Prezentacija "Information security management system" koju je Dragan Aleksić održao na konferenciji Informatika 2010 u maju 2010. godine.

1. INFORMATIKA 2010
ISMS - Information Security Management System
(Систем за управљање безбедношћу информација)
прве три године у Србији - поглед оцењивача
Драган Алексић, водећи оцењивач DAS Serbia
dragan.aleksic@yahoo.com
12. Maj 2010. 1

2. INFORMATIKA 2010
Информација као ресурс
Информација је значајан пословни ресурс и
представља имовину која мора бити адекватно
заштићена, како би се омогућило нормално
пословање организације.
- Брзо овладавање
информацијом сваке врсте
постало је императив али и
мора модерног света.
- Прелазак са информација на
папиру на информације на ИТ
медијима и у виртуелном
облику
12. Maj 2010. 2

3. INFORMATIKA 2010
Нека од питања која се постављају
приликом коришћења информација су:
Шта радити ако су критични
подаци уништени?
Шта предузети ако су архиве у
којима се подаци чувају
оштећене?
Да ли су подаци које користимо
поуздани?
Где брзо пронаћи информације
које су нам потребне за
одлучивање?
12. Maj 2010. 3

4. INFORMATIKA 2010
Зашто нам је потребан ISMS?
Организације све више зависе од информационих
вредности
Корисници информација (интерни & екстерни) захтевају
већу доступност
Конкуренција расте и безбедност информација постаје
императив
Број инцидената који угрожавају континуитет операција је
у порасту
Нови закони из ове области
Укратко, један прекршај безбедности може:
Уништити репутацију компаније
Поништити вредност пословања
Уништити основу, и
Компромитовати будуће зараде
12. Maj 2010. 4

5. INFORMATIKA 2010
ISO/IEC 27001 – ISMS захтеви
Два најважнија стандарда коришћена у
организацијама од 2005. године су
ISO/IEC 27001:2005 познат и као ISMS
(захтеви за сертификацију Система за
безбедност информација) и
ISO/IEC 27002:2005 (најбоља пракса и
упутство за примену Система за безбедност
информација) – претходна ознака ISO/IEC
17799:2005
12. Maj 2010. 5

6. INFORMATIKA 2010
Хармонизација са осталим стандардима
12. Maj 2010. 6

7. INFORMATIKA 2010
Структура стандарда из серије ISO/IEC 27000
...
12. Maj 2010. 7

8. INFORMATIKA 2010
Шта је ISMS?
ISMS је средство којим највише руководство
прати и контролише безбедност информација,
умањује резидуалне пословне ризике и
обезбеђује да безбедност информација стално
задовољава корпоративне, законске и захтеве
корисника.
ISMS International User Group
12. Maj 2010. 8

9. INFORMATIKA 2010
ISMS
Осигурава идентификацију кључних информационих
ресурса организације и имплементацију одговарајућих
безбедоносних контрола
Осигурава да су сви ризици узети у обзир и да су
изабране контроле:
Применљиве
Исплативе
ЕФИКАСНЕ
Осигурава да су процедуре имплементиране, особље
обучено, и да је цела организација свесна значаја
безбедности информација
12. Maj 2010. 9

10. INFORMATIKA 2010
Безбедност информација
Безбедност информација се посматра из три
аспекта:
Поверљивост – осигуравање да информација
буде приступачна само ауторизованим
(овлашћеним) особама;
Интегритет – осигуравање тачности и
комплетности информација и метода
процесирања и
Расположивост – давање гаранције да ће
ауторизоване особе имати приступ
инфорамцијама и придруженим информационим
ресурсима када год поставе такав захтев.
12. Maj 2010. 10

11. INFORMATIKA 2010
Ризик и контрола ризика
Пословање подразумева ризик.
Ризик свакодневног пословања:
Преваре
Неауторизоване модификације
Крађа сервиса/услуге
Ометање пословних процеса
Природне катастрофе
Неауторизовани приступ кључним ресурсима
12. Maj 2010. 11

