Normy ISO/IEC 27xxx Přehled norem V Brně dne 17. října 2013
Celosvětové normativní organizace Celosvětové neboli nadnárodní ISO - International ti Organization for Standardization di ti - Posláním ISO je podporování rozvoje standardizačních a s tím spojených aktivit ve světě se zaměřením na usnadnění mezinárodních směn zboží a služeb a na spolupráci ve sféře intelektuálních, vědeckých, technologických a ekonomických aktivit. IEC - International Electrotechnical Comission -IEC je celosvětová organizace, která připravuje a vydává mezinárodní normy z oblasti elektrotechnických, elektronických a jim příbuzných (elektřina, magnetismus, elektromagnetismus, elektroakustika, multimédia, telekomunikace, výroba a distribuce energií, terminologie, měření, navrhování a také bezpečnost). ITU - International Telecommunications Union - ITU je mezinárodní organizací spadající do hierarchie OSN. Normalizační aktivity ITU, které již podpořily růst nových technologií jako např. mobilní technologie a Internet, nyní obrací svůj zájem na stavební prvky objevující se v globalní informační infrastruktuře aktvorbě vyspělých multimediálních systémů, které využívají slučování hlasových, datových, zvukových a video signálů. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 2
Evropské normativní organizace CEN - Comité Européen Normalisation - Posláním CEN je podoporovat p dobrovolnou harmonizaci technických norem v Evropě. CENELEC - Comité Européen de Normalisation Eléctrotechnique -V nedávné době založila i organizace CENELEC sektor ICT, kam přesunula normalizační aktivity související s oblastí informačních a komunikačních technologií. ETSI - European Telecommunications Standards Institute -ETSI je nezisková organizace, jejímž posláním je tvorba telekomunikačních norem cílených převážně na evropský region. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 3
Národní normativní organizace ANSI (U.S.A.), American National Standards Institute BSI (U.K.), British Standard Institute DIN (Německo), Deutsches Institut für Normung ČSNI, Český normalizační institut - ČSNI byl zřízen jako státní příspěvková organizace. ace V současné době patří mezi organizace ace podřízené Ministerstvu průmyslu a obchodu. ČSN - česká technická norma vzniká dvojím způsobem: přejímáním evropských a mezinárodních norem do soustavy českých technických norem formou ČSN EN (ČSN IEC, ČSN ISO, ČSN ETS, atd.), tvorbou původních ČSN, vyplývajících z národních potřeb a z hledisek zachování funkčnosti fondu ČSN. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 4
Americké normalizační organizace zabývající se ICT bezpečností IEEE - Institute t of Electrical l and Electronics Engineers - Normy IEEE mají ve většině případů mezinárodní význam a dopad. Organizace IEEE se mimo jiné výrazně zaměřuje na normy bezpečnosti, lokálních sítí (IEEE 802.x) a operačních systémů (POSIX). NIST - National Institute t for Standards d and Technology - Vládní standardizační orgán s posláním v oblastech vývoj a podpora standardů, měřících technik a technologií za účelem zvýšení produktivity, usnadnění obchodu a zlepšení života. CSD - Computer Security Division CSD se zabývá především bezpečností IT se v rámci NIST. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 5
BS 7799 ISO 17799 ISO 27xxx Příběh o tom, jak se z dobré praxe stala norma Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 6
Normy řady ISO/IEC 2700x Specifikují systém managementu bezpečnosti informací (ISMS) ISO/IEC 27000 Základy (přehled) a slovník -- 2010 ISO/IEC 27001 Požadavky -- 2006 ISO/IEC 27002 Soubor postupů (předchozí ISO 17799) -- 2006 ISO/IEC 27003 Návod pro implementaci -- 2010 ISO/IEC 27004 Metriky a měření účinnosti opatření -- 2011 ISO/IEC 27005 Management rizik (předchozí BS7799-3) -- 2009 ISO/IEC 27006 Požadavky na místa provádějící audit a certifikaci -- 2008 ISO/IEC 27007 Směrnice ě pro audit 2011 ISO/IEC 27008 - Doporučení auditorům ISMS ISO/IEC 27xxx specifikace pro obory činnosti organizace (oborové) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 7
Normy řady ISO/IEC 27xxx Příklady specifikací pro obory činnosti organizace ISO/IEC 27011 - doporučení a požadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů ISO/IEC TR 27019:2013 Information technology Security techniques Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry Jedná se o směrnice pro energetické řídicí systémy, norma je úzce spjata s ISO/IEC 27002. ISO/IEC 27799 - doporučení a požadavky na řízení bezpečnosti informací ve zdravotnických zařízeních ISO/IEC 27031:2011 Information technology Security techniques Guidelines for information and communication technology readiness for business continuity Specifikace pro připravenost ICT na kontinuitu činnosti organizace - Vychází z normy BS 25777 -Efektivní přístup k rozdělení podpůrných aktiv - Pojetí řízení kontinuity činnosti organizace - Koncepce testování kontinuity Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 8
