Normy ISO/IEC 27xxx Přehled norem

Transkript

1 Normy ISO/IEC 27xxx Přehled norem V Brně dne 3. listopadu 2014

2 Celosvětové normativní organizace Celosvětové neboli nadnárodní ISO - International ti Organization for Standardization di ti - Posláním ISO je podporování rozvoje standardizačních a s tím spojených aktivit ve světě se zaměřením na usnadnění mezinárodních směn zboží a služeb a na spolupráci ve sféře intelektuálních, vědeckých, technologických a ekonomických aktivit. IEC - International Electrotechnical Comission -IEC je celosvětová organizace, která připravuje a vydává mezinárodní normy z oblasti elektrotechnických, elektronických a jim příbuzných (elektřina, magnetismus, elektromagnetismus, elektroakustika, multimédia, telekomunikace, výroba a distribuce energií, terminologie, měření, navrhování a také bezpečnost). ITU - International Telecommunications Union - ITU je mezinárodní organizací spadající do hierarchie OSN. Normalizační aktivity ITU, které již podpořily růst nových technologií jako např. mobilní technologie a Internet, nyní obrací svůj zájem na stavební prvky objevující se v globalní informační infrastruktuře aktvorbě vyspělých multimediálních systémů, které využívají slučování hlasových, datových, zvukových a video signálů. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 2

3 Evropské normativní organizace CEN - Comité Européen Normalisation - Posláním CEN je podoporovat dobrovolnou harmonizaci technických norem v Evropě. CENELEC - Comité Européen de Normalisation Eléctrotechnique -V nedávné době založila i organizace CENELEC sektor ICT, kam přesunula normalizační aktivity související s oblastí informačních a komunikačních technologií. ETSI - European Telecommunications Standards Institute -ETSI je nezisková organizace, jejímž posláním je tvorba telekomunikačních norem cílených převážně ř ě na evropský region. ENISA - European Network and Information Security Agency - je Evropská agentura pro informační a síťovou bezpečnost. Hlavním cílem této agentury je dosáhnout vysokého stupně informační a síťové bezpečnosti mezi členskými státy EU. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 3

4 Národní normativní organizace ANSI (U.S.A.), American National Standards Institute BSI (U.K.), British Standard Institute DIN (Německo), Deutsches Institut für Normung ČSNI, Český normalizační institut - ČSNI byl zřízen jako státní příspěvková organizace. ace V současné době patří mezi organizace ace podřízené Ministerstvu průmyslu a obchodu. ČSN - česká technická norma vzniká dvojím způsobem: přejímáním evropských a mezinárodních norem do soustavy českých technických norem formou ČSN EN (ČSN IEC, ČSN ISO, ČSN ETS, atd.), tvorbou původních ČSN, vyplývajících z národních potřeb a z hledisek zachování funkčnosti fondu ČSN. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 4

5 Americké normalizační organizace zabývající se ICT bezpečností IEEE - Institute of Electrical and Electronics Engineers - Normy IEEE mají ve většině případů mezinárodní význam a dopad. Organizace IEEE se mimo jiné výrazně zaměřuje na normy bezpečnosti, lokálních sítí (IEEE 802.x) a operačních systémů (POSIX). NIST - National Institute for Standards and Technology - Vládní standardizační orgán s posláním v oblastech vývoj a podpora standardů, měřících technik a technologií za účelem zvýšení produktivity, usnadnění obchodu a zlepšení života. CSD - Computer Security Division CSD se zabývá především bezpečností IT se v rámci NIST. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 5

6 BS 7799 ISO ISO 27xxx Příběh o tom, jak se z dobré praxe stala norma Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 6

7 Normy řady ISO/IEC 2700x Specifikují systém managementu bezpečnosti informací (ISMS) ISO/IEC Základy (přehled) a slovník ISO/IEC Požadavky ISO/IEC Soubor postupů (předchozí ISO 17799) ISO/IEC Návod pro implementaci ISO/IEC Metriky a měření účinnosti opatření ISO/IEC Management rizik (předchozí BS7799-3) ISO/IEC Požadavky na místa provádějící audit a certifikaci ISO/IEC Směrnice ě pro audit 2011 ISO/IEC Doporučení auditorům ISMS ISO/IEC 27xxx specifikace pro obory činnosti organizace (oborové) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 7

