slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Ago Poolakese, CISSP, CISA PowerPoint Presentation
Download Presentation
Ago Poolakese, CISSP, CISA

Loading in 2 Seconds...

play fullscreen
1 / 31

Ago Poolakese, CISSP, CISA - PowerPoint PPT Presentation


  • 247 Views
  • Uploaded on

ISO/IEC 27001 – miks, mis ja kuidas. Ago Poolakese, CISSP, CISA. Tallinn . 01. November , 2007. 1. Sisukord. Milleks infoturbe standard Valikuvõimalused ISO/IEC 27001 ISO/IEC 27001- kujunemine ISO/IEC 27000 seeria ISO/IEC 27001 osad Riskianalüüs Kohaldusmäärang

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Ago Poolakese, CISSP, CISA' - tocho


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

ISO/IEC 27001 – miks, mis ja kuidas

Ago Poolakese, CISSP, CISA

Tallinn

01. November, 2007

1

sisukord
Sisukord
  • Milleks infoturbe standard
  • Valikuvõimalused
  • ISO/IEC 27001
  • ISO/IEC 27001- kujunemine
  • ISO/IEC 27000 seeria
  • ISO/IEC 27001 osad
  • Riskianalüüs
  • Kohaldusmäärang
  • Auditeerimine, sertifitseerimine
  • Seotus ISKE-ga

2

milleks rakendada infoturbe standardit
Milleks rakendada infoturbe standardit?
  • Infoturbe täiustamiseks
  • Hoida kokku kulusid infoturbele
  • Standard pöörab tähelepanu kõigile turvalisust puudutavatele aspektidele
  • Tõendusmaterjal kolmandatele osapooltele
  • Õigusaktidest tulenevad nõuded
  • Jne…

3

milleks igusaktid eesti
Milleks? Õigusaktid - Eesti
  • Eesti Vabariigi Valitsuse 12. augusti 2004. a määrus nr 273 – “Infosüsteemide turvameetmete süsteemi kehtestamine”. Selle järgi on infoturbe standardi ISKE rakendamine avaliku sektori infosüsteemis alates 2008. aasta 1. jaanuarist Eestis kohustuslik.
  • ISKE auditeerimine muutub lähitulevikus kohustuslikuks. ISKE auditeerimisega seonduvad asjaolud reguleeritakse ettevalmistatavas majandus- ja kommunikatsiooniministri määruses „Riigi infosüsteemi infotehnoloogilise auditeerimise kord“. Määrus kehtestatakse 01.01.2008 kehtima hakkava «Avaliku Teabe Seaduse» § 43 lõike 2 alusel.

4

milleks igusaktid el
Milleks? Õigusaktid - EL
  • Euroopa Ühenduse Komisjoni määrus (EÜ) nr 885/2006, 21. juuni 2006
    • Nähakse ette nõukogu määruse (EÜ) nr 1290/2005 kohaldamise üksikasjalikud eeskirjad seoses makseasutuste ja teiste organite akrediteerimise ning EAGFi ja EAFRD raamatupidamisarvestuse kontrollimise ja heakskiitmisega
      • B) Infosüsteemide turve
        • Infosüsteemide turve põhineb kriteeriumidel, mis on sätestatud ühes järgmistest rahvusvaheliselt tunnustatud standarditest vastaval eelarveaastal kehtivas redaktsioonis:
        • i) International Standards Organisation 17799/British Standard 7799: Code of practise for Information Security Management (BS ISO/IEC 17799),
        • ii) Bundesamt für Sicherheit in der Infomationstechnik: IT-Grundschutzhandbuch/IT Baseline Protection Manual (BSI),
        • iii) Information Systems Audit and Control Foundation: Control objectives for Information and related Technology (COBIT).

5

milleks seos ettev tte strateegiliste eesm rkidega
Milleks? Seos ettevõtte strateegiliste eesmärkidega
  • Demonstreerid oma praegustele ja tulevastele klientidele, partneritele ja omanikele, et infovaradega, mis on Sinu kätte usaldatud äriprotsesside käigus, käiakse ümber kohusetundlikult. Annab turvatunde.
  • Sellega kaasneb ettevõtte usaldusväärsuse ja maine tõus, mis peaks olema iga ettevõtte strateegilistesse plaanidesse sisse kirjutatud.

6

milleks veel
Milleks veel?
  • Võib aidata ära hoida piinlikkust tekitavaid olukordi.

7

erinevad it standardid
Erinevad IT standardid
  • CobIT
  • HIPAA
  • GLBA
  • Bill C7
  • PCI
  • Visa CISP
  • ITIL
  • NIST (ITSN)
  • SAS 70
  • BS 15000
  • BSI
  • ISKE
  • ISO/IEC 27001:2005

8

valikuv imalused iske 1
Valikuvõimalused – ISKE (1)
  • ISKE – Infosüsteemide kolmeastmeline ETALONTURBE süsteem.
  • Süsteem ISKE on mõeldud infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks. Süsteem ISKE põhineb Saksamaa Infoturbeameti (BSI) infotehnoloogia etalonturbe meetodil ja käsiraamatul. Süsteem põhineb turvet vajavate infovarade kirjeldamisel tüüpmoodulite abil ning sisaldab vahendeid iga tüüpmooduli turvaklassi määramiseks ja mooduli nõutava turbeastme määramiseks selle turvaklassi järgi.

