Outsourcing - ISO/IEC 27000 seriens standarder som stöd?

Jan Branzell Bakgrund inom bl.a. bilindustri samt papper & massa Arbetar med verksamhetsstyrning och kommunikation Informationssäkerhet sedan år 2000 som VD för Veriscan Security som är inriktat på mätning och införande av informationssäkerhet Varit med i SIS TK för ISO/IEC 27000-serien sedan år 2000 Co-Editor för ISO/IEC 27003 om införande av LIS samt kommande ISO/IEC TR 27016 om IS och ekonomi Ordförande i SIS Arbetsgrupp AG41 kring olika standarder kring införande av säkerhetsåtgärder (ICT Business Continuity, Network security, Incident Management , Outsourcing mm) Stödjer SIS i framtagning och leverans av SIS Informationssäkerhetsakademi

Standarder och Outsourcing -Hållpunkter Vad är outsourcing? Stöd i ISO/IEC 27001 och 27002 Stöd i andra standarder kring säkerhetsåtgärder Molnet och standarder

Vad är outsourcing?

Risk vid outsourcing? Kan standarder hjälpa till? Medvetna parter har goda förutsättningar att göra allting bättre Omedvetna parter löper stor risk att göra något bra sämre och någonting dåligt ännu sämre Kan standarder hjälpa till?

ISO/IEC 27001 och 27002 är vår bas Bilaga A 27002 Guide 27001 LIS 27006 Ackr. 27003 Impl. 27004 Mätn. Bilaga A 27005 Risk 27007 Rev. 27008 Tech 27000 Term.

ISO 27000 serien - basstandarder 27001 ISMS 27002 Guide ISO/IEC 27002–Guide (Best Practice) Omfattning Termer och definitioner Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad ISO/IEC 27001– KRAV ”SKALL” Orientering & Omfattning Normativa hänvisningar Termer och definitioner Ledningssystem för informationssäkerhet Ledningens ansvar Ledningens genomgång av LIS Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmåltabell som mappar SS ISO/IEC 27002 Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO 14001 (1996) och ISO 27001 (2005) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning

Vart hittar vi outsourcing? 27001 ISMS 27002 Guide ISO/IEC 27002–Guide (Best Practice) Omfattning Termer och definitioner Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad ISO/IEC 27001– KRAV ”SKALL” Orientering & Omfattning Normativa hänvisningar Termer och definitioner Ledningssystem för informationssäkerhet Ledningens ansvar Ledningens genomgång av LIS Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmåltabell som mappar SS ISO/IEC 27002 Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO 14001 (1996) och ISO 27001 (2005) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning

ISO/IEC 27001 Annex A 6.2

ISO/IEC 27002 Mål Åtgärd Vägledning Övrig information Säkerhetsåtgärd Definierar den specifika säkerhetsåtgärd som krävs för att tillgodose åtgärdsmålet. Vägledning Vägledning för införande Tillhandahåller mer detaljerad information Övrig information Övrig information Tillhandahåller ytterligare information som kan behöva beaktas, t.ex. juridiska överväganden och referenser till andra standarder.

2017-04-07 ISO/IEC 27002 Kap 6 och då 6.2

ISO/IEC 27002 Kap 6.2 6.2 Utomstående parter Mål : Att bibehålla säkerheten hos organisationens information och informationsbehandlingsresurser som är åtkomliga för, bearbetas av, kommuniceras till eller hanteras av utomstående parter. Säkerheten hos organisationens information och informationsbehandlingsresurser bör inte minskas genom introduktion av utomstående parters produkter eller tjänster. All åtkomst till organisationens informationsbehandlingsresurser liksom utomståendes bearbetning och kommunikation av information bör styras. Där verksamhetsbehov finns för att arbeta med utomstående parter som kan kräva åtkomst till organisationens information och informationsbehandlingsresurser eller att erhålla eller lämna en produkt eller tjänst från eller till en utomstående part, bör en riskbedömning göras. Riskbedömningen görs för att avgöra säkerhetskonsekvenser och behov av styrning. Säkerhetsåtgärder bör överenskommas och definieras i en överenskommelse med den utomstående parten.

