Rune Ask
Standarder for informasjonssikkerhet
IT Risk & Compliance Manager
Det Norske Veritas
Agenda
Kort om DNV og meg
Historien bak standardene
Oversikt over ISO/IEC 27xxx-standardene
ISO/IEC 27000 – Oversikt og terminologi
ISO/IEC 27001 – Krav til styringssystem for informasjonssikkerhet
ISO/IEC 27002 – Iverksetting av sikringstiltak
ISO/IEC 27004 – Måling
ISO/IEC 27005 – Risikostyring
ISO/IEC 27014 – Virksomhetsstyring av informasjonssikkerhet
Det Norske Veritas - DNV
En uavhengig stiftelse etablert i 1864
300 kontorer i 100 land
9000 ansatte fra over 85 nasjoner
Hovedkontor Lokale kontorer
Det Norske Veritas - DNV
Vårt mål: Å arbeide for sikring av liv, verdier og miljø
Vår visjon: Global påvirkning for en trygg og bærekraftig framtid
DNVs fokusområder DNV is a world leading classification society
- 15,5% of the world fleet to class
- 17% of ships ordered in 2009
- 70% of maritime fuel testing market
- Authorised by 130 national maritime authorities
- Continuous high performance in Port State Control worldwide
Broad experience in the energy industry - Cross-disciplinary competence within risk, management,
technology and operational expertise
- Our services and solutions are built on leading edge technology
- Offshore pipeline technology leader - DNV Offshore Rules for pipelines recognised as world class
- Deep water technology - Providing reliable verification and qualification of unproven technology
- Broad experience with LNG/Natural Gas
Services to industries
- Product certification
- Management system certification - More than 80 national accreditations and 70 000 certificates issued worldwide
- Corporate Responsibility
- Governance responsibility assessment
- Supply chain management
- Verification of sustainability reporting
- IT risk management services
- Business consulting services and solutions - Enterprise risk management
- Safety, Health and Environmental (SHE) risk management
- Change management
- Software products and services
- Training http://www.dnv.com
Rune Ask CISA, CISM, ITIL foundation
Ansatt som IT Security Risk & Compliance Manager i DNV
Tidligere daglig leder i programvarefirma, IT-sjef i rederi og sikkerhets-konsulent i revisjons- og konsulentselskaper pluss mye mer
Tidligere nestleder i IT-SikkerhetsForum i seks år
Tidligere fast plass i det offentlige Forum for IT-sikkerhet
ISACA – Information Systems Audit & Control Association
CISA – Certified Information Systems Auditor siden 1995
CISM – Certified Information Security Manager siden 2003
Deltok i utarbeidelsen av God IT-Skikk nr. 2 (GITS-2) – Tilgangskontroll
Skrev GITS-5 – Bruk av Internett
ISO/IEC 27001 (tidligere BS 7799-2)
Deltok i utviklingen av den siste versjonen av BS 7799-2
Foretok den offisielle oversettelsen av standarden til norsk – NS 7799
Deltok i videreutviklingen av standarden i ISO (ISO/IEC JTC1/SC27 WG1)
ISO/IEC 27002 (tidligere ISO/IEC 17799)
Satt i redaksjonskomitéen for den norske oversettelsen av ISO/IEC 17799
Framla dokumentet for godkjenning hos Norges Standardiseringsforbund
Deltok i videreutviklingen av standarden i ISO (ISO/IEC JTC1/SC27 WG1)
Leder av Standard Norge sin arbeidsgruppe for informasjonssikkerhet – K171
Norges Head-of-Delegation under møter i ISO/IEC JTC1/SC27
Sikkerhetsstandardene – litt historie …
BS 7799 – Code of Practice for Information Security Management
Utvikling påbegynt tidlig på 1990-tallet
Utviklet av Department of Trade and Industry
- BSI DISC - British Telecom - Shell
- Unilever - Midland Bank - Marks and Spencer
- Nationwide Building Soc.
