Upload File

iso/iec 27001:2014 - informacione tehnologije - tehnike … · 2018. 12. 25. · univerzitet u...

  • Home
  • Documents
  • ISO/IEC 27001:2014 - Informacione tehnologije - Tehnike … · 2018. 12. 25. · Univerzitet u Novom Sadu Tehnički fakultet „Mihajlo Pupin“ Zrenjanin INTEGRISANI MENADŢMENT
21
Univerzitet u Novom Sadu Tehnički fakultet „Mihajlo Pupin“ Zrenjanin INTEGRISANI MENADŢMENT SISTEMI ISO/IEC 27001:2014 - Informacione tehnologije - Tehnike bezbednosti - Sistemi menadţmenta bezbednošću informacija Student: Jelena Babić OI-17/15 Predmetni nastavnik: prof. dr Dragan Ćoćkalo

Upload: others

Post on 02-Feb-2021

2 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Univerzitet u Novom Sadu

    Tehnički fakultet „Mihajlo Pupin“ Zrenjanin

    INTEGRISANI MENADŢMENT SISTEMI

    ISO/IEC 27001:2014 - Informacione tehnologije

    - Tehnike bezbednosti - Sistemi menadţmenta

    bezbednošću informacija

    Student: Jelena Babić OI-17/15

    Predmetni nastavnik: prof. dr Dragan Ćoćkalo

  • UVOD

    • Znanje, kao najznačajniji resurs svakog čoveka, pa i društva u celini, može se definisati kao „Obim informacija, opažanja ili razumevanja koja poseduje neka osoba“.

    • Nagli razvoj informacionih tehnologija izaziva velike promene u poslovanju svih činioca društva, pa se već početkom 21.veka savremena informaciona rešenja koriste u svim društvenim procesima.

    • Međunarodna organizacija za standardizaciju ISO prihvata BS standarde i u junu 2005.godine objavljuju drugu verziju standarda koja se zvala ISO 17799 Informacione tehnologije - bezbednost tehnike - Principi upravljanja bezbednošću informacija.

  • • Međunarodna organizacija za standardizaciju ISO i Međunarodna

    elektrotehnička komisija IEC čine specijalizovani sistem svetske

    standardizacije

    • Standard 27000 je posvećen bezbednosti informacija i određuje zahteve i daje

    okvir na koji način organizacija treba da pristupi zaštiti informacija

    • Standard ISO/IEC 27001 se objavljuje u oktobru 2005.godine pod nazivom

    Informacione tehnologije - Sistemi menadžmenta bezbednošću informacija –

    Zahtevi

    Standard

  • BEZBEDNOST INFORMACIJA se u standardu

    predstavlja kao očuvanje:

    • poverljivosti (tajnosti): osiguranje da su

    informacije dostupne samo onima kojima je

    dopušten pristup;

    • integriteta: očuvanje tačnosti i potpunost

    informacija i metoda za obradu;

    • raspoloživosti: osiguranje da ovlašćteni korisnici

    imaju pristup informacijama i imovini koja je u

    vezi s njima, onda kada se to zahteva.

    Uvod u informatičku bezbednost

  • Bezbednost informacija se postiže primenom odgovarajućeg skupa

    kontrola,

    koje mogu biti:

    • principi,

    • prakse,

    • procedure,

    • organizacionu strukturu i

    • softverske funkcije.

    Ove kontrole treba uspostaviti kako bi se obezbedilo da se poštuju

    specifični bezbednosni ciljevi te organizacije.

    Uvod u bezbednost informacija

  • • U savremenom, međusobno povezanom svetu, informativni i povezani procesi, sistemi i

    mreže predstavljaju kritičnu poslovnu imovinu.

    • Organizacije i njihovi informacioni sistemi i mreže su izloženi bezbednosnim pretnjama iz

    širokog spektra izvora, uključujući računarske prevare, špijunažu, sabotaže, vandalizam,

    požare i poplave. Pretnje informacijskim sistemima i mrežama uzrokovane zlonamernim

    kodom, hakiranjem i napadima poricanjem usluga postaju sve više, više ambiciozni i

    sofisticiraniji.

