iso/iec 27001:2014 - informacione tehnologije - tehnike … · 2018. 12. 25. · univerzitet u...
TRANSCRIPT
-
Univerzitet u Novom Sadu
Tehnički fakultet „Mihajlo Pupin“ Zrenjanin
INTEGRISANI MENADŢMENT SISTEMI
ISO/IEC 27001:2014 - Informacione tehnologije
- Tehnike bezbednosti - Sistemi menadţmenta
bezbednošću informacija
Student: Jelena Babić OI-17/15
Predmetni nastavnik: prof. dr Dragan Ćoćkalo
-
UVOD
• Znanje, kao najznačajniji resurs svakog čoveka, pa i društva u celini, može se definisati kao „Obim informacija, opažanja ili razumevanja koja poseduje neka osoba“.
• Nagli razvoj informacionih tehnologija izaziva velike promene u poslovanju svih činioca društva, pa se već početkom 21.veka savremena informaciona rešenja koriste u svim društvenim procesima.
• Međunarodna organizacija za standardizaciju ISO prihvata BS standarde i u junu 2005.godine objavljuju drugu verziju standarda koja se zvala ISO 17799 Informacione tehnologije - bezbednost tehnike - Principi upravljanja bezbednošću informacija.
-
• Međunarodna organizacija za standardizaciju ISO i Međunarodna
elektrotehnička komisija IEC čine specijalizovani sistem svetske
standardizacije
• Standard 27000 je posvećen bezbednosti informacija i određuje zahteve i daje
okvir na koji način organizacija treba da pristupi zaštiti informacija
• Standard ISO/IEC 27001 se objavljuje u oktobru 2005.godine pod nazivom
Informacione tehnologije - Sistemi menadžmenta bezbednošću informacija –
Zahtevi
Standard
-
BEZBEDNOST INFORMACIJA se u standardu
predstavlja kao očuvanje:
• poverljivosti (tajnosti): osiguranje da su
informacije dostupne samo onima kojima je
dopušten pristup;
• integriteta: očuvanje tačnosti i potpunost
informacija i metoda za obradu;
• raspoloživosti: osiguranje da ovlašćteni korisnici
imaju pristup informacijama i imovini koja je u
vezi s njima, onda kada se to zahteva.
Uvod u informatičku bezbednost
-
Bezbednost informacija se postiže primenom odgovarajućeg skupa
kontrola,
koje mogu biti:
• principi,
• prakse,
• procedure,
• organizacionu strukturu i
• softverske funkcije.
Ove kontrole treba uspostaviti kako bi se obezbedilo da se poštuju
specifični bezbednosni ciljevi te organizacije.
Uvod u bezbednost informacija
-
• U savremenom, međusobno povezanom svetu, informativni i povezani procesi, sistemi i
mreže predstavljaju kritičnu poslovnu imovinu.
• Organizacije i njihovi informacioni sistemi i mreže su izloženi bezbednosnim pretnjama iz
širokog spektra izvora, uključujući računarske prevare, špijunažu, sabotaže, vandalizam,
požare i poplave. Pretnje informacijskim sistemima i mrežama uzrokovane zlonamernim
kodom, hakiranjem i napadima poricanjem usluga postaju sve više, više ambiciozni i
sofisticiraniji.
• Sistem za upravljanje bezbednosnih informacija (Information Security Management
System - ISMS) pruža model za uspostavljanje, implementaciju, korišćenje, nadzor,
reviziju, održavanje i poboljšanje zaštitu informacija, sa ciljem postizanja ciljeva
poslovanja, na osnovu procene rizika i nivoa prihvatljivih rizika u organizaciji.
• ISMS mora održavati interese i zahteve informacione bezbednosti svih zainteresovanih
strana, uključujući: kupce, dobavljače, poslovne partnere, suvlasnike i druge relevantne
treće strane.
Uvođenje ISMS
-
Potpuni prelazak na elektronsku obradu podataka, jačanje udela elektronske trgovine te
višestruki kanali elektronskog prikupljanja i distribucije podataka utiču na porast broja
bezbednih incidenata. Niz informacija koje se nalaze unutar informacionog sistema
organizacije često predstavljaju poslovne tajne od suštinske važnosti za organizaciju.
