Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Adelsberger zdenko implementacija iso27001 2013

1,351 views

Published on

ICT Security 2015, Zdenko Adelsberger, ISO 27001

Published in: Engineering
  • Be the first to comment

Adelsberger zdenko implementacija iso27001 2013

  1. 1. IMPLEMENTACIJA ISMS PREMA STANDARDU ISO/IEC 27001:2013 Dr. Zdenko Adelsberger Trener, konzultant i auditor za RM, BCMS, ISMS, ITSMS, QSM, OHSAS zdenko@bluefield.hr www.bluefield.hr ICT Security 2015 Kladovo, 14-16 maj 2015.
  2. 2. Agenda Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 2 • Značaj informacijske sigurnosti • Upravljanje rizicima kao temelj informacijske sigurnosti • Sistemski pristup upravljanju informacijskom sigurnošću • Standardi za upravljanje informacijskom sigurnošću • Implementacija informacijske sigurnosti • Dokazivanje uspješnosti implementacije • Poboljšanje informacijske sigurnosti • Zaključak
  3. 3. Realna i virtualna domena kompanije Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 3 REALNA domena INFORMACIJSKA (virtualna) domena Dokumentacija + Zapisi
  4. 4. Ilustracija mehanizma rizika (hakerskog napada) Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 4 Prijetnja Ranjivost objekta Sigurnosni događaj (incident) Posljedica Sigurnosne mjere (Mjere zaštite) Izvor prijetnje X
  5. 5. Odnos rizika i elemenata koji dovode do rizika Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 5 RIZIK Posljedica RIZIK Posljedica Vjerojatnost a b Rizik = Prijetnja & Ranjivost & Posljedica Rizik = Vjerojatnost & Posljedica Rizik = Prijetnja * Ranjivost * Posljedica Rizik = Vjerojatnost * Posljedica Funkcionalna relacija Matematička relacija Napomena: Vjerojatnost ≠ Prijetnja * Ranjivost
  6. 6. Nivo informacijske sigurnosti Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 6 Nivo informacijske sigurnosti je kompromis između prihvatljivog rizika i investicije u sigurnost. RIZIK SIGURNOST Skala prihvatljivosti rizika, odnosno sigurnosti, određuje se preko sigurnosne politike
  7. 7. Značenje pojma ISMS Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 7 ISMS = Information Security Management System (Sistem za upravljanje sigurnošću informacija) Naglasak je na: “SISTEM ZA UPRAVLJANJE” Resursi Pravila Sistem upravljanja Ulazni zahtjevi (poslovni ciljevi) Zadovoljenje ulaznih zahtjeva (poslovnih ciljeva)
  8. 8. Elementi sistema upravljanja Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 8 Misija Vizija Politike Procesi Strategije Ciljevi Ciljevi Funkcija upravljanja je osigurati postizanje ciljeva i poboljšanje Sigurnost postizanja ciljeva temelji se na: UPRAVLJANJU RIZICIMA Postizanje poboljšanja temelji se na: MJERENJU UČINKOVITOSTI Ciljevi
  9. 9. Informacijski sistemi su uvijek postojali Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 10 IS IT IS IT
  10. 10. Što je informacija? Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 11 Signali (znakovi) 7910 je PODATAK 7910 PIN: 7910 7910 je INFORMACIJA (kontekst označava da je to PIN kartice) (može biti npr. nadmorska visina, prva kozmička brzina, profit organizacije, itd.) 0001111011100110 1EE6
  11. 11. Aspekti informacije Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 12 CJELOVITOST Integrity RASPOLOŽIVOST Availability INFORMACIJA TAJNOST Confidentiality
  12. 12. Relevantni nosioci informacija u poslovnom sistemu Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 13 Informacije na serverima i mreži Informacije na lokalnim kompjuterima Informacije prenošene telefonskim linijama i/ili Internetom Informacije zapisane na papiru Informacije štampane na papiru Informacije spremljene na diskovima, trakama, CD-ovima, USB memorijama, ... Informacije fax strojeva Zaposlenici i partneri
