27000- serien og nyheder i ISO 27001 og ISO 27002 Dansk Industri/ITEK 3. juni 2014 Jesper E. Siig Senior Security Advisor
Om Neupart ISO 27001 certificeret virksomhed. Udvikler og sælger SecureAware, en komplet og effektiv ISMS- løsning, som hjælper virksomheder med it- risikovurdering og enklere efterlevelse af deres it- sikkerhedskrav Leverer SecureConsult, som er rådgivning og hjælp fra erfarne it- sikkerhedskonsulenter. Mere end 200+ kunder i mange brancher og størrelser IT GRC = IT Governance, Risk & Compliance Management
Indhold 1. Overblik over ISO 27000- serien 2. Hvad blev der lige af DS 484? 3. ISO 27001 vs. ISO 27002 vs. DS 484 4. Nyheder i 2014- udgaven af ISO 27002 5. Nyheder i 2013- udgaven af ISO 27001 6. Hvordan skifter man fra den gamle ISO 27001 til den nye? 7. Hvordan skifter man fra DS 484 til ISO 27001? Neupart A/S
Hele ISO 27000 Familien ISO/IEC 27000:2014
Hvad blev der lige af DS 484? DS 484 2005 Dansk norm Checkliste- sikkerhed Opera<onelle krav One size fits all ISO 27001 2013 Interna<onal Standard Risikobaseret Krav <l ledelsessystem Tilpasses virksomheden Det formelle krav om efterlevelse DS 484 indenfor Staten er udfaset, da ISO 27001 kom på dansk d. 23. januar 2014
ISO 27001 ISMS: Ledelsesforankring Risikostyring Statement of Applicability Performance- måling Konstant forbedring ISO 27001 - Annex A... A9.1.3..shall.. A9.1.4..shall.. A9.1.5..shall.. A9.1.6..shall.. A9.2.1..shall.. A9.2.2..shall... LEDELSES-OVERBYGNING ISO 27002... 9.1.3..should.. 9.1.4..should.. 9.1.5..should.. 9.1.6..should.. 9.2.1..should.. 9.2.2..should... DS 484. 9.1.3..skal.. 9.1.4..skal.. 9.1.5..skal.. 9.1.6..skal.. 9.2.1..skal.. 9.2.2..skal.... 9.1.3 a,b,*c,*d 9.1.4 a,b,c 9.1.5.a,*b,*c,*d 9.1.6 a,b,*c,*d,e,*f 9.2.1 a,b,c,d,e,*f.. 9.2.2 a,*b,*c,*d,*e,f,*g. 35 styringsmål ( objectives ) + 113 foranstaltninger ( controls ) som skal vælges til eller fra i Statement of Applicability 35 objectives, 113 controls ~600 guidances should.. 39 mål, 135 foranstalt- ninger..skal.. ~600 implementerings- retningslinjer..skal.. Dvs. det er absolutte krav ift. efterlevelse af DS 484
Hvad er der af nyt i ISO 27002? (ift. DS 484) Flere kapitler Færre krav En del kontroller har holdt flyttedag Kapitel 3 Termer og definitioner er flyttet hjemmefra, til ISO 27000 Kapitel 4 Risikovurdering og håndtering er flyttet hjemmefra, til ISO 27001 Men ellers er tankegang og opbygning bevaret Bonus: Den engelske version følger med (på hver anden side)
Fra DS 484 til ISO 27002 4 Risikovurdering og håndtering 5 Overordnede retningslinjer 6 Organisering af informa<onssikkerhed 7 Styring af informa<onsrelaterede ak<ver 8 Medarbejdersikkerhed 9 Fysisk sikkerhed 10 Styring af netværk og drit 11 Adgangsstyring 12 Indkøb, udvikling og vedligeholdelse af informa<onsbehandlingssystemer 13 Styring af sikkerhedshændelser 14 Beredskabsstyring 15 Overensstemmelse med lovbestemte og kontraktlige krav 11 nye kontroller en masse flyttet 20 slettet ISO 27001 5 Informa<onssikkerhedspoli<kker 6 Organisering af informa<onssikkerhed 7 Medarbejdersikkerhed 8 Styring af ak<ver 9 Adgangsstyring 10 Kryptografi 11 Fysisk sikring og miljøsikring 12 DriTssikkerhed Nyt 13 Kommunika<onssikkerhed 14 Anskaffelse, udvikling og vedlige- holdelse af systemer 15 Leverandørforhold 16 Styring af informa<onssikkerhedsbrud 17 Informa<onssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring 18 Overensstemmelse Nyt Opsplitning
Er der noget om Cloud? Ikke direkte, men afsnittet om leverandører er nyt og indholdet strammet op. Og der er en ny standard på vej: ISO 27017 Code of practice for information security controls based on ISO/IEC 27002 for cloud services (ETA 2015)
Hvad så med BYOD? Kontroller i ISO 27002: 5.1.1 Politikker for informations- sikkerhed 6.2.1 Politik for mobilt udstyr
5.1.1 Politikker for informationssikkerhed ISO 27002 Afsnit 5.1.1 (uddrag) Eksempler på sådanne emner omfatter: Slutbrugerorienterede emner som fx:... d) mobilt udstyr og mernarbejdspladser
