… W H E N E X P E R I E N C E M A T T E R S

STARPTAUTISKIE STANDARTI INFORMĀCIJAS DROŠĪBAIISO 27001 Informācijas drošības pārvaldības sistēma

… W H E N E X P E R I E N C E M A T T E R S

ISO publicējusi vairāk kā 21’000 Starptautisko Standartu

… W H E N E X P E R I E N C E M A T T E R S

ISO dalībvalstis

… W H E N E X P E R I E N C E M A T T E R S

Pārvaldības sistēmu sertifikācija un akreditācija

Akreditācijas birojs

Sertifikācijas institūcija 1

Organizācija 1

Organizācija 2

Sertifikācijas institūcija 2

Organizācija 3

Valsts organizācijasLATAK, UKAS, Swiss

Accreditation …

Privāto tiesību subjektiBM Trada, BVQI, Loyds,…

Akreditē

Sertificē

ISO Starptautiskos Standartus Apstiprina ISO dalībvalstu Nacionālās Standartu organizācijas (LVS)

Sertifikāts (piemērs)

Akreditācijas zīme

Derīguma termiņš

Sertifikācijas institūcijas logo

Standarts un darbības sfēra

Starptautiskās Atzīšanas zīme

… W H E N E X P E R I E N C E M A T T E R S

… W H E N E X P E R I E N C E M A T T E R S7

Kas ir informācijas sistēma?

… W H E N E X P E R I E N C E M A T T E R S

Informācijas sistēma var būt šāda…

8

… W H E N E X P E R I E N C E M A T T E R S

… arī šāda…

9

… W H E N E X P E R I E N C E M A T T E R S

… un protams arī šāda!

10

… W H E N E X P E R I E N C E M A T T E R S

Informācijas sistēma ir …• ISO27000: Jebkurš komponentu kopums, kas tiek izmantots lai

rīkotos ar informāciju. Informācijas sistēmas ietver lietojumprogrammas, pakalpojumus vai citus resursus informācijas apstrādei

(An information system is any set of components that is used to handle information. Information systems include applications, services, or any other assets that handle information)

• Definīcija 2: … iekārtu, procedūru un personāla kopums, kas ir izveidots, strādā un tiek uzturēts, lai vāktu, uzkrātu, apstrādātu, uzglabātu un izmantotu informāciju

• Valsts informācijas sistēmu likums: Strukturizēts informācijas tehnoloģiju un datu bāzu kopums, kuru lietojot tiek nodrošināta valsts funkciju izpildei nepieciešamās informācijas ierosināšana, radīšana, apkopošana, uzkrāšana, apstrādāšana, izmantošana un iznīcināšana (turpmāk — informācijas aprite) 11

… W H E N E X P E R I E N C E M A T T E R S

Kurš ir atbildīgs par informācijas drošību informācijas sistēmās?

12

… W H E N E X P E R I E N C E M A T T E R S

Administratori

13

… W H E N E X P E R I E N C E M A T T E R S

Kārtības uzturētāji

14

:

… W H E N E X P E R I E N C E M A T T E R S

Lietotāji

15

… W H E N E X P E R I E N C E M A T T E R S

Drošības kontekstā pamat-apdraudējumiir darbinieku un klientu dati kas ir to rīcībā

16

Avots PWC : The Global State of Information Security Survey 2016

… W H E N E X P E R I E N C E M A T T E R S

Riski pieaug

17

Avots PWC : The Global State of Information Security Survey 2016

… W H E N E X P E R I E N C E M A T T E R S

Tehnoloģijas vien nevar atrisināt drošības riskusJābūt standartizētām procedūrām

18

Avots PWC : The Global State of Information Security Survey 2016

… W H E N E X P E R I E N C E M A T T E R S19

Kas ir informācijas drošība?

… W H E N E X P E R I E N C E M A T T E R S

Informāciju var sargāt ieslēdzot seifā!

20

… W H E N E X P E R I E N C E M A T T E R S

Noliekot sargus priekšā visam!

21

… W H E N E X P E R I E N C E M A T T E R S

Veidojot rezerves kopijas!

22

… W H E N E X P E R I E N C E M A T T E R S

Visu rūpīgi uzraugot!

23

… W H E N E X P E R I E N C E M A T T E R S

Informācijas drošība nozīmē…Informācijas drošības mērķis ir aizsargāt un saglabāt informācijas konfidencialitāti, integritāti un pieejamību.Informācijas drošība var iekļaut arī informācijas autentiskuma un uzticamības aizsardzību un iesaistīto pušu

24

Konfidencialitāte

Integritāte

Pieejamība

… W H E N E X P E R I E N C E M A T T E R S

Kas ir ISO27001:2013?• Standarta oficiālais nosaukums:

ISO/IEC 27001:2013 „Information technology— Security techniques — Information security management systems — Requirements”

• Latviski:LVS ISO/IEC 27001:2013 „Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas. Prasības”

… W H E N E X P E R I E N C E M A T T E R S

ISO27001 vēsture• 1992.g. Apvienotās Karalistes Tirdzniecības un industrijas departaments

publicē „Informācijas drošības pārvaldības prakses kodeksu” (Code of Practice for Information Security Management).

