Standarder for informasjonssikkerhet Rune Ask

Transkript

1 Standarder for informasjonssikkerhet Rune Ask IT Risk & Compliance Manager Det Norske Veritas

2 Agenda Kort om DNV og meg Historien bak standardene Oversikt over ISO/IEC 27xxx-standardene ISO/IEC Oversikt og terminologi ISO/IEC Krav til styringssystem for informasjonssikkerhet ISO/IEC Iverksetting av sikringstiltak ISO/IEC Måling ISO/IEC Risikostyring ISO/IEC Virksomhetsstyring av informasjonssikkerhet

3 Det Norske Veritas - DNV En uavhengig stiftelse etablert i kontorer i 100 land 9000 ansatte fra over 85 nasjoner Hovedkontor Lokale kontorer

4 Det Norske Veritas - DNV Vårt mål: Å arbeide for sikring av liv, verdier og miljø Vår visjon: Global påvirkning for en trygg og bærekraftig framtid

5 DNVs fokusområder DNV is a world leading classification society - 15,5% of the world fleet to class - 17% of ships ordered in % of maritime fuel testing market - Authorised by 130 national maritime authorities - Continuous high performance in Port State Control worldwide Broad experience in the energy industry - Cross-disciplinary competence within risk, management, technology and operational expertise - Our services and solutions are built on leading edge technology - Offshore pipeline technology leader - DNV Offshore Rules for pipelines recognised as world class - Deep water technology - Providing reliable verification and qualification of unproven technology - Broad experience with LNG/Natural Gas Services to industries - Product certification - Management system certification - More than 80 national accreditations and certificates issued worldwide - Corporate Responsibility - Governance responsibility assessment - Supply chain management - Verification of sustainability reporting - IT risk management services - Business consulting services and solutions - Enterprise risk management - Safety, Health and Environmental (SHE) risk management - Change management - Software products and services - Training

6 Rune Ask CISA, CISM, ITIL foundation Ansatt som IT Security Risk & Compliance Manager i DNV Tidligere daglig leder i programvarefirma, IT-sjef i rederi og sikkerhetskonsulent i revisjons- og konsulentselskaper pluss mye mer Tidligere nestleder i IT-SikkerhetsForum i seks år Tidligere fast plass i det offentlige Forum for IT-sikkerhet ISACA Information Systems Audit & Control Association CISA Certified Information Systems Auditor siden 1995 CISM Certified Information Security Manager siden 2003 Deltok i utarbeidelsen av God IT-Skikk nr. 2 (GITS-2) Tilgangskontroll Skrev GITS-5 Bruk av Internett ISO/IEC (tidligere BS ) Deltok i utviklingen av den siste versjonen av BS Foretok den offisielle oversettelsen av standarden til norsk NS 7799 Deltok i videreutviklingen av standarden i ISO (ISO/IEC JTC1/SC27 WG1) ISO/IEC (tidligere ISO/IEC 17799) Satt i redaksjonskomitéen for den norske oversettelsen av ISO/IEC Framla dokumentet for godkjenning hos Norges Standardiseringsforbund Deltok i videreutviklingen av standarden i ISO (ISO/IEC JTC1/SC27 WG1) Leder av Standard Norge sin arbeidsgruppe for informasjonssikkerhet K171 Norges Head-of-Delegation under møter i ISO/IEC JTC1/SC27

7 Sikkerhetsstandardene litt historie BS 7799 Code of Practice for Information Security Management Utvikling påbegynt tidlig på 1990-tallet Utviklet av Department of Trade and Industry - BSI DISC - British Telecom - Shell - Unilever - Midland Bank - Marks and Spencer - Nationwide Building Soc. Første versjon sluppet i deler - I Introduksjon og bruksforklaring - II Individuelle sikringstiltak

8 10 nøkkelpunkter 1. Sikkerhetspolicy 2. Tildeling av ansvar 3. Opplæring og kursing i informasjonssikkerhet 4. Rapportering av sikkerhetshendelser 5. Viruskontroll 6. Kontinuitetsplanlegging 7. Kopieringskontroll 8. Beskyttelse av virksomhetsdata 9. Etterlevelse av lover og forskrifter 10. Etterlevelse av sikkerhetspolicyen

9 BS 7799 Ny versjon i 1995 To dokumenter - Det «gamle» Code of Practice - Sammenstilling av sikringsmålene Noe oppdatering av dokumentet - Nøkkelområdene fjernet Foreslått som ISO-standard Ny versjon i Dokument 1 noe oppdatert - Dokument 2 ink. Struktur for arbeid med informasjonssikkerhet Dokument 1 foreslått som ISO-standard via Fast-Track

10 ISO/IEC Vedtatt 8. august 2000 i Tokyo Publisert 1. desember 2000

11 ISO/IEC Norsk standard i mai 2001 NS-ISO/IEC Sertifisering gjøres etter BS :2002 (NS 7799) - Baserer seg på tiltakene i ISO/IEC 17799:2000 Revisjon av ISO/IEC vedtatt 24. oktober 2001 Arbeidsmøter i ISO/IEC JTC1/SC27 WG1 - Berlin, mai 2002, ~750 endringsforslag - Warszawa, oktober 2002, ~650 endringsforslag - Quebec, april endringsforslag - Paris, oktober 2003, ~1000 endringsforslag - Singapore, mai 2004, ~700 endringsforslag - Berlin, juni 2004 Ad-hoc-møte 0 endringsforslag - Fortaleza, oktober Wien, april Kuala Lumpur, november 2005

