Presentation laddar. Vänta.

Presentation laddar. Vänta.

All rights reserved 1999-2012. - ISO/IEC 27000 seriens standarder som stöd? Outsourcing.

Liknande presentationer


En presentation över ämnet: "All rights reserved 1999-2012. - ISO/IEC 27000 seriens standarder som stöd? Outsourcing."— Presentationens avskrift:

1 All rights reserved

2 - ISO/IEC seriens standarder som stöd? Outsourcing

3 All rights reserved Jan Branzell Bakgrund inom bl.a. bilindustri samt papper & massa Arbetar med verksamhetsstyrning och kommunikation Informationssäkerhet sedan år 2000 som VD för Veriscan Security som är inriktat på mätning och införande av informationssäkerhet Varit med i SIS TK för ISO/IEC serien sedan år 2000 Co-Editor för ISO/IEC om införande av LIS samt kommande ISO/IEC TR om IS och ekonomi Ordförande i SIS Arbetsgrupp AG41 kring olika standarder kring införande av säkerhetsåtgärder (ICT Business Continuity, Network security, Incident Management, Outsourcing mm) Stödjer SIS i framtagning och leverans av SIS Informationssäkerhetsakademi

4 All rights reserved Standarder och Outsourcing - Hållpunkter Vad är outsourcing? Stöd i ISO/IEC och Stöd i andra standarder kring säkerhetsåtgärder Molnet och standarder

5 All rights reserved Vad är outsourcing?

6 All rights reserved Medvetna parter har goda förutsättningar att göra allting bättre Omedvetna parter löper stor risk att göra något bra sämre och någonting dåligt ännu sämre Risk vid outsourcing? Kan standarder hjälpa till?

7 All rights reserved LIS LIS Ackr Guide Impl Mätn Risk Term. Bilaga A Tech Rev. ISO/IEC och är vår bas

8 All rights reserved ISO/IEC 27002–Guide (Best Practice) Omfattning Termer och definitioner Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad ISO/IEC 27001– KRAV ”SKALL” Orientering & Omfattning Normativa hänvisningar Termer och definitioner Ledningssystem för informationssäkerhet Ledningens ansvar Ledningens genomgång av LIS Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmåltabell som mappar SS ISO/IEC Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO (1996) och ISO (2005) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning ISMS ISMS Guide ISO serien - basstandarder

9 All rights reserved ISO/IEC 27002–Guide (Best Practice) Omfattning Termer och definitioner Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad ISO/IEC 27001– KRAV ”SKALL” Orientering & Omfattning Normativa hänvisningar Termer och definitioner Ledningssystem för informationssäkerhet Ledningens ansvar Ledningens genomgång av LIS Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmåltabell som mappar SS ISO/IEC Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO (1996) och ISO (2005) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning ISMS ISMS Guide Vart hittar vi outsourcing?

10 All rights reserved ISO/IEC Annex A 6.2

11 All rights reserved Övrig information Tillhandahåller ytterligare information som kan behöva beaktas, t.ex. juridiska överväganden och referenser till andra standarder. Åtgärd Vägledning Övrig information Mål Säkerhetsåtgärd Definierar den specifika säkerhetsåtgärd som krävs för att tillgodose åtgärdsmålet. Vägledning för införande Tillhandahåller mer detaljerad information ISO/IEC 27002

12 All rights reserved ISO/IEC Kap 6 och då 6.2

13 All rights reserved ISO/IEC Kap Utomstående parter Mål : Att bibehålla säkerheten hos organisationens information och informationsbehandlingsresurser som är åtkomliga för, bearbetas av, kommuniceras till eller hanteras av utomstående parter. Säkerheten hos organisationens information och informationsbehandlingsresurser bör inte minskas genom introduktion av utomstående parters produkter eller tjänster. All åtkomst till organisationens informationsbehandlingsresurser liksom utomståendes bearbetning och kommunikation av information bör styras. Där verksamhetsbehov finns för att arbeta med utomstående parter som kan kräva åtkomst till organisationens information och informationsbehandlingsresurser eller att erhålla eller lämna en produkt eller tjänst från eller till en utomstående part, bör en riskbedömning göras. Riskbedömningen görs för att avgöra säkerhetskonsekvenser och behov av styrning. Säkerhetsåtgärder bör överenskommas och definieras i en överenskommelse med den utomstående parten.