Første versjon sluppet i 1993
2 deler
- I Introduksjon og bruksforklaring
- II Individuelle sikringstiltak
10 nøkkelpunkter
1. Sikkerhetspolicy
2. Tildeling av ansvar
3. Opplæring og kursing i informasjonssikkerhet
4. Rapportering av sikkerhetshendelser
5. Viruskontroll
6. Kontinuitetsplanlegging
7. Kopieringskontroll
8. Beskyttelse av virksomhetsdata
9. Etterlevelse av lover og forskrifter
10. Etterlevelse av sikkerhetspolicyen
BS 7799
Ny versjon i 1995
To dokumenter
- Det «gamle» Code of Practice
- Sammenstilling av sikringsmålene
Noe oppdatering av dokumentet
- Nøkkelområdene fjernet
Foreslått som ISO-standard
Ny versjon i 1999
- Dokument 1 noe oppdatert
- Dokument 2 ink. Struktur for arbeid med informasjonssikkerhet
Dokument 1 foreslått som ISO-standard via Fast-Track
ISO/IEC 17799
Vedtatt 8. august 2000 i Tokyo
Publisert 1. desember 2000
ISO/IEC 17799
Norsk standard i mai 2001 – NS-ISO/IEC 17799
Sertifisering gjøres etter BS 7799-2:2002 (NS 7799)
- Baserer seg på tiltakene i ISO/IEC 17799:2000
Revisjon av ISO/IEC 17799 vedtatt 24. oktober 2001
Arbeidsmøter i ISO/IEC JTC1/SC27 WG1
- Berlin, mai 2002, ~750 endringsforslag
- Warszawa, oktober 2002, ~650 endringsforslag
- Quebec, april 2003 – 0 endringsforslag
- Paris, oktober 2003, ~1000 endringsforslag
- Singapore, mai 2004, ~700 endringsforslag
- Berlin, juni 2004 – Ad-hoc-møte – 0 endringsforslag
- Fortaleza, oktober 2004
- Wien, april 2005
- Kuala Lumpur, november 2005
Nyere historie
Ønske om internasjonal standard for sertifisering av informasjonssikkerhet
Krav om bakoverkompatibilitet pga. eksisterende sertifikater
Storbritannia tilbyr BS 7799-2
Kjøres gjennom Fast Track med enkelte endringer
Vedtatt som ISO/IEC 27001 i 2005
April 2007: ISO/IEC 17799 skifter navn til ISO/IEC 27002
2009: Det vedtas at ISO/IEC 27001 & 27002 skal revideres
2010: Samkjøring av styringssystemer
- ISO 9000, ISO 14000, ISO/IEC 20000, ISO 22000, ...
- ISO/IEC 27001 er annerledes
For mer historie om arbeidet med sikkerhetsstandardene – last ned SC27 Platinum Book
http://www.jtc1sc27.din.de/sixcms_upload/media/3031/SC27Platinum_Book201010.pdf
SC27 Platinum Book
ISO/IEC 27xxx-familien
ISO/IEC 27xxx-familien
ISO/IEC 27000 Information security management system – Overview and
vocabulary (2009. Under revisjon)
ISO/IEC 27001 Information security management system – Requirements (2005. Under revisjon)
ISO/IEC 27002 Code of practice for information security management (2005. Under revisjon)
ISO/IEC 27003 Information security management system implementation
guidance (2010)
ISO/IEC 27004 Information security management – Measurements (2009)
ISO/IEC 27005 Information security risk management (2008, FDIS)
ISO/IEC 27006 Requirements for bodies providing audit and certification
of information security management systems (2007. Under revisjon)
ISO/IEC 27007 Guidelines for information security management system
auditing (FCD)
ISO/IEC 27008 Guidelines for auditors on information security controls (DTR)
ISO/IEC 27xxx-familien ISO/IEC 27010 Information security management for inter-sector and inter-
organisational communications (CD)
ISO/IEC 27011 Information security management guidelines for
telecommunications organizations based on ISO/IEC 27002 (2008)
ISO/IEC 27012 Information security management systems guidelines for
electronic government (Cancelled)
ISO/IEC 27013 Guidelines on the integrated implementation of ISO/IEC 27001
and ISO/IEC 20000-1(WD)
ISO/IEC 27014 Governance of information security (CD)
ISO/IEC 27015 Information security management systems guidelines for financial
services (WD)
ISO/IEC 27xxx-familien ISO/IEC 27031 Guidelines for ICT Readiness for Business Continuity (Draft)
ISO/IEC 27032 Guidelines for cybersecurity (WD)
ISO/IEC 27033 Network security (MultiPart)
ISO/IEC 27034 Application security (FCD)
ISO/IEC 27035 Information security incident management (FDIS)
ISO/IEC 27036 Guidelines for security of outsourcing (WD)
