standard i so 27000

VISOKA TEHNIČKA ŠKOLAKRAGUJEVAC

Standard ISO 27000(opis i primena)

Profesor: Studenti :mr Srđan Atanasijevic Jelena Perovic

Marko Knežević Đorđe Bokun Branko Rosić

Nebojša Stanisavljević

1. Uvod

U današnjem konkurentskom okruzenju, zahtevi i očekivanja svih zainteresovanih strana za boljim i kvalitetnijim proizvodima i uslugama se neprestano povećavaju. S tim rastu očekivanja i potrebe za informacijama kao pokretačkim snagama svake organizacije. Kod korisnika se povećava potreba za obezbeđivanjem raspolozivosti, celovitosti i poverljivosti informacija, koje se pojavljuju u najrazličitijim oblicima. Organizacije postaju sve otvorenije povezujući svoje informacione resurse sa kupcima, dobavljačima i ostalim komitentima, što dovodi do pojave brojnih sigurnosnih pretnji, kao što su prevare, špijunaze, poplave …

Informacije predstavljaju jedan od najvaznijih poslovnih resursa u savremenom poslovanju. Informacija predstavlja podatak sa određenim značenjem, moze biti štampana ili napisana na papiru, memorisana elektronski, prenesena poštom ili elektronskim putem, prikazana na korporacijskom web sajtu, verbalna - izgovorena u konverzaciji, ili u vidu znanja- kao veštine zaposlenih. Informacije moraju biti adekvatno zaštićene, bez obzira u kom obliku se čuvaju.

Sigurnost informacija se karakteriše kao čuvanje : poverljivosti (osiguravanjem da informacije budu na raspolaganju samo onima koji imaju ovlašćen pristup), integriteta (samozaštitom tačnosti i celovitosti informacija i metoda za obradu), i raspolozivosti (osiguravanjem da ovlašćeni korisnici imaju pristup informacijama i odgovarajućim resursima kada im je potrebno).

Sigurnost informacija se ostvaruje uvođenjem pogodnog skupa kontrola, koje mogu biti politika, praksa, procedure, organizacione strukture i softverske funkcije. Sigurnosne mere uključuju mehanizme i procedure koje se implementiraju u cilju odvarćanja, prevencije, detekcije i opravke od uticaja od incidentnih događaja a koji deluju na poverljivost, celovitost i raspoloživost podataka i odgovarajućih servisa i resursa, uključujući izveštavanje o sigurnosnim incidentima. Sigurnost informacija je ustvari proces upavljanja rizikom. Upravljanje rizicima treba da bude stalan i kontinuiran proces pošto su rizici sami po sebi promenljivi, a sa druge strane stalno se generišu

novi kao odraz promenljivog okruženja u kome organizacija ostvaruje svoju misiju. To znači da je neophodno da se periodično preispituju rizici, kao i pretnje i slabosti informacionih resursa. Ovo je upravo ono na čemu se bazira menadzment za sigurnost informacija - ISMS .

Organizacije i njihovi informacioni sistemi suočavaju se sa pretnjama sigurnosti informacija iz širokog opsega izvora (prevare, sabotaže, terorizam, poplave, požari, računarski virusi .. ), koje postaju sve češće i usavršenije. Mnogi infomacioni sistemi nisu projektovani da bi se štitili, sigurnost koja se može ostvariti tehničkim sredstviam je ograničena. Utvrđivanje kontrola koje treba da se postave zahteva pažljivo planiranje, kao i učešće svih zaposlenih u organizaciji.

Kontrole za zaštitu informacija znatno su jeftinije i efikasnije ako se ugrade prilikom specificiranja zahteva u fazi projektovanja i razvoja informacionih sistema.

Informacioni resursi (informacione vrednosti) imaju neku od sledećih karakteristika :prepoznati su na nivou organizacije kao entitet koji ima vrednost, ne mogu biti lako zamenjeni bez utroška resursa kao što su novac, vreme, veštine zaposlenih, čine identitet organizacije bez koga poslovanje može biti ugroženo .

Kategorije informaconih resursa koje je neophodno zažtiti:● informacije ( baze podataka i podaci, dokmenta vezana za sistem, korisnički

priurčnici, materijali za obuku, operativne i sistemske procedure )● softver ( aplikativni i sistemski, alati za razvoj softvera )● fizički resursi ( kompijuterski uređaji, komunikacioni uređaji, magnetni medijumi i

ostali tehnički uređaji )● usluge ( usluge obrade podataka, komunikacione usluge )● osoblje ( znanje i veštine osoblja )

Uzroci kompjuterskog kriminala su ljudska greška, nesavesnost ljudi, tehnička sabotaža, vatra, terorizam... Tipovi kompjuterskog kriminala su krađa novca, oštećenje softvera, krađa informacija, izmena podataka …

Pretnje informacionim resursima u nekoj organizaciji predstavljaju zaposleni, niska svest o potrebi zaštite informacija, porast umreženosti i distribuirane obrade podataka, porast složenosti i efektivnosti hakerskih alata i virusa, e-mail-ovi, zemljotresi ..

Osnovni ciljevi zaštite informacija u nekoj organizaciji su da se obezbedi kontinuitet poslovanja i da se minimizira rizik od potencijalnih šteta.

Danas se sigurnost informacija postize primenom odgovarajućih kontrola koje se odnose na politiku sigurnosti, poslovne procese, procedure, strukturu organizacije i funkcije hardvera i softvera . Kontrole važne za organizaciju sa zakonske tačke gledišta su zaštita informacija i tajnost ličnih podataka, čuvanje izveštaja i poštovanje prava intelektualnog vlasništva.

Osnovno je da organizacija definiše zahteve za sigurnost. Prvi izvor zahteva dobija se ocenjivanjem rizika po organizaciju, čime se identifikuju pretnje po imovinu, vrednuje se verovatnoća događanja, i procenjuju se moguće posledice. Drugi izvor čine ugovorni, statutarni i zakonski zahtevi koje organizacija, njeni poslovni partneri, ugovarači i davaoci usluga moraju da ispune. I treći izvor čini poseban skup osnovanih postavki, ciljeva i zahteva za obradu informacija koje je oragnizacija razvila za podršku svojim poslovnim operacijama.

2. Politika bezbednosti informacija

Namena bezbednosti upravljanja informacijama je da obezbedi i zaštiti informacije i imovinu od svih pretnji, bilo internih ili eksternih, slučajnih ili namernih kroz uspostavljanje, implementaciju, izvršavanje, nadziranje, preispitivanje, održavanje i poboljšanje sistema menadžmenta bezbednosti informacija (ISMS). Implementacija ove politike i pravila je važna za održavanje integriteta informacionog sistema za pružanje usluga. Politika obezbeđuje i garantuje:

● da ce informacije biti zašticene od neovlašdenog pristupa istim● održavanje se poverljivost informacija ● informacije nede biti otkrivene neovlašdenim osobama bilo slučajnim ili

namernim aktivnostima● integritet informacija de se sačuvati kroz zaštitu od neovlašdene izmene● mogudnost pristupa i izmene informacija ovlašdenim licima kada je to potrebno● bide obezbeđena usaglašenost sa svim kontrolnim i zakonskim zahtevima● podrška politici kroz kontinualne poslovne planove koji de se određivati,

održavati i testirati u stalnom praktičnom radu

● obučavanje zaposlenih u svim organizacionim delovima● sve povrede sigurnog rukovanja informacija de se razmatrati i istražiti● sve povrede sigurnosti de se dokumentovati i istražiti

Menadžment je definisao viziju bezbednosti informacija sa ciljem neometanog

poslovanja, zaštite poverljivih informacija i daljeg uspešnog razvoja organizacije, kao ipostizanja zadovoljstva korisnika pruženom uslugom i kvalitetom usluge.Područje primene.Svi zaposleni su odgovorni za implementaciju politike bezbednosti i zaštite informacija i moraju da pruže podršku rukovodstvu koje je propisalo politiku i pravila. Ciljevi:

● Zaštita informacija● Zaštita informacione imovine ● Pružanje pouzdanih informacija zaposlenima i očuvanje njihove poverljivosti u

svim slučajevima pristupa postojedim informacijama. Svrha: Da indentifikuje rizike po imovinu, vrednost imovine i da se utvrdi moguda ranjivost i potencijalni uzroci nekog neželjenog incidenta koji mogu dovesti do štete na sistemu ili u organizaciji. Da se upravlja rizicima na prihvatljivom nivou kroz dizajniranje, implementaciju i održavanje ISMS. Da je u saglasnosti sa drugim standardima i dokumentima organizacije uključujudi :

● Standard ISO 9001:2008● Dokumentima o osnivanju, radu i organizaciji● Da je u saglasnosti sa ugovorenim obavezama organizacije● Da je u saglasnosti sa svim uputstvima organizacije.● Da obezbeđuje delovanje u saglasnosti sa standardom ISO 27001:2005● Da obezbeđuje da se postigne i održava sertifikat ISO 27001:2005

Specifičnosti:

Specifična pravila su postavljena da podrže ova dokumenta uključujuci:Fizičku sigurnost; Pristupne kontrole sistemu i podacima; Obrazovanje u vezi sa bezbednosti; Internet i elektronsku poštu; Zaštitu podataka kroz ‘backup’; Način korišdenja prenosnih uređaja; Skladištenje i raspoloživost poverljivim informacijama; Prevencija i detekcija delovanja virusa, trojanaca, i drugog malicioznog koda.

Odgovornost:

Direktor kreira i pregleda pravila. Predstavnik rukovodstva za ISMS, ili druga osoba sa pridodatim ovlašdenjima, implementira pravila kroz odgovarajude standarde iprocedure.Ova politika se redovno konsultuje u svim slučajevima poslovanja. Zakljucak: Mnoge vrste politike bezbednosti informacija su danas u upotrebi, najcesce se koriste u privatnom sektoru kao i saveznim vladama. Medjutim tehnika ima dug put do adekvatne i efikasne podrske ovih politika. Proces organizacije politike je od kriticne vaznosti, potrebno je razumevanje potrebe bezbednosti informacija ali ne samo to vec i usmerenje ka tehnologijama koje ce omuguciti automatizaciju bezbednosti podataka.

3. Međunardni standardi informacione bezbednosti

Standardizacija, kao sredstvo postizanja reda u određenoj oblasti, jeste disciplina koja je stara koliko i svet.

Istorijat Standarda:1. Kratak opis postupka izgradnje stubova u staroj Grčkoj, isklesan u kamenu –

čuva se u Briselu.2. 410x200x120 mm dimenzije cigle (Egipćani)3. Prvi industrijski standardi nastaju sa pojavom i razvojem serijske proizvodnje i

industrije.4. 1843. godine Bavarske železnice naručuju seriju lokomotiva iz tri fabrike uz

posebne zahteve.5. 1875. godine u Pruskoj su urađeni "Standardni nacrti za lokomotive, putničke i

teretne vagone“, dve godine kasnije izrađene prve standardne lokomotive "tip 1b" za pruske železnice.

6. Polovinom 19. veka se javljaju pokušaji planske standardizacije za veličinu cigle, a 1887. godine je propisan standard za kvalitet i način ispitivanja cementa.

7. Ideja ujednačavanja obuhvata širok krug industrije u Evropi i Americi.8. Nastaju standardni proizvodi za razna područja, čak su mnoge fabrike počele da

koriste iste delove kod različitih proizvoda (zavrtnji, matice,klinovi, čepovi,…)9. Fabrike iste struke međusobno usklađuju interne standarde10. Tadašnja velika preduzeća počinju osnivanje biroa za standardizaciju11. Počinje osnivanje nacionalnih standardizacija, i to: Velika Britanija 1901.godine;

Holandija 1916.godine; Nemačka 1917.godine, itd.12. Prvu međunarodnu organizaciju za standardizaciju osnovali su elektrotehničari

1906. godine – Međunarodna elektrotehnička komisija IEC.13. Povećanjem obima robne razmene i trgovine, javlja se problem postojanja

različitih standarda za iste proizvode u raznim zemljama kao ozbiljna prepreka trgovini.

