Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC 27003 eller konsten att införa LIS
Jan Branzell Veriscan Security AB Lärare inom SIS informationssäkerhetsakademi Co-Editor för ISO/IEC 27003 Rapportör för ISO TR X under utveckling som handlar om Information Security Management Economics
Vi har alla olika förutsättningar för ett LIS-införande Stor eller liten organisation Vi finns på en eller flera platser LIS kan omfatta en eller flera organisatoriska enheter Vi har alla ett nuläge som är olika Vi har olika kulturer Vi har olika strukturer på styrning Vi kan ha ett komplexa beroenden (t.ex. IT outsourcad) Går det att skriva en standard för införande med dessa förutsättningar????
Ja - om vi tar fasta på det som är lika Ett införande görs som ett projekt Har en start och ett slut, (engångskaraktär) Har en tillfällig organisation Är ett förändringsarbete Baseras på ISO/IEC 27001 Undantar hur den faktiska implementeringen av valda säkerhetsåtgärder i Appendix A bör ske (Se istället ISO/IEC 27002) Tar med upprättandet av PDCA-cykeln
Införande: Ett projekt två steg! Struktur Generellt (27001) Säkerhetsåtgärder - Unikt (27002+andra+risk/27005) Struktur Bas och långsiktighet Ständiga förbättringar Säkerhetsåtgärder Direkt skydd Styrd informationssäkerhet Rätt nivå Steg 1 Steg 2 5
27003 införande av LIS 27003 täcker steg 1 och anger ramen för steg 2, dvs 27001 med kopplingen till 27002 Struktur Bas och långsiktighet Ständiga förbättringar Säkerhetsåtgärder Direkt skydd Styrd informationssäkerhet Rätt nivå Steg 1 Steg 2 6
Införande enligt ISO/IEC 27003 ur ett PDCA perspektiv 27003 Första delen på första varvet Lägger grunden för införande av säkerhetsåtgärder
ISO/IEC 27003 ger stöd vid införandet av LIS, som ett projekt
Införandefaser (ISO/IEC 27003) Erhålla ledningens godkännande för initiering av ett LIS-projekt Definiera omfattning, gränser samt policy för LIS Genomföra analys av informationssäkerhetskrav Genomföra riskbedömning och planera riskbehandling Utforma LIS Ledningens godkännande för initiering av et t LIS-projekt Omfattning och gränser för LIS Informationssäkerhetskrav Skriftligt intyg på ledningens godkännande av införandet av LIS Slutgiltig projektplan för införande av LIS LIS Policy Informationstillgångar Riskbehandlingsplan Resultat av informationssäkerhetsbedömning Uttalande om tillämplighet, inkl. åtgärdsmål och valda säkerhetsåtgärder
Införandefaser (ISO/IEC 27003) Erhålla ledningens godkännande för initiering av ett LIS-projekt Definiera omfattning, gränser samt policy för LIS Genomföra analys av informationssäkerhetskrav Genomföra riskbedömning och planera riskbehandling Utforma LIS Ledningens godkännande för initiering av ett LIS-projekt Omfattning och gränser för LIS Informationssäkerhetskrav Skriftligt intyg på ledningens godkännande av införandet av LIS Slutgiltig projektplan för införande av LIS LIS Policy Informationstillgångar Riskbehandlingsplan Säkerhetsåtgärder Resultat av informationssäkerhetsbedömning Uttalande om tillämplighet, inkl. åtgärdsmål och valda säkerhetsåtgärder Direkt skydd Struktur Bas och långsiktighet Ständiga förbättringar
Målen för varje fas/kapitel är: 5 - Mål: Att erhålla ledningens godkännande för att starta LIS-projektet genom att definiera affärsnyttan och projektplanen. 6 - Mål: Att definiera detaljerad omfattning och gränser för LIS, att utarbeta en policy för LIS samt erhålla klartecken från ledningen 7 - Mål: För att kunna definiera relevanta krav som ska stödjas av LIS, bör informationstillgångar identifieras och aktuell status på informationssäkerheten inom omfattningen inhämtas. 8 - Mål: Att definiera en metod för riskbedömning, identifiera, analysera och utvärdera informationssäkerhetsrisker för val av riskbehandlingsalternativ, åtgärdsmål och säkerhetsåtgärder. 9 - Mål: Att fullborda den slutgiltiga implementeringsplanen för LIS genom utformning av: den organisatoriska säkerheten med utgångspunkt från valda riskbehandlingsalternativ och krav gällande register och dokument, säkerhetsåtgärder med integrering av säkerhetsbestämmelser för ICT, fysiska och organisatoriska processer samt LIS-specifika krav. 11
Kapitel 5 Mål: Att erhålla ledningens godkännande för att starta LIS-projektet genom att definiera affärsnyttan och projektplanen. NOT: Ej krav enligt ISO/IEC 27001
Kapitel 6 Mål: Att definiera detaljerad omfattning och gränser för LIS, att utarbeta en policy för LIS samt erhålla klartecken från ledningen
Kapitel 7 Mål: För att kunna definiera relevanta krav som ska stödjas av LIS, bör informationstillgångar identifieras och aktuell status på informationssäkerheten inom omfattningen inhämtas.
Kapitel 8 Mål: Att definiera en metod för riskbedömning, identifiera, analysera och utvärdera informationssäkerhetsrisker för val av riskbehandlingsalternativ, åtgärdsmål och säkerhetsåtgärder.
Kapitel 9 Mål: Att färdigställa den slutgiltiga implementeringsplanen för LIS genom utformning av: den organisatoriska säkerheten säkerhetsåtgärder med integrering av säkerhetsbestämmelser för ICT, fysiska och organisatoriska processer LIS-specifika krav.
Kapitel X Implementera säkerhetsåtgärder (Org. Fys. ICT?) Specifikt!!! finns inte i standarden av förklarliga skäl med, men det finns lite goda råd.
Appendix Bilaga A. Sammanfattning av aktiviteter med hänvisningar enligt SS-ISO/IEC 27001:2005 Bilaga B. Informationssäkerhetsroller och ansvarsområden Bilaga C. Information kring planering av internrevision Bilaga D. Strukturer inom policyer Bilaga E. Information kring planering av övervakning och mätning
Nytta med ISO/IEC 27003 Struktur, prioriteringar, stöd, samt att man kan undvika en av de stora riskerna vid ett införande. Att man fastnar i en interaktiv process mellan Plan and DO- Man blir aldrig klar
Lite om att omsätta ISO/IEC 27003 i praktiken Det är bara en guide Utgår ifrån att man inte har någonting på plats Baseras på ISO/IEC 27001 En mindre omfattning av LIS kan göra implementeringen betydligt enklare Som projekt så är standarden uppbyggt i faser som är sekventiella i verkligheten kan det finnas flera beroenden Kunskapen om vad som krävs växer med varje fas, för att avslutas i.o.m. kapitel 9 Koppla säkerhetsåtgärderna i ISO/IEC 27002 till de liknande som finns i ISO/IEC 27001 (dvs. ISO/IEC 27003) 20
Tack och så ett avslutande ord på vägen från en känd nallebjörn Puh såg på sina två tassar. Han visste, att en av dem var den högra, och han visste, att när man hade beslutat sig för vilken som var den högra, så var den andra den vänstra, men han kunde aldrig komma ihåg, hur man skulle börja. Källa: Nalle Puh - A.A. Milne