05. razvoj isms menadzment sistema
DESCRIPTION
razvojTRANSCRIPT
-
PROJEKTOVANJE MENADMENT
SISTEMA ZATITE INFORMACIJA
Razvoj menadment sistema zatite
informacija (ISMS-a)
- ISO 27001:2005 -
-
Sadraj
Standardi za menadment sistem zatite
informacija:
ISO 17999:2005 (BS 7799-1) i
ISO 27001:2005 (BS 7799-2)
Sadre proirljivu kolekciju mera koje
zadovoljavaju zahteve najbolje prakse zatite informacija
Univerzitet Singidunum
Tehniki fakultet
2
-
ISMS
Standard ISO 17799:2005 (ISO/IEC 27002:2007):
specificira mere najbolje prakse zatite
informacija.
Standard ISO 27001:2005:
formira bazu za procenu ISMS-a koja se
moe usvojiti za formalnu proceduru za sertifikaciju.
Univerzitet Singidunum
Tehniki fakultet
3
-
Primer: Evolucija ISMS-a
ISO/IEC 27002:2007 ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
4
-
Primer: Razvoj ISO standarda zatite informacija
Dinamika razvoja ISO 27001 i ISO 27002 standarda
Univerzitet Singidunum
Tehniki fakultet
5
-
Struktura ISO 27001:2005
ISO/IEC 27001 - Uvod
Standard ISO/IEC 27001 Menadment sistem
zatite informcija - Specifikacija smernica za
upotrebu obuhvata:
pitanja bazinog menadment sistema i
obezbeuje model za implementaciju i upravljanje
efektivnog ISMS-a
Tok procesa ISMSUniverzitet Singidunum
Tehniki fakultet
6
-
Kljune oblasti ZAHTEVA STANDARDA:
1. Menadment sistem zatite informacija (ISMS)
(poglavlje 4)
2. Odgovornosti menadmenta (poglavlje 5)
3. Interna provera (audits) ISMS-a (poglavlje 6)
4. Menaderski pregled ISMS-a (poglavlje 7)
5. Poboljanje ISMS-a (poglavlje 8)
ISO/IEC 27001:2005
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
7
-
Standard sadri tri aneksa:
A: Ciljevi i mehanizmi kontrola zatite
Anex A ISO 27001
B: OECD-principi i ISMS standard
Anex A ISO 27001
C: Komparativna analiza ISO 9001 i 14001
Anex A ISO 27001
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
8
-
ISMS - Plan-Do-Check-Act model procesa
Model procesa PDCA(Planiraj, Primeni, Proveri, Poboljaj):
deo pristupa menadment sistemu za razvoj,
implementaciju i neprekidno poboljanje ISMS-a
predstavlja najznaajniju sutinsku promenu u
revidiranoj verziji ISO/IEC 27001:2005
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
9
-
ISMS - Plan-Do-Check-Act
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
10
-
1. PDCA - Faza Planiranja ISMS-a
Kljuni procesi ISMS faze planiranja su:
Uspostavljanje politike zatite
Odreivanje strategijskih ciljeva zatite
Implementacija procesa i akcija relevantnih
za menadment rizika
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
11
-
2. PDCA - Faza Primene ISMS-a
Kljuni procesi faze primene je:
Implementacija politike zatite
Implementacija kontrola zatite
Integracija procesa i akcija za kontrolu
ISMS-a
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
12
-
3. PDCA Faza Provere ISMS-a
Kljuni procesi faze provere su:
procena procesa zatite i (po potrebi)
merenje performansi procesa zatite u
poreenju sa:
politikom zatite,
ciljevima zatite i
steenim praktinim iskustvima
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
13
-
4. PDCA - Faza Poboljanja ISMS-a
Kljuni procesi faze delovanja su:
monitoring i odravanje
neprekidno poboljanje ISMS-a
preduzimanje korektivnih mera
preduzimanje preventivnih mera, na
bazi interne i menaderske provere.
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
14
-
Provera usaglaenosti i sertifikacija
Proces provere usaglaenosti za
dobijanje ISO/IEC 27001:2005
sertifikata je strogo regulisan
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
15
-
ISMS sertifikacija
Sertifikaciju mogu izvoditi samo posebno
akreditovana sertifikaciona tela
Akreditaciju sertifikacionih tela u EU daju: nacionalna akreditaciona tela
u skladu sa EA 7/03 Evropske kooperacije
za akreditaciju
Primer: TGA u Nemakoj; TV Thringen Nemaka, od 31.12.2006.
