4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016

Transkript

1 4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016

2 Obsah Standardy dvě perspektivy 1. Perspektiva funkce/profese/útvaru (Assurance function perspective) (ITAF, IPPF, SSAE) 2. Perspektiva vlastního ujištění (Assessment perspective (bezpečnost, kvalita,..) 1. Co je informační bezpečnost? 2. Kategorizace standardů 3. Příklady mezinárodních regulací

3 1. Informační bezpečnost Znamená, že v rámci podniku je informace chráněna před neautorizovaným přístupem (důvěrnost, confidentiality), nesprávnými úpravami (úplnost a správnost, integrity) a nedostupností v případě potřeby (dostupnost, availability).

4 2. Standardy informační bezpečnosti (hledisko úrovně) Úrovně řízení bezpečnosti Operativní security services (zálohování, archivace) Taktická security management (např. BCP) ITIL, COBIT Normy - příklady ISO/IEC 24762:2008 Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services BS 25999, nahrazen ISO Business continuity management Strategická (Security Governance, plán, zavedení ISMS - metriky) Information Security Governance: Guidance for Information Security Managers (ISACA) COBIT 5 for Information Security ISO 27000

5 Standardy informační bezpečnosti ( hledisko předmětu) Předmět normy Bezpečnost procesů IT pohled IT manažerů ISMS součást systému řízení pohled business manažerů Bezpečnost produktů pohled vývojářů, dodavatelů, zákazníků IT Bezpečnost pohled stakeholderů Normy-příklady Cobit, ITIL, SAMM (Software Assurance Maturity Model) ISO 27000, ISO/IEC Information technology -- Security techniques -- Systems Security Engineering -- Capability Maturity Model (SSE-CMM ) (base practices, domény) ISO/IEC (TCSEC, ITSEC) příručka Cobit Security Baseline, Business Model for information Security, Cobit 5 for Information Security

6 3. CobiT Security Baseline Sada pro přežití - Information Security Survival Kit Rizika specifická pro informační bezpečnost, různí uživatelé Obsah: 20 bezpečnostních procesů 44 kontrolních kroků, vazby na obsah ISO/IEC a procesy Cobit 4.1 sady pro přežití : domácí uživatelé, profesionální uživatelé, manažeři, výkonní ředitelé, vyšší výkonní ředitelé a členové představenstva Pro každou tuto skupinu uživatelů příručka nabízí Přehled rizik spojených s danou skupinou uživatelů Dotazník, který má pomoci dané skupině uživatelů zhodnotit, zda dodržují pravidla ISG Seznam akcí, které by měli realizovat Závěr: bezpečnostní rizika - tři kategorie: Rizika záměrného zneužití počítače (trojský kůň, DOS, spoofing, spamming atd.) Rizika plynoucí z porušení pravidel, norem (porušení autorského práva, nepřiměřené využívání internetu, průmyslová špionáž, nesoulad s pravidly a regulacemi) Havárie (porucha disku, porucha dodávky elektřiny, problémy softwaru).

7 SAMM A guide to building security into software development Autor: The Open Web Application Security Project (OWASP) otevřené společenství zaměřené na zlepšování bezpečnosti aplikačního SW Cíl SAMM - otevřený rámec zaměřený na formulování a zavádění strategie pro zlepšování bezpečnosti SW přizpůsobené specifickým rizikům v jednotlivých organizacích Dílčí cíle: Hodnocení existujících praktik v řízení SW Vytvoření vyváženého programu pro ujištění založeného na iteracích Demonstrace konkrétních přínosů Definování a měření bezpečnostních praktik napříč organizací

8 ISO ISMS

9 Revize norem a Říjen 2013 Změny ve struktuře obsahu (sjednocení podle ISO Guide 83, poprvé u sady norem ISO 22301:2012 Societal security Business continuity management systems Requirements) Certifikace nově od dubna 2014

10 ISO/IEC 27001:2005 ISO/IEC 27001:2005 (BS ) Information technology - Security techniques - Information security management systems Requirements, říjen 2005 poskytuje model pro zavedení a správu efektivního systému řízení bezpečnosti informací stanovuje jednoznačné požadavky na systém řízení, kontrolu zavedení ISMS a případnou certifikaci, tedy nezávislé ověření ISMS třetím (důvěryhodným a akreditovaným) subjektem Je úzce propojená s ISO 27002: ISO poskytuje podrobný přehled (katalog) bezpečnostních opatření, která mohou být vybrána při budování ISMS, ISO specifikuje požadavky na to, jak ISMS v organizaci správně zavést. Případná certifikace ISMS pak probíhá podle ISO 27001