12 Nyere historie Ønske om internasjonal standard for sertifisering av informasjonssikkerhet Krav om bakoverkompatibilitet pga. eksisterende sertifikater Storbritannia tilbyr BS Kjøres gjennom Fast Track med enkelte endringer Vedtatt som ISO/IEC i 2005 April 2007: ISO/IEC skifter navn til ISO/IEC : Det vedtas at ISO/IEC & skal revideres 2010: Samkjøring av styringssystemer - ISO 9000, ISO 14000, ISO/IEC 20000, ISO 22000,... - ISO/IEC er annerledes

13 SC27 Platinum Book For mer historie om arbeidet med sikkerhetsstandardene last ned SC27 Platinum Book

14 ISO/IEC 27xxx-familien

15 ISO/IEC 27xxx-familien ISO/IEC Information security management system Overview and vocabulary (2009. Under revisjon) ISO/IEC Information security management system Requirements (2005. Under revisjon) ISO/IEC Code of practice for information security management (2005. Under revisjon) ISO/IEC Information security management system implementation guidance (2010) ISO/IEC Information security management Measurements (2009) ISO/IEC Information security risk management (2008, FDIS) ISO/IEC Requirements for bodies providing audit and certification of information security management systems (2007. Under revisjon) ISO/IEC Guidelines for information security management system auditing (FCD) ISO/IEC Guidelines for auditors on information security controls (DTR)

16 ISO/IEC 27xxx-familien ISO/IEC Information security management for inter-sector and interorganisational communications (CD) ISO/IEC Information security management guidelines for telecommunications organizations based on ISO/IEC (2008) ISO/IEC Information security management systems guidelines for electronic government (Cancelled) ISO/IEC Guidelines on the integrated implementation of ISO/IEC and ISO/IEC (WD) ISO/IEC Governance of information security (CD) ISO/IEC Information security management systems guidelines for financial services (WD)

17 ISO/IEC 27xxx-familien ISO/IEC Guidelines for ICT Readiness for Business Continuity (Draft) ISO/IEC Guidelines for cybersecurity (WD) ISO/IEC Network security (MultiPart) ISO/IEC Application security (FCD) ISO/IEC Information security incident management (FDIS) ISO/IEC Guidelines for security of outsourcing (WD) ISO/IEC Guidelines for identification, collection and/or acquisition and preservation of digital evidence (WD) ISO Information security management in health using ISO/IEC (2008) Pekere:

18 ISO/IEC Information technology Security techniques Information security management systems Overview and vocabulary Inneholder rester fra ISO/IEC og definisjoner fra ISO/IEC 27001/2/5 Hva er et styringssystem for informasjonssikkerhet (ISMS) Hvorfor er et det viktig med et ISMS Prosesstilnærming - Plan, Do, Check, Act Etablere, monitorere, vedlikeholde og forbedre et ISMS - Identifiser krav til informasjonsikkerhet - Vurder informasjonsikkerhetsrisikoene - Velg og implementer sikringstiltak - Overvåking, oppfølging og forbedring Kritiske suksessfaktorer ved implementering av et ISMS Overordnet innføring i familien Standarden vil bli revidert relativt ofte

19 ISO/IEC Information security management systems Requirement Planlegg Plan Etablere ISMS-et Interessenter Utfør Do Iverksette og forvalte ISMS-et Kretsløp for utvikling, vedlikehold og forbedring Vedlikeholde og forbedre ISMS-et Korrigere Act Interessenter Overvåke og revidere ISMS-et Krav og forventninger til informasjonssikkerhet Kontroller Check Styrt informasjonssikkerhet

20 ISO/IEC Etablere et ISMS Definere omfanget til ISMS Definere en ISMS-policy Definere tilnærmingsmåte for risikovurderinger Identifisere risikoene Analysere og evaluere risikoene Identifisere og evaluere alternativer for håndtering av risikoene Velge mål for tiltakene og tiltak for å behandle risikoene Innhente ledelsens godkjenning for restrisikoene Innhente ledelsens godkjenning til å iverksette og drifte ISMS Utarbeide anvendelighetserklæringen (SoA - Statement of Applicability) Do Plan Check Act

21 ISO/IEC Implementere og forvalte ISMS Formulere en handlingsplan for risiko Implementere handlingsplanen for risiko Implementere valgte sikringstiltak som oppfyller målet for informasjonssikkerhet Do Plan Check Definere hvordan effektiviteten på tiltakene skal måles, og spesifisere hvordan målingene skal benyttes til å avdekke tiltakenes virkningsgrad på en måte som kan repeteres og sammenliknes Iverksette bevisstgjørings- og opplæringsprogrammer Administrere oppgavene i styringssystemet Administrere ressursene i styringssystemet Implementere prosedyrer og andre tiltak for raskt å kunne oppdage og håndtere sikkerhetsbrudd Act

