SlideShare une entreprise Scribd logo
1  sur  36
IMPLEMENTACIJA ISMS PREMA
STANDARDU ISO/IEC 27001:2013
Dr. Zdenko Adelsberger
Trener, konzultant i auditor za
RM, BCMS, ISMS, ITSMS, QSM, OHSAS
zdenko@bluefield.hr
www.bluefield.hr
ICT Security 2015
Kladovo, 14-16 maj 2015.
Agenda
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 2
• Značaj informacijske sigurnosti
• Upravljanje rizicima kao temelj informacijske sigurnosti
• Sistemski pristup upravljanju informacijskom sigurnošću
• Standardi za upravljanje informacijskom sigurnošću
• Implementacija informacijske sigurnosti
• Dokazivanje uspješnosti implementacije
• Poboljšanje informacijske sigurnosti
• Zaključak
Realna i virtualna domena kompanije
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 3
REALNA
domena
INFORMACIJSKA
(virtualna) domena
Dokumentacija
+
Zapisi
Ilustracija mehanizma rizika (hakerskog napada)
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 4
Prijetnja
Ranjivost
objekta
Sigurnosni
događaj
(incident)
Posljedica
Sigurnosne mjere
(Mjere zaštite)
Izvor
prijetnje
X
Odnos rizika i elemenata koji dovode do rizika
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 5
RIZIK
Posljedica
RIZIK
Posljedica
Vjerojatnost
a b
Rizik = Prijetnja & Ranjivost & Posljedica Rizik = Vjerojatnost & Posljedica
Rizik = Prijetnja * Ranjivost * Posljedica Rizik = Vjerojatnost * Posljedica
Funkcionalna
relacija
Matematička
relacija
Napomena: Vjerojatnost ≠ Prijetnja * Ranjivost
Nivo informacijske sigurnosti
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 6
Nivo informacijske sigurnosti je kompromis između prihvatljivog
rizika i investicije u sigurnost.
RIZIK
SIGURNOST
Skala prihvatljivosti rizika,
odnosno sigurnosti, određuje
se preko sigurnosne politike
Značenje pojma ISMS
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 7
ISMS = Information Security Management System
(Sistem za upravljanje sigurnošću informacija)
Naglasak je na: “SISTEM ZA UPRAVLJANJE”
Resursi
Pravila
Sistem upravljanja
Ulazni zahtjevi
(poslovni ciljevi)
Zadovoljenje
ulaznih zahtjeva
(poslovnih ciljeva)
Elementi sistema upravljanja
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 8
Misija
Vizija
Politike
Procesi
Strategije
Ciljevi
Ciljevi
Funkcija
upravljanja
je osigurati
postizanje
ciljeva i
poboljšanje
Sigurnost
postizanja ciljeva
temelji se na:
UPRAVLJANJU
RIZICIMA
Postizanje
poboljšanja temelji
se na:
MJERENJU
UČINKOVITOSTI
Ciljevi
Informacijski sistemi su uvijek postojali
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 10
IS
IT
IS
IT
Što je informacija?
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 11
Signali
(znakovi)
7910 je
PODATAK
7910
PIN: 7910
7910 je
INFORMACIJA
(kontekst označava
da je to PIN kartice)
(može biti npr.
nadmorska visina, prva
kozmička brzina, profit
organizacije, itd.)
0001111011100110
1EE6
Aspekti informacije
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 12
CJELOVITOST
Integrity
RASPOLOŽIVOST
Availability
INFORMACIJA
TAJNOST
Confidentiality
Relevantni nosioci informacija u poslovnom sistemu
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 13
Informacije na
serverima i mreži Informacije na lokalnim
kompjuterima
Informacije prenošene
telefonskim linijama i/ili
Internetom
Informacije zapisane
na papiru Informacije štampane
na papiru
Informacije spremljene
na diskovima, trakama,
CD-ovima, USB memorijama,
...
Informacije fax
strojeva
Zaposlenici i
partneri
Odnos ISO/IEC 27001 prema informaciji
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 14
“Informacija je imovina koja
kao i ostala važna imovina u
poslovanju ima vrijednost za
organizaciju i mora biti stalno
odgovarajuće štićena.”
U kontekstu ISO/IEC 27001 pod štićenjem informacija se smatra
očuvanje aspekata informacije: tajnosti, cjelovitosti i raspoloživosti.
(C-I-A)
Informacijska imovina
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 15
Komponente sigurnosnog rješenja
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 16
Tehnička
rješenja Organizacijska
rješenja
Procjena
rizika
Politike
ProcedureSvjesnostLegitimnost
20% 80%SIGURNOSNO
RJEŠENJE
Upravljanje informacijskom sigurnošću obuhvaća tri široka područja
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 17
Upravljanje
informacijskom
sigurnošću
Upravljanje
ICT i fizičkom
zaštitom
Upravljanje
legislativom,
regulativom i
ugovornim obvezama
Upravljanje
ljudima, procesima,
poslovanjem, operacijama,
treningom / sviješću
Križ standarda za ISMS
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 18
Nacionalna
legislativa
MODEL
ISO/IEC 27001
Rječnik i definicije
ISO/IEC 27000
PROPISI
ISO 19011
ISO/IEC 27007
ISO/IEC 27008
AKREDITACIJA
ISO 17021
ISO/IEC 27006
Dodatni standardi
ISO/IEC 270xx
Kratka povijest ISO 27000ff
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 19
• 1992
The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security
Management'.
• 1995
This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.
• 1996
Support and compliance tools begin to emerge, such as COBRA.
• 1999
The first major revision of BS7799 was published. This included many major enhancements.
Accreditation and certification schemes are launched.
• 2000
In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).
• 2001
The 'ISO 17799 Toolkit' is launched.
• 2002
A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It
begins the process of alignment with other management standards such as ISO 9000.
• 2005
A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..
• 2005
ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management
system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001
• 2013
ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security
management system)
Odnosi relevantnih standarda za informacijske sisteme
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 20
IT-GSHB
ISO 27001
ISO 13335
ITSEC/C
CobIT
Ne tehničkiTehnički
Usmjereno
na produkt
Usmjereno
na sistem
CobIT = Control Objectives for Information and Related Technology (http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx)
ITSEC/C = Information Technology Security Evaluation Criteria /Communication (http://www.iitsec.org/Pages/default.aspx)
IT-GSHB = IT-Grundschutzhandbuch (https://www.bsi.bund.de/)
Serija standarda
za ISMS
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 21
ISO/IEC 27001:2013
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 22
Information technology -- Security techniques –
Information security management systems -- Requirements
• Specifikacija zahtjeva za implementaciju, rad, nadziranje, provjeru,
održavanje i unapređivanje sistema upravljanja informacionom
sigurnošću (Information Security Management System - ISMS);
• osnova za procjenu usuglašenosti (audit) od strane zainteresiranih
strana kada je u pitanju ISMS;
• temelj za obrazovanje specijalista za ISMS (kako za menadžere
ISMS, tako i za auditore ISMS);
• Osnovna norma za ISMS (sve ostale norme ove serije su smjernice -
upute).
Koristi od primjene ISMS standarda
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 23
• Stvaranje viška vrijednosti
• Strukturiran način podržava proces specificiranja, implementacije, rada,
održavanje, isplativosti rješenja, integriranost i usklađenost ISMS-a;
• Promoviranje globalno prihvaćenih dobrih praksi informacijske sigurnosti;
• Povećanje povjerenja zainteresiranih strana u organizaciju;
• Zadovoljavanje socijalnih potreba i očekivanja, te
• Učinkovitija ulaganja menadžmenta u informacijsku sigurnost.
Prednost provedbe ISMS-a prvenstveno će biti vidljiva u smanjenju rizika
informacijske sigurnosti (tj. smanjenja vjerojatnosti, i/ili štete uzrokovane
