Az ISO 27000 szabvnycsald elemei Hogyan mrjk az

Az ISO 27000 szabványcsalád elemei: Hogyan mérjük az információbiztonságot? ISO 27004 – Mérés Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. www. szenzor-gm. hu

Tartalom Ø ISO/IEC 27004 bemutatása Ø Információbiztonság mérés menedzsment Ø Mellékletek Ø Mérésleíró űrlap Ø Mérés példák www. szenzor-gm. hu 2

Szabványcsalád 27000 Áttekintés és szótár 27001 Követelmények Útmutatók 27002 Code practice 27003 Bevezetés Auditorok, auditálás 27006 Követelmények ISMS tanúsítóknak 27007 ISMS auditálás útmutató 27008 IS kontroll audit útmutató Bizt. területek, ágazatok 27004 Mérés 27005 Kockázat mgmt 27035 Incidens mgmt 27031 Folytonosság 27033 -x Hálózat bizt 27034 -x Alkalmazás bizt. 27011 for telecom 27799 ISM eü-ben www. szenzor-gm. hu 3

A szabvány címe ISO/IEC 27004: 2009 Information technology – Security techniques Information security management – Measurement Információtechnológia – Biztonságtechnikák – Információbiztonság menedzsment – Mérés www. szenzor-gm. hu 4

Alkalmazási terület (scope) Ø Útmutató Ø bevezetett ISMS és Ø ISO/IEC 27001 -ben specifikált kontrollok, kontroll csoportok Ø hatékonyságának felmérésére Ø Minden típusú és méretű szervezetre www. szenzor-gm. hu 5

27004 tartalomjegyzék Bevezetés általános rész, vezetői áttekintés 1 Alkalmazási terület 2 Hivatkozások 3 Fogalom-meghatározások 4 Szabvány struktúrája 5 Információbiztonság mérés áttekintése 6 Vezetőség felelőssége 7 Mérési rendszer kifejlesztése 8 Mérés működtetés 9 Adatelemzés és eredmények jelentése 10 IS mérési program kiértékelése és fejlesztése Mellékletek: Mérésleíró űrlap és példák www. szenzor-gm. hu 6

Eredményesség mutatók PDCA 27001 -ben Tervezés (plan) Beavatkozás (act) 4. 2. 1. e)2) kockázatfelmérés, figyelembe véve jelenlegi intézkedések eredményességét 4. 2. 1. g) kontroll célok és kontrollok kiválasztása 4. 2. 4. a) fejlesztések ISMS-be Megvalósítás (do) 4. 2. 2. c) kontrollok bevezetése 4. 2. 2. d) kontroll eredményesség mérés meghatározása 4. 2. 3. c) kontroll eredményesség mérés (biztonság megfelelőség igazolására) Ellenőrzés (check) Vez. átv Input 7. 2. a)f) átvizsg és eredm mérés 4. 2. 3. f) ISMS értékelés output 7. 3. b kockázat, terv aktualizálás 7. 3. e)kontroll eredményesség mérés fejlesztése Ellenőrzés (check) átvizsgálás 4. 2. 3. b) eredményesség 4. 2. 3. d) kockázatfelmérés www. szenzor-gm. hu 7

Infobizt. mérési modell Információigény ISM folyamatok Kontroll célok Kontrollok Mérési eredmények Folyamatok, eljárások bevezetése Indikátor Mérés tárgya attribútumok Döntési kritérium Analitikus modell Származtatott mérés Algoritmus Mérési módszer Alapmérés Mérés www. szenzor-gm. hu 8

Mérésleíró űrlap (A melléklet) Mérésleíró úrlap Ø Mérés azonosítás (név, kód, célja, mért kontroll/folyamat, érintett kontrollok, folyamatok) Ø Mérés tárgya, attribútumai Ø Alapmérés leírása (mit, hogyan, skála, mértékegység) Ø Származtatott mérés leírása (mutató, képzése) Ø Indikátor (pl. határérték) és alkalmazása Ø Döntési kritérium leírása Ø Mérési eredmények (indikátor értelmezés, jelentésforma Ø Érdekelt felek Ø Gyakoriság (gyűjtés, elemzés, jelentés, érvényesség) www. szenzor-gm. hu 9

Példák (B melléklet) Ø ISMS képzés Ø ISMS képzett személyzet (éves tény/tervezett, %) Ø Információbiztonsági képzés (tudatosító képzésen részt vettek/részt kellett volna venni , %) Ø Információbiztonsági tudatosság megfelelés Ø Jelszó politika – manuális (azon jelszavak aránya, melyek megfelelnek a politikának, és az arány trendje) Ø Jelszó politika automatikus (jó minőségű jelszavak aránya és ezek trendje) Ø ISMS átvizsgálás folyamat (tényleges független átvizsgálások aránya a tervhez képest) Ø Vezetőség elkötelezettsége (vez. átv % tervhez képest, részvételi arány) www. szenzor-gm. hu 10

Példák (B melléklet) Ø ISMS folyamatos fejlesztés Ø IS incidens mgmt eredményessége (incidens db, küszöb alatt) Ø Helyesbítő intézkedések bevezetése (nem megvalósított, indok nélkül nem megvalósított helyesb. intézk. aránya, trend, Ø Rosszindulatú kódok elleni védelem (időszak alatt a nem blokkolt észlelt támadások, trend) Ø Fizikai belépés kontroll (0 -5 skála belépő rendszer erősségére (PIN, kártya, log, biometrika) Ø Log fájlok átvizsgálása (időszaki átvizsgált log fájlok/összes, vonalas diagram) Ø Időszaki karbantartás mgmt (átlagos karbantartási idő, teljesített/összes tervezett % és trend) Ø Biztonság a 3. féllel kötött megállapodásokban (leírt követelmények a szabv. köv. képest átlag) www. szenzor-gm. hu 11

Elérhetőség Móricz Pál Mobil: 20 -931 -0584 p. moricz@szenzor-gm. hu Szenzor Gazdaságmérnöki Kft. 1087 Budapest, Könyves Kálmán körút 76. Telefon: (+36)-1 -331 -5523 Fax: (+36)-1 -311 -9636 E-mail: szenzor@szenzor-gm. hu Honlap: www. szenzor-gm. hu „Változással a sikerért” www. szenzor-gm. hu 12