Univerzitet u Novom Sadu Tehnički fakultet Mihajlo Pupin Zrenjanin INTEGRISANI MENADŢMENT SISTEMI ISO/IEC 27001:2014 - Informacione tehnologije - Tehnike bezbednosti - Sistemi menadţmenta bezbednošću informacija Student: Jelena Babić OI-17/15 Predmetni nastavnik: prof. dr Dragan Ćoćkalo
UVOD Znanje, kao najznačajniji resurs svakog čoveka, pa i društva u celini, može se definisati kao Obim informacija, opažanja ili razumevanja koja poseduje neka osoba. Nagli razvoj informacionih tehnologija izaziva velike promene u poslovanju svih činioca društva, pa se već početkom 21.veka savremena informaciona rešenja koriste u svim društvenim procesima. Međunarodna organizacija za standardizaciju ISO prihvata BS standarde i u junu 2005.godine objavljuju drugu verziju standarda koja se zvala ISO 17799 Informacione tehnologije - bezbednost tehnike - Principi upravljanja bezbednošću informacija.
Standard Međunarodna organizacija za standardizaciju ISO i Međunarodna elektrotehnička komisija IEC čine specijalizovani sistem svetske standardizacije Standard 27000 je posvećen bezbednosti informacija i određuje zahteve i daje okvir na koji način organizacija treba da pristupi zaštiti informacija Standard ISO/IEC 27001 se objavljuje u oktobru 2005.godine pod nazivom Informacione tehnologije - Sistemi menadžmenta bezbednošću informacija Zahtevi
Uvod u informatičku bezbednost BEZBEDNOST INFORMACIJA se u standardu predstavlja kao očuvanje: poverljivosti (tajnosti): osiguranje da su informacije dostupne samo onima kojima je dopušten pristup; integriteta: očuvanje tačnosti i potpunost informacija i metoda za obradu; raspoloživosti: osiguranje da ovlašćteni korisnici imaju pristup informacijama i imovini koja je u vezi s njima, onda kada se to zahteva.
Uvod u bezbednost informacija Bezbednost informacija se postiže primenom odgovarajućeg skupa kontrola, koje mogu biti: principi, prakse, procedure, organizacionu strukturu i softverske funkcije. Ove kontrole treba uspostaviti kako bi se obezbedilo da se poštuju specifični bezbednosni ciljevi te organizacije.
Uvođenje ISMS U savremenom, međusobno povezanom svetu, informativni i povezani procesi, sistemi i mreže predstavljaju kritičnu poslovnu imovinu. Organizacije i njihovi informacioni sistemi i mreže su izloženi bezbednosnim pretnjama iz širokog spektra izvora, uključujući računarske prevare, špijunažu, sabotaže, vandalizam, požare i poplave. Pretnje informacijskim sistemima i mrežama uzrokovane zlonamernim kodom, hakiranjem i napadima poricanjem usluga postaju sve više, više ambiciozni i sofisticiraniji. Sistem za upravljanje bezbednosnih informacija (Information Security Management System - ISMS) pruža model za uspostavljanje, implementaciju, korišćenje, nadzor, reviziju, održavanje i poboljšanje zaštitu informacija, sa ciljem postizanja ciljeva poslovanja, na osnovu procene rizika i nivoa prihvatljivih rizika u organizaciji. ISMS mora održavati interese i zahteve informacione bezbednosti svih zainteresovanih strana, uključujući: kupce, dobavljače, poslovne partnere, suvlasnike i druge relevantne treće strane.
Uvođenje ISMS Potpuni prelazak na elektronsku obradu podataka, jačanje udela elektronske trgovine te višestruki kanali elektronskog prikupljanja i distribucije podataka utiču na porast broja bezbednih incidenata. Niz informacija koje se nalaze unutar informacionog sistema organizacije često predstavljaju poslovne tajne od suštinske važnosti za organizaciju. Primer 1: Primer 2: Primer 3: Ako se onemogući protok informacija u organizaciji koliko dugo će ta organizacija funkcionisati? Nesvesno koristite netačne podatke. Kako na osnovu njih možetete donositi strateške i operativne odluke za poslovanje? Do vaših poslovnih planova može doći bilo ko, pa i konkurencija. Koliko takva organizacija ima budućnosti? Odgovore na sva ta pitanja prvenstveno daje sistem za upravljanje informacionom bezbednošću (ISMS) zasnovan na seriji standarda ISO/IEC 27000.
