Professional Documents
Culture Documents
CryptoCon, 30-31.08.2006
Plan prezentacji
• ISO/IEC 27001:2005
• ISO/IEC 27001:2005
%
60
56 2002 2004 2005
50 51
46
40
30 36 36
20 23
10 12 14 10 4 5 3 1 2 1
0
0 1-9 10-49 50-499 >500
Liczba incydentów
Inny 26%
Nieautoryzowane
25%
wejście
Przeciążenie serwera
21%
poczty
Nielegalne dane i
15%
dokumenty
Znana luka w
26%
systemie operacyjnym
Inne 19%
Znana luka w
16%
programowaniu
Hakerzy 63%
Pracownicy 33%
Inne 25%
Klienci 11%
Uszkodzenia
21%
materialne lub danych
Ostrzeżenie od
11%
dostawcy usług
Nikim 55%
Klientami 16%
Partnerami/dostawcami 14%
Konsultantami 12%
• ISO/IEC 27001:2005
WYTYCZNE WYMAGANIA
1995 BS 7799-1:1995
BS 7799-2:1998
1998
2000 ISO/IEC
17799:2000
Standardy:
2003 PN-ISO 17799:2003
Polskie
ISO/IEC 17799:2005 PN-I-07799-2:2005
2005
Brytyjskie
ISO/IEC 27001:2005
Międzynarodowe
2007 Rodzina standardów ISO/IEC 27000
ISO/IEC 27001 a ISO/IEC 17799
Wymagania Wytyczne
System zarządzania
bezpieczeństwem informacji
Plan prezentacji
• ISO/IEC 27001:2005
– transakcje on-line,
– mobilny kod.
Zmiany wprowadzone w ISO/IEC 27001:2005
• ISO/IEC 27001:2005
Bezpieczeństwo
Ludzie Usługi
osobowe
ISO 27001
Bezpieczeństwo Bezpieczeństwo
fizyczne informatyczne
OCENA RYZYKA
UTRATY INFORMACJI
WDROŻENIE PLANU
MINIMALIZACJI
RYZYKA UTRATY
INFORMACJI
ISO/IEC 27001 – Spis treści
Wymagania
ISO/IEC 27001
0 Wstęp
1 Zakres normy
2 Odwołania normatywne
3 Terminy i definicje
4 System zarządzania bezpieczeństwem informacji
5 Odpowiedzialność kierownictwa
6 Audyty wewnętrzne
7 Przegląd kierownictwa SZBI
8 Udoskonalanie SZBI
9 Załącznik A (ISO/IEC 17799)
ISO/IEC 27001 – Spis treści
ISO/IEC
1. Poli
tyk
27001
2. Org a bezpieczeństw
Wymagania 3. Kla
anizacja
be
syfikacja zpieczeństwa
a
4. Bez ik
pieczeńs ontrola zasobów
5. Zar t w o osobow
A.5 Polityka bezpieczeństwa ząd
6. Bez zanie systemam
pieczeńs i i
e
sieciami
i środow two fizyczne
A.6 Organizacja bezpieczeństwa informacji 7 . K on
tro
is kowe
8. Poz la dostępu do sy
yskiwa stemu
A.7 Zarządzanie aktywami systemu nie, rozwój i utr
9. Zar zymanie
ządzanie
10. Zar incydent
A.8 Bezpieczeństwo osobowe ząd ami
11. Zgo zanie ciągłością bezpieczeństwa
d n ość z działa
własnym wymaganiami p nia
A.9 Bezpieczeństwo fizyczne i środowiskowe i standa
rdami
rawa i
Odpowiedzialność kierownictwa
Zaangażowanie kierownictwa
Zapewnienie zasobów
Udokumentowane
Przeprowadzane planowo
ISO/IEC 27001 – wymagania
Przeprowadzane planowo
Zapewniające stosowność, adekwatność i
efektywność SZBI
Udokumentowane
Doskonalenie SZBI
Ciągłe doskonalenie
Działania korygujące
Działania prewencyjne
ISO/IEC 27001 – wymagania
Strony trzecie
Ryzyka związane z dostępem stron trzecich do aktywów
organizacji.
ISO/IEC 27001 – wymagania
Odpowiedzialność za aktywa
Określenie odpowiedzialności za aktywa organizacji.
Klasyfikacja informacji
Zdefiniowanie klasyfikacji informacji i określenie właściwych
poziomów ochrony.
ISO/IEC 27001 – wymagania
Obsługa zatrudnienia
Kreowanie świadomości pracowników w odniesieniu do zagrożeń dla
informacji organizacji, odpowiedzialności i obowiązków.
Obszary bezpieczne
Zapobieganie nieautoryzowanemu wtargnięciu lub
zakłóceniu działania organizacji.
Bezpieczeństwo wyposażenia
Zapobieganie utracie, uszkodzeniu, kradzieży
wyposażenia.
ISO/IEC 27001 – wymagania
Kopie zapasowe
Zapewnienie integralności i dostępności informacji oraz
zabezpieczenie miejsc ich przetwarzania.
Wymiana informacji
Zapewnienie bezpieczeństwa informacji przesyłanych wewnątrz oraz na
zewnątrz organizacji.
Odpowiedzialność użytkowników
Zapobieganie nieuprawnionemu dostępowi do informacji i systemów
informacyjnych, jak również ich zniszczeniu, modyfikacji oraz
kradzieży.
ISO/IEC 27001 – wymagania
• ISO/IEC 27001:2005
Diagnoza systemu
Szkolenia
wstępne
Przeprowadzenie
Analizy Ryzyka
Przygotowanie Planu
Minimalizacji Ryzyka
Opracowanie
dokumentacji
Szkolenia z
dokumentacji
Monitorowanie Planu
Minimalizacji Ryzyka
Certyfikacja
systemu
Liczba akredytowanych certyfikatów na świecie – czerwiec
2006
1800
1634
1500
1200
900
600
300 244
186
92 57 42 39 38 30 27 26 22 20 15 14 14 13
0
Finlandia
W lk. Bryt.
Holandia
Australia
Chiny
Niemcy
Japonia
Indie
Polska
Norwegia
Szwajcaria
Tajwan
USA
Hong Kong
W łochy
W ęgry
Korea