07. plan implementacije isms i menadzemt rizika
DESCRIPTION
ismsTRANSCRIPT
-
PROJEKTOVANJE MENADMENT SISTEMA ZATITE INFIORMACIJA
Tema 7:Plan implementacije ISMS-a
ISO/IEC 27001:2005 standard
PDCA faza planiranja
-
SADRAJ
Kritini faktori uspeha ISMS-a PDCA (Plan, Do, Check, Act) model
PDCA=PPPP PPPP- Priprema, Primena, Provera, Poboljanje
Priprema (planiraj, uspostavi ISMS)
Primena (implementiraj i koristi ISMS)
Provera (monitorii i pregledaj ISMS)
Poboljanje (odravaj i poboljavaj ISMS)
PPPP faza planiranja ISMS-a Izrada politike zatite/ISMS politike
Univerzitet Singidunum
Tehniki fakultet
2
-
Zato je potrebna zatita infomacija?
Poslednji podaci napada, tete (2012.g.):
Trojanci
Rutkit tehnike
Stuxnet
Virusi i crvi
Kraa identiteta (fiing, farming)
Kraa bankarskih podataka korisnika
Botnet
Internet pijunaa
Informaciono ratovanje
Univerzitet Singidunum
Tehniki fakultet
3
-
Planiranje ISMS implementacije Proces zatite informacija ima ponovljiv ivotni ciklus kroz 4 faze
PPPP- Priprema, Primena, Provera, Poboljanje
PPPP model procesa obezbeuje aktivnosti za:
pripremu (planiranje i uspostavljaje) - Plan,
primenu (implementaciju) - Do,
proveru (monitoring i pregled) - Check i
poboljanje (odravanje i poboljanje) ISMS-a u kontinualnom ciklusu Act i
balans menadmenta rizika sa operativnim ciljevima organizacije
Univerzitet Singidunum
Tehniki fakultet
4
-
Primer: Kritini faktori uspeha ISMS-a
Kada se donese odluka za implementaciju ISMS-a, treba uzeti u obzir neke kritine
faktore uspeha implementacije ISMS-a
Univerzitet Singidunum
Tehniki fakultet
5
-
Kritini faktori uspeha ISMS-a - opis
Angaovanje i smernice menadmenta:
Ciljevi menadmenta ISMS-a, namena ISMS-a;
ISMS ciljevi treba da budu opisani u poslovnim terminima
razumljivim za menadment
Menadment treba da bude regularno informisan o statusu ISMS
activnosti i ukljuen u donoenje odluka (ako nije - prioriteti se
mogu pomeriti na operativne probleme)
Finansijska razmatranja:
Alokacija resursa za implementaciju ISMS;
Rizici od ne odravanja strategije zatite;
Monitorisanje SROI, im se ISMS implementira i pone odravanje
SROIUniverzitet Singidunum
Tehniki fakultet
6
-
Kritini faktori uspeha ISMS opis 1
Organizacija zatite informacija
defiisanje strategije IKT sistema i manadmenta rizika
opis uloga i odgovornosti
Specifikacija aktivnosti domena
zakoni i regulative okruenje
industrijski standardi
Menadment rizika
rizici u obimu ISMS-a treba da budu definisani, da bi se
primenile odgovarajue mere za ublaavanje na
prihvatljiv nivo odobren od strane menadmenta
Ukljuivanje relevantnih uesnikaUniverzitet Singidunum
Tehniki fakultet
7
-
Zbirni pregled kritinih faktora uspeha ISMS-a
1. Ukljuivanje glavnog menadmenta (npr. UO)
2. Eksplicitna podrka glavnog menadera (npr. pisani
dokument koji jasno navodi da je usaglaenost sa
ISO/IEC 27001 strategijska odluka organizacije)
3. Smernice politike zatite organizacije, koje preporuuju
PPPP pristup
4. Jasno artikulisani bezbednosni zahtevi, koji odraavaju
poslovne potrebe
5. Usaglaenost politike zatite sa misijom i poslovnim
ciljevima organizacije
Univerzitet Singidunum
Tehniki fakultet
8
-
Zbirni pregled kritinih faktora uspeha ISMS-a -1
6. Sporazum sa menadmentom o procesu implementacije
ISMS-a
7. Uspostavljanje menadera zatite informacija za ISMS i
sertifikaciju
8. Uspostavljanje tima za zatitu informacija
9. Obezbeivanje razvoja svesti o potrebi zatite, obuke i
obrazovanja
10.Uspostavljanje metrike i sistema merenja za evaluaciju
performansi ISMS-a
11.Generisanje izvetaja za menadment, sa teitem na
nove vrednosti.
