uČinkovita implementacija cjelovitih sustava … · plan : definiranje ciljeva i procesa isms-a...

SP & BSC ISO 9001 nadzor IS-aBPR ISMS

© ZIH

UČINKOVITA IMPLEMENTACIJA CJELOVITIH SUSTAVA

INFORMACIJSKE SIGURNOSTI

ZIH d.o.o.Silvana Tomi ć Rotim, Lead Auditor, CISA

Opatija, KOM 2009, 25.11.2009.


© ZIH

Agenda

Motivi uvoñenja ISMS-aProces uvoñenja ISMS-aUpravljanje informacijskom imovinomUpravljanje sigurnosnim rizicimaImplementacija i mjerenje učinkovitosti ISMS-aNešto za kraj


© ZIH

MOTIVI UVOðENJA ISMS-a

Zaštita imovineNesmetano odvijanje poslovnih procesaZahtjev poslovne okolineSmanjenje ili uklanjanje rizikaSmanjenje broja incidenataUsklañenost sa zakonskom regulativomKonkurentnostImidž


© ZIH

Prednosti koje se postižu ISMS-om

Sigurnost i povjerenje u IS Prikladna zaštita informacijske imovineTržišna prednostSukladnost sa zakonomImidžPruža se izvrsna check lista raspoloživih kontrolaPredstavljanje vlastite prakse s dokazima

�Krajnjim korisnicima�Poslovnim partnerima�Auditorima


© ZIH

Istina

Ne postoji 100% sigurnostSigurnost se ne može kupiti - nemagotovih rješenja!!!Sigurnost je trajan proces, ne stanjePodrška poslovodstva te organizirana i trajna izobrazba uvjet je za kvalitetan sustav sigurnosti


© ZIH

Pogled u informacijsku sigurnost


© ZIH

ODNOSI MEðU ELEMENTIMA SIGURNOSTI


© ZIH

Što je ISMS?

ISMS (Information Security Management System) je dio cjelokupnog sustava upravljanja, a odnosi se na pristup rukovanju sigurnosnim rizicima, te uspostavu, uvoñenje, provoñenje, nadzor, procjenu, održavanje i kontinuirano poboljšavanje informacijske sigurnosti.


© ZIH

PDCA MODEL

Metodologija Plan-Do-Check-Act može se primijeniti na sve procese ISMS-a.

PLAN : definiranje ciljeva i procesa ISMS-a koji su potrebni da bi se zadovoljili zahtjevi korisnikaDO: provoñenje procesa i rukovanje ISMS-om

CHECK: nadziranje i mjerenje rezultata procesa prema definiranim politikama, ciljevima i zahtjevima

ACT: kontinuirano poduzimanje akcija da bi se poboljšalo izvoñenje ISMS procesa


© ZIH

NORME SERIJE ISO 27000

ISO 27000

ISO 27799

ISO 27003

ISO 27001

ISO 27002

ISO 27004

ISO 27005

ISO 27006

ISMS- načela i rječnik

Zahtjevi za tijela koja pružaju

certifikaciju ISMS-a

ISMS- upravljanje rizikom

ISMS- metrike i mjerenja

ISMS- zahtjeviISMS-

smjernice za uvo ñenje

ISMS u zdravstvu

ISMS-sigurnosne

tehnike

ISO 27008

Smjernice za ISMS auditore

ISO 27007

Smjernice za ISMS

audit

ISO 27011

ISMS u telekomunikacijama


© ZIH

Proces uvoñenja ISMS-a

IZRADA POLITIKE SIGURNOSTI I CILJEVA

TE DEFINIRANJE ORGANIZACIJE

Politika identifikacije i klasifikacije

informacijske imovine

Metodologija procjene rizika

DEFINIRANJE OPSEGA

PRIMJENE I GRANICA ISMS-a

POČETAK

Opseg primjene ISMS-a

Politika i ciljevi ISMS-a (sadrži krovnu

organizaciju)

IDENTIFIKACIJA I KLASIFIKACIJA

INFORMACIJSKE IMOVINE

Popis imovine

PROCJENA RIZIKA

INFORMACIJSKE IMOVINE

Izvješće o procjeni rizika

PRIPREMA PLANA POSTUPANJA S

RIZICIMA (uključuje kontrole i način njihovog

mjerenja) Plan postupanja s rizicima

Rizik izvan granica

prihvatljivosti?

PROJEKTIRANJE SIGURNOSNIH

KONTROLA (ISO 27001Anex A /ISO

27002)

DA

Elementarne politike

Procedure

Radne upute

IMPLEMENTACIJA SIGURNOSNIH

KONTROLA (ISO 27001Anex A /ISO

27002)

IZRADA OBAVEZNIH PROCEDURA PO ISO

27001

Procedura upravljanja dokumentima i

zapisimaProcedura za popravne i

preventivne radnje

Procedura za interne procjene

A

ODRŽAVANJE ISMS-a

NE

A

OBUKA INTERNIH

PROCJENITELJA

PROVEDBA INTERNIH

PROCJENA

Uočena nesukladnost?