11 Obsah ISO Úvod 1. Předmět normy 2. Normativní odkazy 3. Termíny a definice 4. Systém managementu bezpečnosti informací 5. Odpovědnost vedení 6. Interní audity ISMS 7. Přezkoumání ISMS vedením organizace 8. Zlepšování ISMS Příloha A Cíle opatření a jednotlivá bezpečnostní opatření Příloha B Principy směrnice OECD a norma ISO/IEC normou Příloha C vztah mezi ISO 9001 a ISO a touto normou

12 ISO/IEC 27001: 2013 Upravena struktura normy - nová kapitola Kontext organizace zajišťuje zavedení ISMS v souladu s obchodními aktivitami organizace a klade velký důraz na šíření informační bezpečnosti v rámci celé organizace Procesní přístup - nová norma nespecifikuje, jaký bude použit procesní přístup (nevyžaduje PDCA) Hodnocení rizik - rizika jsou nově identifikována vůči informacím (a ne k aktivům) Opatření - revidována a upravena bezpečnostní opatření z Přílohy A, která nyní odpovídají novým IT trendům

13 Evolution of ISO/IEC certificates in Czech Republic, Zdroj: iso.org

14

15 1. Historie ISO Code of Practice for Information Security Management Na začátku byl tzv. Britský standard BS7799, který byl poprvé publikován v roce 1995 BS , později ISO 17799, ISO 17799:2005, nyní ISO Code of Practice for Information Security Management je souhrnem bezpečnostních kontrol (opatření) roztříděných do 11 hlavních sekcí BS , nyní ISO 27001: Specifikace systému řízení bezpečnosti (Specification for Information Security Management System)- certifikace BS :2006 Information Security Management Systems - Guidelines for information security risk management, nyní ISO řízení rizika Poslední verze: ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls

16 ISO/IEC porovnání oblastí verze 2005 a 2013

17 ISO/IEC struktura oddílů -oblastí bezpečnosti 39 kategorií bezpečnosti 133 opatření

18 Změny ISO Redukce opatření z původních 133 na 114 Rozšíření kapitol z původních 11 na 14. Většina stávajících opatření zůstala nepozměněna, aktualizován byl pouze text doporučení.

19 ISO/IEC struktura Každá z kategorií bezpečnosti obsahuje: cíl opatření, čeho má být dosaženo jedno nebo více opatření Popis opatření: Opatření Doporučení k realizaci Další informace

20 Kategorie Opatření 1

21

22 ISO 27004: 2009 Information technology Security techniques information Security management - measurement prosinec 2009 pomůcka k měření a prezentaci efektivity systémů řízení bezpečnosti informací (ISMS) organizací zahrnující řídící procesy definované v ISO a opatření z ISO vhodná pro všechny typy organizací Klíčové části: Information security measurement overview; Management responsibilities; Measures and measurement development; Measurement operation; Data analysis and measurement results reporting; Information Security Measurement Program evaluation and improvement. Příloha A obsahuje vzor pro popis metrik Příloha B nabízí pracovní příklady

23 Obsah ISO/IEC 27005:2008 Information technology - Security techniques -- Information security risk management Foreword Introduction Normative references Terms and definitions Structure Background Overview of the ISRM Process Context Establishment Information Security Risk Assessment (ISRA) Information Security Risk Treatment Information security Risk Acceptance Information security Risk Communication Information security Risk Monitoring and Review Annex A: Defining the scope of the process Annex B: Asset valuation and impact assessment Annex C: Examples of Typical Threats Annex D: Vulnerabilities and vulnerability assessment methods Annex E: ISRA approaches

24 Přehled nové řady ISO 27000: 2014 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary ISO 27001:2013 Information technology -- Security techniques -- Information security management systems Requirements, certifikace, ISO 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls, souhrn bezpečnostních kontrol ISO 27003:2010 Information technology -- Security techniques -- Information security management system implementation guidance, návod pro implementaci standardů celé série, ISO 27004: 2009 Information technology -- Security techniques -- Information security management -- Measurement, metriky pro řízení informační bezpečnosti ISO 27005:2011 Information technology -- Security techniques -- Information security risk management, řízení bezpečnostních rizik ISO 27006:2011 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems, požadavky na akreditované, autority poskytující certifikace

25 pokračování ISO/IEC 27007:2011 Information technology - Security techniques - Guidelines for information security management systems auditing, návod na audit ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for auditors on information security management systems controls, návody pro auditory týkající se ISMS kontrol ISO byla nahrazena ISO/IEC 27013:2012 Guidance on the integrated implementation of ISO/IEC and ISO/IEC , návod na implementaci ISMS (ISO 27001) a ITSM (ISO 20000) ISO 27010:2012 Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communications ISO/IEC 27018:2014 Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, doporučení ohledně ochrany osobních údajů v prostředí cloud computingu ISO 27037:2012 Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence - doporučení pro zjišťování, sběr a získávání a uchovávání digitálních důkazů

