Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 1 PROWADZĄCY ISO 27001:2007 - WYMAGANIA Andrzej Łęszczak Konsultant systemów zarządzania.

Podobne prezentacje


Prezentacja na temat: "Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 1 PROWADZĄCY ISO 27001:2007 - WYMAGANIA Andrzej Łęszczak Konsultant systemów zarządzania."— Zapis prezentacji:

1 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 1 PROWADZĄCY ISO 27001: WYMAGANIA Andrzej Łęszczak Konsultant systemów zarządzania

2 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 2 TEMAT SZKOLENIA 27001:2007 – przedstawienie i interpretacja wymagań systemu zarządzania bezpieczeństwem informacji ISO 27001: WYMAGANIA

3 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 3 PROGRAM SZKOLENIA 1. Powitanie i wstęp 2. Standardy międzynarodowe i inne wymagania związane z bezpieczeństwem informacji 3. Podstawowe terminy związane z informacją i bezpieczeństwem 4. Zarys struktury i wymagania normy ISO 27001: Cele i zabezpieczenia zastosowane w ISO 27001:2007 i ISO 17799: Dokumentacja wymagana przez ISO 27001:2007 Przewidywany czas: ok. 3 godz. ISO 27001: WYMAGANIA

4 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 4 ISO 27001:2007 (poprzednio: BS :2002) „Information technology – Security techniques – Information security management systems – Requirements.” „Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji – Wymagania.” Polskie wydanie: PN – ISO/IEC 27001:2007 SYSTEM ZARZADZANIA BEZPIECZEŃSTWEM INFORMACJI

5 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 5 ISO 27001:2007 o Zawiera specyfikacje (do normy ogólnej) wymagań odnoszących się do ustanawiania, wdrażania i dokumentowania systemów zarządzania bezpieczeństwem informacji SZBI o Zawiera specyfikacje wymagań odnoszących się do zabezpieczeń, wprowadzanych zależnie od potrzeb indywidualnych organizacji o Stanowi podstawę referencyjną certyfikacji 2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA

6 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 6 ISO 17799:2005 „Information technology – Security techniques – Code of practice for information security management.” „Technika informatyczna – Techniki bezpieczeństwa - Praktyczne zasady zarządzania bezpieczeństwem informacji.” Polskie wydanie: PN-ISO/IEC 17799:2007 „Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji.” 2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA

7 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 7 ISO 17799:2005 o Norma ogólna – omawia podejście, zasady i praktyki o Norma stanowi dokument referencyjny (model) o Wskazuje na najbardziej wrażliwe zagrożenia, obszary o Omawia najlepsze ze stosowanych praktyk zapewnienia bezpieczeństwa o Zawiera 11 zestawów zabezpieczeń o Nie może być wykorzystywana do oceny i certyfikacji 2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA

8 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 8 RÓŻNICE o ISO 27001:2005 – charakter normatywny...organizacja „powinna” = „musi” („shall”) o ISO 17799:2005 – charakter referencyjny „...zaleca się” żeby organizacja („should”) 2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA

9 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 9 WYMAGANIA PRAWNE o Ustawa o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r, Nr 101 poz. 926 i Dz. U. Nr 153 poz ze zmianami) o Ustawa o ochronie osób i mienia (Dz. U. z 1997 r. Nr 114 poz. 740 ze zmianami) o Ustawa o ochronie informacji niejawnych (Dz. U. z 1999 r. Nr 11 poz. 95 ze zmianami) Zasady organizowania, klasyfikowania (tajemnica państwowa, służbowa – ściśle tajne, tajne, poufne, zastrzeżone), udostępniania informacji niejawnych; postępowanie sprawdzające. o Ustawa o ochronie konkurencji i konsumentów (Dz. U. z 2000 r. Nr 122 poz ze zmianami) o Kodeks Spółek Handlowych (Dz. U. z 2000 r. Nr. 94 poz ze zmianami) o Rachunkowość, przepisy giełdowe i inne 2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA

10 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 10 Źródła wymagań bezpieczeństwa (ISO 17799:2005) o Wyniki szacowania ryzyka o Wymagania prawne, statutowe, regulacyjne i kontraktowe w stosunku do organizacji, kontrahentów, dostawców o Opracowany przez organizację, w celu wspomagania swojej działalności, zbiór zasad, celów i wymagań dotyczących przetwarzania informacji 2. STANDARDY MIĘDZYNARODOWE I INNE WYMAGANIA

11 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 11 PROGRAM SZKOLENIA 1. Powitanie i wstęp 2. Standardy międzynarodowe i inne wymagania związane z bezpieczeństwem informacji 3. Podstawowe terminy związane z informacją i bezpieczeństwem 4. Zarys struktury i wymagania normy ISO 27001: Cele i zabezpieczenia zastosowane w ISO 27001:2005 i ISO 17799: Dokumentacja wymagana przez ISO 27001:2005 ISO 27001: WYMAGANIA

12 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 12 Definicja informacji (ISO 17799:2005) o „INFORMACJA to aktyw, który, podobnie jak inne ważne aktywa biznesowe, ma dla instytucji wartość i dlatego należy go odpowiednio chronić.” 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

13 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 13 Definicja informacji (BIZNESOWA) o INFORMACJA to dane przetworzone (poukładane, przefiltrowane, pogrupowane itd.) w taki sposób, że na ich podstawie można wyciągać wnioski, podejmować decyzje biznesowe. 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

14 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 14 O informacji (ISO 17799:2005) „Informacja może przybierać różne formy. Może być wydrukowana lub zapisana na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmu lub wypowiadana w rozmowie. Niezależnie od tego, jaką formę informacja przybiera lub za pomocą jakich środków jest udostępniana lub przechowywana, zaleca się, aby zawsze była w odpowiedni sposób chroniona” 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

15 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 15 Rodzaje informacji objęte SZBI o Wewnętrzne – informacje, które nie powinny dotrzeć do konkurencji, ponieważ my tego nie chcemy. o Dotyczące konsumentów/klientów – informacje, które nie powinny być ujawnione, ponieważ oni tego nie chcą. o Informacje, które muszą być przekazywane innym partnerom handlowym. 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

16 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 16 System informacyjny ≠ system informatyczny System zarządzania bezpieczeństwem informacji ≠ zarządzanie bezpieczeństwem systemów informatycznych 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