8 ČSN ISO/IEC Základní princip: - norma ISO/IEC se certifikuje - norma ISO/IEC zavádí ISMS Norma ISO/IEC 27001:2013 přinesla změny ve struktuře: ISO/IEC 27001:2005 ISO/IEC 27001: Úvod 0 Úvod 1 Předmět normy 1 Rozsah, předmět ř normy 2 Citované normativní dokumenty 2 Citované normativní dokumenty 3 Termíny a definice 3 Termíny a definice 4 Systém managementu bezpečnosti č informací 4 Kontext t organizace 5 Odpovědnost vedení 5 Vedení 6 Interní audity ISMS 6 Plánování 7 Přezkoumání ISMS vedením organizace 7 Podpora 8 Zlepšování ISMS 8 Provoz 9 Hodnocení výkonnosti 10 Zlepšování Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 8

9 Komentář k ISO/IEC 27001: Systém managementu bezpečnosti informací je rozložen na části: - 4 Kontext organizace - 5 Vedení (včetně 5 Odpovědnost vedení) - 6 Plánování - 7 Podpora - 8 Provoz 6 Interní audity ISMS a 7 Přezkoumání ISMS vedením organizace jsou sloučeny do části: - 9 Hodnocení výkonnosti Změna přístupu k hodnocení rizik - například vlastník rizika, který posuzuje aktiva z pohledu důvěrnosti, dostupnosti a integrity, což dříve řešil vlastník aktiva. Dopad na Prohlášení o aplikovatelnosti (vybraných opatření) rozdíly lze řešit například pomocí GAP analýzy. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 9

10 Normy řady ISO/IEC 27xxx Příklady specifikací pro obory činnosti organizace ISO/IEC 27011: doporučení a požadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů ISO/IEC TR 27015: ISMS for Financial services (finanční sektor) ISO/IEC TR 27019:2013 Information technology Security techniques Information security management guidelines based on ISO/IEC for process control systems specific to the energy industry Jedná se o směrnice pro energetické řídicí systémy, norma je úzce spjata s ISO/IEC ISO/IEC 27799: doporučení a požadavky na řízení bezpečnosti informací ve zdravotnických zařízeních Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 10

11 Normy řady ISO/IEC 27xxx ISO/IEC 27010:2012 Informační technologie Bezpečnostní techniky IS management for inter-sector and inter-organizational communications ISO/IEC 27013: integrovaná implementace norem ISO/IEC (ISMS) a ISO/IEC (ITSM), novelizována ISO/IEC 20000:2011 s důrazem na PDCA ISO/IEC 27031:2011 Information technology Security techniques Guidelines for information and communication technology readiness for business continuity Specifikace pro připravenost p ICT na kontinuitu činnosti organizace - Vychází z normy BS Efektivní přístup k rozdělení podpůrných aktiv - Pojetí řízení í kontinuity it činnosti organizace - Koncepce testování kontinuity Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 11

12 Normy řady ISO/IEC 27xxx ISO/IEC 27032:2012 Informační technologie Bezpečnostní techniky Příručka pro Cybersecurity y (Internet) ČSN ISO/IEC 27032:2013 v závislosti na blocích: -- informační bezpečnost -- síťová bezpečnost -- internetová bezpečnost -- CIIP (Critical Information Infrastructure Protection) CIIP Ochrana informační kritické infrastruktury (KI). KI Kritická infrastruktura označuje tu část infrastruktury státu, která má rozhodující význam pro jeho chod. ý p j Logickým vyústěním je ochrana kybernetického prostoru státu (ČR) z pohledu kritické infrastruktury Kybernetickým zákonem č.181 Sb ze dne Do kritické infrastruktury patří například banky s tržním podílem více než deset procent, pojišťovny s pokrytím 25 procent a další subjekty dle NV 432/2010 Sb. Společným znakem je nutnost plnění zákona z pohledu organizačních a technických opatření, což lze prokázat mimo jiné tak, že společnost prokáže certifikaci dle ISO/IEC Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 12