Univerzitet Singidunum
Tehniki fakultet
9
-
Faze i aktivnosti PDCA modela
PLAN - Planiraj Analiza poslovanja
Procena rizika
Gap analiza
SoA (izjava o primenljivosti)
Politika zatite informacija
DO - Primeni Plan tretmana rizika
Standardi i procedure IS
ISMS kontrole zatite
Plan implementacije
Obuka i svest o potrebi z.
Menadment incidenta
CHECK - Proveri Monitoring
Merenja ISMS-a
Interna provera ISMS-a
Menaderska revizija ISMS-a
ACT - Poboljaj Identifikacija neusaglaenosti
Merenja plana &
implementacije
Testiranje, monitoring &
rezultati komunikacije
Preventivne i korektivne
(procedure) akcije
Univerzitet Singidunum
Tehniki fakultet
10
-
Planiranje ISMS-a
Priprema plana ISMS-a u fazama PDCA:
Do Plan implementacije i praenje projekta
Check Revizija performansi i postizanje ciljeva monitoringa
Act Razreavanje moguih slabosti i poboljanje
Mogua integracija sa drugim menadment sistemima
implementiranim u organizaciji
Primer 1: menadment sistem kvaliteta, TQM;
Identifikovanje zajednikih elemenata koji su ve
implementirani
Primer 2: timovi za menadment, potrebni materijali;
Gap analiza sa zahtevima za bezbednost informacija;
Prilagoavanje postojeih elemenata za ISO/IEC 27001
usaglaenostUniverzitet Singidunum
Tehniki fakultet
11
-
Faza planiranja
Definisanje obima ISMS-a je prva aktivnost u ovoj fazi
Razvoj plana implementacije ISMS-a.
Informaciona imovina
Analiza poslovanja org
Inventar kljune imovine
Univerzitet Singidunum
Tehniki fakultet
12
-
Faza planiranja analiza poslovanja
Pregled na poslovanje organizacije - taktike i strateke poslovne ciljeve
Zato? Za skupljanje dovoljno informacija za projektovanje ISMS-a organizacije
Kako?
Definisanjem obima ISMS-a.(cela organizacija, deo organizacije?)
Ako se deo organizacije iskljui, treba navesti validne razloge
Skupljati informacija kroz intervjue i pregled dokumentacije
Brainstorming sesija sa menaderima za snimanje poslovnih procesa i
identifikaciju postojeih: zahteva za identifikaciju i adekvatnu zatitu informacione imovine
kljunih aktivnosti za procesiranje informacija koje treba zatititi
procesirane informacije i odnosne IKT sisteme
uloge i odgovornosti menadmenta i ostalih zaposlenih
Rezultati aktivnosti:
Analiza poslovanja organizacije
Inventar kljune imovine i poslovnih procesa
ISMS faza planiranjaUniverzitet Singidunum
Tehniki fakultet
13
-
Faza planiranja procena rizika
Procena rizika
Cilj: Odrediti bezbednosni rizik na bazi:
vrednovanja kljune imovine
inventara poslovnih procesa i imovine
Zato?
Za analizu i procenu mogue tete za poslovne aktivnosti
Za identifikaciju pretnji i ranjivosti iformacione imovine
Za razumevanje kritinih faktora za informacionu
imovinu organizacije (tekue stanje vs. vizije)
Univerzitet Singidunum
Tehniki fakultet
14
-
Faza planiranja procena rizika -1
Kako ?