PROVEDBA POPRAVNIH

RADNJI

OCJENA ISMS-a OD STRANE

UPRAVE

DA

CERTIFIKACIJA ISMS-a

ODRŽAVANJE ISMS-a

Procedura za interne procjene

Izvješće o procjeni

Izvješće o nesukladnostima

NEZapis o provedbi popravnih radnji

Zapis o ocjeni sustava od strane

uprave

Rezultati internih procjena

Status popravnih i preventivnih radnji

Tehnike, procedure i proizvodi koji se mogu koristiti za poboljšanje

ISMS-a

Rezultati mjerenja učinkovitosti

kontrola Sve promjene koje mogu utjecati na

ISMSPreporuke za poboljšanje


© ZIH

Plan projekta

Osvješćivanjei educiranje djelatnika

Krovna politika ISMS-a

Identifikacija i klasifikacija

imovine

RiskAssesment

Održavanje ISMS-a

Izrada dokumentacije i implementacija

ISMS-a

RiskTreatment

Detaljni projektni plan

Definiranje Scope-a

Upravljanje incidentima

Procjena ranjivosti imovine

Identifikacija posl. procesa

Identifikacija imovine

Klasifikacija imovine

Procjena prijetnji

Procjena rizika

Prijedlog kontrola za

zaštitu imovine

Izrada plana postupanja s

rizicima

Odreñivanje rezidualnog

rizika

Izrada politika i procedura

Izrada druge potrebne

dokumentacije

Primjena u praksi i ocjene

sustava

Risk re-assessment

Interne procjene ISMS-a

Vanjske procjene ISMS-a

Poboljšanja ISMS-a

Generiranje i kontrola

sigurnosnih zapisa


© ZIH

Upravljanje informacijskom imovinom

Informacijska imovina tvrtke je sve ono što za tu tvrtku predstavlja odreñenu vrijednost i samim time se treba zaštititi.Informacijska imovina se može klasificirati na:� Informacije (baze podataka, datoteke, dokumenti …)�Programsku podršku (aplikacije, sistemski SW …)�Fizičku imovinu (računalna i komunikacijska oprema,

mediji …)�Usluge (računalne, opće – napajanje, klima …)�Ljudske resurse


© ZIH

Popis imovine(A.7.1.1)

identifikacija imovine (vrijednost i važnost)

popis imovine s dogovorenim i dokumentiranim vlasništvom, klasifikacijom i razinom zaštite


© ZIH

Vlasništvo nad imovinom (A.7.1.2)

Sve informacije i sva imovina vezana uz opremu za obradu informacija trebala bi biti vlasništvo odreñenog dijela organizacije

Vlasnik imovine treba biti odgovoran za:�klasifikaciju informacija i imovine�odreñivanje i periodičko provjeravanje ograničenja i

klasifikacije pristupa u skladu s politikama kontrole pristupa


© ZIH

Kako na činiti popis imovine? -Polazište

Polazište: poslovni procesi Vaše organizacijeKategorizirati procese i donijeti odluku o kritičnosti svakog od njih za poslovanjeZa odabrane kritične procese radi se klasifikacija imovine i analiza rizikaOsigurati da je količina promatrane imovine takva da je upravljiva u analizi rizikaImovina nasljeñuje kritičnost od procesa kojima pripada“Kritičnost” je kombinacija “raspoloživosti”, “integriteta” i “povjerljivosti”


© ZIH

Funkcija

Informacijskeslužbe

Ostale službe

Financijskasredstva

Izlaznimaterijal

Rezultat/doga ñaj

Početnidoga ñaj

Informacijskeslužbe

Ostale službe

Financijskasredstva

Ulaznimaterijal

SoftwareLjudskiresursi

Organizacijskajedinica

RačunalaStrojevi

Podaci ookolišu

Cilj

PorukaPokre će

Odgovara

Procesira

njeU

potr

eba Upotreba

Izvršavanje, kontrola

UlaziIzlaz

Izlaz

(stvoren je)

Ulaz

(procesira se)

Kon

trol

ira

Transformira

Organizacijski tok/Tok resursa

Tok nadzora

Tok informacija

Tok informacijskih usluga

Tok materijalnih resursa

Tok financijskih resursa

Opći model poslovnog procesa

UslugeKoristi

Klju čne osobe

Obavljaju


© ZIH

Klasifikacija informacijske imovine(A.7.2)

