Readiness Assessment van
ISMS ISO/IEC27001:2005 1
Senior Internal/IT auditor Luyke Tjebbes
EMIA RO CISA
Lead Auditor ISO/IEC27001:2005
Projectleider ISO assessment
2
Wat is ISO 27001 eigenlijk ? eigenlijk? ISO/IEC 27001:2005 Is ontwikkeld met het doel om een aanleiding ter beschikking te stellen op basis waarvan een Informatie Security Management Systeem (ISMS) ISMS ingericht en gehanteerd worden kan. Het gaat er hierbij om de voor het kerntaken noodzakelijke processen. De focus ligt niet op IT maar op: INFORMATIE !
Vertrouwelijke informatie moet beschermd worden
Confidentiality Vertrouwelijkheid
Integrity integriteit
Availibility Beschikbaarheid
Informatie moet niet onbemerkt veranderd kunnen worden
Informatie moet beschikbaar zijn 3
Centrale thema‘s - Clauses • De centrale thema‘s van ISO/IEC27001:2005 zijn vastgelegd in sectie 4-8 van de standaard (de clauses), die de beschrijving van een volwaardig ISMS omvat: – Management commitment – Definitie van de scope – Inventarisatie van de assets – Zwakheden- en risicoanalyse – Inrichten van controls – Interne controle en internal audit – Coördinatie van informatie security (Security forum) 4
Management Commitment De Management Commitment staat centraal bij ISO/IEC27001. Uitgangspunt hierbij is de filosofie dat de medewerkers slechts dat kunnen naleven wat hen door het management wordt voorgehouden. 5
Was is de scope? De scope verklaring beschrijft het geldigheidsbereik van het ISMS
Voorbeeld: Alle medewerkers, diensten, technologieën en locaties in Nederland van de
zijn vervat in de scope van het ISMS. Uitgezonderd zijn de systemen die op het internet worden gerund door een provider. 6
Wat betekent overzicht van assets? Met het overzicht van alle assets worden alle ondernemingswaarden/bezittingen bedoeld, die met informatie geassocieerd zijn en zich in de scope bevinden van het ISMS
Voorbeeld: Het overzicht van assets omvat ondernemingswaarde zoals: ¾ Hardware ¾ Software ¾ Services ¾ Gedrukte brochures of anderszins geprinte informatie ¾ Octrooien of auteursrechtelijk eigendom. 7
Zwakheden- en risicoanalyse risk assessment:
„overall process of risk analysis and risk evaluation“
risk analysis:
„systematic use of information to identify sources and to estimate the risk“
De Risk Assessment wordt toegepast op die assets die in de scope meegenomen zijn en dus van belang zijn voor het realiseren van de doelstellingen zoals vastgelegd in het ISMS.
risk evaluation:
„process of comparing the estimated risk against given risk criteria to determine the significance of the risk“ (ISO/IEC 17799:2005)
Praktisch: Er zijn reeds bekende en uitgewerkte methoden zoals bv SPRINT ter beschikking. Als norm kan ISO 13335 gehanteerd worden. 8
Inrichting van controls 12
Information systems acquisition, development and maint 12.1 Security requirements of information systems 12.1.1 Security requirements analysis and specification 12.2 Correct processing in applications 12.2.1 Input data validation 12.2.2 Control of internal processing 12.2.3 Message integrity 12.2.4 Output data validation 12.3 Cryptographic controls 12.3.1 Policy on the use of cryptographic controls 12.3.2 Key management 12.4 Security of System Files 12.4.1 Control of operational software 12.4.2 Protection of system test data 12.4.3 Access control to program source code 12.5 Security in development and support processes 12.5.1 Change control procedures 12.5.2 Technical review of applications after operating system changes 12.5.3 Restrictions on changes to software packages 12.5.4 Information leakage 12.5.5 Outsourced software development
Op basis van het gedrag om met risico‘s om te gaan kan besloten worden controls te installeren die de risico‘s kunnen verminderen (mitigeren) of geheel neutraliseren. Deze controls worden uit de Annex A van de standaard opgenomen in de Statement of Applicability (Verklaring van toepasselijkheid) samengevoegd. Hierin zijn de beweegredenen (wel of niet) voor gebruik van alle controls uit Annex A opgenomen. Voorbeeld: Als een ernstige bedreiging voor de vertrouwelijkheid van e-mails verondersteld wordt en het risico voor de onderneming groot is dan kan door encryptie dit risico worden verkleind. 9
Controle doelstellingen uit de „Annex A“ van het ISO/IEC27001:2005 Controle aspect
Inhoud
A.5 Security policy
Geeft inzicht in hoe de onderneming omgaat met security En wat het top management hierover heeft afgekondigd.
