norma iso/iec 27001:2013 – najnowsze zmiany w systemach ... · iso/iec 27001:2013 infoformation...
TRANSCRIPT
Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania
bezpieczeństwem informacji
dr inż. Bolesław Szomański
Wydział Zarządzania
Politechnika Warszawska
b.szomań[email protected]
Plan Prezentacji
ISO/IEC 27001:2013 budowa
ISO/IEC 27001:2005 przejście do ISO/IEC 27001:2013
Załącznik A do normy ISO 27001:2013 czyli budowa ISO/IEC 27002:2011
Polskie tłumaczenia norm dotyczących bezpieczeństwa informacji
i zarządzania usługami
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 1 z 19
ISO/IEC 27001:2013
Infoformation technology – Security techniques -Information security management systems - Requirements
Systemy zarządzania bezpieczeństwem informacji - Wymagania
Najnowsza rewizja normy z 2005 rokuWg nowej struktury załącznika SL
do dyrektywy ISO jednolitej dla wszystkich systemów zarządzania Angielska wersja załącznika SL jest dostępna na stronie www.iso.org szukaj directive
Norma opublikowana 26 września 2013
(c) B.Sz 32013-11-27
ISO/IEC 27001:2013
0. Wprowadzenie0.1 Postanowienia ogólne ~~0.2 Zgodność z innymi systemami zarządzania ~~
1 Zakres normy ~~2 Powołania normatywne ~~~~3 Terminy i definicje ~~~~~~~~~~~~ 4 Kontekst organizacji~++5 Przywództwo ~56. Planowanie + 4.17. Wsparcie + 5,4.38. Operacje + 4,2,39. Ocena działań <- 4.2.3, 6, 710. Doskonalenie 8 ~~Załącznik A Cele stosowania zabezpieczeń i zabezpieczenia ~~~~
(c) B.Sz 42013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 2 z 19
4. Kontekst organizacji
4.1 Zrozumienie kontekstu organizacji +
4.2. Zrozumienie potrzeb i o oczekiwań zainteresowanych stron +
4.3 Określenie zakresu systemu zarządzania ~~4.1
4.4 System zarządzania bezpieczeństwem o informacji 4.1
(c) B.Sz 52013-11-27
5. Przywództwo ~~5
5.1. Przywództwo i zaangażowanieo 4.2.1 , 5.1
5.2. Polityka ~~ 4.2.15.3 Organizacyjne role, odpowiedzialności,
zwierzchnictwo +
(c) B.Sz 62013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 3 z 19
6. Planowanie
6.1 Działania dla zajmowania się ryzykiem o i możliwościami
6.1.1 Wprowadzenie
6.1.2. Ocena ryzyka w bezpieczeństwie informacji
6.1.3 Postępowanie z ryzykiem w bezpieczeństwie
6.2 Cele bezpieczeństwa informacji i plany do ich osiągnięcia
(c) B.Sz 72013-11-27
6.1.2. Ocena ryzyka w bezpieczeństwie informacji ~4.2.1
Organizacja powinna zdefiniować i wdrożyć proceso oceny bezpieczeństwa informacji który
ustanowi i utrzyma kryteria ryzyka w bezpieczeństwie • informacji zawierające
o Kryteria akceptowania ryzykao Kryteria dla przeprowadzenie oceny ryzyka
zapewni że powtarzalna ocena ryzyka w bezpieczeństwie o informacji uzyska znaczące, ważne i powtarzalne wyniki
Zidentyfikuje ryzyka w bezpieczeństwie informacjio Wykorzysta proces oceny ryzyka do zidentyfikowania ryzyk związanych o z utratą poufności, integralności i dostępności w zakresie o Systemu zarządzania bezpieczeństwem informacji
