Normy ISO/IEC 27xxx Přehled norem

Normy ISO/IEC 27xxx Přehled norem V Brně dne 3. listopadu 2014

Celosvětové normativní organizace Celosvětové neboli nadnárodní ISO - International ti Organization for Standardization di ti - Posláním ISO je podporování rozvoje standardizačních a s tím spojených aktivit ve světě se zaměřením na usnadnění mezinárodních směn zboží a služeb a na spolupráci ve sféře intelektuálních, vědeckých, technologických a ekonomických aktivit. IEC - International Electrotechnical Comission -IEC je celosvětová organizace, která připravuje a vydává mezinárodní normy z oblasti elektrotechnických, elektronických a jim příbuzných (elektřina, magnetismus, elektromagnetismus, elektroakustika, multimédia, telekomunikace, výroba a distribuce energií, terminologie, měření, navrhování a také bezpečnost). ITU - International Telecommunications Union - ITU je mezinárodní organizací spadající do hierarchie OSN. Normalizační aktivity ITU, které již podpořily růst nových technologií jako např. mobilní technologie a Internet, nyní obrací svůj zájem na stavební prvky objevující se v globalní informační infrastruktuře aktvorbě vyspělých multimediálních systémů, které využívají slučování hlasových, datových, zvukových a video signálů. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 2

Evropské normativní organizace CEN - Comité Européen Normalisation - Posláním CEN je podoporovat dobrovolnou harmonizaci technických norem v Evropě. CENELEC - Comité Européen de Normalisation Eléctrotechnique -V nedávné době založila i organizace CENELEC sektor ICT, kam přesunula normalizační aktivity související s oblastí informačních a komunikačních technologií. ETSI - European Telecommunications Standards Institute -ETSI je nezisková organizace, jejímž posláním je tvorba telekomunikačních norem cílených převážně ř ě na evropský region. ENISA - European Network and Information Security Agency - je Evropská agentura pro informační a síťovou bezpečnost. Hlavním cílem této agentury je dosáhnout vysokého stupně informační a síťové bezpečnosti mezi členskými státy EU. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 3

Národní normativní organizace ANSI (U.S.A.), American National Standards Institute BSI (U.K.), British Standard Institute DIN (Německo), Deutsches Institut für Normung ČSNI, Český normalizační institut - ČSNI byl zřízen jako státní příspěvková organizace. ace V současné době patří mezi organizace ace podřízené Ministerstvu průmyslu a obchodu. ČSN - česká technická norma vzniká dvojím způsobem: přejímáním evropských a mezinárodních norem do soustavy českých technických norem formou ČSN EN (ČSN IEC, ČSN ISO, ČSN ETS, atd.), tvorbou původních ČSN, vyplývajících z národních potřeb a z hledisek zachování funkčnosti fondu ČSN. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 4

Americké normalizační organizace zabývající se ICT bezpečností IEEE - Institute of Electrical and Electronics Engineers - Normy IEEE mají ve většině případů mezinárodní význam a dopad. Organizace IEEE se mimo jiné výrazně zaměřuje na normy bezpečnosti, lokálních sítí (IEEE 802.x) a operačních systémů (POSIX). NIST - National Institute for Standards and Technology - Vládní standardizační orgán s posláním v oblastech vývoj a podpora standardů, měřících technik a technologií za účelem zvýšení produktivity, usnadnění obchodu a zlepšení života. CSD - Computer Security Division CSD se zabývá především bezpečností IT se v rámci NIST. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 5

BS 7799 ISO 17799 ISO 27xxx Příběh o tom, jak se z dobré praxe stala norma Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 6

Normy řady ISO/IEC 2700x Specifikují systém managementu bezpečnosti informací (ISMS) ISO/IEC 27000 Základy (přehled) a slovník -- 2010 ISO/IEC 27001 Požadavky -- 2013 ISO/IEC 27002 Soubor postupů (předchozí ISO 17799) -- 2013 ISO/IEC 27003 Návod pro implementaci -- 2010 ISO/IEC 27004 Metriky a měření účinnosti opatření -- 2011 ISO/IEC 27005 Management rizik (předchozí BS7799-3) -- 2009 ISO/IEC 27006 Požadavky na místa provádějící audit a certifikaci -- 2008 ISO/IEC 27007 Směrnice ě pro audit 2011 ISO/IEC 27008 - Doporučení auditorům ISMS ISO/IEC 27xxx specifikace pro obory činnosti organizace (oborové) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 7