14. 1926.godine osnovan je Međunarodni savez za standardizaciju predhodnica današnje Međunarodne organizacije za standardizaciju ISO.

15. 80’ i 90’ – Američka vlada je izdala seriju knjiga Duginih boja (Rainbow series)16. Pojedine države i njihovi sektori su objavljivali specifične standarde (zdravstvo,

finansije..)17. 1993. - BSI (British Standard Institute) Code of practice – Dobra praksa u

sigurnosti18. 1995. dorađen i postao je britanski standard 779919. 2000. korigovan 7799 je postao je PRVI međunarodni standard ISO 17799:200020. Trenutno je aktuelna grupa takozvanih 27K standarda – ISO 27000

3.1 Upoznavanje sa terminima I definicijama informacione bezbednosti 3.1.1 Standard

● Standard je ono što se smatra osnovom za poređenje od strane vlasti ili je opšte priznato. //Vebsterov rečnik

● Standard je dokument koji ima za cilj da ujednači oblik, veličinu, kvalitet i način ispitivanja nekog materijala ili proizvoda. (Izdaje se u Zavodu za standardizaciju.) //Prosvetina enciklopedija

● Standard je dokument utvrđen konsenzusom i donet od priznatog tela kojim se za opštu i višekratnu upotrebu utvrđuju pravila, smernice ili karakteristike za aktivniosti ili njihove rezultate radi postizanja optimalnog nivoa uređenosti u određenoj oblasti. //SRPS ISO/IEC Uputstvo 2:2007 //Zakon o standardizaciji, 2005.godine

● Standardizacija je aktivnost na utvrđivanju odredaba za opštu i višekratnu upotrebu, u odnosu na stvarne i potencijalne probleme, radi postizanja optimalnog nivoa uređenosti u određenoj oblasti. //Zakon o standardizaciji, 2005.godine

3.2 Information Security Management System (ISMS)

ISMS, Information Security Management System, je kao što mu i samo ime kaže skup pravila koji se brine o bezbednosti informacija. Glavni koncept ISMS-a je za organizaciju da dizajnira , implementira i održava koherentne procese i sisteme za efikasno upravljanje dostupnih informacija i da na taj način osigurava poverljivost, integritet i dostupnost informacija imovine i smanjivanje rizika po bezbenošću informacija. Sistem menadžmenta sigurnošću informacija (ISMS) je deo sveukupnog sistema menadžmenta, zasnovan naposlovnom riziku, sa ciljem da uspostavi, implementira, izvršava, nadzire, preispituje, održava i poboljšava sigurnost informacija (ISO 27001:2005). U standardu ISO 27001:2005 definisani su zahtevi koje organizacija mora da ispuni, kako bih dobila sertifikat za ISMS. ISO/IES 27001 je zasnovan na tipičnom P-D-C-A ciklusu (Demingov krug).

PDCA(Plan-Do-Check-Act) predstavlja concept planiranja kao ciklus koji se bazira na kontinuiranom poboljšavanju.

Prvi korak predstavlja plan. Neko ima plan – zamisao za unapređenje proizvoda ili procesa. Ovaj korak vodi ka stvaranju plana za testiranje, poređenje, eksperiment. Plan izmene ili ispitivanja je ciljan za unapređenje kvaliteta ( proizvoda ili procesa ).

Drugi korak predstavlja rad na sprovođenju testa/ispitivanja, poređenja ili

eksperimenta, po mogućnosti u maloj razmeri, u skladu s onim što je odlučeno u prvom koraku.

Treći korak predstavlja studiju rezultata. Potrebno je proučiti rezultate. Šta smo naučili? Šta nije išlo kako treba? Možda smo omanuli i u nečemu prevarili sami sebe, pa je potrebno startovati iznova.

Četvrti korak predstavlja akciju. Promenu usvajamo, ili je napuštamo ili ponovo prolazimo čitav krug, možda poddrugačijim uslovima sredine, sa drugim materijalima, drugim ljudima ili drugačijim pravilima. Za usvajanje promene, ili za njeno napuštanje, potrebno je predviđanje.

3.3 International Organization for Standardization (ISO)

Međunarodna organizacija za standardizaciju nadaleko poznata kao ISO je međunarodni standard za utvrđivanje sadržaja sastavljen od predstavnika iz različitih nacionalnih standardnih organizacija. Osnovana je 23.februara 1947, organizacija objavljuje širom sveta industrijsko vlasništvo i komercijalne standarde. Glavni štab je u Ženevi,Švajcarska. Dok ISO definiše sam sebe kao nevladinu organizaciju, njegove sposobnosti da postavi standarde koji često postanu zakon, bilo putem ugovora ili nacionalnih standarda, čine ga snažnijim od većine nevladinih organizacija. U praksi

ISO deluje kao udruženje ustanova sa jakim vezama u vladi. Organizacijski logo je na dva oficijalna jezika, Engleskom i Francuskom, uključujući i reč ISO i uglavnom se pominje ovaj skarćeni oblik. ISO nije akronim ili inicijal za organizacijsko ime ni u jednom jeziku. Organizacija je radije prihvatila ISO zasnovano na Grckoj reči „isos” što znači jednako. Shvatajući da će organizacijski inicijali biti drugačiji na različitim jezicima, osnivači organizacije su izabrali ISO kao univerzalnu kratku formu svog imena. Ovo samo po sebi predstavlja glavni cilj organizacije: da se izjednači i standardizuje kroz sve kulture.Međunarodni standardi i druge publikacije:

● ISO-vi glavni produkti su MEÐUNARODNI STANDARDI.● ISO još objavljuje i TEHNIČKE IZVEŠTAJE, TEHNIČKE SPECIFIKACIJE,

JAVNO DOSTUPNE SPECIFIKACIJE, TEHNIČKU LISTU ŠTAMPARSKIH GREŠAKA I VODIČE.

Međunarodni standardi su definisani u formatu ISO/IEC.ASTM IS nnnnn(:yyyy)title , gde je :

● nnnnn broj standarda,● yyyy godina publikacije,● title opisuje predmet.● IEC ili međunarodna elektrotehnička komisija je uključena ako su standardni

rezultati iz rada ISO.IEC, JTC1● ASTM se koristi za standarde proizvedene u saradnji sa ASTM internacional● godina(yyyy) i IS se ne koriste za nekompletne ili neobjavljene standarde i mnogi

pod istim okolnostima bivaju bez naslova objavljenog rada.Tehnički izveštaji se izdaju kada tehnički komitet ili pododbor sakupi podatke

različirih sadržaja koji se razlikuju od onih koji se obično izdaju kao međunarodne standardne norme, kao što su reference i objašnjenja. Imenovane konvencije za ove su iste kao i za standarde osim TR koji se stavlja umesto IS u imenu izveštaja.Primeri:

● ISO/IEC TR 17799:2000 – Code of Practice for Information Security Management (praksa za informacijsku

bezbednost upravljanja)● ISO/TR 19033:2000 – TEHNIČKI PRODUKT DOKUMENTACIJE

Tehničke specifikacije mogu se proizvesti kada je predmet koji je u pitanju još uvek u razvoju ili je tamo zbog bilo kog drugog razloga gde se nalazi u budućnosti, ali ne i mogućnosti dogovora za objavljivanje međunarodnog standarda. Javno dostupne informacije mogu biti posredna specifikacija, objavljena pre razvoja punog međunarodnog standarda ili IEC-u može biti dvojni logo publikacije koja je objavljena u saradnji sa spoljnom organizacijom. Obe su nazvane po konvenciji sličnoj tehničkom izveštaju, npr:

● ISO/TS 16952:2006 TEHNIČKI PRODUKT DOKUMENTA● ISO/P1S 11154:2006 DRUMSKO VOZILO

ISO ponekad zadaje i tehničku listu štamparskih grešaka.To su i dopune postojećih standarda zato što su male tehničke greške, upotrebljive za poboljšanje ili da se produži primenljivost na ograničen način. Uopšteno, oni se objavljuju saočekivanjem da će pogođeni standardi biti menjani ili povučeni na sledećem planiranom pregledu. ISO VODIČI su meta-standardi koji pokrivaju pitanja vezana za međunarodnu standardizaciju. Imenovani su u formatu ISO.IEC GUIDE N:YYYY:TITLE

4. Standardi serije ISO/IEC 27000

Svrha međunarodnih standarda serije ISO/IEC 27000 je da pruže pomoć organizacijama svih vrsta i veličina da razviju i primene sistem za upravljanje bezbednošću sopstvenih informacija i da se pripreme za nezavisno i nepristrasno ocenjivanje (sertifikaciju) tog sistema primenjenog na zaštitu informacija, kao što su, na primer finansijske informacije, informacije o intelektualnoj svojini, podaci o osoblju ili informacije koje su im poverene od korisnika ili treće strane.

Ova serija obuhvata standarde koji: definišu zahteve za ISMS kao i zahteve

za tela koja sertifikuju ISMS; obezbeđuju podršku, detaljna uputstva i instrukcije za celokupan proces planiraj-uradi-proveri-deluj (Plan-Do-Check-Act); daje specifična sektorska uputstva za ISMS i ocenjivanje usaglašenosti za ISMS. Ovu seriju čine sledeći standardi koji su međusobno povezani:

− ISO/IEC 27000:2009, Information security management system - Overview and vocabulary koji daje opšti prikaz sistema menadžmenta bezbednošću informacija i definiše odgovarajuće termine,

− ISO/IEC 27001:2005, Information security management system – Requirements, naznačajniji standard ISMS serije koji definiše model za uspostavljanje, primenu, funkcionisanje, održavanje i poboljanje sistema menadžmenta bezbednošću informacija,

− ISO/IEC 27002: 2005 (prethodno BS 7799 -1 i ISO/IEC 17799), Code of

practice for information security management, definiše pravila dobre prakse upravljanja bezbednošću informacija, odnosno obezbeđuje specifične savete i uputstva za kontrolisanje ISMS kao podršku ISO/IEC 27001,

− ISO/IEC 27003 (u izradi), Information security management system implementation guidance, obezbeđuje uputstvo za procesno orijentisani pristup i uspešnu primenu ISMS u skladu sa ISO/IEC 27001,

− ISO/IEC 27004 (u izradi), Information security management system –

Measurement, koji daje uputsva i savete kako sprovesti merenja u cilju ocene efektivnosti ISMS,

− ISO/IEC 27005:2008, Information security risk management koji daje

uputstva za ISMS metode i tehnike upravljanja rizikom kao podrška ISO/IEC 27001,

− ISO/IEC 27006:2007, Requirement for bodies providing audit and

certificatio of information security system koji daje zahteve za akreditaciju za sertifikaciona tela koja sertifikuju ISMS prema ISO/IEC 27001 zahtevima. On navodi specifične zahteve za sertifikaciju i zajedno sa ISO/IEC 17021 predstavlja osnovni standard za akreditaciju,

− ISO/IEC 27007 (u izradi), Guidelines for information security management

systems auditing, obezbediće uputstva za interne i eksterne provere ISMS i program provera u skladu sa standardom ISO/IEC 27001.

