Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international user group ISMS Dr inż. Elżbieta Andrukiewicz Ekspert normalizacyjny ISO Stowarzyszenie Wspierania Rozwoju Systemów Zarządzania bezpieczeństwem informacji ISMS Polska Polish Chapter Jak rozwijać społeczeństwo informacyjne w latach 2007-2010 26 czerwca 2007

Plan prezentacji Krótkie wprowadzenie Wymagania bezpieczeństwa systemów teleinformatycznych używanych przez podmioty publiczne do realizacji zadań publicznych Bezpieczeństwo systemów teleinformatycznych i informacji oparte na Polskich Normach Rodzina norm ISO/IEC 2700x Krótka prezentacja normy ISO/IEC 27001:2005 (PrPN ISO/IEC 27001) Wymagania na systemy zarządzania bezpieczeństwem informacji. Warunki dojścia do certyfikacji na zgodność z ISO 27001 Praktyczne zastosowanie normy ISO/IEC 17799 (27002) – odwzorowania wymagań przepisów prawa na kryteria bezpieczeństwa zgodne z normą Podsumowanie

Czym jest bezpieczeństwo informacji? Błędne podejście: Pokaż mi ROI To tylko generuje koszty Czy mogę mieć pewność? Transfer ryzyka = transfer odpowiedzialności Bezpieczeństwo informacji = bezpieczeństwo internetowe Bezpieczeństwo to sprzęt, a nie organizacja („twarde”, a nie „miękkie”) W rzeczywistości: Model oparty na ryzyku To jest dźwignia biznesu Mogę zmniejszyć ryzyko, ale nie mogę go wyeliminować w 100% Większość problemów z bezpieczeństwem ma swoje źródło wewnątrz organizacji Bezpieczeństwo to tylko 5% nakładów na informatykę Bezpieczeństwo jest b. niedojrzałym biznesem

Podstawowe definicje bezpieczeństwo informacji i systemów teleinformatycznych –wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, niezaprzeczalności, rozliczalności autentyczności i niezawodności informacji i systemów, w których są one przetwarzane PN ISO/IEC 17799:2003 PN-I-13335-1:1999 polityka bezpieczeństwa informacji - udokumentowany zbiór zasad, praktyk i procedur, w którym dana organizacja określa, w jaki sposób chroni aktywa swego systemu informatycznego oraz przetwarzane informacje. PN ISO/IEC 17799:2003 system zarządzania bezpieczeństwem informacji - ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji ISO/IEC 27001:2005

Podejście do określania wymagań bezpieczeństwa informacji w polskich aktach prawnych Brak przywołań norm Ustawa o ochronie danych osobowych i rozporządzenie MSWiA [….] w sprawie warunków organizacyjnych i technicznych, jakim powinny odpowiadać systemy służące do przetwarzania danych osobowych Rozporządzenie o Biuletynie Informacji Publicznej Strukturalny problem aktualizacji aktów prawnych wraz ze zmieniającym się stanem techniki i uaktualnieniem norm Ustawa o podpisie elektronicznym Wpisane w dyrektywy normalizacyjne mechanizmy uaktualniania norm W ISO – normy techniczne są aktualizowane co 3 lata, normy dotyczące zarządzania – co 5 lat Normy można ustanowić, ale można też wycofać

Nowe podejście w aktach prawnych a wymagania dotyczące bezpieczeństwa informacji Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne Rozporządzenie RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych § 3. 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych. 2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji.

Wymagania dla akredytacji jednostek certyfikujących Opublikowane jako Polskie normy Polska Norma w opracowaniu Projekty norm międzynarodowych w opracowaniu Wymagania dla akredytacji jednostek certyfikujących Fundamentals and vocabulary ISMS Auditor Guidelines ISMS Risk Management Wymagania Wytyczne do wdrażania zabezpieczeń ISM measurements ISMS implementation guidelines

*Zgodnie z planem prac ISO/IEC JTC1/SC27 Numer normy ISO/IEC Tytuł normy międzynarodowej (ISO/IEC)/ Tytuł normy polskiej (PN) Termin opublikowania 27000 ISMS. Fundamentals and Vocabulary Listopad 2008* 27001 Information security management systems – Requirements Systemy zarządzania bezpieczeństwem informacji. Wymagania Październik 2005 Styczeń 2007 17799 (27002) Code of Practice for Information Security Management Praktyczne zasady zarządzania bezpieczeństwem informacji Czerwiec 2005 27003 ISMS Implementation Guidance 27004 Information security management measurements Maj 2008* 27005 Information Security Risk Management Luty 2008* 27006 Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems Luty 2007 27007 ISMS Auditor Guidelines 2010* *Zgodnie z planem prac ISO/IEC JTC1/SC27