Izborom adekvatne metodologije za procenu rizika (>200)
Generiki metodi za procenu rizika
Analizom i procenom ukupnog operativnog rizika organizacije:
procenom pretnji, ranjivosti i uticaja (tete), tj. iskoristivosti
dogaaja para pretnja/ranjivost
evaluacijom rizika (kvalitativni, polu-kvantitativni metodi,
kvantitativni);
izborom opcija tretmana rizika (ublaiti, prihvatiti, preneti,
ignorisati)
detaljnom procenom kritinih faktora rizika
prihvatanjem preostalog nivoa rizika
dokumentovanjem procene ukupnog rizika!
Univerzitet Singidunum
Tehniki fakultet
15
-
Faza planiranja gap analiza
Gap analiza: Identifikovanje tekueg nivoa bezbednosti informacija sa
ciljem definisanja sistema zatite informacione imovine organizacije
Zato?
Za pravu orijentaciju i podrku menadmenta zatiti informacija, kroz:
Identifikovanje nedostataka koje treba ukljuiti u akcioni plan
implementacije (reinenjeringa) ISMS-a
Definisanje zahteva za ISMS u formi politike zatite
Kako ?
Na bazi procene rizika i evaluacije tekuih zahteva za bezbednost
informacija (u terminima CIA informacija)
Odreivanjem prioriteta, u kombinaciji sa analizom poslovanja kao
osnove za procenu bezbednosti informacija
Univerzitet Singidunum
Tehniki fakultet
16
-
Faza planiranja Izjava o primenljivosti (SoA)
SoA: Dokument ciljeva kontrola i kontrola zatite
izabranih za implementaciju ISMS-a
Sa dokumentom SoA upoznati sve zaposlene
Obezbediti da svi razumeju svoje uloge i odgovornosti
Zato ?
Za podrku ciljeva kontrola i kontrola zatite relevantnih za
primenu ISMS-a organizacije
Za opravdanje iskljuenja na bazi rezultata procene rizika:
obavezna aktivnost za ISO/IEC 27001 sertifikaciju
Univerzitet Singidunum
Tehniki fakultet
17
-
Faza planiranja SoA (1)
Kako?
Izborom ciljeva kontrola i kontrola zatite za primenu u
procesu tretmana rizika
Ako ciljevi i kontrole zatite ne postoje u Annex-u A, mogu
se kreirati novi
Izradom izjave o primenjivosti (SoA):
Dokumenta zatite namenjenog za:
ciljeve kontrola i kontrole zatite iz Annex-a A;
ciljeve kontrola i kontrole zatite iskljuene iz Annex-a A
SoA dokument
Primer: ako nije primenljivokorstiti outsourcing aktivnostUniverzitet Singidunum
Tehniki fakultet
18
-
Faza planiranja politika zatite informacija
Politika zatite: Dizajniranje i izrada politike zatite informacija
Zato ?
Za uspostavljanje strateke pozicije, koju definie menadment, za ciljeva
bezbednosti informacija u organizaciji
Za primenu principa i zahteva za bezbednost informacija kao smernica
Za definisanje uloga i odgovornosti za zatitu informacija u organizaciji
Univerzitet Singidunum
Tehniki fakultet
19
-
Faza planiranja politika zatite informacija 1
Kako ?