Pored navedenih osnovnih, postoji i određeni broj standarda koji se odnose na specifične sektore (većina još u pripremi), i dopuna su seriji ISO/IEC 27000 standarda, kao:

− ISO/IEC 27011, zahtevi za sektor telekomunikacija− ISO/IEC 27012, zahtevi za automobilsku industriju− ISO/IEC 27013, integrisana upotreba ISO/IEC 20000-1 i ISO/IEC 27001− ISO/IEC 27014, upravljački okvir za bezbednost informacija− ISO/IEC 27015, bezbednosni zahtevi za finansijske servise− ISO 27799:2008, bezbednosni zahtevi u zdravstvu korišćenjem standarda

ISO/IEC 27002

Na slici su prikazani struktura, međusobne veze i uloge standarda serije ISO/IEC 27000. Većina navedinih standarda je u primeni dok su ostali u postupku razvoja i donošenja. Može se reći da je glavni standard ISO/IEC 27001:2005, koji sa standardom ISO/IEC 27006:2007 definiše opšte zahteve za ISMS i njegovu sertifikaciju, dok ostali predstavljaju podršku i daju uputstva za interpretaciju celokupnog procesa planiraj-uradi-proveri-deluj i zahteva definisanih u ISO/IEC 27001.

Ova serija standarda je u vezi i sa mnogim drugim ISO i ISO/IEC standardima koji se odnose na oblast bezbednosti informacija i koji obezbeđuju specifične zahteve, uputstva i sl. ISO/IEC 27001 ističe da nije moguće u potpunosti eliminisati celokupan rizik u vezi sa bezbednošću informacija i omogućava organizacijama da ustanove kriterijume koji će uravnotežiti mogućnosti poslovanja, zahteve definisane u propisima, ugovorne obaveze, cenu kontrolisanja bezbednosti informacija i rizik.

4.1 Standard ISO 27001

ISO/IEC 27001 je deo rastuće ISO/IEC 27000 serije standarda, a nastao je na osnovu standarda BS 7799 (British Standards). Objavljen je u oktobru 2005. od strane međunarodne organizacije za standardizaciju (ISO) i međunarodne elektrotehnicke komisije (IEC). Pun naziv je ISO/IEC 27001:2005 - Informaciona tehnologija – Sigurnosne tehnike - Sistemi upravljanja informacione sigurnosti - Zahtevi, ali je obično poznat kao "ISO 27001". Namenjen je da se koristi zajedno sa ISO/IEC 27002 (Kodeks prakse za informisanje uprave bezbednosti), koji izlistava listu sigurnosnih kontrolnih

ciljeva i preporučuje niz specifičnih bezbednosnih kontrola.

ISO/IEC 27001 je službena grupa specifikacija na osnovu kojih organizacije imaju pravo da zatraže postupak sertifikacije, naravno ukoliko su primenile taj standard na sistem upravljanja bezbednosti informacija. Ovaj standard propisuje zahteve za ustanovljavanje, implementaciju, kontrolu i unapređenje ISMS-a, sistema za upravljanje bezbednošću informacija. Standard je primenjiv na sve vrste organizacija (komercijalne, neprofitne, državne institucije, itd.) i sve veličine organizacija, od malih pa do velikih svetskih organizacija.

U standardu su navedeni ciljevi provere koje je potrebno ostvariti i provere koje je

potrebno sprovesti kako bi se ostvarili ciljevi standarda. Postoje institucije akreditovane za sertifikaciju prema ISO/IEC 27001 standardu, ali isto tako i velik broj organizacija koje su sertifikovale svoje informacione sisteme prema ISO/IEC 27001 standardu ili standardima pojedinih država. Sertifikacija je stvar izbora organizacije, ali vredi spomenuti da poslovni partneri ponekad traže da organizacija s kojom sarađuju ima sertifikat. ISO/IEC 27001 proces sertifikacije, kao i ostali ISO sertifikati za upravljanje sistemima obično primenjuju tri stepena revizije procesa :

● PRVI: je “vrh tabele” pregled postojeće i kompletne dokumentacije kao što su organizaciona bezbednosna politika, izjava primenljivosti (SOA) i plan postupka rizika (RTP).

● DRUGI: je detaljna, duboka revizija koja uključuje testiranje postojanja efektivnosti informacionih sigurnosnih kontrola, navedenih u SOA i RTP, kao i njihovih pomoćnih dokumenata.

● TREĆI: je praćenje ponovne procene revizije da bi se potvrdilo da je prethodna sertifikaciona organizacija ostala u skladu sa standardima. Sertifikaciono održavanje uključuje periodične preglede i ponovne procene dabi se potvrdilo da ISMS nastavlja da deluje kao što je naznačeno i nameravano.

4.1.1 Procesni pristup

Ovaj međunarodni standard usvaja procesni pristup za uspostavljanje, primenu, funkcionisanje, nadzor, reviziju, održavanje ISMS-a jedne organizacije. Organizacija treba da identifikuje i upravlja mnogim aktivnostima da bi efikasno funkcionisala. Bilo koja aktivnost koja koristi resurse i koja je vođena da bi omogućila transformaciju ulaza u izlaze može da se smatra procesom. Često ulaz (input) jednog procesa direktno stvara izlaz (output) sledećeg procesa. Primena sistema procesa u okviru organizacije, zajedno sa identifikacijom i interakcijom tih procesa, i njihovo upravljanje, često se zove “procesni pristup”.

Procesni pristup za upravljanje informacionom sigurnošću predstavljen u ovom međunarodnom standardu ohrabruje svoje korisnike da naglase važnost:

a) razumevanja zahteva informacione sigurnosti jedne organizacije i potrebu da se utvrdi politika i ciljevi informacione sigurnosti;

b) kontrole primene i funkcionisanja da bi se upravljalo rizicima informacione sigurnosti jedne organizacije u kontekstu ukupnih poslovnih rizika organizacije;

c) nadzor i revizije učinka i efikasnosti ISMS-a;d) stalno poboljšavanje bazirano na objektivnom merenju.

Ovaj međunarodni standard usvaja model “Planiraj-Radi-Proveri-Deluj” ("Plan-

Do-Check-Act" - PDCA) model, koji se primenjuje na strukturu svih ISMS procesa. Slika ilustruje kako jedan ISMS uzima kao ulaz zahteve informacione sigurnostii i očekivanja zainteresovanih strana i kroz neophodne radnje i procese daje rezultat informacione sigurnostii koji zadovoljava ove zahteve i očekivanja.

Planiraj: Ustanoviti ISMS politiku, ciljeve, procese i procedure relevantne za upravljanje rizikom i poboljšanje informacione sigurnosti da bi se dobili rezultati u skladu sa ukupnom politikom i ciljevima organizacije. Uradi: Primeniti i rukovoditi ISMS politikom, kontrolom, procesima i procedurama. Proveri: Oceniti i, gde je primenljivo, izmeriti učinak procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo i izveštavati rukovodstvo o rezultatima radi revizije.

Deluj: Preduzeti korektivne i preventivne mere, zasnovane na rezultatima interne ISMS revizije i revizije rukovodstva ili drugim relevantnim informacijama, da bi se postiglo stalno poboljšanje ISMS-a.

4.1.2 Glavni delovi standardaStandard ISO/IEC 27001 se sastoji od 5 delova i to od:

1. Sistem za zaštitu informacija,2. Odgovornost rukovodećih ljudi,3. Unutrašnje provere sistema za zaštitu informacija,4. Provera valjanosti sistema za zaštitu informacija,5. Poboljšanja na sistemu za zaštitu informacija.

4.1.2.1 Sistem upravljanja informacionom sigurnošću

Organizacija utvrđuje, primenjuje, rukovodi, nadgleda, pregleda, održava i poboljšava dokumentovani ISMS u okviru opštih poslovnih ciljeva organizacije i rizika sa kojima je suočena. Za ciljeve ovog međunarodnog standarda proces koji se koristi je zasnovan na PDCA modelu koji je prikazan na prethodnoj slici.

1. Utvrđivanje ISMS-aOrganizacije će postupiti na sledeći način:

a) Definisaće obim i granice ISMS-a u smislu odlika posla, organizacije, lokacije, imovine i tehnologije, uključujući detalje i opravdanje za bilo kakvo isključenje iz obima.

b) Definisaće politiku ISMS-a u smislu odlika posla, organizacije, lokacije, imovine i tehnologije koja:

1) uključuje okvir za postavljanje ciljeva i utvrđuje opšti pravac i principe za delovanje u odnosu na informacionu sigurnost;

2) uzima u obzir posao i pravne i regulatorne zahteve i ugovorne sigurnosne obaveze;

3) u skladu je sa kontekstom upravljanja strateškog rizika organizacije gde će se odvijati utvrđivanje i održavanje ISMS-a;

4) utvrđuje kriterijume na osnovu kojih će rizik biti procenjen (videti c) );5) je odobrena od strane rukovodstva.

c) Definisati pristup ocene rizika organizacije.

1) identifikovati metodologiju ocene rizika koja odgovara ISMS-u, i identifikovanu poslovnu informacionu sigurnost, pravne i regulatorne zahteve.

2) razviti kriterijume za prihvatanje rizika i identifikovati prihvatljive nivoe rizika.

Metodologija ocene rizika koja je odabrana će obezbediti da ocena rizika daje uporedive i ponovljive rezultate.

d) Identifikovati rizike.1) definisati imovinu u okviru obima ISMS-a, i vlasnike ove imovine.2) Identifikovati pretnje toj imovini.3) identifikovati slabe tačke koje mogu biti korišćene pri pretnjama.4) identifikovati uticaj koji gubici poverljivosti, integriteta i dostupnosti mogu

imati na imovinu.

e) Analizirati i proceniti rizike.1) oceniti poslovni uticaj na organizaciju koji može biti rezultat propusta u

sigurnosti, uzimajući u obzir posledice gubitka poverljivosti, integriteta ili raspoloživosti imovine.

2) oceniti realnost verovatnoće da do propusta u sigurnosti dođe u svetlu prisutnih pretnji i slabih tačaka, i uticaja vezanog za ovu imovinu, i kontrole koje se trenutno primenjuju.

3) proceniti nivoe rizika4) utvrditi da li su rizici prihvatljivi ili zahtevaju obradu korišćenjem kriterijuma

za prihvatanje rizika (videti c) ).

f) Identifikovati i proceniti opcije za obradu rizika. Moguće mere uključuju:1) primenu odgovarajuće kontrole;2) prihvatanje rizika svesno i objektivno, pod uslovom da oni jasno

zadovoljavaju politiku organizacije i kriterijume za prihvatanje rizika (videti c) );

3) izbegavanje rizika;4) transfer vezanih poslovnih rizika na druge strane, npr. osiguratelje,

snabdevače.

g) Odabrati ciljeve kontrole i kontrole za obradu rizika. Ciljevi kontrole i kontrole biće odabrani i primenjeni da zadovolje zahteve koji su identifikovani procesom procene i obrade rizika. Ova selekcija će uzeti u obzir kriterijume za prihvatanje rizika (videti c) ) kao i pravne, regulatorne i ugovorne zahteve. Ciljevi kontrole i kontrole iz priloga će biti odabrani kao deo procesa kao pogodni da zadovolje identifikovane zahteve. Lista ciljeva kontrole i kontrole data u prilogu nije konačna i dodatni ciljevi kontrole takođe mogu biti odabrani.

h) Dobiti odobrenje rukovodstva za predložene rezidualne rizike.

i) Dobiti ovlašćenje rukovodstva da se primeni i rukovodi ISMS-om.j) Pripremiti izjavu o primenljivosti. Izjava o primenljivosti koja će biti pripremljena

uključuje sledeće:1) ciljeve kontrole i kontrole odabrane u sekciji g) i razloge za njihovu

selekciju;2) ciljeve kontrole i kontrole koje se trenutno primenjuju (videti e2) );3) isključenje ciljeva kontrole i kontrola u prilogu i opravdanje za njihovo

isključenje.

