serien og nyheder i ISO og ISO 27002

Transkript

1 serien og nyheder i ISO og ISO Dansk Industri/ITEK 3. juni 2014 Jesper E. Siig Senior Security Advisor

2 Om Neupart ISO certificeret virksomhed. Udvikler og sælger SecureAware, en komplet og effektiv ISMS- løsning, som hjælper virksomheder med it- risikovurdering og enklere efterlevelse af deres it- sikkerhedskrav Leverer SecureConsult, som er rådgivning og hjælp fra erfarne it- sikkerhedskonsulenter. Mere end 200+ kunder i mange brancher og størrelser IT GRC = IT Governance, Risk & Compliance Management

3 Indhold 1. Overblik over ISO serien 2. Hvad blev der lige af DS 484? 3. ISO vs. ISO vs. DS Nyheder i udgaven af ISO Nyheder i udgaven af ISO Hvordan skifter man fra den gamle ISO til den nye? 7. Hvordan skifter man fra DS 484 til ISO 27001? Neupart A/S

4 Hele ISO Familien ISO/IEC 27000:2014

5 Hvad blev der lige af DS 484? DS Dansk norm Checkliste- sikkerhed Opera<onelle krav One size fits all ISO Interna<onal Standard Risikobaseret Krav <l ledelsessystem Tilpasses virksomheden Det formelle krav om efterlevelse DS 484 indenfor Staten er udfaset, da ISO kom på dansk d. 23. januar 2014

6 ISO ISMS: Ledelsesforankring Risikostyring Statement of Applicability Performance- måling Konstant forbedring ISO Annex A... A shall.. A shall.. A shall.. A shall.. A shall.. A shall... LEDELSES-OVERBYGNING ISO should should should should should should... DS skal skal skal skal skal skal a,b,*c,*d a,b,c a,*b,*c,*d a,b,*c,*d,e,*f a,b,c,d,e,*f a,*b,*c,*d,*e,f,*g. 35 styringsmål ( objectives ) foranstaltninger ( controls ) som skal vælges til eller fra i Statement of Applicability 35 objectives, 113 controls ~600 guidances should.. 39 mål, 135 foranstalt- ninger..skal.. ~600 implementerings- retningslinjer..skal.. Dvs. det er absolutte krav ift. efterlevelse af DS 484

7 Hvad er der af nyt i ISO 27002? (ift. DS 484) Flere kapitler Færre krav En del kontroller har holdt flyttedag Kapitel 3 Termer og definitioner er flyttet hjemmefra, til ISO Kapitel 4 Risikovurdering og håndtering er flyttet hjemmefra, til ISO Men ellers er tankegang og opbygning bevaret Bonus: Den engelske version følger med (på hver anden side)

8 Fra DS 484 til ISO Risikovurdering og håndtering 5 Overordnede retningslinjer 6 Organisering af informa<onssikkerhed 7 Styring af informa<onsrelaterede ak<ver 8 Medarbejdersikkerhed 9 Fysisk sikkerhed 10 Styring af netværk og drit 11 Adgangsstyring 12 Indkøb, udvikling og vedligeholdelse af informa<onsbehandlingssystemer 13 Styring af sikkerhedshændelser 14 Beredskabsstyring 15 Overensstemmelse med lovbestemte og kontraktlige krav 11 nye kontroller en masse flyttet 20 slettet ISO Informa<onssikkerhedspoli<kker 6 Organisering af informa<onssikkerhed 7 Medarbejdersikkerhed 8 Styring af ak<ver 9 Adgangsstyring 10 Kryptografi 11 Fysisk sikring og miljøsikring 12 DriTssikkerhed Nyt 13 Kommunika<onssikkerhed 14 Anskaffelse, udvikling og vedlige- holdelse af systemer 15 Leverandørforhold 16 Styring af informa<onssikkerhedsbrud 17 Informa<onssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring 18 Overensstemmelse Nyt Opsplitning

