05. razvoj isms menadzment sistema

PROJEKTOVANJE MENADMENT

SISTEMA ZATITE INFORMACIJA

Razvoj menadment sistema zatite

informacija (ISMS-a)

- ISO 27001:2005 -

Sadraj

Standardi za menadment sistem zatite

informacija:

ISO 17999:2005 (BS 7799-1) i

ISO 27001:2005 (BS 7799-2)

Sadre proirljivu kolekciju mera koje

zadovoljavaju zahteve najbolje prakse zatite informacija

Univerzitet Singidunum

Tehniki fakultet

2

ISMS

Standard ISO 17799:2005 (ISO/IEC 27002:2007):

specificira mere najbolje prakse zatite

informacija.

Standard ISO 27001:2005:

formira bazu za procenu ISMS-a koja se

moe usvojiti za formalnu proceduru za sertifikaciju.


Tehniki fakultet

3

Primer: Evolucija ISMS-a

ISO/IEC 27002:2007 ISO 27001:2005


Tehniki fakultet

4

Primer: Razvoj ISO standarda zatite informacija

Dinamika razvoja ISO 27001 i ISO 27002 standarda


Tehniki fakultet

5

Struktura ISO 27001:2005

ISO/IEC 27001 - Uvod

Standard ISO/IEC 27001 Menadment sistem

zatite informcija - Specifikacija smernica za

upotrebu obuhvata:

pitanja bazinog menadment sistema i

obezbeuje model za implementaciju i upravljanje

efektivnog ISMS-a

Tok procesa ISMSUniverzitet Singidunum

Tehniki fakultet

6

Kljune oblasti ZAHTEVA STANDARDA:

1. Menadment sistem zatite informacija (ISMS)

(poglavlje 4)

2. Odgovornosti menadmenta (poglavlje 5)

3. Interna provera (audits) ISMS-a (poglavlje 6)

4. Menaderski pregled ISMS-a (poglavlje 7)

5. Poboljanje ISMS-a (poglavlje 8)

ISO/IEC 27001:2005



Tehniki fakultet

7

Standard sadri tri aneksa:

A: Ciljevi i mehanizmi kontrola zatite

Anex A ISO 27001

B: OECD-principi i ISMS standard

Anex A ISO 27001

C: Komparativna analiza ISO 9001 i 14001

Anex A ISO 27001



Tehniki fakultet

8

ISMS - Plan-Do-Check-Act model procesa

Model procesa PDCA(Planiraj, Primeni, Proveri, Poboljaj):

deo pristupa menadment sistemu za razvoj,

implementaciju i neprekidno poboljanje ISMS-a

predstavlja najznaajniju sutinsku promenu u

revidiranoj verziji ISO/IEC 27001:2005



Tehniki fakultet

9

ISMS - Plan-Do-Check-Act



Tehniki fakultet

10

1. PDCA - Faza Planiranja ISMS-a

Kljuni procesi ISMS faze planiranja su:

Uspostavljanje politike zatite

Odreivanje strategijskih ciljeva zatite

Implementacija procesa i akcija relevantnih

za menadment rizika



Tehniki fakultet

11

2. PDCA - Faza Primene ISMS-a

Kljuni procesi faze primene je:

Implementacija politike zatite

Implementacija kontrola zatite

Integracija procesa i akcija za kontrolu

ISMS-a



Tehniki fakultet

12

3. PDCA Faza Provere ISMS-a

Kljuni procesi faze provere su:

procena procesa zatite i (po potrebi)

merenje performansi procesa zatite u

poreenju sa:

politikom zatite,

ciljevima zatite i

steenim praktinim iskustvima



Tehniki fakultet

13

4. PDCA - Faza Poboljanja ISMS-a

Kljuni procesi faze delovanja su:

monitoring i odravanje

neprekidno poboljanje ISMS-a

preduzimanje korektivnih mera

preduzimanje preventivnih mera, na

bazi interne i menaderske provere.



