Cloud en ISO27000
Presentatie: Wim Muller
Management Trainer in Personal DevelopmentService-, Security- and Process ManagementACTASITIS
Veilig de Cloud in met ISO 27000?Topics:
Waarde van informatieDe Cloud & InformatiebeveiligingRol ISO 27000Relevante opleidingen
Waarde van Informatie
De waarde van informatie wordt bepaald door de verschillende belanghebbenden bij die informatie
Informatie
Managers
Verkopers
Werkvloer
Bestuur
Waarde van Informatie
De waarde van informatie wordt bepaald door de verschillende belanghebbenden bij die informatie
Informatie
Managers
Onbedoeldebelanghebbenden
Verkopers
Werkvloer
Bestuur
Eigenaars
Klanten
Wetgeving
Politiek
Belang van Informatie
Verschillende perspectieven, verschillende belangenOmgevingsvariabelen van de organisatie veranderen en daarmee de businessvereisten aan informatieOrganisaties zijn steeds meer onderdeel van ketens waardoor informatie steeds meer extern nodig is“Het Nieuwe werken” verandert eisen van businessOntwikkelingen Cloud en “As A Service”
Organisaties kunnen niet zonder informatie
Informatie en businessInformatie is het bloed van de organisatie ....
Directiebestuur
AfdelingAfdeling
Team Team TeamTeam
........ de servers vormen het kloppende hart
Informatie en business
Onderverdeling van business vereisten in drie betrouwbaarheidsaspecten:
BeschikbaarheidWaar, wanneer en bij wie het nodig is.
IntegriteitCorrect, authentiek en tijdig.
VertrouwelijkheidExclusief en gewaarborgde privacy
BIV
De cloud beschouwd vanuit BIV
Uitgebreidere beschikbaarheid mogelijk middels de cloud, maar vereist goede afsprakenNieuwe vereisten vanuit de business, de 3 A’s:
AnytimeAnyplaceAnyway
Beschikbaarheid
De cloud beschouwd vanuit BIV
De cloud vormt een grotere bedreiging voor de aspecten rondom de integriteit van gegevens
Hoe en waar worden ze opgeslagen?Via welke weg komen ze bij ons?Wie kan er bij?
Integriteit
De cloud beschouwd vanuit BIV
De bedreigingen wat betreft vertrouwelijkheid worden talrijker en groter in de Cloud.
Hoe is de opslag beveiligd?Hoe is de communicatie afgeschermd?Hoe groter de omgeving, des te groter het aantal potentiële (cyber)criminelen!
Vertrouwelijkheid
De cloud
Bron: Kurttronics
De cloud
Letterlijk betekent Cloud wolk
In de Cloud
integriteitvertrouwelijkheidbeschikbaarheid
Sturen op business vereisten
In de cloud
Zoeken naar zekerheden:
Dat er conform de BIV-eisen van de business met informatie wordt omgegaanDat de juiste maatregelen worden genomen t.o.v. de algemene bedrijfsrisico's van de organisatie Dat er geen wetten worden overtredenDat lokale wetgeving geldt (bijvoorbeeld privacy)Dat er aantoonbaar continue verbetering isDat er altijd objectieve meting mogelijk isDat ...............
In de cloud
Vertalen van eisen, regels, richtlijnen, principes van business naar aanbiedersBehoefte aan onafhankelijke audits van de verschillende aanbiedersZoeken naar zekerheden middels certificeringBijvoorbeeld via de normen ISO/IEC 27000 .........
ISO/IEC 27000 “familie”
ISO/IEC 27001: specificaties en richtlijnen voor een Information Security Management System (ISMS) (vh BS7799-2)ISO/IEC 27002: praktische richtlijnen voor maatregelen “de code” (vh ISO 17799, BS7799-1)ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, ISO/IEC 270............
De ISO 27000 “familie” is nog volop in ontwikkeling. Bijvoorbeeld:ISO/IEC 270017 :Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002. (stage 20.20 Working draft study initiated )
ISO/IEC 27001
Internationale norm opgesteld om een model te bieden voor het vaststellen, implementeren,
uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een managementsysteem voor
informatiebeveiliging (ISMS).
ISO/IEC 27001
Doelstellingen:inzicht in de eisen van de organisatie met betrekking tot informatiebeveiliginginzicht in de noodzaak voor het vaststellen van beleid en doelstellingen voor informatiebeveiliging implementeren en uitvoeren van beheersmaatregelen om risico's te beheren voor informatiebeveiliging ten opzichte van de algemene bedrijfsrisico's van de organisatie continue verbetering, gebaseerd op objectieve meting
ISO/IEC 27001:Procesbenadering
Bron: NEN-ISO/IEC 27001
ISO 27002:2007
Bekend als de “Code voor informatiebeveiliging” Praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatiePraktische richtlijn voor het ontwerpen van effectieve methoden voor het bereiken van veiligheidsstandaarden. Handleiding voor het opstellen van beveiligingsnormen en doeltreffend beheer van informatiebeveiliging voor de organisatieHelpt vertrouwen te scheppen in relaties tussen organisaties
ISO 27002:2007 Structuur
11 hoofdstukken met 39 hoofdbeveiligingscategorieën:
Beveiligingsbeleid (1); Organisatie van de informatiebeveiliging (2); Beheer van bedrijfsmiddelen (2); Personele beveiligingseisen (3); Fysieke beveiliging en beveiliging van de omgeving (2); Beheer van communicatie- en bedieningsprocessen (10); Toegangsbeveiliging (7); Aanschaf, ontwikkeling, onderhoud van informatiesystemen (6); Beheersen van informatiebeveiligingsincidenten (2); Beheerproces bedrijfscontinuiteit (1); Naleving (3).
