Технологичен семинар Информационна сигурност 22 май 2007 г., хотел Хилтън, зала Мусала 1, София

1. Технологичен семинарИнформационна сигурност22 май 2007 г., хотел Хилтън, зала Мусала 1, София Сертификация на Системи за Управление на Информационната Сигурност ( СУИС / ISMS) Лектор: Сава Сотиров Одитор на СУК съгласно ISO 9000:2000 и СУИС съгласно ISO 27001:2005 Sava@Bulgarian.IT

2. Информационна сигурност: (а) конфиденциалност: осигуряване достъп до информацията само на тези, които имат право на това; (б) неприкосновеност: предпазване точността и пълнотата на информацията и начините за обработката й; (в) достъпност: осигуряване достъп на упълномощените потребители до информацията и на свързаните с нея активи, когато това е необходимо.

3. www.iso.org http://www.irca.org The International Register of Certificated Auditors (IRCA)

4. ISO 27 000 - Международен сертификационен стандарт за системи за управление на информационната сигурност е развит от Британската Стандартизираща Институция (BSI) като BS 7799. Приет е чрез специална “бърза процедура” от JTC 1 /SC 27 (Обединен ISO/IEC Технически Комитет), едновременно с одобрението му от националните членове на ISO и IEC. Тази серия включва в себе си Международните Стандарти, определящи изисванията към системите за управление на информационна сигурност, управление на риска, метрики и измервания, а също така и ръководство за внедряване. Използва се нарастваща схема за номерация, започвайки от ISO 27 000 и за момента продължава до 27 010, по следния списък:

5. ISO 27000 – Принципи и речник (в разработка) Планира се съвместяване със стандартите  COBIT КОБИТ (Control Objectives for Information and related Technology - Критерии за оценка на безопасността в информационните технологии и се използува като основа за оценка на характеристиките за безопасност на продуктите и системите в информационните технологии (ИТ) и е предназначен за практическа употреба в дейността на организациите. КОБИТ се състои от систематизиран каталог изисквания към безопасността на ИТ, реда и методически указания по неговото използуване при формиране на изискванията, разработката, оценката и сертификацията на продукти и системи в ИТ по изискванията за безопасност на информацията. Това е оценъчен стандарт по информационна безопасност) и ITIL (Библиотека за инфраструктурата на ИТ ). Проекта на стандарта се намира в стадий на разработка.

6. ISO 27 001 – ISMS изисквания (BS7799 – Част 2) – 27001:2005 • ISO 27 002 – (ISO/ IEC 17799:2005) Информационни технологии - Практически кодекс по управление на сигурността на информацията. • ISO 27 003 – ISMS Ръководство за приложение (2007) Ръководство за внедряване на системи за управление на информационна сигурност. • ISO 27 004 – ISMS Метрики и измерване Измерване на ефективност в СУИС. Официална версия на стандарта е планирана за 2007 г. • ISO 27 005 – ISMS Управление на риска в СУИС (на база BS 7799-3:2006). Официална версия на стандарта е планирана за 2007 г. • ISO 27 006 ISO/IEC 27006:2007 Информационни технологии. Методи за осигуряване на сигурността. Изисквания към органите за одит и сертификация на системи за управление на информационна сигурност.

7. Стандартите от ISO 27 007 до ISO 27 010 са запазени за бъдещо разширение на обхвата. Основа на стандарта: 39 ( спрямо предишните ) 36 защитни цели ( основни категории сигурност ); 133 ( спрямо предишните ) 127 плана за защитен контрол ( контроли на сигурността ); разделени на 11 ( спрямо предишните ) 10 сфери ( точки за контрол на риска ).

8. Кратък преглед всяка от тези сфери: 1. Политика за сигурност – Осигурява ръководните структури със съвети за подобряване на информационната защита. 2. Организационна Защита – Улесняване на мениджмънта на информационната защита в рамките на организацията. 3. Класификация и контрол на активите – Извършване на инвентаризация и ефективна защита на активите. 4. Защита на персонала – Намаляване на риска от човешка грешка, измама, кражба или неправилна употреба на оборудването.

9. 5. Физичека защита и защита на средата – Предотвратяване на повреждане, нарушаване и неправилно използване на индустриално оборудване и данни. 6. Комуникации и Оперативен мениджмънт – Осигуряване на адекватно и надеждно опериране с информационни механизми. 7. Контрол на достъпа– Контролира достъпа до информацията. 8. Развитие и поддържане на системи – Гаранция че сигурността е инкорпорирана в информационните системи.

10. 9. Управление на инцидентите в Информационната Сигурност (ново) ! 10. Непрекъснатост на бизнеса – намаляване на ефекта от прекъсвания на бизнеса и защита на основните процеси на компанията от провали и злополуки. 11. Съвместимост – Избягване на нарушаване на криминални или граждански закони, на законови или договорни изисквания, и на изисквания за сигурност.