Izradom nacrta dokumentacije zatite
Na bazi znanja iz prethodnih koraka
Isticanjem, kroz saoptenja politike:
angaovanja menadmenta na principima i ciljevima zatite informacija
definicije informacione bezbednosti
principa i namene drugih politika zatite (procene rizika, AV zatite, BCP ...)
posledica (sankcija) za nesprovoenje politike zatite
uticaja zahteva zakona i standarda na organizaciju (ne prepisivati zahteve
ISO/IEC 27001)
Dovoljno konciznom i jasnom politikom, razumljivom za sve zaposlene
Regularnom proverom menadera odgovornih za sprovoenje i odravanje
politike zatite
Primer: ISMS politika zatite
Univerzitet Singidunum
Tehniki fakultet
20
-
Dokumentacija zatite
Treba da bude napisana i regularno pregledana
ISMS politiku zatite treba da odobri menadment
Sve verzije politike moraju biti kontrolisane (4.3.2 std)
Primer: SANS Institute uzorci politike zatite
Dokaze o odobravanju dokumenata zatite treba da uva:
menader zatite informacija ili
proveriva usaglaenosti
Sva dokumenta treba proveravati svake ili svake druge
godine
Univerzitet Singidunum
Tehniki fakultet
21
-
Dokumentacija zatite 1
ISMS standard zahteva definisanje i dokumentovanje: Obima i granice ISMS-a (4.2.1a)
Ciljeva ISMS-a (4.3.1a)
ISMS politike, kao superset politike zatite informacija (4.2.1b)
Pristupa proceni rizika (4.2.1c) ili metodologije (4.3.1d)
Procene rizika ili Izvetaja o analizi rizika (4.2.1c,d,e,f,g i 4.3.1e)
Plana tretmana rizika (4.2.1f i 4.2.2b)
Odobrenja menadmenta za preostali rizik - Rp (4.2.1h)
Akreditacije ISMS-a (4.2.1i)
Izjave o primenljivosti -SoA (4.2.1j) (4.2.1g)
Procedura zatite (4.3.1g)
Zapisa, koji pokazuju da ISMS stvarno radi (4.2.3, 4.3.1 i 4.3.3)
Obavezna ISMS dokumenta
Kontrolna lista ISMS dokumenata
Dokumantacija zatite zahteva upravljanje
Krosreferenciranje dokumenata zatiteUniverzitet Singidunum
Tehniki fakultet
22
-
ta je politika zatite?
Politika zatite JESTE:
Dokumentovana izjava menadmenta na visokom nivou
Formalni nain da se kae:
Ovo je nain na koji mi titimo nau informacionu imovinu
Generalizovane izjave zahteva za minimizaciju bezbednosnog rizika informacione imovine
Dokument zatite na viem nivou od standarda i procedura
Politika zatite NIJE:
Konfigurisanje sistema
Primer: Firewalls, IDPS, AC i drugih mehanizama zatite
Nema opcija reenja
Primer: za razliku od smernica/uputstava (Guidelines),
Ne zavisi od proizvoda/tehnologija zatite
Primer: za razliku od arhitekture sistema zatite Univerzitet Singidunum
Tehniki fakultet
23
-
Indikatori potrebe za politikom zatite
Pokuaji da se zadovolje zahtevi interne i spoljne provere (revizije, auditing-a)
Frustracija zbog ogranienih rezultata sa ogranienim strunim osobljem
Ponienje organizacije zbog proboja sistema zatite
Neorganizovan/sproveden program razvoja svesti o potrebi zatite
Nedovoljna ili neaurna dokumentacija zatite
Nisu izvreni kritini zadaci zatite kako bi trebalo
Zaposleni raspravljaju o tome ta treba uiniti da se pobolja zatita
Univerzitet Singidunum
Tehniki fakultet
24
-
Security Policy Drivers
RReegguulalattioionnss TTeecchhnnoolologgyy
TTeecchhnnoollooggyy DDeeppllooyymmeenntt
{ }
PDA
Spyware
Wireless
VOIP
Sarbox
HIPAA
GLBA
EU Data Privacy
Encryption
TThhrreeaattss SPAM
HACKS
Data Loss
Policies
Standards
IDS Anti-Virus Firewalls
BBeehhaavvioiorr
Internet Use Incident Reporting
Primer: Pokretai razvoja politike zatite
HakeriGubitakpodataka
pijuni,SPAM
PRETNJE
REGULATIVE TEHNOLOGIJE
Politike