9 Er der noget om Cloud? Ikke direkte, men afsnittet om leverandører er nyt og indholdet strammet op. Og der er en ny standard på vej: ISO Code of practice for information security controls based on ISO/IEC for cloud services (ETA 2015)

10 Hvad så med BYOD? Kontroller i ISO 27002: Politikker for informations- sikkerhed Politik for mobilt udstyr

11 5.1.1 Politikker for informationssikkerhed ISO Afsnit (uddrag) Eksempler på sådanne emner omfatter: Slutbrugerorienterede emner som fx:... d) mobilt udstyr og mernarbejdspladser

12 6.2.1 Politik for mobilt udstyr ISO Afsnit (uddrag) Politikken for mobilt udstyr bør omfatte: a) Registrering af mobilt udstyr b) Krav til fysisk beskyttelse c) Begrænsning af softwareinstallation d) Krav til softwareversioner i mobilt udstyr og anvendelse af patches e) Begrænsninger af forbindelse til informationstjenester f) Adgangsstyring g) Kryptografi h) Malwarebeskyttelse i) Deaktivering, sletning og spærring j) Backup k) Brug af webtjenster og webapps

13 Så hvad er der sket med ISO 27001? En ny struktur Nyt indhold Den er stadig kort: 9 sider med krav til et ISMS Konkrete kontroller findes stadig i Annex A, som refererer til ISO Den er rimeligt bagud- kompatibel

14 ISO : 2013 indhold 4 Organisa<onens kontekst 5 Lederskab 6 Planlægning 7 Support 8 DriT 9 Evaluering 10 Forbedring

15 Hvad skete der lige med PDCA? Der er stadig krav løbende forbedringer Plan - Do Check Act kan vælges til at opnå dette. Og metoden ligger stadig nedenunder, som vi skal se

16 4 Organisationens kontekst 1. Forståelse af organisationen og dens kontekst 2. Forståelse af interessenters behov og forventninger 3. Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed 4. Ledelsessystem for informationssikkerhed Kontekst Lederskab Planlægning Support DriT Evaluering Forbedring PLAN DO CHECK ACT

17 5 Lederskab 1. Lederskab og engagement 2. Politik 3. Roller, ansvar og beføjelser i organisationen Kontekst Lederskab Planlægning Support DriT PLAN DO Evaluering CHECK Forbedring ACT

18 6 Planlægning 1. Handlinger til håndtering af risici og muligheder 2. Informationssikkerheds målsætninger og planlægning for opnåelse heraf Kontekst Lederskab Planlægning Support DriT PLAN DO Evaluering CHECK Forbedring ACT

19 Hovedbudskabet: Virksomheden skal have en proces til at håndtere risici

20 Mere frihed i dit valg af risikometode Krav til processen: 1. Kriterier for risiko, også for risikoappetit 2. Risikovurderinger 3. Fortløbende, konsistent proces, der sikrer sammenlignelige og korrekte resultater Men bemærk: Der er ikke længere krav om at det skal være ISO 27005, der anvendes

21 Et enkelt nyt begreb: Risiko- ejer Godkender handlingsplaner for risikohåndtering og accepterer/afviser risici Bemærk: Aktiv- ejerskab er ikke længere et formelt krav, men findes som kontrol i Annex A/ISO 27002

22 SoA = Statement of Applicability Risikohåndtering SoA hænger tæt sammen med risikohåndtering Vælg behandlingsform Vælg tiltag/kontroller Check Annex A for om alle nødvendige kontroller er med Begrund fravalg OG tilvalg

23 7 Support 1. Ressourcer 2. Kompetencer 3. Bevidsthed 4. Kommunikation 5. Dokumenteret information Kontekst Lederskab Planlægning Support DriT PLAN DO Evaluering CHECK Forbedring ACT

24 8 Drift 1. Driftplanlægning og styring 2. Vurdering af informationssikkerheds- risici 3. Håndtering af informationssikkerheds- risici Kontekst Lederskab Planlægning Support DriT Evaluering PLAN DO CHECK Forbedring ACT