PDCA ciklus ISMS Efikasno poslovanje se zasniva na identifikaciji i upravljanju niza aktivnosti. Pojam procesa predstavlja upravljanje nizom aktivnosti koje koriste resurse kako bi se transformisao ulaz u izlaz. Primena sistema procesa u organizaciji, s identifikacijom i interakcijama tih procesa, kao i njihovo upravljanje naziva se procesnim pristupom. Procesni pristup za ISMS prema ovom setu standarda zasnovan je na principu jedinstvenom za sve ISO standarde za upravljanje sistemima: Plan-Do-Check-Act (PDCA). Planiraj uspostavi ciljeve i planove (analiziraj stanje, uspostavi ciljeve i razvij planove za ostvarenje tih ciljeva); Uradi implementiraj planove (uradi planirano); Proveri izmeri rezultate (koliko su planovi ostvareni); Deluj koriguj i unapriedi aktivnosti (nauči iz grešaka kako bi se postigli bolji rezultati).
Aţuriranje i poboljšanje ISMS (poboljšanje ili implementacija novih kontrola, politika, procedura, ) Dizajniranje ISMS (procena rizika, otklanjanje rizika, izbor kontrola ) Praćenje ISMS (incidenti, promene, ponovna procena rizika, auditi ) Implementacija i upotreba ISMS (implementacija i testiranje kontrola, politika, procedura, procesa ) Implementacija procesa upravljanja rizicima da bi se postigao efikasan ISMS kroz proces kontinuiranih unapređenja
PDCA model upravljanja PLAN Organizacija je dužna da: Definiše područije primene ISMS-a u odnosu na delatnost organizacije i njenu organizacionu strukturu, lokaciju, imovinu i tehnologiju. Definiše politiku ISMS-а u odnosu na karakteristike poslovanja, organizaciju, njenu lokaciju, tehnologiju i imovinu Definiše ocenjivanje rizika u organizaciji Identifikuje rizike Analizira i procenjuje rizike Identifikuje i proceni opcije za postupanje sa rizicima. Izabere ciljeve kontrola i kontrole za postupanje sa rizicima Dobije odobrenje rukovodstva za predloženi preostali rizik, Dobije autorizaciju rokovodstva za implementaciju i primenu ISMS, Primeni izjavu o primenjivosti.
PDCA model upravljanja DO Kod implementacije i primene ISMS organizacija je duţna da : Napravi plan postupanja sa rizikom u kojem su identifikovane odgovarajuće mere rukovodstva, resursi, odgovornosti i prioriteti za upravljanje rizicima po bezbednost informacija; Da implementira plan postupanja sa rizikom da bi se dostigli ciljevi kontrola,koji obuhvata razmatranje finansiranja i podelu uloga i odgovornosti, Da uspostavi kontrole da bi se ispunili ciljevi kontrola, Definiše kako se meri efektivnost izabranih kontrola ili grupa, određuje kako se ta merenja koriste da bi se ocenila efektivnost kontrola i da bi se postigli uporedivi i ponovljivi rezultati. Rukovodstvo i zaposleni određuju koliko dobro kontrole postiţu planirane ciljeve kontrola pomoću merenja efektivnosti. Uspostavlja programe obuke i podizanja svesti, Upravlja primenom ISMS-a, Upravlja resursima za ISMS, Uspostavlja procedure i kontrole koje su odgovarajuće za Omogućavanje trenutnog otkrivanja događaja u vezi sa bezbednošću i odgovore na incidente narušavanja bezbednosti.