17 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 17 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI (SZBI) INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) o To część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji System zarządzania obejmuje strukturę organizacyjną, polityki, działania związane z planowaniem, zakresy odpowiedzialności, praktyki, procedury, procesy i zasoby. 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

18 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 18 Informacje można: o Tworzyć o Przechowywać o Zniszczyć o Przetwarzać o Przekazywać o Wykorzystać o Utracić o Uszkodzić 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

19 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 19 Ochrona informacji jest ważna dla naszego codziennego życia: o Banki o Towarzystwa ubezpieczeniowe o Operatorzy telefoniczni o Tajemnica przemysłowa o Obronność kraju o Kartoteki policyjne o itp 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

20 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 20 Dlaczego organizacje wdrażają system zarządzania bezpieczeństwem informacji (SZBI): o Lepsze postrzeganie na rynku o Wymagania przetargowe o Zwiększone zaufanie klientów o Ochrona danych osobowych, innych powierzonych przez klienta, własnego know-how itd.. o Zapobieganie stratom związanym z utratą informacji o Zapewnienie ciągłości działania (plany awaryjne, disaster recovery) o Kierownictwo może „spać spokojnie” o Świadome, oparte na faktach podejmowanie decyzji co do zarządzania aktywami i związanymi z nimi ryzykami o Większa świadomość personelu o Uwzględnienie informacji w zarządzaniu procesami biznesowymi o Lepszy wynik finansowy 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

21 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 21 Trudności we wdrożeniu SZBI: o Trudności w interpretacji wymagań normy o Trudno stworzyć dobry model szacowania ryzyka (prosty, a jednocześnie mający odniesienie do biznesu i naprawdę zapewniający bezpieczeństwo) o Duża ilość procedur i polityk o Konieczność uświadamiania i szkolenia pracowników o Dużo formalnych wymagań systemu (dużo zapisów) o Trzeba często szacować ryzyko o Potrzebne nakłady na zabezpieczenia o Potrzebna wiedza specjalistyczna (zwłaszcza IT) o Potrzeba zaangażowania całego personelu o Niebezpieczeństwo odejścia od rzeczywistości biznesowej (organizacje są „ślepe” na prawdziwe zagrożenia, zbyt bardzo polegają na systemie) 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

22 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 22 o Bezpieczeństwo informacji „Bezpieczeństwo informacji oznacza, że informacje są chronione przed szerokim zakresem zagrożeń w celu zapewnienia ciągłości działalności, ograniczenia strat i maksymalizacji zwrotu z inwestycji oraz działań biznesowych (rozwoju firmy)” o Bezpieczeństwo informacji oznacza zachowanie: DOSTĘPNOŚĆ (availability) Zapewnienie upoważnionym użytkownikom dostępu do informacji i związanych z nimi zasobów, zgodnie z potrzebami DOSTĘPNOŚĆ (availability) Zapewnienie upoważnionym użytkownikom dostępu do informacji i związanych z nimi zasobów, zgodnie z potrzebami POUFNOŚĆ (confidentiality) Zapewnienie, że informacje są dostępne tylko dla osób uprawnionych INTEGRALNOŚĆ (integrity) Zagwarantowanie dokładności i kompletności informacji oraz metod ich przetwarzania 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

23 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 23 AKTYWA, ZASOBY (assets) o To wszystko co ma wartość dla organizacji 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

24 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 24 ZAGROŻENIE (threat) o Potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub instytucji. PODATNOŚĆ (vulnerability) o Słabość aktywa lub grupy aktywów, która może być wykorzystana przez co najmniej jedno zagrożenie. 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

25 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 25 SKUTEK (impact) o Rezultat niepożądanego incydentu. PRAWDOPODOBIEŃSTWO (probability) o Stopień pewności, że incydent się zdarzy. 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

26 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 26 ZDARZENIE BEZPIECZEŃSTWA INFORMACJI (information security event) o Zidentyfikowane wystąpienie stanu w systemie, usłudze lub sieci, który wskazuje na możliwość naruszenia polityki bezpieczeństwa informacji lub nie zadziałanie zabezpieczeń, lub wcześniej nieznana sytuacja która może mieć znaczenie dla bezpieczeństwa informacji. 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

27 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 27 INCYDENT BEZPIECZEŃSTWA INFORMACJI (information security incident) o Pojedyncze zdarzenie lub seria niepożądanych lub nieoczekiwanych zdarzeń związanych z bezpieczeństwem informacji, które ze znaczącym prawdopodobieństwem mogą powodować zagrożenie dla działalności biznesowej i bezpieczeństwa informacji. 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

28 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 28 RYZYKO (risk) o Prawdopodobieństwo, że określone zagrożenie wykorzysta podatność aktywa lub grupy aktywów, aby spowodować straty lub zniszczenie aktywów. (PN-I ) o Kombinacja prawdopodobieństwa zdarzenia i jego konsekwencji. (ISO Guide 73:2002) 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

29 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 29 RYZYKO SZCZĄTKOWE (residual risk) o Ryzyko, które pozostaje po wprowadzeniu zabezpieczeń. 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

30 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 30 ANALIZA RYZYKA (risk analysis) o Systematyczne korzystanie z informacji w celu zidentyfikowania źródeł i oceny ryzyka SZACOWANIE RYZYKA (risk assessment) o Całościowy proces analizy ryzyka i oceny ryzyka OCENA RYZYKA (risk evaluation) o Proces porównywania estymowanego ryzyka z założonymi kryteriami ryzyka w celu wyznaczenia wagi ryzyka 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

31 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 31 ZARZĄDZANIE RYZYKIEM (risk management) o Skoordynowane działania w celu kierowania i kontroli organizacji z uwzględnieniem ryzyka POSTĘPOWANIE Z RYZYKIEM (risk treatment) o Proces polegający na wyborze i wdrożeniu środków modyfikujących ryzyko 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

32 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 32 AKCEPTACJA RYZYKA (risk acceptance) o Decyzja, aby zaakceptować ryzyko. KRYTERIA RYZYKA (risk criteria) o Punkty odniesienia według których szacuje się ważność (wagę) ryzyka. UWAGA: Kryteria ryzyka mogą zawierać powiązane koszty i korzyści, wymagania prawne i regulacyjne, socjo- ekonomiczne i środowiskowe aspekty, interesy akcjonariuszy, priorytety i inne dane wejściowe do szacowania. REDUKOWANIE RYZYKA (risk reduction) o Działania podjęte, aby zmniejszyć prawdopodobieństwo i/lub negatywne konsekwencje związane z ryzykiem. 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