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
16
-
ISMS akreditacija
Nacionalna tela za akreditaciju sklapaju:
uzajamne sporazume o priznavanju
izdatih sertifikata u drugim zemljama
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
17
-
Po pravilu procena ISMS-a treba da se
izvri barem u dva koraka:1. Interna provera2. Sertifikaciona provera
Struktura ISO 27001:2005
Procena metodi provere ISMS-a
Univerzitet Singidunum
Tehniki fakultet
18
-
Pregled dokumenata pre provere nalokaciji
Ciljevi provere u koraku 1:
identifikovati kljune take za planiranje
provere u koraku 2
definisati obim ISMS sertifikacije
Korak 1: Provera
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
19
-
Osnovni uslov za sertifikaciju: da je ISMS ve implementiran, barem 6
meseci
Aktivnosti u koraku 2 provere: Definisati plan provere 2 na bazi rezultata
provere u koraku 1
Proveru uvek izvriti na lokaciji klijenta
Korak 2: Sertifikaciona provera (audit)
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
20
-
Struktura ISO 27001:2005
Zahtevi za proveravaePored optih zahteva, proveravai treba da ispune sledee kvalifikacije:
univerzitetsku diplomu ili veliko radno
iskustvo sa naprednom profesionalnom
obukom
sa najmanje 4 godine iskustva punog radnog
vremena u IKT sistemima i
najmanje 2 godine iskustva u oblasti zatite
Univerzitet Singidunum
Tehniki fakultet
21
-
Struktura ISO 27001:2005
Anex A: Kontrole zatite
Standard sadri 39 familija i 134 kontrole zatite
ISO/IEC 27001 nudi 134 kontrole u Annex A: Kontrole koje se odnosne na IT: 46%
Kontrole koje se odnose na organizaciju i dokumentaciju: 30%
Kontrole koje se odnose na fiziku zatitu: 9%
Kontrole koje se odnose na zakonsku zatitu: 6%
Kontrole koje se odnose na snabdevae i ponaanja: 5%
Kontrole koje se odnose na personalnu zatitu: 4%
ISO/IEC 27001 - za izradu politike i procedura zatite:
ciljevi kontrole indiciraju namenu
detalji kontrole generiu saoptenja politike i detalje procedura
za postizanje te namene
Univerzitet Singidunum
Tehniki fakultet
22
-
Komplementarnost sa drugim standardima
Svaki meunarodni ili nacionalni standard najbolje prakse:
nije sam dovoljan za specifinu organizaciju i kontekst
zahteva prilagoavanje specifinim uslovima
zahteva uvoenje komplementarnih standarda
ISO/IEC 27001 za ISMS komplementaran je sa:
ISO/IEC 9001:2000 za menadment kvaliteta i
ISO/IEC 14001 za upravljanjem ivotnom okolinom
Anex C ISO 27001
ISO/IEC 21827 (SSE CMM) - zrelosti procesa zatite,
ISO/IEC 13335 i NIST SP serije
Tabela DUniverzitet Singidunum
Tehniki fakultet
23
-
Komplementarnost sa drugim standardima -1
ISO/IEC 27001 je harmonizovan sa drugim
menadment sistemima sa ciljem:
konzistentne i integrisane implementacije i
rada menadment sistema organizacije
Primena ISMS standarda sa drugim menadment
standardima u organizaciji zahteva:
program usaglaavanja menadment sistema
u jedan menadment sistem:
TQM (Total Quality Management) sistem
Univerzitet Singidunum
Tehniki fakultet
24
-
Primer: Komplementarnost PDCA sa drugim standardima
Primena
Poboljanje
Univerzitet Singidunum
Tehniki fakultet
25
-
Struktura ISO/IEC 27002:2005
ISO/IEC 27002:2005 - Code of Practice for Information
Security Management:
meunarodno priznate smernice za menadment sistem
zatite informacija (ISMS)
sadri skup preporuka za procedure i metode najbolje
prakse zatite (ve dokazne u praksi)
obezbeuje uvid u kontrole za zatitu informacione imovine
ne ukljuuje KAKO se kontrole primenjuju
procedure za implementaciju kontrola zatite:
zadatak svake organizacije,
zavisi od konteksta, fizikog i tehnikog okruenja
ISO27k ISO IEC 27002 outlineUniverzitet Singidunum
Tehniki fakultet
26
-
Struktura ISO/IEC 27002:2005
Usaglaenost politike zatite sa poslovnim ciljevima i
misijom organizacije
Akcije usaglaene sa kulturom rada organizacije
Obezbeena podrka menadmenta organizacije
