ISOIEC 27001 miks mis ja kuidas Ago Poolakese

ISO/IEC 27001 – miks, mis ja kuidas Ago Poolakese, CISSP, CISA Tallinn 01. November, 2007 www. stallion. ee 1

Sisukord – – – – – www. stallion. ee Milleks infoturbe standard Valikuvõimalused ISO/IEC 27001 - kujunemine ISO/IEC 27000 seeria ISO/IEC 27001 osad Riskianalüüs Kohaldusmäärang Auditeerimine, sertifitseerimine Seotus ISKE-ga 2

Milleks rakendada infoturbe standardit? • Infoturbe täiustamiseks • Hoida kokku kulusid infoturbele • Standard pöörab tähelepanu kõigile turvalisust puudutavatele aspektidele • Tõendusmaterjal kolmandatele osapooltele • Õigusaktidest tulenevad nõuded • Jne… www. stallion. ee 3

Milleks? Õigusaktid - Eesti • Eesti Vabariigi Valitsuse 12. augusti 2004. a määrus nr 273 – “Infosüsteemide turvameetmete süsteemi kehtestamine”. Selle järgi on infoturbe standardi ISKE rakendamine avaliku sektori infosüsteemis alates 2008. aasta 1. jaanuarist Eestis kohustuslik. • ISKE auditeerimine muutub lähitulevikus kohustuslikuks. ISKE auditeerimisega seonduvad asjaolud reguleeritakse ettevalmistatavas majandus- ja kommunikatsiooniministri määruses „Riigi infosüsteemi infotehnoloogilise auditeerimise kord“. Määrus kehtestatakse 01. 2008 kehtima hakkava «Avaliku Teabe Seaduse» § 43 lõike 2 alusel. www. stallion. ee 4

Milleks? Õigusaktid - EL • Euroopa Ühenduse Komisjoni määrus (EÜ) nr 885/2006, 21. juuni 2006 – Nähakse ette nõukogu määruse (EÜ) nr 1290/2005 kohaldamise üksikasjalikud eeskirjad seoses makseasutuste ja teiste organite akrediteerimise ning EAGFi ja EAFRD raamatupidamisarvestuse kontrollimise ja heakskiitmisega • B) Infosüsteemide turve – Infosüsteemide turve põhineb kriteeriumidel, mis on sätestatud ühes järgmistest rahvusvaheliselt tunnustatud standarditest vastaval eelarveaastal kehtivas redaktsioonis: – i) International Standards Organisation 17799/British Standard 7799: Code of practise for Information Security Management (BS ISO/IEC 17799), – ii) Bundesamt für Sicherheit in der Infomationstechnik: ITGrundschutzhandbuch/IT Baseline Protection Manual (BSI), – iii) Information Systems Audit and Control Foundation: Control objectives for Information and related Technology (COBIT). www. stallion. ee 5

Milleks? Seos ettevõtte strateegiliste eesmärkidega • Demonstreerid oma praegustele ja tulevastele klientidele, partneritele ja omanikele, et infovaradega, mis on Sinu kätte usaldatud äriprotsesside käigus, käiakse ümber kohusetundlikult. Annab turvatunde. • Sellega kaasneb ettevõtte usaldusväärsuse ja maine tõus, mis peaks olema iga ettevõtte strateegilistesse plaanidesse sisse kirjutatud. www. stallion. ee 6

Milleks veel? • Võib aidata ära hoida piinlikkust tekitavaid olukordi. www. stallion. ee 7

Erinevad IT standardid • • • • Cob. IT HIPAA GLBA Bill C 7 PCI Visa CISP ITIL NIST (ITSN) SAS 70 BS 15000 BSI ISKE ISO/IEC 27001: 2005 www. stallion. ee 8

Valikuvõimalused – ISKE (1) • ISKE – Infosüsteemide kolmeastmeline ETALONTURBE süsteem. • Süsteem ISKE on mõeldud infosüsteemide ja nendega seotud infovarade turvalisuse saavutamiseks ja säilitamiseks. Süsteem ISKE põhineb Saksamaa Infoturbeameti (BSI) infotehnoloogia etalonturbe meetodil ja käsiraamatul. Süsteem põhineb turvet vajavate infovarade kirjeldamisel tüüpmoodulite abil ning sisaldab vahendeid iga tüüpmooduli turvaklassi määramiseks ja mooduli nõutava turbeastme määramiseks selle turvaklassi järgi. www. stallion. ee 9

Valikuvõimalused – ISKE (2) • Vastavalt Eesti Vabariigi Valitsuse 12. augusti 2004. a määrusele nr 273 - Infosüsteemide turvameetmete süsteemi kehtestamine on infoturbe standardi ISKE rakendamine avaliku sektori infosüsteemis kohustuslik. – !!! Alates 2008. aasta 1. jaanuarist Eestis kohustuslik neile, mis on andmekogude seaduse mõttes andmekogud. – !!! ISKE peab olema rakendatud andmekogudele, mis ei ole andmekogude seaduse mõttes andmekogud, aga mis on uue avaliku teabe seaduse mõttes andmekogud, kuue kuu jooksul alates avaliku teabe seaduse uue redaktsiooni jõustumisest st. 1. juuliks 2008. www. stallion. ee 10

Valikuvõimalused - ISO/IEC 27001 • ISO/IEC 27001 on infoturbe juhtimissüsteem, mis valmis 2005. aasta oktoobris ja baseerub BS 7799 -2 standardi teisel versioonil. ISO/IEC 27001 käsitleb infosüsteemi turbevajaduste väljaselgitamist, vastavate turvanõuete püstitamist ja saavutamist. www. stallion. ee 11

ISO/IEC 27001 • Tugineb riskianalüüsil, seega meetmed tulenevad riskikäsitlusest ja terve süsteem pole üle- ega alaturvatud. • Infoturve on hallatud • Aitab vältida kaootilisi otsuseid, mis on tingitud hetkeolukorrast e. tulekahjude kustutamist www. stallion. ee 12

ISO/IEC 27001 - eesmärk • ISO/IEC 27001: 2005 standard on koostatud eesmärgiga anda mudel infoturbe halduse süsteemi (ITHS) rajamiseks, evituseks, rakendamiseks, seireks, läbivaatuseks, hoolduseks ja täiustamiseks. www. stallion. ee 13

ISO/IEC 27001 - PEKT mudel (PDCA) www. stallion. ee 14

ISO/IEC 27001 kujunemine e. ajalugu www. stallion. ee 15

ISO/IEC 27000 seeria standardid – ISO/IEC 27001 - the certification standard against which organizations' ISMS may be certified (published in 2005) – ISO/IEC 27002 - the proposed re-naming of existing standard ISO 17799 (last revised in 2005, due to be renumbered in 2007) – ISO/IEC 27003 - a new ISMS implementation guide (in preparation) – ISO/IEC 27004 - a new standard for information security management measurements (in preparation) – ISO/IEC 27005 - a proposed standard for risk management (in preparation) – ISO/IEC 27006 - a guide to the certification/registration process (published in 2007) – ISO/IEC 27007 - a guideline for auditing information security management systems (in preparation) – ISO/IEC 27011 - a guideline for telecommunications in information security management system (in preparation) – ISO/IEC 27799 - guidance on implementing ISO/IEC 27002 in the healthcare industry www. stallion. ee 16

ISO/IEC 27001 standardi jaotus • Võib jagada selguse mõttes nõuete osas kaheks osaks. – Peatükid 4 – 8 – Annex A - standard ISO/IEC 177999 • Lisa A-s loetletud kõik juhtimiseesmärgid ja -meetmed on tuletatud otseselt ISO/IEC 17799: 2005 jaotistes 5 kuni 15 ja on numbriliselt nendega kooskõlas. www. stallion. ee 17

ISO/IEC 27000 osad – kohustuslikud e. shall. . • Standardi nõuded osades 4 – 8 on KOHUSTUSLIKUD – Näit: 7. 1 Üldine - Organisatsiooni ITHS pideva sobivuse, adekvaatsuse ja toimivuse tagamiseks peab juhtkond ta plaaniliste vaheaegadega läbi vaatama (vähemalt kord aastas). Selline läbivaatus peab sisaldama ITHS – sealhulgas infoturbepoliitika ja infoturbe eesmärkide – täiustamise võimaluste ja muutmise vajaduste hindamist. Läbivaatuste tulemused tuleb selgelt dokumenteerida ja protokollid tuleb säilitada • Kui Inglise keelses standardis on “shall” siis see on alati kohustuslik. Sama kehtib ka Annex A kohta. www. stallion. ee 18

ISO/IEC 27001 osad – valikulised • Lisas A olevad nõuded valitakse riskianalüüsi tulemusena. – Näit: A. 11. 2. 4 --- Kasutajate pääsuõiguste läbivaatus--- Meede: Juhtkond peab regulaarsete vaheaegade järel formaalse protsessiga vaatama läbi kasutajate pääsuõigused. • Nii valik, kui ka väljajätmine peavad olema märgitud So. A (kohaldusmäärang) tabelisse. www. stallion. ee 19

Varade loend • Üheks esmaseks kohustuseks rakendamisel on detailse varade loendi koostamine. • "Omanik“ (owner) tähendab standardi seisukohalt isikut või üksust, kes on on endale võtnud haldamisvastutuse varade valmistuse, arenduse, hoolduse, kasutamise ja turbe juhtimise alal. "Omanik" ei tähenda, et isikul on tegelikud omandiõigused nende varade suhtes. • Varade loendit kasutatakse riskianalüüsi käigus ja siis lisatakse sinna ka valitud meetmete osa. • Omanik saab/võib delegeerida AINULT kohustusi ja ülesandeid, kuid MITTE VASTUTUST www. stallion. ee 20

Riskianalüüs (1) • Mida ütleb standard riskianalüüsi kohta…. – The risk assessment methodology selected shall ensure that risk assessments produce comparable and reproducible results. • Seega pole oluline millist riskianalüüsi metoodikat kasutada, vaid see, et analüüs ise oleks korratav ja tulemused võrreldavad. www. stallion. ee 21

Riskianalüüs (2) • Tuleb selgitada välja riski kaalutlemise metoodika. (Risk Assessment Methodology) • Tuleb töötada välja riskide aktsepteerimise kriteeriumid ja selgitada välja aktsepteeritavad riskitasemed. • Riski mõõt tuleks määratleda enne ja pärast meetme rakendamist. See annab võimaluse määratleda kasu turvameetmest. www. stallion. ee 22

Riskianalüüs (3) • Millised on need ohud, mis ohustavad meie varasid? Kuidas identifitseerida ? – A) ajurünnak – B) avaldatud andmed – C) kasuta ISKE ohtude kataloogi www. stallion. ee 23

Riskianalüüs (4) * Ohu näide on võetud ISKE ohtude loetelust * 10. 1. 1 Meede. Käitusprotseduurid tuleb dokumenteerida, dokumentatsiooni hooldada ja teha ta kättesaadavaks kõigile kasutajaile, kes seda vajavad. * A. 10. 1. 2 Meede. Infotöötlusvahendite ja -süsteemide muudatusi tuleb ohjata. ( Change logs…) www. stallion. ee 24

So. A - Statement of Applicability e. kohaldusmäärang • Tabel nõutud meetmetega ja viitega dokumentatsioonile, kus selle juhend asub. www. stallion. ee 25

ISO/IEC 27001 auditeerimine (1) • Esimeses osas kontrollitakse: – – Kas on piirid määratletud(scope) ? Kas on varade loend koos omanikuga. Kas riskianalüüs on tehtud? Standardi jaotistes 4, 5, 6, 7 ja 8 spetsifitseeritud nõuete kontroll • • www. stallion. ee Kas on koolitusi korraldatud? Siseauditid? Kas on välja selgitatud seadustest jne. Tulenevad nõuded? Kas on olemas kohaldusmäärang (So. A) 26

ISO/IEC 27001 auditeerimine (2) • Teises osas kontrollitakse: – Vastavalt kohaldusmäärangule valitud meetmete täitmist. • Auditeeritakse kas käitutakse nii nagu seda on lubatud või juhendatud. – Näiteks kui me väidame, et personali väljalangemise ohu vastu kasutame meedet 10. 1. 1 (Käitusprotseduurid tuleb dokumenteerida) ja So. A viitab konkreetsele asutusesisesele juhisele, mille järgi peame leidma näiteks juhise andmete taastamise kohta X andmebaasis, siis audiitor kontrollib selle juhise olemasolu ja kas seda on võimalik reaalselt kasutada andmete taastamisel X andmebaasis. www. stallion. ee 27

Kokkuvõte – kuidas rakendada • • Varade loend Riski kaalutlemise metoodika Riski aktsepteerimise kriteeriumid Kohaldusmäärang Meetmete rakendamine Audit 1. Osa Audit 2. Osa Järelaudit www. stallion. ee 28

Seotus ISKE-ga (1) • ISKE aluseks oleva BSI IT etalonturbe käsiraamatu väljatöötamisel on arvestatud ISO 17799 soovitustega ja käsiraamatu väljatöötamisel järgitakse ISO 17799 standardi struktuuri. – Täpne juhis ja võrdlustabel asub BSI kodulehel (Saksa keelne) – http: //www. bsi. bund. de/gshb/deutsch/hilfmi/Vergleich_ISO 177 99_GS. pdf www. stallion. ee 29

Seotus ISKE-ga (2) • ISO/IEC 27001 standardi rakendamiseks on vajalik selgitada välja ITHS rakendusalas varad ja nende omanikud. Varasid ähvardavad ohud ja nõrkused, mida need ohud saavad ära kasutada ning konfidentsiaalsuse, tervikluse ja käideldavuse kadude võimalikud toimed neile varadele. Seda kõike aitab teha ISKE etalonturbe mudel. www. stallion. ee 30

Tänan ! Küsimused ? ago. poolakese@stallion. ee www. stallion. ee 31