    • Sistem za upravljanje bezbednosnih informacija (Information Security Management

    System - ISMS) pruža model za uspostavljanje, implementaciju, korišćenje, nadzor,

    reviziju, održavanje i poboljšanje zaštitu informacija, sa ciljem postizanja ciljeva

    poslovanja, na osnovu procene rizika i nivoa prihvatljivih rizika u organizaciji.

    • ISMS mora održavati interese i zahteve informacione bezbednosti svih zainteresovanih

    strana, uključujući: kupce, dobavljače, poslovne partnere, suvlasnike i druge relevantne

    treće strane.

    Uvođenje ISMS

  • Potpuni prelazak na elektronsku obradu podataka, jačanje udela elektronske trgovine te

    višestruki kanali elektronskog prikupljanja i distribucije podataka utiču na porast broja

    bezbednih incidenata. Niz informacija koje se nalaze unutar informacionog sistema

    organizacije često predstavljaju poslovne tajne od suštinske važnosti za organizaciju.

    Primer 1: Ako se onemogući protok informacija u organizaciji – koliko dugo će ta

    organizacija funkcionisati?

    Primer 2: Nesvesno koristite netačne podatke. Kako na osnovu njih možetete donositi

    strateške i operativne odluke za poslovanje?

    Primer 3: Do vaših poslovnih planova može doći bilo ko, pa i konkurencija. Koliko

    takva organizacija ima budućnosti?

    Odgovore na sva ta pitanja prvenstveno daje sistem za upravljanje informacionom

    bezbednošću (ISMS) zasnovan na seriji standarda ISO/IEC 27000.

    Uvođenje ISMS

  • Efikasno poslovanje se zasniva na identifikaciji i upravljanju niza aktivnosti. Pojam

    procesa predstavlja upravljanje nizom aktivnosti koje koriste resurse kako bi se

    transformisao ulaz u izlaz. Primena sistema procesa u organizaciji, s identifikacijom i

    interakcijama tih procesa, kao i njihovo upravljanje naziva se procesnim pristupom.

    Procesni pristup za ISMS prema ovom setu standarda zasnovan je na principu

    jedinstvenom za sve ISO standarde za upravljanje sistemima: Plan-Do-Check-Act

    (PDCA).

    • Planiraj – uspostavi ciljeve i planove (analiziraj stanje, uspostavi ciljeve i razvij

    planove za ostvarenje tih ciljeva);

    • Uradi – implementiraj planove (uradi planirano);

    • Proveri – izmeri rezultate (koliko su planovi ostvareni);

    • Deluj – koriguj i unapriedi aktivnosti (nauči iz grešaka kako bi se postigli bolji

    rezultati).

    PDCA ciklus ISMS

  • Aţuriranje i poboljšanje

    ISMS (poboljšanje ili

    implementacija novih

    kontrola, politika,

    procedura, …)

    Dizajniranje ISMS

    (procena rizika,

    otklanjanje rizika,

    izbor kontrola…)

    Praćenje ISMS

    (incidenti, promene,

    ponovna procena rizika,

    auditi …)

    Implementacija i upotreba ISMS

    (implementacija i testiranje

    kontrola, politika, procedura,

    procesa …)

    Implementacija procesa upravljanja rizicima da bi se postigao efikasan ISMS

    kroz proces kontinuiranih unapređenja

  • Organizacija je dužna da:

    • Definiše područije primene ISMS-a u odnosu na delatnost organizacije i njenu

    organizacionu strukturu, lokaciju, imovinu i tehnologiju.

    • Definiše politiku ISMS-а u odnosu na karakteristike poslovanja, organizaciju, njenu

    lokaciju, tehnologiju i imovinu

    • Definiše ocenjivanje rizika u organizaciji

    • Identifikuje rizike

    • Analizira i procenjuje rizike

    • Identifikuje i proceni opcije za postupanje sa rizicima.

    • Izabere ciljeve kontrola i kontrole za postupanje sa rizicima

    • Dobije odobrenje rukovodstva za predloženi preostali rizik,

    • Dobije autorizaciju rokovodstva za implementaciju i primenu ISMS,

    • Primeni izjavu o primenjivosti.