A.6 Organisatie of informatie security
Geeft inzicht in de security organisatie en de organisatie van de verantwoordelijkheden.
A.7 Asset management
Zekerstellen van de benodigde maatregelen voor bescherming van informatie door classificatie van informatie.
A.8 Human resources security
Reduceren van security incidenten door mensen. Regelen van scholing en aanname beleid.
A.9 Fysieke en omgevingsbeveiliging
Verschaffen van zekerheid door omgevingsmaatregelen ter bescherming.
A.10 Communicatie en operationeel management
Zekerstellen van een gedegen bedrijfsvoering betreffende informatieverwerkende processen.
A.11 Toegangscontrole
Toegangscontrole
A.12 Informatie systeem acquisitie, ontwikkeling en onderhoud
Zekerstellen van eigen ontwikkelde of aangeschafte softwareproducten of systemen.
A.13 Informatie security incident management
Zekerstellen van communicatie over beveiliginggebeurtenissen.
A.14 Business continuïteit management
Continuïteit in noodsituaties
A.15 Compliance
Voldoen aan wet en regelgeving. 10
Interne controle / Internal Audit De Standard ISO/IEC27001:2005 verlangt, dat een interne organisatie wordt ingericht, die onafhankelijk is en die de werking van het ISMS continu test. In de loop van een jaar moet de gehele standaard door interne controle worden getoetst. Dit is een preventieve maatregel.
Notie: De Interne controle werkt volgens een test programma en consulteert eventueel externe experts.
11
Coördinatie van de informatiebeveiliging (Beveiligingsplatvorm) De Standaard ISO/IEC27001:2005 schrijft voor, dat een interne organisatie wordt ingericht, die beveiligingsincidenten afhandelt en eventueel aanvullende maatregelen treft. Deze organisatie is met het management verantwoordelijk voor het continue verbeteren van het proces van informatiebeveiliging. Notie: Het Beveiligingsplatvorm behoort 2 tot 4 wekelijks bijeen te komen. Notuleren moet een audit trail verzorgen. (Prove me!)
12
PDCA Modell / „Deming Cycle“ ISO/IEC27001:2005 biedt een proces georiënteerde aanpak aan voor opbouw, implementatie, uitvoering, bewaking en ontwikkeling van het ISMS. Hierbij wordt gebruik gemaakt van het Plan-Do-Check-Act Model, dat bij alle ISMS Processen wordt gebruikt.
Plan Opstellen ISMS
Do
Implementeren en uitvoeren ISMS
Onderhouden en verbeteren van ISMS
Act
Monitoren en evalueren ISMS
Check
13
het Managementproces Act Act
Opstellen Opstellen van van de de Scope Scope
Inventarisatie Inventarisatie van van informatie informatie Assets Assets
Inrichten Inrichten Van Van
Kwetsbaarheden Kwetsbaarheden En En risicoanalyse risicoanalyse
controles controles
Plan Plan Regionaal
Services
onderneming
Software
Schade
Organisatorische Hardware
De hele
Do Do 3
4
5
6
2
3
4
5
1
2
3
4
1
1
2
3
Kans
Instellen Instellen Internal Internal Audit Audit
Check Check
Instellen Instellen Informatie Informatie BeveiligingsBeveiligingsplatvorm platvorm
Gebruik van de
Annex A van ISO 27001
Afhandeling
beveiligingsincidenten
Preventieve Audit(s) Opstellen SoA
door Internal Audit
Verbetering van het
ISMS
14
Procesgang
Coaching z Scholing (ISO 27001
Lead Auditor) z Rijpheidanalyse z Awareness Training medewerkers
Pre Assessments z Analyse van dokumenten
tov de eisen uit de standaard ISO 27001 z Analyse van de aanpassingen van de Organisatie
Certificering z Testen Organisatie aan ISO
27001 op basis van Europese richtlijnen z Toekennen Certificaat z Regelmatige opvolgingstests….
15
Procesgang Equens • Readiness Assessment • Verbeteringen (major non-conformities) • Certificering • Verbeteringen (minor non-conformities) • Her-certificering (comments) • …….. 16
Doel I.
Certificeren
II. Verbeteren III. Betere concurrentie positie
17