Exempel med utdrag från ISO/EC 27002 6.2.1 Identifiering av risker med utomstående parter Säkerhetsåtgärd Riskerna för organisationens information och informationsbehandlingsresurser i verksamhetsprocesser där utomstående parter är involverade bör identifieras och lämpliga säkerhetsåtgärder införas innan åtkomst beviljas. Vägledning för införande Där det finns behov av att tillåta en utomstående part att ha åtkomst till informationsbehandlingsresurser eller information i en organisation bör en riskbedömning (se även avsnitt 4) utföras för att identifiera eventuella krav på särskilda säkerhetsåtgärder. Vid identifieringen av risker vid utomståendes åtkomst bör följande faktorer beaktas: a) de informationsbehandlingsresurser som den utomstående parten behöver få åtkomst till b) den typ av åtkomst som den utomstående kommer att ha till information och informationsbehandlingsresurser, t.ex. 1) fysisk åtkomst, t.ex. till kontorsutrymmen, datorrum, arkiv 2) logisk åtkomst, t.ex. till en organisations databaser, informationssystem 3) nätverkskoppling mellan organisationens och den utomstående partens nätverk, t.ex. permanent uppkoppling, fjärråtkomst 4) om åtkomsten äger rum inom eller utanför organisationens lokaler OSV……….

Vi hittar alltså stöd i ISO/IEC 27002 Men……

Vad gäller hantering av övriga säkerhetsåtgärder?

Det betyder! Att övriga ”relevanta” säkerhetsåtgärderna i ISO/IEC 27002 gäller! Att för att uppnå målen när det gäller säkerhetsåtgärderna så är kraven minst lika höga på outsourcing partnern som om det varit den egna organisationen Snarare så har ett beroende uppstått till en annan organisation som i sig utgör en risk Men vi kan också ha reducerat andra risker – Som vadå?

Steg 1 är alltså att nyttja ISO/IEC 27002 som bas Säkerhetsåtgärderna skall vara adresserade (kravställda) i avtalet med den andra parten Säkerhet som “Non Functional Requirements” bör mao vara borta Vissa säkerhetsåtgärder och risk mitigering tas över av outsourcing parten – T.ex. risker vid Back Up tagning, risk DoS attacker Men ansvaret att kontrollera betyder ytterligare aktiviteter för uppföljning och kontroll som t.ex. revision, mätning och även riskstatus som återrapporteras inom ramen för LIS (ISO/IEC 27001)

Hur gör vi det? Teoretiskt enkelt – Praktiskt inte lika enkelt…. 133 säkerhetsåtgärder skall omsättas till krav i avtalet Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad Appendix A + Motsvarande i ISO/IEC 27002 Vad outsourcas till vem av vem?

Den första förenklade slutsatsen att nyttja standarder ATT Outsourcing Parten är ISO/IEC 27001 Certifierade Kontrollera omfattning och avgränsningar samt SoA* enligt ISO/IEC 27001 Analysera prestanda/hantering vissa säkerhetsåtgärder utifrån ISO/IEC 27002 Sök gärna ytterligare tredje parts information *) SoA = Statement of Applicability, dvs. vilka säkerhetsåtgärder man har certifierat

Men vi vill ha mer samarbete! Speciellt om det gäller ICT Outsourcing Incidentprocessen Kontinuitetsplanering Riskrapportering “CHANGE” Egna processer Outsourcing partnerns process Livscykel problematik Forensics MMMMM? Kan vi finna mer stöd i ISO 27000 serien av standarder?

Veriscan - IS utbildning ISO 27000 Dom här? 27002 Guide 27001 ISMS 27006 Accr. 27003 Impl. 27004 Measurement Annex A 27005 Risk 27007 Rev. 27008 Tech 27000 Term.

