ISO/IEC 27002 Przekierowano ze strony: Code of practice for information security management ang. Code of practice for information security management

ISO/IEC 27002
Norma
Zarządzanie bezpieczeństwem
Logo ISO/IEC
WłaścicielISO IEC
RozpowszechnianieISO PKN
Powstaniepołowa lat 90-tych

jako BS7799
Aktualna wersja2007
Podstawowy schemat
ISO/IEC 27002 (wcześniej ISO/IEC 17799) - międzynarodowa norma bezpieczeństwa informacji opublikowana 17 września 2007 r. Określa wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI - ISMS ang. Information Security Management System). Stanowi merytoryczne i opisowe rozwinięcie normy ISO/IEC 27001. Cele stosowania zabezpieczeń omówione w tej normie, są powszechnie uznawanymi praktykami zarządzania bezpieczeństwem informacji.

Spis treści

Pochodzenie i rozwój

Norma ISO/IEC 27002 wyewoluowała z brytyjskiej normy BS7799 opublikowanej w połowie lat 90. Pierwotnie Brytyjska Norma została użyta przez ISO/IEC jako ISO/IEC 17799:2000 a następnie poprawiona w 2005 roku. Ostatecznie norma ta została przemianowana w lipcu 2007 roku na ISO/IEC 27002, bez zmian merytorycznych, w celu dostosowania jej oznaczenia do innych norm serii 27000. Jej budowa jest ściśle związana z budową Załącznika A normy ISO/IEC 27001:2005. Dla każdego wymagania zdefiniowanego w tym załączniku, w normie ISO 27002 zawarto odpowiednie zalecenia.

Zarówno ISO/IEC 27001 jak i ISO/IEC 27002 są obecnie poprawiane przez ISO/IEC JTC1/SC27. To rutynowa czynność dla norm ISO/IEC, przeprowadzana co kilka lat w celu utrzymywania ich aktualności i istotności. Poprawki obejmują między innymi wdrożenie referencji do innych wydawanych w międzyczasie norm bezpieczeństwa (takich jak ISO/IEC 27000, ISO/IEC 27004 i ISO/IEC 27005). Uwzględnią one również dobre praktyki bezpieczeństwa, które powstały od czasu ostatniej publikacji. Ponieważ zmiany te odnoszą się do funkcjonujących w organizacjach systemów muszą być uzasadnione i na ile to możliwe ewolucyjne a nie rewolucyjne. Poprawione normy mają być opublikowane w 2013 roku.

Polskim odpowiednikiem ISO/IEC 17799:2005 jest opublikowana 9 stycznia 2007 roku norma PN-ISO/IEC 17799:2007 (wcześniej PN-ISO/IEC 17799:2003).

Zakres normy

ISO/IEC 27002 zapewnia najepsze praktyki w dziedzinie zarządzania bezpieczeństwem informacji zalecane do wykorzystania przez odpowiedzialnych za ustanowienie, wdrożenie i utrzymanie systemu zarządzania bezpieczeństwem informacji (ang. information security management system, ISMS). W obrębie normy bezpieczeństwo informacji jest zdefiniowane w kontekście triady C-I-A jako: zachowanie poufności (ang. confidentiality) - zapewnienie, że informacje są dostępne tylko upoważnionym, integralności (ang. integrity) - ochrona dokładności i kompletności informacji oraz metod przetwarzania, i dostępności (ang. availability) - zapewnienie, że kiedy jest to wymagane, upoważnieni użytkownicy mają dostęp do informacji i powiązanych aktywów.

