Presentation laddar. Vänta.

Presentation laddar. Vänta.

All rights reserved 1999-2012. - ISO/IEC 27000 seriens standarder som stöd? Outsourcing.

Liknande presentationer


En presentation över ämnet: "All rights reserved 1999-2012. - ISO/IEC 27000 seriens standarder som stöd? Outsourcing."— Presentationens avskrift:

1 All rights reserved 1999-2012

2 - ISO/IEC 27000 seriens standarder som stöd? Outsourcing

3 All rights reserved 1999-2012 Jan Branzell Bakgrund inom bl.a. bilindustri samt papper & massa Arbetar med verksamhetsstyrning och kommunikation Informationssäkerhet sedan år 2000 som VD för Veriscan Security som är inriktat på mätning och införande av informationssäkerhet Varit med i SIS TK för ISO/IEC 27000-serien sedan år 2000 Co-Editor för ISO/IEC 27003 om införande av LIS samt kommande ISO/IEC TR 27016 om IS och ekonomi Ordförande i SIS Arbetsgrupp AG41 kring olika standarder kring införande av säkerhetsåtgärder (ICT Business Continuity, Network security, Incident Management, Outsourcing mm) Stödjer SIS i framtagning och leverans av SIS Informationssäkerhetsakademi

4 All rights reserved 1999-2012 Standarder och Outsourcing - Hållpunkter Vad är outsourcing? Stöd i ISO/IEC 27001 och 27002 Stöd i andra standarder kring säkerhetsåtgärder Molnet och standarder

5 All rights reserved 1999-2012 Vad är outsourcing?

6 All rights reserved 1999-2012 Medvetna parter har goda förutsättningar att göra allting bättre Omedvetna parter löper stor risk att göra något bra sämre och någonting dåligt ännu sämre Risk vid outsourcing? Kan standarder hjälpa till?

7 All rights reserved 1999-2012 27001 LIS 27001 LIS 27006 Ackr. 27002 Guide 27003 Impl. 27004 Mätn. 27005 Risk 27000 Term. Bilaga A 27008 Tech 27007 Rev. ISO/IEC 27001 och 27002 är vår bas

8 All rights reserved 1999-2012 ISO/IEC 27002–Guide (Best Practice) Omfattning Termer och definitioner Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad ISO/IEC 27001– KRAV ”SKALL” Orientering & Omfattning Normativa hänvisningar Termer och definitioner Ledningssystem för informationssäkerhet Ledningens ansvar Ledningens genomgång av LIS Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmåltabell som mappar SS ISO/IEC 27002 Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO 14001 (1996) och ISO 27001 (2005) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning 27001 ISMS 27001 ISMS 27002 Guide ISO 27000 serien - basstandarder

9 All rights reserved 1999-2012 ISO/IEC 27002–Guide (Best Practice) Omfattning Termer och definitioner Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad ISO/IEC 27001– KRAV ”SKALL” Orientering & Omfattning Normativa hänvisningar Termer och definitioner Ledningssystem för informationssäkerhet Ledningens ansvar Ledningens genomgång av LIS Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmåltabell som mappar SS ISO/IEC 27002 Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO 14001 (1996) och ISO 27001 (2005) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning 27001 ISMS 27001 ISMS 27002 Guide Vart hittar vi outsourcing?

10 All rights reserved 1999-2012 ISO/IEC 27001 Annex A 6.2

11 All rights reserved 1999-2012 11 Övrig information Tillhandahåller ytterligare information som kan behöva beaktas, t.ex. juridiska överväganden och referenser till andra standarder. Åtgärd Vägledning Övrig information Mål Säkerhetsåtgärd Definierar den specifika säkerhetsåtgärd som krävs för att tillgodose åtgärdsmålet. Vägledning för införande Tillhandahåller mer detaljerad information ISO/IEC 27002

12 All rights reserved 1999-2012 12 ISO/IEC 27002 Kap 6 och då 6.2

13 All rights reserved 1999-2012 ISO/IEC 27002 Kap 6.2 6.2 Utomstående parter Mål : Att bibehålla säkerheten hos organisationens information och informationsbehandlingsresurser som är åtkomliga för, bearbetas av, kommuniceras till eller hanteras av utomstående parter. Säkerheten hos organisationens information och informationsbehandlingsresurser bör inte minskas genom introduktion av utomstående parters produkter eller tjänster. All åtkomst till organisationens informationsbehandlingsresurser liksom utomståendes bearbetning och kommunikation av information bör styras. Där verksamhetsbehov finns för att arbeta med utomstående parter som kan kräva åtkomst till organisationens information och informationsbehandlingsresurser eller att erhålla eller lämna en produkt eller tjänst från eller till en utomstående part, bör en riskbedömning göras. Riskbedömningen görs för att avgöra säkerhetskonsekvenser och behov av styrning. Säkerhetsåtgärder bör överenskommas och definieras i en överenskommelse med den utomstående parten.