2. Primena i rukovođenje ISMS-omOrganizacija će da postupi na sledeći način:

a) formulisaće plan obrade rizika koji identifikuje odgovarajuće upravljanje, resurse, odgovornosti i prioritete za upravljanje rizicima informacione sigurnosti (videti 4.1.2.2).

b) primeniće plan obrade rizika da bi se postigla identifikacija ciljeva kontrole, koji uključuju finansiranje i dodeljivanje uloga i odgovornosti.

c) primeniće kontrole odabrane u g) sekciji u prethodnom odeljku i ispuniće zahteve kontrole

d) definisaće kako će se meriti efikasnost odabranih kontrola ili grupa kontrola i naznačiti kako ova merenja treba upotrebiti da se oceni efikasnost kontrole da bi se dobili uporedivi i ponovljivi rezultati.

e) Sprovesti obuku i programe svesnosti (videti sekciju 2.2 u poglavlju 4.1.2.2).

f) Upravljati radom ISMS-a.

g) Upravljati resursima za ISMS (videti sekciju 2 u poglavlju 4.1.2.2).

h) Primeniti procedure i druge kontrole koje mogu da omoguće brzo otkrivanje događaja vezanih za sigurnost i reagovanje na incidente vezane za sigurnost (videti sekciju 3a) u poglavlju 4.1.2.1).

3. Nadgledanje i revizija ISMS-a

Organizacija će da uradi sledeće:a) Obaviće procedure nadgledanja i revizije i druge kontrole da bi:

1) brzo otkrila greške u rezultatima obrade;2) hitno identifikovala pokušaje i uspešne povrede sigurnosti i incidente;

3) omogućila rukovodstvu da odluči da li se sigurnosne aktivnosti dodeljene ljudima ili primenjene putem informacione tehnologije izvršavaju kako se očekuje;

4) pomogla da se otkriju događanja vezana za sigurnost i tako će sprečiti incidente koristeći pokazatelje;

5) odrediće da li su koraci preduzeti da bi se rešilo kršenje sigurnosti bili efikasni.

b) Obavljaće redovne preglede efikasnosti ISMS-a (uključujući zadovoljavanje politike i ciljeva ISMS-a, i pregled kontrola sigurnosti), uzimajući u obzir rezultate revizija sigurnosti i rezultate merenja efikasnosti, predloge i povratne informacije od svih zainteresovanih strana.

c) Meriti efikasnost kontrola da bi proverili da li su ispunjeni sigurnosni zahtevi.

d) Pregledati ocene rizika u planiranim intervalima i pregledati rezidualne rizike i identifikovane nivoe rizika, uzimajući u obzir promene u :

1) organizaciji;2) tehnologiji;3) poslovnim ciljevima i procesima;4) identifikovanim pretnjama;5) efikasnosti primenjenih kontrola;6) eksternim događanjima, kao što su promene pravnog ili regulatornog

okruženja, promenjene ugovorne obaveze i promene u društvenoj klimi.

e) Sprovešće internu reviziju ISMS-a u planiranim intervalima (videti 4.1.2.3),

f) Sprovesti redovan upravljački pregled ISMS-a da bi se osiguralo da obim ostane adekvatan i da su identifikovana poboljšanja u ISMS procesu (videti 4.1.2.4)

g) Ažurirati sigurnosne planove da bi se uzeli u obzir rezultati aktivnosti nadzora i pregleda.

h) Beležiti aktivnosti i događanja koji bi mogli da utiču na efikasnost i rad ISMS-a. (videti sekciju kontrola evidencije)

4. Održavanje i poboljšavanje ISMS-a

Organizacija će redovno obavljati sledeće.a) Primenjivaće identifikovana poboljšanja u ISMS.b) Preduzeće odgovarajuće korektivne i preventivne radnje u skladu sa sekcijama 2

i 3 u poglavlju 4.1.2.5. Primeniće iskustva vezana za sigurnost drugih organizacija i iskustva same organizacije.

c) Preneće aktivnosti i poboljšanja svim zainteresovanim stranama onoliko koliko je prikladno za okolnosti i, ako je važno, dogovoriti se kako da se dalje radi.

d) Osiguraće da se poboljšanjem postignu planirani ciljevi.

5. Opšti zahtevi za dokumentacijuDokumentacija će obuhvatiti evidenciju o odlukama rukovodstva, obezbediti da se aktivnosti mogu naći u odlukama i politici rukovodstva, i obezbediti da su zabeleženi rezultati ponovljivi. Važno je biti u mogućnosti da se pokaže odnos iz odabranih kontrola i rezultata procesa obrade problema, i nazad do politike i ciljeva ISMS-a. ISMS dokumentacija uključuje:

a) Dokumentovane izjave o politici ISMS-a ( videti sekciju (b) u poglavlju utvrđivanje isms-a) i ciljevima;

b) Obim ISMS-a (videti sekciju (a) u poglavlju utvrđivanje isms-a);c) Procedure i kontrole koje podržavaju ISMS; d) Opis metodologije ocene rizika (videti sekciju (1c) u 4.1.2.1); e) Izveštaj o oceni rizika (videti (1c) do (g) u 4.1.2.1); f) Plan obrade rizika (videti (2b) u 4.1.2.1);g) Dokumentovane procedure koje su potrebne organizaciji da bi se obezbedilo

efikasno planiranje, sprovođenje i kontrola njenih procesa informacione sigurnosti i opisati kako da se meri efikasnost kontrola (videti (3c) u 4.1.2.1);

h) Evidenciju koja se zahteva po ovom međunarodnom standardu (videti sekciju 7 u 4.1.2.1);

i) Izjavu o primenljivosti.

6. Kontrola dokumenataDokumenta zahtevana po ISMS-u će biti zaštićena i kontrolisana. Biće utvrđena dokumentovana procedura da bi se odredile aktivnosti upravljanja da bi se :

a) odobrila dokumenta radi adekvatnosti pre izdavanja;b) pregledala i ažurirala dokumenta kako je potrebno i ponovo odobrila;c) obezbedilo da su promene i trenutno stanje revizije dokumenata identifikovane;d) obezbedilo da su relevantne verzije dokumenata koja se primenjuju dostupne

kada ih treba upotrebiti;e) obezbediti da dokumenta ostanu čitka i odmah prepoznatljiva;f) obezbediti da su dokumenta dostupna onima kojima su potrebna, i da se

prenose, čuvaju i konačno uklanjaju u skladu sa procedurama koje se primenjuju kada se klasifikuju;

g) obezbediti da se identifikuju spoljašnja dokumenta;h) obezbediti da se raspodela dokumenata kontroliše;

i) sprečiti nenameravanu uporebu zastarelih dokumenata;j) primeniti odgovarajuću identifikaciju ako se zadržavaju iz bilo kojih razloga.

7. Kontrola evidencije

Evidencija će biti utvrđena i održavana da bi se pružio dokaz o usaglašenosti sa zahtevima i efikasnom funkcionisanju ISMS-a. Ona će biti zaštićena i kontrolisana. ISMS će uzeti u obzir bilo kakve pravne ili regulatorne zahteve i ugovorne obaveze. Evidencija će biti čitka, prepoznatljiva i dostupna. Kontrole potrebne za identifikaciju, čuvanje, zaštitu, pristup, vreme zadržavanja i uklanjanje evidencije će biti dokumentovane i sprovođene. Biće vođena evidencija o izvođenju procesa kako je navedeno u prethodnom poglavlju i o svim incidentima vezanim za sigurnost koji se odnose na ISMS.

4.1.2.2 Odgovornost rukovodstva

1.Obaveze rukovodstvaRukovodstvo će obezbediti dokaz svoje obaveze prema utvrđivanju, primeni, sprovođenju, nadgledanju, pregledu, održavanju i poboljšanju ISMS-a na sledeći način:

a) utvrđivanjem politike ISMS politike;b) obezbeđivanjem utvrđenih ciljeva i planova ISMS-a;c) utvrđivanjem uloga i odgovornosti za informacionu sigurnost;d) obaveštavanjem organizacije o važnosti ispunjenja ciljeva informacione

sigurnosti i usklađivanju sa politikom informacione sigurnosti, njenim odgovornostima uprema zakonu i potrebom da se stalno unapređuje;

e) obezbeđivanjem dovoljnih resursa da bi se utvrdio, primenio, sproveo, nadgledao, pregledao, održavao i poboljšao ISMS (videti sekciju 2 u ovom poglavlju);

f) određivanjem kriterijuma za prihvatanje rizika i prihvatljivih nivoa rizika;g) obezbeđivanjem sprovođenja internih kontrola ISMS-a (videti poglavlje 4.1.2.3);h) sprovođenjem pregleda upravljanja ISMS-om (videti 4.1.2.4).

2. Obezbeđivanje resursa

Organizacija će da odredi i obezbedi resurse koji su potrebni da se :a) utvrdi, primeni, sprovodi, nadgleda, pregleda, održava i poboljšava ISMS;b) obezbedi da procedure informacione sigurnosti podržavaju zahteve posla;c) identifikuju i rešavaju pravni i regulatorni zahtevi i ugovorne obaveze vezane za

sigurnost;d) održi adekvatna sigurnost korektnom primenom svih primenjenih kontrola;

e) obave pregledi kada je potrebno, i da se adekvatno reaguje na rezultate ovih pregleda;

f) gde je potrebno, poboljša efikasnost ISMS-a.

3. Obuka, svest i stručnost

Organizacija će se postarati da je celokupan personal kome su dodeljene odgovornosti definisane u ISMS-u stručan da obavlja zahtevane zadatke tako što će :

a) odrediti potrebnu stručnost potrebnu da obavlja posao izvršavajući ISMS;b) obezbediti obuku ili preduzeti druge aktivnosti (npr. zapošljavajući stručan

personal) da bi zadovoljii ove potrebe;c) proceniti efikasnost preduzetih aktivnosti; d) voditi evidenciju o obrazovanju, obuci, veštinama, iskustvu i kvalifikacijama

(videti sekciju 7 u poglavlju 4.1.2.1).

Organizacija će takođe obezbediti da sav relevantan personal bude svestan važnosti informacija o sigurnosnim aktivnostima i kako one doprinose postizanju ISMS ciljeva. 4.1.2.3 Interne provere ISMS sistema

Organizacija će sprovoditi interne ISMS revizije u planiranim intervalima da bi utvrdila da li su ciljevi kontrole, kontrole, procesi i procedure ISMS:

a) usklađeni sa zahtevima ovog međunarodnog standarda i relevantnih zakona ili propisa;

b) usklađeni sa identifikovanim zahtevima informacione sigurnosti;c) efikasno primenjeni i održavani;d) izvršavani kao što se očekuje.

Program revizije će biti planiran, uzimajući u obzir status i važnost procesa

i oblasti gde treba izvršiti reviziju, kao i rezultate prethodnih revizija. Kriterijumi za reviziju, obim, učestalost i metode će biti definisani. Odabrani revizori i obavljanje revizije će obezbediti objektivnost i nepristrasnost procesa revizije. Revizori neće obavljati reviziju svog vlastitog posla.

Odgovornosti i zahtevi za planiranje i obavljanje revizije, i za beleženje rezultata i

vođenje evidencije (videti sekciju 7 u poglavlju 4.1.2.1) biće definisani dokumentovanom procedurom. Rukovodstvo odgovorno za oblast u kojoj se vrši revizija će se postarati da se aktivnosti obavljaju bez odlaganja da bi se eliminisale neusklađenosti i njihovi uzroci. Prateće aktivnosti uključiće verifikaciju preduzetih aktivnosti i izveštavanje o rezultatima verifikacije (videti poglavlje 4.1.2.5).

4.1.2.4 Pregled ISMS sistema od strane rukovodstva

Rukovodstvo će pregledati ISMS organizacije u planiranim intervalima (najmanje jednom godišnje) da bi se obezbedila neprekidna stabilnost, adekvatnost i efikasnost. Pregled će uključiti ocenu prilika za poboljšanje i potrebu za promenama ISMS-a, uključujući politiku informacione sigurnosti i ciljeve informacione sigurnosti. Rezultati pregleda će biti jasno dokumentovani i evidentirani (videti sekciju 7 u poglavlju 4.1.2.1).