PDCA model upravljanja CHECK Kod praćenja i preispitivanja ISMS organizacije je duţna da: Sprovede procedure za praćenje i preispitivanje i ostale kontrole Redovno preispituje efektivnost ISMS, uzimajući u obzir rezultate provera bezbednosti, incidente, rezultate merenja efektivnosti, predloge i povratne informacije od svih zainteresovanih strana, Meri efektivnost kontrola zbog verifikacije da su zahtevi za bezbednost ispunjeni, Preispituje ocenjivanje rizika u planiranim intervalima,preispituje preostali rizik i uočava prihvatljive nivoe rizika Sprovodi interne provere ISMS-a u planiranim intervalima, Preduzima redovno preispitivanje ISMS-a od strane rukovodstva da bi se obezbedilo da područje primene ostane odgovarajuće i da se uoče poboljšanja procesa ISMS-a, Ažurira planove bezbednosti uzimajući u obzir rezultate praćenja i preispitivanja, Zapisuje aktivnosti i događaje koji mogu imati uticaj na efektivnost ili performanse ISMS-a.
PDCA model upravljanja ACT Da bi se održavao i poboljšavao ISMS organizacija je dužna da: Implementira i uoči poboljšanja u ISMS-u, Preduzima odgovarajuće korektivne i preventivne mere i primenjuje znanja stečena iz sopstvenih iskustava i iz iskustava o bezbednosti drugih organizacija, Saopšti mere i poboljšanja svim zainteresovanim stranama onoliko detaljno koliko to odgovara okolnostima i ako je odgovarajuće, utvrđuje kako nastaviti te aktivnosti, Osigurava da poboljšavanja dostignu predviđene ciljeve.
Istorija standarda informacijske bezbednosti Serija standarda ISO/IEC 27000 daje smernice i dobre prakse za dizajniranje, implementaciju i proveru sistema za upravljanje bezbednost informacija (ISMS) sa ciljem zaštite poverljivosti, integriteta i dostupnosti informacija. Standardi su potekli iz Velike Britanije, u DTI (Department of Trade and Industry), sa ciljem definisanja kriterija za procenu informacijske bezbednosti i kreiranja pravila dobre prakse (Code Of Good Practice). 1995. godine usvojen prvi standard, BS 7799, koji krajem 2000. godine postaje ISO/IEC 17799. Taj standard je revidiran 2005. godine. Nakon toga je ISO komitet JTC1/SC27 pokrenuo razvoj i usvajanje serije standarda 27000. 1998. godine BSI je izdao drugi deo standarda, BS7799-2, koji je sadržao specifikacije ISMS, a koji je kasnije postao ISO/IEC 27001 2007. godine je ISO/IEC 17799 preimenovan u ISO/IEC 27002
ISO/IEC 27000 Sistem menadţmenta Šta je ISO/IEC 27001? bezbednošću informacija ISO/IEC 27001 je međunarodni standard koji se odnosi na zaštitu i bezbednost informacija. Standard podleže različitim područjima primene kao i za razlikovanje mogućih procesa u organizaciji koji su povezani sa menadžemntom kontrole bezbednosti kao sto su: politika bezbednosti, bezbednost organizacije, kontrola i klasifikacija izvora, bezbednost osoblja, bezbednost materijalnih dobara i životne sredine, operativno upravljanje i komunikacija, kontrola pristupa, razvoj i održavanje raznih sistema i upravljanje kontinuitetom poslovanja. Ova serija obuhvata standarde koji: definišu zahteve za ISMS kao i zahteve za tela koja sertifikuju ISMS; obezbeđuju podršku, detaljna uputstva i instrukcije za celokupan proces planirajuradi-proveri-deluj (Plan-Do-Check-Act); daju specifična sektorska uputstva za ISMS i ocenjivanje usaglašenosti za ISMS.
