1 / 55

- ISO/IEC 27000 seriens standarder som stöd ?

Outsourcing. - ISO/IEC 27000 seriens standarder som stöd ?. Jan Branzell. Bakgrund inom bl.a. bilindustri samt papper & massa Arbetar med verksamhetsstyrning och kommunikation

dennis
Télécharger la présentation

- ISO/IEC 27000 seriens standarder som stöd ?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Outsourcing - ISO/IEC 27000 seriensstandardersomstöd?

  2. Jan Branzell • Bakgrund inom bl.a. bilindustri samt papper & massa • Arbetar med verksamhetsstyrning och kommunikation • Informationssäkerhet sedan år 2000 som VD för Veriscan Security som är inriktat på mätning och införande av informationssäkerhet • Varit med i SIS TK för ISO/IEC 27000-serien sedan år 2000 • Co-Editor för ISO/IEC 27003 om införande av LIS samt kommande ISO/IEC TR 27016 om IS och ekonomi • Ordförande i SIS Arbetsgrupp AG41 kring olika standarder kring införande av säkerhetsåtgärder (ICT Business Continuity, Network security, Incident Management , Outsourcing mm) • Stödjer SIS i framtagning och leverans av SIS Informationssäkerhetsakademi

  3. Standarder och Outsourcing -Hållpunkter • Vad är outsourcing? • Stöd i ISO/IEC 27001 och 27002 • Stöd i andra standarder kring säkerhetsåtgärder • Molnet och standarder

  4. Vadär outsourcing?

  5. Risk vid outsourcing? Medvetna parter har goda förutsättningar att göra allting bättre Omedvetna parter löper stor risk att göra något bra sämre och någonting dåligt ännu sämre Kan standarder hjälpa till?

  6. ISO/IEC 27001 och 27002 ärvår bas 27002 Guide 27001 LIS 27006 Ackr. 27003 Impl. 27004 Mätn. 27005 Risk 27007 Rev. 27008 Tech Bilaga A 27000 Term.

  7. ISO/IEC 27002–Guide (Best Practice) Omfattning Termer och definitioner Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad ISO 27000 serien - basstandarder 27001 ISMS 27002 Guide ISO/IEC 27001– KRAV ”SKALL” Orientering & Omfattning Normativa hänvisningar Termer och definitioner Ledningssystem för informationssäkerhet Ledningens ansvar Ledningens genomgång av LIS Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmåltabell som mappar SS ISO/IEC 27002 Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO 14001 (1996) och ISO 27001 (2005) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning

  8. ISO/IEC 27002–Guide (Best Practice) Omfattning Termer och definitioner Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad Varthittar vi outsourcing? 27001 ISMS 27002 Guide ISO/IEC 27001– KRAV ”SKALL” Orientering & Omfattning Normativa hänvisningar Termer och definitioner Ledningssystem för informationssäkerhet Ledningens ansvar Ledningens genomgång av LIS Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmåltabell som mappar SS ISO/IEC 27002 Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO 14001 (1996) och ISO 27001 (2005) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning

  9. ISO/IEC 27001 Annex A 6.2

  10. ISO/IEC 27002 Mål Åtgärd Säkerhetsåtgärd Definierar den specifika säkerhetsåtgärd som krävs för att tillgodose åtgärdsmålet. Vägledning Vägledning för införande Tillhandahåller mer detaljerad information Övrig information Övrig information Tillhandahåller ytterligare information som kan behöva beaktas, t.ex. juridiska överväganden och referenser till andra standarder.

  11. ISO/IEC 27002 Kap 6 ochdå 6.2

  12. ISO/IEC 27002 Kap 6.2 6.2 Utomstående parter Mål : Att bibehålla säkerheten hos organisationens information och informationsbehandlingsresurser som är åtkomliga för, bearbetas av, kommuniceras till eller hanteras av utomstående parter. Säkerheten hos organisationens information och informationsbehandlingsresurser bör inte minskas genom introduktion av utomstående parters produkter eller tjänster. All åtkomst till organisationens informationsbehandlingsresurser liksom utomståendes bearbetning och kommunikation av information bör styras. Där verksamhetsbehov finns för att arbeta med utomstående parter som kan kräva åtkomst till organisationens information och informationsbehandlingsresurser eller att erhålla eller lämna en produkt eller tjänst från eller till en utomstående part, bör en riskbedömning göras. Riskbedömningen görs för att avgöra säkerhetskonsekvenser och behov av styrning. Säkerhetsåtgärder bör överenskommas och definieras i en överenskommelse med den utomstående parten.

