e-Business Conference Banja Luka 2014

3. Važnost ISMS-a u e-Business-u
Dragan Jovičić
PricewaterhouseCoopers doo Beograd

4. PLANIRANJE BEZBEDNOSTI INFORMACIJA
Što je veći kontakt ili interakcija sa poslovnim svetom, to je veća potreba da se koriste informacione tehnologije. Organizacije koje koriste informacione tehnologije u poslovanju i imaju interakciju sa većim brojem korisnika imaju veću izloženost informacionih sredstava. Sve ovo dovodi do toga da organizacija može biti pogođena različitim oblicima neautorizovanih akcija ili napadima koji ugrožavaju bezbednost informacionih sistema organizacije.

5. PREDNOSTI KORIŠĆENJA ISMS OKVIRA
X
X
X
Advantages of Framework Adoption
X
Benchmark za poređenje
Poverenje kupaca i poslovnih partnera
Obezbeđuje pravilno usvajanje ključnih funkcija
Struktura
X
X
Usaglašavanje sa prihvatljivim nivoom bezbednosti
Odbrana od tužbi

6. KOJI OKVIRI SU VAŽNI ZA VAŠU ORGANIZACIJU I INDUSTRIJU U KOJOJ SE NALAZITE? ZAŠTO?
Okviri internacionalnih standarda su dizajnirani za implementaciju i upravljanje najboljim praksama informacione bezbednosti
Šta je motivacija za organizaciju da primeni okvir?
•Pružaju bezbednost informacija i primenu odgovarajućih najboljih industrijskih praksi
•Sertifikacija je omogućena kao prepoznavanje usaglašenosti organizacije sa određenim okvirom

7. ISO 27000 SET STANDARDA
Izvor?
•ISO 27000 set standarda sastoji se od standarda bezbednosti informacija zajednički objavljenih od strane ISO i IEC
Terminologija?
•ISO 27000 set standarda se uglavnom odnosi na ISO 27001 i ISO 27002

8. ISO 27000 SET STANDARDA - NASTAVAK
Šta su ISO 27001 i 27002 standardi?
•Međunarodni, među-industrijski standardi koji obezbeđuju najbolje prakse i primere kontrola za optimalno upravljanje bezbednošću informacija

9. OSNOVNI CILJEVI UVOĐENJA STANDARDA ISO 27001
•stalna raspoloživost informatičke opreme i komunikacija
•zaštita informacija od neovlašćenog pristupa
•zaštita podataka od gubitka
•zaštita od curenja informacija
•osigurati kontinuitet poslovanja i pružanje usluga, za slučaj nepredviđenog događaja.

10. USVAJANJE PROGRAMA ZA SERTIFIKACIJU
•Korišćenjem seta standarda iz grupe 27000, organizacija stiče kredibilitet za svoje bezbednosne procese i programe (povećava se poverenje kupaca / dobavljača).
•Organizacija može da koristi specifične sertifikate bezbednosti kao pomoć da je usaglašena sa drugim regulatornim standardima. Na primer, ISO 27002 može da se koristi kao biblioteka kontrola za SOX kontrole ili neke druge zakonske standarde.
•Smanjuje potrebu za revizijama od strane poslovnih partnera.
•Značajnije skuplje rešenje, u poređenju sa strukturnom implementacijom

11. USVAJANJE STRUKTURNIH PROGRAMA
•Usvajanje seta standarda 27000, demonstrira usaglašenost sa strukturnim pristupom i pristupom baziranom na rizicima informacionih tehnologija, koji su globalno prepoznati kao vodeće industrijske prakse.
•Strukturiran ISMS program omogućava održivo upravljanje bezbednosnim kontrolama organizacije.
•Fokusiran je na prioretizaciju organizacionih potreba i opciju isplativosti troškova
•Povećana potreba za drugim programima revizije i usaglašenosti poslovanja
•Zahteva druge načine da se poveća poverenje od strane kupaca.