Primer 1: Ako se onemogući protok informacija u organizaciji – koliko dugo će ta
organizacija funkcionisati?
Primer 2: Nesvesno koristite netačne podatke. Kako na osnovu njih možetete donositi
strateške i operativne odluke za poslovanje?
Primer 3: Do vaših poslovnih planova može doći bilo ko, pa i konkurencija. Koliko
takva organizacija ima budućnosti?
Odgovore na sva ta pitanja prvenstveno daje sistem za upravljanje informacionom
bezbednošću (ISMS) zasnovan na seriji standarda ISO/IEC 27000.
Uvođenje ISMS
-
Efikasno poslovanje se zasniva na identifikaciji i upravljanju niza aktivnosti. Pojam
procesa predstavlja upravljanje nizom aktivnosti koje koriste resurse kako bi se
transformisao ulaz u izlaz. Primena sistema procesa u organizaciji, s identifikacijom i
interakcijama tih procesa, kao i njihovo upravljanje naziva se procesnim pristupom.
Procesni pristup za ISMS prema ovom setu standarda zasnovan je na principu
jedinstvenom za sve ISO standarde za upravljanje sistemima: Plan-Do-Check-Act
(PDCA).
• Planiraj – uspostavi ciljeve i planove (analiziraj stanje, uspostavi ciljeve i razvij
planove za ostvarenje tih ciljeva);
• Uradi – implementiraj planove (uradi planirano);
• Proveri – izmeri rezultate (koliko su planovi ostvareni);
• Deluj – koriguj i unapriedi aktivnosti (nauči iz grešaka kako bi se postigli bolji
rezultati).
PDCA ciklus ISMS
-
Aţuriranje i poboljšanje
ISMS (poboljšanje ili
implementacija novih
kontrola, politika,
procedura, …)
Dizajniranje ISMS
(procena rizika,
otklanjanje rizika,
izbor kontrola…)
Praćenje ISMS
(incidenti, promene,
ponovna procena rizika,
auditi …)
Implementacija i upotreba ISMS
(implementacija i testiranje
kontrola, politika, procedura,
procesa …)
Implementacija procesa upravljanja rizicima da bi se postigao efikasan ISMS
kroz proces kontinuiranih unapređenja
-
Organizacija je dužna da:
• Definiše područije primene ISMS-a u odnosu na delatnost organizacije i njenu
organizacionu strukturu, lokaciju, imovinu i tehnologiju.
• Definiše politiku ISMS-а u odnosu na karakteristike poslovanja, organizaciju, njenu
lokaciju, tehnologiju i imovinu
• Definiše ocenjivanje rizika u organizaciji
• Identifikuje rizike
• Analizira i procenjuje rizike
• Identifikuje i proceni opcije za postupanje sa rizicima.
• Izabere ciljeve kontrola i kontrole za postupanje sa rizicima
• Dobije odobrenje rukovodstva za predloženi preostali rizik,
• Dobije autorizaciju rokovodstva za implementaciju i primenu ISMS,
• Primeni izjavu o primenjivosti.
PDCA model upravljanja – PLAN
-
Kod implementacije i primene ISMS organizacija je duţna da :
• Napravi plan postupanja sa rizikom u kojem su identifikovane odgovarajuće mere rukovodstva,
resursi, odgovornosti i prioriteti za upravljanje rizicima po bezbednost informacija;
• Da implementira plan postupanja sa rizikom da bi se dostigli ciljevi kontrola,koji obuhvata
razmatranje finansiranja i podelu uloga i odgovornosti,
• Da uspostavi kontrole da bi se ispunili ciljevi kontrola,
• Definiše kako se meri efektivnost izabranih kontrola ili grupa, određuje kako se ta merenja
koriste da bi se ocenila efektivnost kontrola i da bi se postigli uporedivi i ponovljivi rezultati.
Rukovodstvo i zaposleni određuju koliko dobro kontrole postiţu planirane ciljeve kontrola
pomoću merenja efektivnosti.
• Uspostavlja programe obuke i podizanja svesti,
• Upravlja primenom ISMS-a,
• Upravlja resursima za ISMS,
• Uspostavlja procedure i kontrole koje su odgovarajuće za
• Omogućavanje trenutnog otkrivanja događaja u vezi sa bezbednošću i odgovore na incidente
narušavanja bezbednosti.