1. Ulaz za pregledeUlaz pregleda rukovodstva će uključiti:

a) rezultate ISMS revizija i pregleda;b) povratne informacije od zainteresovanih strana;c) tehnike, proizvode ili procedure, koji bi mogli da se koriste u organizaciji radi

poboljšanja učinka i efikasnosti ISMS-a;d) status preventivnih i korektivnih radnjii;e) slabe tačke ili pretnje koje nisu rešavane na adekvatan načina pri prethodnoj

oceni rizika;f) rezultate mera efikasnosti;g) prateće(follow-up) aktivnosti iz prethodnih pregleda rukovodstva;h) bilo kakve promene koje bi mogle da utiču na ISMS;i) preporuke za poboljšanje.

2. Izlaz za preglede

Izlaz iz pregleda rukovodstva će uključiti odluke ili radnje koje su u vezi sa :a) poboljšanjem efikasnosti ISMS-a.b) ažuriranjem ocene rizika i plana obrade rizika.c) modifikacijom procedura i kontrola koje dovode do informacione sigurnosti, kako

je potrebno, da bi se reagovalo na unutrašnja i spoljašnja događanja koja mogu uticati na ISMS, uključujući promene:

1) Poslovnih zahteva;2) Bezbednosnih zahteva;3) Poslovnih procesa koji dovode do stvaranja postojećih poslovnih zahteva;4) Regulatornih ili pravnih zahteva;5) Ugovornih obaveza;6) Nivoa rizika i/ili kriterijuma za prihvatanje rizika.

d) Potrebama resursae) Poboljšanja u pogledu merenja efikasnosti kontrola.

4.1.2.5 Poboljšanje ISMS-a

Organizacija će neprekidno poboljšavati efikasnost ISMS-a korišćenjem politike informacione sigurnosti, ciljeva informacione sigurnosti, rezultata revizija, analiza događaja koji se prate, korektivnih i preventivnih radnji i pregleda od strane rukovodstva (videti 4.1.2.4).

1. Korektivna radnjaOrganizacija će preduzeti radnju da ukloni uzrok neusaglašenosti sa zahtevima ISMS-a da bi se sprečilo njihovo ponavljanje. Dokumentovana procedura za korektivnu radnju će definisati zahteve za :

a) identifikovanjem neusaglašenosti;b) određivanjem uzroka neusaglašenostii;c) procenom potrebe za radnjama da se neusaglašenosti ne bi ponavljale;d) određivanjem i primenom potrebnih korektivnih radnji;e) beleženjem rezultata preduzetih radnji (videti sekciju 7 u 4.1.2.1) ;f) pregledom preduzetih korektivnih radnji.

2. Preventivna radnja

Organizacija će odrediti aktivnost da ukloni uzrok mogućih neusaglašenosti sa zahtevima ISMS-a da bi sprečila da do njih dođe. Preventivne radnje će biti adekvatne uticaju mogućih problema. Dokumentovana procedura za preventivnu radnju će definisati zahteve za:

a) identifikovanjem neusaglašenosti i njihovih uzroka;b) procenom potrebe za aktivnošću radi sprečavanja pojave neusaglašenosti;c) određivanjem i primenom potrebnih preventivnih radnji;d) beleženjem rezultata preduzetih radnji (videti 4.3.3);e) pregledom preduzetih preventivnih radnji;

Organizacija će identifikovati promenjene rizike i identifikovati zahteve preventivnih radnji obraćajući pažnju na značajno izmenjene rizike. Prioritet preventivnih radnji će biti određen na osnovu razultata ocene rizika. 4.1.3 Prilozi

Uz standard ISO/IEC 27001 dodata su i tri priloga čiji zadatak je usklađivanje ovog standarda sa drugim bliskim standardima. Ciljevi kontrole i kontrole navedeni u prilogu A su direktno izvedeni iz i usklađeni sa onima koji su navedeni u ISO/IEC 27002:2005 klauzule 5 do 15. Spiskovi u prilogu A nisu konačni i organizacija će možda smatrati da su potrebni dodatni ciljevi kontrole i kontrole. Ciljevi kontrole iz tih tabela se odabiraju kao delovi ISMS procesa – utvđivanja ISMS-a. ISO/IEC 27002:2005 klauzule 5 do 15 daju savete u vezi primene i uputstva o najboljoj praksi kao podršku kontrola

naznačenih u ovom standardu. Ove kontrole i ciljevi kontrole nisu obavezujući i neke se mogu ignorisati pod uslovom da to ne utiče na sposobnost organizacije da ispuni sve relevantne pravne i sigurnosne zahteve.

Principi izloženi u prilogu B su OECD (Organizacija za ekonomsku saradnju i

razvoj) smernice za sigurnost informacionih sistema i mreža odnose se na celokupnu politiku i operacionalne nivoe, koji rukovode sigurnošću informacionih sistema i mreža. Ovaj međunarodni standard pruža okvir sistema upravljanja informacionom sigurnošću za primenu nekih od principa OECD-a korišćenjem PDCA modela i procesa opisanih u u poglavlju 4.1.2.

Prilog C je čisto informativan i služi da pokaže podudarnost ovog međunarodnog

standarda sa drugim ISO standardima ISO 9001:2000 i ISO 14001:2004.

4.2 Standard ISO 27002 ISO/IEC 27002 je standard informacione sigurnosti koji je objavila međunarodna

organizacija za standardizaciju (ISO) i međunarodno elektrotehnička komisija (IEC), pod naslovom Informaciona tehnologija - Sigurnosne tehnike - Kodeks prakse za upravljanje informacionom sigurnošću.

ISO/IEC 27002:2005 je razvijen iz britanskog standarda BS7799, objavljenog sredinom 1990-ih. Britanski standard je usvojen od strane ISO/IEC kao ISO/IEC 17799:2000, revidiran u 2005, i promenjen. U 2007. standardu je promenjeno ime u ISO/IEC 27002:2005 kako bi se uskladio s drugim standardima serije ISO/IEC 27000.

4.2.1 Uvod

ISO/IEC 27002 pruža preporuke za najbolje postupke kod upravljanja informacijonom sigurnošću namenjene ljudima koji su odgovorni za pokretanje, uvođenje ili održavanje sistema upravljanja informacionom sigurnošću (ISMS). Informaciona sigurnost se definiše u okviru standarda u kontekstu CIA trijade – Confidentiality-Integrity-Availability (Poverljivost-Integritet-Dostupnost). Ovaj standard definiše pravila dobre prakse upravljanja bezbednošću informacija, odnosno obezbeđuje specifične savete i uputstva za kontrolisanje ISMS kao podršku ISO/IEC 27001 standardu. Sastoji se iz liste kontrola i kontrolnih ciljeva koji se koriste da bi se ispitao ISMS. Standard ISO/IEC 27001 sadrži skraćeni opis većine ovih kontrola u prilogu A.

ISO/IEC 27002 je kodeks ponašanja - generički , savetodavni dokument, koji

nije formalno standard ili formalna specifikacija, kao što je to ISO/IEC 27001 . On izlaže dobro organizovan skup predloženih kontrola da reše rizike informacione bezbednosti, pokrivajuci aspekte poverljivosti , integriteta i dostupnosti.Organizacije koje usvoje ISO/IEC 27002 moraju da proceni rizike sopstvene informacione bezbednosti i primene odgovarajuce kontrole, koristeci standard kao uputstvo. Strogo govoreci, nijedna od kontrola nije obavezna, ali ako organizacija odluči da ne usvoji nešto obično, kao recimo antivirusne kontrole , oni svakako treba da budu spremni da pokažu da je ta odluka doneta kroz racionalni proces upravljanja rizikom, a ne samo prividni nadzor, ako planiraju da dobiju sertifikat za ISO/IEC 27001.

Nakon uvoda, obima, terminologije i strukture sekcija, ostatak ISO/IEC 27002 navodi nekih 39 kontrolnih ciljeva koji služe da zaštite informaciona sredstva protiv pretnji njihovoj poverljivosti , integritetu i dostupnosti. U stvari, ovi kontrolni ciljevi obuhvataju generičke specifikaciju funkcionalnih zahteva za organizacionu upravljačku arhitekturu sigurnost informacija. Bilo bi teško reci da organizacija uopšteno ne treba da prihvati navedene ciljeve, međutim neki ciljevi nisu primenjivi u svakom slučaju, i generički tekst standarda možda ne odražava tačne zahteve neke organizacije. Međutim kontrolni ciljevi čine odličnu polaznu tačku za definisanje skupa "aksioma" ili principa visokog nivoa za politiku informacione bezbednosti samo uz manje slovne izmene.

ISO/IEC 27002 se odnosi na doslovno stotine najboljih preporuka sigurnosnih

kontrolnih mera koje organizacije treba da razmotre da zadovolje navedene kontrolne ciljeve. Standard ne propisuje specifične kontrole za primenu, već ostavlja korisnicima da odaberu i primene kontrole koje im odgovaraju, koristeci proces procene rizika za identifikaciju najpogodnijih kontrola za njihove specifične zahteve. Organizacije su takođe slobodne da odaberu kontrole koje nisu navedene u standardu, sve dok su

kontrolni ciljevi zadovoljeni. To što nije naloženo da se koriste samo određene kontrole je veoma pametna

stvar koji čini standard široko primenjivim čak i ako se tehnologije i bezbednosni rizici promene, i daje korisnicima ogromnu fleksibilnost u implementaciji. Nažalost, to takođe otežava sertifikacionim telima da procene da li je organizacija u potpunosti u skladu sa standardnom. Organizacije mogu umesto toga da sertifikuju upravljačke procese informacione bezbednosti u skladu sa ISO/IEC 27001 koji opisuje proces za procenu rizika i selekciju, implementaciju i upravljanje posebnim bezbednosnim kontrolama iz standarda ISO/IEC 27002 ili čak drugih izvora.

4.2.2 Sadržaj

Nakon uvodnog dijela, standard sadrži dvanaest glavnih delova. Unutar svakog dela,

navedene su i opisane kontrole sigurnosti informacija i njihovi ciljevi, a kontrole sigurnosti informacija se uopšteno smatraju najboljim sredstvom za postizanje tih ciljeva.

Glavni delovi ovog standarda su:

1. Procena rizika2. Bezbednosna politika – smer upravljanja3. Organizacija informacione bezbednosti - upravljanje informacionom bezbednošću4. Upravljanje imovinom - popis i klasifikacija informacione imovine5. Sigurnost ljudskih resursa - sigurnosni aspekti za ulazak, kretanje i izlazak zaposlenih

iz organizacije6. Fizička sigurnost i sigurnost okoline - zaštita računarskih objekata7. Komunikacije i operacije upravljanja - upravljanje kontrolama tehničke sigurnosti u

sistemima i mrežama8. Kontrole pristupa - ograničenje prava pristupa mrežama, sistemima, aplikacijama,

funkcijama i podacima9. Nabavka, razvoj i održavanje informacionih sistema – ugrađivanje bezbednosti u

aplikacije10. Upravljanje incidentima informacione bezbednosti – predviđanje i odgovarajuća reakcija

na proboje sigurnosti11. Upravljanje kontinuitetom poslovanja - zaštita, održavanje i oporavak procesa i sistema

kritičnih za poslovanje12. Usklađenost - osiguravanje usklađenosti s politikama informacione sigurnosti ,

standardima, zakonima i propisima.

