Univerzitet u Novom Sadu

Tehnički fakultet „Mihajlo Pupin“ Zrenjanin

INTEGRISANI MENADŢMENT SISTEMI

ISO/IEC 27001:2014 - Informacione tehnologije

- Tehnike bezbednosti - Sistemi menadţmenta

bezbednošću informacija

Student: Jelena Babić OI-17/15

Predmetni nastavnik: prof. dr Dragan Ćoćkalo

UVOD

• Znanje, kao najznačajniji resurs svakog čoveka, pa i društva u celini, može se definisati kao „Obim informacija, opažanja ili razumevanja koja poseduje neka osoba“.

• Nagli razvoj informacionih tehnologija izaziva velike promene u poslovanju svih činioca društva, pa se već početkom 21.veka savremena informaciona rešenja koriste u svim društvenim procesima.

• Međunarodna organizacija za standardizaciju ISO prihvata BS standarde i u junu 2005.godine objavljuju drugu verziju standarda koja se zvala ISO 17799 Informacione tehnologije - bezbednost tehnike - Principi upravljanja bezbednošću informacija.

• Međunarodna organizacija za standardizaciju ISO i Međunarodna

elektrotehnička komisija IEC čine specijalizovani sistem svetske

standardizacije

• Standard 27000 je posvećen bezbednosti informacija i određuje zahteve i daje

okvir na koji način organizacija treba da pristupi zaštiti informacija

• Standard ISO/IEC 27001 se objavljuje u oktobru 2005.godine pod nazivom

Informacione tehnologije - Sistemi menadžmenta bezbednošću informacija –

Zahtevi

Standard

BEZBEDNOST INFORMACIJA se u standardu

predstavlja kao očuvanje:

• poverljivosti (tajnosti): osiguranje da su

informacije dostupne samo onima kojima je

dopušten pristup;

• integriteta: očuvanje tačnosti i potpunost

informacija i metoda za obradu;

• raspoloživosti: osiguranje da ovlašćteni korisnici

imaju pristup informacijama i imovini koja je u

vezi s njima, onda kada se to zahteva.

Uvod u informatičku bezbednost

Bezbednost informacija se postiže primenom odgovarajućeg skupa

kontrola,

koje mogu biti:

• principi,

• prakse,

• procedure,

• organizacionu strukturu i

• softverske funkcije.

Ove kontrole treba uspostaviti kako bi se obezbedilo da se poštuju

specifični bezbednosni ciljevi te organizacije.

Uvod u bezbednost informacija

• U savremenom, međusobno povezanom svetu, informativni i povezani procesi, sistemi i

mreže predstavljaju kritičnu poslovnu imovinu.

• Organizacije i njihovi informacioni sistemi i mreže su izloženi bezbednosnim pretnjama iz

širokog spektra izvora, uključujući računarske prevare, špijunažu, sabotaže, vandalizam,

požare i poplave. Pretnje informacijskim sistemima i mrežama uzrokovane zlonamernim

kodom, hakiranjem i napadima poricanjem usluga postaju sve više, više ambiciozni i

sofisticiraniji.

• Sistem za upravljanje bezbednosnih informacija (Information Security Management

System - ISMS) pruža model za uspostavljanje, implementaciju, korišćenje, nadzor,

reviziju, održavanje i poboljšanje zaštitu informacija, sa ciljem postizanja ciljeva

poslovanja, na osnovu procene rizika i nivoa prihvatljivih rizika u organizaciji.

• ISMS mora održavati interese i zahteve informacione bezbednosti svih zainteresovanih

strana, uključujući: kupce, dobavljače, poslovne partnere, suvlasnike i druge relevantne

treće strane.

Uvođenje ISMS

Potpuni prelazak na elektronsku obradu podataka, jačanje udela elektronske trgovine te

višestruki kanali elektronskog prikupljanja i distribucije podataka utiču na porast broja

bezbednih incidenata. Niz informacija koje se nalaze unutar informacionog sistema

organizacije često predstavljaju poslovne tajne od suštinske važnosti za organizaciju.

Primer 1: Ako se onemogući protok informacija u organizaciji – koliko dugo će ta

organizacija funkcionisati?

