Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Transkript

1 Statement of Applicability Hjørnestenen i jeres ISMS Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Af Jesper E. Siig Senior Security Advisor hos Neupart 2014 Neupart 1

2 Introduktion En Statement of Applicability (SoA) er en central og obligatorisk del af ISO standarden for Ledelsessystemer for informationssikkerhed (Information Security Management System ISMS). Denne vedledning beskriver, hvorfor en SoA er vigtig, og hvordan I udarbejder den. Desuden beskrives et antal værktøjer, I kan bruge, når I skal udvikle jeres SoA. Hvis I følger anbefalingerne i denne vejledning, vil I ikke bare kunne udvikle jeres SoA hurtigere. I er også sikre på, at arbejdet gennemføres efter de metoder til implementering af et ISMS, som er fastlagt i ISO 27001:2013-standarden. Hvorfor? Bortset fra at være en obligatorisk del af et ISMS, er der mange grunde til, at det kan betale sig at bruge tid på at udarbejde en præcis og opdateret SoA. En SoA udgør bindeleddet mellem jeres risikovurdering og den sikkerhed, I har implementeret. Formålet med en SoA er at dokumentere hvilke kontroller fra ISO Anneks A (og dermed ISO standarden for informationssikkerhed) I implementerer, hvorfor I har valgt disse, samt hvorfor I har fravalgt de kontroller, der ikke er medtaget. Det anses desuden for god skik også at medtage følgende i SoA-dokumentet (selv om standarden ikke direkte kræver det): Status på implementeringen af eksisterende kontroller En henvisning til dokumentationen for kontrollerne samt en kort beskrivelse af, hvordan de enkelte kontroller implementeres En krydsreference til kilderne til andre krav, som nødvendiggør de valgte kontroller. På denne måde får I en komplet oversigt over, hvilke kontroller, det er nødvendigt at implementere, hvorfor de implementeres, hvordan de implementeres, og hvor godt de er implementeret. Nedenfor ser vi på, hvordan I kan udvikle jeres SoA. Hvordan En SoA er resultatet af flere aktiviteter, som er defineret i planlægningsfasen af en ISO implementering. De to primære kilder til en SoA er risikovurderingen og Anneks A til standarden (som egentlig er indholdsfortegnelsen til ISO standarden). De øvrige kilder er de kontroller, som i forvejen eksisterer i organisationen samt eksterne sikkerhedskrav, som organisationen skal overholde Neupart 2

3 Jeres vej til en SoA kan illustreres på følgende måde: Identifikation og analyse af risici Valg af kontroller Anneks A/ ISO Gap analyse Statement of Applicability Nuværende kontroller Planlægning af risikohåndtering Plan for risikohåndtering Implementering af kontroller Eksterne krav Figur 1. Vejen til SoA - og videre Identifikation og analyse af risici For at sikre, at de kontroller, I implementerer, afspejler de relevante risici, skal I udføre en risikovurdering. Risikovurderingen tager udgangspunkt i en identifikation af risici. Identifikationen består af følgende aktiviteter: 1) Identificer de risici, som er forbundet med mistet: a. Fortrolighed b. Integritet c. Tilgængelighed 2) Fastlæg ejerne af de enkelte risici Dernæst skal risici analyseres og evalueres. Analysen består af følgende aktiviteter: 3) Vurder de potentielle konsekvenser, hvis de identificerede risici bliver til virkelighed 4) Vurder den realistiske sandsynlighed for, at de identificerede risici bliver virkelighed 5) Beregn risikoniveau for alle risici ud fra konsekvenser og sandsynligheder 6) Sammenlign de beregnede risikoniveauer med organisationens kriterier for accept af risici, og prioriter håndteringen 2014 Neupart 3