(c) B.Sz 82013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 4 z 19
6.1.2
Przeanalizuje ryzyka w bezpieczeństwie informacjio oceniając potencjalne konsekwencje jakie wystąpią jeżeli
• ryzyka zidentyfikowane w 6.1.2 się zmaterializują
o Oceni realne prawdopodobieństwo wystąpienia ryzyk • zidentyfikowanych w 6.1.2 i
o Określi Poziom tych ryzyk
Oszacuje ryzyka w bezpieczeństwie informacjio porówna wyniki analizy ryzyka z kryteriami ustanowionymi w
• Pkt. 6.1.2
o określi priorytety ryzyk dla postępowania z ryzykiem
Organizacja powinna zachować udokumentowaną informację o procesie oceny ryzyka w bezpieczeństwie informacji
(c) B.Sz 92013-11-27
6.1.3 Postępowanie z ryzykiem w bezpieczeństwie Informacji ~~ 4.2.1
Organizacja powinna zdefiniować i wdrożyć proces o postępowania z ryzykiem bezpieczeństwie informacji dla
Wybrania odpowiednich opcji w postępowania z o ryzykiem w bezpieczeństwie informacji biorąc pod uwagę wyniki o oceny ryzyka
Ustalenia wszystkich zabezpieczeń które są potrzebne o dla wdrożenia wybranych opcji postępowania z ryzykiem w o bezpieczeństwa informacji
Porównania wyników w pkt. 6.1.3 powyżej o z podanymi w załączniku A i weryfikacji że niepotrzebne o zabezpieczenia będą ominięte
(c) B.Sz 102013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 5 z 19
6.1.3
Wykonania Deklaracji Stosowania która zawiera o niezbędne zabezpieczenia (patrz 6.1.3 i uzasadnienie ich o włączenia czy są wdrożone czy nie i uzasadnienie wyłączenia o zabezpieczeń z załącznika A
Sformułowania planu postępowania z ryzykiem Uzyskania aprobaty właścicieli ryzyka dla planu
o postępowania z ryzykiem w bezpieczeństwie informacji
Organizacja powinna zachować udokumentowaną informację o procesie postępowania z ryzykiem w bezpieczeństwie informacji
(c) B.Sz 112013-11-27
7. Wsparcie
7.1 Zasoby ~~ 5.2.1
7.2. Kompetencje ~~ 5.2.2
7.3. Świadomość ~~ 5.2.2
(c) B.Sz 122013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 6 z 19
7.4. Komunikacja +
Organizacja powinna określić potrzebę wewnętrznej i o zewnętrznej komunikacji istotnej systemu zarządzania
o bezpieczeństwem informacji, a w tym
Co jest komunikowane;
Kiedy jest komunikowane;
Z kim jest prowadzona komunikacja
Kto powinien się komunikować
Proces na który wpływa komunikacja
(c) B.Sz 132013-11-27
7.5. Udokumentowana informacja ~~ 4.3
7.5.1 Wymagania ogólne
7.5.2. Opracowanie i aktualizowanie
7.5.3. Nadzór nad udokumentowaną informacją
(c) B.Sz 142013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 7 z 19
7.5.3
Udokumentowane informacje pochodzenia zewnętrznego uznane przez organizację za niezbędne
do planowania i funkcjonowania systemu zarządzania
bezpieczeństwem informacji powinny być zidentyfikowane
jako odpowiednie i nadzorowane.