14 All rights reserved 1999-2012 Exempel med utdrag från ISO/EC 27002 6.2.1 Identifiering av risker med utomstående parter Säkerhetsåtgärd Riskerna för organisationens information och informationsbehandlingsresurser i verksamhetsprocesser där utomstående parter är involverade bör identifieras och lämpliga säkerhetsåtgärder införas innan åtkomst beviljas. Vägledning för införande Där det finns behov av att tillåta en utomstående part att ha åtkomst till informationsbehandlingsresurser eller information i en organisation bör en riskbedömning (se även avsnitt 4) utföras för att identifiera eventuella krav på särskilda säkerhetsåtgärder. Vid identifieringen av risker vid utomståendes åtkomst bör följande faktorer beaktas: a) de informationsbehandlingsresurser som den utomstående parten behöver få åtkomst till b) den typ av åtkomst som den utomstående kommer att ha till information och informationsbehandlingsresurser, t.ex. 1) fysisk åtkomst, t.ex. till kontorsutrymmen, datorrum, arkiv 2) logisk åtkomst, t.ex. till en organisations databaser, informationssystem 3) nätverkskoppling mellan organisationens och den utomstående partens nätverk, t.ex. permanent uppkoppling, fjärråtkomst 4) om åtkomsten äger rum inom eller utanför organisationens lokaler OSV……….

15 All rights reserved 1999-2012 Men…… Vi hittar alltså stöd i ISO/IEC 27002

16 All rights reserved 1999-2012 Vad gäller hantering av övriga säkerhetsåtgärder?

17 All rights reserved 1999-2012 Det betyder! Att övriga ”relevanta” säkerhetsåtgärderna i ISO/IEC 27002 gäller! Att för att uppnå målen när det gäller säkerhetsåtgärderna så är kraven minst lika höga på outsourcing partnern som om det varit den egna organisationen Snarare så har ett beroende uppstått till en annan organisation som i sig utgör en risk Men vi kan också ha reducerat andra risker – Som vadå?

18 All rights reserved 1999-2012 Steg 1 är alltså att nyttja ISO/IEC 27002 som bas Säkerhetsåtgärderna skall vara adresserade (kravställda) i avtalet med den andra parten Säkerhet som “Non Functional Requirements” bör mao vara borta Vissa säkerhetsåtgärder och risk mitigering tas över av outsourcing parten – T.ex. risker vid Back Up tagning, risk DoS attacker Men ansvaret att kontrollera betyder ytterligare aktiviteter för uppföljning och kontroll som t.ex. revision, mätning och även riskstatus som återrapporteras inom ramen för LIS (ISO/IEC 27001)

19 All rights reserved 1999-2012 Hur gör vi det? Teoretiskt enkelt – Praktiskt inte lika enkelt…. 133 säkerhetsåtgärder skall omsättas till krav i avtalet Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad Vad outsourcas till vem av vem? Appendix A + Motsvarande i ISO/IEC 27002

20 All rights reserved 1999-2012 ATT Outsourcing Parten är ISO/IEC 27001 Certifierade Kontrollera omfattning och avgränsningar samt SoA* enligt ISO/IEC 27001 Analysera prestanda/hantering vissa säkerhetsåtgärder utifrån ISO/IEC 27002 Sök gärna ytterligare tredje parts information Den första förenklade slutsatsen att nyttja standarder *) SoA = Statement of Applicability, dvs. vilka säkerhetsåtgärder man har certifierat

21 All rights reserved 1999-2012 Men vi vill ha mer samarbete! Speciellt om det gäller ICT Outsourcing Incidentprocessen Kontinuitetsplanering Riskrapportering “CHANGE” –Egna processer –Outsourcing partnerns process Livscykel problematik Forensics MMMMM? Kan vi finna mer stöd i ISO 27000 serien av standarder?

22 All rights reserved 1999-2012 27001 ISMS 27001 ISMS 27006 Accr. 27002 Guide 27003 Impl. 27004 Measure ment 27005 Risk 27000 Term. Annex A 27008 Tech 27007 Rev. Dom här?