1. Procena rizikaISO/IEC 27002 nudi preporuke za vođenje procesa procene rizika i obrade uključujući:

● Obim procene● Analiza rizika● Procena rizika● Obrada rizika

2. Bezbednosna politikaKontrolna oblast bezbednosne politike se bavi upravljanjem pravca i podrške zabezbednost informacija u skladu sa poslovnim zahtevima i relevantnim zakonima ipropisama, uključujuci : Dokument informacione bezbednosne politike - odobreni i objavljeni dokument

demonstrira posvecenost menadžmenta i koncipira organizacioni pristup bezbednosti informacija. Izjave o Informacionoj bezbednosnoj politici mogu biti deo ukupnog dokumenta organizacione korporativne politike.Pregled politike sigurnosti informacija - stalna relevantnost i posvecenost sigurnosti informacija se dobija uspostavljanjem vlasničkog i preglednog rasporeda dokumenta informacione bezbednosne politike.

3. Organizacija informacione bezbednostiOdgovarajuce struktura upravljanja informacionom bezbednosti treba da bude dizajnirana i sprovedena .

Organizacija treba da ima okvir za upravljanje informationom bezbednosti. Rukovodeci kadar treba da obezbede pravac u ovoj oblasti i naprave podršku, npr, odobravanjem informacione bezbednosne politike . Uloge i odgovornosti treba da budu definisane za funkciju bezbednosti informacija. Ostale relevantne funkcije treba da sarađuju i koordiniraju aktivnosti. IT objekati treba da budu odobreni. Dogovori o poverljivosti treba da odražavaju potrebe organizacije. Kontakti bi trebalo da bude ostvareni sa relevantnim organima (npr. za sprovođenje zakona ) i posebnim interesnim grupama. Informaciona bezbednost treba da bude nezavisno razmotrena.

Informacije o bezbednosti ne bi trebalo da bude ugrožene uvođenjem proizvoda ili usluga sa strane. Rizike treba procenjivati i umanjivati kada se posao obavlja sa klijentima i u sporazumima sa trecim licima.

4. Upravljanje imovinom

Organizacija treba da bude u poziciji da razume koju informacionu imovinu poseduje i prema tome da na odgovarajuci način upravlja svojom bezbednošću.

Sva [informaciona] imovina treba da se obračuna i dobije nominantnog vlasnika. Inventar informacionih sredstava ( IT hardver , softver , podaci , sistem za dokumentaciju, mediji za skladištenje i ICT usluge ) bi trebalo da se održavaju. Inventar bi trebalo da čuva vlasničke podatke i lokaciju sredstava, a vlasnici bi trebalo da identifikuju prihvatljive upotrebe za ta sredstva.

Informacije treba da se klasifikuju u skladu sa sigurnosnim potrebama i treba da budu označene u skladu sa tim.

5. Sigurnost ljudskih resursaOrganizacija treba da upravlja sistemom prava pristupa za zaposlene koji

ulaze u organizaciju, one koji se premeštaju i odlaze. Bezbednost odgovornosti treba uzeti u obzir kada se zapošljavaju stalni službenici, preduzimači i privremeno osoblje ( npr. preko temeljnog opisa posla ) i da bezbednost bude uključena u ugovor ( npr. odredbe i uslove zapošljavanja i drugi potpisani dokumenti o bezbednosnim ulogama i odgovornostima ) .

Upravljačke odgovornosti u vezi bezbednosti informacija bi trebalo da budu definisane. Zaposleni i ( ako je potrebno ) IT korisnici sa strane treba da budu upoznati i obučeni u bezbednosnim procedurama. Formalna disciplinarni proces je potreban da se rukuje bezbednostim probojima.

Potrebno je upravljati i bezbednosnim aspektima lica koja odlaze iz organizacije ( npr. vraćanje informacionih sredstava i uklanjanje prava pristupa ).

6. Fizička sigurnost i sigurnost okolineVredna IT opreme treba da bude fizički zašticena od zlonamernih ili slučajnih

šteta ili gubitaka, pregrevanja, gubitka napajanja, itd.Ovaj odeljak opisuje potrebu za koncentričnim slojevima fizičke kontrole da bi

se zaštitili osetljivi informatički objekti od neovlašcenog pristupa. Kritična IT oprema, kao što su kablovi i sl. treba da bude zašticena od fizičkih oštećenja, požara, poplava, krađa i slično. Glavno napajanje i kablovi treba da budu zašticeni. Oprema treba da se održava i odlaže bezbedno.

7. Komunikacije i operacije upravljanjaKomunikacija i operacije upravljanja odnose se na sposobnost organizacije da obezbedi pravilno i bezbedno funkcionisanje svoje imovine, uključujuci : Operativne procedure - sveobuhvatan skup procedura, kao podrška organizacionih standarda i politike.Promena kontrole - proces za upravljanje promenama i konfigurisanje kontrola , uključujuci i upravljanje promenama na upravljačkom sistemu za bezbednost informacija.Upravljanje incidentima - mehanizam da se obezbedi pravovremeno i efikasan odgovor na bilo kakav incident.Razdvajanje dužnosti - segregacije i rotacija dužnosti minimizira mogucnost dosluha i nekontrolisanog izlaganja.Planiranje kapaciteta - mehanizam za pracenje projekata i organizacione sposobnosti da se obezbedi nesmetana dostupnost.Sistem za prihvatanje - metodologija za procenu promena sistema da bi se osigurala konstantna poverljivost, integritet i dostupnost.Zlonamerni koa - kontrola za sprečavanje opasnosti od uvođenja zlonamernog koda.Housekeeping - propisi, standardi, smernice i procedure za rešavanje rutinskih aktivnosti održavanja kao što su rezervne kopije planova i logovanja.Upravljanje mrežom – kontrole za vođenje sigurnosnih operacija na mrežnoj infrastrukturi.

Manipulacija medija – kontrole za sigurnosno rukovanje i odlaganje medija za skladištenje informacija i dokumentacije.Razmena informacija – kontrole za vođenje razmene informacija, uključujuci sporazume sa krajnjim korisnicima i mehanizme transporta informacija.

8. Kontrole pristupaKontrola pristupa odnosi se na sposobnost organizacije za kontrolu pristupa sredstvima na osnovu poslovnih i bezbednosnim zahtevima, uključujuci :

Poslovne potrebe - politika kontroliše pristup organizacionim sredstvima na osnovu poslovnih zahteva i pravila "potrebnog znanja".Upravljanje korisnicima – mehanizmi za :

● prijavljivanja i odjavljivanja korisnika● kontrolu i reviziju pristupa i privilegija● upravljanje lozinkama

Odgovornosti korisnika - informisanje korisnika o svojoj odgovornosti za kontrolu pristupa, uključujuci i lozinku upravljanja i nadzor nad opremom.Kontrola pristupa mreži - politika za korišcenje mrežnih usluga, uključujuci i mehanizme za:

● autentifikaciju čvorova (nods)● autentifikaciju spoljnih korisnika● definisanje rutiranja● kontrolu bezbednosti mrežnog uređaja● održavanje segregacije ili segmentacije mreže● kontrola mrežnih veza● održavanje bezbednosti mrežnih servisa

Mehanizmi za kontrolu pristupa hostova- ( kada je to potrebno ) :

● automatska identifikacija terminala● sigurnosno prijavljivanje● autentifikacija korisnika● upravljanje lozinkama● sigurnosni sistemski uslužni programi● mogućnosti za korisnika u prinudi, kao što su " dugmad za paniku"● omogucavanje terminalskih, korisničkih pauza I pauziranje veza.

Kontrola za pristup aplikaciji - ograničava pristup aplikaciji na osnovu ovlašćenja korisnika ili aplikacije.Nadzor pristupa - mehanizmi za pracenje pristupa sistemu i korišcenja sistema za otkrivanje neovlašcene aktivnosti .

Mobilno računarstvo – propisi i standardi namenjeni zaštiti imovine, sigurnom pristupu i korisničkim odgovornostima.

9. Nabavka, razvoj i održavanje informacionih sistemaInformaciona bezbednost mora biti uzeta u obzir u procesima specifikacije, izgradnje / sticanja, testiranja i implementacije IT sistema.

Zahtevi za automatsku i ručnu kontrolu bezbednosti treba da budu u potpunosti identifikovani tokom faze zahteve u procesu razvoja ili kupovine sistema. Kupljen softver treba da bude zvanično bezbednosno testiran i ocenjena bilo kakva pitanja koja se tiču rizika.

Unos podataka, obrada i izlaz treba da imaju kontrolu validacije i autentifikaciju poruka da bi se ublažili rizici povezani sa integritetom.

Kriptografski propisi treba da bude definisani, pokrivajući uloge I odgovornsoti, digitalni potpisi, neporecivost, upravljanje ključevima i digitalnim sertifikatima i sl.

Pristup sistemskim datotekama ( izvršnim programima i izvornom kod ) podacima sa testova treba da se kontroliše.

Sistemski menadžeri za primenu treba da budu odgovorni za kontrolu razvojnim projektima i podršku okruženju. Formalni procesi za promenu kontrola treba da se primene, uključujuci i tehničke revizije. Upakovane aplikacije ne bi trebalo da budu izmenjene. Provere u vezi curenja informacija i trojanaca ako su oni problem treba da budu napravljene preko tajnih kanala. Broj nadzornih kontrolaje naveden za spoljne razvoj.

Tehnički nedostaci u sistemu i aplikacijama treba da budu kontrolisani pracenjem objavljivanja relevantnih sigurnosnih propusta, procenom rizika i primenom odgovarajucih sigurnosnih zakrpe.

10. Upravljanje incidentima informacione bezbednostiDogađaji, incidenti i slabosti informacione bezbednosti treba da budu prijavljeni i

upravljani na odgovarajuci način.Procedura za izveštavanje / alarm prilikom incidenta je potrebna, plus dodatne

procedure za eskalaciju. Tu bi trebalo da bude centralna tačka kontakta, i svi zaposleni, podiyvođači radova itd. treba da budu informisani o svojim odgovornostima izveštavanja.

Odgovornosti i procedure potrebne za upravljanje incidentima konzistentno i efikasno , za sprovođenje kontinuiranog poboljšanja ( učenje lekcija ), i za prikupljanje forenzičkih dokaza.

11. Upravljanje kontinuitetom poslovanjaOvaj odeljak opisuje odnos između planiranja oporavka od IT katastrofa,

kontinuitetnog upravljanja poslovanjem i planiranje nepredviđenih situacija, počev

od analize i dokumentacije do stalnih vežba i testiranja planova. Ove kontrole su dizajnirane da umanje uticaj bezbednosnih incidenata koji se dešavaju bez obzira preventivne kontrole koje se pominju drugde u standardu.

12. UsklađenostOrganizacija mora biti u skladu sa važecim zakonodavstvom kao što su kopirajt,

zaštita podataka, zaštita finansijskih podataka i drugih vitalnih izveštaja, kriptografskih ograničenja, pravila o dokazima, itd.

Menadžeri i vlasnici sistema moraju da obezbede usaglašenost sa sigurnosnim propisima i standardima, na primer, kroz redovne platformske sigurnosne izveštaje, testove upada u sistem itd. preduzete od strane nadležnih testera.

Revizije treba pažljivo planirati da bi se umanjio poremecaj operativnog sistema . Mocne alatke za revizija / objekti moraju biti zašticeni protiv neautorizovane upotrebe.

4.3 ISO 27003

ISO/IEC 27003 je deo rastuće porodice ISO/IEC sistema za upravljanje bezbednošću informacija (ISMS). Objavila ga je medjunarodna organizacija za standardizaciju (ISO) i medjunarodna eletrotehnicka komisija (IEC). Naziv standarda je :Informacione Tehnologije - Bezbedonosne tehnike - Informacioni sistem za upravljanje bezbednosti .