    PDCA model upravljanja – PLAN

  • Kod implementacije i primene ISMS organizacija je duţna da :

    • Napravi plan postupanja sa rizikom u kojem su identifikovane odgovarajuće mere rukovodstva,

    resursi, odgovornosti i prioriteti za upravljanje rizicima po bezbednost informacija;

    • Da implementira plan postupanja sa rizikom da bi se dostigli ciljevi kontrola,koji obuhvata

    razmatranje finansiranja i podelu uloga i odgovornosti,

    • Da uspostavi kontrole da bi se ispunili ciljevi kontrola,

    • Definiše kako se meri efektivnost izabranih kontrola ili grupa, određuje kako se ta merenja

    koriste da bi se ocenila efektivnost kontrola i da bi se postigli uporedivi i ponovljivi rezultati.

    Rukovodstvo i zaposleni određuju koliko dobro kontrole postiţu planirane ciljeve kontrola

    pomoću merenja efektivnosti.

    • Uspostavlja programe obuke i podizanja svesti,

    • Upravlja primenom ISMS-a,

    • Upravlja resursima za ISMS,

    • Uspostavlja procedure i kontrole koje su odgovarajuće za

    • Omogućavanje trenutnog otkrivanja događaja u vezi sa bezbednošću i odgovore na incidente

    narušavanja bezbednosti.

    PDCA model upravljanja – DO

  • Kod praćenja i preispitivanja ISMS organizacije je duţna da:

    • Sprovede procedure za praćenje i preispitivanje i ostale kontrole

    • Redovno preispituje efektivnost ISMS, uzimajući u obzir rezultate provera

    bezbednosti, incidente, rezultate merenja efektivnosti, predloge i povratne informacije

    od svih zainteresovanih strana,

    • Meri efektivnost kontrola zbog verifikacije da su zahtevi za bezbednost ispunjeni,

    • Preispituje ocenjivanje rizika u planiranim intervalima,preispituje preostali rizik i

    uočava prihvatljive nivoe rizika

    • Sprovodi interne provere ISMS-a u planiranim intervalima,

    • Preduzima redovno preispitivanje ISMS-a od strane rukovodstva da bi se obezbedilo

    da područje primene ostane odgovarajuće i da se uoče poboljšanja procesa ISMS-a,

    • Ažurira planove bezbednosti uzimajući u obzir rezultate praćenja i preispitivanja,

    • Zapisuje aktivnosti i događaje koji mogu imati uticaj na efektivnost ili performanse

    ISMS-a.

    PDCA model upravljanja – CHECK

  • Da bi se održavao i poboljšavao ISMS organizacija je dužna da:

    • Implementira i uoči poboljšanja u ISMS-u,

    • Preduzima odgovarajuće korektivne i preventivne mere i primenjuje znanja

    stečena iz sopstvenih iskustava i iz iskustava o bezbednosti drugih organizacija,

    • Saopšti mere i poboljšanja svim zainteresovanim stranama onoliko detaljno

    koliko to odgovara okolnostima i ako je odgovarajuće, utvrđuje kako nastaviti

    te aktivnosti,

    • Osigurava da poboljšavanja dostignu predviđene ciljeve .

    PDCA model upravljanja – ACT

  • Serija standarda ISO/IEC 27000 daje smernice i dobre prakse za dizajniranje,

    implementaciju i proveru sistema za upravljanje bezbednost informacija (ISMS) sa ciljem

    zaštite poverljivosti, integriteta i dostupnosti informacija.

    Standardi su potekli iz Velike Britanije, u DTI (Department of Trade and Industry), sa

    ciljem definisanja kriterija za procenu informacijske bezbednosti i kreiranja pravila dobre

    prakse (Code Of Good Practice).

    • 1995. godine usvojen prvi standard, BS 7799, koji krajem 2000. godine postaje

    ISO/IEC 17799. Taj standard je revidiran 2005. godine.

    • Nakon toga je ISO komitet JTC1/SC27 pokrenuo razvoj i usvajanje serije standarda

    27000.

    • 1998. godine BSI je izdao drugi deo standarda, BS7799-2, koji je sadržao specifikacije

    ISMS, a koji je kasnije postao ISO/IEC 27001

    • 2007. godine je ISO/IEC 17799 preimenovan u ISO/IEC 27002

    Istorija standarda informacijske bezbednosti

  • Šta je ISO/IEC 27001?

