ISO 27001 – nowy standard bezpieczeństwa

CryptoCon, 30-31.08.2006
Plan prezentacji

• Zagrożenia dla informacji

• Normy zarządzania bezpieczeństwem informacji

• BS 7799-2:2002 a ISO/IEC 27001:2005

• ISO/IEC 27001:2005

• Wdrażanie Systemu Zarządzania Bezpieczeństwem

Informacji w firmie
Plan prezentacji

• Zagrożenia dla informacji

• Normy zarządzania bezpieczeństwem informacji

• BS 7799-2:2002 a ISO/IEC 27001:2005

• ISO/IEC 27001:2005

• Wdrażanie Systemu Zarządzania Bezpieczeństwem

Informacji w firmie
Liczba incydentów

Procent firm deklarujących wystąpienie incydentów

%
60
56 2002 2004 2005
50 51
46
40
30 36 36

20 23
10 12 14 10 4 5 3 1 2 1
0
0 1-9 10-49 50-499 >500
Liczba incydentów

Źródło: CSO 2005

Główne typy ataków

Pięć głównych typów ataku

Złośliwy kod 59%

Inny 26%

Nieautoryzowane
25%
wejście

Przeciążenie serwera
21%
poczty

Nielegalne dane i
15%
dokumenty

0% 10% 20% 30% 40% 50% 60% 70%

Źródło: CSO 2005

Główne kierunki ataków

Pięć głównych kierunków ataku

E-mail z wirusem 68%

Znana luka w
26%
systemie operacyjnym

Nadużycie uprawnień 21%

Inne 19%

Znana luka w
16%
programowaniu

0% 10% 20% 30% 40% 50% 60% 70% 80%

Źródło: CSO 2005

Główne źródła ataków

Pięć głównych źródeł ataku

Hakerzy 63%

Pracownicy 33%

Inne 25%

Byli pracownicy 20%

Klienci 11%

0% 10% 20% 30% 40% 50% 60% 70%

Źródło: CSO 2005

Skąd firma dowiedziała się o ataku?

Skąd firma dowiedziała się o ataku

Firewall, plik Log, IDS 50%

Ostrzeżenie od kolegi 39%

Uszkodzenia
21%
materialne lub danych

Alarm od klienta 14%

Ostrzeżenie od
11%
dostawcy usług

0% 10% 20% 30% 40% 50% 60%

Źródło: CSO 2005

Kto został poinformowany o ataku

W rezultacie ataku skontaktowałem się z:

Nikim 55%

Klientami 16%

Partnerami/dostawcami 14%

Konsultantami 12%

0% 10% 20% 30% 40% 50% 60%

Źródło: CSO 2005

Bezpieczeństwo w praktyce

• Jedno z czasopism stało się posiadaczem dysków twardych z danymi MSZ.

• „Nie ma pewności, że dane podatników w urzędach skarbowych są

całkowicie bezpieczne” – cytat Wojewódzkiego Sądu Administracyjnego w
Warszawie.

• Na śmietniku znaleziono dokumenty z informacjami o osobach,

które pobierały zasiłki (500 nazwisk, PESEL, adresy zamieszkania).
Bezpieczeństwo w praktyce

„Sprzedali mu nasze konta…”

Poufne dane z Banku Millennium znalazły się na wysypisku. Bankowcy są

zszokowani tą informacją. To jak mają czuć się klienci?

Tysiąc numerów kart płatniczych, dane osobowe, faktury, informacje o kontach

i niemal tysiąc listów od klientów Banku Millennium, wylądowało na
złomowisku. Wszystko to zawierał twardy dysk komputera, który trafił
przypadkiem do mieszkańca Gdańska.