NORMALNAUmjerena, Niska, Bez utjecajaUobičajenNeklasificirano

VISOKAStandardnaUobičajenNeklasificirano

VISOKAStandardna, Umjerena, Niska ili Bez utjecaja

VažanNeklasificirano

VISOKAStandardna, Umjerena, Niska ili Bez utjecaja

Važan ili UobičajenPovjerljivo ili Ograničeno

VRLO VISOKAKritična ili VisokaVažan ili UobičajenPovjerljivo, Ograničeno ili Neklasificirano

VRLO VISOKAKritična, Visoka, Standardna, Umjerena, Niska ili Bez

utjecaja

NužanPovjerljivo, Ograničeno ili Neklasificirano

VRLO VISOKAKritična, Visoka, Standardna, Umjerena, Niska ili Bez

utjecaja

Nužan, Važan ili UobičajenVrlo tajno ili Tajno

Klasifikacijska oznakaRaspoloživostIntegritetPovjerljivost

BPR SP & BSC ISMS ISO 9001 nadzor IS-a

© ZIH

UPRAVLJANJE SIGURNOSNIM

RIZICIMA


© ZIH

Položaj rizika u ISMS-u


© ZIH

Što je sigurnosni rizik?

Rizik predstavlja kombinaciju vjerojatnosti ostvarenja odreñene prijetnje i njezinih posljedica na imovinu.Upravljanje rizikom obuhvaća:�Procjenu rizika�Obradu rizika

�Prihvaćanje rizika i�Priopćenje


© ZIH

Prijetnja

Predstavljaju potencijalni uzrok neželjenog incidenta koji može rezultirati ugrožavanjem sustava ili organizacije i njezine imovine. Može biti slučajna ili namjerna. Predmet prijetnji je uvijek imovina tvrtke.Neke od prijetnji jesu:

�Prirodne katastrofe (potres, poplava, grom …)�Prijetnje uzrokovane ljudskim djelovanjem (slučajne i namjerne)�Tehnologija (kvar opreme, nesukladna oprema …)�Prijetnje uzrokovane organizacijskim propustima (nedostatak

kontrolnih mehanizama, pravila …)


© ZIH

Ranjivost

Ranjivost je slabost imovine koju jedna ili više prijetnji mogu iskoristiti. Ranjivost sama po sebi ne uzrokuje štetu, ali ako doñe do incidenta i njome se ne upravlja na pravilan način, tada šteta nastaje.

Neke od ranjivosti su:�Nezaštićen fizički pristup osjetljivim prostorima�Nepostojanje UPS-a�Nekorištenje antivirusnih programa�Nedefinirana pravila logičkog pristupa aplikacijama


© ZIH

učestalost

posljedice

Funkcija rizika

Rizik = f(» vjerojatnosti prijetnje» vrijednosti imovine» razine ranjivosti imovine» utjecaja prijetnje na imovinu» itd....» )


© ZIH

Izvori i oblici prijetnji informacijskoj imovini

PoplavaNeodgovarajuća organizacija

PotresNeznanje

Oluja Nemar

Incidentne situacijeNedisciplina

PožarNepažnja

LJUDI- NENAMJERNI

UTJECAJ

Onečišćenja

PRIRODA

Uništenje

ZračenjaSabotaža

Prekidi komunikacijeVirusi i drugo

Ispadi opremePrisluškivanje

Prestanak napajanjeKraña

Tehnička pogreška opreme

OPREMA

Neautorizirani pristup

LJUDI S ATRIBUCIJOM

NAMJERE

OBLIKIZVOROBLIKIZVOR

PRIJETNJE


© ZIH

Procjena rizika - primjer

Rizik se izračunava kao:

R = PT * IT

Tabela razina rizika

000Bez utjecaja (0)

123Nizak (1)

246Srednji (2)

369Visok (3)

Niska (1)Srednja(2)Visoka(3) Utjecaj štete (I T)

Vjerojatnost ostvarenja prijetnje ( PT)


© ZIH

Obrada rizika

Postoje 4 mogućnosti obrade rizika:1. Primjenjivanje odgovarajućih kontrola za

smanjenje rizika2. Svjesno i objektivno prihvaćanje rizika (ako on

zadovoljava politiku organizacije i kriterije za prihvaćanje rizika)

3. Izbjegavanje rizika 4. Prijenos rizika na druge strane, npr.

osiguravatelje ili dobavljače


© ZIH

Koje kontrole odabrati?