22 ISO/IEC Monitorere og revidere ISMS Gjennomføre prosedyrer for overvåking Gjennomføre regelmessig gjennomganger av effektiviteten til styringssystemet Måle effektiviteten på sikringstiltakene for å verifisere at kravene til sikkerhet oppfylles Jevnlig gjennomføre risikovurderinger og vurdere om nivået på restrisiko og akseptabel risiko er riktig Jevnlig gjennomføre interne revisjoner av styringssystemet Jevnlig gjennomføre ledelsens gjennomgang av ISMS for å verifisere at omfanget er riktig og at forbedringer av styringssystemet kan identifiseres Oppdatere planer sikring basert på observasjoner gjort under revisjoner og gjennomganger Dokumentere aktiviteter og hendelser som kan påvirke egnetheten og effektiviteten til styringssystemet Do Plan Check Act

23 ISO/IEC Vedlikeholde og forbedre ISMS Implementere de identifiserte forbedringene i styringssystemet Iverksette dekkende korrektive og preventive tiltak og aktiviteter Kommunisere aktivitetene og forbedringene til alle interessenter og dersom det er relevant, innhente samtykke til videre aktiviteter Sikre at forbedringene oppnår de forventede målene Do Plan Check Act

24 ISO/IEC Vedlegg A 11 områder 39 sikringsmål 133 sikringstiltak 5 Sikkerhetspolicy 5.1 Informasjonssikkerhetspolicy Mål: Å gi rettledning og støtte fra ledelsen i forbindelse med informasjonssikkerhet i overensstemmelse med virksomhetskravene og relevante lover og forskrifter Dokumentasjon av informasjonssikkerhetspolicyen Revisjon av informasjonssikkerhetspolicyen Dokumentasjon av informasjonssikkerhetspolicyen skal godkjennes av ledelsen og offentliggjøres og formidles på en hensiktsmessig måte til alle ansatte og relevante eksterne interessenter. Informasjonssikkerhetspolicyen skal revideres med planmessige mellomrom eller hvis det oppstår betydelige endringer, for å sikre at policyen er egnet, passende og effektiv.

25 ISO/IEC Code of practice for information security management Neste versjon: Code of practice for information security controls En katalog med forslag til sikringstiltak 11 områder Security areas 5 Informasjonssikkerhetspolicy 6 Organisering av informasjonssikkerhet 7 Administrasjon av aktiva 8 Personellsikkerhet 9 Fysisk og miljømessig sikkerhet 10 Kommunikasjons- og driftsadministrasjon 11 Aksesskontroll 12 Anskaffelse, utvikling og vedlikehold av informasjonssystemer 13 Administrasjon av informasjonssikkerhetsbrudd 14 Kontinuitetsplanlegging 15 Samsvar 39 mål Security Objectives 133 tiltak Security Controls

26 ISO/IEC Control objective Sikringsmål for området Control Krav til sikringstiltak Én setning Organisasjonen bør iverksette tiltak for informasjonssikkerhet Implementation guidance Omfattende råd om hvordan sikringstiltaket kan innføres Other information Ytterligere råd Pekere til andre standarder og relevant informasjon

27 Eksempel fra ISO/IEC 27002

28 ISO/IEC Information security management Measurements Måling av informasjonssikkerhet Effektiviteten til ett enkelt sikringstiltak eller til en gruppe av tiltak - Effectivness not efficiency Hvordan sette opp et regime for måling - Måleprogram - Repeterbarhet Hvordan målinger kan gjennomføres - Kvantitative - Kvalitative - Frekvens Hvilke typer elementer finnes - Basismålinger - Avledede målinger - Skalaer - Vekting - Indikatorer

29 ISO/IEC Information security risk management Beskrivelse av prosessen for risikostyring - Definere omfang - Registrere aktiva - Definere akseptabelt risikonivå - Identifisere trusler - Avdekke sårbarheter - Utføre risikovurdering - Iverksette sikringstiltak - Informere interessenter - Gjenta ad infinitum Vedlegg - Liste over sårbarheter - Liste over trusler - Verdifastsetting av aktiva

30 Forretningsvirksomhet ISO/IEC Governance of Information Security Styring/Strategi Virksomhetsstrategi Virksomhetsforvaltning Strategitilpasning Verdileveranse Informasjonssikkerhetsstrategi Forvaltning av informasjonssikkerhet Ledelse/Forvaltning Informasjonssikkerhet

31 ISO/IEC Prinsipper for god virksomhetsstyring av informasjonssikkerhet 1. Innfør informasjonssikkerhet i hele organisasjonen 2. Innfør en risikobasert tilnærming 3. Bestem målsetning for investeringer 4. Påse etterlevelse med interne og eksterne krav 5. Tilstrebe en bedriftskultur som er positiv til informasjonssikkerhet 6. Vurder ytelsen relatert til virksomhetens mål

32 ISO/IEC Modell for virksomhetsstyring av informasjonssikkerhet Styre Overvåke Evaluere Rapportere Forsikre

33 Spørsmål? Takk for oppmerksomheten!