Upload
annanowak
View
59
Download
0
Embed Size (px)
Citation preview
Audyt systemu zarzdzania bezpieczestwem informacji zgodnego z ISO/IEC 27001 - aspekt technologiczny. Podejcie, etapy realizacji, prezentacja wynikw.
Dr in. Elbieta Andrukiewicz, CISSP
Dyrektor ds. Audytu Trusted Information Consulting Sp. z o.o.
Plan prezentacji
Wprowadzenie do systemu norm ISO/IEC 270xx Audyt zgodnoci z ISO/IEC 27001 Cz technologiczna audytu zgodnoci z ISO/IEC 27001 Podejcie do audytu technologicznego Etapy realizacji testw technologicznych Prezentacja wynikw audytu technologicznego Wnioski z punktu widzenia audytu zgodnoci z ISO/IEC 27001
Prezentacja - osoba Prelegenta
Ekspert normalizacyjny ISO od 1997 roku; przewodniczca delegacji polskiej do podkomitetu SC27 IT Security Techniques od 2000 roku Edytor normy ISO/IEC 27005 Information Security Risk Management oraz ISO/IEC 27000 Fundamentals and vocabulary Przewodniczca Komitetu Technicznego nr 182 Ochrona informacji w sieciach teleinformatycznych Kierownik merytoryczny/ Audytor wiodcy audytw bezpieczestwa informacji w administracji publicznej, organizacjach sektora finansowego, energetycznego, usug komunalnych, informatyki.
Podstawowe definicje
system zarzdzania bezpieczestwem informacji (SZBI)cz caociowego systemu zarzdzania, oparta na podejciu wynikajcym z ryzyka biznesowego, odnoszca si do ustanawiania, wdraania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczestwa informacji ISMS - information security management system PN ISO/IEC 27001:2007
zarzdzanie ryzykiemskoordynowane dziaania kierowania i kontrolowania organizacji z uwzgldnieniem ryzyka ISO/IEC Guide 73:2002 PN-ISO/IEC 27001:2007
Podstawowe definicje (2)
bezpieczestwo informacji i systemw teleinformatycznychzachowanie poufnoci, integralnoci i dostpnoci informacji; dodatkowo, mog by brane pod uwag inne wasnoci, takie jak autentyczno, rozliczalno, niezaprzeczalno i niezawodno [PN-ISO/IEC 17799:2007]
zabezpieczenierodki suce zarzdzaniu ryzykiem, cznie z politykami, procedurami, zaleceniami, praktyk lub strukturami organizacyjnymi, ktre mog mie natur administracyjn, techniczn, zarzdcz lub prawn PN- ISO/IEC 17799:2007
Krtkie wprowadzenie do systemu norm ISO/IEC 270xx
Rodzina norm ISO 2700xOpublikowane jako PolskIe Normy
Wymagania dla akredytacji jednostek certyfikujcychFundamentals and vocabulary27006 27000 27007
ISMS Auditor Guidelines Guidlines for auditors on ISMS controls
27008
SZBI. Wymagania Wytyczne do wdraania zabezpiecze
27001
Rodzina 2700x
27005
Zarzadzanie ryzykiem w bezpieczenstwie informacji ISM measurements
27002 27003
27004
ISMS implementation guidance
Zestawienie norm rodziny 2700x
Numer normy ISO/IEC 27000 27001
Tytu normy midzynarodowej (ISO/IEC)/ Tytu normy polskiej (PN lub projektu PN) ISMS. Fundamentals and Vocabulary (bezpatna!) Information security management systems Requirements Systemy zarzdzania bezpieczestwem informacji. Wymagania
Termin opublikowania
Listopad 2008 Padziernik 2005 Stycze 2007
17799 (27002)27003 27004 27005 27006
Code of Practice for Information Security Management Praktyczne zasady zarzdzania bezpieczestwem informacjiISMS Implementation Guidance Information security management measurements Information Security Risk Management Zarzdzanie ryzykiem w bezpieczestwie informacji Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems Wymagania dla jednostek prowadzcych audyt i certyfikacj systemw zarzdzania bezpieczestwem informacji ISMS Auditor Guidelines Guidlines for auditors on ISMS controls