Systemy Zarządzania Bezpieczeństwem Informacji - zgodne z PN ISO/IEC 27001

Nowa norma międzynarodowa ISO/IEC 27001

Model PDCA Systemu Zarządzania Bezpieczeństwem Informacji Wdrożenie SZBI Zaplanowanie SZBI Utrzymywanie & Doskonalenie ISMS Monitorowanie & Przegląd SZBI Cykl życia SZBI Źródło: Ted Humphreys, Konferencja Wyzwania bezpieczeństwa informacji, Warszawa, 30 marca 2006

Wytyczne a Wymagania bezpieczeństwa System zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001 ISO/IEC 27002(17799) Zbiór wytycznych ISO/IEC 27001 – Załącznik A Zbiór wymagań ISO/IEC 27002 jest normą niezbędną do wdrożenia ISO/IEC 27001

Czym ISO/IEC 17799 jest, a czym nie jest? Zarządzanie bezpieczeństwem informacji Zasady (polityka) bezpieczeństwa informacji z punktu widzenia potrzeb biznesowych Organizacja bezpieczeństwa Gestorzy aktywów Delegacja odpowiedzialności Mechanizmy wykonawcze, zarządcze (zatwierdzanie), nadzoru (przegląd), kontroli (niezależny audyt) Wyniki szacowania ryzyka podstawą wyboru zabezpieczeń Nie jest to poradnik dotyczący szacowania ryzyka Jakkolwiek dodano nowy rozdział o szacowaniu i postępowaniu z ryzykiem ISO/IEC 27005 jako następca ISO/IEC 13335-1/3

Wydanie 2000 Wydanie 2005 Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola aktywów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Rozwój i utrzymanie systemu Zarządzanie ciągłością działania Zgodność Wydanie 2000 Polityka bezpieczeństwa Organizacja bezp. informacji Zarządzanie aktywami Bezpieczeństwo zasobów ludzkich Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Pozyskanie, rozwój i utrzymanie systemów informacyjnych Zarządzanie ciągłością działania Zgodność Zarządzanie incydentami naruszenia bezpieczeństwa informacji Wydanie 2005

OBSZAR BEZPIECZEŃSTWA CEL STOSOWANIA ZABEZPIECZEŃ 11 głównych zagadnień bezpieczeństwa OBSZAR BEZPIECZEŃSTWA 39 celów stosowania zabezpieczeń w obszarach bezpieczeństwa CEL STOSOWANIA ZABEZPIECZEŃ ZABEZPIECZENIE + Wskazówki do wdrożenia przemieszane z innymi informacjami W 1. wydaniu: W 2. wydaniu: Deklaracja zabezpieczenia spełniającego cel stosowania ZABEZPIECZENIE Wytyczne do wdrożenia Wytyczne ułatwiające wdrożenie zabezpieczenia w sposób umożliwiający spełnienie celu stosowania Inne informacje Wyjaśnienia związane z wdrożeniem zabezpieczenia (np. uwarunkowania prawne), które należy uwzględnić przy wdrożeniu

Praktyczne zastosowanie normy ISO/IEC 17799 – audyt bezpieczeństwa Sformułowanie kryteriów audytu Zdefiniowanie mierników spełnienia kryteriów Poszukiwanie dowodów spelnienia kryteriów Ocena - porównanie stanu faktycznego z stanem opisanym za pomocą mierników 1 3 2 4

Normy certyfikacji na zgodność Certyfikacja systemów zarządzania bezpieczeństwem informacji przez niezależną stronę trzecią Normy certyfikacji na zgodność ISO/IEC 27001:2005 (wcześniej BS 7799 Part:2002) – Załącznik A zawiera zabezpieczenia z ISO/IEC 17799:2005 ISO/IEC 27006 Wymagania akredytacji dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji ISO Guide 62/EN 45012 (ISO 17021) - Conformity assessment — Requirements for bodies providing audit and certification of management systems ISO 19011 (PN ISO 19011) Wytyczne do audytowania systemów zarządzania jakością i/lub środowiskowego

16 certyfikatów zgodności Dynamika wzrostu certyfikacji systemów zarządzania bezpieczeństwem informacji 16 certyfikatów zgodności organizacji polskich Źródło: http://www.iso27001certificates.com

Podsumowanie Kompletny zbiór norm międzynarodowych dotyczący zarządzania bezpieczeństwa informacji jest w trakcie tworzenia Kierunki są wyraźnie zaznaczone (horyzont 2008) Potrzeby są zdefiniowane (horyzont 2010) Rynek a obowiązek ISMS Wymagania kontraktowe Niezależne potwierdzenie strony trzeciej Możliwość wpisania mechanizmów zgodności z aktualnymi wydaniami norm międzynarodowych/krajowych jako wymagań bezpieczeństwa informacji i systemów teleinformatycznych do stosownych aktów prawnych Rozporządzenie Komisji UE 1290/2006 w sprawie akredytacji Agencji Płatniczych Ustawa o informatyzacji i rozporządzenie dot. minimalnych wymagań dla systemów teleinformatycznych - Ujednolicenie wymagań dla systemów administracji państwowej i samorządowej

Pytania, uwagi, komentarze ... prezes@ismspolska.org.pl