W normie ISO/IEC 27002 po trzech wprowadzających sekcjach (1. Struktura, 2. Akceptowane Użycie Źródeł Technologii Informacyjnych i 3. Definicja i Zasady Bezpieczeństwa Informacji) wyróżniono dwanaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji:

W każdej sekcji określa się i przedstawia w ogólnych zarysach kontrole bezpieczeństwa (ang. security controls) i ich cele. Kontrole bezpieczeństwa informacji są z reguły uważane za najlepszy sposób na osiągnięcie tych celów. Dla każdej z kontroli zapewnia się wskazówki dotyczące zastosowania. Szczegółowe kontrole nie są opcjonalnie wymagane z racji tego, że:
  1. Oczekuje się, że każda organizacja podejmie proces oceny ryzyka bezpieczeństwa posiadanych informacji w celu określenia jego konkretnych wymagań przed wyborem kontroli, które są odpowiednie w danych okolicznościach. Sekcja wprowadzająca przedstawia w ogólnych zarysach proces szacowania ryzyka, mimo że istnieją bardziej szczegółowe normy, które obejmują tę dziedzinę, takie jak ISO/IEC 27005. Użycie analizy ryzyka bezpieczeństwa informacji w celu ukierunkowania wyboru i wdrożenia kontroli bezpieczeństwa informacji jest ważną cechą norm serii ISO/IEC 27000-series. Oznacza to, że ogólne zalecenie dotyczące postępowania zawarte w tej normie jest dostosowywane do potrzeb konkretnego kontekstu organizacji każdego z użytkowników, zamiast być bezmyślnie wdrażana. Nie wszystkie z 39 celów kontroli są konieczne w każdej organizacji, dlatego też całe kategorie kontroli nie są konieczne. Normy są również elastyczne w takim sensie, że kontrole bezpieczeństwa informacji są sugerowane, dając wolną rękę użytkownikom do zastosowania alternatywnych kontroli na ich życzenie tak długo jak osiągnięte są główne cele kontroli związane z łagodzeniem ryzyka bezpieczeństwa informacji. To pomaga utrzymać odpowiednią normę pomimo rozwijającej się natury zagrożeń bezpieczeństwa informacji, podatności, wpływów i trendów w używaniu kontroli bezpieczeństwa pewnych informacji.
  2. Spisanie wszystkich wyobrażalnych kontroli w jednej uniwersalnej normie nie jest właściwie możliwe. Specyficzne dla branży zasady zastosowania dla ISO/IEC 27001 i ISO/IEC 27002 oferują odpowiednie normy: ISO/IEC 27011 - dla sektora telekomunikacyjnego oraz ISO 27799 dla sektora ochrony zdrowia. Normy dla innych branży sa w przygotowaniu.


Większość organizacji wdraża szeroki zakres kontroli związanych z bezpieczeństwem informacji, z których większość jest zalecana w ogólnych zasadach przez ISO/IEC 27002. Konstruowanie infrastruktury kontroli bezpieczeństwa informacji w zgodzie z ISO/IEC 27002 może być korzystne jako że:
  • jest związane z powszechnie uznawanymi, międzynarodowymi normami,
  • pomaga w uniknięciu "białych plam" i nałożeń
  • ma szansę być rozpoznana przez tych, którzy orientują się w normach ISO/IEC


Przykładowe użycie ISO/IEC 27002

Oto kilka przykładów typowych polityk bezpieczeństwa informacji i innych kontroli związanych z trzema częściami ISO/IEC 27002. Należy zwrócić uwagę, że jest to jedynie ilustracja. Lista przykładowych kontroli jest niepełna i nie jest powszechnie obowiązująca.