9

valikuv imalused iske 2
Valikuvõimalused – ISKE (2)
  • Vastavalt Eesti Vabariigi Valitsuse 12. augusti 2004. a määrusele nr 273 - Infosüsteemide turvameetmete süsteemi kehtestamine on infoturbe standardi ISKE rakendamine avaliku sektori infosüsteemis kohustuslik.
    • !!! Alates 2008. aasta 1. jaanuarist Eestis kohustuslik neile, mis on andmekogude seaduse mõttes andmekogud.
    • !!! ISKE peab olema rakendatud andmekogudele, mis ei ole andmekogude seaduse mõttes andmekogud, aga mis on uue avaliku teabe seaduse mõttes andmekogud, kuue kuu jooksul alates avaliku teabe seaduse uue redaktsiooni jõustumisest st. 1. juuliks 2008.

10

valikuv imalused iso iec27001
Valikuvõimalused - ISO/IEC27001
  • ISO/IEC 27001 on infoturbe juhtimissüsteem, mis valmis 2005. aasta oktoobris ja baseerub BS7799-2 standardi teisel versioonil. ISO/IEC 27001 käsitleb infosüsteemi turbevajaduste väljaselgitamist, vastavate turvanõuete püstitamist ja saavutamist.

11

iso iec27001
ISO/IEC27001
  • Tugineb riskianalüüsil, seega meetmed tulenevad riskikäsitlusest ja terve süsteem pole üle- ega alaturvatud.
  • Infoturve on hallatud
  • Aitab vältida kaootilisi otsuseid, mis on tingitud hetkeolukorrast e. tulekahjude kustutamist

12

iso iec27001 eesm rk
ISO/IEC27001- eesmärk
  • ISO/IEC 27001:2005 standard on koostatud eesmärgiga anda mudel infoturbe halduse süsteemi (ITHS) rajamiseks, evituseks, rakendamiseks, seireks, läbivaatuseks, hoolduseks ja täiustamiseks.

13

iso iec27000 seeria standardid
ISO/IEC27000 seeria standardid
  • ISO/IEC 27001 - the certification standard against which organizations' ISMS may be certified (published in 2005)
  • ISO/IEC 27002 - the proposed re-naming of existing standard ISO 17799 (last revised in 2005, due to be renumbered in 2007)
  • ISO/IEC 27003 - a new ISMS implementation guide (in preparation)
  • ISO/IEC 27004 - a new standard for information security management measurements (in preparation)
  • ISO/IEC 27005 - a proposed standard for risk management (in preparation)
  • ISO/IEC 27006 - a guide to the certification/registration process (published in 2007)
  • ISO/IEC 27007 - a guideline for auditing information security management systems (in preparation)
  • ISO/IEC 27011 - a guideline for telecommunications in information security management system (in preparation)
  • ISO/IEC 27799 - guidance on implementing ISO/IEC 27002 in the healthcare industry

16

iso iec27001 standardi jaotus
ISO/IEC27001 standardi jaotus
  • Võib jagada selguse mõttes nõuete osas kaheks osaks.
    • Peatükid 4 – 8
    • Annex A - standard ISO/IEC 177999
      • Lisa A-s loetletud kõik juhtimiseesmärgid ja -meetmed on tuletatud otseselt ISO/IEC 17799:2005 jaotistes 5 kuni 15 ja on numbriliselt nendega kooskõlas.

17

iso iec27000 osad kohustuslikud e shall
ISO/IEC27000 osad – kohustuslikud e. shall..
  • Standardi nõuded osades 4 – 8 on KOHUSTUSLIKUD
    • Näit: 7.1 Üldine - Organisatsiooni ITHS pideva sobivuse, adekvaatsuse ja toimivuse tagamiseks peab juhtkond ta plaaniliste vaheaegadega läbi vaatama (vähemalt kord aastas). Selline läbivaatus peab sisaldama ITHS – sealhulgas infoturbepoliitika ja infoturbe eesmärkide – täiustamise võimaluste ja muutmise vajaduste hindamist. Läbivaatuste tulemused tuleb selgelt dokumenteerida ja protokollid tuleb säilitada
  • Kui Inglise keelses standardis on “shall” siis see on alati kohustuslik. Sama kehtib ka Annex A kohta.

18

iso iec27001 osad valikulised
ISO/IEC27001 osad – valikulised
  • Lisas A olevad nõuded valitakse riskianalüüsi tulemusena.
    • Näit: A.11.2.4 --- Kasutajate pääsuõiguste läbivaatus--- Meede: Juhtkond peab regulaarsete vaheaegade järel formaalse protsessiga vaatama läbi kasutajate pääsuõigused.
  • Nii valik, kui ka väljajätmine peavad olema märgitud SoA (kohaldusmäärang) tabelisse.

