19
Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomań[email protected] Plan Prezentacji ISO/IEC 27001:2013 budowa ISO/IEC 27001:2005 przejście do ISO/IEC 27001:2013 Załącznik A do normy ISO 27001:2013 czyli budowa ISO/IEC 27002:2011 Polskie tłumaczenia norm dotyczących bezpieczeństwa informacji i zarządzania usługami WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends 2013.11.28 (c) BSz Strona 1 z 19

Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

Embed Size (px)

Citation preview

Page 1: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania

bezpieczeństwem informacji

dr inż. Bolesław Szomański

Wydział Zarządzania

Politechnika Warszawska

b.szomań[email protected]

Plan Prezentacji

ISO/IEC 27001:2013 budowa

ISO/IEC 27001:2005 przejście do ISO/IEC 27001:2013

Załącznik A do normy ISO 27001:2013 czyli budowa ISO/IEC 27002:2011

Polskie tłumaczenia norm dotyczących bezpieczeństwa informacji

i zarządzania usługami

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 1 z 19

Page 2: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

ISO/IEC 27001:2013

Infoformation technology – Security techniques -Information security management systems - Requirements

Systemy zarządzania bezpieczeństwem informacji - Wymagania

Najnowsza rewizja normy z 2005 rokuWg nowej struktury załącznika SL

do dyrektywy ISO jednolitej dla wszystkich systemów zarządzania Angielska wersja załącznika SL jest dostępna na stronie www.iso.org szukaj directive

Norma opublikowana 26 września 2013

(c) B.Sz 32013-11-27

ISO/IEC 27001:2013

0. Wprowadzenie0.1 Postanowienia ogólne ~~0.2 Zgodność z innymi systemami zarządzania ~~

1 Zakres normy ~~2 Powołania normatywne ~~~~3 Terminy i definicje ~~~~~~~~~~~~ 4 Kontekst organizacji~++5 Przywództwo ~56. Planowanie + 4.17. Wsparcie + 5,4.38. Operacje + 4,2,39. Ocena działań <- 4.2.3, 6, 710. Doskonalenie 8 ~~Załącznik A Cele stosowania zabezpieczeń i zabezpieczenia ~~~~

(c) B.Sz 42013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 2 z 19

Page 3: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

4. Kontekst organizacji

4.1 Zrozumienie kontekstu organizacji +

4.2. Zrozumienie potrzeb i o oczekiwań zainteresowanych stron +

4.3 Określenie zakresu systemu zarządzania ~~4.1

4.4 System zarządzania bezpieczeństwem o informacji 4.1

(c) B.Sz 52013-11-27

5. Przywództwo ~~5

5.1. Przywództwo i zaangażowanieo 4.2.1 , 5.1

5.2. Polityka ~~ 4.2.15.3 Organizacyjne role, odpowiedzialności,

zwierzchnictwo +

(c) B.Sz 62013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 3 z 19

Page 4: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

6. Planowanie

6.1 Działania dla zajmowania się ryzykiem o i możliwościami

6.1.1 Wprowadzenie

6.1.2. Ocena ryzyka w bezpieczeństwie informacji

6.1.3 Postępowanie z ryzykiem w bezpieczeństwie

6.2 Cele bezpieczeństwa informacji i plany do ich osiągnięcia

(c) B.Sz 72013-11-27

6.1.2. Ocena ryzyka w bezpieczeństwie informacji ~4.2.1

Organizacja powinna zdefiniować i wdrożyć proceso oceny bezpieczeństwa informacji który

ustanowi i utrzyma kryteria ryzyka w bezpieczeństwie • informacji zawierające

o Kryteria akceptowania ryzykao Kryteria dla przeprowadzenie oceny ryzyka

zapewni że powtarzalna ocena ryzyka w bezpieczeństwie o informacji uzyska znaczące, ważne i powtarzalne wyniki

Zidentyfikuje ryzyka w bezpieczeństwie informacjio Wykorzysta proces oceny ryzyka do zidentyfikowania ryzyk związanych o z utratą poufności, integralności i dostępności w zakresie o Systemu zarządzania bezpieczeństwem informacji

(c) B.Sz 82013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 4 z 19

Page 5: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

6.1.2

Przeanalizuje ryzyka w bezpieczeństwie informacjio oceniając potencjalne konsekwencje jakie wystąpią jeżeli