informacijskim sigurnosnim incidentima). Ostvareni dobitak organizacije za
postizanje održivog uspjeha od usvajanja ISMS standarda su:
ISO/IEC 27001:2013
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 24
Foreword
0 Introduction
1 Scope
2 Normative references
3 Terms and definitions
4 Context of the organization
4.1 Understanding the organization and its context
4.2 Understanding the needs and expectations of interested parties
4.3 Determining the scope of the information security management system
4.4 Information security management system
5 Leadership
5.1 Leadership and commitment
5.2 Policy
5.3 Organizational roles, responsibilities and authorities
6 Planning
6.1 Actions to address risks and opportunities
6.2 Information security objectives and planning to achieve them
7 Support
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented information
8 Operation
8.1 Operational planning and control
8.2 Information security risk assessment
8.3 Information security risk treatment
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
9.2 Internal audit
9.3 Management review
10 Improvement
10.1 Nonconformity and corrective action
10.2 Continual improvement
Annex A (normative) Reference control objectives and controls
Bibliography
Sigurnosna područja prema 27001:2013 Aneks A
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 25
1 A.5. Politike informacijske sigurnosti
2 A.6. Organizacija informacijske sigurnosti
3 A.7. Sigurnost ljudskih resursa
4 A.8. Upravljanje imovinom
5 A.9. Kontrola pristupa
6 A.10. Kriptografija
7 A.11. Fizička sigurnost i sigurnost okoliša
8 A.12. Operativna sigurnost
9 A.13. Sigurnost komunikacija
10 A.14. Nabavka sistema, razvoj i održavanje
11 A.15. Odnosi s dobavljačima
12 A.16. Upravljanje incidentima informacijske sigurnosti
13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja
14 A.18. Usuglašenost
Dokumentacija za ISMS – dokumentirane informacije
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 26
Procedure
Radne upute,
check liste,
formulari
Zapisi
ISMS
DOKUMENTACIJA
Sigurnosne upute
(Manual)Sigurnosna politika,
područje djelovanja,
procjena rizika,
SoA
PROCEDURE:
tko, šta, kada, gdje?
RADNE UPUTE:
Detaljni opis zadataka i aktivnosti
ZAPISI:
Evidencije o sukladnosti s ISMS zahtjevima
NIVO 2
NIVO 3
NIVO 4
NIVO 1
OperativninivoOrganizacijskinivo
ISMS je poslovni proces
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 27
ISMS
Ulaznizahtjevi
Zadovoljeni
Ulaznizahtjevi
RESURSI
PRAVILA
PDCA model primijenjen na ISMS proces
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 28
PLAN
(uspostaviti ISMS)
Uspostaviti ISMS politiku, ciljeve, procese i
procedure važne za upravljanje rizikom i
poboljšanje informacijske sigurnosti kako bi
dali rezultate u skladu s ukupnom politikom
i ciljevima organizacije.
DO
(implementirati i
izvršavati ISMS)
Implementirati i izvršavati ISMS politiku,
kontrole, procese i procedure.
CHECK
(nadgledati i
provjeravati ISMS)
Procijeniti i gdje je primjenjivo, mjeriti
izvršavanje procesa u odnosu na ISMS
politiku, ciljeve i praktično iskustvo te
izvještavati upravu o rezultatima radi
provjere.
ACT
(održavati i
poboljšavati ISMS)
Poduzeti korektivne i preventivne akcije
zasnivane na rezultatima interne ISMS
prosudbe (audita) i provjere uprave ili
ostalim bitnim informacijama, kako bi se
postiglo stalno poboljšanje ISMS-a.
Zainteresirane
strane
Zahtjevi i
očekivanja
od
informacijske
sigurnosti
Zainteresirane
strane
Upravljana
informacijska
sigurnost
Usposta-
vljanje
ISMS
Implementacija
i pokretanje
ISMS
Kontrola i
nadgledanje
ISMS
Poboljšanje i
održavanje
ISMS
Projekt implementacije ISMS prema ISO/IEC 27001
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 29
Definiranje
opsega
Evidencija
imovine
Odgovornosti
Klasifikacija
Upravljanje
dokumentacijom
Plan procjene rizika
Izjava o
primjenljivosti
(SoA)
i preostalom
riziku
Implementacija
ISMS Procedure
za upravljanje
incidentima
Identifikacija i
implementacija
poboljšanja
Sigurnosna
politika
uprave
Procjena
rizika i
plan
obrade
Prihvaćanje
i odobrenje
uprave
Priprema
dokumentacije
Trening i
svijesnost
Monitoring,
pregledi,
testiranje,
audit
P D C A
USPOSTAVA
ISMS
(P – faza)
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 30
Definicija
područja i
obuhvata
ISMS
Korak 1
Definicija
sigurnosn
e politike
ISMS
Korak 2
Identifikacija
rizika
Korak 4
Analiza i
procjena
rizika
Korak 5
Obrada
rizika
Korak 6
Izbor ciljeva
sigurnosnih
mjera i
kontrola
Korak 7
Osiguranje
autorizacije
uprave za
implementaci
ju ISMS
Korak 9
Priprema
dokumenta:
Izjava o
primjenljivost
i
Korak10
Osiguranje
uprave za
odobrenje i
prihvaćanje
preostalog
rizika
Korak 8
Dokument
Područje
ISMS
Dokument
Sigurnosn
a politika
Lista rizika i
popisa
imovine
Izvještaj o
rezultatima
procjene
rizika
Izvještaj o
rezultatima
obrade
rizika
Standard za
mjerenje
rizika
Pisano
odobrenje
za preostali
rizik
Izjava o
primjenljivos
ti
(SoA)
Informacijska imovina, prijetnje, ranjivost i posljedice
Definicija
metode
procjene
rizika
Korak 3
Faza 1 Faza 2 Faza 3
Standardi za implementaciju
upravljanja rizicima (prisup
organizacije, metode i analize
za postizanja zahtjevanog
nivoa sigurnosti)
• Lista potencijalnih
ciljeva i
sigurnosnih mjera
(kontrola)
• Lista dodatnih
kontrola koje nisu
definirane u ISMS
certifikacijskim
kriterijima
Faze implementacije ISMS
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 31
P
DC
A
PROJEKT
IMPLEMENTACIJE
ISMS
PROCES
UPRAVLJANJA
ISMS
AUDIT
(CERTIFIKACIJA)
Početak
projekta
implementacije
ISMS
PRIPREMA ZA
PROJEKT
IMPLEMENTACIJE
ISMS
•Animacija vrhovne uprave
•Obrazovanje tima za
implementaciju (procjenu rizika)
Mjerenje ISMS-a: zašto i kako?
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 32
Zato što standard
ISO/IEC 27001
eksplicitno zahtjeva
mjerenja na niz mjesta
!!!
Zato što apsolutno vrijedi
konstatacija koju je izrekao
Kelvin, Lord William Thomson,
1824-1907:
„Kada ono, o čemu govorite,
možete izmjeriti i brojčano izraziti,
onda Vi o tome i nešto znate – ali
ako ne možete izmjeriti i brojčano
izraziti, onda je Vaše znanje
mršavo i nezadovoljavajuće
vrste!”
Zato što su mjerenja preduvjet temeljnog zahtjeva svakog sistema
upravljanja: POBOLJŠANJE
Što mjeriti kod ISMS ?
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 33
Učinkovitost
(efektivnost) je pojam
pod kojim se
podrazumijeva
izvođenje pravih stvari
(aktivnosti) koje
dovode do ostvarenja
cilja.
Efikasnost
se definira kao
ostvarenje nekog cilja
s minimumom
troškova, napora ili
gubitaka.
PRAVA STVAR na PRAVI NAČIN
Ocjenjivanje uspješnosti ISMS – Interni audit
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 34
ISO/IEC
27001
ISO
19011
ISO/IEC
27007
ISO/IEC
27008
Nacionalna
legislativa
Organizacijski
dokumenti
Obligatorni
zahtjevi
partnera
INTERNI AUDIT
Kontinuirano poboljšanje
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 35
Organizacija mora kontinuirano provoditi primjereno i učinkovito
poboljšanje sistema upravljanja informacijskom sigurnošću.
PDCA ciklus
poboljšanja
Zaključak
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 36
• Uspostavljanje i poboljšanje ISMS-a je poslovna potreba svih
organizacija u cilju očuvanje ključnog resursa – INFORMACIJE
• Uspostavljanje ISMS-a stvara doprinos povećanja viška vrijednosti
• Uspostavljanje ISMS-a ponekad je zakonska ili obligatorna obaveza
• Uspostavljeni ISMS ne garantira uspješno poslovanje, ali neuspješni
ISMS garantira propast kompanije – pitanje je samo vremena.
Hvala na pažnji …
Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 37
Pitanja
Komentari