33 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 33 UNIKANIE RYZYKA (risk avoidance) o Decyzja, aby nie pozostawać w sytuacji ryzyka, albo działanie w celu wycofania się z takiej sytuacji. TRANSFER RYZYKA (risk transfer) o Podzielenie się z trzecią stroną ciężarem lub korzyścią z ryzyka. UWAGA: Transfer ryzyka może tworzyć nowe ryzyka lub modyfikować już istniejące. 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

34 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 34 ZABEZPIECZENIE (safeguard, control) o Praktyka, procedura lub mechanizm redukujący ryzyko 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

35 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 35 DEKLARACJA STOSOWANIA (statement of applicability) o Udokumentowana deklaracja opisująca cele zabezpieczeń i zabezpieczenia, które odnoszą się i mają zastosowanie w systemie zarządzania bezpieczeństwem informacji organizacji 3. PODSTAWOWE POJĘCIA ZWIĄZANE Z INFORMACJĄ

36 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 36 PROGRAM SZKOLENIA 1. Powitanie i wstęp 2. Standardy międzynarodowe i inne wymagania związane z bezpieczeństwem informacji 3. Podstawowe terminy związane z informacją i bezpieczeństwem 4. Zarys struktury i wymagania normy ISO 27001: Cele i zabezpieczenia zastosowane w ISO 27001:2005 i ISO 17799: Dokumentacja wymagana przez ISO 27001:2005 ISO 27001: WYMAGANIA

37 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 37 SPIS TREŚCI 0. Wprowadzenie 0.1 Postanowienia ogólne 0.2 Podejście procesowe 1. Zakres normy 1.1 Postanowienia ogólne 1.2 Zastosowanie 2. Powołania normatywne 3. Terminy i definicje 4. System zarządzania bezpieczeństwem informacji SZBI 4.1 Wymagania ogólne 4.2 Ustanowienie i zarządzanie SZBI Ustanowienie SZBI Wdrożenie i funkcjonowanie SZBI Monitorowanie i przegląd SZBI Utrzymanie i doskonalenie SZBI 4.3 Wymagania dotyczące dokumentacji Postanowienia ogólne Nadzór nad dokumentami Nadzór nad zapisami 4. WYMAGANIA ISO 27001:2007

38 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 38 SPIS TREŚCI – c.d. 5. Odpowiedzialność kierownictwa 5.1. Zaangażowanie kierownictwa 5.2 Zarządzanie zasobami Zapewnienie zasobów Szkolenie, świadomość i kompetencje 6. Audity wewnętrzne SZBI 7. Przegląd SZBI przez kierownictwo 7.1. Postanowienia ogólne 7.2. Dane wejściowe do przeglądu 7.3. Dane wyjściowe z przeglądu 4. WYMAGANIA ISO 27001:2007

39 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 39 SPIS TREŚCI – c.d. 8. Doskonalenie SZBI 8.1. Ciągłe doskonalenie 8.2. Działania korygujące 8.3. Działania zapobiegawcze Aneks A (normatywny) Cele stosowania zabezpieczeń oraz zabezpieczenia Aneks B (informacyjny) Wytyczne OECD do stosowania niniejszej Normy Międzynarodowej Aneks C (informacyjny) Powiązania między ISO 9001:2008, ISO 14001:2004 niniejszą Normą Międzynarodową” 4. WYMAGANIA ISO 27001:2007

40 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ PODEJŚCIE PROCESOWE „Niniejszy standard przyjmuje podejście procesowe do ustanowienia, wdrożenia, stosowania, monitorowania, przeglądania, utrzymywania i doskonalenia udokumentowanego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).” 4. WYMAGANIA ISO 27001:2007

41 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ WYMAGANIA OGÓLNE o Standard dotyczy wszelkiego rodzaju organizacji o „Celem SZBI jest zapewnienie wyboru adekwatnych i proporcjonalnych zabezpieczeń w celu ochrony aktywów informacyjnych oraz zapewnienie zaufania do organizacji stron zainteresowanych.” 4. WYMAGANIA ISO 27001:2007

42 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ ZASTOSOWANIE „Wyłączenie jakichkolwiek wymagań zawartych w klauzulach 4, 5, 6, 7 i 8 nie jest możliwe, jeżeli organizacja deklaruje zgodność z niniejszym międzynarodowym standardem. Jakiekolwiek wyłączenie zabezpieczeń uważanych za konieczne, aby spełnić kryteria akceptacji ryzyka powinno być uzasadnione i powinien być dostarczony dowód, że powiązane ryzyka zostały zaakceptowane przez upoważnione osoby. Jeżeli dokonano wyłączenia zabezpieczeń, to nie można deklarować zgodności z niniejszym międzynarodowym standardem, chyba że takie wyłączenia nie wpływają na zdolność i odpowiedzialność organizacji, do zapewnienia bezpieczeństwa informacji, które spełnia wymagania bezpieczeństwa wynikające z szacowania ryzyka i mających zastosowanie wymagań prawa i innych regulacji.” 4. WYMAGANIA ISO 27001:2007

43 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI 4.1 WYMAGANIA OGÓLNE „Organizacja powinna ustanowić, wdrożyć, stosować, monitorować, przeglądać, utrzymywać i doskonalić udokumentowany SZBI w kontekście ogólnej działalności biznesowej organizacji i ryzyk które napotyka. Dla celów niniejszego standardu międzynarodowego zastosowano proces oparty na modelu PDCA pokazanym na rysunku 1” Patrz także „0.2 Podejście procesowe” 4. WYMAGANIA ISO 27001:2007

44 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 44 Model PDCA stosowany w procesach SZBI Zainteresowane strony Wymagania i oczekiwania dotyczące bezpieczeństwa informacji Zainteresowane strony Zarządzanie bezpieczeństwem informacji Ustanowienie SZBI Monitorowanie i przegląd SZBI Wdrożenie i eksploatacja SZBI Utrzymanie i doskonalenie SZBI Planuj Sprawdzaj Wykonuj Działaj Cykl opracowywania, utrzymywania i doskonalenia 4. WYMAGANIA ISO 27001:2007