23 All rights reserved 1999-2012 27001 ISMS 27001 ISMS 27006 Accr. 27002 Guide 27003 Impl. 27004 Measure ment 27005 Risk 27000 Term. Annex A 27008 Tech 27007 Rev. En bubblare? …”Vi kör ITIL” 27013 Om 27001 & 20000

24 All rights reserved 1999-2012 ISO/IEC 27013 om 27001 och 20000

25 All rights reserved 1999-2012 27031 ICT readiness for BCM Dom här fördjupningarna? 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27034 Application security Flera delar 27033 Network security Flera delar KLARA! Under utveckling 27036 Outsourcing Flera delar 27040 Storage JAPP – Begrepp & Processer kan vara ett bra underlag för standardiserad samverkan

26 All rights reserved 1999-2012 27031 ICT readiness for BCM Vad till vad? 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27034 Application security 27033 Network security Stödja att målen för verksamheten är de samma när det gäller ICT – klarar man dem för BCP? 27036 Outsourcing Flera delar 27040 Storage

27 All rights reserved 1999-2012 ISO/IEC 27031 ICT Readiness for Business Continuity ISO/IEC 27002

28 All rights reserved 1999-2012 27031 ICT readiness for BCM Vad till vad? 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27034 Application security 27033 Network security Nätverkssäkerhet är bas för all ICT säkerhet. Det som står här skall outsourcing leverantören ha koll på. En sådan självklarhet att den kanske inte behövs? 27040 Storage 27036 Outsourcing Flera delar

29 All rights reserved 1999-2012 29 ISO/IEC 27002 ISO/IEC 27033 Nätverkssäkerhet OBS Delvis UNDER UTVECKLING Valt exempel ur kap 11

30 All rights reserved 1999-2012 Nätverkssäkerhet är grundläggande och det märks…. 27033-1 Overview and Concept 27033-2 Design och införande 27033-4 Nät-koppling via Secure Gateways 27033-3 Risk scenarier och säkerhets- åtgärder 27033-5 VPN kommunikation 27033-6 Trådlöst 2wdDIS

31 All rights reserved 1999-2012 27031 ICT readiness for BCM Vad till vad? 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27034 Application security 27033 Network security Om man har lagt ut sin applikationsutveckling så finns det stöd för hur säkerhet bör hanteras i processen 27040 Storage 27036 Outsourcing Flera delar

32 All rights reserved 1999-2012 32 ISO/IEC 27002 ISO/IEC 27034 Applikationssäkerhet OBS Delvis UNDER UTVECKLING

33 All rights reserved 1999-2012 27034 “Applikations -säkerhet”

34 All rights reserved 1999-2012 27031 ICT readiness for BCM Vad till vad? 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27034 Application security 27033 Network security Vad är en incident? Vem rapporterar vad till vem? Hur eskalerar man till ev BCM läge? Osv….. 27036 Outsourcing Flera delar 27040 Storage

35 All rights reserved 1999-2012 ISO/IEC 27002 ISO/IEC 27035 “Incident”

36 All rights reserved 1999-2012 ISO/IEC 27035 Basic structure 1 Plan and prepare phase 2 Detection and reporting phase 3 Assessment and decision phase 4 Responses phase 5 Lessons learnt phase Annex A Example Approaches to the Categorization and Classification of Information Security Events and Incidents Annex B Examples of Information Security Incidents and their Causes Annex C Example Information Security Event, Incident and Vulnerability Reports and Forms Annex D Cross Reference Table of ISO/IEC 27001/27002 vs ISO/IEC 27035 Annex E Legal and Regulatory Aspects

37 All rights reserved 1999-2012 27036 Outsourcing Flera delar 27031 ICT readiness for BCM Vad till vad? 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27034 Application security 27033 Network security Hela livscykel perspektivet. Brett angreppssätt. Flera delar… 27040 Storage

38 All rights reserved 1999-2012 38 ISO/IEC 27036 Outsorcing OBS UNDER UTVECKLING ISO/IEC 27002 Kap 6

39 All rights reserved 1999-2012 ISO/IEC 27036 Structure Definitions Problem Definition Threat Landscape Overview of other parts (e.g. framework part 2) Part 1 (Overview and Concepts) (15 pages) ICT Supply Chain Security Part 2 (Common Requirements) 20 pages) Part 3 (Guidelines for ICT Supply Chain) (25 pages) High level and general Generic “Guide” Detailed and Specific “Guide” Provider and Supplier Characteristics Related Threats Relationship Management Framework - Governance; Lifecycle Processes; Requirements Statements Problem Definition Threat Landscape Provider and Supplier Characteristics Related Threats OBS UNDER UTVECKLING

