Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and vocabulary oiso/iec 27001 Information security management systems Requirements oiso/iec 27002 Code of practice for information security controls oiso/iec 27003 Information security management system Implementation guidance oiso/iec 27004 Information security management Measurement oiso/iec 27005 Information security risk management (C) 2014 Veriscan Security 1
ISO/IEC 27000 Information Security Management System Overview and vocabulary Status: IS publisert 15/1-2014 Oppdateres oftere enn de andre standardene (2009, 2012) Innehold: Termer og definisjoner 89 ord og begreper er definert Styringssystem for informasjonssikkerhet (ISMS) Hva er det? Hvorfor bør virksomheten iverksette et styringssystem? Overordnet beskrivelse av prosessene for etablering, iverksetting, vedlikehold og kontinuerlig forbedring av et ISMS Kortfattet beskrivelse av ISO/IEC 27000-serien av standarder Normativ for de fleste standardene for informasjonssikkerhet ISO/IEC 27001 Information security management systems Requirements Status: IS publisert 25/9-2013 Vesentlige endringer fra forrige versjon Samkjørt med andre ISO-standarder for styringssystemer Omstrukturert mange overskrifter er endret Antall kapitler økt fra 8 til 10 Termer og definisjoner er fjernet henviser til ISO/IEC 27000 Dublerte krav er fjernet Dokumentet er mindre 2005: 42 sider, 2013: 30 sider Mer pragmatisk mindre preskriptivt Åpner for større frihet til å implementere ISMS på egen måte (C) 2014 Veriscan Security 2
ISO/IEC 27001 Ny normativ referanse Inn: ISO/IEC 27000, Ut: ISO/IEC 17799 (27002) Plan-Do-Check-Act-modellen er fjernet Establish, implement, maintain and continually improve an ISMS Asset ogasset owner er fjernet Fremdeles brukt i Appendix A (ISO/IEC 27002) Mer detaljering av risikovurdering og -håndtering Risikoeier (Risk Owner) Risiko kan nå også ha en oppside (SWOT - Strength/Weakness/Opportunity/Threat) Mer fokus på ledelsens ansvar Kapittel 5 gitt nytt navn: Leadership (2005: Management responsibility) Roller, ansvar og myndighet Kravet om et dokumentert bevisstgjøringsprogram er fjernet ISO/IEC 27001 Én overordnet informasjonssikkerhetspolicy 2005: ISMS-policy & informasjonssikkerhetspolicy 2013: Ikke krav om en egen ISMS-policy 2013: Policy-begrepet brukes i mange andre sammenhenger (Appendix A) Større krav til kontekstforståelse 2005: Scope and boundaries 2013: Forstå organisasjonen og dens kontekst Forstå behovene og forventningene til interesserte parter Forstå grensesnittene mot tredjeparter Å bestemme omfanget av ISMS-et Økt krav til måling 2005: Effektiviteten på sikringstiltak eller grupper av tiltak 2013: Effektiviteten i styringssystemet skal måles i tillegg til tiltakene (C) 2014 Veriscan Security 3
ISO/IEC 27001 Kravene til/kontroll over dokumentasjon er stort sett uendret Omfanget av ISMS-et og konteksten, inkl. interessenter krav og forventninger Informasjonssikkerhetspolicyen Prosessen for gjennomføring av risikovurderinger, inkl. kriterier for risikoakseptanse Prosessen for risikohåndtering De overordnede målene for informasjonssikkerhet (security objects) Nødvendig sikkerhetskompetanse Nødvendig informasjon for å sikre et effektivt ISMS Eksterne dokumenter som er nødvendige for å planlegge og forvalte ISMS-et Gjennomføringen av implementeringen av ISMS-et Iverksatte sikringstiltak Resultatene fra iverksettelsen av sikringstiltakene Prosessen og gjennomføring av måling og monitorering Planer for gjennomføring og resultatene av interne sikkerhetsrevisjoner Resultatene av ledelsen gjennomgang Avdekkede avvik (non-conformities) Iverksatte tiltak for avvikshåndtering Resultatene fra avvikshåndtering ISO/IEC 27001 Krav til kommunikasjon Hva, Når, Fra hvem, Til hvem, Hvilken form Intern og ekstern Statement of Applicability er opprettholdt Krav til intern revisjon og ledelsens gjennomgang av styringssystemet er opprettholdt Alle krav i kap. 4-10 må oppfylles for at virksomheten skal kunne hevde å være i samsvar med standarden Sertifiserte organisasjoner må fortsatt revideres av ekstern revisor være i samsvar med ny standard i løpet av to år (C) 2014 Veriscan Security 4
ISO/IEC 27001 0. Introduction 1. Scope 2. Normative references 3. Terms and definitions 4. Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system 5. Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities 6. Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and plans to achieve them 7. Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 8. Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk treatment 9. Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review 10. Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Annex A Reference control objectives and controls ISO/IEC 27001:2005 ISO/IEC 27001:2013 4 Information security management system 4.1 General 4.2 Establishing/managing ISMS 4.3 Documentation requirements 5 Management responsibility 6 General ISMS audits 4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance evaluation 7 Management review 8 ISMS improvement 10 Improvement (C) 2014 Veriscan Security 5
