Neues aus der Standardisierung:! ISO/IEC & 27002:2013. Dr.-Ing. Oliver Weissmann

Transkript

1 Neues aus der Standardisierung:! ISO/IEC & 27002:2013 Dr.-Ing. Oliver Weissmann Co-Editor der ISO/IEC 27002:2013 ZertiFA 2014, Berlin, 0

2 xiv-consult GmbH Security Softskills Social Engineering Legal Support Trainings Datenschutz Awareness Control Implementation 2700x Implementation ITGS Dienstleisterkontrolle BCBS 239 Security Management Industrial Security ENWG 44 Preparation MA Risk Compliance 2

3 Standards... - ISO/IEC :1999 Information Technology Security Techniques Cryptographic Techniques Based on Elliptic Curves Part 1: General - ISO/IEC 27002:2005 Information Technology Security Techniques Code of Practice for Information Security Management - ISO/IEC 27000:2009 Information Technology Security Techniques Information Security Management Systems Overview and Vocabulary - ISO/IEC 27003:2010 Information Technology Security Techniques Information Security Management System Implementation Guidance - ISO/IEC 27002:2013 Information Technology Security Techniques Code of Practice for Information Security Controls 3

4 Zeitstrahl Security Management ist nicht neu!

5 Verteilung der ISO Zertifikate Japan UK India Taiwan China Germany Czech Republic Korea USA Italy Spain Hungary Malay Poland Thailand Greece Rest

6 270xx Familie Vokabular Überblick und Vokabular Anforderungs Standards Managementsystem für Informationssicherheit - Anforderungen Anforderungen an Zertifizierer von Managementsystemen für Informationssicherheit Leitfaden / Code of Practice TR Leitfaden zur Prüfung von ISMS Maßnahmen ISMS Standard Familie Anleitende Standards ISMS - Anleitung zur Implementation ISMS - Messung von Informationssicherheit Leitfaden zur integrierten Implementation von ISO/IEC und ISO/IEC Governance von Informationssicherheit ISMS - Risikomanagement TR ISMS - Organisationsökonomie Leitfaden zur Prüfung eines ISMS Sektorspezifisch e Standards Informationssicherheitsleitfaden für die Inter Sektor- und Inter Organisations- Kommunikation ISMS Leitfaden für Telekommunikation ISMS Leitfaden für den Finanzdienstleistungen Massnahmenspezifische Standards 2703x 2704x 6

7 270xx Familie Terms and Definitions Sector Telecommunication ICT Readiness for BCM Requirements Code of Practice Impl. Guidance Measurements IS Risk Management Req. for Cert. Bodies Guidel. to Auditing GL. for Auditors on Controls Inter-sector inter-org. comm Integ. Impl. of & Governance of InfoSec Sector Financial Services Organisational Economics Cloud Computing Public Cloud Computing Serv Healthcare Cyber Security Network Security Application Security IS Incident Mgmt Supplier Relationships Digital Evidence IDPS Storage Security Investigation Sec. Inform. and Event Mgmt. 7

8 Kap. 4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system Definition des Scope (Anwendungsbereich) für das ISMS Inhalte: Interner Kontext Organisation Prozesse etc. Externer Kontext Gesetzliche und regulatorische Anforderungen Vertragliche Verpflichtungen Zulieferer (innerhalb und außerhalb der Company) Interessierte Dritte (interested parties) Schnittstellen und Abhängigkeiten für Aktivitäten, die innerhalb des ISMS durchgeführt werden und solcher, die von Externen zugeliefert werden 8

9 Kap. 5 - Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities Führung und Kommunikation der Informationssicherheitspolitik und deren Ziele Inhalte: Festlegung der Ziele für das ISMS im Einklang mit den strategischen Unternehmenszielen Bereitstellung der erforderlichen Ressourcen für das ISMS Regelmäßige Kommunikation der Wichtigkeit des ISMS Sicherstellung, dass beabsichtigte Resultate erreicht werden Anweisung, dass MA die Effektivität des ISMS zu unterstützen haben Forderung einer kontinuierlichen Verbesserung 9

10 Kap. 5 - Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities Einführung einer Information Security Policy Inhalte: Ziele des ISMS bzw. Framework für die Erreichung der der Ziele Verpflichtung zur Erfüllung von anwendbaren Anforderungen Verpflichtung zur kontinuierlichen Verbesserung des ISMS Diese Policy muss als Dokument: Allen beteiligten MA verfügbar sein Innerhalb des Scopes kommuniziert werden Für beteiligte Dritte (interested parties) verfügbar sein 10