45 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 45 Model PDCA stosowany w procesach SZBI o Planuj (ustanowienie SZBI) o Wykonuj (wdrożenie i eksploatacja SZBI o Sprawdzaj (monitorowanie i przegląd SZBI) o Działaj (utrzymanie i doskonalenie SZBI) Ustanowienie polityk bezpieczeństwa, zadań, celów, procesów i procedur odpowiednich dla zarządzania ryzykiem i doskonalenia bezpieczeństwa informacji w celu spełnienia postanowień polityki i celów organizacji. Wdrożenie i zastosowanie polityk bezpieczeństwa zabezpieczeń, procesów, procedur. Ocena i gdzie to możliwe pomiar wykonania procesów w odniesieniu do polityk bezpieczeństwa, celów i praktycznych doświadczeń oraz przekazywanie kierownictwu wyników do przeglądu. Podejmowanie działań korygujących i zapobiegawczych na podstawie wyników przeglądu realizowanego przez kierownictwo tak, aby osiągnąć ciągłe doskonalenie SZBI. 4. WYMAGANIA ISO 27001:2007

46 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ USTANOWNIE I ZARZĄDZANE SZBI a USTANÓW SZBI „Organizacja powinna określić zakres i granice SZBI z uwzględnieniem rodzaju działalności biznesowej, organizacji, jej lokalizacji, aktywów i technologii, zawierając również szczegóły i uzasadnienie dla jakichkolwiek wyłączeń z zakresu (patrz 1.2).” 4. WYMAGANIA ISO 27001:2007

47 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 47 Ustanowienie struktury zarządzania Określenie polityki Określenie zakresu SZBI Dokument polityki Zakres SZBI Etap 2 Etap 1 Stworzyć systematyczne podejście do szacowania ryzyka: - wybrać metodę szacowania - określić bezpieczeństwo informacji, wymagania prawne i nadzoru - ustanowić politykę i cele - wyznaczyć kryteria akceptowania ryzyka i określić akceptowalne jego poziomy Etap 3 Określić ryzyka: - określić aktywa i ich właścicieli - określić skutki zagrożeń - określić zagrożenia - określić podatności Arkusz szacowania ryzyka, polityki Arkusz szacowania ryzyka Etap 4 4. WYMAGANIA ISO 27001:2007

48 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 48 Ustanowienie struktury zarządzania – c.d Oszacować ryzyka: - oszacować szkody i straty biznesowe - oszacować prawdopodobieństwo - wyznaczyć poziomy ryzyk - stwierdzić czy ryzyko jest akceptowalne czy też wymaga działania Zidentyfikować i ocenić warianty postępowania z ryzykiem: - zastosowanie zabezpieczeń - akceptacja ryzyka - unikanie ryzyka - przeniesienie ryzyka Wybór celów i zabezpieczeń, które zostaną wdrożone Sporządzenie deklaracji stosowania Sporządzenie planu postępowania z ryzykiem: - odpowiedzialności - priorytety Deklaracja stosowania Wybrane cele i zabezpieczenia Plan postępowania z ryzykiem Raport z oceny ryzyka Arkusz szacowania ryzyka Raport z oceny ryzyka Etap 5 Etap 6 Etap 7 Etap 8 Etap 9 4. WYMAGANIA ISO 27001:2007

49 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 49 Ustanowienie struktury zarządzania – c.d Ustalenie sposobu pomiaru skuteczności i doskonalenie zastosowanych zabezpieczeń Księga SZBI Etap 11 Wdrożenie wybranych zabezpieczeń Księga SZBI Polityki, procedury Etap 10 Ponowne szacowanie ryzyka Etap 12 Raport z oceny ryzyka 4. WYMAGANIA ISO 27001:2007

50 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ b OKREŚL POLITYKĘ SZBI „Organizacja powinna:...ustanowić politykę SZBI uwzględniającą charakter prowadzonej działalności biznesowej, organizację, jej lokalizację, aktywa i technologię, która: 1) stanowi podstawę dla wyznaczania celów i wytycza zasadniczy kierunek i zasady działania w związku z bezpieczeństwem informacji; 2) bierze pod uwagę wymagania biznesowe, prawne i regulacyjne oraz obowiązki w zakresie bezpieczeństwa wynikające z umów; 3) jest zgodna z kontekstem zarządzania przez organizację ryzykiem strategicznym, w którym zostanie ustanowiony i utrzymywany SZBI; 4) ustanawia kryteria w oparciu o które ryzyko będzie oceniane (patrz c); i 5) została zaakceptowana przez kierownictwo. UWAGA: Dla potrzeb niniejszego międzynarodowego standardu polityka SZBI jest traktowana jako dokument nadrzędny („nadzbiór”) w stosunku do polityki bezpieczeństwa informacji. Polityki te mogą być opisane w jednym dokumencie” 4. WYMAGANIA ISO 27001:2007

51 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ c OKREŚL PODEJŚCIE DO SZACOWANIA RYZYKA „Organizacja powinna: 1) Określić metodykę szacowania ryzyka, która jest odpowiednia dla SZBI i zidentyfikowanych biznesowych, prawnych i regulaminowych wymagań w zakresie bezpieczeństwa informacji.” 2) Opracuj kryteria akceptowania ryzyka i zidentyfikuj akceptowalne poziomy ryzyk (patrz 5.1 f). Wybrana metodyka szacowania ryzyka powinna zapewnić, aby kolejne szacowania ryzyka dawały porównywalne i powtarzalne wyniki.” 4. WYMAGANIA ISO 27001:2007

52 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ d ZIDENTYFIKOWAĆ RYZYKA „Organizacja powinna..... d) Zidentyfikować ryzyka. 1) Zidentyfikować aktywa w zakresie SZBI i właścicieli tych aktywów. 2) Zidentyfikować zagrożenia dla tych aktywów. 3) Zidentyfikować podatności które mogą być wykorzystane przez zagrożenia. 4)Zidentyfikować skutki jakie utrata poufności, integralności i dostępności może mieć dla aktywów. Termin „właściciel” oznacza osobę lub jednostkę która formalnie odpowiada za wytwarzanie, rozwój, utrzymanie, użytkowanie i bezpieczeństwo aktywów. Termin „właściciel” nie oznacza, że dana osoba w rzeczywistości ma jakieś prawa własności w stosunku do aktywa.” 4. WYMAGANIA ISO 27001:2007