Tehniki fakultet

14

Provera usaglaenosti i sertifikacija

Proces provere usaglaenosti za

dobijanje ISO/IEC 27001:2005

sertifikata je strogo regulisan



Tehniki fakultet

15

ISMS sertifikacija

Sertifikaciju mogu izvoditi samo posebno

akreditovana sertifikaciona tela

Akreditaciju sertifikacionih tela u EU daju: nacionalna akreditaciona tela

u skladu sa EA 7/03 Evropske kooperacije

za akreditaciju

Primer: TGA u Nemakoj; TV Thringen Nemaka, od 31.12.2006.



Tehniki fakultet

16

ISMS akreditacija

Nacionalna tela za akreditaciju sklapaju:

uzajamne sporazume o priznavanju

izdatih sertifikata u drugim zemljama



Tehniki fakultet

17

Po pravilu procena ISMS-a treba da se

izvri barem u dva koraka:1. Interna provera2. Sertifikaciona provera


Procena metodi provere ISMS-a


Tehniki fakultet

18

Pregled dokumenata pre provere nalokaciji

Ciljevi provere u koraku 1:

identifikovati kljune take za planiranje

provere u koraku 2

definisati obim ISMS sertifikacije

Korak 1: Provera



Tehniki fakultet

19

Osnovni uslov za sertifikaciju: da je ISMS ve implementiran, barem 6

meseci

Aktivnosti u koraku 2 provere: Definisati plan provere 2 na bazi rezultata

provere u koraku 1

Proveru uvek izvriti na lokaciji klijenta

Korak 2: Sertifikaciona provera (audit)



Tehniki fakultet

20


Zahtevi za proveravaePored optih zahteva, proveravai treba da ispune sledee kvalifikacije:

univerzitetsku diplomu ili veliko radno

iskustvo sa naprednom profesionalnom

obukom

sa najmanje 4 godine iskustva punog radnog

vremena u IKT sistemima i

najmanje 2 godine iskustva u oblasti zatite


Tehniki fakultet

21


Anex A: Kontrole zatite

Standard sadri 39 familija i 134 kontrole zatite

ISO/IEC 27001 nudi 134 kontrole u Annex A: Kontrole koje se odnosne na IT: 46%

Kontrole koje se odnose na organizaciju i dokumentaciju: 30%

Kontrole koje se odnose na fiziku zatitu: 9%

Kontrole koje se odnose na zakonsku zatitu: 6%

Kontrole koje se odnose na snabdevae i ponaanja: 5%

Kontrole koje se odnose na personalnu zatitu: 4%

ISO/IEC 27001 - za izradu politike i procedura zatite:

ciljevi kontrole indiciraju namenu

detalji kontrole generiu saoptenja politike i detalje procedura

za postizanje te namene


Tehniki fakultet

22

Komplementarnost sa drugim standardima

Svaki meunarodni ili nacionalni standard najbolje prakse:

nije sam dovoljan za specifinu organizaciju i kontekst

zahteva prilagoavanje specifinim uslovima

zahteva uvoenje komplementarnih standarda

ISO/IEC 27001 za ISMS komplementaran je sa:

ISO/IEC 9001:2000 za menadment kvaliteta i

ISO/IEC 14001 za upravljanjem ivotnom okolinom

Anex C ISO 27001

ISO/IEC 21827 (SSE CMM) - zrelosti procesa zatite,

ISO/IEC 13335 i NIST SP serije

Tabela DUniverzitet Singidunum

Tehniki fakultet

23

Komplementarnost sa drugim standardima -1

ISO/IEC 27001 je harmonizovan sa drugim

menadment sistemima sa ciljem:

konzistentne i integrisane implementacije i

rada menadment sistema organizacije

Primena ISMS standarda sa drugim menadment

standardima u organizaciji zahteva:

program usaglaavanja menadment sistema

u jedan menadment sistem:

TQM (Total Quality Management) sistem


Tehniki fakultet

24

Primer: Komplementarnost PDCA sa drugim standardima

Primena

Poboljanje


Tehniki fakultet

25

Struktura ISO/IEC 27002:2005

ISO/IEC 27002:2005 - Code of Practice for Information

Security Management:

meunarodno priznate smernice za menadment sistem

zatite informacija (ISMS)

sadri skup preporuka za procedure i metode najbolje

prakse zatite (ve dokazne u praksi)

obezbeuje uvid u kontrole za zatitu informacione imovine

ne ukljuuje KAKO se kontrole primenjuju

procedure za implementaciju kontrola zatite:

zadatak svake organizacije,

zavisi od konteksta, fizikog i tehnikog okruenja

ISO27k ISO IEC 27002 outlineUniverzitet Singidunum

Tehniki fakultet

26


Usaglaenost politike zatite sa poslovnim ciljevima i

misijom organizacije

Akcije usaglaene sa kulturom rada organizacije

Obezbeena podrka menadmenta organizacije

Dobro razumevanje bezbednosnih zahteva, procene

rizika i menadmenta rizika

Efektivni marketing zatite informacija za poveanje

svesti o potrebi i osetljivosti informacione imovine

Faktori uspeha implementacije ISMA-a:


Tehniki fakultet

27


Svi relevantni uesnici su upoznati sa tekuim

smernicama i regulativama zatite informacija

Budet za menadment sistem zatite informacija

postoji

Izvrena obuka svih relevantnih uesnika

Uspostavljen efektivan proces za menadment

kompjuterskog incidenta

Postoji sistem za rangiranje i poboljanje ISMS-a

Faktori uspeha implementacije ISMA-a(1):


Tehniki fakultet

28


ISO 27002 sadri 12 sekcija ciljeva i 137 kontrola zatite:1. procena i tretmana rizika (2)*

2. politika zatite (1) 2 kontrole zatite

3. organizacija zatite informacija (2) -11 kontrola zatite

4. menadment imovine organizacije (2) 5 kontrola zatite

5. zatita ljudskih resursa (3) 9 kontrola zatite

6. fizika zatita i zatita okruenja (2) 13 kontrola zatite

7. menadment komunikacija i operacija zatite (10) 32 kontrole z.

8. kontrola pristupa (7) 25 kontrola zatite

9. akvizicija, razvoj i odravanje IKT sistema (6) 16 kontrola zatite

10. menadment bezbednosnog incidenta (2) 5 kontrola zatite

11. menadment kontinuiteta poslovanja (1) 5 kontrola zatite

12. usaglaenost (3) 10 kontrola zatite

(*) broj ciljeva zatite u poglavlju

Svako cilj zatite ime odreeni broj kontrola zatiteUniverzitet Singidunum

Tehniki fakultet

29

Primer: Struktura standarda ISO 27002:2005 Sadri 11 oblasti upravljanja sa 39 ciljeva zatite


Tehniki fakultet

30


2. Politika zatite informacija Slui za uspostavljanje strateke orijentacije i

dokumentacije menaderske podrke u odnosu na sve

faktore (komponente) informacione bezbednosti

Dokument politike pisan razumljivim jezikom na

visokom nivou apstrakcije

Politika - koncizna i usmerena na ciljne grupe

korisnika

Menaderska kontrola politike

1. Procena i tretman rizika (polazni zahtev)

Prema standardu ISO/IEC 27005


Tehniki fakultet

31


3. Organizacija informacione bezbednosti

Uspostavlja odgovarajui okvir za ISMS

(SMF) koji obezbeuje:

metode, procedure i procese za

inicijaciju, implementaciju odravanje i

monitoring sistema zatite informacija

organizacije


Tehniki fakultet

32


4. Menadment informacione imovine

Da bi se postigla adekvatna zatita

informacione imovine organizacije potrebno je:

jasno identifikovati kritinu i drugu

informacionu imovinu

izraditi inventar informacione imovine


Tehniki fakultet

33


5. Personalna zatita

Ova komponenta zatite slui za redukciju: rizika od ljudskih greaka

krae informacija ili

zloupotrebe IKT sistema

6. Fizika i zatita okruenja

Uspostavljanjem zona bezbednosti spreava se:

neovlaeni pristup

oteenje fizika imovine

oteenje i kraa informacija organizacije Univerzitet Singidunum

Tehniki fakultet

34


7. Menadment komunikacija i operacija

a) Obezbeuje bezbedno i korektno procesiranje

b) Menadment servisa koje izvravaju TTP

provajderi usluga

c) Minimizira rizike u sluaju kvara ili pada

sistema kroz planiranje i tehniku proveru

sistema


Tehniki fakultet

35


7. Menadment komunikacija i operacija (1)

d) Integracija zatite informacija i softvera

e) Integritet i raspoloivost IKT sistema kroz

pogodne procedure bekapovanja

f) Zatita informacija u mreama i mrenoj

infrastrukturi


Tehniki fakultet

36


7. Menadment komunikacija i operacija (2)

g) Spreavanje oteenja imovine i nefunkcionalnog

rukovanja medija

h) Spreavanje gubitka, izmene ili zloupotrebe

razmenjivanih informacija

i) Garantuje bezbednost servisa e-trgovine

j) Garantuje prepoznavanje neovlaenih aktivnosti


Tehniki fakultet

37


8. Kontrola pristupa

Ova komponenta zatite odnosi se na:

znaaj testiranja i monitoringa mera za

kontrolu pristupa informacijama i sistemima

bezbednost i zatitu od zloupotrebe internih

korisnika ili spoljnih napadaa


Tehniki fakultet

38


9. Akvizicija, razvoj i odravanje IKT sistema

Pre razvoja sistema za procesiranje informacija:

treba identifikovati i

usaglasiti bezbednosne zahteve


Tehniki fakultet

39


10.Menadment kompjuterskog incidenta

Menadment kompjuterskog incidenta treba da

sadri:

pogodne procese za izvetavanje, eliminaciju

i praenje kompjuterskog bezbednosnog

incidenta

zatitu dokaza o kompjterskom incidentu (?)


Tehniki fakultet

40


11. Menadment kontinuiteta poslovanja

Ova komponenta zatite treba da uspostavi:

preventivne i reaktivne mere zatite od

prekida poslovnih aktivnosti i kritinih poslovnih

procesa

zatitu od uticaja prekida aktivnosti i

vanrednih dogaaja


Tehniki fakultet

41


12. Usaglaenost

Ova oblast sistema zatite informaija obuhvata:

usaglaenost sa legalnim zahtevima

pregled kvaliteta politike zatite

uasaglaenost sa tehnikim standardima i

razmatranje revizije i sertifikacije sistema


Tehniki fakultet

42

ISO 27001 : ISO 27002

ISO/IEC 27001 predstavlja ISMS:

kako uspostaviti (procedure) menadment sistem zatite informacija

psvesti o potrebi zatite, organizacione infrastrukture, plana,

implementacije i odravanja kontrola zatite roces za uspostavljanje

nije skup procedura koje obuhvataju sve kontrole zatite

ISO/IEC 27002 predstavlja uputstvo za ciljeve i specifikaciju kontrola:

ta treba (tj., lista kontrola zatita) uraditi da se informacije zatite

retko organizacije trae sertifikaciju za ISO/IEC 27002

uobiajeno se sertifikuju za ISMS (ISO/IEC 27001)

Annex A ISO/IEC 27001 sadri iste kontrole zatite kao ISO/IEC 27002

samo sa skraenim opisom

Oba standarda implementirana zajedno dovode do ISMS sertifikacije


Tehniki fakultet

43

Zajednike karakteristike

standarda menadment sistema

Svi su zasnovani na angaovanju mendmenta

Definiu odgovornosti

Zahtevaju: kontrolu dokumenata

upravljanje zapisima

obuku

menadersku proveru (reviziju)

internu proveru


Tehniki fakultet

44

Zajednike karakteristike

standarda menadment sistema (1)

Korektivne i preventivne aktivnosti

Opti PDCA model za implementaciju i operativni rad

Procesi provere (audit) na bazi standarda ISO 19011:2002,

Guidelines on Quality and/or Environmental Management

System Audit

Zahtevi zasnovani na slinim standardima

Sertifikaciono telo odgovorno za verifikaciju kompetencija

proveravaa (auditor)


Tehniki fakultet

45

SMF - okvir menadmenta zatite informacija

ISMS preporuke treba prilagoavati konkretnoj organizaciji

Prvi korak je razvoj specifinog SMF-a (Security Management

Framework) organizacije koji:

Generie okvir za definisanje svih bezbednosnih pitanja organizacije

Obezbeuje nacrt za definisanje diskusija, planova implementacije, praenja i

izvetavanja svih pitanja zatite relevantnih za organizaciju

Promovie dobru industrijsku praksu

Obezbeuje usaglaavanje sa brojnim standardima kroz jednu inicijativu

Kao osnovu koristi ISO/IEC 27002 (ISO/IEC 27001 i ISO/IEC 27002 zajedno)

Moe da sadri po potrebi neto iz brojnih standarda zatite:

ISO, NIST, FIPS (Federal Information Processing Standards),

ENISA (European Network and Information Security Agency),

SarbanesOxley i HIPAA (Health Insurance Portability&Accountability Act)...