26 Sada norem ISO 223xx Societal Security (Společenská bezpečnost) Nahrazuje BS BS : 2006 Business Continuity Management - Code of Practice BS : 2007 Specification for Business Continuity Management (certifikace ve Velké Britanii) Cíl: vytvořit sadu norem, které budou vytvářet základ pro regulaci v oblasti společenské bezpečnosti (včetně BCM) Součást integrovaného systému řízení organizací??? Systém řízení bezpečnosti informací (Information Security Management System - ISMS) ISO Systém řízení kvality (Quality Management System - QMS) - ISO 9000 Řízení environmentálního systému (Environment Management System - EMS), ISO Řízení IT služeb (IT Service Management System), ISO Integrace Úprava ISO (v roce 2013) ISO 9001 (v roce 2015) Všechny systémy se budou řídit PDCA (Plan Do Check Act)

27 Sada norem ISO 223xx Societal Security ISO 22300:2012, Societal security Terminology ISO 22301: 2012, Societal security -- Business continuity management systems --- Requirements Cíl podporovat firemní odolnost vůči nepředvídaným událostem V ČR do června 2013 certifikace podle BS V současné době certifikace podle ISO ISO 22313: 2012, Societal security Business continuity management systems Guidance ISO 22320:2011, Societal security Emergency management Requirements for incident response ISO/TR 22312:2011, Societal security Technological capabilities ISO/PAS 22399:2007, Societal security Guideline for incident preparedness and operational continuity management. ISO 22315, Societal security Mass evacuation ISO 22322, Societal security Emergency management Public warning ISO 22323, Organizational resilience management systems Requirements with guidance for use ISO 22325, Societal security Guidelines for emergency capability assessment for organizations ISO 22351, Societal security Emergency management Shared situation awareness ISO 22397, Societal security Public Private Partnership Guidelines to set up partnership agreements ISO 22398, Societal security Guidelines for exercises and testing ISO 22324, Societal security Emergency management Colour-coded alert

28 Bezpečnost softwarových produktů ISO/IEC Evaluation Criteria for IT Security (CC) Rámec pro: Uživatele počítačového systému: mohou specifikovat bezpečnostní funkcionalitu a jistící požadavky Prodejce: mohou implementovat a zároveň/nebo se dožadovat bezpečnostních atributů svých produktů Testovací laboratoře: mohou vyhodnocovat produkty Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným a standardizovaným způsobem Tři části

29 ISO/IEC :2009 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model Zavádí obecné koncepty a principy hodnocení základní koncept Target of Evaluation (TOE) může to být produkt i systém profily ochrany Protection Profiles (PP) sady požadavků na bezpečnost Specifikace bezpečnostních cílů Security Targets (ST)

30 ISO/IEC :2008 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional components Představuje komplexní katalog předdefinovaných požadavků na bezpečnost SW produktů (hierarchická struktura (třídy rodinykomponenty) Možnost výběru z předdefinovaných požadavků nebo návody na přizpůsobení předdefinovaných požadavků v případě, že předdefinované vzory neexistují ISO/IEC :2008 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance components Definuje požadavky na hodnocení TOE škály hodnocení a úrovně hodnocení (Evaluation Assurance Levels - EAL 1 7) Čím je EAL vyšší, tím jsou dokumentace, analýzy a testy podrobnější, ale tím pádem také časově a finančně náročnější

31 Přehled EAL EAL1:Funkčně testováno EAL2: Strukturálně testováno EAL3: Metodicky testováno a kontrolováno EAL4: Metodicky navrženo, testováno, a revidováno EAL5: Semi-formálně navrženo a testováno EAL6: Semi-formálně ověřený návrh a testováno EAL7: Formálně ověřený návrh a testováno

32 Podobné standardy (nahrazeny CC) TCSEC Trusted Computer System Evaluation Criteria (Orange Book) Jde o dokument amerického ministerstva obrany, vydaný v roce Zavádí 4 skupiny (A,B,C,D), které odpovídají vždy jednomu kvalitativně odlišnému stupni bezpečnosti a jsou dále děleny do tříd (D, C1, C2, B1 pro konvenční systémy a B2, B3, A1 pro důvěryhodné systémy). Zabývá se rovněž bezpečnostní politikou a bezpečnostními kritérii pro ochranu dat v informačních systémech. ITSEC Information Technology Security Evaluation Criteria, který je významný pro země EU. Vznikl v roce 199O a reprezentuje ho mezinárodní instituce sídlící ve Velké Británii. Zaměřuje se na prověřování produktů z hlediska bezpečnosti v informačních technologiích. Definuje 7 tříd míry zaručitelnosti bezpečnosti E0 E6, které reprezentují vzrůstající úrovně důvěry. Na každý ověřený produkt pak ITSEC vydá certifikát, který je volně dostupný na internetu.

33 Porovnání norem Canadian Trusted Computer Product Evaluation Criteria Federal Criteria for IT (USA, NIST)