    • ISO/IEC 27001 je međunarodni standard koji se odnosi na zaštitu i bezbednost

    informacija. Standard podleže različitim područjima primene kao i za razlikovanje

    mogućih procesa u organizaciji koji su povezani sa menadžemntom kontrole

    bezbednosti kao sto su: politika bezbednosti, bezbednost organizacije, kontrola i

    klasifikacija izvora, bezbednost osoblja, bezbednost materijalnih dobara i životne

    sredine, operativno upravljanje i komunikacija, kontrola pristupa, razvoj i održavanje

    raznih sistema i upravljanje kontinuitetom poslovanja.

    Ova serija obuhvata standarde koji:

    • definišu zahteve za ISMS kao i zahteve za tela koja sertifikuju ISMS;

    • obezbeđuju podršku, detaljna uputstva i instrukcije za celokupan proces planiraj-

    uradi-proveri-deluj (Plan-Do-Check-Act);

    • daju specifična sektorska uputstva za ISMS i ocenjivanje usaglašenosti za ISMS.

    ISO/IEC 27000 – Sistem menadţmenta

    bezbednošću informacija

  • Kome je ISO/IEC 27001 namenjen i zašto?

    • Standard ISO/IEC 27001 je značajan standard za organizacije koje se bave uslugama u

    oblastima koje su na bilo koji način povezane sa Informacionim tehnologijama i

    potrebom za očuvanje poverljivosti informacija.

    • Njegova implementacija i primena omogućavaju bolju saradnju sa sličnim

    organizacijama širom sveta koje posluju po ovom modelu.

    • Ovim standardom, organizacije demonstriraju svojim korisnicima i ostalim

    zainteresovanim stranama da posluju sa poslovnim procesima na bazi principa

    bezbednosti i da je poslovna politika usmerena na stalna poboljšavanja u sistemu

    menadžmenta za bezbednost informacija i procesima pružanja usluga povezanim sa

    njim.

    ISO/IEC 27000 – Sistem menadţmenta

    bezbednošću informacija

  • Implementacija sistema zaštite i bezbedosti informacija pruža uverenje korisnicima i

    poslovnim partnerima da se prema informacijama postupa odgovorno i da se one koriste i

    distribuiraju profesionalno i bezebedno.

    Prednosti ISO/IEC 27001:

    • konkurentska prednost,

    • smanjenje rizika od oštećenja i

    • gubitka informacija, a samim tim i troškova,

    • usaglašenost sa važećim zakonskim propisima,

    • veće poverenje klijenata, zaposlenih, saradnika,

    • institucija i svih zainteresovanih strana zbog znanja da su njihovi podaci bezbedni,

    • postojanje odgovornosti za bezbednost informacija od strane svih i na svim nivoima u

    organizaciji.

    ISO/IEC 27000 – Sistem menadţmenta

    bezbednošću informacija

  • • Formulisanje bezbednosnih zahteva i ciljeva u organizaciji;

    • Osiguranje da se rizicima može efikasno i ekonomično upravljati;

    • Osiguranje usklađenosti sa zakonima i pravilima;

    • Okvirni proces za implementaciju i upravljanje kontrolama da bi se postigli specifični

    ciljevi bezbednosti organizacije;

    • Definisanje novih procesa za menadžment bezbednošću informacija;

    • Određivanje statusa aktivnosti menadžment bezbednošću informacija;

    • Interne i eksterne proverem s ciljem demonstriranja usvojenih politika, direktiva i

    standarda bezbednosti informacija, odnosno utvrđivanja stepena usklađenosti s tim

    politikama, direktivama i standardima;

    • Implementacija poslovanja s implementiranom bezbednošću informacija;

    • Obezbjeđivanje relevantnih informacija kupcima o bezbednosti informacija.

