4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016

Podobné dokumenty
Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Normy a standardy ISMS, legislativa v ČR

Postupy pro zavedení a řízení bezpečnosti informací

MFF UK Praha, 29. duben 2008

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Bezpečnostní normy a standardy KS - 6

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20

Management informační bezpečnosti

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Cobit 5: Struktura dokumentů

Vazba na Cobit 5

Informační bezpečnost. Dana Pochmanová, Boris Šimák

ZMĚNA ČESKÉHO OBRANNÉHO STANDARDU. AAP-48, Ed. B, version 1

Standardy a definice pojmů bezpečnosti informací

Management informační bezpečnosti. V Brně dne 26. září 2013

ČSN EN ISO 9001 OPRAVA 1

Návrh softwarových systémů - softwarové metriky

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Co je to COBIT? metodika

V Brně dne a

Jak na jakost v podnikovém IT Evropský týden kvality Praha

Kvalita procesu vývoje SW. Jaroslav Žáček

ČESKÁ TECHNICKÁ NORMA

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Překlad a interpretace pro české prostředí

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

4. Metodiky auditu ( Cobit 4 a Cobit 5) Řízení kvality (audit) IS BIVŠ ZS15

ČESKÁ TECHNICKÁ NORMA

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

3 Bezpečnostní politika 3/1 Základní pojmy, principy standardy a požadavky

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

organizací IT Vladimír r Kufner

Normy ISO/IEC 27xxx Přehled norem

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

Jan Hřídel Regional Sales Manager - Public Administration

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ISO 9001 : Certifikační praxe po velké revizi

Nástroje IT manažera

Normy ISO/IEC 27xxx Přehled norem

Nástroje IT manažera

Systém řízení informační bezpečnosti (ISMS)

INFORMACE O HODNOCENÍ BEZPEČNOSTI INFORMAČNÍCH TECHNOLOGIÍ COMMON CRITERIA (CC)

Integrovaný systém řízení

WS PŘÍKLADY DOBRÉ PRAXE

ANALÝZA RIZIK CLOUDOVÉHO ŘEŠENÍ Z POHLEDU UŽIVATELE. Václav Žid

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Cena za inovaci v interním auditu. Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí 1

Kybernetická bezpečnost

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

AUDIT STATEMENT REPORT POSTSIGNUM ROOT QCA

Předmluva 13. Definice interního auditu 27. Etický kodex 31 Úvod 31 Uplatnitelnost a vymahatelnost 31 Základní zásady 31 Pravidla jednání 33

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA

Katedra informačních technologií VŠE Praha nám. W. Churchilla 4, Praha 3 buchalc@vse.cz PODNICÍCH. 1. Úvod

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

ISO/IEC certifikace v ČR. Miroslav Sedláček

Svalová dystrofie. Prezentace technologických řešení registru Petr Brabec

Semestrální práce ke kurzu 4IT421 Zlepšování procesů budování IS Semestr LS 2014/2015

Kvalita procesu vývoje (SW) Jaroslav Žáček

Certifikace Národní digitální knihovny podle ISO normy Jan Mottl AiP Safe s.r.o.

METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE

Vážení zákazníci, odběratelé, obchodní přátelé, občané, akcionáři, kolegové

Karel Škrle, ICZ a. s DOKUMENT Certifikace důvěryhodných úložišť

Systémy managementu podniku

ISO Facility management nová fáze vnímání facility managementu ve společnostech. Ing. Ondřej Štrup, IFMA Fellow

OCTAVE ÚVOD DO METODIKY OCTAVE

Procesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX

Představení normy ČSN ISO/IEC Management služeb

METODIKA PROVÁDĚNÍ AUDITU COBIT

Řízení rizik. RNDr. Igor Čermák, CSc.

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

Procesní řízení IT. Ing. Hana Neničková, MBA

Řízení kybernetické a informační bezpečnosti

Kam směřuje akreditace v příštích letech

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.