  13. Exempel med utdrag från ISO/EC 27002 6.2.1 Identifiering av risker med utomstående parter Säkerhetsåtgärd Riskerna för organisationens information och informationsbehandlingsresurser i verksamhetsprocesser där utomstående parter är involverade bör identifieras och lämpliga säkerhetsåtgärder införas innan åtkomst beviljas. Vägledning för införande Där det finns behov av att tillåta en utomstående part att ha åtkomst till informationsbehandlingsresurser eller information i en organisation bör en riskbedömning (se även avsnitt 4) utföras för att identifiera eventuella krav på särskilda säkerhetsåtgärder. Vid identifieringen av risker vid utomståendes åtkomst bör följande faktorer beaktas: a) de informationsbehandlingsresurser som den utomstående parten behöver få åtkomst till b) den typ av åtkomst som den utomstående kommer att ha till information och informationsbehandlingsresurser, t.ex. 1) fysisk åtkomst, t.ex. till kontorsutrymmen, datorrum, arkiv 2) logisk åtkomst, t.ex. till en organisations databaser, informationssystem 3) nätverkskoppling mellan organisationens och den utomstående partens nätverk, t.ex. permanent uppkoppling, fjärråtkomst 4) om åtkomsten äger rum inom eller utanför organisationens lokaler OSV……….

  14. Vi hittar alltså stöd i ISO/IEC 27002 Men……

  15. Vad gäller hantering av övriga säkerhetsåtgärder?

  16. Detbetyder! • Att övriga ”relevanta” säkerhetsåtgärderna i ISO/IEC 27002 gäller! • Att för att uppnå målen när det gäller säkerhetsåtgärderna så är kraven minst lika höga på outsourcing partnern som om det varit den egna organisationen • Snarare så har ett beroende uppstått till en annan organisation som i sig utgör en risk • Men vi kan också ha reducerat andra risker – Som vadå?

  17. Steg 1 är alltså att nyttja ISO/IEC 27002 som bas • Säkerhetsåtgärderna skall vara adresserade (kravställda) i avtalet med den andra parten • Säkerhet som “Non FunctionalRequirements” bör mao vara borta • Vissa säkerhetsåtgärder och risk mitigering tas över av outsourcing parten – T.ex. risker vid Back Up tagning, risk DoS attacker • Men ansvaret att kontrollera betyder ytterligare aktiviteter för uppföljning och kontroll som t.ex. revision, mätning och även riskstatus som återrapporteras inom ramen för LIS (ISO/IEC 27001)

  18. Hurgör vi det? Teoretisktenkelt – Praktisktintelikaenkelt…. 133 säkerhetsåtgärder skall omsättas till krav i avtalet Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad Appendix A + Motsvarande i ISO/IEC 27002 Vadoutsourcas till vemavvem?

  19. Den första förenklade slutsatsen att nyttja standarder ATT Outsourcing Parten är ISO/IEC 27001 Certifierade Kontrollera omfattning och avgränsningar samt SoA* enligt ISO/IEC 27001 Analysera prestanda/hantering vissa säkerhetsåtgärder utifrån ISO/IEC 27002 Sök gärna ytterligare tredje parts information *) SoA = Statement of Applicability, dvs. vilka säkerhetsåtgärder man har certifierat

  20. Men vi vill ha mer samarbete!Speciellt om det gäller ICT Outsourcing • Incidentprocessen • Kontinuitetsplanering • Riskrapportering • “CHANGE” • Egna processer • Outsourcing partnerns process • Livscykel problematik • Forensics • MMMMM? • Kan vi finna mer stöd i ISO 27000 serien av standarder?

  21. Dom här? 27002 Guide 27001 ISMS 27006 Accr. 27003 Impl. 27004 Measurement Annex A 27005 Risk 27007 Rev. 27008 Tech 27000 Term.

  22. En bubblare? …”Vi kör ITIL” 27013 Om 27001 & 20000 27002 Guide 27001 ISMS 27006 Accr. 27003 Impl. 27004 Measurement Annex A 27005 Risk 27007 Rev. 27008 Tech 27000 Term.

  23. ISO/IEC 27013 om 27001 och 20000

  24. Dom här fördjupningarna? KLARA! Under utveckling 27031 ICT readiness for BCM 27033 Network security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27034 Applicationsecurity 27033 Network security Flera delar 27034 Applicationsecurity Flera delar 27036 Outsourcing Flera delar JAPP – Begrepp & Processer kan vara ett bra underlag för standardiserad samverkan

  25. Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27034 Applicationsecurity 27033 Network security 27034 Applicationsecurity 27036 Outsourcing Flera delar Stödja att målen för verksamheten är de samma när det gäller ICT – klarar man dem för BCP?

  26. ISO/IEC 27002 ISO/IEC 27031 ICT Readiness for Business Continuity

  27. Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27034 Applicationsecurity 27033 Network security 27034 Applicationsecurity 27036 Outsourcing Flera delar Nätverkssäkerhet är bas för all ICT säkerhet. Det som står här skall outsourcing leverantören ha koll på. En sådan självklarhet att den kanske inte behövs?