Tehniki fakultet

46

SMF - okvir menadmenta zatite informacija(1)

Uspostavlja bazu znaenja i namena termina, koncepata, uzoraka,

alate za analizu i izvetavanje

Obezbeuje bolje razumevanje naina upotrebe uprocesu razvoja i

odravanja ISMS-a.

sa dodacima ili modifikacijama za specifine potrebe organizacije.

Prednost :

jedinstveni okvir koji opisuje sva identifikovana bezbednosna razmatranja.

ne znai da organizacija obavezno treba da za svaki od njih implementira

zatitu

odluka o implementaciji zatite za elemenat iz SMF-a donosi se na bazi procene

rizika


Tehniki fakultet

47

Generiki proces uspostavljanja ISMS a

Tekue stanje (as-it-is) upravljanja rizikom zatite

informacija ukljuuje: procese otkrivanja, gap analiza i izvetavanje o nalazima

(sekcija 3. ISMS-a)

generisanje upitnika i templejta za prilagoavanje SMF-a

primenjuje se na PDCA faze planiranja i provere


Tehniki fakultet

48

Generiki proces uspostavljanja ISMS a (1)

Planirano stanje upravljanja rizikom (as-to-be):

obezbediti kombinacijom ISO/IEC 27001 i 27002

u fazi planiranja

izradu SMF-a treba poeti sa ISO 27002 i drugim

standardima zatite (sekcija 3. ISMS-a)

definisati bezbednosne ciljeve (sekcije 4 - 8 ISMS)


Tehniki fakultet

49

Generiki proces uspostavljanja ISMS a (2)

Komparativna gap analiza stanja as-to-be i as-to-is

Plan tranzicije sa as-to-is na as-to-be:

Baziran na SMF i detaljima razlike as-to-be i as-to-is stanja

Ukljuuje detalje kako prei od stanja as-to-is u stanje as-to-be

Projekat moe obuhvatiti vie od jednog ciklusa finansiranja

Zahteva prioritete akcija za smanjenje najveeg rizika

Poglavlje 4. Implementacija ISMS-PDCA, daje detalje za

dostizanje zahteva ISMS-a

Moe proizvesti sledea dokumenta:

formalnu izjavu o bezbednosnim ciljevima,

model trokova i WBS - (work breakdown structure)

ugovor o visini usluga - SLA

Primenljiv je u PDCA fazi primene (do) i poboljanja (act)


Tehniki fakultet

50

Operativni rad i odravanje

Primenljiv u PDCA fazama provere (C) i

poboljanja (A)

Podrava tekui ISMS, ukljuujui periodinu

reviziju definicije as-to-be na bazi:

standarda ISO/IEC 27001 i 27002

promena novih regulativa, ugovora, okruenja

Proizvodi metriku performansi u odnosu na

SLA i mnogo izvetaja (log, incidenti, analiza)


Tehniki fakultet

51

Zakljuak

Standardi ISO/IEC 27001 i 27002 razvijeni su iz BS 7799:

Deo 2 i Deo 1, respektivno.

Standard ISO/IEC 27001 formira bazu za procenu ISMS-a

koja se moe usvojiti za formalnu proceduru za

sertifikaciju.

Standard ISO/IEC 27001 je menadment sistem zatite

informcija (ISMS) i specifikacija smernica za primenu

Standard ISO/IEC 27002 specificira mere najbolje prakse

zatite informacija (kontrole zatite).

Standard ISO/IEC 27002 sadri 12 oblasti projektovanja

sistema zatite sa 39 ciljeva zatite i 137 kontrola zatite


Tehniki fakultet

52

Pitanja ?

05. razvoj isms menadzment sistema

Documents