Dobro razumevanje bezbednosnih zahteva, procene
rizika i menadmenta rizika
Efektivni marketing zatite informacija za poveanje
svesti o potrebi i osetljivosti informacione imovine
Faktori uspeha implementacije ISMA-a:
Univerzitet Singidunum
Tehniki fakultet
27
-
Struktura ISO/IEC 27002:2005
Svi relevantni uesnici su upoznati sa tekuim
smernicama i regulativama zatite informacija
Budet za menadment sistem zatite informacija
postoji
Izvrena obuka svih relevantnih uesnika
Uspostavljen efektivan proces za menadment
kompjuterskog incidenta
Postoji sistem za rangiranje i poboljanje ISMS-a
Faktori uspeha implementacije ISMA-a(1):
Univerzitet Singidunum
Tehniki fakultet
28
-
Struktura ISO/IEC 27002:2005
ISO 27002 sadri 12 sekcija ciljeva i 137 kontrola zatite:1. procena i tretmana rizika (2)*
2. politika zatite (1) 2 kontrole zatite
3. organizacija zatite informacija (2) -11 kontrola zatite
4. menadment imovine organizacije (2) 5 kontrola zatite
5. zatita ljudskih resursa (3) 9 kontrola zatite
6. fizika zatita i zatita okruenja (2) 13 kontrola zatite
7. menadment komunikacija i operacija zatite (10) 32 kontrole z.
8. kontrola pristupa (7) 25 kontrola zatite
9. akvizicija, razvoj i odravanje IKT sistema (6) 16 kontrola zatite
10. menadment bezbednosnog incidenta (2) 5 kontrola zatite
11. menadment kontinuiteta poslovanja (1) 5 kontrola zatite
12. usaglaenost (3) 10 kontrola zatite
(*) broj ciljeva zatite u poglavlju
Svako cilj zatite ime odreeni broj kontrola zatiteUniverzitet Singidunum
Tehniki fakultet
29
-
Primer: Struktura standarda ISO 27002:2005 Sadri 11 oblasti upravljanja sa 39 ciljeva zatite
Univerzitet Singidunum
Tehniki fakultet
30
-
Struktura ISO/IEC 27002:2005
2. Politika zatite informacija Slui za uspostavljanje strateke orijentacije i
dokumentacije menaderske podrke u odnosu na sve
faktore (komponente) informacione bezbednosti
Dokument politike pisan razumljivim jezikom na
visokom nivou apstrakcije
Politika - koncizna i usmerena na ciljne grupe
korisnika
Menaderska kontrola politike
1. Procena i tretman rizika (polazni zahtev)
Prema standardu ISO/IEC 27005
Univerzitet Singidunum
Tehniki fakultet
31
-
Struktura ISO/IEC 27002:2005
3. Organizacija informacione bezbednosti
Uspostavlja odgovarajui okvir za ISMS
(SMF) koji obezbeuje:
metode, procedure i procese za
inicijaciju, implementaciju odravanje i
monitoring sistema zatite informacija
organizacije
Univerzitet Singidunum
Tehniki fakultet
32
-
Struktura ISO/IEC 27002:2005
4. Menadment informacione imovine
Da bi se postigla adekvatna zatita
informacione imovine organizacije potrebno je:
jasno identifikovati kritinu i drugu
informacionu imovinu
izraditi inventar informacione imovine
Univerzitet Singidunum
Tehniki fakultet
33
-
Struktura ISO/IEC 27002:2005
5. Personalna zatita
Ova komponenta zatite slui za redukciju: rizika od ljudskih greaka
krae informacija ili
zloupotrebe IKT sistema
6. Fizika i zatita okruenja
Uspostavljanjem zona bezbednosti spreava se:
neovlaeni pristup
oteenje fizika imovine
oteenje i kraa informacija organizacije Univerzitet Singidunum
Tehniki fakultet
34
-
Struktura ISO/IEC 27002:2005
7. Menadment komunikacija i operacija
a) Obezbeuje bezbedno i korektno procesiranje
b) Menadment servisa koje izvravaju TTP
provajderi usluga
c) Minimizira rizike u sluaju kvara ili pada
sistema kroz planiranje i tehniku proveru
sistema
Univerzitet Singidunum
Tehniki fakultet
35
-
Struktura ISO/IEC 27002:2005
7. Menadment komunikacija i operacija (1)
d) Integracija zatite informacija i softvera
e) Integritet i raspoloivost IKT sistema kroz
pogodne procedure bekapovanja
f) Zatita informacija u mreama i mrenoj
infrastrukturi
Univerzitet Singidunum
Tehniki fakultet
36
-
Struktura ISO/IEC 27002:2005
7. Menadment komunikacija i operacija (2)
g) Spreavanje oteenja imovine i nefunkcionalnog
rukovanja medija
h) Spreavanje gubitka, izmene ili zloupotrebe