Contenu connexe

Tendances

GDPR and ISO 27001 - how to be compliant
GDPR and ISO 27001 - how to be compliantGDPR and ISO 27001 - how to be compliant
GDPR and ISO 27001 - how to be compliantIlesh Dattani
 
c. AWARENESS ISO INTEGRATED ISO 27001 & 20000-1 PROSIA.pptx
c. AWARENESS ISO INTEGRATED ISO 27001 & 20000-1 PROSIA.pptxc. AWARENESS ISO INTEGRATED ISO 27001 & 20000-1 PROSIA.pptx
c. AWARENESS ISO INTEGRATED ISO 27001 & 20000-1 PROSIA.pptxAliFRizaldi1
 
Cybersecurity Risk Management Program and Your Organization
Cybersecurity Risk Management Program and Your OrganizationCybersecurity Risk Management Program and Your Organization
Cybersecurity Risk Management Program and Your OrganizationMcKonly & Asbury, LLP
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyControlCase
 
Cybersecurity in Automotive Connected Vehicles and Growing Security Vulnerabi...
Cybersecurity in Automotive Connected Vehicles and Growing Security Vulnerabi...Cybersecurity in Automotive Connected Vehicles and Growing Security Vulnerabi...
Cybersecurity in Automotive Connected Vehicles and Growing Security Vulnerabi...BIS Research Inc.
 
