Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. Az ISO 27000 szabványcsalád elemei: Hogyan mérjük az információbiztonságot? ISO 27004 – Mérés Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. www.szenzor-gm.hu www.szenzor-gm.hu
Tartalom ISO/IEC 27004 bemutatása Információbiztonság mérés menedzsment Mellékletek Mérésleíró űrlap Mérés példák
Szabványcsalád 27001 Követelmények 27000 Áttekintés és szótár Útmutatók 27002 Code practice 27003 Bevezetés Bizt. területek, ágazatok 27004 Mérés 27005 Kockázat mgmt 27035 Incidens mgmt 27031 Folytonosság 27033-x Hálózat bizt 27034-x Alkalmazás bizt. 27011 for telecom 27799 ISM eü-ben Auditorok, auditálás 27006 Követelmények ISMS tanúsítóknak 27007 ISMS auditálás útmutató 27008 IS kontroll audit útmutató
A szabvány címe ISO/IEC 27004:2009 Information technology – Security techniques Information security management – Measurement Információtechnológia – Biztonságtechnikák – Információbiztonság menedzsment – Mérés
Alkalmazási terület (scope) Útmutató bevezetett ISMS és ISO/IEC 27001-ben specifikált kontrollok, kontroll csoportok hatékonyságának felmérésére Minden típusú és méretű szervezetre
27004 tartalomjegyzék 5 Információbiztonság mérés áttekintése Bevezetés általános rész, vezetői áttekintés 1 Alkalmazási terület 2 Hivatkozások 3 Fogalom-meghatározások 4 Szabvány struktúrája 5 Információbiztonság mérés áttekintése 6 Vezetőség felelőssége 7 Mérési rendszer kifejlesztése 8 Mérés működtetés 9 Adatelemzés és eredmények jelentése 10 IS mérési program kiértékelése és fejlesztése Mellékletek: Mérésleíró űrlap és példák
Eredményesség mutatók PDCA 27001-ben Tervezés (plan) 4.2.1.e)2) kockázatfelmérés, figyelembe véve jelenlegi in-tézkedések eredményességét 4.2.1.g) kontroll célok és kontrollok kiválasztása Beavatkozás (act) 4.2.4.a) fejlesztések ISMS-be Ellenőrzés (check) Vez.átv Input 7.2.a)f) átvizsg és eredm mérés 4.2.3.f) ISMS értékelés output 7.3.b kockázat, terv aktualizálás 7.3.e)kontroll eredményesség mérés fejlesztése Megvalósítás (do) 4.2.2.c) kontrollok bevezetése 4.2.2.d) kontroll eredményes-ség mérés meghatározása 4.2.3.c) kontroll eredményes-ség mérés (biztonság megfele-lőség igazolására) Ellenőrzés (check) átvizsgálás 4.2.3.b) eredményesség 4.2.3.d) kockázatfelmérés
Infobizt. mérési modell Információigény ISM folyamatok Kontroll célok Kontrollok Folyamatok, eljárások bevezetése Mérési eredmények Döntési kritérium Mérés Indikátor Analitikus modell Származtatott mérés Algoritmus Mérés tárgya attribútumok Mérési módszer Alapmérés
Mérésleíró űrlap (A melléklet) Mérés azonosítás (név, kód, célja, mért kontroll/folyamat, érintett kontrollok, folyamatok) Mérés tárgya, attribútumai Alapmérés leírása (mit, hogyan, skála, mértékegység) Származtatott mérés leírása (mutató, képzése) Indikátor (pl. határérték) és alkalmazása Döntési kritérium leírása Mérési eredmények (indikátor értelmezés, jelentésforma Érdekelt felek Gyakoriság (gyűjtés, elemzés, jelentés, érvényesség)
Példák (B melléklet) ISMS képzés ISMS képzett személyzet (éves tény/tervezett, %) Információbiztonsági képzés (tudatosító képzésen részt vettek/részt kellett volna venni , %) Információbiztonsági tudatosság megfelelés Jelszó politika Jelszó politika – manuális (azon jelszavak aránya, melyek megfelelnek a politikának, és az arány trendje) Jelszó politika automatikus (jó minőségű jelszavak aránya és ezek trendje) ISMS átvizsgálás folyamat (tényleges független átvizsgálások aránya a tervhez képest) Vezetőség elkötelezettsége (vez.átv % tervhez képest, részvételi arány)
Példák (B melléklet) ISMS folyamatos fejlesztés IS incidens mgmt eredményessége (incidens db, küszöb alatt) Helyesbítő intézkedések bevezetése (nem megvalósított, indok nélkül nem megvalósított helyesb.intézk. aránya, trend, Rosszindulatú kódok elleni védelem (időszak alatt a nem blokkolt észlelt támadások, trend) Fizikai belépés kontroll (0-5 skála belépő rendszer erősségére (PIN, kártya, log, biometrika) Log fájlok átvizsgálása (időszaki átvizsgált log fájlok/összes, vonalas diagram) Időszaki karbantartás mgmt (átlagos karbantartási idő, teljesített/összes tervezett % és trend) Biztonság a 3. féllel kötött megállapodásokban (leírt követelmények a szabv.köv.képest átlag)
„Változással a sikerért” Elérhetőség Móricz Pál Mobil: 20-931-0584 p.moricz@szenzor-gm.hu Szenzor Gazdaságmérnöki Kft. 1087 Budapest, Könyves Kálmán körút 76. Telefon: (+36)-1-331-5523 Fax: (+36)-1-311-9636 E-mail: szenzor@szenzor-gm.hu Honlap: www.szenzor-gm.hu „Változással a sikerért”