2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
változások célja Előadás tartalma megváltozott fogalmak, filozófia mit jelentenek a változások menedzsment követelmények kontroll célok és kontrollok átállás Új verzió hatályos: 2013.10.01. Korábbi verzió szerinti tanúsítás érvényét veszti: 2015.09.30 2
Változás oka/célja szabványok kötelező felülvizsgálata ISO/IEC Directives, Part 1. Annex SL + ISO 31000:2009 Risk management igény fejlesztésre (már 2005-ben megkezdődött!) technológia fejlődés alkalmazási/tanúsítási tapasztalatok + rugalmasság növelése alkalmazási terület tömörebb, de lényege nem változott! 3
Szabvány struktúrája 4. Context 5. Leadership 7. 10. Improvement 6. Planning 9. Performance evaluation 8. Operate S u p p o r t 4
4. Környezet (Context) 4. A szervezet környezete 4.1 A szervezet és környezete megértése 4.2 Érdekelt felek igényei, elvárásai megértése 4.3 ISMS alkalmazási terület meghatározása alkalmazási területben határok, alkalmazhatóság, kapcsolatok/függőségek 4.4 ISMS 5
5. Vezetés 5. Vezetés (Leadership) 5.1 Vezetés és elkötelezettség felső vezetés, stratégia összhang, ISMS eredmények elérése, irányítás, támogatás 5.2 Politika + elérhető érdekelt felek számára 5.3 Szervezeti szerepek, felelősségek és hatáskörök IBIR szabványnak megfelelés, vezetésnek jelentés 6
6. Tervezés 6. Tervezés 6.1 Akciók a kockázatokra és lehetőségekre 6.1.1 Általános követelmények akciók, megtervezésük 6.1.2 IS kockázatfelmérés azonosítás, elemzés, értékelés (vagyonleltár, fenyegetés, sebezhetőség nem szerepel) 6.1.3 IS kockázatkezelés kontrollok kockázatokra, A melléklet ellenőrzés (nem kiválasztás) kockázatgazda jóváhagyás 6.2 Információbiztonsági célok és elérésük megtervezése 7
7. Támogatás (Support) 7. Támogatás 7.1 Erőforrások 7.2 Felkészültség (competence) 7.3 Tudatosság (+ nemmegf következményei) 7.4 Kommunikáció külső, belső, mit, mikor, mivel, ki és hogyan 7.5 Dokumentált információ 7.5.1 Általános követelmények nincs felsorolás, kötelező dokumentált eljárás 7.5.2 Létrehozás és aktualizálás azonosítás, forma, átvizsgálás, alkalmasság, megfelelőség jóváhagyás 7.5.3 Dokumentált információ kezelése elérhetőség, védelem, kezelési kontrollok külső dokumentált információ 8
8. Működtetés 8. Működtetés 8.1 Működés tervezés és felügyelet terv, bevezetés, felügyelet (IBIR folyamatok, kockázatok, célok) dokumentált információ bizalomhoz változás felügyelet (nem tervezett is) outsource meghatározás és felügyelet 8.2 IS kockázatfelmérés 8.3 IS kockázatkezelés 9
9. Teljesítmény értékelés 9. Teljesítmény értékelés 9.1 Figyelemmel kísérés, mérés, elemzés és értékelés IBIR teljesítménye és eredményessége (eredményesség mutató mérés helyett) mit, módszer, mikor 9.2 Belső audit objektív, pártatlan (nincs kizárva saját munka) 9.3 Vezetőségi átvizsgálás (tömörebb fogalmazás) 10
10. Fejlesztés 10. Fejlesztés 10.1 Nemmegfelelőség és helyesbítő tevékenység válasz (következményekre is), intézkedések okok megszűntetésére (újra/másutt előfordulás, hasonló nemmegf.), bevezetés, eredményesség átvizsgálás, IBIR átvezetés 10.2 Folyamatos fejlesztés megfelelőség, alkalmasság, eredményesség nincs több előírás 11
Kontroll változások (A melléklet) 3 új fejezet (11 14), kicsit sorrend is változott Kriptográfia (kivéve fejlesztés fejezetből, kulcs menedzsment kontroll leírása részletesebb) Kommunikáció biztonság (különválasztva működtetés fejezetből) Szállító kapcsolatok (több területről összegyűjtve) Kontroll célok (39 35) több megszűnt, összevonva néhány új, pl: Redundanciák, Teszt adatok, Működő szoftverek felügyelete 12