Bezpieczeństwo fizyczne i środowiskowe

  • Fizyczny dostęp do obiektów i infrastruktura wspierająca (komunikacyjna, energetyczna, klimatyzacja etc.) muszą być monitorowane i ograniczane w celu zapobiegania, wykrywania i minimalizowania skutków nieupoważnionego i niewłaściwego dostępu, manipulowania, wandalizmu, uszkodzenia mienia, kradzieży itp.
  • Lista osób upoważnionych do dostępu do zabezpieczonych miejsc musi być weryfikowana i zatwierdzana okresowo (co najmniej raz na rok) przez Wydział Administracji lub Wydział Ochrony Fizycznej i ponownie sprawdzona przez menedżerów departamentu.
  • Fotografowanie lub nagrywanie filmów jest zabronione w Strefach Zastrzeżonych bez wcześniejszego pozwolenia od wyznaczonego pełnomocnika.
  • Odpowiednie kamery dozorujące powinny być umieszczone przy wszystkich wejściach i wyjściach z obiektu i w strategicznych miejscach takich jak Strefy Zastrzeżone, które powinny być nagrywane przez co najmniej jeden miesiąc i monitorowane non-stop przez wytrenowany personel.
  • Karty dostępu pozwalające na czasowo ograniczony dostęp do ogólnych i/lub konkretnych obszarów mogą być zapewnione praktykantom, sprzedawcom, konsultantom, osobom trzecim i innemu personelowi, który został zidentyfikowany, którego autentyczność została potwierdzona i który został upoważniony do dostępu do tych obszarów.
  • W innych miejscach niż te publiczne, takich jak hale recepcji i pomieszczenia prywatne np. toalety, gościom na terenie obiektu powinien cały czas towarzyszyć pracownik.
  • Data i godzina przyjścia i odejścia gościa razem z celem wizyty musi być zapisana w rejestrze utrzymywanym i kontrolowanym przez Miejscową Ochronę lub Recepcję.
  • Na terenie obiektu każdy (pracownicy i goście) musi mieć cały czas przy sobie ważną kartę wstępu i pokazywać ją do wglądu na prośbę menedżera, strażnika lub zainteresowanego pracownika.
  • Systemy kontroli dostępu muszą być chronione przeciwko nieupoważnionemu/niewłaściwemu dostępowi i innym narażającym na szkody wydarzeniom.
  • Próbne alarmy przeciwpożarowe/ewakuacyjne muszą być okresowo przeprowadzane (co najmniej raz na rok).
  • Palenie jest zabronione w pomieszczeniach innych niż tych zaprojektowanych jako strefy dla palących.

Bezpieczeństwo zasobów ludzkich

  • Wszyscy pracownicy muszą być zweryfikowani przed zatrudnieniem, łącznie z identyfikacją tożsamości za pomocą paszportu lub podobnego dokumentu ze zdjęciem i co najmniej dwóch satysfakcjonujących, referencji zawodowych. Dodatkowe kontrole są wymagane dla pracowników ubiegających się o zaufane stanowiska.
  • Wszyscy pracownicy muszą oficjalnie zaakceptować wiążącą umowę o poufność lub umowę o zachowanie poufności dotyczącej prywatnych i zastrzeżonych informacji im dostarczonych lub wytworzonych przez nich w czasie zatrudnienia.
  • Wydział Zasobów Ludzkich musi poinformować Administrację, Finanse i Operacje kiedy pracownik jest zatrudniany, przeniesiony, rezygnuje, jest zawieszony lub zwolniony na długi czas lub gdy jego umowa o prace zostaje wypowiedziana.
  • Z chwilą otrzymania wiadomości HR na temat zmiany statusu pracownika Administracja musi uaktualnić swoje uprawnienia fizycznego dostępu a Administracja Bezpieczeństwa IT musi odpowiednio uaktualnić swoje logiczne uprawnienia dostępu.
  • Menedżer pracownika musi zapewnić, że wszystkie karty dostępu, klucze, sprzęt IT, nośniki danych i inne cenne korporacyjne rzeczy są zwrócone przez pracownika w dniu lub przed ostatnim dniem jego zatrudnienia jako warunek upoważnienia go do ostatniej wypłaty.

