Važnost ISMS-a u e-Business-u

Dragan Jovičić

PricewaterhouseCoopers doo Beograd

PLANIRANJE BEZBEDNOSTI INFORMACIJA

Što je veći kontakt ili interakcija sa poslovnim svetom, to je veća potreba da se koriste informacione tehnologije. Organizacije koje koriste informacione tehnologije u poslovanju i imaju interakciju sa većim brojem korisnika imaju veću izloženost informacionih sredstava. Sve ovo dovodi do toga da organizacija može biti pogođena različitim oblicima neautorizovanih akcija ili napadima koji ugrožavaju bezbednost informacionih sistema organizacije.

PREDNOSTI KORIŠĆENJA ISMS OKVIRA

X

X

X

Advantages of

Framework

Adoption

X

Benchmark za poređenje

Poverenje kupaca i poslovnih partnera

Obezbeđuje pravilno usvajanje ključnih funkcija

Struktura

X

X

Usaglašavanje sa prihvatljivim nivoom bezbednosti

Odbrana od tužbi

KOJI OKVIRI SU VAŽNI ZA VAŠU ORGANIZACIJU I INDUSTRIJU U KOJOJ SE NALAZITE? ZAŠTO?

Okviri internacionalnih standarda su dizajnirani za implementaciju i upravljanje najboljim praksama informacione bezbednosti

Šta je motivacija za organizaciju da primeni okvir?

• Pružaju bezbednost informacija i primenu odgovarajućih najboljih industrijskih praksi

• Sertifikacija je omogućena kao prepoznavanje usaglašenosti organizacije sa određenim okvirom

ISO 27000 SET STANDARDA

Izvor?

• ISO 27000 set standarda sastoji se od standarda

bezbednosti informacija zajednički objavljenih od

strane ISO i IEC

Terminologija?

• ISO 27000 set standarda se uglavnom odnosi na

ISO 27001 i ISO 27002

ISO 27000 SET STANDARDA - NASTAVAK

Šta su ISO 27001 i 27002 standardi?

• Međunarodni, među-industrijski standardi koji obezbeđuju najbolje prakse i primere kontrola za optimalno upravljanje bezbednošću informacija

OSNOVNI CILJEVI UVOĐENJA STANDARDA ISO 27001

• stalna raspoloživost informatičke opreme i komunikacija

• zaštita informacija od neovlašćenog pristupa

• zaštita podataka od gubitka

• zaštita od curenja informacija

• osigurati kontinuitet poslovanja i pružanje usluga, za slučaj nepredviđenog događaja.

USVAJANJE PROGRAMA ZA SERTIFIKACIJU

• Korišćenjem seta standarda iz grupe 27000, organizacija stiče kredibilitet za svoje bezbednosne procese i programe (povećava se poverenje kupaca / dobavljača).

• Organizacija može da koristi specifične sertifikate bezbednosti kao pomoć da je usaglašena sa drugim regulatornim standardima. Na primer, ISO 27002 može da se koristi kao biblioteka kontrola za SOX kontrole ili neke druge zakonske standarde.

• Smanjuje potrebu za revizijama od strane poslovnih partnera.

• Značajnije skuplje rešenje, u poređenju sa strukturnom implementacijom

USVAJANJE STRUKTURNIH PROGRAMA

•Usvajanje seta standarda 27000, demonstrira usaglašenost sa strukturnim pristupom i pristupom baziranom na rizicima informacionih tehnologija, koji su globalno prepoznati kao vodeće industrijske prakse.

• Strukturiran ISMS program omogućava održivo upravljanje bezbednosnim kontrolama organizacije.

• Fokusiran je na prioretizaciju organizacionih potreba i opciju isplativosti troškova

•Povećana potreba za drugim programima revizije i usaglašenosti poslovanja

• Zahteva druge načine da se poveća poverenje od strane kupaca.

ISO 27001/2

ISMS 27001 27002 Definiše zahteve

za ISMS Pristup za

adresiranje rizika i kontrola označenih

u 27002

Upravljački standard koji definiše zahteve koje je potrebno ispuniti za upravljački sistem bezbednošću informacija (information security management system (ISMS)). Sertifikacija za ovaj standard je moguća, ali nije obavezna.

Standard bezbednosti informacija koji specificira preporuke za korišćenje najboljih industrijskih praksi kroz nekoliko domena. Ovaj standard daje osnovne potencijalne kontrole i kontrolne mehanizme.