ČSN ISO/IEC 27001 Základní princip: - norma ISO/IEC 27001 se certifikuje - norma ISO/IEC 27002 zavádí ISMS Norma ISO/IEC 27001:2013 přinesla změny ve struktuře: ISO/IEC 27001:2005 ISO/IEC 27001:2013 0 Úvod 0 Úvod 1 Předmět normy 1 Rozsah, předmět ř normy 2 Citované normativní dokumenty 2 Citované normativní dokumenty 3 Termíny a definice 3 Termíny a definice 4 Systém managementu bezpečnosti č informací 4 Kontext t organizace 5 Odpovědnost vedení 5 Vedení 6 Interní audity ISMS 6 Plánování 7 Přezkoumání ISMS vedením organizace 7 Podpora 8 Zlepšování ISMS 8 Provoz 9 Hodnocení výkonnosti 10 Zlepšování Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 8

Komentář k ISO/IEC 27001:2013 4 Systém managementu bezpečnosti informací je rozložen na části: - 4 Kontext organizace - 5 Vedení (včetně 5 Odpovědnost vedení) - 6 Plánování - 7 Podpora - 8 Provoz 6 Interní audity ISMS a 7 Přezkoumání ISMS vedením organizace jsou sloučeny do části: - 9 Hodnocení výkonnosti Změna přístupu k hodnocení rizik - například vlastník rizika, který posuzuje aktiva z pohledu důvěrnosti, dostupnosti a integrity, což dříve řešil vlastník aktiva. Dopad na Prohlášení o aplikovatelnosti (vybraných opatření) rozdíly lze řešit například pomocí GAP analýzy. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 9

Normy řady ISO/IEC 27xxx Příklady specifikací pro obory činnosti organizace ISO/IEC 27011:2008 - doporučení a požadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů ISO/IEC TR 27015:2012 - ISMS for Financial services (finanční sektor) ISO/IEC TR 27019:2013 Information technology Security techniques Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry Jedná se o směrnice pro energetické řídicí systémy, norma je úzce spjata s ISO/IEC 27002. ISO/IEC 27799:2010 - doporučení a požadavky na řízení bezpečnosti informací ve zdravotnických zařízeních Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 10

Normy řady ISO/IEC 27xxx ISO/IEC 27010:2012 Informační technologie Bezpečnostní techniky IS management for inter-sector and inter-organizational communications ISO/IEC 27013:2012 - integrovaná implementace norem ISO/IEC 27001 (ISMS) a ISO/IEC 20000-1 - (ITSM), novelizována ISO/IEC 20000:2011 s důrazem na PDCA ISO/IEC 27031:2011 Information technology Security techniques Guidelines for information and communication technology readiness for business continuity Specifikace pro připravenost p ICT na kontinuitu činnosti organizace - Vychází z normy BS 25777 -Efektivní přístup k rozdělení podpůrných aktiv - Pojetí řízení í kontinuity it činnosti organizace - Koncepce testování kontinuity Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 11

Normy řady ISO/IEC 27xxx ISO/IEC 27032:2012 Informační technologie Bezpečnostní techniky Příručka pro Cybersecurity y (Internet) ČSN ISO/IEC 27032:2013 v závislosti na blocích: -- informační bezpečnost -- síťová bezpečnost -- internetová bezpečnost -- CIIP (Critical Information Infrastructure Protection) CIIP Ochrana informační kritické infrastruktury (KI). KI Kritická infrastruktura označuje tu část infrastruktury státu, která má rozhodující význam pro jeho chod. ý p j Logickým vyústěním je ochrana kybernetického prostoru státu (ČR) z pohledu kritické infrastruktury Kybernetickým zákonem č.181 Sb ze dne 29.8.2014.. Do kritické infrastruktury patří například banky s tržním podílem více než deset procent, pojišťovny s pokrytím 25 procent a další subjekty dle NV 432/2010 Sb. Společným znakem je nutnost plnění zákona z pohledu organizačních a technických opatření, což lze prokázat mimo jiné tak, že společnost prokáže certifikaci dle ISO/IEC 27001. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 12

Normy řady ISO/IEC 27xxx ISO/IEC 27014:2013 Information technology - Security techniques - Information security governance framework Řízení informační bezpečnosti v organizaci, doporučení by měla zohledňovat cíle, strategie, politiky a legislativní povinnosti organizace. Norma vystihuje nejlépe také problematiku státní správy a veřejného sektoru. ISO/IEC 27033 - Informační technologie Bezpečnostní techniky Síťová bezpečnost jsou soubory norem s postupným vydáváním á ISO/IEC 27034 - Informační technologie Bezpečnostní techniky Aplikační bezpečnostč jsou soubory norem s postupným vydáváním ISO/IEC 27035:2011 2011 Information technology Security techniques Information security incident management ISO/IEC 27036 - Information technology Security techniques Information security for supplier relationship (draft) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 13