53 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 53 Zagrożenia bezpieczeństwa informacji o Kradzież informacji o Włamania i sabotaż systemu IT o Podszywanie się pod cudzą tożsamość o Odmowa dostępu do usług elektronicznych o Zgubienie o Uszkodzenie o Atak z internetu (konie trojańskie, fałszywe adresy nadawcy poczty elektronicznej, podstawianie stron transakcyjnych, infekowanie sektorów startowych komputera wirusami powodującymi awarie) 4. WYMAGANIA ISO 27001:2007

54 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ e ZANALIZOWAĆ I OCENIĆ RYZYKA „Organizacja powinna ) Oszacować skutki biznesowe dla organizacji, które mogą wyniknąć z naruszenia bezpieczeństwa, biorąc pod uwagę konsekwencje utraty poufności, integralności i dostępności aktywów. 2) Ocenić realistyczne prawdopodobieństwo wystąpienia naruszeń bezpieczeństwa informacji w świetle przeważających zagrożeń i podatności, skutków związanych z tymi zasobami oraz obecnie stosowanych zabezpieczeń. 3) Oszacować poziomy ryzyk. 4) Ustalić czy ryzyka są akceptowalne czy też wymagają postępowania przy zastosowaniu kryteriów akceptacji ryzyk ustanowionych w c)2.” 4. WYMAGANIA ISO 27001:2007

55 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ f OKREŚL I OCEŃ OPCJE „Organizacja powinna: f) Określić i ocenić opcje postępowania z ryzykiem. Możliwe działania to: 1) zastosowanie odpowiednich zabezpieczeń; 2) świadome i celowe zaakceptowanie ryzyk, pod warunkiem, że spełniają wymagania polityk organizacji i kryteria akceptacji ryzyk (patrz c)2; 3) unikanie ryzyk; i 4) przeniesienie związanych ryzyk biznesowych na inne strony, np. ubezpieczycieli, dostawców.” 4. WYMAGANIA ISO 27001:2007

56 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ g WYBÓR CELÓW I ZABEZPIECZEŃ „Organizacja powinna... g) Wybrać cele i zabezpieczenia w celu postępowania z ryzykiem.” - wybrane zabezpieczenia powinny spełniać wymagania wynikające z szacowania ryzyka i podjętych decyzji co do postępowania z nim - wybór powinien brać pod uwagę kryteria akceptacji ryzyka, prawne, regulacyjne i kontraktowe wymagania - należy rozważyć obowiązkowo zabezpieczenia z Aneksu A, ale można również wybrać odpowiednie zabezpieczenia spoza niego 4. WYMAGANIA ISO 27001:2007

57 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ h, i) AKCEPTACJA RYZYK SZCZĄTKOWYCH i AUTORYZACJA „Organizacja powinna...: h) Uzyskać akceptację kierownictwa co do zaproponowanych ryzyk szczątkowych. i) Uzyskać autoryzację kierownictwa do wdrożenia i stosowania SZBI.” W niektórych sytuacjach kierownictwo może podjąć decyzję o akceptacji ryzyk szczątkowych wykraczających poza poziom akceptowalny. Decyzja taka powinna zostać formalnie udokumentowana!!! 4. WYMAGANIA ISO 27001:2007

58 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ WDRÓŻ I STOSUJ SZBI „Organizacja powinna: a) Stworzyć plan postępowania z ryzykiem, który określa właściwe działania, zasoby, odpowiedzialności i priorytety związane z zarządzaniem ryzykami bezpieczeństwa informacji. b) Wdrożyć plan postępowania z ryzykiem w celu osiągnięcia zidentyfikowanych celów zabezpieczeń, łącznie z rozważeniem finansowania i przydzielenia ról i odpowiedzialności. c) Wdrożyć zabezpieczenia wybrane w g), aby osiągnąć cele zabezpieczeń. 4. WYMAGANIA ISO 27001:2007

59 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ WDRÓŻ I STOSUJ SZBI – c.d. „Organizacja powinna: d) Określić jak będzie mierzona skuteczność stosowanych zabezpieczeń lub grup zabezpieczeń i jak te pomiary mają być stosowane, aby zapewnić, że dadzą porównywalne i powtarzalne wyniki (patrz c). Uwaga: Pomiar skuteczności zabezpieczeń umożliwia kierownictwu i personelowi określić w jakim stopniu zabezpieczenia spełniają zaplanowane cele ich stosowania. e) Wdrożyć programy szkoleń i uświadamiania (patrz 5.2.2). 4. WYMAGANIA ISO 27001:2007

60 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ WDRÓŻ I STOSUJ SZBI – c.d. „Organizacja powinna: f) Zarządzać funkcjonowaniem SZBI. g) Zarządzać zasobami potrzebnymi SZBI (patrz 5.2) h) Wdrożyć procedury i inne zabezpieczenia, które umożliwią natychmiastowe wykrycie zdarzeń bezpieczeństwa informacji i reakcję na incydenty bezpieczeństwa informacji.” 4. WYMAGANIA ISO 27001:2007

61 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ MONITORUJ I DOKONUJ PRZEGLĄDÓW SZBI a) PROCEDURY MONITOROWANIA I PRZEGLĄDÓW „Organizacja powinna. a) Stosować procedury monitorowania i przeglądów oraz inne zabezpieczenia po to, aby: 1) natychmiast wykrywać błędy w wynikach przetwarzania; 2) natychmiast wykrywać próby oraz dokonane naruszenia i incydenty bezpieczeństwa informacji; 3) Umożliwić kierownictwu ustalenie czy działania w zakresie bezpieczeństwa delegowane personelowi lub wdrożone za pomocą środków informatycznych funkcjonują zgodnie z oczekiwaniami; 4) Pomóc wykryć naruszenia bezpieczeństwa i w ten sposób zapobiegać incydentom poprzez wczesne wykrywanie sygnałów; i 5) Ustalić czy działania podjęte w celu naprawy naruszeń bezpieczeństwa były skuteczne.” 4. WYMAGANIA ISO 27001:2007

62 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ b) REGULARNY PRZEGLĄD SKUTECZNOŚCI SZBI „Organizacja powinna. b) Przeprowadzać regularne przeglądy skuteczności SZBI (łącznie ze spełnieniem polityki i celów SZBI, i przeglądem zabezpieczeń), biorąc pod uwagę wyniki auditów bezpieczeństwa, incydentów, wyników pomiarów skuteczności, sugestii i informacji zwrotnych od wszystkich zainteresowanych stron” c) POMIAR SKUTECZNOŚCI ZABEZPIECZEŃ „Organizacja powinna. c) Mierzyć skuteczność zabezpieczeń w celu weryfikacji czy wymagania w zakresie bezpieczeństwa informacji zostały spełnione.” 4. WYMAGANIA ISO 27001:2007