Introduction to Cybersecurity
Introduction to CybersecurityIntroduction to Cybersecurity
Introduction to CybersecurityKrutarth Vasavada
 
Cybersecurity Maturity Model Certification
Cybersecurity Maturity Model CertificationCybersecurity Maturity Model Certification
Cybersecurity Maturity Model CertificationMurray Security Services
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001Imran Ahmed
 
ISMS Awareness IT Staff
ISMS Awareness IT StaffISMS Awareness IT Staff
ISMS Awareness IT StaffTooba Khaliq
 
Looking Forward: What to Expect With PCI 4.0
Looking Forward: What to Expect With PCI 4.0Looking Forward: What to Expect With PCI 4.0
Looking Forward: What to Expect With PCI 4.0SureCloud
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
Internet Of Things Market Analysis Powerpoint Presentation Slides
Internet Of Things Market Analysis Powerpoint Presentation SlidesInternet Of Things Market Analysis Powerpoint Presentation Slides
Internet Of Things Market Analysis Powerpoint Presentation SlidesSlideTeam
 
Security and management
Security and managementSecurity and management
Security and managementArtiSolanki5
 
Cybersecurity Skills in Industry 4.0
Cybersecurity Skills in Industry 4.0Cybersecurity Skills in Industry 4.0
Cybersecurity Skills in Industry 4.0Eryk Budi Pratama
 

Tendances (20)

GDPR and ISO 27001 - how to be compliant
GDPR and ISO 27001 - how to be compliantGDPR and ISO 27001 - how to be compliant
GDPR and ISO 27001 - how to be compliant
 
c. AWARENESS ISO INTEGRATED ISO 27001 & 20000-1 PROSIA.pptx
c. AWARENESS ISO INTEGRATED ISO 27001 & 20000-1 PROSIA.pptxc. AWARENESS ISO INTEGRATED ISO 27001 & 20000-1 PROSIA.pptx
c. AWARENESS ISO INTEGRATED ISO 27001 & 20000-1 PROSIA.pptx
 
Cybersecurity Risk Management Program and Your Organization
Cybersecurity Risk Management Program and Your OrganizationCybersecurity Risk Management Program and Your Organization
Cybersecurity Risk Management Program and Your Organization
 
DPIA
DPIADPIA
DPIA
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of Privacy
 
Cybersecurity in Automotive Connected Vehicles and Growing Security Vulnerabi...
Cybersecurity in Automotive Connected Vehicles and Growing Security Vulnerabi...Cybersecurity in Automotive Connected Vehicles and Growing Security Vulnerabi...
Cybersecurity in Automotive Connected Vehicles and Growing Security Vulnerabi...
 
Introduction to Cybersecurity
Introduction to CybersecurityIntroduction to Cybersecurity
Introduction to Cybersecurity
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Cybersecurity Maturity Model Certification
Cybersecurity Maturity Model CertificationCybersecurity Maturity Model Certification
Cybersecurity Maturity Model Certification
 
ISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemISO 27001 - Information Security Management System
ISO 27001 - Information Security Management System
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001
 
ISMS Awareness IT Staff
ISMS Awareness IT StaffISMS Awareness IT Staff
ISMS Awareness IT Staff
 
Looking Forward: What to Expect With PCI 4.0
Looking Forward: What to Expect With PCI 4.0Looking Forward: What to Expect With PCI 4.0
Looking Forward: What to Expect With PCI 4.0
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
 
GDPR and Security.pdf
GDPR and Security.pdfGDPR and Security.pdf
GDPR and Security.pdf
 
Internet Of Things Market Analysis Powerpoint Presentation Slides
Internet Of Things Market Analysis Powerpoint Presentation SlidesInternet Of Things Market Analysis Powerpoint Presentation Slides
Internet Of Things Market Analysis Powerpoint Presentation Slides
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 Benefits
 
Security and management
Security and managementSecurity and management
Security and management
 
Cybersecurity Skills in Industry 4.0
Cybersecurity Skills in Industry 4.0Cybersecurity Skills in Industry 4.0
Cybersecurity Skills in Industry 4.0
 
SOC for Cybersecurity Overview
SOC for Cybersecurity OverviewSOC for Cybersecurity Overview
SOC for Cybersecurity Overview
 

En vedette

Vojkan Vasković, Fakultet organizacionih nauka Beograd: „Plaćanja preko Inter...
Vojkan Vasković, Fakultet organizacionih nauka Beograd: „Plaćanja preko Inter...Vojkan Vasković, Fakultet organizacionih nauka Beograd: „Plaćanja preko Inter...
Vojkan Vasković, Fakultet organizacionih nauka Beograd: „Plaćanja preko Inter...goranvranic
 
Dragan Jovičić, PwC Srbija: „Važnost ISMS-a u e-Business-u“
Dragan Jovičić, PwC Srbija: „Važnost ISMS-a u e-Business-u“Dragan Jovičić, PwC Srbija: „Važnost ISMS-a u e-Business-u“
Dragan Jovičić, PwC Srbija: „Važnost ISMS-a u e-Business-u“goranvranic
 
Zlatibor integracija iso27001 i iso20000
Zlatibor   integracija iso27001 i iso20000Zlatibor   integracija iso27001 i iso20000
Zlatibor integracija iso27001 i iso20000Dejan Jeremic
 
Animacija-završno
Animacija-završnoAnimacija-završno
Animacija-završnoTklaric13
 
101 01-f07 assessment checklist - rev 1 - soaf
101 01-f07 assessment checklist - rev 1 - soaf101 01-f07 assessment checklist - rev 1 - soaf
101 01-f07 assessment checklist - rev 1 - soafchelliah selvavishnu
 
Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002pgpmikey
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsUppala Anand
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013  An Overview ISO/IEC 27001:2013  An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005ControlCase
 

En vedette (15)

Vojkan Vasković, Fakultet organizacionih nauka Beograd: „Plaćanja preko Inter...
Vojkan Vasković, Fakultet organizacionih nauka Beograd: „Plaćanja preko Inter...Vojkan Vasković, Fakultet organizacionih nauka Beograd: „Plaćanja preko Inter...
Vojkan Vasković, Fakultet organizacionih nauka Beograd: „Plaćanja preko Inter...
 