12. INFORMATIKA 2010
Утицај ризика по индустријским секторима
12. Maj 2010. 12

13. INFORMATIKA 2010
30% претњи долази
изван организације Firewall
Заштита мреже
Заштита рачунара
Системске
датотеке Унутрашњи
и подаци напади
Квалитет
софтвера
Грешке (софтверске,
(софтверске,
хардверске, људске)
хардверске, људске)
70% претњи налази се
12. Maj 2010. унутар саме организације 13

14. INFORMATIKA 2010
Анализа ризика
Анализа ризика треба да идентификује све
претње и рањивости, процени ризике и њихов
утицај на пословање, изврши избор контрола
које ће елиминисати или ублажити утицај
ризика, прихватити ризике и живети са њима.
12. Maj 2010. 14

15. INFORMATIKA 2010
Планови за третман ризика
Догађај
Претња
Користи
Третман ризика
Рањивост
Нарушава Избегавање ризика
Имовина
Узрокује
Прихватање ризика
Штетан
утицај
Трансфер ризика
Шта је ризик?
Смањење ризика
Шта треба да радимо?
Пропорционалност контроле треба да одговарају
ризику
Одлучити које од 133 контроле дате у анексу А су Избор контрола
применљиве - SOA
Изабрати одговарајуће
контроле
12. Maj 2010. 15

16. INFORMATIKA 2010
Структура контрола
из прилога А стандарда ISO/IEC 27001:2005
12. Maj 2010. 16

17. INFORMATIKA 2010
Значај организационе заштите
ИТ заштита није само техничко, већ пре свега, организационо-управљачко питање
свега
12. Maj 2010. 17

18. INFORMATIKA 2010
Управљање инцидентима
Извештавање о догађајима
нарушавања безбедности информација
и слабостима заштите
Менаџмент инцидентима нарушавања
безбедности и побољшања
Обавезе, одговорности и процедуре
Сакупљање знања из инцидената
нарушавања безбедности
12. Maj 2010. 18

19. INFORMATIKA 2010
План континуитета пословања
Посебно значајни аспекти
приликом имплементације
ISMS јесу:
анализа информационих
ресурса и ризика
повезаност ресурса са
кључним пословним
процесима
власништво над ресурсима и
процесима
план континуитета за њихов
брз опоравак у критичним
ситуацијама
12. Maj 2010. 19

20. INFORMATIKA 2010
Препоруке за примену
Пројекат имплементације Система безбедности
информација је веома сложен и у њему морају
учествовати сви запослени а најзначајније је учешће
руководства;
Боље повезивање кључних пословних процеса са
безбедношћу информација и планом континуитета
пословања;
Значајна веза постоји између ISO 9001:2008 i ISO/IEC
27001:2005, односно интеграције у домену управљања
документима и записима, интерним проверама,
неусаглашеностима, корективними превентивним мерама
и на крају кроз преиспитивање система;
Свеобухватнија процена и класификација
информационих вредности организације и њихова
припадност пословним процесима;
12. Maj 2010. 20

21. INFORMATIKA 2010
Препоруке за примену
Садржајнија анализа ризика и стална процена ризика код
промена у информационом и пословном систему;
Недовољно и површно означавање и поступање са
информацијама;
Недовољна обука запослених, поготову у препознавању
инцидената и догађаја нарушавања безбедности
информација;
Повезивање инцидената са информационим вредностима
и повратне информације за нову анализу ризика;
Примена организационих решења испред техничких –
велике уштеде се могу постићи бољом организацијом и
расподелом одговорности, применом процедура и
политика безбедности;
12. Maj 2010. 21

22. INFORMATIKA 2010
Закључак
Применом и сертификацијом ISMS добијамо:
Промену свести о значају безбедности информација
Детаљну анализу информационих ресурса које
поседујемо
Контрoлисане ризике и смaњене губитке
Усаглашеност сa индустријским и законским стандардима
Пoуздану услугу
Боље разумевање пословних информација
Брже управљање пословним процесима
Смањен број и утицај безбедоносних инцидената
Спремност на деловање у кризним ситуацијама
Интернационално признати сертификат
12. Maj 2010. 22

23. INFORMATIKA 2010
Хвала на пажњи.
Питања?
Комуницирајте
dragan.aleksic@yahoo.com
12. Maj 2010. 23