14 All rights reserved Exempel med utdrag från ISO/EC Identifiering av risker med utomstående parter Säkerhetsåtgärd Riskerna för organisationens information och informationsbehandlingsresurser i verksamhetsprocesser där utomstående parter är involverade bör identifieras och lämpliga säkerhetsåtgärder införas innan åtkomst beviljas. Vägledning för införande Där det finns behov av att tillåta en utomstående part att ha åtkomst till informationsbehandlingsresurser eller information i en organisation bör en riskbedömning (se även avsnitt 4) utföras för att identifiera eventuella krav på särskilda säkerhetsåtgärder. Vid identifieringen av risker vid utomståendes åtkomst bör följande faktorer beaktas: a) de informationsbehandlingsresurser som den utomstående parten behöver få åtkomst till b) den typ av åtkomst som den utomstående kommer att ha till information och informationsbehandlingsresurser, t.ex. 1) fysisk åtkomst, t.ex. till kontorsutrymmen, datorrum, arkiv 2) logisk åtkomst, t.ex. till en organisations databaser, informationssystem 3) nätverkskoppling mellan organisationens och den utomstående partens nätverk, t.ex. permanent uppkoppling, fjärråtkomst 4) om åtkomsten äger rum inom eller utanför organisationens lokaler OSV……….

15 All rights reserved Men…… Vi hittar alltså stöd i ISO/IEC 27002

16 All rights reserved Vad gäller hantering av övriga säkerhetsåtgärder?

17 All rights reserved Det betyder! Att övriga ”relevanta” säkerhetsåtgärderna i ISO/IEC gäller! Att för att uppnå målen när det gäller säkerhetsåtgärderna så är kraven minst lika höga på outsourcing partnern som om det varit den egna organisationen Snarare så har ett beroende uppstått till en annan organisation som i sig utgör en risk Men vi kan också ha reducerat andra risker – Som vadå?

18 All rights reserved Steg 1 är alltså att nyttja ISO/IEC som bas Säkerhetsåtgärderna skall vara adresserade (kravställda) i avtalet med den andra parten Säkerhet som “Non Functional Requirements” bör mao vara borta Vissa säkerhetsåtgärder och risk mitigering tas över av outsourcing parten – T.ex. risker vid Back Up tagning, risk DoS attacker Men ansvaret att kontrollera betyder ytterligare aktiviteter för uppföljning och kontroll som t.ex. revision, mätning och även riskstatus som återrapporteras inom ramen för LIS (ISO/IEC 27001)

19 All rights reserved Hur gör vi det? Teoretiskt enkelt – Praktiskt inte lika enkelt…. 133 säkerhetsåtgärder skall omsättas till krav i avtalet Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad Vad outsourcas till vem av vem? Appendix A + Motsvarande i ISO/IEC 27002

20 All rights reserved ATT Outsourcing Parten är ISO/IEC Certifierade Kontrollera omfattning och avgränsningar samt SoA* enligt ISO/IEC Analysera prestanda/hantering vissa säkerhetsåtgärder utifrån ISO/IEC Sök gärna ytterligare tredje parts information Den första förenklade slutsatsen att nyttja standarder *) SoA = Statement of Applicability, dvs. vilka säkerhetsåtgärder man har certifierat

21 All rights reserved Men vi vill ha mer samarbete! Speciellt om det gäller ICT Outsourcing Incidentprocessen Kontinuitetsplanering Riskrapportering “CHANGE” –Egna processer –Outsourcing partnerns process Livscykel problematik Forensics MMMMM? Kan vi finna mer stöd i ISO serien av standarder?