4 Valg af kontroller I de tilfælde hvor I vurderer, at risici ikke er acceptable, skal I iværksætte de nødvendige handlinger til risikohåndtering. Der er typisk følgende muligheder for håndtering af risici: a) Implementering af relevante kontroller b) Accept af risici c) Undgåelse af risici eller d) Deling af risici med andre parter, f.eks. forsikringsselskaber eller leverandører. For de risici, hvor I vælger mulighed a), skal I vælge relevante kontroller. Heldigvis har vi i ISO en rigtig god oversigt over kontrolmål og kontroller til håndtering af risici samt gode retningslinjer for, hvordan I kan implementere kontrollerne. Dette er også tidspunktet at revurdere, om de allerede eksisterende kontroller skal bevares. Hvis ikke risikovurderingen viser, at der er et behov for en kontrol, kan den måske afskaffes. Ud over ISO har I mulighed for at anvende andre kilder ved valg af kontroller. Følgende kilder kan være relevante: Payment Card Industry Data Security Standard (PCI DSS) National persondatalovgivning baseret på EU's direktiv om databeskyttelse eller andre lovmæssige krav SANS 20 kritiske kontroller til et effektivt cyberforsvar Digitaliseringsstyrelsen og Center for Cybersikkerheds vejledning Cyberforsvar der virker Øvrige kilder kan være: Branchespecifikke lovmæssige krav Kontraktmæssige sikkerhedskrav Selskabets eller koncernens sikkerhedskrav, som datterselskabet skal overholde NIST Security and Privacy Controls for Federal Information Systems and Organizations Vi anbefaler at I, hvis I ønsker at overholde ISO 27001, udarbejder jeres SoA i henhold til ISO 27002, og at I derefter kortlægger de forskellige sikkerhedskrav inden for rammerne af denne standard. For hvert valgt kontrol bør SoA indeholde følgende: 1. Kilden til det krav, som har medført, at I har valgt kontrollen 2. Kontrollens modenhed eller graden af overholdelse 3. En henvisning til, hvor i kilden kravet om denne sikkerhedsforanstaltning er angivet, ELLER årsagen til, at kontrollen ikke er valgt 4. En kort beskrivelse af kontrollen eller en henvisning til et sted, hvor den er beskrevet Neupart 4

5 Gap-analyse Når de krævede kontroller er valgt anbefaler vi, at I udfører en analyse af mangler (en gap-analyse). Dette er ikke et ufravigeligt krav i ISO standarden, men gap-analysen hjælper jer med at afdække hvor langt I er kommet med implementeringen af kontrollerne. For at sikre, at evalueringen af kontrollen bliver ensartet og sammenhængende, anbefales det at vælge en generelt accepteret model for modenhedsniveau. Eksempler på modenhedsskalaer er: COBIT 4.1 Maturity Model Carnegie Mellon Software Engineering Institute Capability Maturity Model (CMM) Digitaliseringsstyrelsens ISO benchmark Modenhedsskalaen for kontroller inddeles typisk i 6 trin: 0. Ikke-eksisterende 1. Ad hoc 2. Uformelle 3. Beskrevne 4. Styrede 5. Optimerede Udarbejdelse af en SoA Når I har valgt kontrollerne, og der er foretaget gap-analyse, har I de informationer, I skal bruge for at skrive en SoA. Vi anbefaler, at I anvender et struktureret værktøj til dokumentation af SoA'en. Et værktøj gør det nemmere at arbejde med indholdet i SoA'en og eksempelvis foretage sortering og filtrering baseret på modenhedsniveau, kilden til kravene og andre parametre. Eksempler på relevante værktøjer til brug ved udarbejdelse af en SoA er regneark, databaser og dedikerede ISMS-værktøjer som f.eks. SecureAware fra Neupart. Vær opmærksom på, at en SoA ikke udarbejdes én gang for alle. Den skal opdateres, når der sker ændringer i kontrollerne, i modenhedsniveau eller i de krav, som nødvendiggør kontrollerne. Planlægning af risikohåndtering Som nævnt i introduktionen er en SoA et meget centralt dokument i et ISMS. Når den første version af en SoA er udviklet, anvendes den både under udviklingen af risikohåndteringsplanen og ved implementering af de kontroller, der er valgt under aktiviteten Vælg kontroller. Man kan sige, at risikohåndteringsplanen er virksomhedens plan for implementering af sikkerhed, og at planens primære mål er at opnå organisationens mål for sikkerhed Neupart 5