• ryzyka zidentyfikowane w 6.1.2 się zmaterializują

o Oceni realne prawdopodobieństwo wystąpienia ryzyk • zidentyfikowanych w 6.1.2 i

o Określi Poziom tych ryzyk

Oszacuje ryzyka w bezpieczeństwie informacjio porówna wyniki analizy ryzyka z kryteriami ustanowionymi w

• Pkt. 6.1.2

o określi priorytety ryzyk dla postępowania z ryzykiem

Organizacja powinna zachować udokumentowaną informację o procesie oceny ryzyka w bezpieczeństwie informacji

(c) B.Sz 92013-11-27

6.1.3 Postępowanie z ryzykiem w bezpieczeństwie Informacji ~~ 4.2.1

Organizacja powinna zdefiniować i wdrożyć proces o postępowania z ryzykiem bezpieczeństwie informacji dla

Wybrania odpowiednich opcji w postępowania z o ryzykiem w bezpieczeństwie informacji biorąc pod uwagę wyniki o oceny ryzyka

Ustalenia wszystkich zabezpieczeń które są potrzebne o dla wdrożenia wybranych opcji postępowania z ryzykiem w o bezpieczeństwa informacji

Porównania wyników w pkt. 6.1.3 powyżej o z podanymi w załączniku A i weryfikacji że niepotrzebne o zabezpieczenia będą ominięte

(c) B.Sz 102013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 5 z 19

Page 6: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

6.1.3

Wykonania Deklaracji Stosowania która zawiera o niezbędne zabezpieczenia (patrz 6.1.3 i uzasadnienie ich o włączenia czy są wdrożone czy nie i uzasadnienie wyłączenia o zabezpieczeń z załącznika A

Sformułowania planu postępowania z ryzykiem Uzyskania aprobaty właścicieli ryzyka dla planu

o postępowania z ryzykiem w bezpieczeństwie informacji

Organizacja powinna zachować udokumentowaną informację o procesie postępowania z ryzykiem w bezpieczeństwie informacji

(c) B.Sz 112013-11-27

7. Wsparcie

7.1 Zasoby ~~ 5.2.1

7.2. Kompetencje ~~ 5.2.2

7.3. Świadomość ~~ 5.2.2

(c) B.Sz 122013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 6 z 19

Page 7: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

7.4. Komunikacja +

Organizacja powinna określić potrzebę wewnętrznej i o zewnętrznej komunikacji istotnej systemu zarządzania

o bezpieczeństwem informacji, a w tym

Co jest komunikowane;

Kiedy jest komunikowane;

Z kim jest prowadzona komunikacja

Kto powinien się komunikować

Proces na który wpływa komunikacja

(c) B.Sz 132013-11-27

7.5. Udokumentowana informacja ~~ 4.3

7.5.1 Wymagania ogólne

7.5.2. Opracowanie i aktualizowanie

7.5.3. Nadzór nad udokumentowaną informacją

(c) B.Sz 142013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 7 z 19

Page 8: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

7.5.3

Udokumentowane informacje pochodzenia zewnętrznego uznane przez organizację za niezbędne

do planowania i funkcjonowania systemu zarządzania

bezpieczeństwem informacji powinny być zidentyfikowane

jako odpowiednie i nadzorowane.

(c) B.Sz 152013-11-27

8. Operacje 8.1 Planowanie i nadzorowanie operacji 8.2 Ocena ryzyka w bezpieczeństwie informacji ~~ 4.2.3 Organizacja powinna prowadzić ocenę ryzyka w

bezpieczeństwie informacji w planowanych odstępach lub kiedy istotne zmiany są proponowane lub nastąpią biorąc po uwagę kryteria ustanowione w 6.1.2

Organizacja powinna zachować udokumentowaną informację o wynikach oceny ryzyka w bezpieczeństwie informacji

8.3 Postępowanie z ryzykiem w bezpieczeństwie informacji 4.2.3 Organizacja powinna prowadzić plan postępowania

z ryzykiem w bezpieczeństwie informacji

Organizacja powinna zachować udokumentowaną informację o wynikach planu postępowania z ryzykiem