13 Normy řady ISO/IEC 27xxx ISO/IEC 27014:2013 Information technology - Security techniques - Information security governance framework Řízení informační bezpečnosti v organizaci, doporučení by měla zohledňovat cíle, strategie, politiky a legislativní povinnosti organizace. Norma vystihuje nejlépe také problematiku státní správy a veřejného sektoru. ISO/IEC Informační technologie Bezpečnostní techniky Síťová bezpečnost jsou soubory norem s postupným vydáváním á ISO/IEC Informační technologie Bezpečnostní techniky Aplikační bezpečnostč jsou soubory norem s postupným vydáváním ISO/IEC 27035: Information technology Security techniques Information security incident management ISO/IEC Information technology Security techniques Information security for supplier relationship (draft) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 13

14 Chystané normy řady ISO/IEC 27xxx Chystané oborové normy ISO/IEC 3rd WD ISMS for Organisational economics ISO/IEC 2nd WD ISMS for cloud computing services (based on ISO/IEC 27002) Norma bude poskytovat doporučení ohledně bezpečnosti informací pro cloud computing. ISO/IEC WD Information technology Security techniques Privacy in cloud computing Norma bude poskytovat doporučení ohledně ochrany osobních údajů v prostředí cloud computingu. Poznámka: DIS Draft International Standard PDTR Proposed Draft Technical Report (předkládaný návrh) WD Working Draft (pracovní návrh) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 14

15 Chystané normy řady ISO/IEC 27xxx ISO/IEC DIS Information technology Security techniques Specification for Digital Redaction Norma by měla obsahovat doporučení pro publikování digitálních dokumentů. ISO/IEC Information technology Security techniques Selection, deployment and operations of Intrusion Detection [and Prevention] Systems Vzniká norma, která bude poskytovat doporučení ohledně nasazení systémů Intrusion Detection and Prevention System (IDPS). Norma se bude zejména věnovat výběru, nasazení a provozu IDPS. ISO/IEC Information technology Security techniques Storage security Vzniká norma, která bude poskytovat t doporučení č ohledně ě bezpečného č ukládání dat. Standard by měl uživatelům, kteří používají počítačové technologie pro ukládání dat, pomoci identifikovat a řídit související bezpečnostní rizika. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 15

16 Chystané normy řady ISO/IEC 27xxx - pokračování ISO/IEC Information technology Security techniques Guidelines for security information and event management (SIEM) - Data collection - Normalization - Analysis and correlation - Alerting - Reporting - Storage Norma bude řešit řízení informací a událostí bezpečnosti informací (SIEM). Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 16

17 Řada norem ISO/IEC a jejich vazby Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 17

18 ISO/IEC ISO/IEC Informační technologie Bezpečnostní techniky Síťová bezpečnost navazuje na normy ISO/IEC pro standardy síťové bezpečnosti, která obsahuje 5 částí vychází z normy ISO/IEC plánováno je vydávání po částech ISO/IEC : vydaná první část t - popisuje cesty a principy i a koncept řešení ISO/IEC :2012 příručka pro návrh a implementaci síťové bezpečnosti - definuje architekturu bezpečnosti sítě (přijato ) ISO/IEC :2010 referenční síťové scénáře - hrozby, projekční techniky a kontrolní mechanizmy ISO/IEC :2012 mezisíťová bezpečná komunikace s využitím bezpečnostních bran Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 18

19 ISO/IEC pokračování BS ISO/IEC :2013 Information technology. Security techniques. Network security. Securing communications across networks using Virtual Private Networks (VPNs) - zabezpečená komunikace v sítích VPN, vydána ve Velké Británii ISO/IEC : IP konvergence popisuje rizika, projektování a kontrolní mechanizmy pro konvergenci signálů data, hlas a video ISO/IEC : příručka pro zabezpečené bezdrátové sítě - hrozby, projekční techniky a kontrolní mechanizmy ISO/IEC : příručka pro zabezpečení otevřená část pro oblasti LAN, WAN, Broadband, hlasové sítě, architekturu Web Hostingu, architekturu internetového u, směrovaný (routing) přístup do sítí třetích stran Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 19

20 ISO/IEC Typická ukázka k síťové architektury, jejíž jíž bezpečnost č řeší 5 oddílů normy ISO/IEC Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 20

21 ISO/IEC Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 21

22 ISO/IEC Doporučené zapojení bezpečnostní brány s DMZ dle ISO/IEC Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 22