6 Under planlægning af implementeringen skal det afklares og beskrives: 1. Hvad skal der gøres? 2. Hvilke ressourcer kræver det? 3. Hvem har ansvaret? 4. Hvornår skal det være færdigt? 5. Hvordan skal resultaterne evalueres? En anden vigtig faktor, som I skal overveje ved sikkerhedsplanlægningen, er væsentligheden af de kontroller, som implementeres. Sikkerhedsaktiviteterne skal derfor prioriteres i forhold til følgende parametre: De beregnede risikoniveauer for de risici, som kontrollerne skal adressere Juridiske og regulative krav Implementering af kontroller Når planlægningen af risikohåndteringen er udført, begynder det egentlige sikkerhedsarbejde. Afhængigt af, hvor stor forskellen mellem det aktuelle og det krævede sikkerhedsniveau er, kan opgaven kræve både en stor arbejdsindsats og megen tid. Det er derfor ikke ualmindeligt, at man ser risikohåndteringsplaner, der strækker sig over flere måneder eller sågar år. Under implementeringen af kontrollerne, forbedres ISMS-systemets modenhed, og virksomhedens SoA skal derfor opdateres, efterhånden som denne udvikling sker. Vedligeholdelse af SoA Som nævnt ovenfor skal en SoA løbende opdateres, og Neupart anbefaler, at tidligere (større) opdateringer gemmes, så forbedringerne i implementeringen af kontroller og modenheden kan dokumenteres. Efterhånden som virksomhedens risikohåndteringsmetode modnes, er det desuden sandsynligt, at efterfølgende risikovurderinger medfører, at det samlede risikobillede og dermed også virksomhedens SoA skal opdateres. En opdateret SoA er meget nyttigt i forbindelse med dokumentation af ISMS-systemets samlede implementeringsniveau samt effektiviteten af de kontroller, der er implementeret Neupart 6

7 Værktøjer Som nævnt ovenfor kan man med fordel anvende et struktureret værktøj til dokumentation for en SoA. Neupart tilbyder et komplet ISMS, SecureAware. SecureAware er udviklet på basis af den metodik, der er angivet i ISO og ISO samt standarden for it-risikohåndtering ISO I kan bruge SecureAware ved automatisering af implementeringen af jeres ISMS og spare værdifulde ressourcer, samtidig med at det sikres, at implementeringen bliver i overensstemmelse med standarderne. SecureAware fås som en gratis tidsbegrænset prøveversion, som I kan bruge til at oprette jeres SoA. Hvis I vil påbegynde implementeringen af ISMS-systemet uden brug af SecureAware, har vi udviklet en template, som I kan bruge til at dokumentere jeres SoA. Templaten er opbygget på samme måde som ISO kontrollerne, hvilket betyder, at det følger de kontrolmål og kontroller, der er angivet i ISO Anneks A. Templaten har følgende kolonner: Overskrift Anvendelse ISO kontrol # Afsnittets nummer Identifikation Afsnittets titel Kolonnerne nedenfor er eksempler på krav Kilde til krav: Der kan tilføjes andre kilder alt efter virksomhedens behov RV Risikovurderinger Nuv. Nuværende kontroller Kont. Kontraktmæssige krav PDL Persondatalov Vurder kontrollens modenhed efter denne skala: 0. Ikke-eksisterende 1. Ad hoc 2. Uformelle Modenhed 3. Beskrevne 4. Styrede 5. Optimerede Ikke relevant Kildehenvisning/ Dokumenter årsagen til relevans ved at angive det relevante afsnit i kilden Begrundelse for medtagelse/ til kravet ikke-relevans ELLER Angiv, hvorfor denne sikkerhedsforanstaltning ikke er relevant Kontrolbeskrivelse/ Henvisning til kontrol Angiv en kort beskrivelse af kontrollerne ELLER Angiv en henvisning til beskrivelsen af kontrollen Download templaten her: Neupart 7