63 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ d) REGULARNY PRZEGLĄD SZACOWANIA RYZYKA „Organizacja powinna. d) Przeglądać szacowania ryzyka w zaplanowanych odstępach czasu oraz przeglądać ryzyka szczątkowe i określone akceptowalne poziomy ryzyk, biorąc pod uwagę zmiany w: 1) organizacji; 2) technologii; 3) celach biznesowych i procesach; 4) zidentyfikowanych zagrożeniach; 5) skuteczności wdrożonych zabezpieczeń; i 6) zewnętrznych zdarzeniach, takich jak zmiana w otoczeniu prawnym i regulacyjnym, zmienione obowiązki wynikające z umów i zmiany w stosunkach społecznych.” 4. WYMAGANIA ISO 27001:2007

64 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ e) przeprowadzaj audity wewnętrzne w zaplanowanych odstępach czasu f) dokonuj regularnie przeglądów zarządzania, aby zapewnić, że zakres systemu jest adekwatny i zidentyfikowane są możliwości doskonalenia procesów SZBI g) aktualizuj plany zapewnienia bezpieczeństwa biorąc pod uwagę wyniki monitorowania i przeglądów h) zapisuj działania i zdarzenia, które mogą mieć wpływ na skuteczność lub funkcjonowanie SZBI (patrz 4.3.3). 4. WYMAGANIA ISO 27001:2007

65 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ UTRZMUJ I DOSKONAL SZBI a) wdróż zidentyfikowane udoskonalenia SZBI b) przeprowadzaj działania korygujące i zapobiegawcze zgodnie z 8.2 i 8.3; ucz się na błędach swoich i innych c) wymieniaj się działaniami i doświadczeniami ze wszystkimi zainteresowanymi stronami na poziomie szczegółowości odpowiednim do okoliczności i uzgadniaj postępowanie, jeżeli to zasadne d) zapewnij, że działania doskonalące osiągnęły zamierzone cele. 4. WYMAGANIA ISO 27001:2007

66 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ NADZÓR NAD DOKUMENTAMI Dokumenty wymagane przez SZBI powinny być chronione i nadzorowane. Udokumentowana procedura powinna zapewnić: a) akceptowanie dokumentów przed dopuszczeniem do stosowania b) przegląd, aktualizację w razie potrzeby i ponowne akceptowanie dokumentów c) oznaczanie zmian i obecnego statusu dokumentów d) właściwe dokumenty są dostępne w miejscach użycia e) czytelność i identyfikowalność dokumentów f) dostępność dokumentów dla właściwych osób, oraz przekazywanie, przechowywanie i niszczenie dokumentów zgodnie z ich klasyfikacją 4. WYMAGANIA ISO 27001:2007

67 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ NADZÓR NAD DOKUMENTAMI – c.d. g) identyfikację dokumentów pochodzenia zewnętrznego h) dystrybucję dokumentów w warunkach nadzorowanych i) zapobieganie niezamierzonemu stosowaniu wycofanych dokumentów j) właściwe oznaczanie w przypadku, gdy są zachowywane w organizacji 4. WYMAGANIA ISO 27001:2007

68 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ NADZÓR NAD ZAPISAMI Powinny być tworzone i utrzymywane zapisy, aby dostarczyć dowodów zgodności z wymaganiami i skuteczności SZBI. Zapisy powinny być chronione i nadzorowane. SZBI powinien uwzględniać wszystkie właściwe wymagania prawne, regulacyjne i zobowiązania umowne. Zapisy powinny być czytelne, łatwo identyfikowalne i odtwarzalne. Zabezpieczenia potrzebne dla identyfikacji, przechowywania, odtwarzania, czasu archiwizacji i niszczenia zapisów powinny zostać udokumentowane i wdrożone. Powinny być utrzymywane zapisy dotyczące ustanawiania i zarządzania SZBI oraz znaczących incydentów związanych z SZBI. 4. WYMAGANIA ISO 27001:2007

69 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ ODPOWIEDZIALNOŚĆ KIEROWNICTWA 5.1 Zaangażowanie kierownictwa Kierownictwo powinno wykazać zaangażowanie w ustanowienie, wdrożenie, funkcjonowanie, monitorowanie, przegląd, utrzymanie i doskonalenie SZBI poprzez: a) ustanowienie polityki SZBI b) zapewnienie ustanowienia celów i planów SZBI c) określenie ról i odpowiedzialności w zakresie bezpieczeństwa informacji d) zakomunikowane organizacji ważności spełniania celów bezpieczeństwa informacji i zgodności z politykami, odpowiedzialności prawnej i potrzeby ciągłego doskonalenia e) zapewnienie wystarczających zasobów dla SZBI g) zapewnienie przeprowadzania auditów wewnętrznych SZBI h) przeprowadzanie przeglądów zarządzania SZBI 4. WYMAGANIA ISO 27001:2007

70 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ ODPOWIEDZIALNOŚĆ KIEROWNICTWA – c.d. 5.2 Zarządzanie zasobami Zapewnienie zasobów Organizacja powinna określić i zapewnić zasoby potrzebne do: a) ustanowienia, wdrożenia, funkcjonowania, monitorowania, przeglądu, utrzymywania i doskonalenia SZBI b) zapewnienia, że procedury bezpieczeństwa informacji wspierają procesy biznesowe c) określenia i spełniania wymagań prawnych i regulacyjnych oraz zobowiązań kontraktowych d) utrzymywania adekwatnego bezpieczeństwa poprzez właściwe zastosowanie wszystkich zaimplementowanych zabezpieczeń e) przeprowadzania przeglądów w razie potrzeby oraz właściwego reagowania na wyniki tych przeglądów f) doskonalenia skuteczności SZBI, gdzie jest to wymagane 4. WYMAGANIA ISO 27001:2007