Czerwiec 2005 Stycze 2007Listopad 2009* Listopad 2009* Czerwiec 2008 Marzec 2010 Luty 2007
Czerwiec 2009 Listopad 2010* Maj 2011*
27007 27008
*Zgodnie z planem prac ISO/IEC JTC1/SC27
Normy wspierajce sektorowe. Rodzina 2701xISMS for telecommunication organisations based on ISO/IEC 27002 (pub. 2008)Information security management for inter-sector communications Guidance on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 270012701127010Polska Norma w opracowaniu
27013
Rodzina 2700x
Informatyka w ochronie zdrowia Zarzdzanie bezpieczestwem informacji w 27799 ochronie zdrowia przy uyciu ISO/IEC 2700227015
Information security governance framework
27014
ISMS for Financial and Insurance Services Sector
Normy wspierajce obszar IT. Rodzina 2703x
Guidelines for security of outsourcing27037
27036
Guidelines for ident., collect., & acquis. & preserv. of Digital Evidence
Guidelines for ICT readiness for business continuity
27031
Rodzina 2700x
27035
Information security incident management
Guidelines for cybersecurity
27032 27033
27034
IT Network Security (7 czci)
Application security (5 czci)
Informacje dodatkowe nt. rodziny 2703xNumer normy ISO/IEC 27033 Tytu normy midzynarodowej (ISO/IEC)
IT Network Security Part 1: Overview and concepts Part 2: Guidelines for the design and implementation of network security Part 3: Reference networking scenarios -- Risks, design technologies and control issues Part 4: Securing communications between networks using security gateways - Risks, design techniques and control issues Part 5: Securing communications across networks using Virtual Private Networks (VPNs) - Risks, design techniques and control Issues Part 6: IP convergence Part 7: Wireless Application security Part 1: Overview and concepts Part 2: Organization normative framework Part 3: Application security management process Part 4: Application security validation Protocols and application security controls data structure
270034
Krtkie wprowadzenie do ISO/IEC 27001
Model PDCA dla SZBI
Wdroenie SZBIPLAN ACT
Zaplanowani e SZBI
DO
CHECK
Utrzymywanie Monitorowanie & Doskonalenie & Przegld ISMS SZBI
Cykl ycia SZBIrdo: Ted Humphreys, Konferencja Wyzwania bezpieczestwa informacji, Warszawa, 30 marca 2006
ISO/IEC 27001 Faza planowania (PLAN)
Wybr odpowiednich zabezpiecze na podstawie ISO/IEC 17799 Uzyskanie aprobaty kierownictwa dla ryzyka szcztkowego i autoryzacja do wdraania zabezpiecze Deklaracja stosowania (SoA) lista stosowanych zabezpiecze oraz lista wycze uzasadnienie wyczeniaProces planowania SZBI Szacowanie ryzyk Wybr wariantw postpowania z ryzykiem Wybr zabezpiecze
ISO/IEC 27001 Faza wykonania (DO) Sformuowanie i wdroenie planu postpowania z ryzykiem Odpowiednie dziaania kierownictwa Role i zakresy odpowiedzialnoci Priorytety Wdroenie wybranych zabezpiecze Okrelenie metod pomiaru skutecznoci zabezpiecze oraz sposobu wykorzystania wynikw pomiarw w SZBI (porwnywalne i odtwarzalne rezultaty) Programy uwiadamiania i szkole Zarzdzanie projektami i zasobami Wdroenie zarzdzania incydentami
