„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban A szabványosítás válaszai a BS 7799 bírálatokra I. rész. Formai változások Móricz Pál üzletfejlesztési igazgató

2 Új szabványok júniusi szabványok: ISO/IEC 27001:2005 FDIS Információtechnika. Védelmi módszerek. Információvédelmi irányítási rendszerek. Követelmények (Information technology – Security techniques - Information security management systems - Requirements) ISO/IEC 17799:2005 Információtechnika. Védelmi módszerek. Gyakorlati útmutató az információvédelem irányításához (Information technology – Security techniques – Code practice for information security management)

3 Előzmények 1999 – „nemzetközi” BS 7799 BS Irányelvek BS Előírások (tanúsítási szabvány) 2000 – ISO/IEC (BS :1999 átvétele) elfogadás 1 szavazatos többséggel azonnal induló módosítás követelményszabványban nincs konszenzus 2002 – BS ISO 9001 típusú menedzsment elemekkel bővítés 2003 körkérdés kell-e nemzetközi ISMS követelményszabvány BS 7799 alapú legyen-e gyorsított eljárással 2008-ra 3 NEM lobbi, szavazás: 3 IGEN, 2006-ra

4 ISO szabványcsalád ISO/IEC Követelmények ISO/IEC Útmutató (ISO/IEC következő módosítása) ISO/IEC Metrikák és mérés (2008?) (vannak további javaslatok is) Egyéb szabvány kapcsolatok: kockázatkezeléshez ISO/IEC 13335, incidenskezeléshez ISO/IEC 18044, védelmi részterületekre (letagadhatatlanság, kulcskezelés, digitális aláírás, stb.) ISO/IEC 13888, 11770, 9796, 14888, stb.

5 ISO követelmények 1. Menedzsment követelmények, PDCA 4. Információvédelmi irányítási rendszer (ISMS) (benne PDCA, bevezetés, kockázatfelmérés lépései, dokumentáció) 5. A vezetőség felelősségi köre (benne vezetőség elkötelezettsége, erőforrások biztosítása) 6. Belső ISMS felülvizsgálatok 7. Az ISMS vezetőségi átvizsgálása 8. Az ISMS fejlesztése

6 ISO követelmények 2. A melléklet: Szabályozási célok és intézkedések 11 fejezet (5-15 fejezetek), (korábban 10) 39 alfejezet (korábban 36) 133 intézkedés (korábban 127) minden alfejezetre: cél minden célhoz 1-8 intézkedés intézkedésekből lehet kizárás (indoklással)

7 ISO követelmények 3. Szabályozási célok és intézkedések (A melléklet) A.5.Védelmi politika A.6.Az információvédelem szervezete A.7.Vagyontárgyak kezelése A.8.Emberi erőforrásokkal kapcsolatos védelem A.9.Fizikai és környezeti védelem A.10.A kommunikáció és működés irányítása A.11.Hozzáférés felügyelet A.12.Információs rendszerek beszerzése, fejlesztése és karbantartása A.13.Információvédelmi incidensek kezelése A.14.Folyamatos működés biztosítása A.15.Megfelelőség

8 ISO felépítése Kockázatfelmérés és kockázatkezelés (4. fejezet) Védelmi követelmények (5-15 fejezetek, összhangban ISO/IEC A5-A15) Alfejezetre célok (összhangban 27001) Minden célhoz intézkedések: –Intézkedés (összhangban 27001) –Megvalósítási útmutató –Egyéb információ Cél, intézkedés kötelező, többi ajánlás (bár ebben a szabványban minden „should”)

9 ISO/IEC megjelenés Nem lesz BS :2002 új verzió: ISO 27001:2005 kiváltja Várható megjelenés: november BS 7799 átállásokhoz tanúsítóktól lesz: Átállási Nyilatkozat (Transition statement) Magyar fordítás: MSZT-től függ (idei tervben nincs, 2006-os tervbe biztosan belekerül)

10 Folytatás Móricz Pál: Változások az információvédelmi menedzsment szabványokban A szabványosítás válaszai a BS 7799 bírálatokra II. rész. Tartalmi változások XVIII. Információvédelmi fórum november 16.

11 Köszönöm a figyelmet További információk, elérhetőség Móricz Pál üzletfejlesztési igazgató Gazdaságmérnöki Kft Információ- és adatvédelmi tanfolyamok, szabványértelmező tanfolyam