Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih...
Transcript of Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih...
![Page 1: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/1.jpg)
Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku
![Page 2: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/2.jpg)
ISO 27001 – izazov implementacije
sigurnosnih kontrola
Dalibor Uremović, Andro Galinović
KING ICT d.o.o.
![Page 3: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/3.jpg)
Generalni sponzori
Sponzori
Partner konferencije
![Page 4: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/4.jpg)
![Page 5: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/5.jpg)
Sadržaj
oZašto uvodimo ISMS
oGdje “leže” problemi uvoĎenja ISMS-a
oKako rješavamo najčešće probleme
oRješavanje kontrola Microsoft-ovim
tehnologijama
![Page 6: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/6.jpg)
Razlozi za uvoĎenje ISMS-a
oOsiguranje ključnih poslovnih procesa,
oCertifikacija prema ISO/IEC 27001:2005,
oReputacija,
oPovećanje kreditnog rejtinga,
oZahtjevi vlasnika (Grupe),
oZakon o informacijskoj sigurnosti,
oOdluka HNB-a o primjerenom upravljanju
informacijskim sustavom,…
![Page 7: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/7.jpg)
Faze uvoĎenja ISMS-a
oPlaniranje – PLAN faza
oSnimke procesa,
oOdreĎivanje opsega,
oPopis informacijske imovine,
oProcjena rizika
oNačin i plan obrade rizika
oIzrada SOA dokumenta
![Page 8: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/8.jpg)
Faze uvoĎenja ISMS-a
oProvedba – DO faza
oIzrada obavezne ISMS dokumentacije
oProvedba edukacije
oImplementacija kontrola i
nadzornih mehanizama
![Page 9: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/9.jpg)
Faze uvoĎenja ISMS-a
oNadzor – CHECK faza
oMjerenje učinkovitosti primijenjenih
mjera
oRevizije sustava
oInterna revizija
oVanjska revizija
![Page 10: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/10.jpg)
Faze uvoĎenja ISMS-a
oUnaprjeđenje – ACT faza
oKorektivne mjere
oPreventivne mjere
oRevizija ciljeva ISMS-a
![Page 11: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/11.jpg)
DO faza najveći problem - zašto
oDo sad se pričalo, analiziralo i planiralo
oSad je potrebno MIJENJATI
o IT sustave - tehničke kontrole
o Načine rada - proceduralne kontrole
o Organizaciju - nove odgovornosti
oSvaka promjena košta (€, vrijeme, ljudi)
oOtpor promjenama je dio ljudske prirode
![Page 12: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/12.jpg)
DO faza - najčešće greške
oISO/IEC 27002 kontrole vrlo općenite
oNe postoje jasne smjernice za
implementaciju kontrola
oČesto:
o se pribjegava stranim praksama,
o se krene preširoko i preambiciozno,
o se krene u provedbu bez potrebne podrške,
o sve izgleda nedostižno.
![Page 13: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/13.jpg)
Najproblematičnija područja
Kontrola pristupa
Upravljanje dokumentacijom
Upravljanje zapisima
Upravljanje zakrpama i nadogradnjama
Upravljanje promjenama
Upravljanje sigurnosnim incidentima
Održavanje popisa informacijske imovine
Alat za procjenu rizika
Upravljanje kontinuitetom poslovanja
Kontrola pristupa
Kontrola pristupa
![Page 14: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/14.jpg)
Kontrola pristupa
o Mnoštvo aplikacija, baza, operativnih sustava i veza
meĎu njima
o Pitanje: Kojim sve sustavima djelatnik X ima pristup
u ovom trenutku?
o Odlazak zaposlenika iz tvrtke, promjena radnog mjesta,
zamjena aplikacija, privremena dodjela (bolovanja,
godišnji odmori), veze meĎu aplikacijama
o Testni sustavi – najbolnija točka
o Nitko periodično ne provjerava korisnička prava
o Odgovornost? Tko odreĎuje prava?