Bron: NEN-ISO/IEC 27002
ISO 27002:2007 Structuur
Elke hoofdbeveiligingscategorie bevat:een beheersdoelstellingeen of meer beheersmaatregelen
Een beheersmaatregel is als volgt gestructureerdBeheersmaatregelDefinieert de specifieke maatregel om aan de beheersdoelstelling te voldoen.
ImplementatierichtlijnenNadere informatie voor implementatie van de beheersmaatregel
Overige informatieVerdere informatie waarmee rekening moet worden gehouden, zoals juridische overwegingen en verwijzingen naar andere normen.
Bron: NEN-ISO/IEC 27002
Voorbeeld ISO27002
Hoofdstuk 6: Organisatie van de informatiebeveiligingHoofdbeveiligingscategorie 6.2: “Externe partijen”
Doelstelling: Beveiligen van de informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd.
De beveiliging van de informatie en IT-voorzieningen van de organisatie behoort niet te worden verminderd door het invoeren van producten of diensten van externe partijen.
Bron: NEN-ISO/IEC 27002
Voorbeeld ISO27002
Hoofdbeveiligingscategorie 6.2: “Externe partijen” Beheersmaatregelen:
Identificatie van risico's die betrekking hebben op externe partijenBeveiliging behandelen in de omgang met klantenBeveiliging behandelen in overeenkomsten met een derde partij
Bron: NEN-ISO/IEC 27002
Voorbeeld ISO27002
Hoofdbeveiligingscategorie 6.2: “Externe partijen” Beheersmaatregel:
Beveiliging behandelen in overeenkomsten met derde partij.
Bron: NEN-ISO/IEC 27002
Omschrijving:In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of IT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan IT- voorzieningen waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn opgenomen.
Voorbeeld ISO27002
6.2: “Externe partijen” Beheersmaatregel:
Beveiliging behandelen in overeenkomsten met derde partij.
Bron: NEN-ISO/IEC 27002
Waarin onder andere opgenomen:• beheersmaatregelen voor het waarborgen van de bescherming van bedrijfsmiddelen, • verantwoordelijkheden ten aanzien van installatie en onderhoud van hardware en
programmatuur; • een duidelijke rapportagestructuur en afspraken over de vorm van de rapportage; • een duidelijk en gespecificeerd proces voor het beheer van wijzigingen; • afspraken over toegangsbeleid• waarborgen dat gebruikers zich bewust zijn van verantwoordelijkheden en aspecten
van informatiebeveiliging; • opleiding voor gebruikers en beheerders op het gebied van methoden, procedures en
beveiliging;
Awareness, training en opleiding
Opleiding en training is het geijkte middel voor beveiligingsbewustzijnDiverse trainingen voor diverse rollen en niveaus binnen de organisatie.
Bewustwording van alle medewerkers is ongetwijfeld de belangrijkste van alle
beveiligingsmaatregelen.
Relevante trainingen
Ocean’s 99 GameEen business simulatie op het gebied van (informatie) beveiliging en risico managementDoelgroep:
Iedereen die maar enigszins met informatie werkt.(Vooral effectief op security awareness en samenwerking)
Relevante trainingen
Information Security Foundation op basis van ISO27002Geeft inzicht in de basis principes van informatiebeveiliging en ISO 27000Doelgroep:
Senior informatiewerkerAfdelingsmanagerTeamleiderAdviseurKwaliteitsmedewerkerApplicatiebeheerderSysteembeheerder
Relevante trainingen
Information Security Advanced op basis van ISO27002Gaat uitvoerig in op de code of practice ISO 27002.Doelgroep:Professionals die bezig zijn met het implementeren, evalueren en rapporteren van infrormatie risico’s
Information Security ManagementInformation Security ConsultantInformation Security SpecialistProject ManagerService Manager
Relevante trainingen
Cloud Technology ProfessionalEssentiële concepten en terminologie van Cloud Computing, met voor- en nadelen en de impact van beslissingen om op Cloud Computing over te gaan.Doelgroep:Professionals die bezig zijn met beslissingen over of het inrichten van Cloud Computing
Cloud Technology ProfessionalsCloud ArchitectenCloud Specialisten
Relevante trainingen
Certified Cloud Architectcombinatie tussen Cloud technologie concepten en architectuur.Doelgroep:
Cloud ArchitectenCloud Specialisten
Relevante trainingen
SABSA Foundation, A1- en A3-moduleFramework voor Enterprise Security Architectuur en aanpak voor risicomanagement binnen zowel het bedrijfsleven als de overheid.Doelgroep:
CIO / CISO / CTO / CIROIT Strategy ConsultantsIT ArchitectenIT Programma ManagerSoftware ArchitectenNetwerk ArchitectenService Delivery Managers
Meer Informatie?
Pink Elephant NederlandGooimeer 181411 DE Naarden
Telefoon: 088 – 0107 400E-mail: [email protected]
Bedankt voor uw aandacht
U kunt deze en alle andere presentaties terug zien op:
www.cloudxperience.nl