Primer 2: Nesvesno koristite netačne podatke. Kako na osnovu njih možetete donositi

strateške i operativne odluke za poslovanje?

Primer 3: Do vaših poslovnih planova može doći bilo ko, pa i konkurencija. Koliko

takva organizacija ima budućnosti?

Odgovore na sva ta pitanja prvenstveno daje sistem za upravljanje informacionom

bezbednošću (ISMS) zasnovan na seriji standarda ISO/IEC 27000.

Uvođenje ISMS

Efikasno poslovanje se zasniva na identifikaciji i upravljanju niza aktivnosti. Pojam

procesa predstavlja upravljanje nizom aktivnosti koje koriste resurse kako bi se

transformisao ulaz u izlaz. Primena sistema procesa u organizaciji, s identifikacijom i

interakcijama tih procesa, kao i njihovo upravljanje naziva se procesnim pristupom.

Procesni pristup za ISMS prema ovom setu standarda zasnovan je na principu

jedinstvenom za sve ISO standarde za upravljanje sistemima: Plan-Do-Check-Act

(PDCA).

• Planiraj – uspostavi ciljeve i planove (analiziraj stanje, uspostavi ciljeve i razvij

planove za ostvarenje tih ciljeva);

• Uradi – implementiraj planove (uradi planirano);

• Proveri – izmeri rezultate (koliko su planovi ostvareni);

• Deluj – koriguj i unapriedi aktivnosti (nauči iz grešaka kako bi se postigli bolji

rezultati).

PDCA ciklus ISMS

Aţuriranje i poboljšanje

ISMS (poboljšanje ili

implementacija novih

kontrola, politika,

procedura, …)

Dizajniranje ISMS

(procena rizika,

otklanjanje rizika,

izbor kontrola…)

Praćenje ISMS

(incidenti, promene,

ponovna procena rizika,

auditi …)

Implementacija i upotreba ISMS

(implementacija i testiranje

kontrola, politika, procedura,

procesa …)

Implementacija procesa upravljanja rizicima da bi se postigao efikasan ISMS

kroz proces kontinuiranih unapređenja

Organizacija je dužna da:

• Definiše područije primene ISMS-a u odnosu na delatnost organizacije i njenu

organizacionu strukturu, lokaciju, imovinu i tehnologiju.

• Definiše politiku ISMS-а u odnosu na karakteristike poslovanja, organizaciju, njenu

lokaciju, tehnologiju i imovinu

• Definiše ocenjivanje rizika u organizaciji

• Identifikuje rizike

• Analizira i procenjuje rizike

• Identifikuje i proceni opcije za postupanje sa rizicima.

• Izabere ciljeve kontrola i kontrole za postupanje sa rizicima

• Dobije odobrenje rukovodstva za predloženi preostali rizik,

• Dobije autorizaciju rokovodstva za implementaciju i primenu ISMS,

• Primeni izjavu o primenjivosti.

PDCA model upravljanja – PLAN

Kod implementacije i primene ISMS organizacija je duţna da :

• Napravi plan postupanja sa rizikom u kojem su identifikovane odgovarajuće mere rukovodstva,

resursi, odgovornosti i prioriteti za upravljanje rizicima po bezbednost informacija;

• Da implementira plan postupanja sa rizikom da bi se dostigli ciljevi kontrola,koji obuhvata

razmatranje finansiranja i podelu uloga i odgovornosti,

• Da uspostavi kontrole da bi se ispunili ciljevi kontrola,

• Definiše kako se meri efektivnost izabranih kontrola ili grupa, određuje kako se ta merenja

koriste da bi se ocenila efektivnost kontrola i da bi se postigli uporedivi i ponovljivi rezultati.

Rukovodstvo i zaposleni određuju koliko dobro kontrole postiţu planirane ciljeve kontrola

pomoću merenja efektivnosti.

• Uspostavlja programe obuke i podizanja svesti,

• Upravlja primenom ISMS-a,

• Upravlja resursima za ISMS,

• Uspostavlja procedure i kontrole koje su odgovarajuće za

• Omogućavanje trenutnog otkrivanja događaja u vezi sa bezbednošću i odgovore na incidente

narušavanja bezbednosti.