  28. ISO/IEC 27002 Valt exempel ur kap 11 ISO/IEC 27033 Nätverkssäkerhet OBS Delvis UNDER UTVECKLING

  29. Nätverkssäkerhet är grundläggande och det märks…. DIS DIS 2wd 27033-1 Overview and Concept 27033-2 Design och införande 27033-3 Risk scenarier och säkerhets-åtgärder 27033-4 Nät-koppling via Secure Gateways 27033-5 VPN kommunikation 27033-6 Trådlöst

  30. Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27034 Applicationsecurity 27033 Network security 27034 Applicationsecurity 27036 Outsourcing Flera delar Om man har lagt ut sin applikationsutveckling så finns det stöd för hur säkerhet bör hanteras i processen

  31. ISO/IEC 27002 ISO/IEC 27034 Applikationssäkerhet OBS Delvis UNDER UTVECKLING

  32. 27034 “Applikations-säkerhet”

  33. Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27034 Applicationsecurity 27033 Network security 27034 Applicationsecurity 27036 Outsourcing Flera delar Vad är en incident? Vem rapporterar vad till vem? Hur eskalerar man till ev BCM läge? Osv…..

  34. ISO/IEC 27002 ISO/IEC 27035 “Incident”

  35. ISO/IEC 27035 Basic structure 1 Plan and prepare phase 2 Detection and reporting phase 3 Assessment and decision phase 4 Responses phase 5 Lessons learnt phase Annex A Example Approaches to the Categorization and Classification of Information Security Events and Incidents Annex B Examples of Information Security Incidents and their Causes Annex C Example Information Security Event, Incident and Vulnerability Reports and Forms Annex D Cross Reference Table of ISO/IEC 27001/27002 vs ISO/IEC 27035 Annex E Legal and Regulatory Aspects

  36. Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27034 Applicationsecurity 27033 Network security 27034 Applicationsecurity 27036 Outsourcing Flera delar Hela livscykel perspektivet. Brett angreppssätt. Flera delar…

  37. ISO/IEC 27002 Kap 6 ISO/IEC 27036 Outsorcing OBS UNDER UTVECKLING

  38. ISO/IEC 27036 Structure Part 1 (Overview and Concepts) (15 pages) Part 2 (Common Requirements)20 pages) Part 3 (Guidelines for ICT Supply Chain) (25 pages) Problem Definition Definitions Threat Landscape Problem Definition RelationshipManagement Framework - Governance; Lifecycle Processes; Requirements Statements Provider and Supplier Characteristics Related Threats Threat Landscape Provider and Supplier Characteristics Related Threats ICT Supply Chain Security Generic “Guide” Detailed and Specific “Guide” Overview of other parts (e.g. framework part 2) OBS UNDER UTVECKLING High level and general

  39. Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27034 Applicationsecurity 27033 Network security 27034 Applicationsecurity 27036 Outsourcing Flera delar Vadgällerhär? Vet vi det? Vet outsourcing partnerndet? Hurkan vi läraomdigitalabevis?

  40. Exempelfrån ISO/IEC 27037 “Forensics”

  41. Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27034 Applicationsecurity 27033 Network security 27034 Applicationsecurity 27036 Outsourcing Flera delar Lagring och destruktion beror på informationen.Vet outsourcing partnern det? Hur kan vi följa upp det här?

  42. Exempelfrån ISO/IEC 27037 “Storage” OBS UNDER UTVECKLING

  43. Den andra förenklade slutsatsen att nyttja standarder ATT båda parter tar stöd i andra standarder för att samverka inom områden som är viktiga för informationssäkerheten inom ramen för avtalet

  44. Glömtnågot?

  45. OUTSOURCING?

  46. Structure of Standards related to Cloud Computing security and privacy in SC27 SC27 ISO/IEC 27002 ISO/IEC 27036-2Common Requirements WG4 WG1 WG5 ISO/IEC 27036-5 (New)Guidelines for Security of Cloud Services ISO/IEC 27017Cloud Specific Control ISO/IEC 27018Data Protection Controls ISO/IEC 17788/WD (vocabulary) and ISO/IEC 17789/WD (Reference Architecture) SC38

  47. Current status on ISO/IEC 27036-5 - 4ISO SC27 Meeting Rome Oct. 25 2012 Koji Nakao and Adrian Davis Co-Editors of 27036-5

  48. Title: Guidelines for Security of Cloud Services Scope statement:This part of international standard ISO/IEC 27036 provides guidelines for information security of cloud services throughout the supply chain from the perspective of both the acquirer and supplier of such services. Specifically, it involves gaining visibility into and managing the information security risks associated with cloud services throughout the lifecycle. A New Part of 27036 – Rome Oct 2012

  49. This part of international standard ISO/IEC 27036 provides cloud service acquirers and suppliers with guidance on: gaining visibility into and managing the information security risks caused by using cloud services; Integrating information security processes and practices into the cloud –based product and service lifecycle processes, described in ISO/IEC 15288 and ISO/IEC 12207 while supporting information security controls, described in ISO/IEC 27002; responding to risks specific to the acquisition or provision of cloud-based services that can have an information security impact on organisations using these services. This part of ISO/IEC 27036 does not include business continuity management/resiliency issues involved with the cloud service. ISO/IEC 27031 addresses business continuity. Current “Scope” – Rome Oct 2012

More Related