• 1995.g. atjaunota dokumenta versija publicē BSI (British Standards Institute), piešķirot tam BS7799 kodu.

• 1999.g. Būtiskas izmaiņas, paredzot akreditācijas un sertifikācijas procedūras• 2000.g. standarta 1. daļa adaptēta kā ISO/IEC 17799.

• LVS ISO/IEC 17799:2002 “Informācijas tehnoloģija. Prakses kodekss informācijas drošības pārvaldībai” noteiktās prasības

• 2005.g. jauna standarta versija, mainot standarta kodu uz ISO 27001 un saskaņojot prasības ar ISO 9001 (Kvalitātes vadības sistēmas prasības) un ISO 14000 (Vides pārvaldības sistēmas prasības).

• 2013.g. būtiskas izmaiņas, ņemot vērā industrijas tendences, kā arī, atvieglojot un piemērojot to ieviešanai mazos un vidējos uzņēmumos.

… W H E N E X P E R I E N C E M A T T E R S

ISO 27001:2013 standarta principi• Informācijas konfidencialitāte – aizsardzība pret neatļautu piekļuvi.• Informācijas savietojamība – novērst traucējošu un nevēlamu

informācijas pārveidošanu.• Informācijas pieejamība – nodrošināt ērtu pieeju informācijai un

pakalpojumiem pilnvarotajām personām.

Ar BM TRADA palīdzību Jūs varat pierādīt sava uzņēmuma Informācijas drošības sistēmas atbilstību ISO 27001 standartam un iegūt:

• Darbības nepārtrauktību un efektivitāti• Klientu un sadarbības partneru uzticību• Atbilstību normatīvajiem aktiem• Priekšrocību pār konkurentiem, parādot klientiem, ka informāciju

uzskatāt par ļoti svarīgu resursu

… W H E N E X P E R I E N C E M A T T E R S

Standarta piemērojamība• Standarts tikt piemērots jebkurā organizācijā, neatkarīgi no

tās izmēra un darbības veida• Kritiskās nozares

• Informācijas un telekomunikāciju pakalpojumi• Datu apstrāde (piemēram, papīra informācijas digitalizācija,

grāmatvedības un personāla vadības ārpakalpojumi u.c.);• Zvanu centru pakalpojumi• Pacientu datu apstrāde (telemedicīna, elektroniska pacientu datu

uzglabāšana, pārsūtīšana u.c.)• Finanšu pakalpojumu sniegšana• Publiskā pārvalde• Energoapgāde

… W H E N E X P E R I E N C E M A T T E R S

Kāpēc nepieciešams• Pārliecība par to, ka informācijas drošības riski ir

identificēti, atbilstoši novērtēti un pārvaldīti• Drošības izdevumu samērīgums ar riskiem• Aizsardzība pret iespējamiem kiberuzbrukumu

apdraudējumiem• Atbilstības demonstrēšana likumdošanas prasībām,

industriālajiem un nozares standartiem• Pārliecība, ka tiks nodrošinātas līgumiskās saistības un

korporatīvās pārvaldības prasības• Atbilstība iepirkuma kvalifikācijas prasībām tajos gadījumos,

ja informācijas drošības pārvaldības sistēmas esamība ir pretendentu atlases kritērijs

… W H E N E X P E R I E N C E M A T T E R S

ISO 27001 standarta pieejamība• International Organization for Standardization interneta

katalogā www.iso.ch (118-142 CHF)• Standartizācijas, akreditācijas un metroloģijas centrs (LVS e-

veikals)• u.c. Nacionālo Standartu organizāciju mājas lapās

• https://standards.cen.eu/dyn/www/f?p=CENWEB:5

… W H E N E X P E R I E N C E M A T T E R S

Standartu saimeISO/IEC 27000:2014Information technology -- Security techniques -- Information security management systems -- Overview and vocabularyISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems -- RequirementsISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controlsISO/IEC 27003:2010 Information technology -- Security techniques -- Information security management system implementation guidanceISO/IEC 27004:2009 Information technology -- Security techniques -- Information security management -- Measurement

… W H E N E X P E R I E N C E M A T T E R S

Un vēl ….ISO/IEC 27005:2011Information technology -- Security techniques -- Information security risk managementISO/IEC 27006:2011Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systemsISO/IEC 27007:2011Information technology -- Security techniques -- Guidelines for information security management systems auditingISO/IEC TR 27008:2011Information technology -- Security techniques -- Guidelines for auditors on information security controlsISO/IEC 27010:2012Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communications