19

varade loend
Varade loend
  • Üheks esmaseks kohustuseks rakendamisel on detailse varade loendi koostamine.
  • "Omanik“ (owner) tähendab standardi seisukohalt isikut või üksust, kes on on endale võtnud haldamisvastutuse varade valmistuse, arenduse, hoolduse, kasutamise ja turbe juhtimise alal. "Omanik" ei tähenda, et isikul on tegelikud omandiõigused nende varade suhtes.
  • Varade loendit kasutatakse riskianalüüsi käigus ja siis lisatakse sinna ka valitud meetmete osa.
  • Omanik saab/võib delegeerida AINULT kohustusi ja ülesandeid, kuid MITTE VASTUTUST

20

riskianal s 1
Riskianalüüs (1)
  • Mida ütleb standard riskianalüüsi kohta….
    • The risk assessment methodology selected shall ensure that risk assessments produce comparable and reproducible results.
  • Seega pole oluline millist riskianalüüsi metoodikat kasutada, vaid see, et analüüs ise oleks korratav ja tulemused võrreldavad.

21

riskianal s 2
Riskianalüüs (2)
  • Tuleb selgitada välja riski kaalutlemise metoodika. (Risk Assessment Methodology)
  • Tuleb töötada välja riskide aktsepteerimise kriteeriumid ja selgitada välja aktsepteeritavad riskitasemed.
  • Riski mõõt tuleks määratleda enne ja pärast meetme rakendamist. See annab võimaluse määratleda kasu turvameetmest.

22

riskianal s 3
Riskianalüüs (3)
  • Millised on need ohud, mis ohustavad meie varasid? Kuidas identifitseerida ?
    • A) ajurünnak
    • B) avaldatud andmed
    • C) kasuta ISKE ohtude kataloogi

23

riskianal s 4
Riskianalüüs (4)

* Ohu näide on võetud ISKE ohtude loetelust

* 10.1.1 Meede. Käitusprotseduurid tuleb dokumenteerida, dokumentatsiooni hooldada ja teha ta kättesaadavaks kõigile kasutajaile, kes seda vajavad.

* A.10.1.2 Meede. Infotöötlusvahendite ja -süsteemide muudatusi tuleb ohjata. ( Change logs…)

24

soa statement of applicability e kohaldusm rang
SoA - Statement of Applicability e. kohaldusmäärang
  • Tabel nõutud meetmetega ja viitega dokumentatsioonile, kus selle juhend asub.

25

iso iec27001 auditeerimine 1
ISO/IEC27001 auditeerimine (1)
  • Esimeses osas kontrollitakse:
    • Kas on piirid määratletud(scope) ?
    • Kas on varade loend koos omanikuga.
    • Kas riskianalüüs on tehtud?
    • Standardi jaotistes 4, 5, 6, 7 ja 8 spetsifitseeritud nõuete kontroll
      • Kas on koolitusi korraldatud?
      • Siseauditid?
      • Kas on välja selgitatud seadustest jne. Tulenevad nõuded?
      • Kas on olemas kohaldusmäärang (SoA)

26

iso iec27001 auditeerimine 2
ISO/IEC27001 auditeerimine (2)
  • Teises osas kontrollitakse:
    • Vastavalt kohaldusmäärangule valitud meetmete täitmist.
  • Auditeeritakse kas käitutakse nii nagu seda on lubatud või juhendatud.
    • Näiteks kui me väidame, et personali väljalangemise ohu vastu kasutame meedet 10.1.1 (Käitusprotseduurid tuleb dokumenteerida) ja SoA viitab konkreetsele asutusesisesele juhisele, mille järgi peame leidma näiteks juhise andmete taastamise kohta X andmebaasis, siis audiitor kontrollib selle juhise olemasolu ja kas seda on võimalik reaalselt kasutada andmete taastamisel X andmebaasis.

27

kokkuv te kuidas rakendada
Kokkuvõte – kuidas rakendada
  • Varade loend
  • Riski kaalutlemise metoodika
  • Riski aktsepteerimise kriteeriumid
  • Kohaldusmäärang
  • Meetmete rakendamine
  • Audit 1. Osa
  • Audit 2. Osa
  • Järelaudit

28

seotus iske ga 1
Seotus ISKE-ga (1)
  • ISKE aluseks oleva BSI IT etalonturbe käsiraamatu väljatöötamisel on arvestatud ISO 17799 soovitustega ja käsiraamatu väljatöötamisel järgitakse ISO 17799 standardi struktuuri.
    • Täpne juhis ja võrdlustabel asub BSI kodulehel (Saksa keelne)
    • http://www.bsi.bund.de/gshb/deutsch/hilfmi/Vergleich_ISO17799_GS.pdf

29

seotus iske ga 2
Seotus ISKE-ga (2)
  • ISO/IEC 27001 standardi rakendamiseks on vajalik selgitada välja ITHS rakendusalas varad ja nende omanikud. Varasid ähvardavad ohud ja nõrkused, mida need ohud saavad ära kasutada ning konfidentsiaalsuse, tervikluse ja käideldavuse kadude võimalikud toimed neile varadele. Seda kõike aitab teha ISKE etalonturbe mudel.

30

slide31
Tänan !

Küsimused ?

ago.poolakese@stallion.ee

31