Standarder for informasjonssikkerhet Rune Ask

Standarder for informasjonssikkerhet Rune Ask IT Risk & Compliance Manager Det Norske Veritas

Agenda Kort om DNV og meg Historien bak standardene Oversikt over ISO/IEC 27xxx-standardene ISO/IEC 27000 Oversikt og terminologi ISO/IEC 27001 Krav til styringssystem for informasjonssikkerhet ISO/IEC 27002 Iverksetting av sikringstiltak ISO/IEC 27004 Måling ISO/IEC 27005 Risikostyring ISO/IEC 27014 Virksomhetsstyring av informasjonssikkerhet

Det Norske Veritas - DNV En uavhengig stiftelse etablert i 1864 300 kontorer i 100 land 9000 ansatte fra over 85 nasjoner Hovedkontor Lokale kontorer

Det Norske Veritas - DNV Vårt mål: Å arbeide for sikring av liv, verdier og miljø Vår visjon: Global påvirkning for en trygg og bærekraftig framtid

DNVs fokusområder DNV is a world leading classification society - 15,5% of the world fleet to class - 17% of ships ordered in 2009-70% of maritime fuel testing market - Authorised by 130 national maritime authorities - Continuous high performance in Port State Control worldwide Broad experience in the energy industry - Cross-disciplinary competence within risk, management, technology and operational expertise - Our services and solutions are built on leading edge technology - Offshore pipeline technology leader - DNV Offshore Rules for pipelines recognised as world class - Deep water technology - Providing reliable verification and qualification of unproven technology - Broad experience with LNG/Natural Gas Services to industries - Product certification - Management system certification - More than 80 national accreditations and 70 000 certificates issued worldwide - Corporate Responsibility - Governance responsibility assessment - Supply chain management - Verification of sustainability reporting - IT risk management services - Business consulting services and solutions - Enterprise risk management - Safety, Health and Environmental (SHE) risk management - Change management - Software products and services - Training http://www.dnv.com

Rune Ask CISA, CISM, ITIL foundation Ansatt som IT Security Risk & Compliance Manager i DNV Tidligere daglig leder i programvarefirma, IT-sjef i rederi og sikkerhetskonsulent i revisjons- og konsulentselskaper pluss mye mer Tidligere nestleder i IT-SikkerhetsForum i seks år Tidligere fast plass i det offentlige Forum for IT-sikkerhet ISACA Information Systems Audit & Control Association CISA Certified Information Systems Auditor siden 1995 CISM Certified Information Security Manager siden 2003 Deltok i utarbeidelsen av God IT-Skikk nr. 2 (GITS-2) Tilgangskontroll Skrev GITS-5 Bruk av Internett ISO/IEC 27001 (tidligere BS 7799-2) Deltok i utviklingen av den siste versjonen av BS 7799-2 Foretok den offisielle oversettelsen av standarden til norsk NS 7799 Deltok i videreutviklingen av standarden i ISO (ISO/IEC JTC1/SC27 WG1) ISO/IEC 27002 (tidligere ISO/IEC 17799) Satt i redaksjonskomitéen for den norske oversettelsen av ISO/IEC 17799 Framla dokumentet for godkjenning hos Norges Standardiseringsforbund Deltok i videreutviklingen av standarden i ISO (ISO/IEC JTC1/SC27 WG1) Leder av Standard Norge sin arbeidsgruppe for informasjonssikkerhet K171 Norges Head-of-Delegation under møter i ISO/IEC JTC1/SC27

Sikkerhetsstandardene litt historie BS 7799 Code of Practice for Information Security Management Utvikling påbegynt tidlig på 1990-tallet Utviklet av Department of Trade and Industry - BSI DISC - British Telecom - Shell - Unilever - Midland Bank - Marks and Spencer - Nationwide Building Soc. Første versjon sluppet i 1993 2 deler - I Introduksjon og bruksforklaring - II Individuelle sikringstiltak