PDCA model upravljanja – DO

Kod praćenja i preispitivanja ISMS organizacije je duţna da:

• Sprovede procedure za praćenje i preispitivanje i ostale kontrole

• Redovno preispituje efektivnost ISMS, uzimajući u obzir rezultate provera

bezbednosti, incidente, rezultate merenja efektivnosti, predloge i povratne informacije

od svih zainteresovanih strana,

• Meri efektivnost kontrola zbog verifikacije da su zahtevi za bezbednost ispunjeni,

• Preispituje ocenjivanje rizika u planiranim intervalima,preispituje preostali rizik i

uočava prihvatljive nivoe rizika

• Sprovodi interne provere ISMS-a u planiranim intervalima,

• Preduzima redovno preispitivanje ISMS-a od strane rukovodstva da bi se obezbedilo

da područje primene ostane odgovarajuće i da se uoče poboljšanja procesa ISMS-a,

• Ažurira planove bezbednosti uzimajući u obzir rezultate praćenja i preispitivanja,

• Zapisuje aktivnosti i događaje koji mogu imati uticaj na efektivnost ili performanse

ISMS-a.

PDCA model upravljanja – CHECK

Da bi se održavao i poboljšavao ISMS organizacija je dužna da:

• Implementira i uoči poboljšanja u ISMS-u,

• Preduzima odgovarajuće korektivne i preventivne mere i primenjuje znanja

stečena iz sopstvenih iskustava i iz iskustava o bezbednosti drugih organizacija,

• Saopšti mere i poboljšanja svim zainteresovanim stranama onoliko detaljno

koliko to odgovara okolnostima i ako je odgovarajuće, utvrđuje kako nastaviti

te aktivnosti,

• Osigurava da poboljšavanja dostignu predviđene ciljeve .

PDCA model upravljanja – ACT

Serija standarda ISO/IEC 27000 daje smernice i dobre prakse za dizajniranje,

implementaciju i proveru sistema za upravljanje bezbednost informacija (ISMS) sa ciljem

zaštite poverljivosti, integriteta i dostupnosti informacija.

Standardi su potekli iz Velike Britanije, u DTI (Department of Trade and Industry), sa

ciljem definisanja kriterija za procenu informacijske bezbednosti i kreiranja pravila dobre

prakse (Code Of Good Practice).

• 1995. godine usvojen prvi standard, BS 7799, koji krajem 2000. godine postaje

ISO/IEC 17799. Taj standard je revidiran 2005. godine.

• Nakon toga je ISO komitet JTC1/SC27 pokrenuo razvoj i usvajanje serije standarda

27000.

• 1998. godine BSI je izdao drugi deo standarda, BS7799-2, koji je sadržao specifikacije

ISMS, a koji je kasnije postao ISO/IEC 27001

• 2007. godine je ISO/IEC 17799 preimenovan u ISO/IEC 27002

Istorija standarda informacijske bezbednosti

Šta je ISO/IEC 27001?

• ISO/IEC 27001 je međunarodni standard koji se odnosi na zaštitu i bezbednost

informacija. Standard podleže različitim područjima primene kao i za razlikovanje

mogućih procesa u organizaciji koji su povezani sa menadžemntom kontrole

bezbednosti kao sto su: politika bezbednosti, bezbednost organizacije, kontrola i

klasifikacija izvora, bezbednost osoblja, bezbednost materijalnih dobara i životne

sredine, operativno upravljanje i komunikacija, kontrola pristupa, razvoj i održavanje

raznih sistema i upravljanje kontinuitetom poslovanja.

Ova serija obuhvata standarde koji:

• definišu zahteve za ISMS kao i zahteve za tela koja sertifikuju ISMS;

• obezbeđuju podršku, detaljna uputstva i instrukcije za celokupan proces planiraj-

uradi-proveri-deluj (Plan-Do-Check-Act);

• daju specifična sektorska uputstva za ISMS i ocenjivanje usaglašenosti za ISMS.

ISO/IEC 27000 – Sistem menadţmenta

bezbednošću informacija

Kome je ISO/IEC 27001 namenjen i zašto?

• Standard ISO/IEC 27001 je značajan standard za organizacije koje se bave uslugama u

oblastima koje su na bilo koji način povezane sa Informacionim tehnologijama i

potrebom za očuvanje poverljivosti informacija.