8 Referencer ISO Standard Ledelsessystemer for informationssikkerhed Krav ISO Standard Regelsæt for styring af informationssikkerhed EU's direktiv om databeskyttelse 95/46/EF Persondataloven Digitaliseringsstyrelsens ISO benchmark /~/media/Files/Arkitektur%20og%20standarder/Informationssikkerhed%20efter%20ISO27001/ISO270 01_Benchmark.ashx Digitaliseringsstyrelsen og Center for Cybersikkerheds vejledning Cyberforsvar der virker Payment Card Industry - Data Security Standard (PCI DSS) SANS Institute - Twenty Critical Security Controls for Effective Cyber Defense NIST Special Publication Security and Privacy Controls for Federal Information Systems and Organizations Neupart 8

9 SecureConsult fra Neupart: Erfarne it-sikkerhedskonsulenter Skal I etablere et ISMS? Hvordan udarbejdes en Statement of Applicability? Skal den årlige risikovurdering gennemføres? Skal beredskabsplanerne opdateres? Hvordan følger I op på hændelser? Har I aftalt sikkerhedsansvar med jeres it-leverandører? Beskyttes persondata tilstrækkeligt? Vil I starte med en ISO gap-analyse? Der er mange ting man skal overveje i forhold til it-sikkerhed. Derfor stiller vi dygtige og erfarne konsulenter til rådighed, så du kan få en problemfri it-risikovurdering. Neupart har været certificeret siden Vores viden og erfaringer bringer virksomheder, institutioner og styrelser sikkert i mål med ISO efterlevelse på kortere tid. Når I planlægger og udfører jeres ISO aktiviteter rigtigt, kan den nødvendige informationssikkerhed indføres pragmatisk og fleksibelt. Det er Neupart eksperter i. Vi kalder vores konsulentydelser for SecureConsult. Ring til Louise Bøttner, Jeppe Kodahl, Jakob Holm Hansen eller Lars Neupart på hvis du vil høre lidt mere om, hvordan vi kan hjælpe dig det er uforpligtende Neupart 9

10 SecureAware ISMS fra Neupart er et information security management-værktøj, der gør det muligt for organisationer effektivt at håndtere it-risici og efterleve compliance-krav, som ISO 27001/2, EU Persondataloven og PCI DSS. SecureAware tilbydes som et komplet ISMS-værktøj eller som individuelle produkter. Læs mere og hent en gratis prøveversion på SecureAware Risk TNG Professionel it-risikostyring på kortere tid Hovedfunktioner Risikohåndtering (treatment) Business Impact Assessment Risikofokuseret aktiv-database Risikovurdering af leverandører og Cloud Service Providers Automatisk risikorapportering SecureAware Policy & Compliance Få styr på informationssikkerheden Hovedfunktioner Skabeloner til it-sikkerhedspolitik og -regler Politikstyring, regler, procedurer Krav-bibliotek med mapning og compliance gap-rapporter til ISO 2700x og persondatalovgivning Versionering, publicering, opgavestyring, intern audit Phishing-test & Awareness-quizzer SecureAware BCP Altid ajour og tilgængelige beredskabsplaner Hovedfunktioner Skabeloner til it-beredskab Plan for fortsat drift Gen-etableringsplaner Nødprocedurer Workflow til opdatering, test og øvelser af planerne Planer kan tilgås udenfor SecureAware 2014 Neupart 10

11 Tilmeld dig Neuparts nyhedsbrev om it-sikkerhedsledelse. Modtag white papers, vejledninger, webinar-invitationer etc. t Neupart hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Neupart er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede ISMS-løsning, SecureAware, sparer virksomheders tid og kræver færre konsulenttimer. Neupart er specialist i ISO 27001, EU persondatalovgivning, Cobit, PCI DSS og cloudsikkerhed. Med mere end 200 private og offentlige virksomheder som kunder er Neupart den førende IT GRC-leverandør. Neupart er ISO certificeret. Neupart A/S Hollandsvej 12 DK-2800 Lyngby T: Neupart 11