Information Security Management Nikolay Nedyalkov E-mail n nedyalkov iseca

Information Security Management Nikolay Nedyalkov E-mail: n. nedyalkov@iseca. org Mobile: +359 888 786616 Асоциация за информационна сигурност www. iseca. org

Стандарти за управление o Процесен подход n o Видове системи за управление n n o Постигането на бизнес-целите е по-ефективно, когато използваните ресурси и дейности се управляват като процес Система за управление на качеството (СУК) ISO 9001: 2000 Система за управление на околната среда (СУОС) ISO 14001: 2004 Системи за безопасни условия на труд OHSAS Системи за безопасно производство на хранителни продукти HACCAP Интегрирани системи за управление

Цикъл на Деминг (PDCA) o Етапи на внедряване и поддръжка на система за управление n n Планиране / Plan – разработват се необходимите документи за работата на системата (СУ) Действие / Do – внедряване на СУ Проверка / Check – оценка и измерване на дейностите спрямо целите Усъвършенстане / Act – предприемане на коригиращи и превантивни действия

Система за управление на информационната сигурност o o o Част от общата система за управление Целта е да се разработят, внедрят, инициират, наблюдават и подобряват дейности, свързани с информационната сигурност Базирана на подхода за бизнес риска

Термини и дефиниции o o o Политика по информационната сигурност Наръчник по информационна сигурност Процедури по информационна сигурност Контрола по информационна сигурност Декларация за приложимост – описва целите и механизмите на контрол, които са приложими към СУИС в дадена организация. Базира се на резултатите от извършен анализ за оценка и третиране на риска

Структура на ISO 27001: 2005 1. 2. 3. 4. 5. 6. 7. 8. Обхват Връзки Термини и дефиниции Система за управление на информационната сигурност (СУИС) Отговорност на ръководството Вътрешни одити Преглед на Ръководството на СУИС Подобрения на СУИС Приложение A: Цели по контрола и контроли (задължително) Приложение B: Указания за приложението на стандарта (информативно) Приложение C: Съответствия между EN ISO 9001: 2000, EN 14001: 2004 (информативно)

ISO 27001: 2005 - Клауза 1 1. Обхват 1. 1. Общи положения За какво се отнася стандарта 1. 2. Приложение Изискванията на стандарта са така описани, че да са приложими за всякакъв вид организации. Ако все пак някои са нерелевантни поради типа и/или дейността на организацията, по това изискване може да се направи изключение. Тези изключения трябва да бъдат обносновани. Това е описано в Декларацията за приложимост. Не могат да се правят изключения по клаузи 4, 5, 6, 7 и 8.

ISO 27001: 2005 - Клауза 4 - I 4. Система за управление на информационната сигурност (СУИС) 4. 1. Общи изисквания 4. 2. Създаване и управление на СУИС 4. 2. 1. Създаване на СУИС o Определя се обхвата и Политиката по СУИС. o Дефинира се подхода при оценка на риска o Идентификация, оценка и възможности за третиране на рисковете o Избират се контроли за третиране на риска o Разработва се Декларация за приложимост

ISO 27001: 2005 - Клауза 4 - II 4. 2. 2. Внедряване и действие на СУИС o Разработване и внедряване на План за третиране на риска o Внедряване на избраните в 4. 2. 1. контроли и процедурите за тяхното прилагане o Внедряване на програма за обучение и осъзнатост o Управление на дейността и ресурсите в организацията 4. 2. 3. Наблюдение и преглед на СУИС o Изпълнение на процедури и контроли за наблюдение o Извършване на прегледи на ефективността o Извършване на прегледи на нивото на остатъчния и приемливия риск o Планиране и провеждане на вътрешни одити o Провеждане на Прегледи от ръководството на СУИС o Водене на записи за събития, които могат да въздействат на СУИС