ISO/IEC 27001 Endringer fra 2005 til 2013 http://www.bsigroup.com/documents/ iso-27001/resources/bsi-iso27001- mapping-guide-uk-en.pdf http://www.difi.no/filearchive/veilederfor-virksomheter-som-skal-gaa-fraiso27001-2005-til-iso27001-2013_4.pdf ISO/IEC 27002 Code of practice for information security controls Status: IS publisert 25/9-2013 Tittel endret fra 2007-utgaven: Code of practice for information security management En god del endringer fra forrige versjon Er i større grad knyttet opp mot IS 27001 og ISMS Termer og definisjoner er fjernet henviser til ISO/IEC 27000 Kapittel 4 Risk assessment and treatment er fjernet Henviser til ISO/IEC 27005 Innholdet i dokumentet er omstrukturert Strukturen på sikringstiltakene er beholdt Innholdet i Objective-boksen er (med ett unntak) redusert til bare én setning (C) 2014 Veriscan Security 6
ISO/IEC 27002 Human resource security 2007: 2013: ISO/IEC 27002 Control objective Sikringsmål for området Control "Krav" til sikringstiltak Én setning Οργανισασϕονεν bør ιϖερκσεττε τιλτακ φορ ινφορµασϕονσσικκερηετ Implementation guidance Råd om hvordan sikringstiltaket kan iverksettes/gjennomføres Other information Ytterligere råd Pekere til andre standarder og relevant informasjon (C) 2014 Veriscan Security 7
ISO/IEC 27002 endringer fra forrige versjon 26 tiltak er fjernet slettet helt eller integrert i andre tiltak Kapitlet Communication and operation management (2007) er splittet i to Operations security (Kap.12) Communications security (Kap.13) To nye kapitler Cryptography (Kap.10) Supplier relationship (Kap.15) 2007: 11 områder (Area) 39 sikringsmål (Objectiv) 133 sikringstiltak (Control) 136 sider 2013: 14 områder 35 sikringsmål 114 sikringstiltak 90 sider ISO/IEC 27002 Større fokus på tjenesteutsetting (inklusive skytjenester) Ny standard erunder utvikling:iso/iec 27017 Code of practice for information security controls based on ISO/IEC 27002 for the use of cloud services Bruk av personlig eid datautstyr er adressert (BYOD) Policy brukes nå i flere sammenhenger 2007: Informasjonssikkerhetspolicy + retningslinjer 2013: Emnespesifikke policyer Policy for brukeraksess Policy for informasjonsklassifisering Internettpolicy E-postpolicy Antiviruspolicy mm. (C) 2014 Veriscan Security 8
ISO/IEC 27002 0. Introduction 1. Scope 2. Normative references 3. Terms and definitions 4. Structure of this standard 4.1 Clauses 4.2 Control categories 5. Information security policies 5.1 Management direction for information security 6. Organization of information security 6.1 Internal organization 6.2 Mobile devices and teleworking 7. Human resource security 7.1 Prior to employment 7.2 During employment 7.3 Termination and change of employment 8. Asset management 8.1 Responsibility for assets 8.2 Information classification 8.3 Media handling 9. Access control 9.1 Business requirements of access control 9.2 User access management 9.3 User responsibilities 9.4 System and application access control 10. Cryptography 10.1 Cryptographic controls 11. Physical and environmental security 11.1 Secure areas 11.2 Equipment ISO/IEC 27002 12. Operations security 15. Supplier relationships 12.1 Operational procedures and responsibilities 15.1 Information security in supplier relationships 12.2 Protection from malware 15.2 Supplier service delivery management 12.3 Backup 16. Information security incident 12.4 Logging and monitoring management 12.5 Control of operational software 16.1 Management of information security incidents 12.6 Technical vulnerability management and improvements 12.7 Information systems audit considerations 17. Information security aspects of 13. Communications security business continuity management 13.1 Network security management 17.1 Information security continuity 13.2 Information transfer 17.2 Redundancies 14. System acquisition, development and 18. Compliance maintenance 18.1 Compliance with legal and contractual 14.1 Security requirements of information systems requirements 14.2 Security in development and support processes 18.2 Information security reviews 14.3 Test data (C) 2014 Veriscan Security 9
ISO/IEC 27002 Endringer fra 2007 til 2013 http://www.informationshield.com/papers/iso27002-2013 Version Change Summary.pdf Takk for oppmerksomheten Rune Ask 994 96 322 Rune.Ask@veriscan.no (C) 2014 Veriscan Security 10