information security management system

INFORMATIKA 2010

12. Maj 2010. 1

ISMS - Information Security Management System(Систем за управљање безбедношћу информација)прве три године у Србији - поглед оцењивача

Драган Алексић, водећи оцењивач DAS Serbiadragan.aleksic@yahoo.com

INFORMATIKA 2010

12. Maj 2010. 2

Информација као ресурсИнформација је значајан пословни ресурс ипредставља имовину која мора бити адекватнозаштићена, како би се омогућило нормалнопословање организације.

- Брзо овладавањеинформацијом сваке врстепостало је императив али имора модерног света.

- Прелазак са информација напапиру на информације на ИТмедијима и у виртуелномоблику

INFORMATIKA 2010

12. Maj 2010. 3

Нека од питања која се постављајуприликом коришћења информација су:

Шта радити ако су критичниподаци уништени?Шта предузети ако су архиве укојима се подаци чувајуоштећене?Да ли су подаци које користимопоуздани?Где брзо пронаћи информацијекоје су нам потребне заодлучивање?

INFORMATIKA 2010

12. Maj 2010. 4

Зашто нам је потребан ISMS?

Организације све више зависе од информационихвредности

Корисници информација (интерни & екстерни) захтевајувећу доступност

Конкуренција расте и безбедност информација постајеимператив

Број инцидената који угрожавају континуитет операција јеу порасту

Нови закони из ове области

Укратко, један прекршај безбедности може:Уништити репутацију компанијеПоништити вредност пословањаУништити основу, иКомпромитовати будуће зараде

INFORMATIKA 2010

12. Maj 2010. 5

ISO/IEC 27001 – ISMS захтеви

Два најважнија стандарда коришћена уорганизацијама од 2005. године су

ISO/IEC 27001:2005 познат и као ISMS(захтеви за сертификацију Система забезбедност информација) и

ISO/IEC 27002:2005 (најбоља пракса иупутство за примену Система за безбедностинформација) – претходна ознака ISO/IEC 17799:2005

INFORMATIKA 2010

12. Maj 2010. 6

Хармонизација са осталим стандардима

INFORMATIKA 2010

12. Maj 2010. 7

Структура стандарда из серије ISO/IEC 27000

...

INFORMATIKA 2010

12. Maj 2010. 8

Шта је ISMS?

ISMS је средство којим највише руководствопрати и контролише безбедност информација,умањује резидуалне пословне ризике иобезбеђује да безбедност информација сталнозадовољава корпоративне, законске и захтевекорисника.

ISMS International User Group

INFORMATIKA 2010

12. Maj 2010. 9

ISMS Осигурава идентификацију кључних информационихресурса организације и имплементацију одговарајућихбезбедоносних контролаОсигурава да су сви ризици узети у обзир и да суизабране контроле:ПрименљивеИсплативеЕФИКАСНЕ

Осигурава да су процедуре имплементиране, особљеобучено, и да је цела организација свесна значајабезбедности информација

INFORMATIKA 2010

12. Maj 2010. 10

Безбедност информацијаБезбедност информација се посматра из триаспекта:

Поверљивост – осигуравање да информацијабуде приступачна само ауторизованим(овлашћеним) особама;

Интегритет – осигуравање тачности икомплетности информација и методапроцесирања и

Расположивост – давање гаранције да ћеауторизоване особе имати приступинфорамцијама и придруженим информационимресурсима када год поставе такав захтев.

INFORMATIKA 2010

12. Maj 2010. 11

Ризик и контрола ризика

Пословање подразумева ризик.