Super Express, 17 lutego 2005

Konieczność ochrony informacji

• Konieczność uchronienia się przed utratą reputacji, odpowiedzialnością karną

czy koniecznością zapłaty kar finansowych spowodowanych przez
przypadkowe oraz umyślne naruszenia bezpieczeństwa.
• Zagrożenia związane z coraz to nowymi zastosowaniami systemów
informatycznych, przetwarzających coraz więcej informacji.
• Niska świadomość pracowników dotycząca zagrożeń.
• Stworzenie struktury zarządzania gwarantującej monitorowanie stanu
bezpieczeństwa i reagującej na zmieniające się uwarunkowania w tym
zakresie.
• Określenie odpowiedzialności związanych z bezpieczeństwem informacji.
• Aspekt „marketingowy” – najlepsi inwestują w bezpieczeństwo.
Plan prezentacji

• Zagrożenia dla informacji

• Normy zarządzania bezpieczeństwem informacji

• BS 7799-2:2002 a ISO/IEC 27001:2005

• ISO/IEC 27001:2005

• Wdrażanie Systemu Zarządzania Bezpieczeństwem

Informacji w firmie
Historia standardów
1993 BS PD0003:1993

WYTYCZNE WYMAGANIA

1995 BS 7799-1:1995

BS 7799-2:1998
1998

1999 BS 7799-1:1999 BS 7799-2:1999

2000 ISO/IEC
17799:2000

2002 BS 7799-1:2002 BS 7799-2:2002

Standardy:
2003 PN-ISO 17799:2003

Polskie
ISO/IEC 17799:2005 PN-I-07799-2:2005
2005
Brytyjskie
ISO/IEC 27001:2005

Międzynarodowe
2007 Rodzina standardów ISO/IEC 27000
ISO/IEC 27001 a ISO/IEC 17799

Norma ISO/IEC 27001 służy do Norma ISO/IEC 17799 – jest kodeksem,

certyfikacji zawiera wytyczne, a nie wymagania

Wymagania Wytyczne

System zarządzania
bezpieczeństwem informacji
Plan prezentacji

• Zagrożenia dla informacji

• Normy zarządzania bezpieczeństwem informacji

• BS 7799-2:2002 a ISO/IEC 27001:2005

• ISO/IEC 27001:2005

• Wdrażanie Systemu Zarządzania Bezpieczeństwem

Informacji w firmie
Norma ISO/IEC 27001:2005

• Mając na uwadze postępujący rozwój na rynku

bezpieczeństwa informacji organizacja ISO (International
Organization for Standardization) w listopadzie ubiegłego roku
zakończyła prace nad nową normą, której zamierzeniem jest
zapewnienie bezpieczeństwa informacji we wszystkich jego
aspektach.

• Norma ta wprowadza udoskonalenia w stosunku do

poprzednio obowiązującego standardu, czyli normy
BS 7799-2:2002.
Zmiany wprowadzone w ISO/IEC 27001:2005

• Wymagania dotyczące zarządzaniu incydentami bezpieczeństwa zebrano w jeden

nowy punkt normy.

• Rozszerzone zostały kwestie dotyczące identyfikacji sprzętu w sieciach, jak również

zarządzania i nadzoru nad technicznymi podatnościami.

• Dodano kryteria oceny nowych technologii takich jak:

– transakcje on-line,

– mobilny kod.
Zmiany wprowadzone w ISO/IEC 27001:2005

• Wprowadzono wymaganie dotyczące pomiaru skuteczności wdrożonych

zabezpieczeń.

• Wprowadzono wymaganie ukierunkowania planów ciągłości działania na aspekt

bezpieczeństwa informacji.

• Rozszerzone zostały kwestie dotyczące między innymi

bezpieczeństwa w kontaktach z klientami.
Plan prezentacji

• Zagrożenia dla informacji

• Normy zarządzania bezpieczeństwem informacji

• BS 7799-2:2002 a ISO/IEC 27001:2005

• ISO/IEC 27001:2005

• Wdrażanie Systemu Zarządzania Bezpieczeństwem

Informacji w firmie
Systemowe podejście do bezpieczeństwa informacji

Bezpieczeństwo
Ludzie Usługi
osobowe

ISO 27001
Bezpieczeństwo Bezpieczeństwo
fizyczne informatyczne

Informacje Bezpieczeństwo Technologia

prawne
Norma ISO/IEC 27001:2005

• Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństwem

informacji, podporządkowanych 11 grupom wymagań.

• Pozwala przedsiębiorstwu na zidentyfikowanie najwłaściwszych

zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą
oraz otoczenia rynkowego i potrzeb w powyższym zakresie.

• Szczególny nacisk położony jest na zarządzanie ryzykiem

utraty ważnych informacji.

• Norma dotyczy wszystkich form informacji, w tym także ustnych

i graficznych, powstających z wykorzystaniem telefonów komórkowych
i faksów.