razmenjivanih informacija
i) Garantuje bezbednost servisa e-trgovine
j) Garantuje prepoznavanje neovlaenih aktivnosti
Univerzitet Singidunum
Tehniki fakultet
37
-
Struktura ISO/IEC 27002:2005
8. Kontrola pristupa
Ova komponenta zatite odnosi se na:
znaaj testiranja i monitoringa mera za
kontrolu pristupa informacijama i sistemima
bezbednost i zatitu od zloupotrebe internih
korisnika ili spoljnih napadaa
Univerzitet Singidunum
Tehniki fakultet
38
-
Struktura ISO/IEC 27002:2005
9. Akvizicija, razvoj i odravanje IKT sistema
Pre razvoja sistema za procesiranje informacija:
treba identifikovati i
usaglasiti bezbednosne zahteve
Univerzitet Singidunum
Tehniki fakultet
39
-
Struktura ISO/IEC 27002:2005
10.Menadment kompjuterskog incidenta
Menadment kompjuterskog incidenta treba da
sadri:
pogodne procese za izvetavanje, eliminaciju
i praenje kompjuterskog bezbednosnog
incidenta
zatitu dokaza o kompjterskom incidentu (?)
Univerzitet Singidunum
Tehniki fakultet
40
-
Struktura ISO/IEC 27002:2005
11. Menadment kontinuiteta poslovanja
Ova komponenta zatite treba da uspostavi:
preventivne i reaktivne mere zatite od
prekida poslovnih aktivnosti i kritinih poslovnih
procesa
zatitu od uticaja prekida aktivnosti i
vanrednih dogaaja
Univerzitet Singidunum
Tehniki fakultet
41
-
Struktura ISO/IEC 27002:2005
12. Usaglaenost
Ova oblast sistema zatite informaija obuhvata:
usaglaenost sa legalnim zahtevima
pregled kvaliteta politike zatite
uasaglaenost sa tehnikim standardima i
razmatranje revizije i sertifikacije sistema
Univerzitet Singidunum
Tehniki fakultet
42
-
ISO 27001 : ISO 27002
ISO/IEC 27001 predstavlja ISMS:
kako uspostaviti (procedure) menadment sistem zatite informacija
psvesti o potrebi zatite, organizacione infrastrukture, plana,
implementacije i odravanja kontrola zatite roces za uspostavljanje
nije skup procedura koje obuhvataju sve kontrole zatite
ISO/IEC 27002 predstavlja uputstvo za ciljeve i specifikaciju kontrola:
ta treba (tj., lista kontrola zatita) uraditi da se informacije zatite
retko organizacije trae sertifikaciju za ISO/IEC 27002
uobiajeno se sertifikuju za ISMS (ISO/IEC 27001)
Annex A ISO/IEC 27001 sadri iste kontrole zatite kao ISO/IEC 27002
samo sa skraenim opisom
Oba standarda implementirana zajedno dovode do ISMS sertifikacije
Univerzitet Singidunum
Tehniki fakultet
43
-
Zajednike karakteristike
standarda menadment sistema
Svi su zasnovani na angaovanju mendmenta
Definiu odgovornosti
Zahtevaju: kontrolu dokumenata
upravljanje zapisima
obuku
menadersku proveru (reviziju)
internu proveru
Univerzitet Singidunum
Tehniki fakultet
44
-
Zajednike karakteristike
standarda menadment sistema (1)
Korektivne i preventivne aktivnosti
Opti PDCA model za implementaciju i operativni rad
Procesi provere (audit) na bazi standarda ISO 19011:2002,
Guidelines on Quality and/or Environmental Management
System Audit
Zahtevi zasnovani na slinim standardima
Sertifikaciono telo odgovorno za verifikaciju kompetencija
proveravaa (auditor)
Univerzitet Singidunum
Tehniki fakultet
45
-
SMF - okvir menadmenta zatite informacija
ISMS preporuke treba prilagoavati konkretnoj organizaciji
Prvi korak je razvoj specifinog SMF-a (Security Management
Framework) organizacije koji:
Generie okvir za definisanje svih bezbednosnih pitanja organizacije
Obezbeuje nacrt za definisanje diskusija, planova implementacije, praenja i
izvetavanja svih pitanja zatite relevantnih za organizaciju
Promovie dobru industrijsku praksu
Obezbeuje usaglaavanje sa brojnim standardima kroz jednu inicijativu
Kao osnovu koristi ISO/IEC 27002 (ISO/IEC 27001 i ISO/IEC 27002 zajedno)
Moe da sadri po potrebi neto iz brojnih standarda zatite:
ISO, NIST, FIPS (Federal Information Processing Standards),
ENISA (European Network and Information Security Agency),
SarbanesOxley i HIPAA (Health Insurance Portability&Accountability Act)...