Svrha је ISO / IEC 27003 је dа pruzi pomoc i smernice u sprovodjenju ISMS (Information\Securiti Маnagement Sistem).Nacrt standarda::Standard sadrzi sledece odeljke: 1. Uvod 2. Оbim 3. Uslovi i definicije 4. Struktura standarda 5. Dobijanje saglasnosti za pokretanje projekta implementacije 6. Definisanje ISMS Оbim i ISMS politike 7. Sprovodjenje analize 8. Sprovodjenje procene rizika 9. Projektovanje ISMS

Standard je objavljen u Januaru 2010.

4.4 ISO 27004

ISO / IEC 27004:2009, deo rastuce porodice ISO/ IEC ISMS, standarda серије 2700., је безбедност информација стандард развијен од стране Међународне организације за стандардизацију (ИСО) и Међународна електротехничка комисија (ИЕЦ .) Његово пуно име је Информациона технологија - Технике сигурности - Информациона безбедност менаџмент - мерење.

Svrha ISO / IEC27004 је da pomogne организацијама меrenjima, извеstajima i tako сsistematski poboljsa efikasnost njihovog sistema za upravljenje sigurnoscu informacija (ISMS).Standard sadrzi sledece glavne delove:

1. Informaciona bezbednost - merenje2. Upravljanje odgovornoscu3. Mere i merenje razvoja4. Merenje rada5. Аnaliza podataka i izvestavanje rezultata merenja6. Bezbednost podataka programom merenja procene i poboljsanja

Dodatak оbezbedjuje predlozak sa kojim se opisuju mere, dok aneks b nudi neke radne primere.Standard je objavljen 7. Decembra 2009.

4.5 ISO 27005

ISO / IEC 27005, deo porodice ISO / IEC ISMS, 27000 serije standarda informacijske sigurnosti koje je objavila Međunarodna organizacija za standardizaciju (ISO) i Međunarodna elektrotehnička komisija (IEC). Njegov puni naziv je ISO / IEC 27005:2008 Informaciona tehnologija - Sigurnosne tehnike - informacione sigurnosti upravljanja rizicima.

Svrha ISO / IEC 27005 je da pruzi smernice za upravljanje rizicima informacione bezbednosti. On podržava opste koncepte navedene u ISO / IEC 27001 i dizajniran je da pomogne zadovoljavajuće sprovodjenje informacione bezbednosti na temelju upravljanja rizicima. On ne navodi, ne preporucuje ime bilo koje specifične metode analize rizika, iako odredjuje struktuiran i sistematski proces od analize rizika do stvaranja plana poboljsanja.

SADRŽAJ ISO 27005 :Sadržaj sekcije su:

1. Predgovor2. Uvod3. Normativne reference4. Nazivi i definicije

5. Struktura6. Pozadina7. Pregled ISRM procesa8. Kontekst osnutka9. Informacijske sigurnosti za procjenu rizika (ISRA)10. Informacije sigurnosni rizik Liječenje11. Informacijske sigurnosti preuzimanje rizika12. Informacije sigurnosni rizik komunikacije13. Informacije sigurnosni rizik za praćenje i pregled

Dodatak: Definisanje opsega procesaPrilog B: Asset vrednovanja i procene utjecaja naDodatak C: Primjeri tipičnih prietnjiDodatak D: Slabe tacke za procjenu ranjivosti i metodaDodatak E: ISRA pristupiStandard je objavljen u Junu 2008.

4.6 ISO 27006

ISO 27006- predstavlja deo rastuće porodice ISO/IEC sistema za upravljanje bezbednošću informacija (ISMS), ovaj standrad ovuhvata pružanje usluga revizije i sertifikacije u vezi sa informacionim sistemima i upravljanjem njihove bezbednosti. Standard je objavljen od strane ISO/IEC (internacional organization for standardization/ internacional electrotechical commission) u aprilu 2007 godine. ISO 27006 je u vezi sa ISO 17021 i njime se defenišu kriterijumi za revizije i definisanje sistema. Standard ISO 27006 je uglavnom namenjen da podrži akreditacju sertifikacionih tela koja proizilaze iz ISMS sertifikata.Nacrt standarda:

1. Obim2. Normativne reference3. Principi4. Opšti uslovi5. Strukturni zahtevi6. Zahtevi sa resursima7. Informacije o zahtevima8. Proces zahteva9. Menadžment sistemski zahtevi za sertifikaciona tela

5. Poređenje kategorija ISO 17799:2005 i ISO 17799:2000 standarda

5.1 Politika bezbednosti

Definicija sigurnosne politike i kontrole u ovoj kategoriji nisu značajno promenjene u odnosu na verziju standarda iz 2000. godine. Jedina značajna razlika jeste u tome da nova verzija naglašava da sigurnosna politika može biti deo opšte politike organizacije, a ne mora nužno predstavljati poseban dokument. 5.2 Organizovanje informacione sigurnosti

Kategorija Organizovanje informacione sigurnosti (u staroj verziji standarda Organizacijska sigurnost) doživela je određene promene. Terminološki; umesto pojma treće strane (eng. third parties) iz stare verzije standarda sada se koristi pojam spoljni partneri (eng. external parties).

Takođe, nova verzija standarda kao posebne kontrole definiše kontakte sa vlastima (ili odgovornim osobama) i kontakte sa specijalizovanim interesnim (bezbednosnim i profesionalnim) grupama, za razliku od stare verzije gde je kontakt sa vlastima bio spomenut marginalno, dok kontakti sa specijalizovanim bezbednosnim grupama nisu bili uopšte spomenuti.

Standard je ustvari prihvatio već postojeće stavove da se sigurnost (i sigurnosni incidenti) ne prikrivaju pod svaku cenu, već je njihovo rešavanje u nekim slučajevima nužno kroz ovlašćene institucije, a komunikacija sa drugim stručnjacima kroz bezbednosne i profesionalne grupe i organizacije može uveliko pomoći pri rešavanju internih incidenata ili pri sprečavanju istih.

Takođe, sigurnosni cilj iz stare verzije standarda, koji se odnosio na obradu informacija kod spoljnih partnera (eng. outsourcing), u novoj verziji standarda uključen je u poglavlje Spoljni partneri, što je i logično.

5.3 Upravljanje resursima

Ova kategorija, iako joj je iz naziva izbačena reč klasifikacija (Klasifikacija i upravljanje resursima), i dalje obuhvata iste ciljeve kao i u staroj verziji standarda.

Nova verzija u tom delu ipak donosi neke promene. Kao prvo, nova verzija naglašava da se moraju identifikovati svi(informacioni) resursi, a nakon toga izdvojiti lista bitnih informacionih resursa (stara verzija insistirala je samo na bitnim informacionim resursima). Takođe, još važnije, nova verzija prepoznaje i eksplicitno definiše nove kategorije resursa: ljude, njihovo znanje, stručnost i kvalifikacije kao i ugled i reputaciju organizacije. Konačno, dodate su nove kontrole Vlasništva nad resursima (eng. Ownership of assets) i Primerene upotrebe resursa (eng. Acceptable use of assets) kojima se eksplicitno definiše odgovornost vlasnika i korisnika resursa, što u prethodnoj verziji standarda nije bilo jasno definisano. Isto tako, nova verzija uvodi i pojam odgovorne osobe (eng. custodian) kojoj vlasnik resursa može delegirati određene odgovornosti.

5.4 Sigurnost ljudskih resursa

Iako samo donekle promenjenog imena, ova kategorija značajno je promenjena. U prethodnoj verziji standarda toj kategoriji (Zaštita od zaposlenih) bili su definisani ciljevi sigurnosti kod definisanja poslova (eng. Security in job definition and resourcing), obuci korisnika (eng. User training) i ponašanju u slučaju sigurnosnih incidenata (eng. Responding to security incidents).

Nova verzija standarda sigurnosne ciljeve i odgovarajuće kontrole definiše hronološki: Pre zapošljavanja (eng. Prior to employment), Tokom radnog odnosa (eng. During employment), Prestanak radnog odnosa (eng. Termination or change of employment). Neke sigurnosne kontrole preuzete su u manje izmenjenom obliku iz prethodne verzije standarda, a uz ciljeve koji se odnose na trajanje radnog odnosa i prestanak radnog odnosa, dodate su kontrole koje se odnose na odgovornost uprave,odgovornosti pri prestanku radnog odnosa, vraćanje resursa i uklanjanje prava pristupa.

Može se uočiti da je standard uvažio primere iz prakse, gde se pokazuje da pri prestanku ili prekidu radnog odnosa sigurnosni zahtevi uglavnom nisu sagledani u potpunosti. To se posebno odnosi na uklanjanje prava pristupa informacionim sistemima.

Cilj koji se odnosi na ponašanje u slučaju sigurnosnih incidenata u novoj verziji standarda izbačen je iz ove kategorije, pa se u izmenjenom obliku sada nalazi u novoj dodatoj kategoriji Upravljanje sigurnosnim incidentima.

5.5 Fizička zaštita

Ova kategorija nije značajno izmenjena u odnosu na prethodnu verziju standarda. Može se uočiti da su neki ciljevi i kontrole detaljnije i preciznije specificirani, dodata je nova kontrola koja eksplicitno definiše zaštitu od spoljnih i prirodnih pretnji (eng. Protecting against external and environmental threats), izbačen je cilj iz stare verzije standarda koji se odnosio na opšte zahteve (eng. General controls), koji je bio prilično neujednačen, sa tim da je deo kontrola ostao i dalje uključen u ovu kategoriju, a deo koji se odnosio na Bezbedno korišćenje radnog okruženja (eng. Clear desk and clear screen policy) prebačen je u kategoriju Kontrola pristupa, cilj Odgovornost korisnika (eng. User responsibilities), što je i mnogo logičnije.

5.6 Upravljanje radom i komunikacijama

Upravljanje radom i komunikacijama najopsežnija je kategorija nove verzije standarda, a u odnosu na prethodnu verziju standarda doživela je značajne promene. Od sigurnosnih ciljeva iz prethodne verzije standarda uz određene promene zadržani su sledeći:

Radne procedure i zaduženja (eng. Operational procedures and responsibilities) – kontrola koja se odnosila na upravljanje incidentima (eng. Incident management procedures) u staroj verziji standarda, u novoj verziji spada u kategoriju Upravljanje incidentima.

Takođe, kontrola koja se odnosila na upravljanje delovima sistema koji održavaju spoljni partneri (eng. External facilities management) u novoj verziji standarda prepoznata je kao kompleksniji element bezbednosti, tako da predstavlja poseban sigurnosni cilj koji treba ispuniti.

Planiranje novih sistema (eng. System planning and acceptance) – ovaj cilj u novoj verziji nije značajnije izmijenjen u odnosu na staru verziju standarda.

Zaštita od zlonamernih programa (eng. Protection against malicious software) – ovaj cilj dopunjen je kontrolama koje se odnose na zaštitu od mobilnih programa, pa je i naslov u tom smislu dopunjen – Zaštita od zlonamernog i mobilnog koda(eng. Protection against malicious and mobile code). Standard je ovde uvažio činjenicu da je korišćenje mobilnog koda (ActiveX, Java i slične tehnologije) vrlo rašireno u legitimne, ali i zlonamerne svrhe.

Zaštita mrežne infrastrukture (eng. Network management – u staroj verziji, Network security management u novoj verziji) – ovaj cilj izmenjen je utoliko što je dodata nova kontrola koja eksplicitno definiše i zaštitu mrežnih servisa.

Sigurnost i rukovanje medijima (eng. Media handling) – ovaj cilj nije značajnije izmenjen u odnosu na staru verziju standarda.

Osim navedenih ciljeva iz prethodne verzije standarda, novi standard definiše ciljeve koje stari standard nije poznavao u tom obliku:

Upravljanje spoljnim resursima (eng. External facilities management) – kako je već spomenuto predstavlja u novom standardu, zbog uočene važnosti, poseban cilj, za razliku od stare verzije standarda gdje je bio definisan samo kao kontrola.