11. Начин на действие - процесен Модел PDCA – цикъл Plan Do Check Act Cycle (PDCA) • Планиране / Plan – разработват се необходимите документи за работата на системата за управление (СУ) • Действие / Do – внедряване на СУ • Проверка / Check – оценка и измерване на дейностите спрямо целите • Усъвършенстане / Act – предприемане на коригиращи и превантивни действия

13. Одити на СУИС • Целта на одита е да открие доказателства за съответствие със стандарта и правилно функциониране на внедрената СУИС. • Видове одити: • Първа страна - вътрешен • Втора страна – партньорски, от заинтересована страна • Трета страна – контролен, сертификационен и ресертификационен от страна на сертифициращата организация

14. Стандарти за извършване на одит: • ISO 19011:2002 (БДС EN ISO 19011:2004) "Указания за одит на системи за управление на качеството и/или за управление на околната среда" – 15 септември 2008 година е края на преходният период за прилагане на ISO 17021:2006. • ISO /IEC 27001:2005, Информационна технология – Техники за сигурност – Системи за управление на информационната сигурност – Изисквания

15. BSISO/IEC 17799:2000, Информационни технологии - Практически кодекс по управление на сигурността на информацията • EA 7/03 guidelines for the accreditation of bodies operating certification / registration of Information Security Management Systems • ISOGuide 73:2000, Управление на риска – Речник – Насоки за употреба в стандарти

16. Акредитирани сертификационни органи, действащи в България по стандарта ISO 27001:2005 към днешна дата са 8 ( осем ) и актуалният им брой може да бъде видян тук: http://www.iso.org/iso/en/info/ISODirectory/Country/country_BG.html AFAQ-ASCERT International (Based in FRANCE) - BVQI (Based in UNITED KINGDOM)- DQS Deutsche Gesellschaft zur Zertifizierung (Based in GERMANY) - EUROCERT S.A. (Based in GREECE)- GLC (Based in GERMANY)- Moody International Certification Limited AOQC (Based in UNITED KINGDOM) - SGS-ICS (Based in SWITZERLAND) - TÜV Cert (Based in GERMANY)

17. Придобиване на стандартите: Български Институт за Стандартизация standards@bds-bg.org, info@bds-bg.orgwww.bds-bg.org Акредитационни организации: Европейската организация за акредитация (ЕА) е: http://www.european-accreditation.org/default_flash.htm Изпълнителна агенция "Българска служба за акредитация" http://www.nab-bas.bg

18. Процес на сертификация: • Проектиране, разработка и внедряване на системата • Одитиране от акредитирна сертифицираща организация ( 3 годишна валидност на сертификата, базирана на равномерно разпределени 6 месечни контролни одити ) • Поддържане и усъвършенстване на системата • Ресертификация от акредитирна сертифицираща организация ( през 3 годишен период ) Промени в изискванията за сертификация: Информация за прехода към ISO 17021:2006 и край на акредитацията по БДС EN 45012:1998 (ISO/IEC GUIDE 62:1996) и ISO/IEC GUIDE 66:1999 Международният форум за акредитация (IAF), след консултация с международната организация по стандартизация (ISO), определи 15 септември 2008 година като край на преходният период за прилагане на ISO 17021:2006. След тази дата сертификати за акредитация издадени съгласно изискванията на БДС EN 45012:1998 (ISO/IEC Guide 62:1996) и ISO/IEC Guide 66:1999 няма да са валидни.

19. Сертификацията отделя компанията от конкуренцията. Наблюдават се и следните предимства, произтичащи от сертифицирането на СУИС: • На организационно ниво Обвързаност: сертификацията служи за гаранция за ефективността на усилията да бъде компанията защитена на всяко ниво, идемонстрира усърдието на администраторите й. • На законово ниво Приложност: сертификацията показва на компетентните власти, че организацията се придържа към всички действащи закони и наредби. В този смисъл, стандартът допълва и е съвместим други съществуващи стандарти и законодателство.

20. На оперативно ниво Мениджмънт на риска: довежда до по-добро разбиране за информационните ситеми, техните слабости и как да бъдат защитавани. Едновременно, подсигурява и в по-голяма степен гарантирана достъпност на едновременно хардуер и данни. • На бизнес ниво Правдоподобност и доверие: партньорите, акционерите и клиентите са подсигурени, виждайки важността, която организацията отдава на защитата на информацията. • На финансово ниво Намалени разходи във връзка с нарушения на сигурността, и възможна редукция на застрахователни разходи. • На човешко ниво Подобрява знанието на персонала по въпросите на сигурността и отговорността им в рамките на организацията.