ISO 27001: 2005 - Клауза 4 - III 4. 2. 3. Поддръжка и подобрение на СУИС o Внедряване на идентифицираните подобрения o Предприемане на подходящи превантивни и коригиращи действия o Комуникиране на действията си и резултатите от тях към заинтересованите страни o Гарантиране, че подобренията постигат набелязаните цели 4. 3. Изисквания към документацията 4. 3. 1. Общи изисквания – СУИС трябва да включва: o Политика по сигурността и цели по контрола o Доклад за оценка на риска o План за третиране на риска o Документирани процедури по СУИС o Записи, изисквани от стандарта o Декларация за приложимост

ISO 27001: 2005 - Клауза 4 - IV 4. 3. 2. Контрол на документите Необходимо е да се внедри специална процедура за това. o Кой одобрява документите o Преглед, актуализиране и при нужда – повторна оценка o Идентифициране на промените от версия към версия и достъп до актуалните версии o Създаване на предпоставки за идентифициране на вътрешни и външни документи o Контролиране на разпространението 4. 3. 3. Контрол на записите Записите трябва да бъдат създавани, за да се гарантира изпълнението на изискванията на стандарта. Трябва да се гарантира тяхната необратимост и контрол. Нуждата им в конкретните области и обемът им се определя от Ръководството. (Пример: mail log, документи от одит, разрешения за физически достъп и т. н. )

ISO 27001: 2005 - Клауза 5 5. Отговорност на ръководството 5. 1 Ангажираност на ръководството 5. 2 Управление на ресурсите 5. 2. 1 Осигуряване на ресурсите 5. 2. 2 Обучение, осъзнатост, компетентност

ISO 27001: 2005 - Клауза 6 6. Вътрешни одити на СУИС Организацията трябва да провежда вътрешни одити на СУИС на планирани интервали, за да определи дали целите по контрола, контролите, процесите и процедурите СУИС.

ISO 27001: 2005 - Клауза 7 7. Преглед от ръководството на СУИС 7. 1 Общи положения 7. 2 Входни данни за Прегледа 7. 3 Изходни данни от Прегледа

7. 2 Входни данни за Прегледа А) Резултати от одити и прегледи на СУИС Б) Обратна връзка от заинтересованите страни В) Технологии, продукти или процедури, които могат да бъдат използвани от организацията за подобряването на действието и ефективността на СУИС

7. 2 Входни данни за Прегледа Г) Статут на превантивните и коригиращите действия Д) Уязвими места или заплахи, които не са били правилно третирани предишните оценки на риска Е) Уязвими места или заплахи, които не са били правилно третирани предишните оценки на риска Ж) Проследващи действия от предишни прегледи от ръководството З) Промени, които имат въздействие върху СУИС И) Препоръки за подобрения

7. 3 Изходни данни за Прегледа 7. 3. Изходни данни от Прегледа а) Подобрения на ефективността на СУИС б) Изменения на процедури, които влияят на информационната сигурност за да се отговори на вътрешни или външни събития, които могат да въздействат върху СУИС, включително промени в:

7. 3 Изходни данни за Прегледа Бизнес изискванията 2. Изискванията по сигурността 3. Бизнес процесите, които удволетворяват настоящите бизнес изисквания 4. Законови и нормативни изисквания 5. Нива на риска и/или нива на оценка на риск В) Необходими ресурси 1.

ISO 27001: 2005 - Клауза 8 8. Подобрение на СУИС 8. 1 Непрекъснато подобрение 8. 2 Корегиращи действия 8. 3 Превантивните действия

Сравнения между BS 7799 и ISO 27001 o o o Ролята на ръководството за определяне на остатъчните рискове Структурираност на декларацията за приложимост Увеличен акцент върху измерването на ефиктивността на контролите и целите на управление Клауза 6 и 7 - нови Акцент върху оценката на риска, ролите и отговорностите

Въпроси Асоциация за информационна сигурност www. iseca. org

Одити o o Целта на одита е да открие достоверни доказателства за правилното функциониране на внедрената система за управление Видове одити n n o Сертификационен Контролен Партньор – от втора страна Вътрешен Процес на сертификация n n Проектиране, разработка и внедряване на системата Одитиране от акредитирна сертифицираща организация Поддържане и усъвършенстване на системата Ресертификация