71 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ ODPOWIEDZIALNOŚĆ KIEROWNICTWA – c.d. 5.2 Zarządzanie zasobami Szkolenia, świadomość i kompetencje Organizacja powinna zapewnić, że cały personel mający odpowiedzialności określone w SZBI ma kompetencje, aby wykonywać wymagane zadania poprzez: a) określenie potrzebnych kompetencji personelu wykonującego prace mające wpływ na SZBI b) zapewnienie szkoleń i podjęcie innych działań (np. zatrudnienie kompetentnego personelu), aby spełnić te potrzeby c) ocenianie skuteczności podjętych działań d) utrzymywania zapisów z wykształcenia, szkoleń, umiejętności, doświadczenia i kwalifikacji. Organizacja powinna ponadto zapewnić, że właściwy personel jest świadomy sensu i ważności swych działań związanych z bezpieczeństwem informacji i jak przyczyniają się one do osiągania celów SZBI. 4. WYMAGANIA ISO 27001:2007

72 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ AUDITY WEWNĘTRZNE SZBI „Organizacja powinna przeprowadzać audity wewnętrzne SZBI w zaplanowanych odstępach czasu, aby ustalić czy cele zabezpieczeń, zabezpieczenia, procesy i procedury SZBI: a) są zgodne z wymaganiami niniejszego Standardu międzynarodowego i właściwymi regulacjami i legislacją b) są zgodne z określonymi wymaganiami w zakresie bezpieczeństwa c) są skutecznie wdrożone i utrzymywane d) funkcjonują zgodnie z zamierzeniami” 4. WYMAGANIA ISO 27001:2007

73 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ AUDITY WEWNĘTRZNE SZBI – c.d. Inne wymagania: - Planowanie auditów: status procesów, wyniki poprzednich auditów, kryteria, zakres, częstotliwość, metody, wybór auditorów (obiektywność) - Udokumentowana procedura: planowanie, raportowanie, utrzymywanie zapisów - Niezwłoczne podejmowanie działań eliminujących wykryte niezgodności i ich przyczyny + weryfikacja działań i raporty 4. WYMAGANIA ISO 27001:2007

74 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ PRZEGLĄD ZARZĄDZANIA SZBI 7.1 Wymagania ogólne Kierownictwo powinno dokonywać przeglądów SZBI w zaplanowanych odstępach czasu (przynajmniej raz do roku), aby zapewnić jego ciągłą poprawność, adekwatność i skuteczność. Przegląd powinien zawierać ocenę możliwości doskonalenia i potrzeb zmian w SZBI, łącznie z polityką i celami bezpieczeństwa informacji. Wyniki przeglądów powinny być jasno dokumentowane i powinny być utrzymywane zapisy. 4. WYMAGANIA ISO 27001:2007

75 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ PRZEGLĄD ZARZĄDZANIA SZBI – c.d. 7.2 Dane wejściowe na przegląd: a) wyniki auditów i przeglądów SZBI b) informacje zwrotne od stron zainteresowanych c) techniki, produkty lub procedury, które można zastosować w organizacji w celu doskonalenia funkcjonowania i skuteczności SZBI d) status działań zapobiegawczych i korygujących e) podatności lub zagrożenia w niewystarczający sposób potraktowane w poprzednim szacowaniu ryzyka f) wyniki pomiarów skuteczności g) działania podjęte po poprzednich przeglądach zarządzania h) wszelkie zmiany mające wpływ na SZBI i) rekomendacje co do doskonalenia 4. WYMAGANIA ISO 27001:2007

76 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ PRZEGLĄD ZARZĄDZANIA SZBI – c.d. 7.3 Dane wyjściowe z przeglądu: Decyzje i działania związane z: a) doskonaleniem skuteczności SZBI b) aktualizacją szacowania ryzyka i planu postępowania z ryzykiem c) modyfikacją (w razie konieczności) procedur i zabezpieczeń mających wpływ na bezpieczeństwo informacji, aby zareagować na wewnętrzne lub zewnętrzne zdarzenia, mogące mieć wpływ na SZBI, łącznie ze zmianami w: 1) wymaganiach biznesowych 2) wymaganiach bezpieczeństwa 3) procesach biznesowych mających wpływ na istniejące wymagania biznesowe 4) wymaganiach regulacyjnych lub prawnych 5) zobowiązaniach umownych 6) poziomach ryzyka i/lub kryteriach akceptacji ryzyk d) potrzebami w zakresie zasobów e) doskonaleniem pomiarów skuteczności zabezpieczeń 4. WYMAGANIA ISO 27001:2007

77 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ DOSKONALENIE SZBI 8.1 Ciągłe doskonalenie Organizacja powinna ciągle doskonalić skuteczność SZBI poprzez wykorzystanie polityki i celów bezpieczeństwa informacji, wyników auditów, analizę monitorowanych zdarzeń, działania zapobiegawcze i korygujące i przeglądy zarządzania. 4. WYMAGANIA ISO 27001:2007

78 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ DOSKONALENIE SZBI – c.d. 8.2 Działania korygujące Organizacja powinna podejmować działania w celu eliminacji przyczyn niezgodności z wymaganiami SZBI, aby zapobiegać powtórnemu wystąpieniu: - udokumentowana procedura - identyfikacja niezgodności - określenie przyczyn niezgodności - ocena działań do podjęcia w celu zapewnienia, że niezgodność nie wystąpi ponownie - określenie i wdrożenie działań korygujących - zapisy z działań - przegląd działań 4. WYMAGANIA ISO 27001:2007

79 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ DOSKONALENIE SZBI – c.d. 8.3 Działania zapobiegawcze Organizacja powinna określać działania w celu eliminacji przyczyn potencjalnych niezgodności z wymaganiami SZBI, aby zapobiegać powtórnemu wystąpieniu. Podjęte działania powinny być adekwatne do potencjalnych problemów: - udokumentowana procedura - identyfikacja potencjalnych niezgodności i ich przyczyn (zwłaszcza zmiany w znaczących ryzykach) - ocena działań do podjęcia w celu zapobieżenia wystąpieniu niezgodności (priorytet zgodnie z wynikami szacowania ryzyka) - określenie i wdrożenie działań zapobiegawczych - zapisy z działań - przegląd działań DZIAŁANIA ZAPOBIEGAWCZE SĄ TAŃSZE NIŻ KORYGUJĄCE 4. WYMAGANIA ISO 27001:2007