Kontrola dostępu

  • Użytkownicy korporacyjnych systemów IT, sieci, aplikacji i informacji muszą być indywidualnie zidentyfikowani i uwierzytelnieni.
  • Dostęp użytkownika do korporacyjnych systemów IT, sieci, aplikacji i informacji musi być kontrolowany zgodnie z wymaganiami co do dostępu, określonymi przez the relevant Information Asset Owners, zazwyczaj zgodnie z rolą użytkownika.
  • Ogólne lub testowe ID nie mogą być tworzone lub umożliwiane w systemie produkcji, chyba że są upoważnione przez właściwego Właściciela Zasobu Informacyjnego.
  • Po określonej liczbie nieudanych prób logowania, wygenerowane powinny być okna do bezpiecznego logowania i (gdy stosowne) alarmy bezpieczeństwa, a konta użytkownika zablokowane zgodnie z wymaganiami Właściciela Zasobu Informacyjnego.
  • Hasła muszą być długie i skomplikowane, składające się z mieszanych liter, cyfr i specjalnych znaków, które byłyby trudne do odgadnięcia.
  • Hasła nie mogą być spisane lub przetrzymywane w czytelnym formacie.
  • Informacje weryfikujące takie jak hasła, bezpieczne logowania, konfiguracje bezpieczeństwa itd. muszą być odpowiednio chronione przed nieupoważnionym lub niewłaściwym dostępem, zmianami, uszkodzeniem lub stratą.
  • Uprzywilejowane prawa do dostępu, zazwyczaj wymagane w zarządzaniu, konfigurowaniu, chronieniu i monitorowaniu systemów IT muszą być sprawdzane okresowo (co najmniej dwa razy do roku) przez Bezpieczeństwo Informacji i ponownie sprawdzone przez menedżerów wydziału.
  • Użytkownicy muszą wylogować się lub zablokować swoje sesje za pomocą hasła zanim zostawią je bez nadzoru.
  • Wygaszacze chronione hasłem z czasem bezczynności nie dłuższym niż 10 min. muszą być włączane na wszystkich stanowiskach.
  • Pisemny dostęp do przenośnych urządzeń (nośników USB, nagrywarek CD/DVD itd.) musi być uniemożliwiony na wszystkich pulpitach, chyba że został upoważniony z uzasadnionych biznesowych powodów.


Certyfikat

ISO/IEC 27002 jest standardem zawierającym wskazania, które mogą być interpretowane i używane w organizacjach wszystkich rodzajów i rozmiarach zgodnie z ryzykami bezpieczeństwa poszczególnych informacji, z którymi się przychodzi im się zmierzyć. W praktyce ta elastyczność daje użytkownikom dużo swobody w zastosowaniu kontroli bezpieczeństwa informacji, które mają dla nich sens, ale sprawia również, że są trudne do stosunkowo prostego weryfikowania zgodności stosowanego w większości formalnych systemów certyfikacji.

ISO/IEC 27001 jest powszechnie rozpoznawaną, możliwą do poświadczenia normą. ISO/IEC 27001 określa ilość wymagań dla firmy do ustanowienia, wdrożenia, utrzymywania i polepszanie ISMS. W Załączniku A wykłada też komplet 133 kontroli bezpieczeństwa informacji do zaadoptowania których w ich ISMS zachęcane są organizacje. Kontrole w Załączniku A wywodzą się z i są podrzędne względem ISO/IEC 27002.

Certyfikaty bezpieczeństwa spotyka się rzadko. Żaden bank w USA nie posiada certyfikatu ISO-27001. Google Apps uzyskały certyfikat ISO-27001 od Ernst & Young CertifyPoint, 28 Maja 2012 otrzymały certyfikat #2012-001.[1] Google "zdobyły certyfikat ISO 27001 dla systemów, aplikacji, ludzi, technologii, procesów i centrum danych służących Google Apps do Biznesu," konkretnie "GMail, Google Talk, Google Calendar, Google Docs (dokumenty, arkusze kalkulacyjne, prezentacje), Google Sites, Google Control Panel (CPanel), Google Contacts, Google Video, Google Groups, Google Directory Sync," i API do zabezpieczania, Single Sign On, relacjonowania i kontroli.[2]

Zobacz też

Linki zewnętrzne

Abstrakt ISO/IEC 27002

!

Bibliografia

ostatnia modyfikacja 20 sierpnia 2016 r.