Standardi
Implementacija tehnologije Praksa zatite
Univerzitet Singidunum
Tehniki fakultet
25
-
Primer: Hijerarhijska struktura politike poslovanja
Univerzitet Singidunum
Tehniki fakultet
26
-
Primer: Organizaciona struktura menadmenta ISMS-a
Univerzitet Singidunum
Tehniki fakultet
27
-
Politika zatite-Pokreta razvoja sistema zatite-
Pre implementacije sistema zatite, politika zatite:
Razjanjava: pravila zatite pre razvoja i konfigurisanja sistema zatite
Osigurava : konzistentnu aplikaciju kontrola zatite
Koordinira: rad razliitih grupa
Olakava: komunikaciju i interoperabilnost
Definie: materijal za obuku i razvoj svesti o potrebi zatite
kompromis izmeu intranet i ekstranet mrea
razmenu vlasnikih informacija sa treom stranomUniverzitet Singidunum
Tehniki fakultet
28
-
Atributi efektivne politike zatite informacija
Kompletnost:
obuhvata sve kritine oblasti rizika za informacionu imovinu
Organizovanost:
bazirana na iroko prihvaenom standardu (ISO/IEC 27001/2, ISO/IEC 21827, NIST SP 800-12)
Dokumentovanost:
napisana i odravana sa eksplicitno definisanim vlasnitvom i verzijom
Aurnost:
periodino revidirana i aurirana na bazi poslednje procene rizika
Komunikativnost:
politike su dostavljene svim odnosnim stranama, proitane i shvaene od strane svih zaposlenih u organizaciji
Univerzitet Singidunum
Tehniki fakultet
29
-
Podrka drugim procesima zatite informacija
Eksplicitno pokazuje podrku menadmenta zatiti informacija
Uspostavlja kredibilitet i transparentnost procesa zatite
Eliminie nesporazume o zatiti informacija
Proaktivno definie odgovore na proboje sistema zatite
Daje smernice za izbor servisa i kontrola zatite
Omoguava brz razvoj novog sistema zatite informacija
Definie osnovne mere zatite informacija :
duna panja (due care controles)
etiki kodeks ponaanja u IKT sistemu
minimum privilegija, znati to je potrebno, nikad sam itd.
Univerzitet Singidunum
Tehniki fakultet
30
-
Podrka usaglaenosti sa zakonom/regulativama...
Aranira ugovorne obaveze:
potrebne za tuilatvo u sluaju spora/kompjuterskog kriminala
Uspostavlja disciplinske mere:
otputanje sa posla i eventualno krivinu prijavu
Dokumentuje zahtev za usaglaenost:
sa zakonom, regulativama i standardima
Odrava i obezbeuje :
skrivenu zatitu legalnoj e-trgovini i e-poslovanju
Otklanja sumnju:
u krenje ugovornih/zakonskih obaveza ili zatite privatnosti
Podrava:
internu reviziju u proveri usaglaenosti
Univerzitet Singidunum
Tehniki fakultet
31
-
Generika struktura politike zatite - (NIST) -
Struktura politike zatite informacija: opta od 1.- 3., specifina od 4. 5:
1. Naslov:
2. Autor:
3. Verzija:
Datum:
Amandmani: kontrolni podaci dokumenta, poetak primene, revizija
4. Namena: predmet politike, bezbednosni ciljevi i ciljna grupa (namena) za koju je dokument namenjen.
Uvod: definicija zatite informacija, objanjenje konteksta sistema zatite.
Struktura, obim i granice: kratak opis strukture, obima, granica politike.
Bezbednosni ciljevi: svi bezbednosni ciljevi po prioritetima.
Specifini zahtevi: Funkcionalni: saoptenja, uloge/odgovornosti
Obavezujui: sankcije za nespovoenje, vlasnik politike
Usaglaenost sa zakonima, standardima i drugim regulativama
5. Renik termina: kljune rei koriene u dokumentu
6. Odobrava: poslednja stranica koju potpisuje akreditacioni autoritet organizacije.
Univerzitet Singidunum
Tehniki fakultet
32
-
I. Programska politika zatite (NIST)
1 3. (Tipini deo opte strukture politike zatite).