10 nøkkelpunkter 1. Sikkerhetspolicy 2. Tildeling av ansvar 3. Opplæring og kursing i informasjonssikkerhet 4. Rapportering av sikkerhetshendelser 5. Viruskontroll 6. Kontinuitetsplanlegging 7. Kopieringskontroll 8. Beskyttelse av virksomhetsdata 9. Etterlevelse av lover og forskrifter 10. Etterlevelse av sikkerhetspolicyen

BS 7799 Ny versjon i 1995 To dokumenter - Det «gamle» Code of Practice - Sammenstilling av sikringsmålene Noe oppdatering av dokumentet - Nøkkelområdene fjernet Foreslått som ISO-standard Ny versjon i 1999 - Dokument 1 noe oppdatert - Dokument 2 ink. Struktur for arbeid med informasjonssikkerhet Dokument 1 foreslått som ISO-standard via Fast-Track

ISO/IEC 17799 Vedtatt 8. august 2000 i Tokyo Publisert 1. desember 2000

ISO/IEC 17799 Norsk standard i mai 2001 NS-ISO/IEC 17799 Sertifisering gjøres etter BS 7799-2:2002 (NS 7799) - Baserer seg på tiltakene i ISO/IEC 17799:2000 Revisjon av ISO/IEC 17799 vedtatt 24. oktober 2001 Arbeidsmøter i ISO/IEC JTC1/SC27 WG1 - Berlin, mai 2002, ~750 endringsforslag - Warszawa, oktober 2002, ~650 endringsforslag - Quebec, april 2003 0 endringsforslag - Paris, oktober 2003, ~1000 endringsforslag - Singapore, mai 2004, ~700 endringsforslag - Berlin, juni 2004 Ad-hoc-møte 0 endringsforslag - Fortaleza, oktober 2004 - Wien, april 2005 - Kuala Lumpur, november 2005

Nyere historie Ønske om internasjonal standard for sertifisering av informasjonssikkerhet Krav om bakoverkompatibilitet pga. eksisterende sertifikater Storbritannia tilbyr BS 7799-2 Kjøres gjennom Fast Track med enkelte endringer Vedtatt som ISO/IEC 27001 i 2005 April 2007: ISO/IEC 17799 skifter navn til ISO/IEC 27002 2009: Det vedtas at ISO/IEC 27001 & 27002 skal revideres 2010: Samkjøring av styringssystemer - ISO 9000, ISO 14000, ISO/IEC 20000, ISO 22000,... - ISO/IEC 27001 er annerledes

SC27 Platinum Book For mer historie om arbeidet med sikkerhetsstandardene last ned SC27 Platinum Book http://www.jtc1sc27.din.de/sixcms_upload/media/3031/sc27platinum_book201010.pdf

ISO/IEC 27xxx-familien

ISO/IEC 27xxx-familien ISO/IEC 27000 Information security management system Overview and vocabulary (2009. Under revisjon) ISO/IEC 27001 Information security management system Requirements (2005. Under revisjon) ISO/IEC 27002 Code of practice for information security management (2005. Under revisjon) ISO/IEC 27003 Information security management system implementation guidance (2010) ISO/IEC 27004 Information security management Measurements (2009) ISO/IEC 27005 Information security risk management (2008, FDIS) ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems (2007. Under revisjon) ISO/IEC 27007 Guidelines for information security management system auditing (FCD) ISO/IEC 27008 Guidelines for auditors on information security controls (DTR)

ISO/IEC 27xxx-familien ISO/IEC 27010 Information security management for inter-sector and interorganisational communications (CD) ISO/IEC 27011 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 (2008) ISO/IEC 27012 Information security management systems guidelines for electronic government (Cancelled) ISO/IEC 27013 Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1(WD) ISO/IEC 27014 Governance of information security (CD) ISO/IEC 27015 Information security management systems guidelines for financial services (WD)