Dragan Jovičić, PwC Srbija: „Važnost ISMS-a u e-Business-u“
Dragan Jovičić, PwC Srbija: „Važnost ISMS-a u e-Business-u“Dragan Jovičić, PwC Srbija: „Važnost ISMS-a u e-Business-u“
Dragan Jovičić, PwC Srbija: „Važnost ISMS-a u e-Business-u“
 
Upravljanje imovinom
Upravljanje imovinom Upravljanje imovinom
Upravljanje imovinom
 
Zlatibor integracija iso27001 i iso20000
Zlatibor   integracija iso27001 i iso20000Zlatibor   integracija iso27001 i iso20000
Zlatibor integracija iso27001 i iso20000
 
Pregled standarda kvaliteta
Pregled standarda kvalitetaPregled standarda kvaliteta
Pregled standarda kvaliteta
 
3 1 standardi iso
3 1 standardi iso3 1 standardi iso
3 1 standardi iso
 
KATEGORIJA 8
KATEGORIJA 8KATEGORIJA 8
KATEGORIJA 8
 
Animacija-završno
Animacija-završnoAnimacija-završno
Animacija-završno
 
101 01-f07 assessment checklist - rev 1 - soaf
101 01-f07 assessment checklist - rev 1 - soaf101 01-f07 assessment checklist - rev 1 - soaf
101 01-f07 assessment checklist - rev 1 - soaf
 
ISO/IEC 27001:2005 naar ISO 27001:2013 Checklist
ISO/IEC 27001:2005 naar ISO 27001:2013  ChecklistISO/IEC 27001:2005 naar ISO 27001:2013  Checklist
ISO/IEC 27001:2005 naar ISO 27001:2013 Checklist
 
Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002
 
ISO 27001:2013 - Changes
ISO 27001:2013 -  ChangesISO 27001:2013 -  Changes
ISO 27001:2013 - Changes
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard Requirements
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013  An Overview ISO/IEC 27001:2013  An Overview
ISO/IEC 27001:2013 An Overview
 
Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005
 

Similaire à Adelsberger zdenko implementacija iso27001 2013

Case study: ISMS implementation according to 27001 standard
Case study: ISMS implementation according to 27001 standardCase study: ISMS implementation according to 27001 standard
Case study: ISMS implementation according to 27001 standardgabrijelavarga
 
Očuvanje podataka i neprekidnost poslovanja za sustav tvornice čokolade - Mar...
Očuvanje podataka i neprekidnost poslovanja za sustav tvornice čokolade - Mar...Očuvanje podataka i neprekidnost poslovanja za sustav tvornice čokolade - Mar...
Očuvanje podataka i neprekidnost poslovanja za sustav tvornice čokolade - Mar...Marija Barušić
 
Goran Vranić, InfoExpert Banja Luka: „BPM i Software Asset Management (SAM)“
Goran Vranić, InfoExpert Banja Luka: „BPM i Software Asset Management (SAM)“Goran Vranić, InfoExpert Banja Luka: „BPM i Software Asset Management (SAM)“
Goran Vranić, InfoExpert Banja Luka: „BPM i Software Asset Management (SAM)“goranvranic
 
SQuaRE zahtjevi za kvalitetom softvera - Marija Barušić
SQuaRE zahtjevi za kvalitetom softvera - Marija BarušićSQuaRE zahtjevi za kvalitetom softvera - Marija Barušić
SQuaRE zahtjevi za kvalitetom softvera - Marija BarušićMarija Barušić
 
Slavko Vidović, Infodom Grupa, „Strategija elektronskog poslovanja i provedbe...
Slavko Vidović, Infodom Grupa, „Strategija elektronskog poslovanja i provedbe...Slavko Vidović, Infodom Grupa, „Strategija elektronskog poslovanja i provedbe...
Slavko Vidović, Infodom Grupa, „Strategija elektronskog poslovanja i provedbe...goranvranic
 
Zdenko adelsberger - Auditiranje ISMS
Zdenko adelsberger - Auditiranje ISMSZdenko adelsberger - Auditiranje ISMS
Zdenko adelsberger - Auditiranje ISMSZdenko Adelsberger
 

Similaire à Adelsberger zdenko implementacija iso27001 2013 (7)

Case study: ISMS implementation according to 27001 standard
Case study: ISMS implementation according to 27001 standardCase study: ISMS implementation according to 27001 standard
Case study: ISMS implementation according to 27001 standard
 
30
3030
30
 
Očuvanje podataka i neprekidnost poslovanja za sustav tvornice čokolade - Mar...
Očuvanje podataka i neprekidnost poslovanja za sustav tvornice čokolade - Mar...Očuvanje podataka i neprekidnost poslovanja za sustav tvornice čokolade - Mar...
Očuvanje podataka i neprekidnost poslovanja za sustav tvornice čokolade - Mar...
 
Goran Vranić, InfoExpert Banja Luka: „BPM i Software Asset Management (SAM)“
Goran Vranić, InfoExpert Banja Luka: „BPM i Software Asset Management (SAM)“Goran Vranić, InfoExpert Banja Luka: „BPM i Software Asset Management (SAM)“
Goran Vranić, InfoExpert Banja Luka: „BPM i Software Asset Management (SAM)“
 
SQuaRE zahtjevi za kvalitetom softvera - Marija Barušić
SQuaRE zahtjevi za kvalitetom softvera - Marija BarušićSQuaRE zahtjevi za kvalitetom softvera - Marija Barušić
SQuaRE zahtjevi za kvalitetom softvera - Marija Barušić
 
Slavko Vidović, Infodom Grupa, „Strategija elektronskog poslovanja i provedbe...
Slavko Vidović, Infodom Grupa, „Strategija elektronskog poslovanja i provedbe...Slavko Vidović, Infodom Grupa, „Strategija elektronskog poslovanja i provedbe...
Slavko Vidović, Infodom Grupa, „Strategija elektronskog poslovanja i provedbe...
 