ISO/IEC 27001 Faza sprawdzania (CHECK) Monitorowanie eksploatacji Wykrywanie bdw Identyfikowanie narusze, incydentw itp. Sprawdzanie zgodnoci dziaania zabezpiecze z zaoeniami Przegld skutecznoci SZBI Pomiar skutecznoci zabezpiecze Przegld wynikw szacowania ryzyka Zmiany warunkw biznesowych lub prawnych Zmiany poziomu akceptowalnego ryzyka Zmiany zagroe i podatnoci Przeprowadzanie audytw wewntrznych Przegldy SZBI inicjowane przez kierownictwo Zapisy dotyczce podejmowanych dziaa
Audyt wewntrzny SZBI Cel audytu wewntrznego (ISO/IEC 27001, pkt. 6) okrelenie, czy cele stosowania zabezpiecze, zabezpieczenia, procesy i procedury SZBI s:
zgodne z wymaganiami niniejszej normy i odpowiednimi ustawami i przepisami; zgodne ze zidentyfikowanymi wymaganiami bezpieczestwa informacji; skutecznie wdroone i utrzymywane; zgodne z oczekiwaniami
Organizacja i planowanie audytu Uwzgldnienie wagi obszarw oraz wynikw poprzedniego audytu Okrelenie kryteriw, zakresu, czstotliwoci i metod Zasady doboru audytorw
Charakterystyka zabezpiecze i moliwe techniki audytu w SZBI
Zacznik A normy ISO/IEC 27001
System zarzdzania bezpieczestwem informacji zgodny z ISO/IEC 27001 ISO/IEC 27001 Zacznik A Zbir wymaga
ISO/IEC 27002(17799) Zbir wytycznych
ISO/IEC 27002 jest norm niezbdn do wdroenia ISO/IEC 27001
Rodzaje zabezpiecze i techniki audytu ISO/IEC 27006Podzia zabezpieczeo i techniki audytowe dla zabezpieczeo technicznych (ISO/IEC 27006, Zacznik D) Zabezpieczenia Zabezpieczenia Testowanie Kontrola organizacyjne techniczne systemu wizualna X X X X X X X X X X X X X X X X X X Moliwe (8.3.3) Zalecane Zalecane/ moliwe Zalecane/ moliwe Zalecane/ moliwe Moliwe Moliwe Moliwe X (9.1.3)
Zabezpieczenia ISO/IEC 27001:2005, Zacznik A A.5 A.6 A.7 A.8 A.9 Polityka bezpieczeostwa informacji Organizacja bezpieczeostwa informacji Zarzdzanie aktywami Zarzdzanie zasobami ludzkimi Bezpieczeostwo fizyczne i rodowiskowe
A.10 Zarzdzanie systemami i sieciami A.11 Kontrola dostpu Pozyskiwanie, rozwj i utrzymanie systemw informatycznych Zarzdzanie incydentami bezpieczeostwa A.13 informacji A.12 A.14 Zarzdzanie cigoci dziaania A.15 Zgodnod
X (11.3.3) X (12.4.2) X (14.1.3) X (14.1.5)
Metodyka badania wdroenia zabezpieczenia (test techniczny)
Logowanie zdarze na serwerze WIN 2003 (przykad)
Fragment Raportu (przykad)
Niedostatki systemw logowania (Serwery WIN 2003):
A. Brak logowania zdarze systemowych zwizanych z bezpieczestwem (security logs). B. Na serwerach nie s zapisywane dane dotyczce zdarze zwizanych z logowaniem si uytkownikw. C. Logi nie s przechowywane w izolowanym, dedykowanym rodowisku
Fragment Raportu (przykad -2)Zalecenia: Oglne 1. Naley opracowa zasady: definiowania zakresu logowania zdarze, monitorowania logw systemowych okrelania zasad skadowania zapisw z systemw w wydzielonym, chronionym rodowisku, regularnego przegldu logw. Szczegowe 1. Zaleca si wczenie zapisywania w dziennikach systemowych zdarze zwizanych z logowaniem si uytkownikw. 2. Zaleca si przy tym zapisywanie informacji zarwno o udanych, jak i nieudanych prbach zalogowania si.
Wnioski z audytu zabezpiecze dla SZBI
Podsumowanie
Sprawdzenie zgodnoci SZBI z ISO/IEC 27001 obejmuje cay szereg testw technicznych Wnioski z testw technicznych mog okaza si niewystarczajce do oceny wdroenia zabezpieczenia Rekomendacje wynikajce z oceny zabezpiecze mog prowadzi do: Dziaa korygujcych (domknicie czystego modelu PDCA) Koniecznoci przejcia do fazy Plan (szacowanie ryzyka)
Pytania, uwagi, komentarze ...
Dyrektor ds. Audytu Trusted Information Consulting Sp. z o.o. [email protected]