6.2.1 Politik for mobilt udstyr ISO 27002 Afsnit 6.2.1 (uddrag) Politikken for mobilt udstyr bør omfatte: a) Registrering af mobilt udstyr b) Krav til fysisk beskyttelse c) Begrænsning af softwareinstallation d) Krav til softwareversioner i mobilt udstyr og anvendelse af patches e) Begrænsninger af forbindelse til informationstjenester f) Adgangsstyring g) Kryptografi h) Malwarebeskyttelse i) Deaktivering, sletning og spærring j) Backup k) Brug af webtjenster og webapps
Så hvad er der sket med ISO 27001? En ny struktur Nyt indhold Den er stadig kort: 9 sider med krav til et ISMS Konkrete kontroller findes stadig i Annex A, som refererer til ISO 27002 Den er rimeligt bagud- kompatibel
ISO 27001 : 2013 indhold 4 Organisa<onens kontekst 5 Lederskab 6 Planlægning 7 Support 8 DriT 9 Evaluering 10 Forbedring
Hvad skete der lige med PDCA? Der er stadig krav løbende forbedringer Plan - Do Check Act kan vælges til at opnå dette. Og metoden ligger stadig nedenunder, som vi skal se
4 Organisationens kontekst 1. Forståelse af organisationen og dens kontekst 2. Forståelse af interessenters behov og forventninger 3. Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed 4. Ledelsessystem for informationssikkerhed Kontekst Lederskab Planlægning Support DriT Evaluering Forbedring PLAN DO CHECK ACT
5 Lederskab 1. Lederskab og engagement 2. Politik 3. Roller, ansvar og beføjelser i organisationen Kontekst Lederskab Planlægning Support DriT PLAN DO Evaluering CHECK Forbedring ACT
6 Planlægning 1. Handlinger til håndtering af risici og muligheder 2. Informationssikkerheds målsætninger og planlægning for opnåelse heraf Kontekst Lederskab Planlægning Support DriT PLAN DO Evaluering CHECK Forbedring ACT
Hovedbudskabet: Virksomheden skal have en proces til at håndtere risici
Mere frihed i dit valg af risikometode Krav til processen: 1. Kriterier for risiko, også for risikoappetit 2. Risikovurderinger 3. Fortløbende, konsistent proces, der sikrer sammenlignelige og korrekte resultater Men bemærk: Der er ikke længere krav om at det skal være ISO 27005, der anvendes
Et enkelt nyt begreb: Risiko- ejer Godkender handlingsplaner for risikohåndtering og accepterer/afviser risici Bemærk: Aktiv- ejerskab er ikke længere et formelt 27001- krav, men findes som kontrol i Annex A/ISO 27002
SoA = Statement of Applicability Risikohåndtering SoA hænger tæt sammen med risikohåndtering Vælg behandlingsform Vælg tiltag/kontroller Check Annex A for om alle nødvendige kontroller er med Begrund fravalg OG tilvalg
7 Support 1. Ressourcer 2. Kompetencer 3. Bevidsthed 4. Kommunikation 5. Dokumenteret information Kontekst Lederskab Planlægning Support DriT PLAN DO Evaluering CHECK Forbedring ACT
8 Drift 1. Driftplanlægning og styring 2. Vurdering af informationssikkerheds- risici 3. Håndtering af informationssikkerheds- risici Kontekst Lederskab Planlægning Support DriT Evaluering PLAN DO CHECK Forbedring ACT
Risikostyring = Risikovurdering + Risikohåndtering Risikoejer (Aktiver) Trusler Business Impact Assessment Sårbarhedsvurdering Rapportering og evaluering Håndtering: Acceptér, Reducér, Del eller Undgå
Risikohåndtering Accepter Reducér Del Undgå Dette er valgmulighederne jævnfør ISO 27001:2005 og ISO 27005. ISO 27001:2013 kræver ikke netop disse 4 former. Kravet er, at der er findes en struktureret proces for risikohåndtering. Man kan selvfølgeligt stadig vælge disse 4 måder
9 Evaluering 1. Overvågning, måling, analyse og evaluering 2. Intern audit 3. Ledelsens gennemgang Kontekst Lederskab Planlægning PLAN Support DriT DO Evaluering CHECK Forbedring ACT
10 Forbedring 1. Afvigelser og korrigerende handlinger 2. Løbende forbedring Kontekst Lederskab Planlægning PLAN Support DriT DO Evaluering CHECK Forbedring ACT
Hvad skal jeg gøre for at skifte fra den gamle 27001 til den nye? Ingenting!