Zdenko adelsberger - Auditiranje ISMS
Zdenko adelsberger - Auditiranje ISMSZdenko adelsberger - Auditiranje ISMS
Zdenko adelsberger - Auditiranje ISMS
 

Plus de Dejan Jeremic

Konferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicKonferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicDejan Jeremic
 
Konferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicKonferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicDejan Jeremic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicDejan Jeremic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicDejan Jeremic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicDejan Jeremic
 
Konferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda MilenkovićKonferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda MilenkovićDejan Jeremic
 
Konferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana SimicKonferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana SimicDejan Jeremic
 
Asistivna tehnologija
Asistivna tehnologija Asistivna tehnologija
Asistivna tehnologija Dejan Jeremic
 
Podrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosaPodrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosaDejan Jeremic
 
Beskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog radaBeskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog radaDejan Jeremic
 
Lokalne usluge GCSR Beograd
Lokalne usluge  GCSR BeogradLokalne usluge  GCSR Beograd
Lokalne usluge GCSR BeogradDejan Jeremic
 
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranataPostupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranataDejan Jeremic
 
Deinstitucionalizacija
DeinstitucionalizacijaDeinstitucionalizacija
DeinstitucionalizacijaDejan Jeremic
 
Centar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi SadCentar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi SadDejan Jeremic
 
Podrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvuPodrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvuDejan Jeremic
 
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016Dejan Jeremic
 
Forenzička revizija
Forenzička revizijaForenzička revizija
Forenzička revizijaDejan Jeremic
 
Analiza ljudskih potencijala
Analiza ljudskih potencijalaAnaliza ljudskih potencijala
Analiza ljudskih potencijalaDejan Jeremic
 
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbraneSelekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbraneDejan Jeremic
 
Razvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada PancevoRazvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada PancevoDejan Jeremic
 

Plus de Dejan Jeremic (20)

Konferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicKonferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja Ilic
 
Konferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicKonferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan Djurdjevic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda MilenkovićKonferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda Milenković
 
Konferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana SimicKonferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana Simic
 
Asistivna tehnologija
Asistivna tehnologija Asistivna tehnologija
Asistivna tehnologija
 
Podrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosaPodrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosa
 
Beskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog radaBeskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog rada
 
Lokalne usluge GCSR Beograd
Lokalne usluge  GCSR BeogradLokalne usluge  GCSR Beograd
Lokalne usluge GCSR Beograd
 
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranataPostupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranata
 
Deinstitucionalizacija
DeinstitucionalizacijaDeinstitucionalizacija
Deinstitucionalizacija
 
Centar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi SadCentar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi Sad
 
Podrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvuPodrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvu
 
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
 
Forenzička revizija
Forenzička revizijaForenzička revizija
Forenzička revizija
 
Analiza ljudskih potencijala
Analiza ljudskih potencijalaAnaliza ljudskih potencijala
Analiza ljudskih potencijala
 
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbraneSelekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
 
Razvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada PancevoRazvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada Pancevo
 