• Norma uwzględnia najnowsze formy działalności gospodarczej, np.

e-biznes, internet, outsourcing, teleworking, mobile computing.
Zarządzanie ryzykiem

Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest

minimalizacja ryzyka utraty najważniejszych informacji organizacji .

OCENA RYZYKA
UTRATY INFORMACJI

OPRACOWANIE MONITOROWANIE PLANU

PLANU MINIMALIZACJI RYZYKA
MINIMALIZACJI UTRATY INFORMACJI
RYZYKA

WDROŻENIE PLANU
MINIMALIZACJI
RYZYKA UTRATY
INFORMACJI
ISO/IEC 27001 – Spis treści

Wymagania
ISO/IEC 27001
0 Wstęp
1 Zakres normy
2 Odwołania normatywne
3 Terminy i definicje
4 System zarządzania bezpieczeństwem informacji
5 Odpowiedzialność kierownictwa
6 Audyty wewnętrzne
7 Przegląd kierownictwa SZBI
8 Udoskonalanie SZBI
9 Załącznik A (ISO/IEC 17799)
ISO/IEC 27001 – Spis treści
ISO/IEC
1. Poli
tyk
27001
2. Org a bezpieczeństw
Wymagania 3. Kla
anizacja
be
syfikacja zpieczeństwa
a
4. Bez ik
pieczeńs ontrola zasobów
5. Zar t w o osobow
A.5 Polityka bezpieczeństwa ząd
6. Bez zanie systemam
pieczeńs i i
e
sieciami
i środow two fizyczne
A.6 Organizacja bezpieczeństwa informacji 7 . K on
tro
is kowe
8. Poz la dostępu do sy
yskiwa stemu
A.7 Zarządzanie aktywami systemu nie, rozwój i utr
9. Zar zymanie
ządzanie
10. Zar incydent
A.8 Bezpieczeństwo osobowe ząd ami
11. Zgo zanie ciągłością bezpieczeństwa
d n ość z działa
własnym wymaganiami p nia
A.9 Bezpieczeństwo fizyczne i środowiskowe i standa
rdami
rawa i

A.10 Zarządzanie systemami i sieciami

A.11 Kontrola dostępu do systemów
A.12 Pozyskanie, rozwój i utrzymanie systemów
A.13 Zarządzanie incydentami bezpieczeństwa
A.14 Zarządzanie ciągłością działania
A.15 Zgodność (z wymaganiami prawa i własnymi standardami)
ISO/IEC 27001 – wymagania

Wymagania dotyczące dokumentacji

Zakres dokumentacji SZBI

Polityka Bezpieczeństwa Informacji

Zakres SZBI

Raport z procesu szacowania ryzyka

Plan minimalizacji ryzyka

Udokumentowane procedury służące eksploatacji SZBI

Metodyka szacowania skuteczności wdrożonych zabezpieczeń

Zapisy wymagane przez normę

Deklaracja stosowania

Nadzór nad dokumentami

Nadzór nad zapisami
ISO/IEC 27001 – wymagania

Odpowiedzialność kierownictwa

Zaangażowanie kierownictwa

Zapewnienie zasobów

Zapewnienie kompetencji osób odpowiedzialnych za bezpieczeństwo

Szkolenia i uświadamianie pracowników

ISO/IEC 27001 – wymagania

Audyty wewnętrzne SZBI

Badające spełnienie wymagań prawnych i normy

Badające spełnienie wymagań SZBI

Udokumentowane

Przeprowadzane planowo
ISO/IEC 27001 – wymagania

Przegląd SZBI realizowany przez

kierownictwo

Przeprowadzane planowo

Zapewniające stosowność, adekwatność i
efektywność SZBI

Udokumentowane

Dane wejściowe przeglądu

Dane wyjściowe przeglądu
ISO/IEC 27001 – wymagania

Doskonalenie SZBI

Ciągłe doskonalenie

Działania korygujące

Działania prewencyjne
ISO/IEC 27001 – wymagania

A.5 Polityka bezpieczeństwa

Polityka bezpieczeństwa informacji

Ukazanie wsparcia kierownictwa dla bezpieczeństwa informacji.
ISO/IEC 27001 – wymagania

A.6 Organizacja bezpieczeństwa

informacji

Infrastruktura wewnątrz organizacji

Określenie odpowiedzialności i zasad zarządzania
bezpieczeństwem informacji.

