iso 27001 ledelsesværktøj til digital risikostyring - dubex · iso27001 –uddrag af centrale...
TRANSCRIPT
Bygholm Park, Horsens, den 12. maj 2016
ISO 27001 – Ledelsesværktøj til digital risikostyringJohn Wiingaard, GRC konsulent, Dubex
Agenda
1. Formål
2. IT-sikkerhedsudfordringer anno 2016
3. Hvorfor ISO27001 er relevant?
4. Hvad er essensen af ISMS i ISO27001?
5. Hvordan kommer man i gang med arbejdet?
6. Efter i dag….
Hvad skal vi have ud af dette indlæg?
• Mål for dette indlæg:
• Undgå at ”drukne” i detaljerede omfattende it-sikkerhedsmuligheder ved at forankre it-sikkerhed som en integreret proces.
• Forstå hvorfor ISO27001 er relevant og lær forudsætningerne.
• Hvad er hovedelementerne i ISO27001
• Brug ISO27001 ”rigtigt”
• Hvordan kommer man i gang?
• Disclaimer: Sikkerhed er et meget stort emneområde som er i konstant forandring. I løbet af de næste 25 minutter når vi højst at skrabe en lille smule i overfladen.
Hvorfor ISO27001 fremfor andre paradigmer?
ISO27001:2013 er international anerkendt referenceramme, som man kan blive certificeret i forhold til.
ISO27001 er en ramme for hvordan ledelsen kan styre og håndtereinformationssikkerheden. (ISMS)
Do
CheckAct
PlanImple-
mentere
Vedlige-
holdelse
Løb.
forbedre
Etablere
ISO27001:2005 ISO27001:2013
(Punkt 0.1)
ISO27001 Forudsætninger
• Grundlaget er ledelsens engagement og accept
• Fokus er på forretningen og på at beskyttede forretningskritiske aktiver
• Procesorienteret
• Valg af kontroller baseret på risikovurdering
• Udvælgelsen er en vigtig del af processen
• Kontroltjekliste i appendiks A (som er detaljeret forklaret i ISO 27002)
• Implementering skal være hensigtsmæssig
• Der lægges vægt på ledelsesrapportering
ISO27001 – Uddrag af centrale begreber
• Scope Hvad skal være omfattet og målsætningen for informationssikkerhed?
• Politikker Øverste niveau af beskrivelser
• Procedurer Beskrivelse af regler
• Processer Forklaring af trin i forretningsproces
• Instrukser Vejledning i konkrete arbejdshandlinger pr. procestrin
• Informationsaktiver Eksempelvis; finansielle data, intellektuel ejendom og medarbejderoplysninger eller information, organisationerne har fået af kunder eller tredjeparter
• Klassifikation Hvilke kategorier af informationer arbejdes der med i virksomheden?
• Roller og Ansvar Eksempelvis anvende RACI (Responsible, Accountable, Consulted, Informed)
• Risikovillighed Hvad er ledelsens risikotolerancer
• Risikoanalyse Vurdering af risiko ud fra konsekvens og sandsynlighed i forhold til CIA
• Risikorapport Opsummerede rapportering til ledelse af resultatet af risikovurderingen med pre-/postrisikoscore og vurdering af restrisiko.
• RTP Risk Treatment Plan – Hvordan mitigeres risici (Accept, Undgå, Del eller styre)
• SoA Statement of Applicability – Redegørelse for anvendelighed
Overblik ISO27001 Sikkerhedsproces
ISO 27001 – Hovedområderne
• 4 - Organisationens kontekst
• 5 - Lederskab
• 6 - Planlægning
• 7 - Support
• 8 - Drift
• 9 - Evaluering
• 10 - Forbedring
De valgte kontroller, deres implementering og dokumentation (appendiks A)
• Udgangspunkt i egne definerede kontroller (6.1.3. a)
• Krav om at sammenholde egne kontrollers tilstrækkelighed i forhold til de 114 kontroller fra ISO 27002
• Såvel til-/fravalg ift. Appendiks A skal begrundes i risikovurderingen
Overblik ISO27001 Sikkerhedsproces
ISO 27001 – Komponenter
• ISMS politik
• Informationsaktiver og klassifikation
• Risikovurdering og planer
• Sikkerhedshåndbog
• Awareness
• Interne ISMS audits
• Hændelser og forbedringer
• Vedligeholdelse
Organisering af sikkerhedsprocessen
Risikostyring
Implementering
Ledelse (Bestyrelse/CEO/CSO/CIO)
Fokus: Organisatorisk risiko
Aktioner: Risikobeslutning og prioriteter
Operationelt
Fokus: Sikring af infrastruktur
Aktioner: Implementering af profil
Procesniveau
Fokus: Risikostyring
Aktioner: Valg af risikoprofil
Prioriteter, risikoappetit
og budgetÆndringer i
risikobilledet
Rapportering, ændringer,
sårbarheder og trusler
Sikkerhedsframework