Adelsberger zdenko implementacija iso27001 2013

  • 1. IMPLEMENTACIJA ISMS PREMA STANDARDU ISO/IEC 27001:2013 Dr. Zdenko Adelsberger Trener, konzultant i auditor za RM, BCMS, ISMS, ITSMS, QSM, OHSAS zdenko@bluefield.hr www.bluefield.hr ICT Security 2015 Kladovo, 14-16 maj 2015.
  • 2. Agenda Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 2 • Značaj informacijske sigurnosti • Upravljanje rizicima kao temelj informacijske sigurnosti • Sistemski pristup upravljanju informacijskom sigurnošću • Standardi za upravljanje informacijskom sigurnošću • Implementacija informacijske sigurnosti • Dokazivanje uspješnosti implementacije • Poboljšanje informacijske sigurnosti • Zaključak
  • 3. Realna i virtualna domena kompanije Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 3 REALNA domena INFORMACIJSKA (virtualna) domena Dokumentacija + Zapisi
  • 4. Ilustracija mehanizma rizika (hakerskog napada) Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 4 Prijetnja Ranjivost objekta Sigurnosni događaj (incident) Posljedica Sigurnosne mjere (Mjere zaštite) Izvor prijetnje X
  • 5. Odnos rizika i elemenata koji dovode do rizika Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 5 RIZIK Posljedica RIZIK Posljedica Vjerojatnost a b Rizik = Prijetnja & Ranjivost & Posljedica Rizik = Vjerojatnost & Posljedica Rizik = Prijetnja * Ranjivost * Posljedica Rizik = Vjerojatnost * Posljedica Funkcionalna relacija Matematička relacija Napomena: Vjerojatnost ≠ Prijetnja * Ranjivost
  • 6. Nivo informacijske sigurnosti Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 6 Nivo informacijske sigurnosti je kompromis između prihvatljivog rizika i investicije u sigurnost. RIZIK SIGURNOST Skala prihvatljivosti rizika, odnosno sigurnosti, određuje se preko sigurnosne politike
  • 7. Značenje pojma ISMS Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 7 ISMS = Information Security Management System (Sistem za upravljanje sigurnošću informacija) Naglasak je na: “SISTEM ZA UPRAVLJANJE” Resursi Pravila Sistem upravljanja Ulazni zahtjevi (poslovni ciljevi) Zadovoljenje ulaznih zahtjeva (poslovnih ciljeva)
  • 8. Elementi sistema upravljanja Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 8 Misija Vizija Politike Procesi Strategije Ciljevi Ciljevi Funkcija upravljanja je osigurati postizanje ciljeva i poboljšanje Sigurnost postizanja ciljeva temelji se na: UPRAVLJANJU RIZICIMA Postizanje poboljšanja temelji se na: MJERENJU UČINKOVITOSTI Ciljevi
  • 9. Informacijski sistemi su uvijek postojali Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 10 IS IT IS IT
  • 10. Što je informacija? Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 11 Signali (znakovi) 7910 je PODATAK 7910 PIN: 7910 7910 je INFORMACIJA (kontekst označava da je to PIN kartice) (može biti npr. nadmorska visina, prva kozmička brzina, profit organizacije, itd.) 0001111011100110 1EE6
  • 11. Aspekti informacije Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 12 CJELOVITOST Integrity RASPOLOŽIVOST Availability INFORMACIJA TAJNOST Confidentiality
  • 12. Relevantni nosioci informacija u poslovnom sistemu Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 13 Informacije na serverima i mreži Informacije na lokalnim kompjuterima Informacije prenošene telefonskim linijama i/ili Internetom Informacije zapisane na papiru Informacije štampane na papiru Informacije spremljene na diskovima, trakama, CD-ovima, USB memorijama, ... Informacije fax strojeva Zaposlenici i partneri
  • 13. Odnos ISO/IEC 27001 prema informaciji Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 14 “Informacija je imovina koja kao i ostala važna imovina u poslovanju ima vrijednost za organizaciju i mora biti stalno odgovarajuće štićena.” U kontekstu ISO/IEC 27001 pod štićenjem informacija se smatra očuvanje aspekata informacije: tajnosti, cjelovitosti i raspoloživosti. (C-I-A)
  • 14. Informacijska imovina Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 15
  • 15. Komponente sigurnosnog rješenja Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 16 Tehnička rješenja Organizacijska rješenja Procjena rizika Politike ProcedureSvjesnostLegitimnost 20% 80%SIGURNOSNO RJEŠENJE
  • 16. Upravljanje informacijskom sigurnošću obuhvaća tri široka područja Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 17 Upravljanje informacijskom sigurnošću Upravljanje ICT i fizičkom zaštitom Upravljanje legislativom, regulativom i ugovornim obvezama Upravljanje ljudima, procesima, poslovanjem, operacijama, treningom / sviješću
  • 17. Križ standarda za ISMS Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 18 Nacionalna legislativa MODEL ISO/IEC 27001 Rječnik i definicije ISO/IEC 27000 PROPISI ISO 19011 ISO/IEC 27007 ISO/IEC 27008 AKREDITACIJA ISO 17021 ISO/IEC 27006 Dodatni standardi ISO/IEC 270xx
  • 18. Kratka povijest ISO 27000ff Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 19 • 1992 The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'. • 1995 This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799. • 1996 Support and compliance tools begin to emerge, such as COBRA. • 1999 The first major revision of BS7799 was published. This included many major enhancements. Accreditation and certification schemes are launched. • 2000 In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799). • 2001 The 'ISO 17799 Toolkit' is launched. • 2002 A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000. • 2005 A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes.. • 2005 ISO/IEC 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001 • 2013 ISO/IEC 27001 is published, replacing ISO/IEC 27001:2005, which is withdrawn. This is a specification for an ISMS (information security management system)
  • 19. Odnosi relevantnih standarda za informacijske sisteme Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 20 IT-GSHB ISO 27001 ISO 13335 ITSEC/C CobIT Ne tehničkiTehnički Usmjereno na produkt Usmjereno na sistem CobIT = Control Objectives for Information and Related Technology (http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx) ITSEC/C = Information Technology Security Evaluation Criteria /Communication (http://www.iitsec.org/Pages/default.aspx) IT-GSHB = IT-Grundschutzhandbuch (https://www.bsi.bund.de/)
  • 20. Serija standarda za ISMS Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 21
  • 21. ISO/IEC 27001:2013 Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 22 Information technology -- Security techniques – Information security management systems -- Requirements • Specifikacija zahtjeva za implementaciju, rad, nadziranje, provjeru, održavanje i unapređivanje sistema upravljanja informacionom sigurnošću (Information Security Management System - ISMS); • osnova za procjenu usuglašenosti (audit) od strane zainteresiranih strana kada je u pitanju ISMS; • temelj za obrazovanje specijalista za ISMS (kako za menadžere ISMS, tako i za auditore ISMS); • Osnovna norma za ISMS (sve ostale norme ove serije su smjernice - upute).
