Rätt säkerhet 2015-05-27 - Outsourcing
Plan del 1 27036-Outsourcing Varför finns standarden Vad karaktäriserar outsourcing och leverantörsrelationer? Struktur på standarden Skillnader del 2/3/4 Hur kan man använda den?
Varför finns ISO/IEC 27036? Syftade från början att reglera bättre ICT förhållanden mellan beställare och leverantör Men finns ju en koppling till 27001 Annex A och 27002 så inriktningen breddades till alla typer av outsourcing som påverkar informationssäkerhet Ska kunna användas av både beställare och leverantör Jobba med gemensam begreppsapparat - grunden för samverkan I princip alla organisationer kan ha nytta av standarden Tre delar klara och under svensk översättning Del 4 om moln kommer tidigast sent 2016
Säkerhetsåtgärder 27002 och fördjuping 27036 Två säkerhetsåtgärder mot ett tufft mål!
Vad är outsourcing, vad är leverantörsrelation? 3.6 outsourcing acquisition of services (with or without products) in support of a business function for performing activities using supplier s resources rather than the acquirer s supplier relationship agreement or agreements between acquirers and suppliers to conduct business, deliver products or services, and realize business benefit
ISO/IEC 27036:2014 Basic structure
De olika delarna Del 1: Overview and concepts informativt översikt och begrepp Del 2: Requirements normativt kan användas för att dra upp ramarna i avtal gällande informationssäkerhet mellan beställare och leverantör Del 3: Guidelines for ICT supply chain security vägledande riktar sig till både beställare och leverantörer för att ge råd om hantering av informationssäkerhetrisker Del 4: Guidelines for security of cloud services vägledande bygger vidare på del 2 och del 3, men riktar sig särskilt till användare och leverantörer av molntjänster. KOMMER SENT HÖSTEN 2016
Fyra olika fokusområden Leverantörsrelation produkter Leverantörsrelation tjänster ICT leveranskedja Cloud computing
Leverantörsrelation - produkter Risker framför allt inom Missade krav i kravspecifikationen Sårbarheter i mjukvaran Fel i programvaran Ömsesidig åtkomst till den andra partens information
Leverantörsrelation - tjänster Risker framför allt inom: Beställarens kritiska information kan hanteras helt eller delvis av leverantören Fjärråtkomst till beställarens information eller förvaring av beställarens information hos leverantören (var?)
ISO/IEC 27036 fundamentals
ISO/IEC 27036 vänder sig till både beställare och leverantör för riskerna finns ju på båda sidor!
ISO/IEC 27036 täcker in hela livscykeln från uppköp av tjänst eller produkt till utrangering eller avslut och tar också upp allt som måste fungera runt omkring, såsom; processerna omkring urval av leverantör avtalsförhandlingar med rekommenderade områden för kravställningar nödvändiga ledningsprocesser (ex. livscykelprocesser, HR, kvalitet, etc.) projektprocesser (ex. planeringsprocesser, riskhantering) tekniska processer (arkitektur)
ICT leveranskedjan del 3 Hur får vi samma nivå av säkerhet genom hela kedjan?
Del 4 Cloud computing Cloud computing är att tillhandahålla ex. användning av programvaror (SaaS) och lagringstjänster (IaaS). Tjänsterna innebär goda möjligheter till skalbarhet, flexibilitet och minskade kostnader för intern IT. Många gånger delas miljöer av olika kunder (multi tenant cloud environment). Risker framför allt inom osäkerhet gällande allmän ITsäkerhet hos molnleverantören och okunskap hos kunden
Acquirer Party Relationship Supplier Party Service Acquirer Organization Set information security requirements Communicates requirements Negotiates fulfillment in agreement Determine and accept residual risk Sign agreement Outsourcing Negotiation Both parties accepted Agreement Supplier Organization Offer fulfillment of information security requirements based on communicated Acquirer requirements Offer price Negotiate terms and fulfillment Determine and accept supply risks with the agreement Sign agreement NOT: Principbild som ligger till grund för vad är molnet specifikt. (Anpassas nu för att följa ISO/IEC 17789 Outsourcing General Outsourcing ICT Cloud Service Consumer Cloud Service Outsourcing Non negotiable offer Cloud Service Provider Determines security requirements for information applicable to the service Evaluate risk Risk acceptance Accept service Yes/No Acceptance Accepted As Is Agreement Input till 27036-4 Säkerhet vid outsourcing - Molntjänster Determine information security requirements based on service business model Public Cloud Private Cloud* Hybrid Cloud SaaS PaaS IaaS *) If a private cloud service is negotiated the relationship is as outsourcing above
27036 kan vara ett klart stöd Båda parter kan följa samma frågeställningar och därmed så skapas bättre förutsättningar för bättre balanserade avtal när det informationssäkerhet