Fő változások kontrollokban Kontrollok(133 114) redundanciák csökkentek (pl. felelősségek, tesztelések) általában egyszerűbb fogalmazás áthelyeződtek kontrollok (pl. vagyontárgy, hozzáférés kilépéskor áttétele vagyon illetve hozzáférés kezelésbe) sok megszűnt, összevonva nem kontroll (pl. elkötelezettség), kockázatkezeléssel lefedett (külső felek, vevők, rendszerdokumentáció kockázata, audit eszköz védelem) kontrollok összevonás (pl. esemény naplózás, folytonosság, elkülönítés a hálózatban, útvonal, stb.) szóhasználat változások: titkos hitelesítési információk (jelszó), alkalmazás szolgáltatás publikus hálózaton (e-kereskedelem), alkalmazás szolgáltatás tranzakció (online tranzakciók), 13
Kontroll változás példák Néhány érdekesebb új/változó kontroll elem: információbiztonság a projektmenedzsmentben alkalmazás megszűnéskor alkalmazotti felelősségek naplókat rendszeresen felül kell vizsgálni fejlesztési folyamatban új kontrollok: biztonság fejlesztési eljárásban, tervezési elvekben, környezetben, biztonsági tesztelés szállító kapcsolatokra irányelv, ICT szállítói lánc információbiztonsági incidensek és fejlesztések kezelése Incidenskezelés folyamat önálló kontrollok: incidensvizsgálat és döntés, illetve reagálás Információbiztonság folytonossága (működésfolytonosság helyett) 14
Átállás Nem kell vezetőség képviselője kijelölést megszűntetni kidobni kézikönyvet, IBSZ-t, dokumentált eljárásokat (ha aktuálisak, működnek) átszámozni dokumentumokat, fejezeteket IBIR-t átstrukturálni az új felépítés szerint új fogalmak, meghatározások szerinti szóhasználatra átszerkeszteni a dokumentumokat 15
Átállási stratégiák, döntések ha ma az IBIR információbiztonságról, kockázatok kezeléséről, menedzselésükről szól kisebb igazítások (filozófia, fogalmak maradnak, megfeleltetés, hiánylista + új elemek beillesztése meglevő dokumentációs rendszerbe) esetleg keresztreferencia ha ma az IBIR szabványkövetelményekről, (minimális szintű) teljesítésről szól kiment alóla a struktúra, sok elvárás változott, vannak újak nagy változás (új szemlélet szerint újraépítés, új Kézikönyv, IBSz integrált rendszer esetén most többlet, 2015/16-ban kevesebb feladat) döntéshez állapot értékelés, makro szintű hiánylista döntés integráció erősítés szükségességéről ütemterv, felelősségek 16
Átállási feladatok 1/2 kontrollok kockázatokkal összekapcsolása menedzsment követelmények áttekintése új/változó elemek átgondolása, beillesztése, köztük környezet, érdekelt felek követelményei vezetőség elkötelezettsége kockázatok és lehetőségek célok tudatosság, kommunikáció változáskezelés teljesítmény értékelés fejlesztés Ami egyiknek könnyű, másnak nehéz és fordítva 17
Átállási feladatok 2/2 kontrollok áttekintése kockázatokkal nem lefedett kontrollok tételes követelmény lefedettség áttekintés új/változó kontrollok rendszerbe illesztése új Alkalmazhatósági nyilatkozat képzés (vezetői, auditori, munkatársi) bevezetés, működtetés, belső audit, vezetőségi átvizsgálás 18
Elérhetőség Móricz Pál Mobil: 20-931-0584 p.moricz@szenzor-gm.hu Szenzor Gazdaságmérnöki Kft. 1087 Budapest, Könyves Kálmán körút 76. Telefon: (+36)-1-331-5523 Fax: (+36)-1-311-9636 E-mail: szenzor@szenzor-gm.hu Honlap: Változással a sikerért 19