11 Kap. 5 - Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities Rollen und Verantwortlichkeiten sowie deren Befugnisse Inhalte: Top-Management muss Verantwortlichkeiten und deren Befugnisse eindeutig zuweisen Sicherstellung eines Reporting über die Leistung (Performance) des ISMS an das Top- Management 11

12 Kap. 6 - Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and plans to achieve them Information Security Risk Management und SoA (Statement of Applicability) Inhalte: Risikoanalyse/-identifikation Risikobewertung Festlegung des Risk Owners Festlegung von Risikoklassen/-stufen Kriterien für Risikoakzeptanz Risikobericht Risikobehandlung Definition von Maßnahmen gegen die Risiken Erstellung des SoA Erstellung eines Risikobehandlungsplan Risikoakzeptanz 12

13 Kap. 6 - Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and plans to achieve them Definition von Informationssicherheitszielen Inhalte: Definition und Kommunikation der Informationssicherheitsziele im Einklang mit den Unternehmenszielen Messung der Informationssicherheitsziele Aktualisierung der Informationssicherheitsziele wenn erforderlich 13

14 Kap. 7 - Support 7.1 Resources 7.2 Competence 7.3 Awareness Ressourcen Management für das ISMS Inhalte: Definition der erforderlichen Ressourcen zum Aufbau, Betrieb und zur kontinuierlichen Verbesserung des ISMS 7.4 Communication 7.5 Documented Information 14

15 Kap. 7 - Support 7.1 Resources 7.2 Competence 7.3 Awareness Kompetenzen / Fähigkeiten für die Informationssicherheit Inhalte: Feststellung der Kompetenzen aller MA im Scope Erlangung der erforderlichen Kompetenzen für MA und Rollen innerhalb des ISMS Nachweis dieser Kompetenzen 7.4 Communication 7.5 Documented Information 15

16 Kap. 7 - Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented Information Sensibilisierung / Awareness für die Informationssicherheit Beteiligte MA innerhalb des Scope müssen: Die Information Security Policy und deren Inhalte kennen Wissen, dass sie einen Beitrag zur Wirksamkeit des ISMS und der kontinuierlichen Verbesserung leisten müssen Über die Auswirkungen bei nicht Befolgung der Anforderungen aus dem ISMS in Kenntnis gesetzt werden 16

17 Kap. 7 - Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication Kommunikationsmanagement für das ISMS Inhalte: Was wird kommuniziert Wann wird kommuniziert Mit wem wird kommuniziert Wer kommuniziert Dokumentierte Verfahren für die Kommunikation innerhalb des ISMS 7.5 Documented Information 17

18 Kap. 7 - Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented Information Dokumentation für das ISMS Inhalte: Erstellung der durch die Norm und durch das Unternehmen selbst geforderten Dokumentation Dokumentenmanagement Erstellung Aktualisierung und Versionskontrolle Freigaben Formate Verteilung und Zugriffe Lagerung und Archivierung Angemessener Schutz der ISMS Dokumentation Identifikation von Dokumentation von externen Herkunft mit Einfluss auf das ISMS 18

19 Kap. 8 - Operation 8.1 Operational planning and control 8.2 Information security risk assessement 8.3 Information security risk treatment Planung, Umsetzung und Kontrolle der für den Betrieb des ISMS erforderlichen Prozesse Inhalte: Planung und Umsetzung der Maßnahmen aus dem Risikomanagement Steuerung und Überprüfung geplanter Änderungen (Changes) Identifikation und Steuerung ausgelagerter Prozesse(Outsourcing) 19

20 Kap. 8 - Operation 8.1 Operational planning and control 8.2 Information security risk assessement 8.3 Information security risk treatment Betrachtung der Informationssicherheitsrisiken Inhalte: Durchführung von regelmäßigen Risikobetrachtungen (risk assessment) Verabschiedung / Freigabe eines Risikobehandlungsplan 20

21 Kap. 8 - Operation 8.1 Operational planning and control 8.2 Information security risk assessement Risikobehandlung Inhalte: Erstellung und Umsetzung eines Risikobehandlungsplan Dokumentation der Ergebnisse aus der Risikobehandlung 8.3 Information security risk treatment 21