![Page 15: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/15.jpg)
Kontrola pristupa
oProblemi pri implementaciji:
oUkoliko se ide na “papirnate” obrasce – puno
zapisa, zaborav nakon nekog vremena,
overhead za IT djelatnike
oPopis svih pristupnih točaka (uloge, sustavi,
djelatnici, …)
oTehničko rješenje – dugotrajno, skupo,
obuhvaćen mali dio sustava (zbog potrebe za
konektorima) - IAM
![Page 16: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/16.jpg)
Kontrola pristupa
oMS podrška:
oActive Directory
oIdentity Life Cycle Manager
oDokumenti:
oProcedura za upravljanje korisničkim pravima
pristupa
oObrasci dodjele i ukidanje prava
oZapisi periodične provjere prava pristupa
![Page 17: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/17.jpg)
Najproblematičnija područja
Kontrola pristupa
Upravljanje dokumentacijom
Upravljanje zapisima
Upravljanje zakrpama i nadogradnjama
Upravljanje promjenama
Upravljanje sigurnosnim incidentima
Održavanje popisa informacijske imovine
Alat za procjenu rizika
Upravljanje kontinuitetom poslovanja
Upravljanje dokumentacijom
Upravljanje dokumentacijom
![Page 18: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/18.jpg)
Upravljanje dokumentacijom
o Jedna od rijetkih obaveznih stvari (zahtjev
norme)
oSve više dokumentacije, kompleksnost
održavanja
oDjelatnici ne znaju da dokumentacija uopće
postoji, procedura brzo padne u zaborav
oDistribucija i povlačenje kopija
oNajčešće potrebna dedicirana osoba
o Implementacija “normalnog” rješenja
podrazumijeva – DMS
![Page 19: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/19.jpg)
Upravljanje dokumentacijom
oMS podrška:
oSharePoint Server
oRights Management Services
oDokumenti:
oProcedura za upravljanje dokumentima i
zapisima
oGlavni popis dokumenata
oPredlošci dokumenata i zapisa
![Page 20: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/20.jpg)
Najproblematičnija područja
Kontrola pristupa
Upravljanje dokumentacijom
Upravljanje zapisima
Upravljanje zakrpama i nadogradnjama
Upravljanje promjenama
Upravljanje sigurnosnim incidentima
Održavanje popisa informacijske imovine
Alat za procjenu rizika
Upravljanje kontinuitetom poslovanja
Upravljanje zakrpama i nadogradnjama
Upravljanje zapisima
Upravljanje zapisima
![Page 21: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/21.jpg)
Upravljanje zapisima
o velik popis aplikacija, operativnih sustava,
mrežnih ureĎaja...
o “home made” aplikacije, zastarjele aplikacije za
koje nema podrške
o količina podataka – kako to obraditi odnosno što
će vam to? (preventivno i korektivno)
o čuvanje zapisa (zakoni)
oMS podrška: MS System Center Operations
Manager
![Page 22: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/22.jpg)
Upravljanje zakrpama i nadogradnjama
o nedostatak vremena – “PM je overhead!”
o istraživanje ranjivosti
o raspoloživost zakrpa
o ispitivanje primjenjivosti na sustave
o frekvencija izdavanja zakrpa
o procedura testiranja prije krpanja
oSC Configuration Manager, SC Essentials,
Windows Server Update Services
![Page 23: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/23.jpg)
Najproblematičnija područja
Kontrola pristupa
Upravljanje dokumentacijom
Upravljanje zapisima
Upravljanje zakrpama i nadogradnjama
Upravljanje promjenama
Upravljanje sigurnosnim incidentima
Održavanje popisa informacijske imovine
Alat za procjenu rizika
Upravljanje kontinuitetom poslovanja
Upravljanje promjenama
Upravljanje promjenama
![Page 24: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/24.jpg)
Upravljanje promjenama
oDobro poznati pojam iz ITIL-a, CobiT-a,
SDLC-a, MOF,...
oMnogo naziva change management, change control,
configuration management, release management
o Temelj svih je umanjenje potencijalnih problema
prilikom promjene ili uvoĎenja novih tehnologija i
sustava
oPrincipi koji vrijede sve od patch management-a do
zamjene legacy sustava novim sustavom
![Page 25: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/25.jpg)
Upravljanje promjenama
oUključuje postupke (pisane i nepisane
procedure), tehnologije (alate), zapise (obrasce,
RFC, odluke, trenutna stanja) i odgovornosti
(change manager, change control analyst,...)
o ISO kaže da se proces mora tako implementirati
da se ne unose nove nekontrolirane ranjivosti u
sustave
oOvo ne znači implementacija ITIL-a ili CobiT-a
![Page 26: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/26.jpg)
Upravljanje promjenama – KAKO?
oPostupci, zapisi i odgovornosti oIdentificirati i proanalizirati postojeće neformalne
postupke
oIdentificirati poboljšanja (ugledati se na druge)
oIzradi formalne i pismene procedure
oDefinirati workflow koji će osigurati provedbu istih
oSharePoint sa svojom workflow podrškom je
idealna tehnologija za implementaciji
ili budući System Centar Service Manager
![Page 27: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/27.jpg)
Upravljanje promjenama – KAKO?