(c) B.Sz 162013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 8 z 19

Page 9: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

9. Ocena wykonania

9.1. Monitorowanie, pomiar analiza i ocena 4.2.3

9.2 Wewnętrzny audit ~~ 6

9.3. Przegląd realizowany przez kierownictwo 7

(c) B.Sz 172013-11-27

10. Doskonalenie ~~ 4.2.4

10.1 Niezgodności i działania korygujące

10.2 Ciągłe doskonalenie Organizacja powinna ciągle doskonalić

o przydatność,

o adekwatność i

o skuteczność

o Systemu zarządzania bezpieczeństwem informacji

(c) B.Sz 182013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 9 z 19

Page 10: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

Załącznik A Cele stosowania zabezpieczeń i zabezpieczeń

Załącznik A jest obligatoryjnyo ale

możliwe jest wyłączenie zabezpieczeń z tego załącznika

po podaniu uzasadnienia

Załącznik A stanowi podstawę do opracowania Deklaracji Stosowania

Załącznik A może być uzupełniony o inne zabezpieczenia

(c) B.Sz 192013-11-27

A.5. Polityka bezpieczeństwa =A5

A.5.1 Wskazówki dla kierownictwa o o bezpieczeństwie informacji [2]

(c) B.Sz 202013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 10 z 19

Page 11: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

A.6. Organizacja bezpieczeństwa informacji

A. 6.1 Wewnątrz organizacji [5]+

A.6.1.5 Bezpieczeństwo informacji w zarządzaniu o Projektami {!}

A.6.2 Urządzenia mobilne i praca zdalna [2] ~~11.7

(c) B.Sz 212013-11-27

A.7. Bezpieczeństwo zasobów ludzkich A8

A.7.1 Przed zatrudnieniem~[2] A.8.1

A.7.2 Podczas zatrudnienia =[3] A.8.2

A.7.3 Zakończenie lub zmiana zatrudnienia ~~A.8.3 [1]

(c) B.Sz 222013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 11 z 19

Page 12: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

A.8. Zarządzanie zasobami A7

A.8.1 Odpowiedzialność za zasoby A7.1 [4]+A8.3

A.8.2 Klasyfikacja informacji A7.2 [3]+ A.8.2.3 Utrzymanie zasobów

A.8.3 Utrzymywanie nośników [3] A.10.7+A10.8

(c) B.Sz 232013-11-27

A.9. Kontrola dostępu A11

A.9.1 Wymagania biznesowe kontroli dostępu A11.1[2]+ A.9.1.2 Dostęp do sieci i usług sieciowych

A.9.2 Zarządzanie dostępem użytkowników [6]+ A.9.2.2 Zabezpieczenia dostępu użytkowników+ A.8.2.3

A.9.3 Odpowiedzialność użytkowników A.11.3 [1]

A.9.4 Kontrola dostępu do aplikacji i systemów ~~A.11.5 i A.11.6 [5]

(c) B.Sz 242013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 12 z 19

Page 13: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

A.10 Kryptografia ^^^

A.10.1 Zabezpieczenia kryptograficzne = A12.3 [2]

(c) B.Sz 252013-11-27

A.11. Bezpieczeństwo fizyczne i środowiskowe A.9

A.11.1 OBSZARY BEZPIECZNE =A9.1

A.11. Bezpieczeństwo fizyczne i środowiskoweA.11.2 Bezpieczeństwo sprzętu =A9.2 [9]+A.11.3.2

(c) B.Sz 262013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 13 z 19

Page 14: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

A.12. Bezpieczeństwo operacyjne A.10

A.12.1 Procedury eksploatacyjne i zakresy o Odpowiedzialności = A.10.1

A.12.2 Ochrona przed złośliwym Oprogramowaniem ~~A.10.4 [1]

A.12.3 Kopie zapasowe = A.10.5 [1] A.12.4 Logowanie i monitorowanie A.10.10 [5] A 12.5 Nadzór nad oprogramowaniem ~~ A.12.5.2 A.12.6 Zarządzanie podatnościami technicznymi [2]

~~A18.1+ A.12.5.3 A.12.7 Rozważania dotyczące audytu

o systemów informacyjnych [1] A15.3

(c) B.Sz 272013-11-27

A.13 Bezpieczeństwo komunikacji ^^

A.13.1 Zarządzanie bezpieczeństwem sieci [3] ~~~~A.11.4+A.10.6

A.13.2 Przekazywanie informacji [4] ~~ A.10.8+A6.1

(c) B.Sz 282013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 14 z 19

Page 15: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

A.14. Pozyskiwanie, rozwój i utrzymanie systemu A.12

A.14.1 Wymagania bezpieczeństwa systemów o Informacyjnych A.12.1+A.10.9 [3]