  13. 13. Odnos ISO/IEC 27001 prema informaciji Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 14 “Informacija je imovina koja kao i ostala važna imovina u poslovanju ima vrijednost za organizaciju i mora biti stalno odgovarajuće štićena.” U kontekstu ISO/IEC 27001 pod štićenjem informacija se smatra očuvanje aspekata informacije: tajnosti, cjelovitosti i raspoloživosti. (C-I-A)
  14. 14. Informacijska imovina Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 15
  15. 15. Komponente sigurnosnog rješenja Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 16 Tehnička rješenja Organizacijska rješenja Procjena rizika Politike ProcedureSvjesnostLegitimnost 20% 80%SIGURNOSNO RJEŠENJE
  16. 16. Upravljanje informacijskom sigurnošću obuhvaća tri široka područja Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 17 Upravljanje informacijskom sigurnošću Upravljanje ICT i fizičkom zaštitom Upravljanje legislativom, regulativom i ugovornim obvezama Upravljanje ljudima, procesima, poslovanjem, operacijama, treningom / sviješću
  17. 17. Križ standarda za ISMS Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 18 Nacionalna legislativa MODEL ISO/IEC 27001 Rječnik i definicije ISO/IEC 27000 PROPISI ISO 19011 ISO/IEC 27007 ISO/IEC 27008 AKREDITACIJA ISO 17021 ISO/IEC 27006 Dodatni standardi ISO/IEC 270xx
  18. 18. Kratka povijest ISO 27000ff Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 19 • 1992 The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'. • 1995 This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799. • 1996 Support and compliance tools begin to emerge, such as COBRA. • 1999 The first major revision of BS7799 was published. This included many major enhancements. Accreditation and certification schemes are launched. • 2000 In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799). • 2001 The 'ISO 17799 Toolkit' is launched. • 2002 A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000. • 2005 A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes.. • 2005 ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001 • 2013 ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security management system)
  19. 19. Odnosi relevantnih standarda za informacijske sisteme Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 20 IT-GSHB ISO 27001 ISO 13335 ITSEC/C CobIT Ne tehničkiTehnički Usmjereno na produkt Usmjereno na sistem CobIT = Control Objectives for Information and Related Technology (http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx) ITSEC/C = Information Technology Security Evaluation Criteria /Communication (http://www.iitsec.org/Pages/default.aspx) IT-GSHB = IT-Grundschutzhandbuch (https://www.bsi.bund.de/)
  20. 20. Serija standarda za ISMS Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 21
  21. 21. ISO/IEC 27001:2013 Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 22 Information technology -- Security techniques – Information security management systems -- Requirements • Specifikacija zahtjeva za implementaciju, rad, nadziranje, provjeru, održavanje i unapređivanje sistema upravljanja informacionom sigurnošću (Information Security Management System - ISMS); • osnova za procjenu usuglašenosti (audit) od strane zainteresiranih strana kada je u pitanju ISMS; • temelj za obrazovanje specijalista za ISMS (kako za menadžere ISMS, tako i za auditore ISMS); • Osnovna norma za ISMS (sve ostale norme ove serije su smjernice - upute).