ČESKÁ TECHNICKÁ NORMA

Praktické zkušenosti s certifikací na ISO/IEC 20000

Proč nový styl řízení ICT

Audit informační bezpečnosti

POPIS STANDARDU CEN TC278/WG1. Oblast: ELEKTRONICKÉ VYBÍRÁNÍ POPLATKŮ (EFC) Zkrácený název: ZKUŠEBNÍ POSTUPY 2. Norma číslo:

Státní pokladna. Centrum sdílených služeb

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

ZADÁVACÍ PODMÍNKY VÝBĚROVÉHO ŘÍZENÍ

Zavádění řízení kvality ve služebních úřadech. Mgr. Markéta Munková Praha,

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

Leitfaden für das Audit von Qualitätssicherungssystemen - Teil 1: Auditdurchführung

Obsah. Příloha č. 2: Standardy a doporučení Verze:

Když ICT nefungují řízení kontinuity činností organizace 1

Řízení informační bezpečnosti a veřejná správa

Případová studie. Zavedení ISMS dle standardu Mastercard

Mezinárodní norma ISO/IEC 15504

Procesní dokumentace Process Management. Pavel Čejka

Bezpečnost IS. Základní bezpečnostní cíle

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Transkript:

4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016

Obsah Standardy dvě perspektivy 1. Perspektiva funkce/profese/útvaru (Assurance function perspective) (ITAF, IPPF, SSAE) 2. Perspektiva vlastního ujištění (Assessment perspective (bezpečnost, kvalita,..) 1. Co je informační bezpečnost? 2. Kategorizace standardů 3. Příklady mezinárodních regulací

1. Informační bezpečnost Znamená, že v rámci podniku je informace chráněna před neautorizovaným přístupem (důvěrnost, confidentiality), nesprávnými úpravami (úplnost a správnost, integrity) a nedostupností v případě potřeby (dostupnost, availability).

2. Standardy informační bezpečnosti (hledisko úrovně) Úrovně řízení bezpečnosti Operativní security services (zálohování, archivace) Taktická security management (např. BCP) ITIL, COBIT Normy - příklady ISO/IEC 24762:2008 Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services BS 25999, nahrazen ISO 22301 Business continuity management Strategická (Security Governance, plán, zavedení ISMS - metriky) Information Security Governance: Guidance for Information Security Managers (ISACA) COBIT 5 for Information Security ISO 27000

Standardy informační bezpečnosti ( hledisko předmětu) Předmět normy Bezpečnost procesů IT pohled IT manažerů ISMS součást systému řízení pohled business manažerů Bezpečnost produktů pohled vývojářů, dodavatelů, zákazníků IT Bezpečnost pohled stakeholderů Normy-příklady Cobit, ITIL, SAMM (Software Assurance Maturity Model) ISO 27000, ISO/IEC 21827 Information technology -- Security techniques -- Systems Security Engineering -- Capability Maturity Model (SSE-CMM ) (base practices, domény) ISO/IEC 15408 (TCSEC, ITSEC) příručka Cobit Security Baseline, Business Model for information Security, Cobit 5 for Information Security

3. CobiT Security Baseline Sada pro přežití - Information Security Survival Kit Rizika specifická pro informační bezpečnost, různí uživatelé Obsah: 20 bezpečnostních procesů 44 kontrolních kroků, vazby na obsah ISO/IEC 27002 a procesy Cobit 4.1 sady pro přežití : domácí uživatelé, profesionální uživatelé, manažeři, výkonní ředitelé, vyšší výkonní ředitelé a členové představenstva Pro každou tuto skupinu uživatelů příručka nabízí Přehled rizik spojených s danou skupinou uživatelů Dotazník, který má pomoci dané skupině uživatelů zhodnotit, zda dodržují pravidla ISG Seznam akcí, které by měli realizovat Závěr: bezpečnostní rizika - tři kategorie: Rizika záměrného zneužití počítače (trojský kůň, DOS, Email spoofing, spamming atd.) Rizika plynoucí z porušení pravidel, norem (porušení autorského práva, nepřiměřené využívání internetu, průmyslová špionáž, nesoulad s pravidly a regulacemi) Havárie (porucha disku, porucha dodávky elektřiny, problémy softwaru).