PDCA model upravljanja – DO
-
Kod praćenja i preispitivanja ISMS organizacije je duţna da:
• Sprovede procedure za praćenje i preispitivanje i ostale kontrole
• Redovno preispituje efektivnost ISMS, uzimajući u obzir rezultate provera
bezbednosti, incidente, rezultate merenja efektivnosti, predloge i povratne informacije
od svih zainteresovanih strana,
• Meri efektivnost kontrola zbog verifikacije da su zahtevi za bezbednost ispunjeni,
• Preispituje ocenjivanje rizika u planiranim intervalima,preispituje preostali rizik i
uočava prihvatljive nivoe rizika
• Sprovodi interne provere ISMS-a u planiranim intervalima,
• Preduzima redovno preispitivanje ISMS-a od strane rukovodstva da bi se obezbedilo
da područje primene ostane odgovarajuće i da se uoče poboljšanja procesa ISMS-a,
• Ažurira planove bezbednosti uzimajući u obzir rezultate praćenja i preispitivanja,
• Zapisuje aktivnosti i događaje koji mogu imati uticaj na efektivnost ili performanse
ISMS-a.
PDCA model upravljanja – CHECK
-
Da bi se održavao i poboljšavao ISMS organizacija je dužna da:
• Implementira i uoči poboljšanja u ISMS-u,
• Preduzima odgovarajuće korektivne i preventivne mere i primenjuje znanja
stečena iz sopstvenih iskustava i iz iskustava o bezbednosti drugih organizacija,
• Saopšti mere i poboljšanja svim zainteresovanim stranama onoliko detaljno
koliko to odgovara okolnostima i ako je odgovarajuće, utvrđuje kako nastaviti
te aktivnosti,
• Osigurava da poboljšavanja dostignu predviđene ciljeve .
PDCA model upravljanja – ACT
-
Serija standarda ISO/IEC 27000 daje smernice i dobre prakse za dizajniranje,
implementaciju i proveru sistema za upravljanje bezbednost informacija (ISMS) sa ciljem
zaštite poverljivosti, integriteta i dostupnosti informacija.
Standardi su potekli iz Velike Britanije, u DTI (Department of Trade and Industry), sa
ciljem definisanja kriterija za procenu informacijske bezbednosti i kreiranja pravila dobre
prakse (Code Of Good Practice).
• 1995. godine usvojen prvi standard, BS 7799, koji krajem 2000. godine postaje
ISO/IEC 17799. Taj standard je revidiran 2005. godine.
• Nakon toga je ISO komitet JTC1/SC27 pokrenuo razvoj i usvajanje serije standarda
27000.
• 1998. godine BSI je izdao drugi deo standarda, BS7799-2, koji je sadržao specifikacije
ISMS, a koji je kasnije postao ISO/IEC 27001
• 2007. godine je ISO/IEC 17799 preimenovan u ISO/IEC 27002
Istorija standarda informacijske bezbednosti
-
Šta je ISO/IEC 27001?
• ISO/IEC 27001 je međunarodni standard koji se odnosi na zaštitu i bezbednost
informacija. Standard podleže različitim područjima primene kao i za razlikovanje
mogućih procesa u organizaciji koji su povezani sa menadžemntom kontrole
bezbednosti kao sto su: politika bezbednosti, bezbednost organizacije, kontrola i
klasifikacija izvora, bezbednost osoblja, bezbednost materijalnih dobara i životne
sredine, operativno upravljanje i komunikacija, kontrola pristupa, razvoj i održavanje
raznih sistema i upravljanje kontinuitetom poslovanja.
Ova serija obuhvata standarde koji:
• definišu zahteve za ISMS kao i zahteve za tela koja sertifikuju ISMS;
• obezbeđuju podršku, detaljna uputstva i instrukcije za celokupan proces planiraj-
uradi-proveri-deluj (Plan-Do-Check-Act);
• daju specifična sektorska uputstva za ISMS i ocenjivanje usaglašenosti za ISMS.
ISO/IEC 27000 – Sistem menadţmenta
bezbednošću informacija
-
Kome je ISO/IEC 27001 namenjen i zašto?
