ISO 27000 vs Cobi T Stipkovits Istvn informcibiztonsgi

ISO 27000 vs. Cobi. T Stipkovits István információbiztonsági auditor SGS Hungária Kft. , 1124 Budapest, Sirály u. 4.

Miről lesz szó? n Cobi. T alapok n Cobi. T és ISO 27000 célkitűzése n Fogalomrendszer összehasonlítása n Óvintézkedések fő területei és megfeleltetése Stipkovits István: ISO 27000 vs. Cobi. T 2

A Cobi. T rendszer Cobi. T: Control Objectives for Information and Related Technology n A legjobb gyakorlatot meghatározott szempontok szerint csoportosító dokumentumok gyűjteménye az informatikai irányítás, szabályozás és ellenőrzés számára n Alaptétel: A szervezeti célok teljesítéséhez szükséges információk biztosítása érdekében az informatikai erőforrásokat bizonyos természetszerűleg összetartozó eljárások keretében kell kezelni. n Fő jellemző az üzleti szemléletmód n Célja az üzleti kockázatok, ellenőrzési igények és technikai jellegű kérdések közötti szakadékok áthidalása - a vállalati irányítás és az informatikai irányítás szorosan összefügg n Célközönség: felsővezetés, informatikusok, ellenőrök Stipkovits István: ISO 27000 vs. Cobi. T 3

Cobi. T családfa ISACA (Information Systems Audit and Control Association) ISACF (Information Systems Audit and Control Foundation) 1. kiadás (‘ 96) és 2. kiadás (‘ 98) IT Governance Institute Control Objectives for Information and related Technology (Cobi. T) 3. kiadás (‘ 00) és 4. kiadás (‘ 05) Stipkovits István: ISO 27000 vs. Cobi. T 4

A Cobi. T rendszer felépítése/dokumentumai Összefoglaló áttekintés Alkalmazási módszerek - esettanulmányok - GYIK - PPT ábrák, stb. Keretrendszer (általános kontroll irányelvek) Vezetői útmutató Részletes kontroll irányelvek Auditálási útmutató $ - Érettségi modellek (Maturity model) - Kritikus sikertényezők (Key success factors) - Kritikus cél mutatók (Key global indicators) - Kritikus teljesítmény mutatók (Key Performance Indicators) Stipkovits István: ISO 27000 vs. Cobi. T 5

ISO és Cobi. T hasonlóságok n Szabvány · ISO 27000: nemzetközi szabvány (brit eredetű) · Cobi. T: széles körben elfogadott ipari szabvány (USA) n Folyamat kontroll (felügyelet, szabályozás) a cél n Üzleti követelményekből indul ki n Bevált gyakorlatot képviseli (ajánlott intézkedési területek, óvintézkedések) n Óvintézkedések tartalmi fedéss (Cobi. T mapping) · kb. 70 -75% fedés a követelmények között (ISO 17799) · ISO 17799 a biztonsági problémákra fókuszál, ott a kidolgozottság mélysége a Cobi. T-al összevethető Stipkovits István: ISO 27000 vs. Cobi. T 6

Összehasonlítás - Alkalmazási terület Cobi. T · felsővezetés: információs rendszerek értékelése, döntéshozatali támogatás · IT menedzsment: biztonsági és szabályozási eljárások kialakítása · ellenőrök: normarendszer · auditálni, vizsgálni lehet eszerint, de tanúsítványt kiadni nem ISO 27000 · ISO 27001: irányítási rendszer tanúsítási szabvány · ISO 27002 (ISO 17799): óvintézkedések bevezetése, felkészülés · … Stipkovits István: ISO 27000 vs. Cobi. T 7

A szabványok célkitűzése Cobi. T ISO 27000 informatikai irányítás informatikai rendszer, technológia információ biztonsága információ Minimális kockázat Bizalmasság (Confidentiality) Sértetlenség (Integrity) Rendelkezésre állás (Availability) Maximális haszon --- Erdményesség (Effectiveness) Hatékonyság (Efficiency) Szabályosság/megfelelés (Compliance) Megbízhatóság (Reliability) Stipkovits István: ISO 27000 vs. Cobi. T 8