ISO/IEC 27037 Guidelines for identification, collection and/or acquisition and
preservation of digital evidence (WD)
ISO 27799 Information security management in health using ISO/IEC 27002 (2008)
Pekere:
http://www.iso.org
http://www.iso27001certificates.com
http://www.iso27001security.com
ISO/IEC 27000 Information technology – Security techniques – Information security
management systems – Overview and vocabulary
Inneholder rester fra ISO/IEC 13335 og definisjoner fra ISO/IEC 27001/2/5
Hva er et styringssystem for informasjonssikkerhet (ISMS)
Hvorfor er et det viktig med et ISMS
Prosesstilnærming - Plan, Do, Check, Act
Etablere, monitorere, vedlikeholde og forbedre et ISMS - Identifiser krav til informasjonsikkerhet
- Vurder informasjonsikkerhetsrisikoene
- Velg og implementer sikringstiltak
- Overvåking, oppfølging og forbedring
Kritiske suksessfaktorer ved implementering av et ISMS
Overordnet innføring i 27000-familien
Standarden vil bli revidert relativt ofte
Interessenter
Krav og
forventninger til
informasjonssikkerhet
Etablere ISMS-et
Iverksette og
forvalte ISMS-et
Vedlikeholde og
forbedre ISMS-et
Overvåke og
revidere ISMS-et
Kretsløp for
utvikling,
vedlikehold
og forbedring
Planlegg Plan
Utfør Do
Korrigere
Act
Kontroller Check
Interessenter
Styrt
informasjonssikkerhet
ISO/IEC 27001
Information security management systems – Requirement
ISO/IEC 27001
Etablere et ISMS
Definere omfanget til ISMS
Definere en ISMS-policy
Definere tilnærmingsmåte for
risikovurderinger
Identifisere risikoene
Analysere og evaluere risikoene
Identifisere og evaluere alternativer for håndtering av risikoene
Velge mål for tiltakene og tiltak for å behandle risikoene
Innhente ledelsens godkjenning for restrisikoene
Innhente ledelsens godkjenning til å iverksette og drifte ISMS
Utarbeide anvendelighetserklæringen (SoA - Statement of Applicability)
Plan
Do Act
Check
Plan
Do Act
Check
ISO/IEC 27001
Implementere og forvalte ISMS
Formulere en handlingsplan for risiko
Implementere handlingsplanen for risiko
Implementere valgte sikringstiltak som
oppfyller målet for informasjonssikkerhet
Definere hvordan effektiviteten på tiltakene skal måles, og spesifisere
hvordan målingene skal benyttes til å avdekke tiltakenes virkningsgrad
på en måte som kan repeteres og sammenliknes
Iverksette bevisstgjørings- og opplæringsprogrammer
Administrere oppgavene i styringssystemet
Administrere ressursene i styringssystemet
Implementere prosedyrer og andre tiltak for raskt å kunne oppdage og
håndtere sikkerhetsbrudd
ISO/IEC 27001
Monitorere og revidere ISMS
Gjennomføre prosedyrer for overvåking
Gjennomføre regelmessig gjennomganger av effektiviteten til styringssystemet
Måle effektiviteten på sikringstiltakene for å verifisere at kravene til sikkerhet oppfylles
Jevnlig gjennomføre risikovurderinger og vurdere om nivået på restrisiko og akseptabel risiko er riktig
Jevnlig gjennomføre interne revisjoner av styringssystemet
Jevnlig gjennomføre ledelsens gjennomgang av ISMS for å verifisere at omfanget er riktig og at forbedringer av styringssystemet kan identifiseres
Oppdatere planer sikring basert på observasjoner gjort under revisjoner og gjennomganger
Dokumentere aktiviteter og hendelser som kan påvirke egnetheten og effektiviteten til styringssystemet
Plan
Do Act
Check
ISO/IEC 27001
Vedlikeholde og forbedre ISMS
Implementere de identifiserte
forbedringene i styringssystemet
Iverksette dekkende korrektive
og preventive tiltak og aktiviteter
Kommunisere aktivitetene og forbedringene
til alle interessenter og dersom det er relevant,
innhente samtykke til videre aktiviteter
Sikre at forbedringene oppnår de forventede målene
Plan
Do Act
Check
ISO/IEC 27001 – Vedlegg A
11 områder
39 sikringsmål
133 sikringstiltak
5 Sikkerhetspolicy
5.1 Informasjonssikkerhetspolicy
Mål: Å gi rettledning og støtte fra ledelsen i forbindelse med informasjonssikkerhet i overensstemmelse med
virksomhetskravene og relevante lover og forskrifter.