12. ISO 27001/2
ISMS
27001
27002
Definiše zahteve za ISMS
Pristup za adresiranje rizika i kontrola označenih u 27002
Upravljački standard koji definiše zahteve koje je potrebno ispuniti za upravljački sistem bezbednošću informacija (information security management system (ISMS)). Sertifikacija za ovaj standard je moguća, ali nije obavezna.
Standard bezbednosti informacija koji specificira preporuke za korišćenje najboljih industrijskih praksi kroz nekoliko domena. Ovaj standard daje osnovne potencijalne kontrole i kontrolne mehanizme.
Sistemski pristup upravljanju informacionim dobrima tako da informaciona dobra ostanu zaštićena. Ovo uključuje ljude, procese i IT sisteme uz pomoć primene procesa upravljanja rizicima.
ISO 27001
ISO 27002
ISMS

13. PREDNOSTI ISO 27001/2 OKVIRA
Razlozi za implementaciju ISO 27001 ISMS i povezanih ISO 27002 kontrola uključuje:
•Strateški – Bolje upravljanje bezbednošću unutar širokog okruženja eksternih rizika
•Poverenje kupaca – Pokazuje kupcima da su njihovi podaci zaštićeni, u razumnoj meri, od strane organizacije, ili da bi se organizacija razlikovala od konkurencije
•Zakonski zahtevi – Korišćenje okvira radi integrisanja i upravljanja različitim zakonskim zahtevima
•Interna efektivnost – Efektivno upravljanje informacija kao najbolja praksa
Strateški
Poverenje kupaca
Interna efektivnost
Zakonski zahtevi
ISMS

14. STANDARDNE KONTROLE
ISO 27000 set standarda je dizajniran da se koristi zajedno radi kompletiranja implementacije ISMS
Kontrole su primarno definisane u ISO 27002
•114 kontrola u 14 domena u ovoj verziji standarda
•Kontrole su definisane na visokom nivou
•Primenljive su na svaku organizaciju, bez obzira na veličinu, strukturu ili industriju
•ISO standardi kao što je 27799 primenjuju kontrole za određenu industriju

15. ČESTI RAZLOZI ZA PRIMENU ISO 27001
•Organizacije se susreću sa velikim brojem izazova u upravljanju bezbednošću informacija i ISO 27001 Information Security Management System (ISMS) je jedan od načina celokupnog rešavanja ovih pitanja
Zaštita poslovno kritičnih informacija
Upravljanje eksternim i internim pretnjama
Usaglašenost trećih lica sa zakonskim odredbama
Implementacija bezbednostnih kontrola
Omogućavanje organizacija da uspešno posluje
Odgovor na sigurnosne događaje
Obezbeđivanje dostupnosti informacija
Kvantifikacija pretnji i uticaja
Zakonska usaglašenost
Efektivna zaštita važnih podataka

16. ISO 27001 - ISMS
Rizici poslovnih procesa (Poslovni rizici)
Zakonski, Regulatorni, Ugovorni (Bezbednosni) zahtevi
Information Security Management System
(Upravljanje) Kontrole informacione bezbednosti

17. ISO 27001 - SERTIFIKACIJA
•ISMS može biti sertifikovan da je u saglasnosti sa ISO 27001 od strane nezavisne treće strane. Sertifikacija da je organizacija u skladu sa ISO 27001 se sastoji iz sledećih faza procesa revizije:
ISO je odgovoran za razvoj, održavanje i objavljivanje ISO 27000 seta standarda, ali sam ISO ne učestvuje u revizijama niti procenjuje upravljačke sisteme organizacija. Sertifikacija nije obavezan korak ISO standarda.
•Preliminarni pregled ISMS i relevantne dokumentacije
Faza 1
•Formalna revizija, testiranje ISMS prema zahtevima ISO 27001 i ISO 27002
Faza 2
•Revizije usklađenosti, koje testiraju da organizacija poštuje zahteve standarda. Održavanje sertifikata zahteva periodične ponovne revizije.
Faza 3

18. ISO 27001 - SERTIFIKACIJA
•Redovne godišnje revizije su obavezne da bi se zadržao sertifikat
Revizija dokumentacije
Revizija implementacije
Odluka o sertifikaciji
Nadzorna revizija(Godišnja)
Nadzorna revizija(Godišnja)
Ponovna procena
usklađenosti

19. ZRELOST I IZVEŠTAVANJE
Potpuna primena ISO 27001/2, ali sertifikacija nije obavljena
Korišćenje ISO 27001/2 preporuka u područjima od interesa
Korišćenje kontrola koje se fokusiraju na teme značajne za menadžment
Zrelost
Posvećenost
“Usklađenost”
“ISO 27001/2 primena”
“Usvajanje određenih ISO 27001/2 praksi”
“Sigurnosne
kontrole”
Zrelost i izveštavanje
•Primena ISO 27001/2 može da posluži da se izmeri zrelost sigurnosti informacija
•Zrelost može biti objavljena interno ili eksterno kao demonstracija sigurnosti informacija i poređenje sa drugim organizacijama

20. Hvala na pažnji!