Fogalmi összehasonlítás - Információ Cobi. T · Az információ a szervezet eljárásai által kezelt erőforrások együttes alkalmazásának eredménye (az IT működésére vonatkozó adatok). · Az informatikai kontroll az üzleti célok és követelmények teljesítéséhez szükséges információn keresztül közelíthető meg - az információ a cél elérésének eszköze. · A működés során generált információk meg kell feleljenek a velük szemben támasztott 7 követelménynek ISO 27000 · „Az információ olyan vagyon, melynek értéke van, és ezt az értéket – más fontos üzleti javakhoz hasonlóan – a szervezet alkalmas módon védi. ” (MSZ ISO/IEC 17799: 2002) · Vagyonelem, a szervezet által kezelt adat Stipkovits István: ISO 27000 vs. Cobi. T 9

Fogalmi összehasonlítás - Életciklus Cobi. T · Informatikai rendszer (feldolgozó eszközök és folyamatok) életciklusa (4 terület): tervezés és szervezet, beszerzés és bevezetés, informatikai szolgáltatás és támogatás, felügyelet ISO 27000 · PDCA - irányítási rendszer · Vagyonelem életciklusa: információ létrehozás, tárolás, feldolgozás, megsemmisítés Stipkovits István: ISO 27000 vs. Cobi. T 10

Összehasonlítás - Kockázatelemzés Cobi. T · A kapcsolódó követelményeket a „TSZ 9 Kockázatok értékelése” informatikai eljárás tartalmazza ISO 27000 · Az irányítási rendszer kiépítésének kötelező lépése · Részletesebb kifejtése ISO 27003 lesz Stipkovits István: ISO 27000 vs. Cobi. T 11

Összehasonlítás - Mutatók Cobi. T · Konkrétan meghatározott mely területeken, milyen jellegű mutatók szükségesek (Kritikus Cél Mutatók, Kritikus Teljesítmény Mutatók) ISO 27000 · Mutatók szükségesek az IBIR eredményességének méréséhez · A mutatók köre nem előre meghatározott, kifejtés ISO 27004 lesz Stipkovits István: ISO 27000 vs. Cobi. T 12

Összehasonlítás – Követelmények struktúrája ISO 27001: 2005 Cobi. T · 4 terület (rendszer életciklus fázisai szerinti bontás) · 34 általános kontroll irányelv (eljárás) · 318 részletes kontroll irányelv 1. 2. 3. 4. Tervezés és szervezet Beszerzés, bevezetés Informatikai szolgáltatás és támogatás Felügyelet · 11 terület (védelmi terület szerinti bontás) · 39 célkitűzés · 133 óvintézkedés 1. 2. 3. 4. 5. 6. Biztonsági szabályzat Az információbiztonság szervezete Vagyontárgyak kezelése Az emberi erőforrások biztonsága Fizikai védelem és a környezet védelme A kommunikáció és az üzemeltetés irányítása 7. Hozzáférés-ellenőrzés 8. Beszerzés, fejlesztés, fenntartás 9. Információbiztonsági incidensek kezelése 10. A működés folytonosságának irányítása 11. Megfelelőség (jogi és műszaki) Stipkovits István: ISO 27000 vs. Cobi. T 13

Óvintézkedések megfogalmazása Cobi. T ISO 27001 Stipkovits István: ISO 27000 vs. Cobi. T 14

Összehasonlítás - Auditorok képzése/minősítése Cobi. T · Helyi szervezetek ISACA akkreditált tanfolyamai (nem kötelező) · CISA (Certified Information System Auditor) vizsga · Igazolt gyakorlati tapasztalat ISO 27000 · Nemzeti akkreditációs testület által akkreditált tanfolyam + vizsga · Auditori tapasztalat Stipkovits István: ISO 27000 vs. Cobi. T 15

Köszönöm a figyelmet! Stipkovits István információbiztonsági auditor 30/522 -8310 istvan. stipkovits@sgs. com Stipkovits István: ISO 27000 vs. Cobi. T 16