• Standard ISO/IEC 27001 je značajan standard za organizacije koje se bave uslugama u
oblastima koje su na bilo koji način povezane sa Informacionim tehnologijama i
potrebom za očuvanje poverljivosti informacija.
• Njegova implementacija i primena omogućavaju bolju saradnju sa sličnim
organizacijama širom sveta koje posluju po ovom modelu.
• Ovim standardom, organizacije demonstriraju svojim korisnicima i ostalim
zainteresovanim stranama da posluju sa poslovnim procesima na bazi principa
bezbednosti i da je poslovna politika usmerena na stalna poboljšavanja u sistemu
menadžmenta za bezbednost informacija i procesima pružanja usluga povezanim sa
njim.
ISO/IEC 27000 – Sistem menadţmenta
bezbednošću informacija
-
Implementacija sistema zaštite i bezbedosti informacija pruža uverenje korisnicima i
poslovnim partnerima da se prema informacijama postupa odgovorno i da se one koriste i
distribuiraju profesionalno i bezebedno.
Prednosti ISO/IEC 27001:
• konkurentska prednost,
• smanjenje rizika od oštećenja i
• gubitka informacija, a samim tim i troškova,
• usaglašenost sa važećim zakonskim propisima,
• veće poverenje klijenata, zaposlenih, saradnika,
• institucija i svih zainteresovanih strana zbog znanja da su njihovi podaci bezbedni,
• postojanje odgovornosti za bezbednost informacija od strane svih i na svim nivoima u
organizaciji.
ISO/IEC 27000 – Sistem menadţmenta
bezbednošću informacija
-
• Formulisanje bezbednosnih zahteva i ciljeva u organizaciji;
• Osiguranje da se rizicima može efikasno i ekonomično upravljati;
• Osiguranje usklađenosti sa zakonima i pravilima;
• Okvirni proces za implementaciju i upravljanje kontrolama da bi se postigli specifični
ciljevi bezbednosti organizacije;
• Definisanje novih procesa za menadžment bezbednošću informacija;
• Određivanje statusa aktivnosti menadžment bezbednošću informacija;
• Interne i eksterne proverem s ciljem demonstriranja usvojenih politika, direktiva i
standarda bezbednosti informacija, odnosno utvrđivanja stepena usklađenosti s tim
politikama, direktivama i standardima;
• Implementacija poslovanja s implementiranom bezbednošću informacija;
• Obezbjeđivanje relevantnih informacija kupcima o bezbednosti informacija.
Svrha primene standarda ISO/IEC 27001
-
Sadrţaj i zahtevi standarda ISO/IEC 27001
• Uvod
• Predmet i područje primene
• Normativne reference
• Termini i definicije
• Sistemi menadžmenta bezbednošću
informacija
• Odgovornost menadžmenta
• Interne provere ISMS
• Provera ISMS od strane
menadžmenta
• Poboljšanje ISMS
• Aneks A (normativni) Ciljevi kontrole i
kontrole
• Aneks B (informativni) OECD principi i
ovaj međunarodni standard
• Aneks C (informativni) Podudarnosti
između ISO 9001:2000, ISO
14001:2004 i ovog međunarodnog
standarda
-
• Problemi bezbednosti i zaštite podataka su svakako jedna od najvećih prepreka bržem
širenju e-poslovanja. Za kriminalce, Internet je stvorio čitav niz novih i veoma
unosnih načina krađe od više od milijardu korisnika Interneta širom sveta, od
proizvoda i usluga do novca i informacija. Manje je rizično krasti on-line, sa bezbedne
udaljenosti i gotovo anonimno.
• Serija standarda ISO/ICE 27000, daju jedan harmonizovani pristup upravljanju
rizicima kojima su izložene informacione vrednosti u organizaciji kroz razvoj,
implementaciju i održavanja odnosno menadžment sistema za bezbednost informacija
(Information Security Menagment System – ISMS).
• Standardom ISO/IEC 27000 se, u cilju uspostavljanja sveobuhvatnog sistema zaštite
informacionih resursa, determiniše sistem za zaštitu informacija, odgovornost
rukovodećih ljudi, determinišu procedure unutrašnje provjere sistema za zaštitu
informacija, zatim procedure provere valjanosti sistema za zaštitu informacija, te
procedure vezane za poboljšanja na sistemu za zaštitu informacija.
Zaključci