25 Risikostyring = Risikovurdering + Risikohåndtering Risikoejer (Aktiver) Trusler Business Impact Assessment Sårbarhedsvurdering Rapportering og evaluering Håndtering: Acceptér, Reducér, Del eller Undgå

26 Risikohåndtering Accepter Reducér Del Undgå Dette er valgmulighederne jævnfør ISO 27001:2005 og ISO ISO 27001:2013 kræver ikke netop disse 4 former. Kravet er, at der er findes en struktureret proces for risikohåndtering. Man kan selvfølgeligt stadig vælge disse 4 måder

27 9 Evaluering 1. Overvågning, måling, analyse og evaluering 2. Intern audit 3. Ledelsens gennemgang Kontekst Lederskab Planlægning PLAN Support DriT DO Evaluering CHECK Forbedring ACT

28 10 Forbedring 1. Afvigelser og korrigerende handlinger 2. Løbende forbedring Kontekst Lederskab Planlægning PLAN Support DriT DO Evaluering CHECK Forbedring ACT

29 Hvad skal jeg gøre for at skifte fra den gamle til den nye? Ingenting!

30 Ok, måske ikke, men næsten Der er meget der kan genbruges Med enkelte ændringer kan dit eksisterende ISMS tilpasses ISO27001:2013 SoA bør omstruktureres jf. den nye ISO Udnyt fleksibiliteten (Hvis man ikke er så erfaren i ISMS, så kan det være sværere at starte helt fra bunden)

31 Hvor kan man optimere? Mindre form, mere funktion Hvis man allerede har et ERM vil integrere til Hvis man vil simplificere eller ændre risikoprocessen Hvis man har implementeret management review efter ISO27001:2005 kan man nok simplificere Hvis man vil tilpasse sit ISMS endnu bedre til sin egen virksomhed

32 4 gode steder at starte Risk Metrikker Mgmt. review SoA Evaluer din riskmetode Risikohåndtering er central Husk opportuni<es Særskilt emne på Neupart Webinar Neupart Whitepaper* Start pragma<sk Mål hvad du kan måle Rafinér i takt med at modenheden i dit ISMS s<ger Neupart Whitepaper* Smid din nuværende proces ud! Lav review af det der giver mening Du skal sikre dig dit ISMS kører som det skal Der er nye sikrings<ltag i Begrund <lvalg og fravalg Husk sammen- hæng med risiko- håndtering Særskilt emne på Neupart Webinar * aspx

33 Men vi bruger DS 484! Den var straks værre Det er virkelig synd for jer! Modtag vores dybeste medfølelse J Spøg til side. I får mere at lave end dem der bruger ISO 27001:2005 For, hvad er det I mangler?

34 ISO ISMS: Ledelsesforankring Risikostyring Statement of Applicability Performance- måling Konstant forbedring ISO Annex A... A shall.. A shall.. A shall.. A shall.. A shall.. A shall... LEDELSES-OVERBYGNING ISO should should should should should should... DS skal skal skal skal skal skal a,b,*c,*d a,b,c a,*b,*c,*d a,b,*c,*d,e,*f a,b,c,d,e,*f a,*b,*c,*d,*e,f,*g. 35 styringsmål ( objectives ) foranstaltninger ( controls ) som skal vælges til eller fra i Statement of Applicability 35 objectives, 113 controls ~600 guidances should.. 39 mål, 135 foranstalt- ninger..skal.. ~600 implementerings- retningslinjer..skal.. Dvs. det er absolutte krav ift. efterlevelse af DS 484

35 Hvordan får i lavet overbygninger? 1. Ledelsesforankring Kig på organisationen 2. Etabler risikostyring Der findes ikke IT- risici kun forretningsrisici! 3. Vurder behovet for kontroller Dokumenteres i Statement of Applicability 4. Tænk i processer Plan- Do- Check- Act/Konstant forbedring

36 Læs mere (I) whitepaper- om- at- skifte- fra- ds til- iso aspx

37 Læs mere (II) statement- of- applicability.aspx

38 Ellers skriv gerne til