5.1.1 Dokumentasjon av
informasjonssikkerhets-
policyen
Dokumentasjon av informasjonssikkerhetspolicyen skal godkjennes av ledelsen og
offentliggjøres og formidles på en hensiktsmessig måte til alle ansatte og relevante
eksterne interessenter.
5.1.2 Revisjon av informasjons-
sikkerhetspolicyen
Informasjonssikkerhetspolicyen skal revideres med planmessige mellomrom eller hvis
det oppstår betydelige endringer, for å sikre at policyen er egnet, passende og effektiv.
ISO/IEC 27002
Code of practice for information security management
Neste versjon: Code of practice for information security controls
En katalog med forslag til sikringstiltak
11 områder – Security areas
5 Informasjonssikkerhetspolicy
6 Organisering av informasjonssikkerhet
7 Administrasjon av aktiva
8 Personellsikkerhet
9 Fysisk og miljømessig sikkerhet
10 Kommunikasjons- og driftsadministrasjon
11 Aksesskontroll
12 Anskaffelse, utvikling og vedlikehold av informasjonssystemer
13 Administrasjon av informasjonssikkerhetsbrudd
14 Kontinuitetsplanlegging
15 Samsvar
39 mål – Security Objectives
133 tiltak – Security Controls
ISO/IEC 27002
Control objective
Sikringsmål for området
Control
”Krav” til sikringstiltak
Én setning
Organisasjonen bør iverksette tiltak for informasjonssikkerhet
Implementation guidance
Omfattende råd om hvordan sikringstiltaket kan innføres
Other information
Ytterligere råd
Pekere til andre standarder og relevant informasjon
Eksempel fra ISO/IEC 27002
ISO/IEC 27004
Information security management – Measurements
Måling av informasjonssikkerhet
Effektiviteten til ett enkelt sikringstiltak eller til en gruppe av tiltak - Effectivness – not efficiency
Hvordan sette opp et regime for måling - Måleprogram
- Repeterbarhet
Hvordan målinger kan gjennomføres - Kvantitative
- Kvalitative
- Frekvens
Hvilke typer elementer finnes - Basismålinger
- Avledede målinger
- Skalaer
- Vekting
- Indikatorer
Information security risk management
Beskrivelse av prosessen for risikostyring
- Definere omfang
- Registrere aktiva
- Definere akseptabelt risikonivå
- Identifisere trusler
- Avdekke sårbarheter
- Utføre risikovurdering
- Iverksette sikringstiltak
- Informere interessenter
- Gjenta ad infinitum
Vedlegg
- Liste over sårbarheter
- Liste over trusler
- Verdifastsetting av aktiva
ISO/IEC 27005
ISO/IEC 27014
Virksomhetsstrategi
Informasjonssikkerhets-
strategi
Forvaltning av
informasjonssikkerhet
Virksomhetsforvaltning
Strategitilpasning
Verdileveranse
Styring/Strategi
Ledelse/Forvaltning
Info
rmasjo
nssik
kerh
et F
orr
etn
ing
svir
kso
mh
et
Governance of Information Security
ISO/IEC 27014
1. Innfør informasjonssikkerhet i hele organisasjonen
2. Innfør en risikobasert tilnærming
3. Bestem målsetning for investeringer
4. Påse etterlevelse med interne og eksterne krav
5. Tilstrebe en bedriftskultur som er positiv til informasjonssikkerhet
6. Vurder ytelsen relatert til virksomhetens mål
Prinsipper for god virksomhets- styring av informasjonssikkerhet
ISO/IEC 27014
Modell for virksomhetsstyring av informasjonssikkerhet
Styre
Overvåke
Evaluere
Rapportere
Forsikre