  22. 22. Koristi od primjene ISMS standarda Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 23 • Stvaranje viška vrijednosti • Strukturiran način podržava proces specificiranja, implementacije, rada, održavanje, isplativosti rješenja, integriranost i usklađenost ISMS-a; • Promoviranje globalno prihvaćenih dobrih praksi informacijske sigurnosti; • Povećanje povjerenja zainteresiranih strana u organizaciju; • Zadovoljavanje socijalnih potreba i očekivanja, te • Učinkovitija ulaganja menadžmenta u informacijsku sigurnost. Prednost provedbe ISMS-a prvenstveno će biti vidljiva u smanjenju rizika informacijske sigurnosti (tj. smanjenja vjerojatnosti, i/ili štete uzrokovane informacijskim sigurnosnim incidentima). Ostvareni dobitak organizacije za postizanje održivog uspjeha od usvajanja ISMS standarda su:
  23. 23. ISO/IEC 27001:2013 Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 24 Foreword 0 Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system 5 Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities 6 Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and planning to achieve them 7 Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 8 Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk treatment 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review 10 Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Annex A (normative) Reference control objectives and controls Bibliography
  24. 24. Sigurnosna područja prema 27001:2013 Aneks A Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 25 1 A.5. Politike informacijske sigurnosti 2 A.6. Organizacija informacijske sigurnosti 3 A.7. Sigurnost ljudskih resursa 4 A.8. Upravljanje imovinom 5 A.9. Kontrola pristupa 6 A.10. Kriptografija 7 A.11. Fizička sigurnost i sigurnost okoliša 8 A.12. Operativna sigurnost 9 A.13. Sigurnost komunikacija 10 A.14. Nabavka sistema, razvoj i održavanje 11 A.15. Odnosi s dobavljačima 12 A.16. Upravljanje incidentima informacijske sigurnosti 13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja 14 A.18. Usuglašenost
  25. 25. Dokumentacija za ISMS – dokumentirane informacije Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 26 Procedure Radne upute, check liste, formulari Zapisi ISMS DOKUMENTACIJA Sigurnosne upute (Manual)Sigurnosna politika, područje djelovanja, procjena rizika, SoA PROCEDURE: tko, šta, kada, gdje? RADNE UPUTE: Detaljni opis zadataka i aktivnosti ZAPISI: Evidencije o sukladnosti s ISMS zahtjevima NIVO 2 NIVO 3 NIVO 4 NIVO 1 OperativninivoOrganizacijskinivo
  26. 26. ISMS je poslovni proces Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 27 ISMS Ulaznizahtjevi Zadovoljeni Ulaznizahtjevi RESURSI PRAVILA
  27. 27. PDCA model primijenjen na ISMS proces Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 28 PLAN (uspostaviti ISMS) Uspostaviti ISMS politiku, ciljeve, procese i procedure važne za upravljanje rizikom i poboljšanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije. DO (implementirati i izvršavati ISMS) Implementirati i izvršavati ISMS politiku, kontrole, procese i procedure. CHECK (nadgledati i provjeravati ISMS) Procijeniti i gdje je primjenjivo, mjeriti izvršavanje procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavati upravu o rezultatima radi provjere. ACT (održavati i poboljšavati ISMS) Poduzeti korektivne i preventivne akcije zasnivane na rezultatima interne ISMS prosudbe (audita) i provjere uprave ili ostalim bitnim informacijama, kako bi se postiglo stalno poboljšanje ISMS-a. Zainteresirane strane Zahtjevi i očekivanja od informacijske sigurnosti Zainteresirane strane Upravljana informacijska sigurnost Usposta- vljanje ISMS Implementacija i pokretanje ISMS Kontrola i nadgledanje ISMS Poboljšanje i održavanje ISMS
  28. 28. Projekt implementacije ISMS prema ISO/IEC 27001 Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 29 Definiranje opsega Evidencija imovine Odgovornosti Klasifikacija Upravljanje dokumentacijom Plan procjene rizika Izjava o primjenljivosti (SoA) i preostalom riziku Implementacija ISMS Procedure za upravljanje incidentima Identifikacija i implementacija poboljšanja Sigurnosna politika uprave Procjena rizika i plan obrade Prihvaćanje i odobrenje uprave Priprema dokumentacije Trening i svijesnost Monitoring, pregledi, testiranje, audit P D C A
