Neues aus der Standardisierung:! ISO/IEC 27001 & 27002:2013 Dr.-Ing. Oliver Weissmann Co-Editor der ISO/IEC 27002:2013 ZertiFA 2014, Berlin, 0
xiv-consult GmbH Security Softskills Social Engineering Legal Support Trainings Datenschutz Awareness Control Implementation 2700x Implementation ITGS Dienstleisterkontrolle BCBS 239 Security Management Industrial Security ENWG 44 Preparation MA Risk Compliance 2
Standards... - ISO/IEC 15946 1:1999 Information Technology Security Techniques Cryptographic Techniques Based on Elliptic Curves Part 1: General - ISO/IEC 27002:2005 Information Technology Security Techniques Code of Practice for Information Security Management - ISO/IEC 27000:2009 Information Technology Security Techniques Information Security Management Systems Overview and Vocabulary - ISO/IEC 27003:2010 Information Technology Security Techniques Information Security Management System Implementation Guidance - ISO/IEC 27002:2013 Information Technology Security Techniques Code of Practice for Information Security Controls 3
Zeitstrahl Security Management ist nicht neu! 1980 1989 1993 1995 1998 1999 2000 2005 2007 2008 2009 2010 2013 4
Verteilung der ISO 27001 Zertifikate Japan UK India Taiwan China Germany Czech Republic Korea USA Italy Spain Hungary Malay Poland Thailand Greece Rest 0 1250 2500 3750 5000 5
270xx Familie Vokabular 27000 Überblick und Vokabular Anforderungs Standards 27001 Managementsystem für Informationssicherheit - Anforderungen 27006 Anforderungen an Zertifizierer von Managementsystemen für Informationssicherheit 27002 Leitfaden / Code of Practice TR 27008 Leitfaden zur Prüfung von ISMS Maßnahmen ISMS Standard Familie Anleitende Standards 27003 ISMS - Anleitung zur Implementation 27004 ISMS - Messung von Informationssicherheit 27013 Leitfaden zur integrierten Implementation von ISO/IEC 27000 und ISO/IEC 20000-1 27014 Governance von Informationssicherheit 27005 ISMS - Risikomanagement TR 27016 ISMS - Organisationsökonomie 27007 Leitfaden zur Prüfung eines ISMS Sektorspezifisch e Standards 27010 Informationssicherheitsleitfaden für die Inter Sektor- und Inter Organisations- Kommunikation 27011 ISMS Leitfaden für Telekommunikation 27015 ISMS Leitfaden für den Finanzdienstleistungen Massnahmenspezifische Standards 2703x 2704x 6
270xx Familie 27000 Terms and Definitions 27011 Sector Telecommunication 27031 ICT Readiness for BCM 27001 Requirements 27002 Code of Practice 27003 Impl. Guidance 27004 Measurements 27005 IS Risk Management 27006 Req. for Cert. Bodies 27007 Guidel. to Auditing 27008 GL. for Auditors on Controls 27010 Inter-sector inter-org. comm. 27013 Integ. Impl. of 20000 & 27001 27014 Governance of InfoSec 27015 Sector Financial Services 27016 Organisational Economics 27017 Cloud Computing 27018 Public Cloud Computing Serv. 27799 Healthcare 27032 Cyber Security 27033 Network Security 27034 Application Security 27035 IS Incident Mgmt. 27036 Supplier Relationships 27037 Digital Evidence 27039 IDPS 27040 Storage Security 27041-43 Investigation 27044 Sec. Inform. and Event Mgmt. 7
Kap. 4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system Definition des Scope (Anwendungsbereich) für das ISMS Inhalte: Interner Kontext Organisation Prozesse etc. Externer Kontext Gesetzliche und regulatorische Anforderungen Vertragliche Verpflichtungen Zulieferer (innerhalb und außerhalb der Company) Interessierte Dritte (interested parties) Schnittstellen und Abhängigkeiten für Aktivitäten, die innerhalb des ISMS durchgeführt werden und solcher, die von Externen zugeliefert werden 8
Kap. 5 - Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities Führung und Kommunikation der Informationssicherheitspolitik und deren Ziele Inhalte: Festlegung der Ziele für das ISMS im Einklang mit den strategischen Unternehmenszielen Bereitstellung der erforderlichen Ressourcen für das ISMS Regelmäßige Kommunikation der Wichtigkeit des ISMS Sicherstellung, dass beabsichtigte Resultate erreicht werden Anweisung, dass MA die Effektivität des ISMS zu unterstützen haben Forderung einer kontinuierlichen Verbesserung 9
Kap. 5 - Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities Einführung einer Information Security Policy Inhalte: Ziele des ISMS bzw. Framework für die Erreichung der der Ziele Verpflichtung zur Erfüllung von anwendbaren Anforderungen Verpflichtung zur kontinuierlichen Verbesserung des ISMS Diese Policy muss als Dokument: Allen beteiligten MA verfügbar sein Innerhalb des Scopes kommuniziert werden Für beteiligte Dritte (interested parties) verfügbar sein 10