Izrada rezervnih kopija (eng. Back-up) – predstavlja cilj koji je preciznije definisan u odnosu na cilj iz prethodnog standarda Održavanje reda u organizaciji (eng. Housekeeping), a koji je osim kontrola za izradu rezervnih kopija sadržao i elemente vezane za beleženje informacija koji u novoj verziji predstavljaju poseban cilj (Nadgledanje sistema).

Razmena informacija (eng. Exchange of information) – iako ovaj cilj ima vrlo sličan naziv kao i u staroj verziji standarda: Razmena informacija i programske podrške (eng. Exchange of information and software), konceptualno je prilično promenjen tako da su u novoj verziji standarda predložene kontrole puno konzistentnije sa obzirom na cilj.

Elektronsko poslovanje (eng. Electronic commerce services) – novi standard uočio je važnost sigurnosti ovog aspekta poslovanja, pa ga navodi kao poseban cilj, za razliku od stare verzije koja je aspekte elektronskog poslovanja prilično šturo definisala kroz posebnu sigurnosnu kontrolu vezanu uz Razmenu informacija i programske podrške.

Nadgledanje sistema (eng. Monitoring) – ovo poglavlje objedinjuje kontrole koje su se odnosile na različite ciljeve iz stare verzije standarda. Na taj način izbegnuto je pojavljivanje sličnih elemenata u različitim delovima dokumenta (Upravljanje radom i komunikacijama, Kontrola pristupa), čime je osigurana veća koherentnost.

5.7 Kontrola pristupa

Ova kategorija logički nije značajno izmenjena u odnosu na staru verziju standarda. Jedina značajna promena jeste da cilj Nadgledanje pristupa i korišćenja sistema (eng. Monitoring system access and use) u novoj verziji standarda više nije deo kategorije Kontrola pristupa, već je dopunjen sa nekim kontrolama iz drugih kategorija, već je deo kategorije upravljanje radom i komunikacijama. Takođe, u cilj obaveze korisnika dodata je kontrola bezbedno korišćenje radnog okruženja (eng. Clear desk and clear screen policy), koja je u staroj verziji standarda bila deo Opštih zahteva kategorije Fizička zaštita.

Ostali ciljevi iz ove kategorije ostali su isti, dok su kontrole izmenjene i osavremenjene u tolikoj meri da bolje opisuju načine zaštite modernih sistema.

5.8 Nabavka, razvoj i održavanje informacionih sistema

Kod ove kategorije promenjen je naziv, tako da sada preciznije identifikuje na šta se odnosi (u staroj verziji standarda Razvoj i održavanje sistema). Iz stare

verzije standarda preuzeti su svi ciljevi, čije kontrole su u određenoj meri dopunjene i osavremenjene. Najznačajnije promene napravljene su kod cilja Kriptografske kontrole (eng. Cryptographic controls) gde su preporuke za implementaciju preciznije nego u staroj verziji standarda i referenciraju druge spoljne izvore i standarde(ISO/IEC JTC1 SC27, IEEE P1363, OECD Guidelines on Cryptography, ISO/IEC 9796, ISO/IEC 14888).

Takođe, nova verzija standarda definiše cilj Upravljanje tehničkim ranjivostima (eng. Technical vulnerability management) koji nije postojao u staroj verziji standarda, a u praktičnom održavanju sigurnosti današnjih sistema je nezaobilazan. 5.9 Upravljanje sigurnosnim incidentima

Upravljanje sigurnosnim incidentima (eng. Information security incident management) je nova kategorija koja se pojavljuje u ISO 17799:2005 standardu. Kategorija definiše dva cilja:1) Prijavljivanje sigurnosnih incidenata i ranjivosti (eng. Reporting information security

events and weaknesses) i2) Upravljanje sigurnosnim incidentima i unapređenjem sigurnosti (eng. Management

of information security incidents and improvements). Ova kategorija predstavlja skup ciljeva i sigurnosnih kontrola, od kojih je većina

postojala i u prethodnoj verziji standarda no, međutim, te su kontrole bile definisane u različitim kategorijama i ciljevima, (Odgovornost korisnika – Prijavljivanje sigurnosnih incidenata i nepravilnosti u radu, Upravljanje radom i komunikacijama – Radne procedure i zaduženja, Usaglašenost sa zakonskim i drugim propisima – Usaglašenost sa zakonskom regulativom).

Standard je uočio da je upravljanje sigurnosnim incidentima jedinstven proces, pa ga je na taj način i definisao, što predstavlja znatno unapređenje u odnosu na staru verziju standarda.

5.10 Upravljanje kontinuitetom poslovanja

Kategorija upravljanja kontinuitetom poslovanja strukturalno gotovo da i nije promenjena. U načelu kontrole koje nova verzija standarda predlaže gotovo da su identične kontrolama iz prethodne verzije. Sintaksa koja se koristi u novoj verziji standarda ipak je preciznija, a iz definicije sigurnosnog cilja koje se kontrole iz ove kategorije moraju ispuniti može se uočiti da je sigurnost ipak samo deo opštijeg procesa upravljanja kontinuitetom poslovnih procesa, dok je prethodna verzija implicirala da je kompletno upravljanje kontinuitetom poslovnih procesa deo informacione sigurnosti.

Može se zaključiti da je to posledica višegodišnjih trendova kroz koje se informaciona sigurnost više ne posmatra isključivo kao deo IT-a, već se sve više i više smatra integralnim delom u ukupnom odvijanju poslovnih procesa i poslovanju.

5.11 Usaglašenost sa zakonskim i drugim propisima

Ova sigurnosna kategorija smisleno gotovo da i nije promenjena. Kontrole su iste kao i u ranijoj verziji standarda. Kontrola prikupljanje dokaza, koja je izbačena u odnosu na verziju standarda iz 2000. godine je u novoj verziji standarda deo kategorije Upravljanje sigurnosnim događajima.

6. Zaključak

Svaka od navedenih sigurnosnih kategorija definiše sigurnosne ciljeve kao i kontrole koje je potrebno sprovesti da bi se ispunili ti ciljevi. Kontrole se definišu kao način upravljanja rizicima, što podrazumeva politike, procedure, uputstva, organizacione strukture, koje mogu biti administrativne, tehničke, upravljačke ili pravne.

Ceo koncept sigurnosti informacija bazira se na konceptu upravljanja (menadzmentu) rizicima. Ocena rizika definisana je kao ocena pretnji informacijama ( pretnje koje dovode do povrede poverljivosti, integriteta i raspoloživosti informacija), njihovog uticaja na informacije i na ranjivost informacija, kao i verovatnoće njihove pojave.

Upravljenje ( menadzment ) rizikom je definisano kao proces identifikacije, kontrole i umanjivanja ili eliminacije sigurnosnih rizika koji mogu da utiču na informacije i informacione sisteme, a koji mora da bude finansijski pravdan.

U vremenu izrazitog rasta količine informacija i znanja u organizacijama i njihoj komunikaciji sa korisnicima, za potrebe bezbednosti informacija i za potrebe sticanja korisničkog poverenja, neophodno je koristiti zahteve modela ISO 27 001. Time se stvara sistem koji je fokusiran na kontinualna poboljšavanja i smanjenje troškova i eliminisanje uzročnika grešaka u sistemu.

Literatura:● Information Security Management System, http://en.wikipedia.org/wiki/

Information_security_management_system

http://www.google.com/url?q=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FInformation_security_management_system&sa=D&sntz=1&usg=AFQjCNHMVEwTGs7TGfXZKEpcbrlMAZ8uQQ

http://www.google.com/url?q=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FInformation_security_management_system&sa=D&sntz=1&usg=AFQjCNHMVEwTGs7TGfXZKEpcbrlMAZ8uQQ

● Sistem menadžmenta bezbednošću informacija – Uloga i značaj sertifikacije i akreditacije, mr Vida Živković, dr Dejan Krnjaić, http://www.ats.rs/upload/dl/BILTEN/ISMSVidaZivkovicDejanKrnjaic.pdf

● Bezbednost informacionih sistema (skripta), http://docs.google.com/viewer?a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxiZXpiZWRub3N0aXN8Z3g6MTA2YWExOWFhOGMxNTYzMA

● Međunarodni ISO/IEC standard 27001, http://docs.google.com/viewer?a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxiZXpiZWRub3N0aXN8Z3g6NzlhZDNmNzFkOGRiMmI5MQ

● ISO/IEC 27000 series, http://en.wikipedia.org/wiki/ISO/IEC_27000-series

● ISO/IEC 27001, http://en.wikipedia.org/wiki/ISO/IEC_27001


● ISO/IEC 27002:2005 Information technology -- Security techniques, http://www.cert.sd/iso27002.pdf

● Understanding ISO 27002, Tom Carlson, http://www.orangeparachute.com/documents/Understanding_ISO_27002.pdf




http://www.google.com/url?q=http%3A%2F%2Fwww.ats.rs%2Fupload%2Fdl%2FBILTEN%2FISMSVidaZivkovicDejanKrnjaic.pdf&sa=D&sntz=1&usg=AFQjCNHI7g6SC9HTRnVJ4_1ZPKZSvN2lZQ



http://docs.google.com/viewer?a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxiZXpiZWRub3N0aXN8Z3g6MTA2YWExOWFhOGMxNTYzMA




http://docs.google.com/viewer?a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxiZXpiZWRub3N0aXN8Z3g6NzlhZDNmNzFkOGRiMmI5MQ




http://www.google.com/url?q=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FISO%2FIEC_27000-series&sa=D&sntz=1&usg=AFQjCNEhLevYIkO0SfsfOftsuq2xXaH9xw

http://www.google.com/url?q=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FISO%2FIEC_27000-series&sa=D&sntz=1&usg=AFQjCNEhLevYIkO0SfsfOftsuq2xXaH9xw

http://www.google.com/url?q=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FISO%2FIEC_27001&sa=D&sntz=1&usg=AFQjCNHBVAKMzdXzQU5iLiP2kWAq3Ohc9Q

http://www.google.com/url?q=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FISO%2FIEC_27001&sa=D&sntz=1&usg=AFQjCNHBVAKMzdXzQU5iLiP2kWAq3Ohc9Q

http://www.google.com/url?q=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FISO%2FIEC_27002&sa=D&sntz=1&usg=AFQjCNEcoknamZyAJQkYbERD9ww86SYskg


http://www.google.com/url?q=http%3A%2F%2Fwww.cert.sd%2Fiso27002.pdf&sa=D&sntz=1&usg=AFQjCNE7FWZTqct_HOrPsPZVeg0b2ZLyxw

http://www.google.com/url?q=http%3A%2F%2Fwww.cert.sd%2Fiso27002.pdf&sa=D&sntz=1&usg=AFQjCNE7FWZTqct_HOrPsPZVeg0b2ZLyxw

http://www.google.com/url?q=http%3A%2F%2Fwww.orangeparachute.com%2Fdocuments%2FUnderstanding_ISO_27002.pdf&sa=D&sntz=1&usg=AFQjCNEflFBswz9SARZv4p4PFtli_HUnAQ

http://www.google.com/url?q=http%3A%2F%2Fwww.orangeparachute.com%2Fdocuments%2FUnderstanding_ISO_27002.pdf&sa=D&sntz=1&usg=AFQjCNEflFBswz9SARZv4p4PFtli_HUnAQ


http://www.google.com/url?q=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FISO%2FIEC_27003&sa=D&sntz=1&usg=AFQjCNFsM2b9CzwsgRJFdcveacbrByamzg


http://www.google.com/url?q=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FISO%2FIEC_27004&sa=D&sntz=1&usg=AFQjCNHfbSQSGR7iS-VsZuBeTuOyjrRQBA


http://www.google.com/url?q=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FISO%2FIEC_27003&sa=D&sntz=1&usg=AFQjCNFsM2b9CzwsgRJFdcveacbrByamzg

standard i so 27000

Documents