Strony trzecie
Ryzyka związane z dostępem stron trzecich do aktywów
organizacji.
ISO/IEC 27001 – wymagania

A.7 Zarządzanie aktywami

Odpowiedzialność za aktywa
Określenie odpowiedzialności za aktywa organizacji.

Klasyfikacja informacji
Zdefiniowanie klasyfikacji informacji i określenie właściwych
poziomów ochrony.
ISO/IEC 27001 – wymagania

A.8 Bezpieczeństwo osobowe

Bezpieczeństwo procesu rekrutacji

Zapewnienie bezpieczeństwa procesu rekrutacji (określenie
odpowiedzialności, przypisanie ról, redukcja ryzyka kradzieży,
oszustwa lub nadużycia).

Obsługa zatrudnienia
Kreowanie świadomości pracowników w odniesieniu do zagrożeń dla
informacji organizacji, odpowiedzialności i obowiązków.

Derekrutacja lub ruchy kadrowe

Zapewnienie prawidłowości procesu derekrutacji (odpowiedzialności
za derekrutację, zwrot aktywów, odebranie praw dostępu).
ISO/IEC 27001 – wymagania

A.9 Bezpieczeństwo fizyczne i

środowiskowe

Obszary bezpieczne
Zapobieganie nieautoryzowanemu wtargnięciu lub
zakłóceniu działania organizacji.

Bezpieczeństwo wyposażenia
Zapobieganie utracie, uszkodzeniu, kradzieży
wyposażenia.
ISO/IEC 27001 – wymagania

A.10 Zarządzanie systemami i

sieciami

Procedury operacyjne i odpowiedzialność

Zapewnienie bezpieczeństwa dla działania urządzeń
przetwarzających informacje.

Zarządzanie realizacją usług przez strony trzecie

Zapewnienie właściwego poziomu bezpieczeństwa informacji i usług
dostarczanych przez strony trzecie.

Planowanie systemu i akceptacja

Minimalizowanie ryzyka wystąpienia awarii systemu.
ISO/IEC 27001 – wymagania

A.10 Zarządzanie systemami i

sieciami c.d.

Ochrona przed złośliwym oprogramowaniem

Zapewnienie integralności oprogramowania i informacji.

Kopie zapasowe
Zapewnienie integralności i dostępności informacji oraz
zabezpieczenie miejsc ich przetwarzania.

Zarządzanie bezpieczeństwem sieciowym

Zapewnienie bezpieczeństwa informacji w sieci
teleinformatycznej.
ISO/IEC 27001 – wymagania

A.10 Zarządzanie systemami i

sieciami c.d.

Bezpieczeństwo nośników informacji

Zapobieganie nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub
zniszczeniu informacji zawartych na nośnikach.

Wymiana informacji
Zapewnienie bezpieczeństwa informacji przesyłanych wewnątrz oraz na
zewnątrz organizacji.

Usługi handlu elektronicznego

Zapewnienie bezpieczeństwa usług handlu elektronicznego.

Monitorowanie użycia systemów

Zapewnienie możliwości wykrycia nieuprawnionego przetwarzania
informacji.
ISO/IEC 27001 – wymagania

A.11 Kontrola dostępu do

systemów

Wymagania biznesowe w dostępie do informacji

Określenie polityki kontroli dostępu do informacji.

Zarządzanie dostępem użytkowników

Zapewnienie kontroli dostępu do systemów informacyjnych.

Odpowiedzialność użytkowników
Zapobieganie nieuprawnionemu dostępowi do informacji i systemów
informacyjnych, jak również ich zniszczeniu, modyfikacji oraz
kradzieży.
ISO/IEC 27001 – wymagania

A.11 Kontrola dostępu do

systemów c.d.

Kontrola dostępu do sieci

Zapobieganie nieuprawnionemu dostępowi do usług sieciowych.

Kontrola dostępu do systemów operacyjnych

Zapobieganie nieuprawnionemu dostępowi do systemów operacyjnych.

Kontrola dostępu do aplikacji i informacji

Zapobieganie nieuprawnionemu dostępowi do aplikacji i zawartych w
nich informacji.