(c) B.Sz 152013-11-27
8. Operacje 8.1 Planowanie i nadzorowanie operacji 8.2 Ocena ryzyka w bezpieczeństwie informacji ~~ 4.2.3 Organizacja powinna prowadzić ocenę ryzyka w
bezpieczeństwie informacji w planowanych odstępach lub kiedy istotne zmiany są proponowane lub nastąpią biorąc po uwagę kryteria ustanowione w 6.1.2
Organizacja powinna zachować udokumentowaną informację o wynikach oceny ryzyka w bezpieczeństwie informacji
8.3 Postępowanie z ryzykiem w bezpieczeństwie informacji 4.2.3 Organizacja powinna prowadzić plan postępowania
z ryzykiem w bezpieczeństwie informacji
Organizacja powinna zachować udokumentowaną informację o wynikach planu postępowania z ryzykiem
(c) B.Sz 162013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 8 z 19
9. Ocena wykonania
9.1. Monitorowanie, pomiar analiza i ocena 4.2.3
9.2 Wewnętrzny audit ~~ 6
9.3. Przegląd realizowany przez kierownictwo 7
(c) B.Sz 172013-11-27
10. Doskonalenie ~~ 4.2.4
10.1 Niezgodności i działania korygujące
10.2 Ciągłe doskonalenie Organizacja powinna ciągle doskonalić
o przydatność,
o adekwatność i
o skuteczność
o Systemu zarządzania bezpieczeństwem informacji
(c) B.Sz 182013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 9 z 19
Załącznik A Cele stosowania zabezpieczeń i zabezpieczeń
Załącznik A jest obligatoryjnyo ale
możliwe jest wyłączenie zabezpieczeń z tego załącznika
po podaniu uzasadnienia
Załącznik A stanowi podstawę do opracowania Deklaracji Stosowania
Załącznik A może być uzupełniony o inne zabezpieczenia
(c) B.Sz 192013-11-27
A.5. Polityka bezpieczeństwa =A5
A.5.1 Wskazówki dla kierownictwa o o bezpieczeństwie informacji [2]
(c) B.Sz 202013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 10 z 19
A.6. Organizacja bezpieczeństwa informacji
A. 6.1 Wewnątrz organizacji [5]+
A.6.1.5 Bezpieczeństwo informacji w zarządzaniu o Projektami {!}
A.6.2 Urządzenia mobilne i praca zdalna [2] ~~11.7
(c) B.Sz 212013-11-27
A.7. Bezpieczeństwo zasobów ludzkich A8
A.7.1 Przed zatrudnieniem~[2] A.8.1
A.7.2 Podczas zatrudnienia =[3] A.8.2
A.7.3 Zakończenie lub zmiana zatrudnienia ~~A.8.3 [1]
(c) B.Sz 222013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 11 z 19
A.8. Zarządzanie zasobami A7
A.8.1 Odpowiedzialność za zasoby A7.1 [4]+A8.3
A.8.2 Klasyfikacja informacji A7.2 [3]+ A.8.2.3 Utrzymanie zasobów
A.8.3 Utrzymywanie nośników [3] A.10.7+A10.8
(c) B.Sz 232013-11-27
A.9. Kontrola dostępu A11
A.9.1 Wymagania biznesowe kontroli dostępu A11.1[2]+ A.9.1.2 Dostęp do sieci i usług sieciowych
A.9.2 Zarządzanie dostępem użytkowników [6]+ A.9.2.2 Zabezpieczenia dostępu użytkowników+ A.8.2.3
A.9.3 Odpowiedzialność użytkowników A.11.3 [1]
A.9.4 Kontrola dostępu do aplikacji i systemów ~~A.11.5 i A.11.6 [5]
(c) B.Sz 242013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 12 z 19
A.10 Kryptografia ^^^
A.10.1 Zabezpieczenia kryptograficzne = A12.3 [2]
(c) B.Sz 252013-11-27
A.11. Bezpieczeństwo fizyczne i środowiskowe A.9
A.11.1 OBSZARY BEZPIECZNE =A9.1
A.11. Bezpieczeństwo fizyczne i środowiskoweA.11.2 Bezpieczeństwo sprzętu =A9.2 [9]+A.11.3.2
(c) B.Sz 262013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 13 z 19
A.12. Bezpieczeństwo operacyjne A.10
A.12.1 Procedury eksploatacyjne i zakresy o Odpowiedzialności = A.10.1
A.12.2 Ochrona przed złośliwym Oprogramowaniem ~~A.10.4 [1]
A.12.3 Kopie zapasowe = A.10.5 [1] A.12.4 Logowanie i monitorowanie A.10.10 [5] A 12.5 Nadzór nad oprogramowaniem ~~ A.12.5.2 A.12.6 Zarządzanie podatnościami technicznymi [2]