Kap. 5 - Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities Rollen und Verantwortlichkeiten sowie deren Befugnisse Inhalte: Top-Management muss Verantwortlichkeiten und deren Befugnisse eindeutig zuweisen Sicherstellung eines Reporting über die Leistung (Performance) des ISMS an das Top- Management 11
Kap. 6 - Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and plans to achieve them Information Security Risk Management und SoA (Statement of Applicability) Inhalte: Risikoanalyse/-identifikation Risikobewertung Festlegung des Risk Owners Festlegung von Risikoklassen/-stufen Kriterien für Risikoakzeptanz Risikobericht Risikobehandlung Definition von Maßnahmen gegen die Risiken Erstellung des SoA Erstellung eines Risikobehandlungsplan Risikoakzeptanz 12
Kap. 6 - Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and plans to achieve them Definition von Informationssicherheitszielen Inhalte: Definition und Kommunikation der Informationssicherheitsziele im Einklang mit den Unternehmenszielen Messung der Informationssicherheitsziele Aktualisierung der Informationssicherheitsziele wenn erforderlich 13
Kap. 7 - Support 7.1 Resources 7.2 Competence 7.3 Awareness Ressourcen Management für das ISMS Inhalte: Definition der erforderlichen Ressourcen zum Aufbau, Betrieb und zur kontinuierlichen Verbesserung des ISMS 7.4 Communication 7.5 Documented Information 14
Kap. 7 - Support 7.1 Resources 7.2 Competence 7.3 Awareness Kompetenzen / Fähigkeiten für die Informationssicherheit Inhalte: Feststellung der Kompetenzen aller MA im Scope Erlangung der erforderlichen Kompetenzen für MA und Rollen innerhalb des ISMS Nachweis dieser Kompetenzen 7.4 Communication 7.5 Documented Information 15
Kap. 7 - Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented Information Sensibilisierung / Awareness für die Informationssicherheit Beteiligte MA innerhalb des Scope müssen: Die Information Security Policy und deren Inhalte kennen Wissen, dass sie einen Beitrag zur Wirksamkeit des ISMS und der kontinuierlichen Verbesserung leisten müssen Über die Auswirkungen bei nicht Befolgung der Anforderungen aus dem ISMS in Kenntnis gesetzt werden 16
Kap. 7 - Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication Kommunikationsmanagement für das ISMS Inhalte: Was wird kommuniziert Wann wird kommuniziert Mit wem wird kommuniziert Wer kommuniziert Dokumentierte Verfahren für die Kommunikation innerhalb des ISMS 7.5 Documented Information 17
Kap. 7 - Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented Information Dokumentation für das ISMS Inhalte: Erstellung der durch die Norm und durch das Unternehmen selbst geforderten Dokumentation Dokumentenmanagement Erstellung Aktualisierung und Versionskontrolle Freigaben Formate Verteilung und Zugriffe Lagerung und Archivierung Angemessener Schutz der ISMS Dokumentation Identifikation von Dokumentation von externen Herkunft mit Einfluss auf das ISMS 18
Kap. 8 - Operation 8.1 Operational planning and control 8.2 Information security risk assessement 8.3 Information security risk treatment Planung, Umsetzung und Kontrolle der für den Betrieb des ISMS erforderlichen Prozesse Inhalte: Planung und Umsetzung der Maßnahmen aus dem Risikomanagement Steuerung und Überprüfung geplanter Änderungen (Changes) Identifikation und Steuerung ausgelagerter Prozesse(Outsourcing) 19
Kap. 8 - Operation 8.1 Operational planning and control 8.2 Information security risk assessement 8.3 Information security risk treatment Betrachtung der Informationssicherheitsrisiken Inhalte: Durchführung von regelmäßigen Risikobetrachtungen (risk assessment) Verabschiedung / Freigabe eines Risikobehandlungsplan 20
Kap. 8 - Operation 8.1 Operational planning and control 8.2 Information security risk assessement Risikobehandlung Inhalte: Erstellung und Umsetzung eines Risikobehandlungsplan Dokumentation der Ergebnisse aus der Risikobehandlung 8.3 Information security risk treatment 21
Kap. 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review Messung der Leistung und Effektivität des ISMS Inhalt: Methodik zur Messung, Analyse und Bewertung Was wird gemessen Wann wird gemessen Wer misst Wie werden die Ergebnisse ausgewertet Wer wertet die Ergebnisse aus 22