Normy řady ISO/IEC 27xxx ISO/IEC 27032:2012 Informační technologie Bezpečnostní techniky Příručka pro Cybersecurity y (Internet) v závislosti na blocích: -- informační bezpečnost -- síťová bezpečnost -- internetová bezpečnost -- CIIP (Critical Information Infrastructure Protection) CIIP Ochrana informační kritické infrastruktury (KI). KI Kritická infrastruktura označuje tu část infrastruktury státu, která má rozhodující význam pro jeho chod. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 9
Normy řady ISO/IEC 27xxx ISO/IEC 27014:2013 Information technology - Security techniques - Information security governance framework Řízení informační bezpečnosti v organizaci, doporučení by měla zohledňovat cíle, strategie, politiky a legislativní povinnosti organizace. Norma vystihuje nejlépe také problematiku státní správy a veřejného sektoru. ISO/IEC 27033 - Informační technologie Bezpečnostní techniky Síťová bezpečnost jsou soubory norem s postupným vydáváním á ISO/IEC 27034 - Informační technologie Bezpečnostní techniky Aplikační bezpečnostč jsou soubory norem s postupným vydáváním ISO/IEC 27035:2011 2011 Information technology Security techniques Information security incident management ISO/IEC 27036 - Information technology Security techniques Information security for supplier relationship (draft) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 10
Chystané normy řady ISO/IEC 27xxx Chystané oborové normy (zdroj k 11.5.2012) ISO/IEC DIS 27013 - integrovaná implementace norem ISO/IEC 27001 (ISMS) a ISO/IEC 20000-1 - (ITSM), novelizována ISO/IEC 20000:2011 s důrazem na PDCA ISO/IEC PDTR 27015 - ISMS for Financial services (finanční sektor) ISO/IEC 3rd WD 27016 - ISMS for Organisational economics ISO/IEC 2nd WD 27017 - ISMS for cloud computing services (based on ISO/IEC 27002) Norma bude poskytovat doporučení ohledně bezpečnosti informací pro cloud computing. ISO/IEC WD 27018 Information technology Security techniques Privacy in cloud computing Norma bude poskytovat doporučení ohledně ochrany osobních údajů v prostředí cloud computingu. Poznámka: DIS Draft International Standard PDTR Proposed Draft Technical Report (předkládaný návrh) WD Working Draft (pracovní návrh) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 11
Chystané normy řady ISO/IEC 27xxx ISO/IEC DIS 27038 Information technology Security techniques Specification for Digital Redaction Norma by měla obsahovat doporučení pro publikování digitálních dokumentů. ISO/IEC 27039 Information technology Security techniques Selection, deployment and operations of Intrusion Detection [and Prevention] Systems Vzniká norma, která bude poskytovat doporučení ohledně nasazení systémů Intrusion Detection and Prevention System (IDPS). Norma se bude zejména věnovat výběru, nasazení a provozu IDPS. ISO/IEC 27040 Information technology Security techniques Storage security Vzniká norma, která bude poskytovat doporučení ohledně bezpečného ukládání dat. Standard by měl uživatelům, kteří používají počítačové technologie pro ukládání dat, pomoci identifikovat a řídit související bezpečnostní rizika. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 12
Chystané normy řady ISO/IEC 27xxx - pokračování ISO/IEC 27044 Information technology Security techniques Guidelines for security information and event management (SIEM) - Data collection - Normalization - Analysis and correlation - Alerting - Reporting - Storage Norma bude řešit řízení informací a událostí bezpečnosti informací (SIEM). Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 13
Řada norem ISO/IEC 27000 a jejich vazby Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 14
ISO/IEC 27033 ISO/IEC 27033 Informační technologie Bezpečnostní techniky Síťová bezpečnost navazuje na normy ISO/IEC 18028 pro standardy síťové bezpečnosti, která obsahuje 5 částí vychází z normy ISO/IEC 27002 plánováno je vydávání po částech ISO/IEC 27033-1:2009 2009 vydaná první část t - popisuje cesty a principy i a koncept řešení ISO/IEC 27033-2:2012 příručka pro návrh a implementaci síťové bezpečnosti - definuje architekturu bezpečnosti sítě (přijato 20.1.2012) ISO/IEC 27033-3:2010 referenční síťové scénáře - hrozby, projekční techniky a kontrolní mechanizmy ISO/IEC 27033-4:2012 mezisíťová bezpečná komunikace s využitím bezpečnostních bran Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 15
ISO/IEC 27033 - pokračování BS ISO/IEC 27033-5:2013 Information technology. Security techniques. Network security. Securing communications across networks using Virtual Private Networks (VPNs) - zabezpečená komunikace v sítích VPN, vydána 31.8.2013 ve Velké Británii ISO/IEC 27033-6: IP konvergence popisuje rizika, projektování a kontrolní mechanizmy pro konvergenci signálů data, hlas a video ISO/IEC 27033-7: příručka pro zabezpečené bezdrátové sítě - hrozby, projekční techniky a kontrolní mechanizmy ISO/IEC 27033-8+: příručka pro zabezpečení otevřená část pro oblasti LAN, WAN, Broadband, hlasové sítě, architekturu Web Hostingu, architekturu internetového e-mailu, směrovaný (routing) přístup do sítí třetích stran Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 16