80 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 80 PROGRAM SZKOLENIA 1. Powitanie i wstęp 2. Standardy międzynarodowe i inne wymagania związane z bezpieczeństwem informacji 3. Podstawowe terminy związane z informacją i bezpieczeństwem 4. Zarys struktury i wymagania normy ISO 27001: Cele i zabezpieczenia zastosowane w ISO 27001:2007 i ISO 17799: Dokumentacja wymagana przez ISO 27001:2007 ISO 27001: WYMAGANIA

81 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 81 Cele i zabezpieczenia (control objectives and controls) ISO 27001:2005 zawiera 39 celów i 134 zabezpieczeń „Nie wszystkie z opisanych zabezpieczeń znajdą zastosowanie w każdej sytuacji, podobnie nie mogą one uwzględniać specyficznych miejscowych uwarunkowań środowiskowych lub technicznych, jak też nie mogą być podane w formie, która zadowoli każdego potencjalnego użytkownika w dowolnej organizacji” „reprezentują przykłady powszechnie używanych metod, uważanych za dobre praktyki w dziedzinie ochrony informacji” 5. CELE I ZABEZPIECZENIA – ISO 17799:2005

82 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 82 BUDOWA ANEKSU A A.10.5 Kopie zapasowe Cel: Utrzymać integralność i dostępność informacji i urządzeń przetwarzających informacje A Kopie zapasowe informacji Zabezpieczenie Powinny być tworzone i testowane regularnie kopie zapasowe informacji i oprogramowania zgodnie z zatwierdzoną polityką tworzenia kopii zapasowych. Cel całego rozdziału = odwrotność ZAGROŻENIA Opis zabezpieczenia Nr klauzuli Nazwa zabezpieczenia Wskazuje na ZAGROŻENIE ! 5. CELE I ZABEZPIECZENIA – ISO 17799:2005

83 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 83 A 5 Polityka bezpieczeństwa A 6 Organizacja bezpieczeństwa informacji A 7 Zarządzanie aktywami A 8 Bezpieczeństwo osobowe A 9 Bezpieczeństwo fizyczne i środowiskowe A 10 Zarządzanie komunikacją i operacjami A 11 Kontrola dostępu do systemu A 12 Pozyskiwanie, rozwój i utrzymanie systemów informatycznych A 13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A 14 Zarządzanie ciągłością działania A 15 Zgodność ANEKS A CELE I ZABEZPIECZENIA 5. CELE I ZABEZPIECZENIA – ISO 17799:2005

84 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 84 PROGRAM SZKOLENIA 1. Powitanie i wstęp 2. Standardy międzynarodowe i inne wymagania związane z bezpieczeństwem informacji 3. Podstawowe terminy związane z informacją i bezpieczeństwem 4. Zarys struktury i wymagania normy ISO 27001: Cele i zabezpieczenia zastosowane w ISO 27001:2005 i ISO 17799: Dokumentacja wymagana przez ISO 27001:2005 ISO 27001: WYMAGANIA

85 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 85 Dokumentacja SZBI (4.3.1) o SZBI winien zawierać: o Udokumentowaną deklarację polityki SZBI i celów o Zakres SZBI o Procedury i zabezpieczenia wspierające SZBI (np. zawarte w Aneksie A) o Opis metodyki szacowania ryzyka o Raport z szacowania ryzyka o Plan postępowania z ryzykiem o Udokumentowane procedury potrzebne organizacji do skutecznego planowania, funkcjonowania i nadzorowania procesów SZBI i opisania pomiarów skuteczności zabezpieczeń (m.in. 5 wymaganych procedur) o Zapisy wymagane przez standard (np. zapisy ze szkoleń, przeglądów zarządzania) o Deklarację stosowania 6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007

86 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 86 Dokumentacja SZBI o „Udokumentowana” = ustanowiona, udokumentowana, wdrożona, utrzymywana o Zakres dokumentacji zależy od: o rozmiaru i charakteru działalności organizacji o zakresu i stopnia skomplikowania wymagań bezpieczeństwa i zarządzanego systemu o Dokumentacja i zapisy mogą być utrwalone za pomocą jakiegokolwiek nośnika. 6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007

87 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 87 Wymagane udokumentowane procedury SZBI o Działania korygujące o Działania zapobiegawcze o Nadzór nad dokumentami o Nadzór nad zapisami o Audity wewnętrzne 6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007

88 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 88 o ISO 27001: drugie zdanie) „Ważne jest, aby pokazać powiązanie wstecz od wybranych zabezpieczeń do wyników szacowania ryzyka i procesu postępowania z ryzykiem i jeszcze wcześniej do polityki i celów SZBI.” 6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007

89 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 89 Struktura dokumentacji SZBI Dostarcza dowodów na zgodność SZBI z wymaganiami p.3.6 Opisuje jak maja być realizowane zadania Opis procesu: kto, co, kiedy,gdzie Polityka, zakres, ocena ryzyka, deklaracja Poziom 4 Poziom 3 Poziom 2 Poziom 1 Podręcznik bezpieczeństwa Procedury Instrukcje, listy kontrolne, formularze Zapisy 6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007

90 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 90 DEKLARACJA STOSOWANIA (statement of applicability) o Dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI danej organizacji, oparte na rezultatach i wnioskach wynikających z procesów szacowania i postępowania z ryzykiem. 6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007

91 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 91 ISO 27001: j) „j) Przygotuj Deklarację Stosowania. Powinna zostać przygotowana Deklaracja Stosowania zawierająca: 1) cele zabezpieczeń i zabezpieczenia wybrane w punkcie g oraz przyczyny ich wyboru; 2) cele zabezpieczeń i zabezpieczenia obecnie zastosowane (patrz e)2); i 3) wyłączenia jakichkolwiek celów i zabezpieczeń zawartych w Aneksie A wraz z uzasadnieniem ich wyłączenia.” 6. DOKUMENTACJA WYMAGANA PRZEZ ISO 27001:2007

92 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 92 PYTANIA I WĄTPLIWOŚCI Prosimy Państwa o zadawanie pytań ISO 27001: WYMAGANIA

93 Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 93 KONIEC Dziękujemy Państwu za uwagę Więcej informacji: ISO 27001: WYMAGANIA


Pobierz ppt "Kopiowanie bez zgody iQuelle Sp. z o.o. zabronione Ⓡ 1 PROWADZĄCY ISO 27001:2007 - WYMAGANIA Andrzej Łęszczak Konsultant systemów zarządzania."

Podobne prezentacje


Reklamy Google