22 Kap. 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review Messung der Leistung und Effektivität des ISMS Inhalt: Methodik zur Messung, Analyse und Bewertung Was wird gemessen Wann wird gemessen Wer misst Wie werden die Ergebnisse ausgewertet Wer wertet die Ergebnisse aus 22

23 Kap. 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review Interne (ISMS-)Audits Inhalte: Regelmäßige Durchführung von internen Audits, um sicherzustellen, dass die Anforderrungen der Norm sowie die eigenen Anforderungen an das ISMS wirksam umgesetzt sind Erstellung eines Auditprogramms unter Berücksichtigung der Wichtigkeit beteiligter Prozesse Reporting der Auditergebnisse an das zuständige Management 23

24 Kap. 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review Managementbewertung des ISMS Inhalte: Durchführung einer Managementbewertung des ISMS mit dem Top-Management Status von Maßnahmen Relevante Änderungen innerhalb des Scopes Rückmeldungen von Beteiligten Ergebnisse aus Messungen Risikolage und Status der Risikobehandlung Möglichkeiten zur kontinuierlichen Verbesserung Schriftliche Dokumentation der Entscheidungen aus der Managementbewertung 24

25 Kap Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Reaktion bei Abweichungen zum zu den Resultaten aus dem ISMS Inhalte: Bewertung der Ursachen bei einer Abweichung Ergreifung von geeigneten Maßnahmen zur Korrektur und Kontrolle bei Abweichungen Dokumentation der eingeleiteten Schritte 25

26 Kap Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Kontinuierliche Verbesserung des ISMS Inhalte: Sicherstellung der kontinuierlichen Verbesserung des ISMS Eignung Angemessenheit Effektivität 26

27 Wo ist der deming cycle (PDCA)? Plan Do Check Act 4 - Context of the organization 8 - Operation 9 - Performance evaluation 10 - Improvement 5 - Leadership 6 - Planning 7 - Support 27

28 Änderungen von der ISO 27001:2005 zur ISO 27001: Introduction 1 0. Introduction 1. Scope 2 1. Scope 2. Normative references 3 2. Normative references 3. Terms and definitions 4 3. Terms and definitions 4. Information security management system 5 4. Context of the organisation 4.1 General 4.2 Establishing and managing the ISMS 4.3 Documentation requirements Leadership 6. Planning 5. Management responsibility 8 7. Support 6. Internal ISMS audits 9 8. Operation 7. Management review of the ISMS Performance Evaluation 8. ISMS improvement Improvement 28

29 27002:2013 Code of Practice for Information Security 29

30 27002: Fokus Ziele - Anwendbar als alleinstehender Standard - klare Anforderungen - einfacher umzusetzen - Reduzierung von Redundanzen - Fortschreibung, um ein Information Security Standard des 21.sten Jahrhunderts zu werden - über technische Änderungen 30

31 27002: Struktur 5 - Security Policies 6 - Organization of Information Security 7 - Human Resource Security 8 - Asset Management 9 - Access Control 10 - Cryptography 13 - Communications Security 14 - Sys. Acc. Dev. And Maintenance 15 - Supplier Relationships 16 - IS Incident Management 17 - Info. Sec. Aspects of BCM 18 - Compliance 11 - Physical and Environmental Security 12 - Operations Security 31

32 27002:Supplier Relationships 15.1 Information security in supplier relationships Objective: To ensure protection of the organization s assets that is accessible by suppliers Information security policy for supplier relationships Information security requirements for mitigating the risks associated with supplier s access to the organization s assets should be agreed with the supplier and documented Adressing security within supplier agreements All relevant information security requirements should be established and agreed with each supplier that may access, process, store, communicate or provide IT infrastructure components for, the organization s information Information and communication technology supply chain Agreements with suppliers should include requirements to address the information security risks associated with information and communications technology sevices and product supply chain. 32

33 Neue Standards in der Entwicklung : Information Security Management Systems Professionals : Sector Specific Applications of ISMS 33

34 Fachartikel zum nachlesen Neues von der ISO 2700x Änderungen in ISO und ISO durch die Revision von Fachartikel von Andreas Rauer und Dr. Oliver Weissmann - erschienen in <kes> Die Zeitschrift für Informationssicherheit, Ausgabe 2013#6, S Download des Artikels als PDF:

35 Kontaktdaten Dr.-Ing. Oliver Weissmann Tel: xiv-consult GmbH Wintermühlenhof Königswinter 35