4. Saoptenja politike eksplicitna podrka i smernice za obim i granice politike,
4.1 Saoptenje o zahtevima: za zatitu informacija i IKT sistema organizacije.
4.2 Saoptenje o odgovornosti: obavezu odreivanja uloga (vlasnika) i odgovornosti svih zaposlenih.
4.3. Usaglaenost i obaveza primene: usaglaenosti politike sa standardima i praksom zatite;
definie vlasnika, sankcije za nesprovoenje i neusaglaenost politike zatite
5. Definicije termina: renik kljunih termina u odnosnoj politici zatite
6. Odobrava: potpisuje glavni menader.
Uzorak politike bezbednosti
Univerzitet Singidunum
Tehniki fakultet
33
-
II. Politika zatite IKT sistema (NIST)
Istie odluke menadmenta za zatitu IKT sistema
Definie odgovornosti za akcije u sistemu zatite
Odobrena na bazi analize i procene rizika
Fleksibilna/varira zavisno od bezbednosnih ciljeva
Saoptena kroz pravila ovlaenja:
ko (prema poloaju, kategoriji posla, imenu) i
ta ko moe raditi (modifikovati, brisati, itati...) nad objektima IS
Univerzitet Singidunum
Tehniki fakultet
34
-
II. Politika zatite IKT sistema (NIST) -1
1 3. (Tipini deo opte strukture politike zatite)
4. Saoptenja politike eksplicitna podrka i smernice za obim i granice politike
4.1 Saoptenje o zahtevima: za zatitu specifinog objekata imovine, komponente, sistema
4.2 Saoptenje o ulogama i odgovornostima: glavnog menadmenta i izvrnih menadera
svih zaposlenih, spoljnih saradnika i TTP provajdera
za razvoj svesti o potrebi zatite svih uesnika
4.3. Usaglaenost i obaveza primene: objanjava hijerarhiju odnosnih dokumenata zatite i znaaj usaglaenosti politike sa
standardima i praksom zatite
definie sankcije za nesprovoenje i neusaglaenost politike zatite
odreuje vlasnika politike i listu vanih kontakata sa funkcijama, a ne imenima
5. Definicije termina: renik kljunih termina u odnosnoj politici zatite
6. Odobrava: potpisuje akreditator i obino dobrovoljno ustupa autorska prava na dokument.
Primer: Politike zatite IKT sistema XYZ
Univerzitet Singidunum
Tehniki fakultet
35
-
III. ISMS politike zatite (ISO/IEC 27001)
1. 3. (Tipini deo opte strukture politike zatite)
4. Saoptenja politike:
Definicija bezbednosti informacija i zahtevane zatite -
Lista pravila zatite koju treba razviti:
fizika zatita sistema, personalna zatita, upotreba kriptografije, upravljanje kompjuterskim incidentom, logovanje i kontrolni tragovi, udaljeni pristup, autorizacija i kontrola pristupa,zatita poverljivost, integriteta i raspoloivost itd.
Uloge i odgovornosti: detaljne uloge i odgovornosti za ISMS.
Usaglaenost i obaveza primene
Vlasnitvo i kontakti
5. Definicije termina
6. Odobrava i autorska prava
Primer: ISMS politika LANEUniverzitet Singidunum
Tehniki fakultet
36
-
III. Politike (pravila) zatite
Politika (pravilo) zatite funkcionalne komponente sistema zatite
1. 3. (Tipini deo opte strukture politike zatite)
4. Saoptenja:
zahtevi za: uskladitene informacije, metod skupljanja informacija, upravljanje kolaiima, pristup linim podacima, auriranje linih podataka, iskljuivanje informacija, dostupnost za treu stranu i sl.
uloge i odgovornosti svih relevantnih uesnika na koje se politika odnosi.