ISO/IEC 18028 Typická ukázka k síťové architektury, jejíž jíž bezpečnost č řeší 5 oddílů normy ISO/IEC 18028 Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 17
ISO/IEC 18028-22 Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 18
ISO/IEC 18028-3 Doporučené zapojení bezpečnostní brány s DMZ dle ISO/IEC 18028-3 Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 19
ISO/IEC 18028-5 Základní doporučená bezpečnost pro VPN s tunelováním dle ISO/IEC 18028-5 Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 20
ISO/IEC 27034 ISO/IEC 27034 Information technology Security techniques Application security Bezpečnostní doporučení pro tvorbu, implementaci a užívání aplikač. SW Soustava norem - 1 Owerview and concept 2 Organization Normative Framework 3 Applications Security Management Process 4 Applications security validation 5 Protocols and application security control data structure 6 Security guidenance for specific applications ISO/IEC 27034-1: 2011- prozatím vydána 1. část Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 21
ISO/IEC 27034 - pokračování Aplikační bezpečnost Část t 1: Přehled a koncepce (2011) Část 2: Normativní rámce organizace Část 3: Proces řízení bezpečnosti aplikací Část 4: Validace bezpečnosti aplikací Část 5: Datová struktura protokolů a opatření bezpečnosti aplikací Část 6: Bezpečnostní pokyny pro specifikování datové struktury aplikačních opatření Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 22
ISO/IEC 27035:2011 ISO/IEC 27035 Information technology Security techniques Information security incident management Řízení incidentů bezpečnosti informací DR - Disaster recovery popisuje postupy včasné detekce incidentů, jejich hlášení, vyhodnocení závažnosti a následné reakce dává doporučení pro identifikaci existujících zranitelností, posouzení jejich závažnosti a přijetí odpovídajících preventivních a nápravných opatření přepracovává a nahrazuje původní ISO/IEC TR 18044 z roku 2004 Je v současnosti revidována a rozdělena na drafty: ISO/IEC 27035-1: principles of incident management ISO/IEC 27035-2: guidelines to plan and prepare for incident response ISO/IEC 27035-3: guidelines for incident response operations Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 23
ISO/IEC 27035:2011 - pokračování Část 1: Principy řízení incidentů Část 2: Směrnice pro plánování a přípravu reakce na incident Část 3: Směrnice pro provoz týmu odpovědného za řešení incidentů Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 24
ISO/IEC 27036 ISO/IEC 27036 Information technology Security techniques Information security for supplier relationship (draft) Soustava norem - 1 Owerview and concept 2 Common requirements 3 Guidelines for ICT supply chain security 4 Guidelines for security of cloud services vychází z normy ISO/IEC 27002 Bezpečnost informací ve vztazích s dodavateli Část 1: Přehled a koncept Část 2: Požadavky Část 3: Směrnice pro bezpečnost v dodavatelském řetězci ICT Část 4: Směrnice pro bezpečnost služeb v cloudu Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 25
ISO/IEC 27036 - pokračování navazuje na normy ČSN ISO/IEC 15288 a ISO/IEC 12207 ČSN ISO/IEC 15288 Systémové inženýrství Procesy životního cyklu systému (platná 2004-12) ČSN ISO/IEC 12207 Informační technologie Procesy v životním cyklu SW (od 1997) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 26
ITSM ITSM je zkratka pro IT service management (Řízení služeb informačních technologií). SLA (Service Level Agreement) je smlouva sjednaná mezi poskytovatelem služby a jejím konzumentem. V našem případě se SLA týká oblasti IT. ISO/IEC 20000 je norma se zpřesněním ř ě a zpřísněním ě í systémových norem pro služby ICT a navazuje na normu ISO/IEC 27001. Norma definuje pro tyto procesy velmi jasná pravidla, která stanovují dokumentované postupy, určují povinné záznamy a jejich povinný obsah. Pro organizaci může implementace normy ISO/IEC 20000 znamenat například zefektivnění činnosti při poskytování služeb v oblasti ICT. Následně pak snížení výskytu incidentů, nedostupnosti ti služeb ICT a snížení í finančních č ztrát. Event management Událost (event) - změna stavu, která je významná z hlediska řízení konfigurační položky nebo služby IT Incident management Incident - neplánované přerušení ř služby IT nebo snížení í její jí kvality Normy řady ISO/IEC 20000 27
ISO/IEC 27013 ISO/IEC 27013:2012 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 ISO/IEC 27013:2012 obsahuje pokyny y týkající se integrované zavádění normy ISO/IEC 27001 a ISO/IEC 20000-1 pro ty organizace, které hodlají buď: a) implementovat ISO/IEC 27001, pokud je ISO/IEC 20000-1 již byl implementován, nebo naopak: b) implementovat současně jak ISO/IEC 27001 tak ISO/IEC 20000-1; c) integrovat stávající systémy řízení ISO/IEC 27001 a ISO/IEC 20000-1. Norma ISO/IEC 27013 28