Univerzitet Singidunum
Tehniki fakultet
46
-
SMF - okvir menadmenta zatite informacija(1)
Uspostavlja bazu znaenja i namena termina, koncepata, uzoraka,
alate za analizu i izvetavanje
Obezbeuje bolje razumevanje naina upotrebe uprocesu razvoja i
odravanja ISMS-a.
sa dodacima ili modifikacijama za specifine potrebe organizacije.
Prednost :
jedinstveni okvir koji opisuje sva identifikovana bezbednosna razmatranja.
ne znai da organizacija obavezno treba da za svaki od njih implementira
zatitu
odluka o implementaciji zatite za elemenat iz SMF-a donosi se na bazi procene
rizika
Univerzitet Singidunum
Tehniki fakultet
47
-
Generiki proces uspostavljanja ISMS a
Tekue stanje (as-it-is) upravljanja rizikom zatite
informacija ukljuuje: procese otkrivanja, gap analiza i izvetavanje o nalazima
(sekcija 3. ISMS-a)
generisanje upitnika i templejta za prilagoavanje SMF-a
primenjuje se na PDCA faze planiranja i provere
Univerzitet Singidunum
Tehniki fakultet
48
-
Generiki proces uspostavljanja ISMS a (1)
Planirano stanje upravljanja rizikom (as-to-be):
obezbediti kombinacijom ISO/IEC 27001 i 27002
u fazi planiranja
izradu SMF-a treba poeti sa ISO 27002 i drugim
standardima zatite (sekcija 3. ISMS-a)
definisati bezbednosne ciljeve (sekcije 4 - 8 ISMS)
Univerzitet Singidunum
Tehniki fakultet
49
-
Generiki proces uspostavljanja ISMS a (2)
Komparativna gap analiza stanja as-to-be i as-to-is
Plan tranzicije sa as-to-is na as-to-be:
Baziran na SMF i detaljima razlike as-to-be i as-to-is stanja
Ukljuuje detalje kako prei od stanja as-to-is u stanje as-to-be
Projekat moe obuhvatiti vie od jednog ciklusa finansiranja
Zahteva prioritete akcija za smanjenje najveeg rizika
Poglavlje 4. Implementacija ISMS-PDCA, daje detalje za
dostizanje zahteva ISMS-a
Moe proizvesti sledea dokumenta:
formalnu izjavu o bezbednosnim ciljevima,
model trokova i WBS - (work breakdown structure)
ugovor o visini usluga - SLA
Primenljiv je u PDCA fazi primene (do) i poboljanja (act)
Univerzitet Singidunum
Tehniki fakultet
50
-
Operativni rad i odravanje
Primenljiv u PDCA fazama provere (C) i
poboljanja (A)
Podrava tekui ISMS, ukljuujui periodinu
reviziju definicije as-to-be na bazi:
standarda ISO/IEC 27001 i 27002
promena novih regulativa, ugovora, okruenja
Proizvodi metriku performansi u odnosu na
SLA i mnogo izvetaja (log, incidenti, analiza)
Univerzitet Singidunum
Tehniki fakultet
51
-
Zakljuak
Standardi ISO/IEC 27001 i 27002 razvijeni su iz BS 7799:
Deo 2 i Deo 1, respektivno.
Standard ISO/IEC 27001 formira bazu za procenu ISMS-a
koja se moe usvojiti za formalnu proceduru za
sertifikaciju.
Standard ISO/IEC 27001 je menadment sistem zatite
informcija (ISMS) i specifikacija smernica za primenu
Standard ISO/IEC 27002 specificira mere najbolje prakse
zatite informacija (kontrole zatite).
Standard ISO/IEC 27002 sadri 12 oblasti projektovanja
sistema zatite sa 39 ciljeva zatite i 137 kontrola zatite
Univerzitet Singidunum
Tehniki fakultet
52
-
Pitanja ?