22 All rights reserved ISMS ISMS Accr Guide Impl Measure ment Risk Term. Annex A Tech Rev. Dom här?

23 All rights reserved ISMS ISMS Accr Guide Impl Measure ment Risk Term. Annex A Tech Rev. En bubblare? …”Vi kör ITIL” Om & 20000

24 All rights reserved ISO/IEC om och 20000

25 All rights reserved ICT readiness for BCM Dom här fördjupningarna? Network security Application security Incident Management Outsourcing Forensics Application security Flera delar Network security Flera delar KLARA! Under utveckling Outsourcing Flera delar Storage JAPP – Begrepp & Processer kan vara ett bra underlag för standardiserad samverkan

26 All rights reserved ICT readiness for BCM Vad till vad? Network security Application security Incident Management Outsourcing Forensics Application security Network security Stödja att målen för verksamheten är de samma när det gäller ICT – klarar man dem för BCP? Outsourcing Flera delar Storage

27 All rights reserved ISO/IEC ICT Readiness for Business Continuity ISO/IEC 27002

28 All rights reserved ICT readiness for BCM Vad till vad? Network security Application security Incident Management Outsourcing Forensics Application security Network security Nätverkssäkerhet är bas för all ICT säkerhet. Det som står här skall outsourcing leverantören ha koll på. En sådan självklarhet att den kanske inte behövs? Storage Outsourcing Flera delar

29 All rights reserved ISO/IEC ISO/IEC Nätverkssäkerhet OBS Delvis UNDER UTVECKLING Valt exempel ur kap 11

30 All rights reserved Nätverkssäkerhet är grundläggande och det märks… Overview and Concept Design och införande Nät-koppling via Secure Gateways Risk scenarier och säkerhets- åtgärder VPN kommunikation Trådlöst 2wdDIS

31 All rights reserved ICT readiness for BCM Vad till vad? Network security Application security Incident Management Outsourcing Forensics Application security Network security Om man har lagt ut sin applikationsutveckling så finns det stöd för hur säkerhet bör hanteras i processen Storage Outsourcing Flera delar

32 All rights reserved ISO/IEC ISO/IEC Applikationssäkerhet OBS Delvis UNDER UTVECKLING

33 All rights reserved “Applikations -säkerhet”

34 All rights reserved ICT readiness for BCM Vad till vad? Network security Application security Incident Management Outsourcing Forensics Application security Network security Vad är en incident? Vem rapporterar vad till vem? Hur eskalerar man till ev BCM läge? Osv… Outsourcing Flera delar Storage

35 All rights reserved ISO/IEC ISO/IEC “Incident”

36 All rights reserved ISO/IEC Basic structure 1 Plan and prepare phase 2 Detection and reporting phase 3 Assessment and decision phase 4 Responses phase 5 Lessons learnt phase Annex A Example Approaches to the Categorization and Classification of Information Security Events and Incidents Annex B Examples of Information Security Incidents and their Causes Annex C Example Information Security Event, Incident and Vulnerability Reports and Forms Annex D Cross Reference Table of ISO/IEC 27001/27002 vs ISO/IEC Annex E Legal and Regulatory Aspects

37 All rights reserved Outsourcing Flera delar ICT readiness for BCM Vad till vad? Network security Application security Incident Management Outsourcing Forensics Application security Network security Hela livscykel perspektivet. Brett angreppssätt. Flera delar… Storage

38 All rights reserved ISO/IEC Outsorcing OBS UNDER UTVECKLING ISO/IEC Kap 6

39 All rights reserved ISO/IEC Structure Definitions Problem Definition Threat Landscape Overview of other parts (e.g. framework part 2) Part 1 (Overview and Concepts) (15 pages) ICT Supply Chain Security Part 2 (Common Requirements) 20 pages) Part 3 (Guidelines for ICT Supply Chain) (25 pages) High level and general Generic “Guide” Detailed and Specific “Guide” Provider and Supplier Characteristics Related Threats Relationship Management Framework - Governance; Lifecycle Processes; Requirements Statements Problem Definition Threat Landscape Provider and Supplier Characteristics Related Threats OBS UNDER UTVECKLING