• Njegova implementacija i primena omogućavaju bolju saradnju sa sličnim

organizacijama širom sveta koje posluju po ovom modelu.

• Ovim standardom, organizacije demonstriraju svojim korisnicima i ostalim

zainteresovanim stranama da posluju sa poslovnim procesima na bazi principa

bezbednosti i da je poslovna politika usmerena na stalna poboljšavanja u sistemu

menadžmenta za bezbednost informacija i procesima pružanja usluga povezanim sa

njim.

ISO/IEC 27000 – Sistem menadţmenta

bezbednošću informacija

Implementacija sistema zaštite i bezbedosti informacija pruža uverenje korisnicima i

poslovnim partnerima da se prema informacijama postupa odgovorno i da se one koriste i

distribuiraju profesionalno i bezebedno.

Prednosti ISO/IEC 27001:

• konkurentska prednost,

• smanjenje rizika od oštećenja i

• gubitka informacija, a samim tim i troškova,

• usaglašenost sa važećim zakonskim propisima,

• veće poverenje klijenata, zaposlenih, saradnika,

• institucija i svih zainteresovanih strana zbog znanja da su njihovi podaci bezbedni,

• postojanje odgovornosti za bezbednost informacija od strane svih i na svim nivoima u

organizaciji.

ISO/IEC 27000 – Sistem menadţmenta

bezbednošću informacija

• Formulisanje bezbednosnih zahteva i ciljeva u organizaciji;

• Osiguranje da se rizicima može efikasno i ekonomično upravljati;

• Osiguranje usklađenosti sa zakonima i pravilima;

• Okvirni proces za implementaciju i upravljanje kontrolama da bi se postigli specifični

ciljevi bezbednosti organizacije;

• Definisanje novih procesa za menadžment bezbednošću informacija;

• Određivanje statusa aktivnosti menadžment bezbednošću informacija;

• Interne i eksterne proverem s ciljem demonstriranja usvojenih politika, direktiva i

standarda bezbednosti informacija, odnosno utvrđivanja stepena usklađenosti s tim

politikama, direktivama i standardima;

• Implementacija poslovanja s implementiranom bezbednošću informacija;

• Obezbjeđivanje relevantnih informacija kupcima o bezbednosti informacija.

Svrha primene standarda ISO/IEC 27001

Sadrţaj i zahtevi standarda ISO/IEC 27001

• Uvod

• Predmet i područje primene

• Normativne reference

• Termini i definicije

• Sistemi menadžmenta bezbednošću

informacija

• Odgovornost menadžmenta

• Interne provere ISMS

• Provera ISMS od strane

menadžmenta

• Poboljšanje ISMS

• Aneks A (normativni) Ciljevi kontrole i

kontrole

• Aneks B (informativni) OECD principi i

ovaj međunarodni standard

• Aneks C (informativni) Podudarnosti

između ISO 9001:2000, ISO

14001:2004 i ovog međunarodnog

standarda

• Problemi bezbednosti i zaštite podataka su svakako jedna od najvećih prepreka bržem

širenju e-poslovanja. Za kriminalce, Internet je stvorio čitav niz novih i veoma

unosnih načina krađe od više od milijardu korisnika Interneta širom sveta, od

proizvoda i usluga do novca i informacija. Manje je rizično krasti on-line, sa bezbedne

udaljenosti i gotovo anonimno.

• Serija standarda ISO/ICE 27000, daju jedan harmonizovani pristup upravljanju

rizicima kojima su izložene informacione vrednosti u organizaciji kroz razvoj,

implementaciju i održavanja odnosno menadžment sistema za bezbednost informacija

(Information Security Menagment System – ISMS).

• Standardom ISO/IEC 27000 se, u cilju uspostavljanja sveobuhvatnog sistema zaštite

informacionih resursa, determiniše sistem za zaštitu informacija, odgovornost

rukovodećih ljudi, determinišu procedure unutrašnje provjere sistema za zaštitu

informacija, zatim procedure provere valjanosti sistema za zaštitu informacija, te

procedure vezane za poboljšanja na sistemu za zaštitu informacija.

Zaključci