En bubblare? …”Vi kör ITIL” Veriscan - IS utbildning ISO 27000 En bubblare? …”Vi kör ITIL” 27013 Om 27001 & 20000 27002 Guide 27001 ISMS 27006 Accr. 27003 Impl. 27004 Measurement Annex A 27005 Risk 27007 Rev. 27008 Tech 27000 Term.

ISO/IEC 27013 om 27001 och 20000

Dom här fördjupningarna? Veriscan - IS utbildning ISO 27000 Dom här fördjupningarna? KLARA! Under utveckling 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security Flera delar 27034 Application security Flera delar 27036 Outsourcing Flera delar JAPP – Begrepp & Processer kan vara ett bra underlag för standardiserad samverkan

Veriscan - IS utbildning ISO 27000 Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Stödja att målen för verksamheten är de samma när det gäller ICT – klarar man dem för BCP?

ISO/IEC 27031 ICT Readiness for Business Continuity

Veriscan - IS utbildning ISO 27000 Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Nätverkssäkerhet är bas för all ICT säkerhet. Det som står här skall outsourcing leverantören ha koll på. En sådan självklarhet att den kanske inte behövs?

ISO/IEC 27002 OBS Delvis UNDER UTVECKLING Valt exempel ur kap 11 ISO/IEC 27033 Nätverkssäkerhet OBS Delvis UNDER UTVECKLING

Nätverkssäkerhet är grundläggande och det märks…. DIS DIS 2wd 27033-1 Overview and Concept 27033-2 Design och införande 27033-3 Risk scenarier och säkerhets-åtgärder 27033-4 Nät-koppling via Secure Gateways 27033-5 VPN kommunikation 27033-6 Trådlöst

Veriscan - IS utbildning ISO 27000 Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Om man har lagt ut sin applikationsutveckling så finns det stöd för hur säkerhet bör hanteras i processen

ISO/IEC 27002 ISO/IEC 27034 Applikationssäkerhet OBS Delvis UNDER UTVECKLING

27034 “Applikations-säkerhet”

Veriscan - IS utbildning ISO 27000 Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Vad är en incident? Vem rapporterar vad till vem? Hur eskalerar man till ev BCM läge? Osv…..

ISO/IEC 27002 ISO/IEC 27035 “Incident”

ISO/IEC 27035 Basic structure 1 Plan and prepare phase 2 Detection and reporting phase 3 Assessment and decision phase 4 Responses phase 5 Lessons learnt phase Annex A Example Approaches to the Categorization and Classification of Information Security Events and Incidents Annex B Examples of Information Security Incidents and their Causes Annex C Example Information Security Event, Incident and Vulnerability Reports and Forms Annex D Cross Reference Table of ISO/IEC 27001/27002 vs ISO/IEC 27035 Annex E Legal and Regulatory Aspects

Veriscan - IS utbildning ISO 27000 Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Hela livscykel perspektivet. Brett angreppssätt. Flera delar…

ISO/IEC 27002 Kap 6 ISO/IEC 27036 Outsorcing OBS UNDER UTVECKLING 2017-04-07 ISO/IEC 27002 Kap 6 ISO/IEC 27036 Outsorcing OBS UNDER UTVECKLING

Relationship Management ICT Supply Chain Security ISO/IEC 27036 Structure Part 1 (Overview and Concepts) (15 pages) Part 2 (Common Requirements) 20 pages) Part 3 (Guidelines for ICT Supply Chain) (25 pages) Definitions Problem Definition Problem Definition Threat Landscape Relationship Management Framework - Governance; Lifecycle Processes; Requirements Statements Threat Landscape Provider and Supplier Characteristics Related Threats Provider and Supplier Characteristics Related Threats ICT Supply Chain Security Generic “Guide” Detailed and Specific “Guide” Overview of other parts (e.g. framework part 2) OBS UNDER UTVECKLING High level and general

Veriscan - IS utbildning ISO 27000 Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Vad gäller här? Vet vi det? Vet outsourcing partnern det? Hur kan vi lära om digitala bevis?