og -profil
Overblik ISO27001 Sikkerhedsproces
Begynd med ledelsesaccept og omfang (scope)
Udarbejd risikovurdering af aktiverne
Dokumentér processer og efterlevelse
Vedligehold systemet
(inkl. It-sikkerhedsadfærden)
Identificér de forretningskritiske informationsaktiver og
ejerne
Udarbejd risikohåndteringsplan,
og få ledelsens accept af den og evt. restrisici
Implementér de valgte kontroller
(Husk virksomhedens it-sikkerhedsadfærd)
Overblik ISO27001 Sikkerhedsproces
Overordet visualisering af risikovurderingsprocessen:K
on
se
kve
ns
Sandsynlighed
inkl. Sikkerhedsmiljø
Ko
nse
kve
ns
Sandsynlighed
inkl. Sikkerhedsmiljø
Ko
nse
kve
ns
Sandsynlighed
inkl. Sikkerhedsmiljø
Ko
nse
kve
ns
Sandsynlighed
inkl. Sikkerhedsmiljø
Ko
nse
kve
ns
Sandsynlighed
inkl. Sikkerhedsmiljø
Ko
nse
kve
ns
Sandsynlighed
inkl. Sikkerhedsmiljø
Ko
nse
kve
ns
Sandsynlighed
inkl. Sikkerhedsmiljø
Ko
nse
kve
ns
Sandsynlighed
inkl. Sikkerhedsmiljø
PRE-Risikoscore UDEN effekt af
eksisterende eller påtænkte kontroller
FortrolighedPålidelighed
TilgængelighedSamlet vægtning
POST-Risikoscore MED effekt af
eksisterende eller påtænkte kontroller
FortrolighedPålidelighed
TilgængelighedSamlet vægtning
Overblik over best practice inspiration for SoA
ISO 27001 – Appendiks A (ISO 27002)
• A.5 Informationssikkerhedspolitikker
• A.6 Organisering af informationssikkerhed
• A.7 Personalesikkerhed
• A.8 Styring af aktiver
• A.9 Adgangsstyring
• A.10 Kryptografi
• A.11 Fysisk sikring og miljøsikring
• A.12 Driftssikkerhed
• A.13 Kommunikationssikkerhed
• A.14 Anskaffelse, udvikling og vedligeholdelse af informationssystemer
• A.15 Leverandørforhold
• A.16 Styring af informationssikkerhedshændelser
• A.17 Beredskabsstyring
• A.18 Overensstemmelse
Fokusér på formålet
• Fokusér på formål og kontrol
• Hvad siger teksten?
• Hvordan gøres det bedsti denne organisation?
• Implementeringsvejledningener primært en hjælp, hvis man er i tvivl om, hvad der menes med kontrollen
• Anden information er kun dét
• God ide at læse den
• Den gyldne regel:
• Beskriv hvad I gørGør hvad I skriver
• Husk at dokumentere
ISO 27001 processen - faseopdeling
• Værktøjerne for processen
• Scope
• Giver mulighed for at faseopdele opgaven
• Projektplan for ISO implementering
• Giver mulighed for at skitsere senere aktiviteter
• Aktiver
• Gruppér - og findel efter behov over tid
• Husk at planen kan være faseopdelt med efterfølgende
• justering af scope, når grænseflader skal konkretiseres
• opdeling af aktiver, eller evt. sammenlægning, samt nye
• mere detaljeret risikovurdering af højrisikoaktiver
• senere start på mindre kritiske områder
• justering af implementeringer af kontroller og registreringer
Scope og plan
Implementering
Justering og konkretisering
Overblik ISO27001 Sikkerhedsproces
ISO 27001 - vigtigt at huske:
• ISO 27001 skal understøtte forretningen
• Hvis risici er godt beskrevet og der er en plan, kan ledelsen godt acceptere en højere restrisiko end normalt
• Dette skal dog være beskrevet som mulighed i proceduren for risikovurdering OG
• Der bør sættes en øvre grænse for omfang af accepterede risici ud over risikotolorance
• Overvej at etablere at risikoregnskab til at holde styr på dette, så der akkumulleret ikke sker ”overtræk” i forhold til mandat fra bestyrelse/ejerne.
• Se på hvad selve målet med kontrollen er!
• Hvad betyder det konkret?
• Hvordan implementeres det hensigtsmæssigt?
• Ledelsesopbakning og brugerinddragelse er kritisk for successen
Hvad skal du gøre når du kommer hjem?
På mandag
• Skaf et overblik over risikobilledet i forhold til nuværende it-sikkerhed
• Afgør om der er tale om en ”brændende platform” ift. Kundekrav, Ramt af ransomwareeller den nye EU-forordning
Næste uge
• Indstil til ledelsen at få kortlagt hvad udfordringen er via en gap-vurde-ring.
Næste måned
• Etabler en workshop med formål at fastsætte omfang for en ISOprocesenten som selv-assessedcompliant eller forberedelse til certificering.
• Udarbejdelse af en overordnet handlingsplan.