5 i 6. Kao u standardnoj strukturi, ali specifino za konkretnu komponentu zatite.
Primer: Politika kontrole pristupa
Univerzitet Singidunum
Tehniki fakultet
37
-
Plan zatite (NIST)- proces razvoja i struktura-
Plan projekta za implementaciju politike i procedura zatite
Generiki proces razvoja plana zatite:
iniciranje projekta
razvoj politika zatite
konsultacije i odobravanje
razvoj svesti i obuka
distribucija politika zatite svim korisnicima
Primer uzorka plana zatite: Uzorak za izradu plana zatite
Primeri procedure zatite: Procedura kontrole pristupa
Univerzitet Singidunum
Tehniki fakultet
38
-
Primeri saoptenja bitnih politika zatite
1. Redovno izvetavati o svim problemima i ranjivostima sistema zatite centralni entitet organizacije za upravljanje zatitom informacija.
2. Pristup sistemima i informacijama davati na baziznati samo ono to je potrebno za izvravanje posla.
3. Informacije klasifikovati na bazi osetljivosti i oznaavati svaku osetljivu informaciju.
4. Korisniki izabrane lozinke moraju slediti pravilo kompleksnosti i moraju se periodino aurirati/menjati.
5. .
Univerzitet Singidunum
Tehniki fakultet
39
-
Faktori uspeha implementacije politike zatite
Konzistentno ukljuivanje korisnika
Podrka menadmenta (aktivni interes)
Jasna izjava o zahtevima
Dobro planiranje
Realistina oekivanja
Manje kontrolnih taaka - vea transparentnost
Vlasnitvo (odgovornosti)
Jasna vizija i ciljevi
Planiranje rizika, identifikacija i ublaavanje
Budunost politike zatite:
automatizacija (VigilEnt Policy Center from NetIQ, Informatio cecurity Policy Shield)
Univerzitet Singidunum
Tehniki fakultet
40
-
Primer: Problemi nedostatka politike zatite
*CSI/FBI & Information Security shield anketa
>25% zaposlenih nije proitalo ni jednu politiku zatite u 2007 godini*
50% nije proitalo sve politike zatite koje su im namenjene u 2007
75% zaposlenih ignorie politiku zatite ak i kada su svesni njenog postojanja *
Univerzitet Singidunum
Tehniki fakultet
41
-
Primer: Problemi nedostatka politike zatite
*CSI/FBI & Information Security shield anketa
46% korisnika rutinski deli pasvorde*
50% organizacija nema politiku za izvetavanje o bezbednosnom incidentu i ranjivostima sistema
67% organizacija istie da je kljuni prioritet u sledeoj (2010) podizanje svesti o potrebi zatite
22% organizacija imaju program za razvoj svesti o potrebi zatite
13% organizacija ima asove obuke iz oblasti zatite informacija
Univerzitet Singidunum
Tehniki fakultet
42
-
ZAKLJUCI
1. Glavni cilj upravljanja zatitom informacija (ZI):
uspostavljanje odrivog programa,
selekcija i izbor resursa i revizija sistema zatite
za odravanje rizika na prihvatljivom nivou.
2. GAISP - osnovni skup principa za upravljanje sistemom ZI:
informacija i integralno upravljanje IKTS/SZI
upravljanje SZ - odreeni broj infrastrukturnih servisa koji
obezbeuju normalni rad komponenti zatite i IKTS
najznaajniji resurs - tim specijalista zatite
integralno upravljanje sa IKTS i SZI (ITU X.700)
integrie skupove informacionih servisa i servisa zatite
3. Metodologija za upravljanje ZI: IEC/ISO 27001 (ISMS)
4. Planiranje implementacije ISMS-a ukljuuje sledee aktivnosti:
analizu poslovanja, procenurizika, gap analizu, izradu SoA dokumenta
i izradu politike zatiteUniverzitet Singidunum
Tehniki fakultet
43
-
Pitanja ?