40 All rights reserved Storage ICT readiness for BCM Vad till vad? Network security Application security Incident Management Outsourcing Forensics Application security Network security Vad gäller här? Vet vi det? Vet outsourcing partnern det? Hur kan vi lära om digitala bevis? Outsourcing Flera delar

41 All rights reserved Exempel från ISO/IEC “Forensics”

42 All rights reserved Storage ICT readiness for BCM Vad till vad? Network security Application security Incident Management Outsourcing Forensics Application security Network security Lagring och destruktion beror på informationen.Vet outsourcing partnern det? Hur kan vi följa upp det här? Outsourcing Flera delar

43 All rights reserved Exempel från ISO/IEC “Storage” OBS UNDER UTVECKLING

44 All rights reserved ATT båda parter tar stöd i andra standarder för att samverka inom områden som är viktiga för informationssäkerheten inom ramen för avtalet Den andra förenklade slutsatsen att nyttja standarder

45 All rights reserved Glömt något?

46 All rights reserved OUTSOURCING?

47 All rights reserved ISO/IEC 17788/WD (vocabulary) and ISO/IEC 17789/WD (Reference Architecture) ISO/IEC Cloud Specific Control ISO/IEC (New) Guidelines for Security of Cloud Services ISO/IEC Data Protection Controls ISO/IEC Common Requirements Structure of Standards related to Cloud Computing security and privacy in SC27 ISO/IEC 27002

48 All rights reserved Current status on ISO/IEC ISO SC27 Meeting Rome Oct Koji Nakao and Adrian Davis Co-Editors of

49 All rights reserved A New Part of – Rome Oct 2012 Title: Guidelines for Security of Cloud Services Scope statement: This part of international standard ISO/IEC provides guidelines for information security of cloud services throughout the supply chain from the perspective of both the acquirer and supplier of such services. Specifically, it involves gaining visibility into and managing the information security risks associated with cloud services throughout the lifecycle.

50 All rights reserved Current “Scope” – Rome Oct 2012 This part of international standard ISO/IEC provides cloud service acquirers and suppliers with guidance on: gaining visibility into and managing the information security risks caused by using cloud services; Integrating information security processes and practices into the cloud –based product and service lifecycle processes, described in ISO/IEC and ISO/IEC while supporting information security controls, described in ISO/IEC 27002; responding to risks specific to the acquisition or provision of cloud-based services that can have an information security impact on organisations using these services. This part of ISO/IEC does not include business continuity management/resiliency issues involved with the cloud service. ISO/IEC addresses business continuity.

51 All rights reserved Men fortfarande lite dimmigt NBTypeCommentResolution SE 1GeIn order to provide comments in the right context we see a need to further define Cloud services and in what way it is different to outsourcing of ICT in general terms. We see this standard as focusing on Cloud Services specific and the distinction requested is not only to review this document but also to avoid repletion of texts in the other parts of ISO/IEC We do understand that this definition may have an impact on other Cloud related standard work within SC27 but we see that this document is where the overlap and confusion can rely create problems. A clarification will be most welcome not only for the document but for the market. Please see SE2 for our standpoint and view to discuss. Accepted in principle Discuss in meeting

52 All rights reserved Current: PD stage – Rome Oct 2012 The PD (Preliminary Draft text) was produced by the editors and has been reviewed by NBs. 84 comments (general, technical and editorial) received for the PD. Work items (to be discussed in this meeting): - Remove parts which are not related to cloud security; - Relationship with 27017/27018 should be clarified; - Consider further detailed cloud security issues; - etc.

53 All rights reserved Liaisons – Rome Oct 2012 The meeting agreed to liaize with the following SDOs: - SC38 - ITU-T JCA Cloud (SG13 and SG17) - SC7 - CSA and ISF

54 All rights reserved ISO/IEC Cloud Services ISO/IEC (”27002 för Cloud”)

55 All rights reserved Tackar och gärna frågor! “Now this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.” W. Churchill


Ladda ner ppt "All rights reserved 1999-2012. - ISO/IEC 27000 seriens standarder som stöd? Outsourcing."

Liknande presentationer


Google-annonser