ISO/IEC 27xxx-familien ISO/IEC 27031 Guidelines for ICT Readiness for Business Continuity (Draft) ISO/IEC 27032 Guidelines for cybersecurity (WD) ISO/IEC 27033 Network security (MultiPart) ISO/IEC 27034 Application security (FCD) ISO/IEC 27035 Information security incident management (FDIS) ISO/IEC 27036 Guidelines for security of outsourcing (WD) ISO/IEC 27037 Guidelines for identification, collection and/or acquisition and preservation of digital evidence (WD) ISO 27799 Information security management in health using ISO/IEC 27002 (2008) Pekere: http://www.iso.org http://www.iso27001certificates.com http://www.iso27001security.com

ISO/IEC 27000 Information technology Security techniques Information security management systems Overview and vocabulary Inneholder rester fra ISO/IEC 13335 og definisjoner fra ISO/IEC 27001/2/5 Hva er et styringssystem for informasjonssikkerhet (ISMS) Hvorfor er et det viktig med et ISMS Prosesstilnærming - Plan, Do, Check, Act Etablere, monitorere, vedlikeholde og forbedre et ISMS - Identifiser krav til informasjonsikkerhet - Vurder informasjonsikkerhetsrisikoene - Velg og implementer sikringstiltak - Overvåking, oppfølging og forbedring Kritiske suksessfaktorer ved implementering av et ISMS Overordnet innføring i 27000-familien Standarden vil bli revidert relativt ofte

ISO/IEC 27001 Information security management systems Requirement Planlegg Plan Etablere ISMS-et Interessenter Utfør Do Iverksette og forvalte ISMS-et Kretsløp for utvikling, vedlikehold og forbedring Vedlikeholde og forbedre ISMS-et Korrigere Act Interessenter Overvåke og revidere ISMS-et Krav og forventninger til informasjonssikkerhet Kontroller Check Styrt informasjonssikkerhet

ISO/IEC 27001 Etablere et ISMS Definere omfanget til ISMS Definere en ISMS-policy Definere tilnærmingsmåte for risikovurderinger Identifisere risikoene Analysere og evaluere risikoene Identifisere og evaluere alternativer for håndtering av risikoene Velge mål for tiltakene og tiltak for å behandle risikoene Innhente ledelsens godkjenning for restrisikoene Innhente ledelsens godkjenning til å iverksette og drifte ISMS Utarbeide anvendelighetserklæringen (SoA - Statement of Applicability) Do Plan Check Act

ISO/IEC 27001 Implementere og forvalte ISMS Formulere en handlingsplan for risiko Implementere handlingsplanen for risiko Implementere valgte sikringstiltak som oppfyller målet for informasjonssikkerhet Do Plan Check Definere hvordan effektiviteten på tiltakene skal måles, og spesifisere hvordan målingene skal benyttes til å avdekke tiltakenes virkningsgrad på en måte som kan repeteres og sammenliknes Iverksette bevisstgjørings- og opplæringsprogrammer Administrere oppgavene i styringssystemet Administrere ressursene i styringssystemet Implementere prosedyrer og andre tiltak for raskt å kunne oppdage og håndtere sikkerhetsbrudd Act

ISO/IEC 27001 Monitorere og revidere ISMS Gjennomføre prosedyrer for overvåking Gjennomføre regelmessig gjennomganger av effektiviteten til styringssystemet Måle effektiviteten på sikringstiltakene for å verifisere at kravene til sikkerhet oppfylles Jevnlig gjennomføre risikovurderinger og vurdere om nivået på restrisiko og akseptabel risiko er riktig Jevnlig gjennomføre interne revisjoner av styringssystemet Jevnlig gjennomføre ledelsens gjennomgang av ISMS for å verifisere at omfanget er riktig og at forbedringer av styringssystemet kan identifiseres Oppdatere planer sikring basert på observasjoner gjort under revisjoner og gjennomganger Dokumentere aktiviteter og hendelser som kan påvirke egnetheten og effektiviteten til styringssystemet Do Plan Check Act

ISO/IEC 27001 Vedlikeholde og forbedre ISMS Implementere de identifiserte forbedringene i styringssystemet Iverksette dekkende korrektive og preventive tiltak og aktiviteter Kommunisere aktivitetene og forbedringene til alle interessenter og dersom det er relevant, innhente samtykke til videre aktiviteter Sikre at forbedringene oppnår de forventede målene Do Plan Check Act

