Potrzeby są zdefiniowane (horyzont 2010) • Rynek a obowiązek ISMS • Wymagania kontraktowe • Niezależne potwierdzenie strony trzeciej • Możliwość wpisania mechanizmów zgodności z aktualnymi wydaniami norm międzynarodowych/krajowych jako wymagań bezpieczeństwa informacji i systemów teleinformatycznych do stosownych aktów prawnych • Rozporządzenie Komisji UE 1290/2006 w sprawie akredytacji Agencji Płatniczych • Ustawa o informatyzacji i rozporządzenie dot. minimalnych wymagań dla systemów teleinformatycznych - Ujednolicenie wymagań dla systemów administracji państwowej i samorządowej
Pytania, uwagi, komentarze ... prezes@ismspolska.org.pl