Ризик свакодневног пословања:ПревареНеауторизоване модификацијеКрађа сервиса/услугеОметање пословних процесаПриродне катастрофеНеауторизовани приступ кључним ресурсима

INFORMATIKA 2010

12. Maj 2010. 12

Утицај ризика по индустријским секторима

INFORMATIKA 2010

12. Maj 2010. 13

70% претњи налази сеунутар саме организације70% претњи налази сеунутар саме организације

ССиистемстемскескеддатотекеатотекеии подациподаци

30% претњи долазиизван организације30% претњи долазиизван организације FirewallFirewall

ЗаштитаЗаштита мрежемрежеЗаштитаЗаштита рачунарарачунара

УнутрашњинападиУнутрашњиУнутрашњинападинапади

Грешке (софтверске, хардверске, људске)ГрешкеГрешке ((софтверскесофтверске, , хардверскехардверске, , људскељудске))

КвалитетсофтвераКвалитетКвалитетсофтверасофтвера

INFORMATIKA 2010

12. Maj 2010. 14

Анализа ризика

Анализа ризика треба да идентификује свепретње и рањивости, процени ризике и њиховутицај на пословање, изврши избор контролакоје ће елиминисати или ублажити утицајризика, прихватити ризике и живети са њима.

INFORMATIKA 2010

12. Maj 2010. 15

Планови за третман ризика

Претња

Штетан

утицај

Рањивост

Имовина

Користи

Нарушава

Узрокује

Догађај

Шта је ризик?

Шта треба да радимо?

Прихватање ризика

Трансфер ризика

Смањење ризика

Избор контрола

Третман ризика

Избегавање ризика

Изабрати одговарајућеконтроле

Пропорционалност контроле треба да одговарајуризику

Одлучити које од 133 контроле дате у анексу А су

применљиве - SOA

INFORMATIKA 2010

12. Maj 2010. 16

Структура контролаиз прилога А стандарда ISO/IEC 27001:2005

INFORMATIKA 2010

12. Maj 2010. 17

Значај организационе заштите

ИТ заштита није само техничко, већ препре свегасвега, организационо-управљачко питање

INFORMATIKA 2010

12. Maj 2010. 18

Управљање инцидентима

Извештавање о догађајиманарушавања безбедности информацијаи слабостима заштитеМенаџмент инцидентима нарушавањабезбедности и побољшањаОбавезе, одговорности и процедуре

Сакупљање знања из инциденатанарушавања безбедности

INFORMATIKA 2010

12. Maj 2010. 19

План континуитета пословањаПосебно значајни аспектиприликом имплементацијеISMS јесу:анализа информационихресурса и ризикаповезаност ресурса сакључним пословнимпроцесимавласништво над ресурсима ипроцесимаплан континуитета за њиховбрз опоравак у критичнимситуацијама

INFORMATIKA 2010

12. Maj 2010. 20

Препоруке за применуПројекат имплементације Система безбедностиинформација је веома сложен и у њему морајуучествовати сви запослени а најзначајније је учешћеруководства;Боље повезивање кључних пословних процеса сабезбедношћу информација и планом континуитетапословања;Значајна веза постоји између ISO 9001:2008 i ISO/IEC 27001:2005, односно интеграције у домену управљањадокументима и записима, интерним проверама, неусаглашеностима, корективними превентивним мерамаи на крају кроз преиспитивање система;Свеобухватнија процена и класификацијаинформационих вредности организације и њиховаприпадност пословним процесима;

INFORMATIKA 2010

12. Maj 2010. 21

Препоруке за применуСадржајнија анализа ризика и стална процена ризика кодпромена у информационом и пословном систему;Недовољно и површно означавање и поступање саинформацијама; Недовољна обука запослених, поготову у препознавањуинцидената и догађаја нарушавања безбедностиинформација; Повезивање инцидената са информационим вредностимаи повратне информације за нову анализу ризика;Примена организационих решења испред техничких –велике уштеде се могу постићи бољом организацијом ирасподелом одговорности, применом процедура иполитика безбедности;

INFORMATIKA 2010

12. Maj 2010. 22

ЗакључакПрименом и сертификацијом ISMS добијамо:

Промену свести о значају безбедности информацијаДетаљну анализу информационих ресурса којепоседујемоКонтрoлисане ризике и смaњене губиткеУсаглашеност сa индустријским и законским стандардимаПoуздану услугуБоље разумевање пословних информацијаБрже управљање пословним процесимаСмањен број и утицај безбедоносних инциденатаСпремност на деловање у кризним ситуацијамаИнтернационално признати сертификат

INFORMATIKA 2010

12. Maj 2010. 23

Хвала на пажњи.

Питања?

Комуницирајтеdragan.aleksic@yahoo.com