40 All rights reserved 1999-2012 27040 Storage 27031 ICT readiness for BCM Vad till vad? 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27034 Application security 27033 Network security Vad gäller här? Vet vi det? Vet outsourcing partnern det? Hur kan vi lära om digitala bevis? 27036 Outsourcing Flera delar

41 All rights reserved 1999-2012 Exempel från ISO/IEC 27037 “Forensics”

42 All rights reserved 1999-2012 27040 Storage 27031 ICT readiness for BCM Vad till vad? 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27034 Application security 27033 Network security Lagring och destruktion beror på informationen.Vet outsourcing partnern det? Hur kan vi följa upp det här? 27036 Outsourcing Flera delar

43 All rights reserved 1999-2012 Exempel från ISO/IEC 27037 “Storage” OBS UNDER UTVECKLING

44 All rights reserved 1999-2012 ATT båda parter tar stöd i andra standarder för att samverka inom områden som är viktiga för informationssäkerheten inom ramen för avtalet Den andra förenklade slutsatsen att nyttja standarder

45 All rights reserved 1999-2012 Glömt något?

46 All rights reserved 1999-2012 OUTSOURCING?

47 All rights reserved 1999-2012 ISO/IEC 17788/WD (vocabulary) and ISO/IEC 17789/WD (Reference Architecture) ISO/IEC 27017 Cloud Specific Control ISO/IEC 27036-5 (New) Guidelines for Security of Cloud Services ISO/IEC 27018 Data Protection Controls ISO/IEC 27036-2 Common Requirements Structure of Standards related to Cloud Computing security and privacy in SC27 ISO/IEC 27002

48 All rights reserved 1999-2012 Current status on ISO/IEC 27036-5 - 4 ISO SC27 Meeting Rome Oct. 25 2012 Koji Nakao and Adrian Davis Co-Editors of 27036-5

49 All rights reserved 1999-2012 A New Part of 27036 – Rome Oct 2012 Title: Guidelines for Security of Cloud Services Scope statement: This part of international standard ISO/IEC 27036 provides guidelines for information security of cloud services throughout the supply chain from the perspective of both the acquirer and supplier of such services. Specifically, it involves gaining visibility into and managing the information security risks associated with cloud services throughout the lifecycle.

50 All rights reserved 1999-2012 Current “Scope” – Rome Oct 2012 This part of international standard ISO/IEC 27036 provides cloud service acquirers and suppliers with guidance on: gaining visibility into and managing the information security risks caused by using cloud services; Integrating information security processes and practices into the cloud –based product and service lifecycle processes, described in ISO/IEC 15288 and ISO/IEC 12207 while supporting information security controls, described in ISO/IEC 27002; responding to risks specific to the acquisition or provision of cloud-based services that can have an information security impact on organisations using these services. This part of ISO/IEC 27036 does not include business continuity management/resiliency issues involved with the cloud service. ISO/IEC 27031 addresses business continuity.

51 All rights reserved 1999-2012 Men fortfarande lite dimmigt NBTypeCommentResolution SE 1GeIn order to provide comments in the right context we see a need to further define Cloud services and in what way it is different to outsourcing of ICT in general terms. We see this standard as focusing on Cloud Services specific and the distinction requested is not only to review this document but also to avoid repletion of texts in the other parts of ISO/IEC 27036. We do understand that this definition may have an impact on other Cloud related standard work within SC27 but we see that this document is where the overlap and confusion can rely create problems. A clarification will be most welcome not only for the document but for the market. Please see SE2 for our standpoint and view to discuss. Accepted in principle Discuss in meeting

52 All rights reserved 1999-2012 Current: PD stage – Rome Oct 2012 The PD (Preliminary Draft text) was produced by the editors and has been reviewed by NBs. 84 comments (general, technical and editorial) received for the PD. Work items (to be discussed in this meeting): - Remove parts which are not related to cloud security; - Relationship with 27017/27018 should be clarified; - Consider further detailed cloud security issues; - etc.

53 All rights reserved 1999-2012 Liaisons – Rome Oct 2012 The meeting agreed to liaize with the following SDOs: - SC38 - ITU-T JCA Cloud (SG13 and SG17) - SC7 - CSA and ISF

54 All rights reserved 1999-2012 ISO/IEC 27036 - 4 Cloud Services ISO/IEC 27017 (”27002 för Cloud”)

55 All rights reserved 1999-2012 Tackar och gärna frågor! “Now this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.” W. Churchill


Ladda ner ppt "All rights reserved 1999-2012. - ISO/IEC 27000 seriens standarder som stöd? Outsourcing."

Liknande presentationer


Google-annonser