ISO/IEC 27001 Vedlegg A 11 områder 39 sikringsmål 133 sikringstiltak 5 Sikkerhetspolicy 5.1 Informasjonssikkerhetspolicy Mål: Å gi rettledning og støtte fra ledelsen i forbindelse med informasjonssikkerhet i overensstemmelse med virksomhetskravene og relevante lover og forskrifter. 5.1.1 Dokumentasjon av informasjonssikkerhetspolicyen 5.1.2 Revisjon av informasjonssikkerhetspolicyen Dokumentasjon av informasjonssikkerhetspolicyen skal godkjennes av ledelsen og offentliggjøres og formidles på en hensiktsmessig måte til alle ansatte og relevante eksterne interessenter. Informasjonssikkerhetspolicyen skal revideres med planmessige mellomrom eller hvis det oppstår betydelige endringer, for å sikre at policyen er egnet, passende og effektiv.

ISO/IEC 27002 Code of practice for information security management Neste versjon: Code of practice for information security controls En katalog med forslag til sikringstiltak 11 områder Security areas 5 Informasjonssikkerhetspolicy 6 Organisering av informasjonssikkerhet 7 Administrasjon av aktiva 8 Personellsikkerhet 9 Fysisk og miljømessig sikkerhet 10 Kommunikasjons- og driftsadministrasjon 11 Aksesskontroll 12 Anskaffelse, utvikling og vedlikehold av informasjonssystemer 13 Administrasjon av informasjonssikkerhetsbrudd 14 Kontinuitetsplanlegging 15 Samsvar 39 mål Security Objectives 133 tiltak Security Controls

ISO/IEC 27002 Control objective Sikringsmål for området Control Krav til sikringstiltak Én setning Organisasjonen bør iverksette tiltak for informasjonssikkerhet Implementation guidance Omfattende råd om hvordan sikringstiltaket kan innføres Other information Ytterligere råd Pekere til andre standarder og relevant informasjon

Eksempel fra ISO/IEC 27002

ISO/IEC 27004 Information security management Measurements Måling av informasjonssikkerhet Effektiviteten til ett enkelt sikringstiltak eller til en gruppe av tiltak - Effectivness not efficiency Hvordan sette opp et regime for måling - Måleprogram - Repeterbarhet Hvordan målinger kan gjennomføres - Kvantitative - Kvalitative - Frekvens Hvilke typer elementer finnes - Basismålinger - Avledede målinger - Skalaer - Vekting - Indikatorer

ISO/IEC 27005 Information security risk management Beskrivelse av prosessen for risikostyring - Definere omfang - Registrere aktiva - Definere akseptabelt risikonivå - Identifisere trusler - Avdekke sårbarheter - Utføre risikovurdering - Iverksette sikringstiltak - Informere interessenter - Gjenta ad infinitum Vedlegg - Liste over sårbarheter - Liste over trusler - Verdifastsetting av aktiva

Forretningsvirksomhet ISO/IEC 27014 Governance of Information Security Styring/Strategi Virksomhetsstrategi Virksomhetsforvaltning Strategitilpasning Verdileveranse Informasjonssikkerhetsstrategi Forvaltning av informasjonssikkerhet Ledelse/Forvaltning Informasjonssikkerhet

ISO/IEC 27014 Prinsipper for god virksomhetsstyring av informasjonssikkerhet 1. Innfør informasjonssikkerhet i hele organisasjonen 2. Innfør en risikobasert tilnærming 3. Bestem målsetning for investeringer 4. Påse etterlevelse med interne og eksterne krav 5. Tilstrebe en bedriftskultur som er positiv til informasjonssikkerhet 6. Vurder ytelsen relatert til virksomhetens mål

ISO/IEC 27014 Modell for virksomhetsstyring av informasjonssikkerhet Styre Overvåke Evaluere Rapportere Forsikre

Spørsmål? Takk for oppmerksomheten! 994 96 322 Rune.Ask@dnv.com