Kontrole mogu uključivati:Kontrole iz ISO/IEC 27001:2005 Anex AKontrole iz zakona i ostalih regulativaZahtjeve korisnikaZahtjeve organizacijeOstale važeće kontrole


© ZIH

ODNOS RIZIKA I TROŠKA SIGURNOSTI

Investicije(trošak)

Investicije

Rizici

Cilj

Max Min

Veličinarizika

SVRHA - Odrediti prihvatljiv rizik


© ZIH

Obavezni dokumenti vezani za rizike po ISO 27001

�Metodologija procjene i postupanja s rizicima

�Izvješće o procjeni rizika �Plan postupanja s rizicima�Izjava o primjenjivosti - SOA


© ZIH

Izjava o primjenjivosti (SOA)

Izjava o primjenjivosti - SOA (Statement of Applicability) je dokument u koji se zapisuju razlozi odabira tj. isključenja pojedinih kontrola.


© ZIH

IMPLEMENTACIJA I MJERENJE UČINKOVITOSTI ISMS-a

Odabrane sigurnosne kontrole implementiraju se kroz:

Organizaciju za sigurnostDokumentaciju (politike, procedure, upute, …)Fizičku provedbu sigurnosnih mjeraInstalaciju i konfiguraciju softvera u skladu sa sigurnosnim zahtjevimaObuku osobljaProcjene itd.


© ZIH

Politika informacijske sigurnosti kao krovni dokument

Korporativna poslovna politika(proizašla iz ciljeva i strategije)

Korporativna politika sigurnosti

Politika informacijske sigurnosti

Politika ICT sigurnosti

Politika ICT sigurnosti na razini odjela (PJ)

Sustav BPolitika ICT sigurnosti

sustava A

Korporativna ICT politikaDruge politike

Korporativna politika razvoja,prodaje itd


© ZIH

Zahtjevi norme ISO 27001:2005

4. Sutav upravljanja informacijskom sigurnošću5. Odgovornost uprave

6. Interne procjene ISMS-a7. Ocjena sustava od strane uprave

8. Poboljšanja ISMS-aAnex A


© ZIH

Annex A

A.5 Politika sigurnostiA.6 Organizacija informacijske sigurnostiA.7 Upravljanje imovinomA.8 Sigurnost ljudskog potencijalaA.9 Fizička sigurnost i sigurnost okruženjaA.10 Upravljanje komunikacijama i operacijamaA.11 Kontrola pristupaA.12 Nabava, razvoj i održavanje informacijskih

sustavaA.13 Upravljanje sigurnosnim incidentomA.14 Upravljanje kontinuitetom poslovanjaA.15 Sukladnost


© ZIH

Veza normi ISO 27001:2005 i ISO 27002:2005

ISO 27001 - Anex A: A.5A.6A.7A.8A.9A.10A.11A.12A.13A.14A.15

ISO 27002:Klauzula 5Klauzula 6Klauzula 7Klauzula 8Klauzula 9Klauzula 10Klauzula 11Klauzula 12Klauzula 13Klauzula 14Klauzula 15


© ZIH

Zakonska regulativa RH u podru čju informacijske sigurnosti

Zakon o informacijskoj sigurnosti

Uredba o mjerama informacijske sigurnosti

PravilniciStandardi informacijske sigurnosti

•Pravilnik o standardima sigurnosne provjere•Pravilnik o standardima fizičke sigurnosti•Pravilnik o standardima sigurnosti podataka•Pravilnik o standardima organizacije i upravljanja područjem sigurnosti informacijskih sustava•Pravilnik o standardima sigurnosti poslovne suradnje

Zakon o tajnosti podataka

Zakon o pravu na pristup informacijama

Zakon o zaštiti osobnih podataka

Zakon o autorskom pravu i srodnim pravima


© ZIH

Pripreme za implementaciju ISMS-a

Pripremne radnje za implementaciju ISMS-a obuhvaćaju:

Pregled i ovjeru dokumentacije ISMS-aDistribuciju dokumentacije svima na koje se odnosi (djelatnici i treća strana)

Edukaciju i osvješćivanje djelatnika


© ZIH

Edukacija djelatnika

Pri implementaciji ISMS-a potrebno je provesti više vidova edukacije:�Obuku djelatnika za postupanje u skladu sa

zahtjevima norme ISO 27001:2005 i ISMS dokumentacijom koja se na njih odnosi, uz obavezni osvrt na njihove odgovornosti

�Obuku internih procjenitelja koji će provoditi interne procjene ISMS-a

�Awareness radionice za podizanje svijesti o informacijskoj sigurnosti - kontinuirano


© ZIH

Implementacija sustava i ono što slijedi

Nakon provedenih pripremnih radnji, sustav se implementira i kontinuirano nadzire i poboljšava:�Provode se interne procjene primjene sustava u

praksi�Analiziraju se rezultati procjena i otklanjaju

nesukladnosti�Prate se metrike za mjerenje učinkovitosti

implementiranih kontrola�Uprava vrši ocjenu sustava na temelju informacija o

njegovom funkcioniranju, dobivenih iz različitih izvora

uČinkovita implementacija cjelovitih sustava … · plan : definiranje ciljeva i procesa isms-a...

Documents