Ok, måske ikke, men næsten Der er meget der kan genbruges Med enkelte ændringer kan dit eksisterende ISMS tilpasses ISO27001:2013 SoA bør omstruktureres jf. den nye ISO 27002 Udnyt fleksibiliteten (Hvis man ikke er så erfaren i ISMS, så kan det være sværere at starte helt fra bunden)
Hvor kan man optimere? Mindre form, mere funktion Hvis man allerede har et ERM vil integrere til Hvis man vil simplificere eller ændre risikoprocessen Hvis man har implementeret management review efter ISO27001:2005 kan man nok simplificere Hvis man vil tilpasse sit ISMS endnu bedre til sin egen virksomhed
4 gode steder at starte Risk Metrikker Mgmt. review SoA Evaluer din riskmetode Risikohåndtering er central Husk opportuni<es Særskilt emne på Neupart Webinar Neupart Whitepaper* Start pragma<sk Mål hvad du kan måle Rafinér i takt med at modenheden i dit ISMS s<ger Neupart Whitepaper* Smid din nuværende proces ud! Lav review af det der giver mening Du skal sikre dig dit ISMS kører som det skal Der er nye sikrings<ltag i 27002 Begrund <lvalg og fravalg Husk sammen- hæng med risiko- håndtering Særskilt emne på Neupart Webinar *http://www.neupart.dk/temaer/iso- 27001.aspx
Men vi bruger DS 484! Den var straks værre Det er virkelig synd for jer! Modtag vores dybeste medfølelse J Spøg til side. I får mere at lave end dem der bruger ISO 27001:2005 For, hvad er det I mangler?
ISO 27001 ISMS: Ledelsesforankring Risikostyring Statement of Applicability Performance- måling Konstant forbedring ISO 27001 - Annex A... A9.1.3..shall.. A9.1.4..shall.. A9.1.5..shall.. A9.1.6..shall.. A9.2.1..shall.. A9.2.2..shall... LEDELSES-OVERBYGNING ISO 27002... 9.1.3..should.. 9.1.4..should.. 9.1.5..should.. 9.1.6..should.. 9.2.1..should.. 9.2.2..should... DS 484. 9.1.3..skal.. 9.1.4..skal.. 9.1.5..skal.. 9.1.6..skal.. 9.2.1..skal.. 9.2.2..skal.... 9.1.3 a,b,*c,*d 9.1.4 a,b,c 9.1.5.a,*b,*c,*d 9.1.6 a,b,*c,*d,e,*f 9.2.1 a,b,c,d,e,*f.. 9.2.2 a,*b,*c,*d,*e,f,*g. 35 styringsmål ( objectives ) + 113 foranstaltninger ( controls ) som skal vælges til eller fra i Statement of Applicability 35 objectives, 113 controls ~600 guidances should.. 39 mål, 135 foranstalt- ninger..skal.. ~600 implementerings- retningslinjer..skal.. Dvs. det er absolutte krav ift. efterlevelse af DS 484
Hvordan får i lavet overbygninger? 1. Ledelsesforankring Kig på organisationen 2. Etabler risikostyring Der findes ikke IT- risici kun forretningsrisici! 3. Vurder behovet for kontroller Dokumenteres i Statement of Applicability 4. Tænk i processer Plan- Do- Check- Act/Konstant forbedring
Læs mere (I) http://www.neupart.dk/nyheder/gratis- whitepaper- om- at- skifte- fra- ds- 484- til- iso- 27001.aspx
Læs mere (II) http://www.neupart.com/news/iso- 270012013- statement- of- applicability.aspx
Ellers skriv gerne til jes@neupart.com