23 ISO/IEC Základní doporučená bezpečnost pro VPN s tunelováním dle ISO/IEC Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 23

24 ISO/IEC ISO/IEC Information technology Security techniques Application security Bezpečnostní doporučení pro tvorbu, implementaci a užívání aplikač. SW Soustava norem - 1 Owerview and concept 2 Organization Normative Framework 3 Applications Security Management Process 4 Applications security validation 5 Protocols and application security control data structure 6 Security guidenance for specific applications ISO/IEC : prozatím vydána 1. část Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 24

25 ISO/IEC pokračování Aplikační bezpečnost Část t 1: Přehled a koncepce (2011) Část 2: Normativní rámce organizace Část 3: Proces řízení bezpečnosti aplikací Část 4: Validace bezpečnosti aplikací Část 5: Datová struktura protokolů a opatření bezpečnosti aplikací Část 6: Bezpečnostní pokyny pro specifikování datové struktury aplikačních opatření Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 25

26 ISO/IEC 27035:2011 ISO/IEC Information technology Security techniques Information security incident management Řízení incidentů bezpečnosti informací DR - Disaster recovery popisuje postupy včasné detekce incidentů, jejich hlášení, vyhodnocení závažnosti a následné reakce dává doporučení pro identifikaci existujících zranitelností, posouzení jejich závažnosti a přijetí odpovídajících preventivních a nápravných opatření přepracovává a nahrazuje původní ISO/IEC TR z roku 2004 Je v současnosti revidována a rozdělena na drafty: ISO/IEC : principles of incident management ISO/IEC : guidelines to plan and prepare for incident response ISO/IEC : guidelines for incident response operations Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 26

27 ISO/IEC 27035: pokračování Část 1: Principy řízení incidentů Část 2: Směrnice pro plánování a přípravu reakce na incident Část 3: Směrnice pro provoz týmu odpovědného za řešení incidentů Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 27

28 ISO/IEC ISO/IEC Information technology Security techniques Information security for supplier relationship (draft) Soustava norem - 1 Owerview and concept 2 Common requirements 3 Guidelines for ICT supply chain security 4 Guidelines for security of cloud services vychází z normy ISO/IEC Bezpečnost informací ve vztazích s dodavateli Část 1: Přehled a koncept Část 2: Požadavky Část 3: Směrnice pro bezpečnost v dodavatelském řetězci ICT Část 4: Směrnice pro bezpečnost služeb v cloudu Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 28

29 ISO/IEC pokračování navazuje na normy ČSN ISO/IEC a ISO/IEC ČSN ISO/IEC Systémové inženýrství Procesy životního cyklu systému (platná ) ČSN ISO/IEC Informační technologie Procesy v životním cyklu SW (od 1997) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 29

30 ITSM ITSM je zkratka pro IT service management (Řízení služeb informačních technologií). SLA (Service Level Agreement) je smlouva sjednaná mezi poskytovatelem služby a jejím konzumentem. V našem případě se SLA týká oblasti IT. ISO/IEC je norma se zpřesněním ř ě a zpřísněním ě í systémových norem pro služby ICT a navazuje na normu ISO/IEC Norma definuje pro tyto procesy velmi jasná pravidla, která stanovují dokumentované postupy, určují povinné záznamy a jejich povinný obsah. Pro organizaci může implementace normy ISO/IEC znamenat například zefektivnění činnosti při poskytování služeb v oblasti ICT. Následně pak snížení výskytu incidentů, nedostupnosti ti služeb ICT a snížení í finančních č ztrát. Event management Událost (event) - změna stavu, která je významná z hlediska řízení konfigurační položky nebo služby IT Incident management Incident - neplánované přerušení ř služby IT nebo snížení í její jí kvality Normy řady ISO/IEC

31 ISO/IEC ISO/IEC 27013:2012 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC and ISO/IEC ISO/IEC 27013:2012 obsahuje pokyny y týkající se integrované zavádění normy ISO/IEC a ISO/IEC pro ty organizace, které hodlají buď: a) implementovat ISO/IEC 27001, pokud je ISO/IEC již byl implementován, nebo naopak: b) implementovat současně jak ISO/IEC tak ISO/IEC ; c) integrovat stávající systémy řízení ISO/IEC a ISO/IEC Norma ISO/IEC