ISO/IEC 27000 Sistem menadţmenta bezbednošću informacija Kome je ISO/IEC 27001 namenjen i zašto? Standard ISO/IEC 27001 je značajan standard za organizacije koje se bave uslugama u oblastima koje su na bilo koji način povezane sa Informacionim tehnologijama i potrebom za očuvanje poverljivosti informacija. Njegova implementacija i primena omogućavaju bolju saradnju sa sličnim organizacijama širom sveta koje posluju po ovom modelu. Ovim standardom, organizacije demonstriraju svojim korisnicima i ostalim zainteresovanim stranama da posluju sa poslovnim procesima na bazi principa bezbednosti i da je poslovna politika usmerena na stalna poboljšavanja u sistemu menadžmenta za bezbednost informacija i procesima pružanja usluga povezanim sa njim.
ISO/IEC 27000 Sistem menadţmenta Implementacija sistema zaštite i bezbedosti informacija pruža uverenje korisnicima i poslovnim partnerima da se prema informacijama postupa odgovorno i da se one koriste i distribuiraju profesionalno i bezebedno. Prednosti ISO/IEC 27001: bezbednošću informacija konkurentska prednost, smanjenje rizika od oštećenja i gubitka informacija, a samim tim i troškova, usaglašenost sa važećim zakonskim propisima, veće poverenje klijenata, zaposlenih, saradnika, institucija i svih zainteresovanih strana zbog znanja da su njihovi podaci bezbedni, postojanje odgovornosti za bezbednost informacija od strane svih i na svim nivoima u organizaciji.
Svrha primene standarda ISO/IEC 27001 Formulisanje bezbednosnih zahteva i ciljeva u organizaciji; Osiguranje da se rizicima može efikasno i ekonomično upravljati; Osiguranje usklađenosti sa zakonima i pravilima; Okvirni proces za implementaciju i upravljanje kontrolama da bi se postigli specifični ciljevi bezbednosti organizacije; Definisanje novih procesa za menadžment bezbednošću informacija; Određivanje statusa aktivnosti menadžment bezbednošću informacija; Interne i eksterne proverem s ciljem demonstriranja usvojenih politika, direktiva i standarda bezbednosti informacija, odnosno utvrđivanja stepena usklađenosti s tim politikama, direktivama i standardima; Implementacija poslovanja s implementiranom bezbednošću informacija; Obezbjeđivanje relevantnih informacija kupcima o bezbednosti informacija.
Sadrţaj i zahtevi standarda ISO/IEC 27001 Uvod Predmet i područje primene Normativne reference Termini i definicije Sistemi menadžmenta bezbednošću informacija Odgovornost menadžmenta Interne provere ISMS Provera ISMS od strane menadžmenta Poboljšanje ISMS Aneks A (normativni) Ciljevi kontrole i kontrole Aneks B (informativni) OECD principi i ovaj međunarodni standard Aneks C (informativni) Podudarnosti između ISO 9001:2000, ISO 14001:2004 i ovog međunarodnog standarda
Zaključci Problemi bezbednosti i zaštite podataka su svakako jedna od najvećih prepreka bržem širenju e-poslovanja. Za kriminalce, Internet je stvorio čitav niz novih i veoma unosnih načina krađe od više od milijardu korisnika Interneta širom sveta, od proizvoda i usluga do novca i informacija. Manje je rizično krasti on-line, sa bezbedne udaljenosti i gotovo anonimno. Serija standarda ISO/ICE 27000, daju jedan harmonizovani pristup upravljanju rizicima kojima su izložene informacione vrednosti u organizaciji kroz razvoj, implementaciju i održavanja odnosno menadžment sistema za bezbednost informacija (Information Security Menagment System ISMS). Standardom ISO/IEC 27000 se, u cilju uspostavljanja sveobuhvatnog sistema zaštite informacionih resursa, determiniše sistem za zaštitu informacija, odgovornost rukovodećih ljudi, determinišu procedure unutrašnje provjere sistema za zaštitu informacija, zatim procedure provere valjanosti sistema za zaštitu informacija, te procedure vezane za poboljšanja na sistemu za zaštitu informacija.