Kap. 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review Interne (ISMS-)Audits Inhalte: Regelmäßige Durchführung von internen Audits, um sicherzustellen, dass die Anforderrungen der Norm sowie die eigenen Anforderungen an das ISMS wirksam umgesetzt sind Erstellung eines Auditprogramms unter Berücksichtigung der Wichtigkeit beteiligter Prozesse Reporting der Auditergebnisse an das zuständige Management 23
Kap. 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review Managementbewertung des ISMS Inhalte: Durchführung einer Managementbewertung des ISMS mit dem Top-Management Status von Maßnahmen Relevante Änderungen innerhalb des Scopes Rückmeldungen von Beteiligten Ergebnisse aus Messungen Risikolage und Status der Risikobehandlung Möglichkeiten zur kontinuierlichen Verbesserung Schriftliche Dokumentation der Entscheidungen aus der Managementbewertung 24
Kap. 10 - Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Reaktion bei Abweichungen zum zu den Resultaten aus dem ISMS Inhalte: Bewertung der Ursachen bei einer Abweichung Ergreifung von geeigneten Maßnahmen zur Korrektur und Kontrolle bei Abweichungen Dokumentation der eingeleiteten Schritte 25
Kap. 10 - Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Kontinuierliche Verbesserung des ISMS Inhalte: Sicherstellung der kontinuierlichen Verbesserung des ISMS Eignung Angemessenheit Effektivität 26
Wo ist der deming cycle (PDCA)? Plan Do Check Act 4 - Context of the organization 8 - Operation 9 - Performance evaluation 10 - Improvement 5 - Leadership 6 - Planning 7 - Support 27
Änderungen von der ISO 27001:2005 zur ISO 27001:2013 0. Introduction 1 0. Introduction 1. Scope 2 1. Scope 2. Normative references 3 2. Normative references 3. Terms and definitions 4 3. Terms and definitions 4. Information security management system 5 4. Context of the organisation 4.1 General 4.2 Establishing and managing the ISMS 4.3 Documentation requirements 6 7 5. Leadership 6. Planning 5. Management responsibility 8 7. Support 6. Internal ISMS audits 9 8. Operation 7. Management review of the ISMS 10 9. Performance Evaluation 8. ISMS improvement 11 10. Improvement 28
27002:2013 Code of Practice for Information Security 29
27002: Fokus Ziele - Anwendbar als alleinstehender Standard - klare Anforderungen - einfacher umzusetzen - Reduzierung von Redundanzen - Fortschreibung, um ein Information Security Standard des 21.sten Jahrhunderts zu werden - über 3.000 technische Änderungen 30
27002: Struktur 5 - Security Policies 6 - Organization of Information Security 7 - Human Resource Security 8 - Asset Management 9 - Access Control 10 - Cryptography 13 - Communications Security 14 - Sys. Acc. Dev. And Maintenance 15 - Supplier Relationships 16 - IS Incident Management 17 - Info. Sec. Aspects of BCM 18 - Compliance 11 - Physical and Environmental Security 12 - Operations Security 31
27002:Supplier Relationships 15.1 Information security in supplier relationships Objective: To ensure protection of the organization s assets that is accessible by suppliers. 15.1.1 Information security policy for supplier relationships Information security requirements for mitigating the risks associated with supplier s access to the organization s assets should be agreed with the supplier and documented. 15.1.2 Adressing security within supplier agreements All relevant information security requirements should be established and agreed with each supplier that may access, process, store, communicate or provide IT infrastructure components for, the organization s information. 15.1.3 Information and communication technology supply chain Agreements with suppliers should include requirements to address the information security risks associated with information and communications technology sevices and product supply chain. 32
Neue Standards in der Entwicklung - 27021 : Information Security Management Systems Professionals - 27009 : Sector Specific Applications of ISMS 33
Fachartikel zum nachlesen Neues von der ISO 2700x Änderungen in ISO 27001 und ISO 27002 durch die Revision von 2013 - Fachartikel von Andreas Rauer und Dr. Oliver Weissmann - erschienen in <kes> Die Zeitschrift für Informationssicherheit, Ausgabe 2013#6, S.83-89 - Download des Artikels als PDF: http://www.xiv-consult.de/?page_id=400 0 34
Kontaktdaten Dr.-Ing. Oliver Weissmann Email: ow@xiv-consult.de Tel: +49 151 14968129 xiv-consult GmbH Wintermühlenhof 4 53639 Königswinter 35