  • 22. Koristi od primjene ISMS standarda Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 23 • Stvaranje viška vrijednosti • Strukturiran način podržava proces specificiranja, implementacije, rada, održavanje, isplativosti rješenja, integriranost i usklađenost ISMS-a; • Promoviranje globalno prihvaćenih dobrih praksi informacijske sigurnosti; • Povećanje povjerenja zainteresiranih strana u organizaciju; • Zadovoljavanje socijalnih potreba i očekivanja, te • Učinkovitija ulaganja menadžmenta u informacijsku sigurnost. Prednost provedbe ISMS-a prvenstveno će biti vidljiva u smanjenju rizika informacijske sigurnosti (tj. smanjenja vjerojatnosti, i/ili štete uzrokovane informacijskim sigurnosnim incidentima). Ostvareni dobitak organizacije za postizanje održivog uspjeha od usvajanja ISMS standarda su:
  • 23. ISO/IEC 27001:2013 Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 24 Foreword 0 Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system 5 Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities 6 Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and planning to achieve them 7 Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 8 Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk treatment 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review 10 Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Annex A (normative) Reference control objectives and controls Bibliography
  • 24. Sigurnosna područja prema 27001:2013 Aneks A Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 25 1 A.5. Politike informacijske sigurnosti 2 A.6. Organizacija informacijske sigurnosti 3 A.7. Sigurnost ljudskih resursa 4 A.8. Upravljanje imovinom 5 A.9. Kontrola pristupa 6 A.10. Kriptografija 7 A.11. Fizička sigurnost i sigurnost okoliša 8 A.12. Operativna sigurnost 9 A.13. Sigurnost komunikacija 10 A.14. Nabavka sistema, razvoj i održavanje 11 A.15. Odnosi s dobavljačima 12 A.16. Upravljanje incidentima informacijske sigurnosti 13 A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja 14 A.18. Usuglašenost
  • 25. Dokumentacija za ISMS – dokumentirane informacije Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 26 Procedure Radne upute, check liste, formulari Zapisi ISMS DOKUMENTACIJA Sigurnosne upute (Manual)Sigurnosna politika, područje djelovanja, procjena rizika, SoA PROCEDURE: tko, šta, kada, gdje? RADNE UPUTE: Detaljni opis zadataka i aktivnosti ZAPISI: Evidencije o sukladnosti s ISMS zahtjevima NIVO 2 NIVO 3 NIVO 4 NIVO 1 OperativninivoOrganizacijskinivo
  • 26. ISMS je poslovni proces Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 27 ISMS Ulaznizahtjevi Zadovoljeni Ulaznizahtjevi RESURSI PRAVILA
  • 27. PDCA model primijenjen na ISMS proces Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 28 PLAN (uspostaviti ISMS) Uspostaviti ISMS politiku, ciljeve, procese i procedure važne za upravljanje rizikom i poboljšanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije. DO (implementirati i izvršavati ISMS) Implementirati i izvršavati ISMS politiku, kontrole, procese i procedure. CHECK (nadgledati i provjeravati ISMS) Procijeniti i gdje je primjenjivo, mjeriti izvršavanje procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavati upravu o rezultatima radi provjere. ACT (održavati i poboljšavati ISMS) Poduzeti korektivne i preventivne akcije zasnivane na rezultatima interne ISMS prosudbe (audita) i provjere uprave ili ostalim bitnim informacijama, kako bi se postiglo stalno poboljšanje ISMS-a. Zainteresirane strane Zahtjevi i očekivanja od informacijske sigurnosti Zainteresirane strane Upravljana informacijska sigurnost Usposta- vljanje ISMS Implementacija i pokretanje ISMS Kontrola i nadgledanje ISMS Poboljšanje i održavanje ISMS
  • 28. Projekt implementacije ISMS prema ISO/IEC 27001 Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 29 Definiranje opsega Evidencija imovine Odgovornosti Klasifikacija Upravljanje dokumentacijom Plan procjene rizika Izjava o primjenljivosti (SoA) i preostalom riziku Implementacija ISMS Procedure za upravljanje incidentima Identifikacija i implementacija poboljšanja Sigurnosna politika uprave Procjena rizika i plan obrade Prihvaćanje i odobrenje uprave Priprema dokumentacije Trening i svijesnost Monitoring, pregledi, testiranje, audit P D C A
  • 29. USPOSTAVA ISMS (P – faza) Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 30 Definicija područja i obuhvata ISMS Korak 1 Definicija sigurnosn e politike ISMS Korak 2 Identifikacija rizika Korak 4 Analiza i procjena rizika Korak 5 Obrada rizika Korak 6 Izbor ciljeva sigurnosnih mjera i kontrola Korak 7 Osiguranje autorizacije uprave za implementaci ju ISMS Korak 9 Priprema dokumenta: Izjava o primjenljivost i Korak10 Osiguranje uprave za odobrenje i prihvaćanje preostalog rizika Korak 8 Dokument Područje ISMS Dokument Sigurnosn a politika Lista rizika i popisa imovine Izvještaj o rezultatima procjene rizika Izvještaj o rezultatima obrade rizika Standard za mjerenje rizika Pisano odobrenje za preostali rizik Izjava o primjenljivos ti (SoA) Informacijska imovina, prijetnje, ranjivost i posljedice Definicija metode procjene rizika Korak 3 Faza 1 Faza 2 Faza 3 Standardi za implementaciju upravljanja rizicima (prisup organizacije, metode i analize za postizanja zahtjevanog nivoa sigurnosti) • Lista potencijalnih ciljeva i sigurnosnih mjera (kontrola) • Lista dodatnih kontrola koje nisu definirane u ISMS certifikacijskim kriterijima
  • 30. Faze implementacije ISMS Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 31 P DC A PROJEKT IMPLEMENTACIJE ISMS PROCES UPRAVLJANJA ISMS AUDIT (CERTIFIKACIJA) Početak projekta implementacije ISMS PRIPREMA ZA PROJEKT IMPLEMENTACIJE ISMS •Animacija vrhovne uprave •Obrazovanje tima za implementaciju (procjenu rizika)
  • 31. Mjerenje ISMS-a: zašto i kako? Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 32 Zato što standard ISO/IEC 27001 eksplicitno zahtjeva mjerenja na niz mjesta !!! Zato što apsolutno vrijedi konstatacija koju je izrekao Kelvin, Lord William Thomson, 1824-1907: „Kada ono, o čemu govorite, možete izmjeriti i brojčano izraziti, onda Vi o tome i nešto znate – ali ako ne možete izmjeriti i brojčano izraziti, onda je Vaše znanje mršavo i nezadovoljavajuće vrste!” Zato što su mjerenja preduvjet temeljnog zahtjeva svakog sistema upravljanja: POBOLJŠANJE
  • 32. Što mjeriti kod ISMS ? Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 33 Učinkovitost (efektivnost) je pojam pod kojim se podrazumijeva izvođenje pravih stvari (aktivnosti) koje dovode do ostvarenja cilja. Efikasnost se definira kao ostvarenje nekog cilja s minimumom troškova, napora ili gubitaka. PRAVA STVAR na PRAVI NAČIN
  • 33. Ocjenjivanje uspješnosti ISMS – Interni audit Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 34 ISO/IEC 27001 ISO 19011 ISO/IEC 27007 ISO/IEC 27008 Nacionalna legislativa Organizacijski dokumenti Obligatorni zahtjevi partnera INTERNI AUDIT
  • 34. Kontinuirano poboljšanje Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 35 Organizacija mora kontinuirano provoditi primjereno i učinkovito poboljšanje sistema upravljanja informacijskom sigurnošću. PDCA ciklus poboljšanja
  • 35. Zaključak Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 36 • Uspostavljanje i poboljšanje ISMS-a je poslovna potreba svih organizacija u cilju očuvanje ključnog resursa – INFORMACIJE • Uspostavljanje ISMS-a stvara doprinos povećanja viška vrijednosti • Uspostavljanje ISMS-a ponekad je zakonska ili obligatorna obaveza • Uspostavljeni ISMS ne garantira uspješno poslovanje, ali neuspješni ISMS garantira propast kompanije – pitanje je samo vremena.
  • 36. Hvala na pažnji … Dr. Zdenko Adelsberger, 2015 IMPLEMENTACIJA ISO/IEC 27001:2013 37 Pitanja Komentari