Professional Documents
Culture Documents
Eandrukiewicz POLCAAT 2010
Eandrukiewicz POLCAAT 2010
Eandrukiewicz POLCAAT 2010
Plan prezentacji
Wprowadzenie do systemu norm ISO/IEC 270xx Audyt zgodnoci z ISO/IEC 27001 Cz technologiczna audytu zgodnoci z ISO/IEC 27001 Podejcie do audytu technologicznego Etapy realizacji testw technologicznych Prezentacja wynikw audytu technologicznego Wnioski z punktu widzenia audytu zgodnoci z ISO/IEC 27001
Ekspert normalizacyjny ISO od 1997 roku; przewodniczca delegacji polskiej do podkomitetu SC27 IT Security Techniques od 2000 roku Edytor normy ISO/IEC 27005 Information Security Risk Management oraz ISO/IEC 27000 Fundamentals and vocabulary Przewodniczca Komitetu Technicznego nr 182 Ochrona informacji w sieciach teleinformatycznych Kierownik merytoryczny/ Audytor wiodcy audytw bezpieczestwa informacji w administracji publicznej, organizacjach sektora finansowego, energetycznego, usug komunalnych, informatyki.
Podstawowe definicje
zarzdzanie ryzykiem
skoordynowane dziaania kierowania i kontrolowania organizacji z uwzgldnieniem ryzyka ISO/IEC Guide 73:2002 PN-ISO/IEC 27001:2007
zabezpieczenie
rodki suce zarzdzaniu ryzykiem, cznie z politykami, procedurami, zaleceniami, praktyk lub strukturami organizacyjnymi, ktre mog mie natur administracyjn, techniczn, zarzdcz lub prawn PN- ISO/IEC 17799:2007
27008
27001
Rodzina 2700x
27005
27002 27003
27004
Tytu normy midzynarodowej (ISO/IEC)/ Tytu normy polskiej (PN lub projektu PN) ISMS. Fundamentals and Vocabulary (bezpatna!) Information security management systems Requirements Systemy zarzdzania bezpieczestwem informacji. Wymagania
Termin opublikowania
17799 (27002)
27003 27004 27005 27006
Code of Practice for Information Security Management Praktyczne zasady zarzdzania bezpieczestwem informacji
ISMS Implementation Guidance Information security management measurements Information Security Risk Management Zarzdzanie ryzykiem w bezpieczestwie informacji Guidelines for the Accreditation of Bodies Operating Certification/Registration of Information Security Management Systems Wymagania dla jednostek prowadzcych audyt i certyfikacj systemw zarzdzania bezpieczestwem informacji ISMS Auditor Guidelines Guidlines for auditors on ISMS controls
27007 27008
27013
Rodzina 2700x
Informatyka w ochronie zdrowia Zarzdzanie bezpieczestwem informacji w 27799 ochronie zdrowia przy uyciu ISO/IEC 27002
27015
27014
27036
Guidelines for ident., collect., & acquis. & preserv. of Digital Evidence
27031
Rodzina 2700x
27035
27032 27033
27034
IT Network Security Part 1: Overview and concepts Part 2: Guidelines for the design and implementation of network security Part 3: Reference networking scenarios -- Risks, design technologies and control issues Part 4: Securing communications between networks using security gateways - Risks, design techniques and control issues Part 5: Securing communications across networks using Virtual Private Networks (VPNs) - Risks, design techniques and control Issues Part 6: IP convergence Part 7: Wireless Application security Part 1: Overview and concepts Part 2: Organization normative framework Part 3: Application security management process Part 4: Application security validation Protocols and application security controls data structure
270034
Wdroenie SZBI
PLAN ACT
Zaplanowani e SZBI
DO
CHECK
Wybr odpowiednich zabezpiecze na podstawie ISO/IEC 17799 Uzyskanie aprobaty kierownictwa dla ryzyka szcztkowego i autoryzacja do wdraania zabezpiecze Deklaracja stosowania (SoA) lista stosowanych zabezpiecze oraz lista wycze uzasadnienie wyczenia
Proces planowania SZBI Szacowanie ryzyk Wybr wariantw postpowania z ryzykiem Wybr zabezpiecze
zgodne z wymaganiami niniejszej normy i odpowiednimi ustawami i przepisami; zgodne ze zidentyfikowanymi wymaganiami bezpieczestwa informacji; skutecznie wdroone i utrzymywane; zgodne z oczekiwaniami
System zarzdzania bezpieczestwem informacji zgodny z ISO/IEC 27001 ISO/IEC 27001 Zacznik A Zbir wymaga
Zabezpieczenia ISO/IEC 27001:2005, Zacznik A A.5 A.6 A.7 A.8 A.9 Polityka bezpieczeostwa informacji Organizacja bezpieczeostwa informacji Zarzdzanie aktywami Zarzdzanie zasobami ludzkimi Bezpieczeostwo fizyczne i rodowiskowe
A.10 Zarzdzanie systemami i sieciami A.11 Kontrola dostpu Pozyskiwanie, rozwj i utrzymanie systemw informatycznych Zarzdzanie incydentami bezpieczeostwa A.13 informacji A.12 A.14 Zarzdzanie cigoci dziaania A.15 Zgodnod
A. Brak logowania zdarze systemowych zwizanych z bezpieczestwem (security logs). B. Na serwerach nie s zapisywane dane dotyczce zdarze zwizanych z logowaniem si uytkownikw. C. Logi nie s przechowywane w izolowanym, dedykowanym rodowisku
Podsumowanie
Sprawdzenie zgodnoci SZBI z ISO/IEC 27001 obejmuje cay szereg testw technicznych Wnioski z testw technicznych mog okaza si niewystarczajce do oceny wdroenia zabezpieczenia Rekomendacje wynikajce z oceny zabezpiecze mog prowadzi do:
Dziaa korygujcych (domknicie czystego modelu PDCA) Koniecznoci przejcia do fazy Plan (szacowanie ryzyka)