21. Всичко това създава доверие и увереност във възможностите на организацията да управлява информацията съгласно СУИС. • Постоянно усъвършенстване – Системата от последователни периодични оценки помагат на Организацията да поддържа, проверява и подобрява системата и процесите в организацията. • Докато ISO 17799 очертава най-добрите практики за управление на информац ионната сигурност и създаването на политика за защита, ISO 13 335, наречен още GMITS – Упътвания за мениджмънт на IT сигурността, е неговият “голям брат”. Този стандарт има по-голяма връзка с технологичните аспекти на информацията и добавя информация за разходите към рисковия анализ. Защитните мерки предложени в четвъртата част на ISO 13 335 (Част 4: Избор на защитни механизми) е сравнима с контролните механизми, предложени в ISO 17799. Също така има голяма съвместимост между ISO 17799 и ISO 15408. Вторият, известен повече като Общ Критерий (CC), е сертификация за нивата на защита , постигнати от защитните мерки в информационните системи. По този начин той покрива технически аспекти, докато фокусът на ISO 17799 пада върху организационните и административните аспекти на сигурността.

22. Бъдещето ? Полезни и приложими добри практики и стандарти. • ISO 15408 (CC) сертификация • ISO 13335 (GMITS) ISO 15408 • ISO 18044: Мениджмънт във връзка с инциденти • ISO 17944: Финансови системи • ISO 18028: Мениджмънт на комуникациите • ISO 14516: Защита на Е-търговията • “The Case for ISO 27001” by Alan P. Calder • The ITIL, BS15000 & ISO 20000 • http://www.itil.co.uk/

23. IT service management - ISO 20000 ISO/IEC 20000-1:2005 - Информационни технологии. Сервизен мениджмънт. Част 1. Спецификация (SLA ) ISO/IEC 20000-2:2005 - Информационни технологии. Сервизен мениджмънт. Част 2. Добри практики

24. Библиография • British Standards Institution. BS 7799-2:2002: Information security management systems – specification with guidance for use. London: 2002 • British Standards Institution. PD 3001:2002: Preparing for BS 7799-2 Certification. London. 2002. • British Standards Institution. PD 3002:2002: Guide to BS 7799 Risk Assessment. London: 2002. • British Standards Institution. PD 3003:2002: Are you ready for a BS 7799 Част 2 Audit. London: 2002. • British Standards Institution. PD 3004:2002: Guide to the implementation and auditing of BS 7799 controls. London. 2002é • British Standards Institution. PD 3005:2002: Guide on the selection of BS 7799 Част 2 controls. London. 2002. • Calder, Alan and Steve Watkins. IT Governance, Data Security & BS 7799/ISO 17799 A Manager's Guide to Effective Information Security. London: Kogan Page, 2003. • Международна организация за стандартизация/ Международна електротехническа комисия. • Международен стандарт ISO/IEC 17799: Информационна технология- Практически кодекс за мениджмънт на информационната защита. Женева: ISO, 2000. • Международна организация за стандартизация/ Международна електротехническа комисия. • Международен стандарт ISO/IEC TR 13335-1:1996 Упътвания за мениджмънт на IT защита - Част 1: Концепции и модели за IT защита. Женева: ISO,1996. • Международна организация за стандартизация/ Международна електротехническа комисия. • Международен стандарт ISO/IEC TR 13335-2:1997 Упътвания за мениджмънт на IT защита - Част 2: Управление и планиране на IT защита. Женева: ISO, 1997. • Международна организация за стандартизация/ Международна електротехническа комисия. • Международен стандарт ISO/IEC TR 13335-3:1998 Упътвания за мениджмънт на IT защита - Част 3: Техники за управление на IT сигурност. Женева: ISO, 1998. • Международна организация за стандартизация/ Международна електротехническа комисия. • Международен стандарт ISO/IEC TR 13335-4:2000 Упътвания за мениджмънт на IT защита - Част 4: Селекция предпазни мерки. Женева: ISO, 2000. • Международна организация за стандартизация/ Международна електротехническа комисия. • Международен стандарт ISO/IEC TR 13335-5:2001 Упътвания за мениджмънт на IT защита – Част 5: Упътване за управление на мрежова защита. Женева: ISO, 2001. • Ramakrishnan, Prasanna, CISSP. "Системи за мениджмънт на информационната защита." Сайт за CISSP и SSCP обучение. 2003. CISSP and SSCP. 5 Jan. 2004 <http://www.cccure.org/modules.php?name=Downloads&d_op=viewdownloaddetails&lid=159&ttitle=Information_Security_Mangement_Systems>. • bs7799, iso 17799, bs 7799, мениджмънт на информационната защита, защитна политика, isms, ISO17799, рисков анализ, защитен стандарт, план за избягване на непредвидености, защитен консултант, BS7799 сертификация, bs7799 ревизия, iso 17799 софтуер, bsi • Осъществяване на политика за защита с BS7799 / ISO 17799. BS 7799 / ISO17799 обяснен - BS7799 / ISO 17799 информация, упътване, софтуер и ресурси.

25. Въпроси ?

26. Благодаря за вниманието !

27. Сертификация на Системи за Управление на Информационната Сигурност ( СУИС / ISMS) Лектор: Сава Сотиров Одитор на СУК съгласно ISO 9000:2000 и СУИС съгласно ISO 27001:2005 Sava@Bulgarian.IT