A.14.2 Bezpieczeństwo w procesach o rozwojowych i obsługi informatycznej [9] ~~ A.12.5

A.14.2.1 Polityka bezpiecznego rozwoju A.14.2.2 Procedury kontroli zmian A.14.2.5 Zasady konstrukcji bezpiecznego systemu A.14.2.6 Bezpieczne środowisko projektowania A.14.2.8 Testowanie bezpieczeństwa systemu A.14.2.9 Testy akceptacyjne systemu

A.14.3 Dane testowe == A.12.4.3(c) B.Sz 292013-11-27

A 15 Stosunki z dostawcami ^^

A. 15.1 Bezpieczeństwo informacji w stosunkach z o Dostawcami ~~A.6.2 [2]+A10.8.1

A.15.1.3 Informacja i komunikacja w łańcuchu dostaw

A.15.2. Zarządzanie usługami dostarczonymi przez o Dostawców~~ A.10.2

(c) B.Sz 302013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 15 z 19

Page 16: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

A.16. Zarządzanie incydentami w bezpieczeństwie informacji A13

A.16.1 Zarządzanie incydentami w o bezpieczeństwem informacji oraz doskonaleniemA13 [6]+

A.16.1.4 Ocena i decyzja dotycząca zdarzeń w o bezpieczeństwie informacji

(c) B.Sz 312013-11-27

A.17. Aspekty bezpieczeństwa informacji w Zarządzania ciągłością działania A14

A.17.1 Ciągłość działania w bezpieczeństwie o Informacji ~~ A.14.1 [3]

A.17.2 Nadmiarowość [1]

(c) B.Sz 322013-11-27

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 16 z 19

Page 17: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

A.18. Zgodność A 15

A.18.1 Zgodność z przepisami prawnymi i o wymaganiami kontraktowymi A.15.1 [5]

(c) B.Sz 332013-11-27

ISO/IEC 27001:2005 budowa0. wprowadzenie0.1 Postanowienia ogólne ~~0.2 Podejście procesowe #0.30,2 Zgodność z innymi systemami zarządzania ~~

1. Zakres normy ~~2. Powołania normatywne ~~3. Terminologia i definicje ISO/IEC 270004. System zarządzania bezpieczeństwem informacji 4,5,6, ISO 27003

5. Odpowiedzialność kierownictwa 56. Wewnętrzne audyty SZBI 9.27. Przegląd realizowany przez kierownictwo 9.38. Doskonalenie SZBI 10Załącznik. A. Cele stosowania zabezpieczeń i zabezpieczenia (czeka na ISO 27002)Załącznik. B. Zasady OECD #Załącznik. C. Korespondencja z ISO 9001:2000 i ISO 14001:2004 #

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 17 z 19

Page 18: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

Polskie tłumaczenia norm ISO rodziny 27000

PN ISO/IEC 27000:2012 Technika informatyczna -- Techniki bezpieczeństwa Terminologia systemów zarządzania bezpieczeństwem informacji

PN-ISO/IEC 24762 :2010 Technika informatyczna Techniki zabezpieczeń Wytyczne do technik informacyjnych i komunikacyjnych dla usług odtwarzania po katastrofie

Nowe tłumaczenia

PN ISO/IEC 27005:2013 Technika informatyczna

Techniki bezpieczeństwa

Zarządzanie ryzykiem w bezpieczeństwie informacji

PN-ISO/IEC 27006:2013 Technika informatyczna

Techniki bezpieczeństwa

Wymagania dla jednostek prowadzących audyt i

certyfikację systemów zarządzania bezpieczeństwem

informacji

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 18 z 19

Page 19: Norma ISO/IEC 27001:2013 – najnowsze zmiany w …itsecuritytrends.pl/prezentacje/pw.pdf · ISO/IEC 27001:2013 Infoformation technology – Security techniques - Information security

Nowe tłumaczenia

PN-ISO/IEC 27013 Technika informatyczna

Techniki bezpieczeństwa

Wytyczne do zintegrowanego wdrożenia ISO/IEC 27001

oraz ISO/IEC 20000-1

PN-ISO/IEC 20000-1:2013 Technika informatyczna

Zarządzanie usługami

Część 1: Wymagania dla systemu zarządzania usługami

WZ PW Norma ISO/IEC 27001:2013 – najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2013.11.28 (c) BSz Strona 19 z 19