Stosowanie komputerów przenośnych i praca

zdalna
Zapewnienie bezpieczeństwa informacji w komputerach przenośnych i
w trakcie pracy zdalnej.
ISO/IEC 27001 – wymagania

A.12 Pozyskanie, rozwój i

utrzymanie systemów

Wymagania dotyczące bezpieczeństwa

systemów
Zapewnienie, że bezpieczeństwo jest integralną częścią
systemów informacyjnych.

Poprawność przetwarzania w aplikacjach

Zapobieganie błędom, utracie, nieupoważnionej modyfikacji lub
nadużyciu informacji w aplikacjach.

Kryptograficzne środki nadzoru

Zapewnienie poufności oraz integralności informacji przy
wykorzystaniu kryptografii.
ISO/IEC 27001 – wymagania

A.12 Pozyskanie, rozwój i

utrzymanie systemów c.d.

Bezpieczeństwo plików systemowych

Zapewnienie bezpieczeństwa plików systemowych i kontroli nad
wykorzystywanym oprogramowaniem.

Bezpieczeństwo procesu tworzenia

oprogramowania i pomocy technicznej
Zapewnienie utrzymania bezpieczeństwa systemów aplikacji i
informacji.

Zarządzanie podatnościami technicznymi

Zapewnienie ograniczania ryzyka wynikającego z wykorzystania
wykrytych podatności technicznych.
ISO/IEC 27001 – wymagania

A.13 Zarządzanie incydentami

bezpieczeństwa

Raportowanie incydentów bezpieczeństwa i

słabości
Zapewnienie, że incydenty bezpieczeństwa i słabości będą zgłaszane w
sposób umożliwiający podjęcie na czas stosownych działań.

Zarządzanie incydentami bezpieczeństwa i

doskonalenie
Zapewnienie spójnego i efektywnego podejścia do zarządzania
incydentami bezpieczeństwa.
ISO/IEC 27001 – wymagania

A.14 Zarządzanie ciągłością

działania

Aspekty bezpieczeństwa informacji w zarządzaniu

ciągłością działania
Przeciwdziałanie przerwom w działaniach biznesowych oraz ochrona
krytycznych procesów biznesowych przed wynikami poważnych awarii
systemów informacyjnych i katastrof oraz zapewnienie terminowego
wznowienia ich działalności.
ISO/IEC 27001 – wymagania

A.15 Zgodność (z wymaganiami

prawa i własnymi standardami)

Zgodność z przepisami prawnymi

Zapewnienie zgodności z wszelkimi przepisami prawnymi, które dotyczą
organizacji (w tym wymagań bezpieczeństwa).

Zgodność z politykami bezpieczeństwa i zgodność
techniczna
Zapewnienie zgodności systemów z politykami bezpieczeństwa i standardami
organizacji.

Rozważania dotyczące audytu systemów
Zapewnienie maksymalizacji efektywności audytów i minimalizacji ich
negatywnego wpływu na działalność biznesową (zajętość zasobów).
Plan prezentacji

• Zagrożenia dla informacji

• Normy zarządzania bezpieczeństwem informacji

• BS 7799-2:2002 a ISO/IEC 27001:2005

• ISO/IEC 27001:2005

• Wdrażanie Systemu Zarządzania Bezpieczeństwem

Informacji w firmie
 Wdrożenie i certyfikacja systemu

Diagnoza systemu

Szkolenia
wstępne
Przeprowadzenie
Analizy Ryzyka
Przygotowanie Planu
Minimalizacji Ryzyka
Opracowanie
dokumentacji
Szkolenia z
dokumentacji

Monitorowanie Planu
Minimalizacji Ryzyka

Certyfikacja
systemu
Liczba akredytowanych certyfikatów na świecie – czerwiec
2006
1800
1634

1500

1200

900

600

300 244
186
92 57 42 39 38 30 27 26 22 20 15 14 14 13
0

Finlandia
W lk. Bryt.

Holandia

Australia
Chiny
Niemcy
Japonia

Indie

Polska

Norwegia

Szwajcaria
Tajwan

USA

Hong Kong
W łochy

W ęgry
Korea

Źródło: ISMS International User

Group
 Tomasz Szała
tomasz.szala@dga.pl
tel. (61) 643-51-95

Dziękuję za uwagę Krzysztof Maćkowiak

krzysztof.mackowiak@dga.pl
tel. (61) 643-51-97