  29. 29. USPOSTAVA ISMS (P – faza) Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 30 Definicija područja i obuhvata ISMS Korak 1 Definicija sigurnosn e politike ISMS Korak 2 Identifikacija rizika Korak 4 Analiza i procjena rizika Korak 5 Obrada rizika Korak 6 Izbor ciljeva sigurnosnih mjera i kontrola Korak 7 Osiguranje autorizacije uprave za implementaci ju ISMS Korak 9 Priprema dokumenta: Izjava o primjenljivost i Korak10 Osiguranje uprave za odobrenje i prihvaćanje preostalog rizika Korak 8 Dokument Područje ISMS Dokument Sigurnosn a politika Lista rizika i popisa imovine Izvještaj o rezultatima procjene rizika Izvještaj o rezultatima obrade rizika Standard za mjerenje rizika Pisano odobrenje za preostali rizik Izjava o primjenljivos ti (SoA) Informacijska imovina, prijetnje, ranjivost i posljedice Definicija metode procjene rizika Korak 3 Faza 1 Faza 2 Faza 3 Standardi za implementaciju upravljanja rizicima (prisup organizacije, metode i analize za postizanja zahtjevanog nivoa sigurnosti) • Lista potencijalnih ciljeva i sigurnosnih mjera (kontrola) • Lista dodatnih kontrola koje nisu definirane u ISMS certifikacijskim kriterijima
  30. 30. Faze implementacije ISMS Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 31 P DC A PROJEKT IMPLEMENTACIJE ISMS PROCES UPRAVLJANJA ISMS AUDIT (CERTIFIKACIJA) Početak projekta implementacije ISMS PRIPREMA ZA PROJEKT IMPLEMENTACIJE ISMS •Animacija vrhovne uprave •Obrazovanje tima za implementaciju (procjenu rizika)
  31. 31. Mjerenje ISMS-a: zašto i kako? Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 32 Zato što standard ISO/IEC 27001 eksplicitno zahtjeva mjerenja na niz mjesta !!! Zato što apsolutno vrijedi konstatacija koju je izrekao Kelvin, Lord William Thomson, 1824-1907: „Kada ono, o čemu govorite, možete izmjeriti i brojčano izraziti, onda Vi o tome i nešto znate – ali ako ne možete izmjeriti i brojčano izraziti, onda je Vaše znanje mršavo i nezadovoljavajuće vrste!” Zato što su mjerenja preduvjet temeljnog zahtjeva svakog sistema upravljanja: POBOLJŠANJE
  32. 32. Što mjeriti kod ISMS ? Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 33 Učinkovitost (efektivnost) je pojam pod kojim se podrazumijeva izvođenje pravih stvari (aktivnosti) koje dovode do ostvarenja cilja. Efikasnost se definira kao ostvarenje nekog cilja s minimumom troškova, napora ili gubitaka. PRAVA STVAR na PRAVI NAČIN
  33. 33. Ocjenjivanje uspješnosti ISMS – Interni audit Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 34 ISO/IEC 27001 ISO 19011 ISO/IEC 27007 ISO/IEC 27008 Nacionalna legislativa Organizacijski dokumenti Obligatorni zahtjevi partnera INTERNI AUDIT
  34. 34. Kontinuirano poboljšanje Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 35 Organizacija mora kontinuirano provoditi primjereno i učinkovito poboljšanje sistema upravljanja informacijskom sigurnošću. PDCA ciklus poboljšanja
  35. 35. Zaključak Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 36 • Uspostavljanje i poboljšanje ISMS-a je poslovna potreba svih organizacija u cilju očuvanje ključnog resursa – INFORMACIJE • Uspostavljanje ISMS-a stvara doprinos povećanja viška vrijednosti • Uspostavljanje ISMS-a ponekad je zakonska ili obligatorna obaveza • Uspostavljeni ISMS ne garantira uspješno poslovanje, ali neuspješni ISMS garantira propast kompanije – pitanje je samo vremena.
  36. 36. Hvala na pažnji … Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 37 Pitanja Komentari

×