Chystané normy řady ISO/IEC 27xxx Chystané oborové normy ISO/IEC 3rd WD 27016 - ISMS for Organisational economics ISO/IEC 2nd WD 27017 - ISMS for cloud computing services (based on ISO/IEC 27002) Norma bude poskytovat doporučení ohledně bezpečnosti informací pro cloud computing. ISO/IEC WD 27018 Information technology Security techniques Privacy in cloud computing Norma bude poskytovat doporučení ohledně ochrany osobních údajů v prostředí cloud computingu. Poznámka: DIS Draft International Standard PDTR Proposed Draft Technical Report (předkládaný návrh) WD Working Draft (pracovní návrh) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 14

Chystané normy řady ISO/IEC 27xxx ISO/IEC DIS 27038 Information technology Security techniques Specification for Digital Redaction Norma by měla obsahovat doporučení pro publikování digitálních dokumentů. ISO/IEC 27039 Information technology Security techniques Selection, deployment and operations of Intrusion Detection [and Prevention] Systems Vzniká norma, která bude poskytovat doporučení ohledně nasazení systémů Intrusion Detection and Prevention System (IDPS). Norma se bude zejména věnovat výběru, nasazení a provozu IDPS. ISO/IEC 27040 Information technology Security techniques Storage security Vzniká norma, která bude poskytovat t doporučení č ohledně ě bezpečného č ukládání dat. Standard by měl uživatelům, kteří používají počítačové technologie pro ukládání dat, pomoci identifikovat a řídit související bezpečnostní rizika. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 15

Chystané normy řady ISO/IEC 27xxx - pokračování ISO/IEC 27044 Information technology Security techniques Guidelines for security information and event management (SIEM) - Data collection - Normalization - Analysis and correlation - Alerting - Reporting - Storage Norma bude řešit řízení informací a událostí bezpečnosti informací (SIEM). Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 16

Řada norem ISO/IEC 27000 a jejich vazby Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 17

ISO/IEC 27033 ISO/IEC 27033 Informační technologie Bezpečnostní techniky Síťová bezpečnost navazuje na normy ISO/IEC 18028 pro standardy síťové bezpečnosti, která obsahuje 5 částí vychází z normy ISO/IEC 27002 plánováno je vydávání po částech ISO/IEC 27033-1:2009 2009 vydaná první část t - popisuje cesty a principy i a koncept řešení ISO/IEC 27033-2:2012 příručka pro návrh a implementaci síťové bezpečnosti - definuje architekturu bezpečnosti sítě (přijato 20.1.2012) ISO/IEC 27033-3:2010 referenční síťové scénáře - hrozby, projekční techniky a kontrolní mechanizmy ISO/IEC 27033-4:2012 mezisíťová bezpečná komunikace s využitím bezpečnostních bran Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 18

ISO/IEC 27033 - pokračování BS ISO/IEC 27033-5:2013 Information technology. Security techniques. Network security. Securing communications across networks using Virtual Private Networks (VPNs) - zabezpečená komunikace v sítích VPN, vydána 31.8.2013 ve Velké Británii ISO/IEC 27033-6: IP konvergence popisuje rizika, projektování a kontrolní mechanizmy pro konvergenci signálů data, hlas a video ISO/IEC 27033-7: příručka pro zabezpečené bezdrátové sítě - hrozby, projekční techniky a kontrolní mechanizmy ISO/IEC 27033-8+: příručka pro zabezpečení otevřená část pro oblasti LAN, WAN, Broadband, hlasové sítě, architekturu Web Hostingu, architekturu internetového e-mailu, směrovaný (routing) přístup do sítí třetích stran Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 19

ISO/IEC 18028 Typická ukázka k síťové architektury, jejíž jíž bezpečnost č řeší 5 oddílů normy ISO/IEC 18028 Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 20

ISO/IEC 18028-22 Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 21

ISO/IEC 18028-3 Doporučené zapojení bezpečnostní brány s DMZ dle ISO/IEC 18028-3 Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 22

ISO/IEC 18028-5 Základní doporučená bezpečnost pro VPN s tunelováním dle ISO/IEC 18028-5 Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 23