Sistemski pristup upravljanju informacionim dobrima tako da informaciona dobra ostanu zaštićena. Ovo uključuje ljude, procese i IT sisteme uz pomoć primene procesa upravljanja rizicima.

ISO 27001

ISO 27002

ISMS

PREDNOSTI ISO 27001/2 OKVIRA Razlozi za implementaciju ISO 27001 ISMS i povezanih ISO 27002 kontrola uključuje: • Strateški – Bolje upravljanje

bezbednošću unutar širokog okruženja eksternih rizika

• Poverenje kupaca – Pokazuje kupcima da su njihovi podaci zaštićeni, u razumnoj meri, od strane organizacije, ili da bi se organizacija razlikovala od konkurencije

• Zakonski zahtevi – Korišćenje okvira radi integrisanja i upravljanja različitim zakonskim zahtevima

• Interna efektivnost – Efektivno upravljanje informacija kao najbolja praksa

Strateški

Poverenje kupaca

Interna efektivnost

Zakonski zahtevi ISMS

STANDARDNE KONTROLE

ISO 27000 set standarda je dizajniran da se koristi zajedno radi kompletiranja implementacije ISMS

Kontrole su primarno definisane u ISO 27002

• 114 kontrola u 14 domena u ovoj verziji standarda

• Kontrole su definisane na visokom nivou

• Primenljive su na svaku organizaciju, bez obzira na veličinu, strukturu ili industriju

• ISO standardi kao što je 27799 primenjuju kontrole za određenu industriju

ČESTI RAZLOZI ZA PRIMENU ISO 27001

• Organizacije se susreću sa velikim brojem izazova u upravljanju bezbednošću informacija i ISO 27001 Information Security Management System (ISMS) je jedan od načina celokupnog rešavanja ovih pitanja

Zaštita poslovno kritičnih

informacija

Upravljanje eksternim i

internim pretnjama

Usaglašenost trećih lica sa zakonskim odredbama

Implementacija bezbednostnih

kontrola

Omogućavanje organizacija da

uspešno posluje

Odgovor na sigurnosne događaje

Obezbeđivanje dostupnosti informacija

Kvantifikacija pretnji i uticaja

Zakonska usaglašenost

Efektivna zaštita važnih podataka

ISO 27001 - ISMS

Rizici poslovnih procesa (Poslovni rizici) Zakonski, Regulatorni, Ugovorni (Bezbednosni) zahtevi

Information Security Management System

(Upravljanje) Kontrole informacione bezbednosti

ISO 27001 - SERTIFIKACIJA • ISMS može biti sertifikovan da je u saglasnosti sa ISO 27001 od strane

nezavisne treće strane. Sertifikacija da je organizacija u skladu sa ISO 27001 se sastoji iz sledećih faza procesa revizije:

ISO je odgovoran za razvoj, održavanje i objavljivanje ISO 27000 seta standarda, ali sam ISO ne učestvuje u revizijama niti procenjuje upravljačke sisteme organizacija. Sertifikacija nije obavezan korak ISO standarda.

•Preliminarni pregled ISMS i relevantne dokumentacije Faza 1

• Formalna revizija, testiranje ISMS prema zahtevima ISO 27001 i ISO 27002 Faza 2

• Revizije usklađenosti, koje testiraju da organizacija poštuje zahteve standarda. Održavanje sertifikata zahteva periodične ponovne revizije. Faza 3

ISO 27001 - SERTIFIKACIJA

• Redovne godišnje revizije su obavezne da bi se zadržao sertifikat Revizija

dokumentacije Revizija

implementacije Odluka o

sertifikaciji

Nadzorna revizija(Godišnja)

Nadzorna revizija(Godišnja)

Ponovna procena

usklađenosti

ZRELOST I IZVEŠTAVANJE

Potpuna primena ISO 27001/2, ali sertifikacija nije obavljena

Korišćenje ISO 27001/2 preporuka u područjima od interesa

Korišćenje kontrola koje se fokusiraju na teme značajne za menadžment

Zre

lost

Posvećenost

“Usklađenost”

“ISO 27001/2 primena”

“Usvajanje određenih

ISO 27001/2 praksi”

“Sigurnosne

kontrole”

Zrelost i izveštavanje

• Primena ISO 27001/2 može da posluži da se izmeri zrelost sigurnosti informacija

• Zrelost može biti objavljena interno ili eksterno kao demonstracija sigurnosti informacija i poređenje sa drugim organizacijama

Hvala na pažnji!