SAMM A guide to building security into software development Autor: The Open Web Application Security Project (OWASP) otevřené společenství zaměřené na zlepšování bezpečnosti aplikačního SW Cíl SAMM - otevřený rámec zaměřený na formulování a zavádění strategie pro zlepšování bezpečnosti SW přizpůsobené specifickým rizikům v jednotlivých organizacích Dílčí cíle: Hodnocení existujících praktik v řízení SW Vytvoření vyváženého programu pro ujištění založeného na iteracích Demonstrace konkrétních přínosů Definování a měření bezpečnostních praktik napříč organizací

ISO 27000 - ISMS

Revize norem 27001 a 27002 Říjen 2013 Změny ve struktuře obsahu (sjednocení podle ISO Guide 83, poprvé u sady norem ISO 22301:2012 Societal security Business continuity management systems Requirements) Certifikace nově od dubna 2014

ISO/IEC 27001:2005 ISO/IEC 27001:2005 (BS 7799-2) Information technology - Security techniques - Information security management systems Requirements, říjen 2005 poskytuje model pro zavedení a správu efektivního systému řízení bezpečnosti informací stanovuje jednoznačné požadavky na systém řízení, kontrolu zavedení ISMS a případnou certifikaci, tedy nezávislé ověření ISMS třetím (důvěryhodným a akreditovaným) subjektem Je úzce propojená s ISO 27002: ISO 27002 poskytuje podrobný přehled (katalog) bezpečnostních opatření, která mohou být vybrána při budování ISMS, ISO 27001 specifikuje požadavky na to, jak ISMS v organizaci správně zavést. Případná certifikace ISMS pak probíhá podle ISO 27001

Obsah ISO 27001 0. Úvod 1. Předmět normy 2. Normativní odkazy 3. Termíny a definice 4. Systém managementu bezpečnosti informací 5. Odpovědnost vedení 6. Interní audity ISMS 7. Přezkoumání ISMS vedením organizace 8. Zlepšování ISMS Příloha A Cíle opatření a jednotlivá bezpečnostní opatření Příloha B Principy směrnice OECD a norma ISO/IEC 27001 normou Příloha C vztah mezi ISO 9001 a ISO 14001 a touto normou

ISO/IEC 27001: 2013 Upravena struktura normy - nová kapitola Kontext organizace zajišťuje zavedení ISMS v souladu s obchodními aktivitami organizace a klade velký důraz na šíření informační bezpečnosti v rámci celé organizace Procesní přístup - nová norma nespecifikuje, jaký bude použit procesní přístup (nevyžaduje PDCA) Hodnocení rizik - rizika jsou nově identifikována vůči informacím (a ne k aktivům) Opatření - revidována a upravena bezpečnostní opatření z Přílohy A, která nyní odpovídají novým IT trendům

Evolution of ISO/IEC 27001 certificates in Czech Republic, Zdroj: iso.org

1. Historie ISO 27002 Code of Practice for Information Security Management Na začátku byl tzv. Britský standard BS7799, který byl poprvé publikován v roce 1995 BS 7799-1, později ISO 17799, ISO 17799:2005, nyní ISO 27002 - Code of Practice for Information Security Management je souhrnem bezpečnostních kontrol (opatření) roztříděných do 11 hlavních sekcí BS 7799-2, nyní ISO 27001: Specifikace systému řízení bezpečnosti (Specification for Information Security Management System)- certifikace BS 7799-3:2006 Information Security Management Systems - Guidelines for information security risk management, nyní ISO 27005- řízení rizika Poslední verze: ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls

ISO/IEC 27002 porovnání oblastí verze 2005 a 2013

ISO/IEC 27002 struktura 2005 11 oddílů -oblastí bezpečnosti 39 kategorií bezpečnosti 133 opatření

Změny ISO 27002-2013 Redukce opatření z původních 133 na 114 Rozšíření kapitol z původních 11 na 14. Většina stávajících opatření zůstala nepozměněna, aktualizován byl pouze text doporučení.