… W H E N E X P E R I E N C E M A T T E R S

Turpinājums ….ISO/IEC 27011:2008Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002ISO/IEC 27013:2012Information technology -- Security techniques -- Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1ISO/IEC 27014:2013Information technology -- Security techniques -- Governance of information securityISO/IEC TR 27015:2012Information technology -- Security techniques -- Information security management guidelines for financial servicesISO/IEC TR 27016:2014Information technology -- Security techniques -- Information security management -- Organizational economicsISO/IEC 27018:2014Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

… W H E N E X P E R I E N C E M A T T E R S

Papildus ?ISO/IEC TR 27019:2013Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry

…. Viss

… W H E N E X P E R I E N C E M A T T E R S

LVS ISO/IEC 27001:2013 „Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas. Prasības”

Standarts adaptēts Latvijas Republikā (skat. www.samc.gov.lv)

International Organization for Standardization

International Electrotechnical Comission (Commission électrotechnique internationale)

Sērija – 27k – «informācijas drošība»

Apstiprināšanas gads

Galvenie jēdzieni

… W H E N E X P E R I E N C E M A T T E R S

Standarta struktūraStandarts satur 11 daļas un 1 pielikumu:• 0. Ievads• 1. Darbības sfēra (scope)• 2. Normatīvās atsauces• 3. Termini un definīcijas • 4. Organizācijas konteksts • 5. Vadības atbildība (leadership) • 6. Plānošana • 7. Uzturēšana • 8. Darbināšana • 9. Darbības novērtējums • 10. Uzlabošana• Pielikums A (Annex A) – Atsauces kontroles mērķi un kontroles

(Reference Control Objectives and controls)

… W H E N E X P E R I E N C E M A T T E R S

Riski• Iepriekš ISO27000:2012 definēts kā ‘combination of the probability

of an event and its consequence’• Jaunā definīcija atbilstoši ISO31000: ‘effect of uncertainty on

objectives’• Piezīme 1: Novirzes no mērķiem var būt pozitīvas un negatīvas• Piezīme 2: Mērķiem var būt dažādi aspekti: piemēram, finansiāli,

darba drošības un veselības, informācijas drošības un vides. Mērķi var attiekties uz dažādiem organizācijas struktūras līmeņiem, projektiem, produktiem un/vai procesiem.

• Piezīme 3: Riski bieži tiek raksturoti kā notikuma un seku kombinācija• Piezīme 4: Informācijas drošības riski parasti tiek raksturoti kā

informācijas drošības notikuma seku un varbūtības kombinācija.

… W H E N E X P E R I E N C E M A T T E R S

6.3 Informācijas drošības mērķi• Jānosaka atbilstošos funkcionālajos līmeņos• Mērķiem jābūt:

• Saskanīgiem ar informācijas drošības politiku• Jābūt mērāmiem (ja piemērojams)• Jāņem vērā piemērojamās informācijas drošības prasības, risku

novērtēšanas un risku novēršanas plāna rezultāti• Jābūt komunicētiem• Jābūt atbilstoši aktualizētiem

• Informācijas drošības mērķi ir jādokumentē

… W H E N E X P E R I E N C E M A T T E R S

6.3.1 Plānojot informācijas drošības mērķus:• Jānosaka, ko ir nepieciešams izdarīt• Kādi resursi ir nepieciešami• Kas ir atbildīgs• Kad tas ir jāizdara• Kā tiks novērtēti rezultāti

• SMART: Specific/ Measurable/ Actionable/ Results-oriented/ Timely• Nav tieša ISO27001 prasība

… W H E N E X P E R I E N C E M A T T E R S

7.Atbalsts

7.1 ResursiOrganizācijai ir jānosaka un jānodrošina nepieciešamie resursi informācijas drošības pārvaldības sistēmas izveidei, ieviešanai, uzturēšanai un nepārtrauktai uzlabošanai• Budžeti• Cilvēkresursi• Materiālie un tehniskie resursi

… W H E N E X P E R I E N C E M A T T E R S

7.2 Kompetence• Jānosaka, kāda kompetence ir nepieciešama darbiniekiem,

kas strādā organizācijas pārvaldībā un ietekmē tās informācijas drošību• Prasība ir attiecināma arī uz līgumdarbiniekiem un

ārpakalpojumu sniedzējiem• Jānodrošina minēto personu kompetence, balstoties uz

atbilstošu izglītību, apmācību vai pieredzi• Ja piemērojams, jānodrošina pasākumi nepieciešamās

kompetencesBM Trada Latvija piedāvā virkni dažādus izglītojošos seminārus darbinieku kompetences celšanai: Tuvākais 4,5 CPE stundu apmācības seminārs par ISO 27001 būs 29.aprīlī plašāka informācija http://bmtrada.lv/apmacibas/

… W H E N E X P E R I E N C E M A T T E R S

Paldies par uzmanību!

E-pasts: bmtrada@bmtrada.lv