oTehnologije
oZa testiranje i Quality Assurance
oSystem Center Virtual Machine Manager & Virtual
Server
oZa uniformnu distribuciju, instalaciju i
nadogradnju softvera (Software Update
Management, Software Distribution, Patch
management)
oSystem Center Configuration Manager
![Page 28: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/28.jpg)
Najproblematičnija područja
Kontrola pristupa
Upravljanje dokumentacijom
Upravljanje zapisima
Upravljanje zakrpama i nadogradnjama
Upravljanje promjenama
Upravljanje sigurnosnim incidentima
Održavanje popisa informacijske imovine
Alat za procjenu rizika
Upravljanje kontinuitetom poslovanja
Upravljanje sigurnosnim incidentima
Upravljanje sigurnosnim incidentima
![Page 29: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/29.jpg)
Upravljanje sigurnosnim incidentima
oIznimno bitan dio upravljanja
informacijskom sigurnošću
Prepoznati
Zabilježiti
Upravljati Naučiti
Educirati
![Page 30: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/30.jpg)
Upravljanje sigurnosnim incidentima
oRadne upute
oZa zaposlenike, IT administratore, Help desk
operatere
oBaza znanja
oZa ljude i sustave (automatsko prepoznavanje)
oProblem management
oUniformirani način prijave
oPrijave i zapisi - Issue Logs
oPostupak rješavanje – workflow
oProcedure i odgovornosti
![Page 31: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/31.jpg)
Upravljanje sigurnosnim incidentima
orepozitorij dokumenata
obaza znanja
oissue logs
oworkflow
otaskovi
oAutomatsko prepoznavanje kroz incidenta
System Center Operations Manager
oDo 2010 System Centar Service Manager
SharePoint
(MOSS)
![Page 32: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/32.jpg)
Najproblematičnija područja
Kontrola pristupa
Upravljanje dokumentacijom
Upravljanje zapisima
Upravljanje zakrpama i nadogradnjama
Upravljanje promjenama
Upravljanje sigurnosnim incidentima
Održavanje popisa informacijske imovine
Alat za procjenu rizika
Upravljanje kontinuitetom poslovanja
![Page 33: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/33.jpg)
Održavanje popisa informacijske imovine
oOdržavanje popis informacijske imovine
(engl. asset registar)
oAko je organizacija veća alat je obavezan!
oIdealni alat – pruža ažurnost
o automatska nadopunu hardvera i softvera
o ručna nadopuna kritičnih informacija i lokacija
o distribuirani ručni unos
o praćenje CIA parametra
o integracija sa alatom za procjenu rizika
Takav ne postoji!!
![Page 34: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/34.jpg)
Održavanje popisa informacijske imovine
oOno što nam može pomoći je neka vrsta
CMDB-a
oAžurni popis HW i SW je ½ posla
oPrestaju kritične informacija i lokacije
oAR se koristi prilikom upravljanja rizikom
onije nužno da bude ažuran cijele godine
(makar je preporučljivo)
![Page 35: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/35.jpg)
Održavanje popisa informacijske imovine
oSystem Center Configuration Manager,
Operations Manager i Active Directory,
mogu pomoći u održavanju jednog dijela
popisa imovine
oSystem Centar Service Manager će
donijeti CMDB
oNaravno ostaju karakteristični ISMS
atributi: CIA parametri i katalog informacija
![Page 36: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/36.jpg)
Alat za procjenu rizika
oOdabir/implementacija alata za procjenu
rizika
osvaki alat ujedno diktira metodologiju procjene
rizika
omali broj alata je projektirano za ISO27001
ovećina je preorijentirana za potrebe ISO27001
oViše-manje svi imaju integrirani popis imovine
oMnogi kažu “ensures ISO 27001 compliance”
![Page 37: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/37.jpg)
Upravljanje kontinuitetom poslovanja
oUpravljanje kontinuitetom poslovanja
(BCM) je iznimno opširno područje koje
uvijek nadilazi IT i informacijsku sigurnost
oISO traži
ointegraciju informacijske sigurnosti u BC
procese
oAnalizu posljedica kriznih situacija na IS
oRazvoj i testiranje planova koji vode računa
od IS
![Page 38: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/38.jpg)
Upravljanje kontinuitetom poslovanja
oOvo NE znači
opokretanje novog projekta,
opovećanje opsega šire od ISMS-a
oimplementaciju kriznog stožera i testiranje
preseljenja uredske opreme u nedjelju ujutro,
oizrada alternativnog datacentra
![Page 39: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/39.jpg)
Upravljanje kontinuitetom poslovanja
oOvo znači:
oprovedbu analize utjecaja na poslovanje (BIA)
i procjenu rizika – najlakše prevesti
istovremeno sa ISMS procjenom rizika
odefiniranje opsega, strategije i odgovornosti
za BCM u skladu sa prevedenom analizom
oIzradu, održavanje i testiranje planova
oporavka
oIzradu plana za upravljanje oporavkom
(framework-a ili master plana)
![Page 40: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/40.jpg)
Zaključak
oISO 27001 se temelji na najboljima i
provjerenim praksama, ali se takoĎer
poziva na mnoge druge najbolje praske
oNe mora svaka kontrola biti novi jednako
složeni projekt
oTreba se ići korak po korak, postepena
nadogradnja
oTreba pronaći i iskoristiti ono dobro i
poznato u organizaciji!
![Page 41: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/41.jpg)
![Page 42: Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku · oOsiguranje ključnih poslovnih procesa, oCertifikacija prema ISO/IEC 27001:2005, o Reputacija, ... oOtpor promjenama](https://reader033.fdocument.pub/reader033/viewer/2022041817/5e5b7bc87d25ab7c924eb974/html5/thumbnails/42.jpg)
HVALA!