ISO/IEC 27002 - struktura Každá z kategorií bezpečnosti obsahuje: cíl opatření, čeho má být dosaženo jedno nebo více opatření Popis opatření: Opatření Doporučení k realizaci Další informace

Kategorie Opatření 1

ISO 27004: 2009 Information technology Security techniques information Security management - measurement prosinec 2009 pomůcka k měření a prezentaci efektivity systémů řízení bezpečnosti informací (ISMS) organizací zahrnující řídící procesy definované v ISO 27001 a opatření z ISO 27002 vhodná pro všechny typy organizací Klíčové části: Information security measurement overview; Management responsibilities; Measures and measurement development; Measurement operation; Data analysis and measurement results reporting; Information Security Measurement Program evaluation and improvement. Příloha A obsahuje vzor pro popis metrik Příloha B nabízí pracovní příklady

Obsah ISO/IEC 27005:2008 Information technology - Security techniques -- Information security risk management Foreword Introduction Normative references Terms and definitions Structure Background Overview of the ISRM Process Context Establishment Information Security Risk Assessment (ISRA) Information Security Risk Treatment Information security Risk Acceptance Information security Risk Communication Information security Risk Monitoring and Review Annex A: Defining the scope of the process Annex B: Asset valuation and impact assessment Annex C: Examples of Typical Threats Annex D: Vulnerabilities and vulnerability assessment methods Annex E: ISRA approaches

Přehled nové řady 27000 ISO 27000: 2014 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary ISO 27001:2013 Information technology -- Security techniques -- Information security management systems Requirements, certifikace, ISO 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls, souhrn bezpečnostních kontrol ISO 27003:2010 Information technology -- Security techniques -- Information security management system implementation guidance, návod pro implementaci standardů celé série, ISO 27004: 2009 Information technology -- Security techniques -- Information security management -- Measurement, metriky pro řízení informační bezpečnosti ISO 27005:2011 Information technology -- Security techniques -- Information security risk management, řízení bezpečnostních rizik ISO 27006:2011 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems, požadavky na akreditované, autority poskytující certifikace

27000 - pokračování ISO/IEC 27007:2011 Information technology - Security techniques - Guidelines for information security management systems auditing, návod na audit ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for auditors on information security management systems controls, návody pro auditory týkající se ISMS kontrol ISO 27009 byla nahrazena ISO/IEC 27013:2012 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1, návod na implementaci ISMS (ISO 27001) a ITSM (ISO 20000) ISO 27010:2012 Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communications ISO/IEC 27018:2014 Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, doporučení ohledně ochrany osobních údajů v prostředí cloud computingu ISO 27037:2012 Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence - doporučení pro zjišťování, sběr a získávání a uchovávání digitálních důkazů

Sada norem ISO 223xx Societal Security (Společenská bezpečnost) Nahrazuje BS 25999 BS 25999 1: 2006 Business Continuity Management - Code of Practice BS 25999-2: 2007 Specification for Business Continuity Management (certifikace ve Velké Britanii) Cíl: vytvořit sadu norem, které budou vytvářet základ pro regulaci v oblasti společenské bezpečnosti (včetně BCM) Součást integrovaného systému řízení organizací??? Systém řízení bezpečnosti informací (Information Security Management System - ISMS) ISO 27000 Systém řízení kvality (Quality Management System - QMS) - ISO 9000 Řízení environmentálního systému (Environment Management System - EMS), ISO 14000 Řízení IT služeb (IT Service Management System), ISO 20000 Integrace Úprava ISO 27001 (v roce 2013) ISO 9001 (v roce 2015) Všechny systémy se budou řídit PDCA (Plan Do Check Act)