ISO/IEC 27034 ISO/IEC 27034 Information technology Security techniques Application security Bezpečnostní doporučení pro tvorbu, implementaci a užívání aplikač. SW Soustava norem - 1 Owerview and concept 2 Organization Normative Framework 3 Applications Security Management Process 4 Applications security validation 5 Protocols and application security control data structure 6 Security guidenance for specific applications ISO/IEC 27034-1: 2011- prozatím vydána 1. část Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 24

ISO/IEC 27034 - pokračování Aplikační bezpečnost Část t 1: Přehled a koncepce (2011) Část 2: Normativní rámce organizace Část 3: Proces řízení bezpečnosti aplikací Část 4: Validace bezpečnosti aplikací Část 5: Datová struktura protokolů a opatření bezpečnosti aplikací Část 6: Bezpečnostní pokyny pro specifikování datové struktury aplikačních opatření Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 25

ISO/IEC 27035:2011 ISO/IEC 27035 Information technology Security techniques Information security incident management Řízení incidentů bezpečnosti informací DR - Disaster recovery popisuje postupy včasné detekce incidentů, jejich hlášení, vyhodnocení závažnosti a následné reakce dává doporučení pro identifikaci existujících zranitelností, posouzení jejich závažnosti a přijetí odpovídajících preventivních a nápravných opatření přepracovává a nahrazuje původní ISO/IEC TR 18044 z roku 2004 Je v současnosti revidována a rozdělena na drafty: ISO/IEC 27035-1: principles of incident management ISO/IEC 27035-2: guidelines to plan and prepare for incident response ISO/IEC 27035-3: guidelines for incident response operations Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 26

ISO/IEC 27035:2011 - pokračování Část 1: Principy řízení incidentů Část 2: Směrnice pro plánování a přípravu reakce na incident Část 3: Směrnice pro provoz týmu odpovědného za řešení incidentů Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 27

ISO/IEC 27036 ISO/IEC 27036 Information technology Security techniques Information security for supplier relationship (draft) Soustava norem - 1 Owerview and concept 2 Common requirements 3 Guidelines for ICT supply chain security 4 Guidelines for security of cloud services vychází z normy ISO/IEC 27002 Bezpečnost informací ve vztazích s dodavateli Část 1: Přehled a koncept Část 2: Požadavky Část 3: Směrnice pro bezpečnost v dodavatelském řetězci ICT Část 4: Směrnice pro bezpečnost služeb v cloudu Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 28

ISO/IEC 27036 - pokračování navazuje na normy ČSN ISO/IEC 15288 a ISO/IEC 12207 ČSN ISO/IEC 15288 Systémové inženýrství Procesy životního cyklu systému (platná 2004-12) ČSN ISO/IEC 12207 Informační technologie Procesy v životním cyklu SW (od 1997) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 29

ITSM ITSM je zkratka pro IT service management (Řízení služeb informačních technologií). SLA (Service Level Agreement) je smlouva sjednaná mezi poskytovatelem služby a jejím konzumentem. V našem případě se SLA týká oblasti IT. ISO/IEC 20000 je norma se zpřesněním ř ě a zpřísněním ě í systémových norem pro služby ICT a navazuje na normu ISO/IEC 27001. Norma definuje pro tyto procesy velmi jasná pravidla, která stanovují dokumentované postupy, určují povinné záznamy a jejich povinný obsah. Pro organizaci může implementace normy ISO/IEC 20000 znamenat například zefektivnění činnosti při poskytování služeb v oblasti ICT. Následně pak snížení výskytu incidentů, nedostupnosti ti služeb ICT a snížení í finančních č ztrát. Event management Událost (event) - změna stavu, která je významná z hlediska řízení konfigurační položky nebo služby IT Incident management Incident - neplánované přerušení ř služby IT nebo snížení í její jí kvality Normy řady ISO/IEC 20000 30

ISO/IEC 27013 ISO/IEC 27013:2012 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 ISO/IEC 27013:2012 obsahuje pokyny y týkající se integrované zavádění normy ISO/IEC 27001 a ISO/IEC 20000-1 pro ty organizace, které hodlají buď: a) implementovat ISO/IEC 27001, pokud je ISO/IEC 20000-1 již byl implementován, nebo naopak: b) implementovat současně jak ISO/IEC 27001 tak ISO/IEC 20000-1; c) integrovat stávající systémy řízení ISO/IEC 27001 a ISO/IEC 20000-1. Norma ISO/IEC 27013 31