Exempel från ISO/IEC 27037 “Forensics”

Veriscan - IS utbildning ISO 27000 Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Lagring och destruktion beror på informationen.Vet outsourcing partnern det? Hur kan vi följa upp det här?

Exempel från ISO/IEC 27037 “Storage” OBS UNDER UTVECKLING

Den andra förenklade slutsatsen att nyttja standarder ATT båda parter tar stöd i andra standarder för att samverka inom områden som är viktiga för informationssäkerheten inom ramen för avtalet

Glömt något?

OUTSOURCING?

Structure of Standards related to Cloud Computing security and privacy in SC27 ISO/IEC 27036-2 Common Requirements ISO/IEC 27002 WG4 WG1 WG5 ISO/IEC 27036-5 (New) Guidelines for Security of Cloud Services ISO/IEC 27017 Cloud Specific Control ISO/IEC 27018 Data Protection Controls ISO/IEC 17788/WD (vocabulary) and ISO/IEC 17789/WD (Reference Architecture) SC38

Koji Nakao and Adrian Davis Co-Editors of 27036-5 Current status on ISO/IEC 27036-5 - 4 ISO SC27 Meeting Rome Oct. 25 2012 Koji Nakao and Adrian Davis Co-Editors of 27036-5

A New Part of 27036 – Rome Oct 2012 Title: Guidelines for Security of Cloud Services Scope statement: This part of international standard ISO/IEC 27036 provides guidelines for information security of cloud services throughout the supply chain from the perspective of both the acquirer and supplier of such services. Specifically, it involves gaining visibility into and managing the information security risks associated with cloud services throughout the lifecycle.

Current “Scope” – Rome Oct 2012 This part of international standard ISO/IEC 27036 provides cloud service acquirers and suppliers with guidance on: gaining visibility into and managing the information security risks caused by using cloud services; Integrating information security processes and practices into the cloud –based product and service lifecycle processes, described in ISO/IEC 15288 and ISO/IEC 12207 while supporting information security controls, described in ISO/IEC 27002; responding to risks specific to the acquisition or provision of cloud-based services that can have an information security impact on organisations using these services. This part of ISO/IEC 27036 does not include business continuity management/resiliency issues involved with the cloud service. ISO/IEC 27031 addresses business continuity.

Men fortfarande lite dimmigt NB Type Comment Resolution SE 1 Ge In order to provide comments in the right context we see a need to further define Cloud services and in what way it is different to outsourcing of ICT in general terms. We see this standard as focusing on Cloud Services specific and the distinction requested is not only to review this document but also to avoid repletion of texts in the other parts of ISO/IEC 27036. We do understand that this definition may have an impact on other Cloud related standard work within SC27 but we see that this document is where the overlap and confusion can rely create problems. A clarification will be most welcome not only for the document but for the market. Please see SE2 for our standpoint and view to discuss. Accepted in principle Discuss in meeting

Current: PD stage – Rome Oct 2012 The PD (Preliminary Draft text) was produced by the editors and has been reviewed by NBs. 84 comments (general, technical and editorial) received for the PD. Work items (to be discussed in this meeting): - Remove parts which are not related to cloud security; - Relationship with 27017/27018 should be clarified; - Consider further detailed cloud security issues; - etc.

Liaisons – Rome Oct 2012 The meeting agreed to liaize with the following SDOs: - SC38 - ITU-T JCA Cloud (SG13 and SG17) - SC7 - CSA and ISF

ISO/IEC 27036 - 4 Cloud Services (”27002 för Cloud”) ISO/IEC 27036 - 4 Cloud Services

Tackar och gärna frågor! “Now this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.” W. Churchill