~~A18.1+ A.12.5.3 A.12.7 Rozważania dotyczące audytu
o systemów informacyjnych [1] A15.3
(c) B.Sz 272013-11-27
A.13 Bezpieczeństwo komunikacji ^^
A.13.1 Zarządzanie bezpieczeństwem sieci [3] ~~~~A.11.4+A.10.6
A.13.2 Przekazywanie informacji [4] ~~ A.10.8+A6.1
(c) B.Sz 282013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 14 z 19
A.14. Pozyskiwanie, rozwój i utrzymanie systemu A.12
A.14.1 Wymagania bezpieczeństwa systemów o Informacyjnych A.12.1+A.10.9 [3]
A.14.2 Bezpieczeństwo w procesach o rozwojowych i obsługi informatycznej [9] ~~ A.12.5
A.14.2.1 Polityka bezpiecznego rozwoju A.14.2.2 Procedury kontroli zmian A.14.2.5 Zasady konstrukcji bezpiecznego systemu A.14.2.6 Bezpieczne środowisko projektowania A.14.2.8 Testowanie bezpieczeństwa systemu A.14.2.9 Testy akceptacyjne systemu
A.14.3 Dane testowe == A.12.4.3(c) B.Sz 292013-11-27
A 15 Stosunki z dostawcami ^^
A. 15.1 Bezpieczeństwo informacji w stosunkach z o Dostawcami ~~A.6.2 [2]+A10.8.1
A.15.1.3 Informacja i komunikacja w łańcuchu dostaw
A.15.2. Zarządzanie usługami dostarczonymi przez o Dostawców~~ A.10.2
(c) B.Sz 302013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 15 z 19
A.16. Zarządzanie incydentami w bezpieczeństwie informacji A13
A.16.1 Zarządzanie incydentami w o bezpieczeństwem informacji oraz doskonaleniemA13 [6]+
A.16.1.4 Ocena i decyzja dotycząca zdarzeń w o bezpieczeństwie informacji
(c) B.Sz 312013-11-27
A.17. Aspekty bezpieczeństwa informacji w Zarządzania ciągłością działania A14
A.17.1 Ciągłość działania w bezpieczeństwie o Informacji ~~ A.14.1 [3]
A.17.2 Nadmiarowość [1]
(c) B.Sz 322013-11-27
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 16 z 19
A.18. Zgodność A 15
A.18.1 Zgodność z przepisami prawnymi i o wymaganiami kontraktowymi A.15.1 [5]
(c) B.Sz 332013-11-27
ISO/IEC 27001:2005 budowa0. wprowadzenie0.1 Postanowienia ogólne ~~0.2 Podejście procesowe #0.30,2 Zgodność z innymi systemami zarządzania ~~
1. Zakres normy ~~2. Powołania normatywne ~~3. Terminologia i definicje ISO/IEC 270004. System zarządzania bezpieczeństwem informacji 4,5,6, ISO 27003
5. Odpowiedzialność kierownictwa 56. Wewnętrzne audyty SZBI 9.27. Przegląd realizowany przez kierownictwo 9.38. Doskonalenie SZBI 10Załącznik. A. Cele stosowania zabezpieczeń i zabezpieczenia (czeka na ISO 27002)Załącznik. B. Zasady OECD #Załącznik. C. Korespondencja z ISO 9001:2000 i ISO 14001:2004 #
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 17 z 19
Polskie tłumaczenia norm ISO rodziny 27000
PN ISO/IEC 27000:2012 Technika informatyczna -- Techniki bezpieczeństwa Terminologia systemów zarządzania bezpieczeństwem informacji
PN-ISO/IEC 24762 :2010 Technika informatyczna Techniki zabezpieczeń Wytyczne do technik informacyjnych i komunikacyjnych dla usług odtwarzania po katastrofie
Nowe tłumaczenia
PN ISO/IEC 27005:2013 Technika informatyczna
Techniki bezpieczeństwa
Zarządzanie ryzykiem w bezpieczeństwie informacji
PN-ISO/IEC 27006:2013 Technika informatyczna
Techniki bezpieczeństwa
Wymagania dla jednostek prowadzących audyt i
certyfikację systemów zarządzania bezpieczeństwem
informacji
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 18 z 19
Nowe tłumaczenia
PN-ISO/IEC 27013 Technika informatyczna
Techniki bezpieczeństwa
Wytyczne do zintegrowanego wdrożenia ISO/IEC 27001
oraz ISO/IEC 20000-1
PN-ISO/IEC 20000-1:2013 Technika informatyczna
Zarządzanie usługami
Część 1: Wymagania dla systemu zarządzania usługami
WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
2013.11.28 (c) BSz Strona 19 z 19