Sada norem ISO 223xx Societal Security ISO 22300:2012, Societal security Terminology ISO 22301: 2012, Societal security -- Business continuity management systems --- Requirements Cíl podporovat firemní odolnost vůči nepředvídaným událostem V ČR do června 2013 certifikace podle BS 25999 V současné době certifikace podle ISO 22301 ISO 22313: 2012, Societal security Business continuity management systems Guidance ISO 22320:2011, Societal security Emergency management Requirements for incident response ISO/TR 22312:2011, Societal security Technological capabilities ISO/PAS 22399:2007, Societal security Guideline for incident preparedness and operational continuity management. ISO 22315, Societal security Mass evacuation ISO 22322, Societal security Emergency management Public warning ISO 22323, Organizational resilience management systems Requirements with guidance for use ISO 22325, Societal security Guidelines for emergency capability assessment for organizations ISO 22351, Societal security Emergency management Shared situation awareness ISO 22397, Societal security Public Private Partnership Guidelines to set up partnership agreements ISO 22398, Societal security Guidelines for exercises and testing ISO 22324, Societal security Emergency management Colour-coded alert

Bezpečnost softwarových produktů ISO/IEC 15408 Evaluation Criteria for IT Security (CC) Rámec pro: Uživatele počítačového systému: mohou specifikovat bezpečnostní funkcionalitu a jistící požadavky Prodejce: mohou implementovat a zároveň/nebo se dožadovat bezpečnostních atributů svých produktů Testovací laboratoře: mohou vyhodnocovat produkty Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným a standardizovaným způsobem Tři části

ISO/IEC 15408-1:2009 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model Zavádí obecné koncepty a principy hodnocení základní koncept Target of Evaluation (TOE) může to být produkt i systém profily ochrany Protection Profiles (PP) sady požadavků na bezpečnost Specifikace bezpečnostních cílů Security Targets (ST)

ISO/IEC 15408-2:2008 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional components Představuje komplexní katalog předdefinovaných požadavků na bezpečnost SW produktů (hierarchická struktura (třídy rodinykomponenty) Možnost výběru z předdefinovaných požadavků nebo návody na přizpůsobení předdefinovaných požadavků v případě, že předdefinované vzory neexistují ISO/IEC 15408-3:2008 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance components Definuje požadavky na hodnocení TOE škály hodnocení a úrovně hodnocení (Evaluation Assurance Levels - EAL 1 7) Čím je EAL vyšší, tím jsou dokumentace, analýzy a testy podrobnější, ale tím pádem také časově a finančně náročnější

Přehled EAL EAL1:Funkčně testováno EAL2: Strukturálně testováno EAL3: Metodicky testováno a kontrolováno EAL4: Metodicky navrženo, testováno, a revidováno EAL5: Semi-formálně navrženo a testováno EAL6: Semi-formálně ověřený návrh a testováno EAL7: Formálně ověřený návrh a testováno

Podobné standardy (nahrazeny CC) TCSEC Trusted Computer System Evaluation Criteria (Orange Book) Jde o dokument amerického ministerstva obrany, vydaný v roce 1985. Zavádí 4 skupiny (A,B,C,D), které odpovídají vždy jednomu kvalitativně odlišnému stupni bezpečnosti a jsou dále děleny do tříd (D, C1, C2, B1 pro konvenční systémy a B2, B3, A1 pro důvěryhodné systémy). Zabývá se rovněž bezpečnostní politikou a bezpečnostními kritérii pro ochranu dat v informačních systémech. ITSEC Information Technology Security Evaluation Criteria, který je významný pro země EU. Vznikl v roce 199O a reprezentuje ho mezinárodní instituce sídlící ve Velké Británii. Zaměřuje se na prověřování produktů z hlediska bezpečnosti v informačních technologiích. Definuje 7 tříd míry zaručitelnosti bezpečnosti E0 E6, které reprezentují vzrůstající úrovně důvěry. Na každý ověřený produkt pak ITSEC vydá certifikát, který je volně dostupný na internetu.

Porovnání norem Canadian Trusted Computer Product Evaluation Criteria Federal Criteria for IT (USA, NIST)

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář