Riskhantering för informationssäkerhet med ISO 27005 Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB



Relevanta dokument
Lars Söderlund Lüning Consulting AB Uppsala Informationssäkerhet IT-säkerhet 7 Konsulter

Rätt säkerhet Incident

Information security management systems Specification with guidance for use

Rätt säkerhet Outsourcing

ISO/IEC och Nyheter

Våra tjänster [Our services] UMS Group Inc., All Rights Reserved

Företaget har cirka 110 anställda. Verksamhetskonsulter inom säkerhet och teknik. Boden, Göteborg och Kristianstad

Vem är JOA? Titel: Chef informationsstyrning och säkerhet på Läkemedelsverket

ISO/IEC 20000, marknaden och framtiden

Projekt? 1DV420 Nätverksprojekt Kalmar, Lars Karlsson +46(0)

Ledningssystem för IT-tjänster

Styr och utveckla ditt IT-stöd utifrån internationella standarder

Informationsteknik Säkerhetstekniker Ledningssystem för informationssäkerhet Krav (ISO/IEC 27001:2005, IDT)

ISO STATUS. Prof. dr Vidosav D. MAJSTOROVIĆ 1/14. Mašinski fakultet u Beogradu - PM. Tuesday, December 09,

BILAGA 3 Tillitsramverk Version: 1.3

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Slaget om informationssäkerheten kommer inte att vinnas på brandväggen utan i styrelserummet! Jan-Olof Andersson, Sveriges riksbank

SEK Teknisk rapport

SOX & ISO 9000-serien

Hållbart och långsiktigt kvalitetsarbete vad har hänt och vad kommer att behöva hända? Kristina Sandberg

Asset Management ISO 55000

ISO DIS 9001:2014. Greger Thuresson

BILAGA 3 Tillitsramverk Version: 2.1

Angeppssätt för integration - standarder, internationell utblick och SIS

ISO-IEC serien och ERM

BILAGA 3 Tillitsramverk

Tack till våra sponsorer!

BILAGA 3 Tillitsramverk Version: 2.02

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

ISTQB Testarens ledstjärna

Etik och säkerhetsfilosofi i praktiken

Revidering av ISO Peter Allvén SIS TK-304/PostNord

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

EASA Standardiseringsrapport 2014

Nyheter i ISO och 14004

SVENSK STANDARD SS

Bengt Rydstedt, Projektledare Ledningssystem för informationssäkerhet. Sponsorer:

Hur kan krav på spel- och lotterisäkerhet driva fram ISO certifieringar?

Multisourcing och kontinuitet?

FMV användning av ISO/IEC för ledningssystem implementering. Harold Bud Lawson Styrelsemedlem och Consulting Partner

Ledningens genomgång

Hur arbetar vi praktiskt i SAG?

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Intrångstester SIG Security, 28 oktober 2014

Teknisk rapport SIS-ISO/TR 18128:2015

Kostnadskontroll genom kvalitetssäkrad Programvaruhantering

tjänster (ISO 10019:2005, IDT) Guidelines for the selection of quality management system consultants and use of their services (ISO 10019:2005, IDT)

Det här med levels.?

Revidering av ISO 9001 Kvalitetsledning. Tina Bohlin

Molnet eller outsourcing??

SVENSK STANDARD SS-ISO/IEC :2016

Viktigt! Glöm inte att skriva Tentamenskod eller namn på alla blad du lämnar in.

Omfattande revidering av ISO väntar

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

ISO Guidance on Sustainable Procurement

Guidance on Ecodesign NWI ISO 14006

Från osäkerhet till säkerhet ISO för mätning

Sara Skärhem Martin Jansson Dalarna Science Park

Standardisering, Riskhantering och förmågededömning enligt ISO och ISO 22325

RUP är en omfattande process, ett processramverk. RUP bör införas stegvis. RUP måste anpassas. till organisationen till projektet

ISO kommer att ersätta OHSAS Anna Gruffman, Global Head of Health and Safety Bonava Group

Riktlinjer från EFSA för riskbedömning av djurvälfärd

Målgrupper för Sambi ... Privata omsorgsgivare Apoteksaktörer. Kommuner. Veterinärer Landsting. Tandläkare Privata vårdgivare.

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

Ledningssystem för informationssäkerhet - Kompetensprofil

Rejuvenate. Yvonne Andersson-Sköld, SGI Marlea Wagelmans, Bioclear. På säker grund för hållbar utveckling

SVENSK STANDARD SS-ISO 22398:2013

Introduktion ICAO-EASA.

Klassificering av brister från internaudit

TK 461 Energiledning Energy Management systems

Mottagarorienterat arbetssätt för styrning av informationssäkerhet. Bengt Berg Head of Compliance Management Services Cybercom Sweden East AB


Omfattande revidering av ISO väntar

Enterprise Risk Management inom Vattenfall. Lasse Pettersson Avd Risk Management Vattenfall Power Consultant AB

Innehåll. Bakgrund Från ett riskhanteringsperspektiv. Bakgrund Från ett riskhanteringsperspektiv

ISO ledningssystem för patientnära analysverksamhet


Internrevisionsdagarna 2011 Sociala Medier möjligheter och risker, men för vem?

Bygg bro mellan ITIL v2 och v3 - Bridgekurser - DF Seminarium

SVENSK STANDARD SS-ISO 10005:2018

Effektivt stöd för GRC med nya ISO Standarder

Configuration Management

Maskinsäkerhet och standarder

Pharmacovigilance lagstiftning - PSUR

ISO general purpose screw threads Basic profile Part 1: Metric screw threads

Regressionstestning teori och praktik

en uppsatstävling om innovation Sammanfattning av de vinnande bidragen

PDM Implementation & Change Management /FRN

Stadsutvecklingsprocessen Christian Lindfors, Tyréns

Sectra Critical Security Services. Fel bild

Internationellt standardiseringsarbete för kvalitetskrav av hälsoappar Mats Artursson, Läkemedelsverket Jenny Acaralp, SIS

SVENSK STANDARD SS-ISO 10018:2012

FÖRHINDRA DATORINTRÅNG!

Ledningsstrategier för nätbaserade hot

Transkript:

Riskhantering för informationssäkerhet med ISO 27005 Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Varför ISO/IEC 27005 Information Security Management?? Riskanalys och riskhantering är centrala aktiviteter i arbetet med LIS Riskanalyser och riskhantering utgör viktiga beslutsunderlag för ledningssystemet som implementeras I ISO/IEC 27001 och 27002 hänvisas ofta till business requirements, dessa krav utvecklas ofta från riskanalyser ISO/IEC 27001 och 27002 uttrycker kraven av att riskanalyser är utförd men säger inget om hur riskanalyser bedrivs = Det behövs en stödjande standard inom Risk Management i ISO/IEC 27000-serien

Vad innehåller ISO/IEC 27005 och vad innehåller den inte?? ISO/IEC 27005 talar INTE om HUR EN RISKANALYS ska utföras utan mer HUR EN ORGANISATION SKA VÄLJA METOD för RISKANALYS och beskriver RISKHANTERINGENS olika processdelar och dess förhållande till ISMS (PDCA-processen i LIS) PDCA RM-PROCESS

ISO/IEC 27005 svenskt deltagande och status Ett mycket aktivt arbete har pågått den senaste 3-4 åren med att ta fram ISO/IEC 27005. Ett stort antal länder har deltagit aktivt i utvecklingen Sverige har varit aktivt med i utvecklingen genom TK 318 arbetsgrupp Ag 8, Sverige har bl.a. deltagit med en editor (Anders Carlstedt) Vid senaste mötet i Schweiz röstade en stor majoritet för att dokumentet övergår till FDIS vilket är sista arbetsutgåvan innan publicering Omröstning sker i maj 2008, publicering tidigast augustiseptember 2008 En svensk översättning kommer att tas fram till utgivningen genom TK 318 försorg

Varför Information Security Risk Management? Det finns mängder av riskhanteringssystem inom olika ledningssystem inom standardiseringen! Det finns en mängd tolkningar av risk (ISO Guide 73, f.n. under omarbetning)! Det pågår en utveckling av ISO/IEC 31000, generell Risk Management, som vi behöver särskilja oss ifrån! Enligt nuvarande arbetsversion kan risk vara både positiv eller negativ vilket inte stämmer för informationssäkerhet Det krävdes en särskild definition av vad vi inom informationssäkerhetsområdet menar med risk, detta beskrivs genom begreppet Information Security Risk

Definition av information security risk Information security risk Potential that a given threat will exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organization NOTE It is measured in terms of a combination of the likelihood of an event and its consequence.

ISO/IEC 27005 Scope Provides guidelines for information security risk management Supports the general concepts specified in ISO/IEC 27001 and is designed to assist the satisfactory implementation of information security based on a risk management approach Knowledge of the concepts, models, processes and terminologies described in ISO/IEC 27001 and ISO/IEC 27002 is important for a complete understanding

Nu ner till en snabb presentation av de viktigaste delarna i 27005 Vi börjar med kapitel 6, häng med på era papper som visar innehållsförteckningen.

Overview of the information security risk management process (kap. 6) ISO/IEC 27005 kapitel 7-12 följer strukturen i bilden!

Risk Management-processen och ISMS PDCA-process (kap. 6) ISMS Process Plan Do Check Act Information Security Risk Management Process Establishing the context Risk assessment Risk treatment planning Risk acceptance Implementation of risk treatment plan Continual monitoring and reviewing of risks Maintain and improve the Information Security Risk Management Process

Context establishment (kap.7) Syftet med riskanalys/riskhantering kan vara olika. Ex. på vanliga syften: Stödja ISMS med beslutsunderlag rörande risker, hot, sannolikhet, konsekvens Externa krav, legala krav och Due diligence Förberedelser för kontinuetsplanering (identifiering tillgångar, risker, hot, sannolikhet, konsekvenser) Förberedelser för incidenthantering (identifiering tillgångar, risker, hot, sannolikhet, konsekvenser) Underlag för kravställning av informationssäkerhet i en produkt, tjänst eller mekanism

Information Security Risk Assessment (kap.8) Identifiering av risker Identifiering av tillgångar Identifiering av hot Identifiering av befintliga skyddsåtgärder Identifiering av sårbarheter Identifiering av konsekvenser Riskanalys Metodik för riskvärdering Bedömning av konsekvens Bedömning av sannolikhet Metodik för riskanalys Kvalitativ Kvantitativ Bedömning av konsekvenser Bedömning av sannolikhet Riskutvärdering

Information Security Risk Treatment (kap.9)

Kapitel 10-12 ISO/IEC 27005 Information Security Risk Acceptance (kap.10) Information Security Risk Communication(kap.11) Information Security Risk Monitoring and Review(kap.12) Monitoring and review of risk factors Risk management monitoring, reviewing and improving

Annex A-F A, Defining the scope and boundaries of the information security risk management process Study of the organization List of the constraints affecting the organization List of the legislative and regulatory references applicable to the organization List of the constraints affecting the scope B, Identification and valuation of assets and impact assessment Examples of asset identification The identification of primary assets List and description of supporting assets Asset valuation Impact assessment C, Examples of typical threats D, Vulnerabilities and methods for vulnerability assessment Methods for assessment of technical vulnerabilities E, Information security risk assessment approaches High-level information security risk assessment Detailed information security risk assessment F, Constraints for risk reduction (constraint begränsning, restriktion)

SLUT PÅ GENOMGÅNGEN FRÅGOR?