    Svrha primene standarda ISO/IEC 27001

  • Sadrţaj i zahtevi standarda ISO/IEC 27001

    • Uvod

    • Predmet i područje primene

    • Normativne reference

    • Termini i definicije

    • Sistemi menadžmenta bezbednošću

    informacija

    • Odgovornost menadžmenta

    • Interne provere ISMS

    • Provera ISMS od strane

    menadžmenta

    • Poboljšanje ISMS

    • Aneks A (normativni) Ciljevi kontrole i

    kontrole

    • Aneks B (informativni) OECD principi i

    ovaj međunarodni standard

    • Aneks C (informativni) Podudarnosti

    između ISO 9001:2000, ISO

    14001:2004 i ovog međunarodnog

    standarda

  • • Problemi bezbednosti i zaštite podataka su svakako jedna od najvećih prepreka bržem

    širenju e-poslovanja. Za kriminalce, Internet je stvorio čitav niz novih i veoma

    unosnih načina krađe od više od milijardu korisnika Interneta širom sveta, od

    proizvoda i usluga do novca i informacija. Manje je rizično krasti on-line, sa bezbedne

    udaljenosti i gotovo anonimno.

    • Serija standarda ISO/ICE 27000, daju jedan harmonizovani pristup upravljanju

    rizicima kojima su izložene informacione vrednosti u organizaciji kroz razvoj,

    implementaciju i održavanja odnosno menadžment sistema za bezbednost informacija

    (Information Security Menagment System – ISMS).

    • Standardom ISO/IEC 27000 se, u cilju uspostavljanja sveobuhvatnog sistema zaštite

    informacionih resursa, determiniše sistem za zaštitu informacija, odgovornost

    rukovodećih ljudi, determinišu procedure unutrašnje provjere sistema za zaštitu

    informacija, zatim procedure provere valjanosti sistema za zaštitu informacija, te

    procedure vezane za poboljšanja na sistemu za zaštitu informacija.

    Zaključci


Integrisani bibliotečki sistemi - poincare.matf.bg.ac.rspoincare.matf.bg.ac.rs/~cvetana/Nastava/Materijal/Safdady-2.pdf · Iako su integrisani bibliotečki sistemi prilagodjeni mnogim

Digitalni integrisani krugovi

Mihajlo pupin

Dr. Antonio Marcos Pupin

Mihajlo pupin-

Pupin 2015 10 pictures

INTEGRISANI MODEL VREDNOVANJA DOBAVLJAČA U …

Integrisani Sistemi Menadzmenta - Ispit

Integrisani sistem menadžmenta

Integrisani stabilizatori napona

UNIVERZITET ZA POSLOVNI INŢENJERING I MENADŢMENT …univerzitetpim.com/wp-content/uploads/2016/11/...Postdiplomski studijski program Finansijsko–bankarski menadţment Magistarski

J Pupin Fazenda Marabá

LEAN KONCEPT – INTEGRISANI KVALITET

MIHAJLO IDVORSKI PUPIN....pdf

Columbia University Pupin Hall Construction Projects ... · presentation summary 3 . project team . project schedule . pupin theory center . pupin cornice . pupin/cepsr 5 th and 6

Pupin Tesla

INTEGRISANI FAZI MODEL ZA REŠAVANJE LOKACIJSKOG …

Integrisani lanac snabdevanja

INTEGRISANI TRANSPORT - vtmsts.edu.rs

Tesla and Pupin heritage

INTEGRISANI SISTEM MENADŽMENTA U PEKARSKOJ …

Integrisani Sistemi Upravljanja Kvalitetom

Integrisani Poslovnik Primer 2

INTEGRISANI SAVREMENI SISTEMI ZA.pdf

“Mihajlo Pupin” Zrenjanin

INTEGRISANI PRISTUP VREDNOVANJU AKCIJA ZASNOVAN …

Aneta Prijić Integrisani mikrosistemi

E Integrisani Menadzment Sistem

INTEGRISANI SISTEMI MENADžMENTA

Integrisani razvoj proizvoda i procesa – principi

IZ ISTORIJE MEDICINE IDVORSKI...Vol. 4 Mihajlo Idvorski Pupin otac američke radiologije 91 MIcHAEL IDVORSKY PUPIN FOUNDER OF AMERIcAN RADIOLOGY Rade R. Babic Michael Idvorsky Pupin

E Integrisani menadzment sistem.pdf

Integrisani sistemi upravljanja

Pupin Michael

Maude Pupin Bonsai team CRIStAL Lille University - RPBSbioserv.rpbs.univ-paris-diderot.fr/help/Pupin-norine2017.pdf · Maude Pupin 3 What are nonribosomal peptides ? > 500 monomers