„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC 27001:2005 kontra 2013 esetben Tarján Gábor Hétpecsét Információbiztonsági Egyesület, alelnök
Áttekintő tartalom A szokásos pár fontos mondat Rövid emlékeztető a történésekről Mit tettek a cégek Mit lát ebből a tanúsító Hogyan tovább? Kérdések-válaszok
A szokásos pár fontos mondat A titoktartás kötelez Sohasem a konkrét példa, hanem a szándék és a követett gyakorlat a fontos Határozottan szubjektív látásmód Kb. 10 db ISO 27001:2013 audit itthon és külföldön az elmúlt 12 hónapban + Csöbörből vödörbe illetve a rablóból lesz (?) a legjobb pandúr, azaz hogyan lettem… Nem a DEKRA (vagy más tanúsító testület) hivatalos álláspontját képviselem.
Rövid emlékeztető a történésekről Az átmenet szabályai
ISO/ IEC Direktívák, 1. rész SL jelű melléklet Az ISMS szerkezete (ISO 27001) az SL jelű melléklet alapjain nyugszik. A jövőben ez lenne minden Mgmt rendszer (QM, EM, …) struktúrája. 0Bevezetés 1Érvényességi terület 2Normatív hivatkozások 3 Fogalmak és meghatározások 4A szervezet környezete 5Vezetőség 6Tervezés 7Támogatás 8Működtetés 9Teljesítmény értékelés 10Fejlődés
Az ISO 27001:2013 struktúrája A szabványtest (0-10 fejezetek) és az „A” melléklet, melyben: 14 Információbiztonsági szabályozási terület (A5-A18) 35 Információbiztonsági szabályozási cél 114 Információbiztonsági intézkedés (kontroll) 14 Szabályozási terület: 1.Információbiztonsági politika 2.Az információbiztonság szervezete 3.A humánerőforrás biztonsága 4.Vagyonmenedzsment 5.Hozzáférés-szabályozás 6.Titkosítás 7.Fizikai és környezeti biztonság 8.A működés biztonsága 9.A kommunikáció biztonsága 10.Rendszerek beszerezése, fejlesztése, karbantartása 11.Szállítói kapcsolatok 12.Információbiztonság és incidens menedzsment 13.Üzletmenet-folytonosság 14.Megfelelőség Érdekelt felek információ- biztonsági követelményei és elvárásai Act ISMS-t fenntart és fejleszt Plan IBIR-t létrehoz Check ISMS-t felügyel és áttekint Do IBIR-t Bevezet és működtet Érdekelt felek információ- biztonsági követelményei és elvárásai ()
ISO 27001:2013 – „kontroll-leltár” ISO27001 Fejezet hivatkozásLeírásKontroll összesen Irányítási rendszer 4 A szervezet környezete 9 5 Vezetés 17 6 Tervezés 31 7 Támogatás 25 8 Működtetés 8 9 Teljesítmény értékelés Fejlesztés 13 Az IBIR kontroll pontok összesen: 130 Megítélés szerinti elemek A5 Az információbiztonság vezetői irányítása 2 A6 Az információbiztonság szervezete 7 A7 Humán-erőforrás biztonsága 6 A8 Vagyon-menedzsment 10 A9 Hozzáférés szabályozás 13 A10 Titkosítás 2 A11 Fizikai és környezeti biztonság 15 A12 A működtetés biztonsága 15 A13 A kommunikáció biztonsága 7 A14 Rendszer beszerzés, fejlesztés és karbantartás 13 A15 Szállítói kapcsolatok 5 A16 Információbiztonsági incidensek kezelése 7 A17 A működésfolytonosság információbiztonsági aspektusai 4 A18 Megfelelőség 8 Az "A" Melléklet kontrolljai összesen: 114 ISO/IEC 27001:2013 összesen: táblázat 'ISO/IEC 27001:2013' Kontroll összesítés
A tanúsítások „dinamikája” (A 2014-es statisztika 2015 szeptemberében fog napvilágot látni!)
Mit tettek a cégek Kivárás… (és ez nem magyar sajátosság!) A kockázatelemzések nem nagyon változtak (a kockázat tulajdonos/risk owner koncepciója általában bevezetésre került) Az Alkalmazhatósági Nyilatkozat az „A” melléklet szolgai tükre (114 kontroll), pedig… Munaktársi tudatosítás: jellemzően e-learning (jó irány!)
Mit lát ebből a tanúsító Az energiaminimalizálás elve (ez a megfigyelés természettudományos alapokon nyugszik…) A kockázatelemzés eredménye és a tényleges védelmi intézkedések (controls) között még mindig esetleges a kapcsolat Egyszerűsödő tanúsítási dokumentáció ( ) Hangsúlyeltolódás (menedzsment kontra dolgozói szint) a tanúsítói munkában – ráfordított idő eltolódása
Hogyan tovább? Mi lesz az ISO 9001:2015-ben (október?)??? –A kockázatelemzés ott is meg fog jelenni! –Milyen legyen a kockázatelemzés módszertana A dokumentáció átszabása (lásd Direktíva), egységesítése (integrált rendszerek) Válasz technológiai kihívásokra: Felhő alapú mentés illetve dokumentum elérés és kezelés A mérés erősítése (mérhető célok)
Kérdések? – Válaszok!