Information security management system

1,550 views

Published on

Prezentacija "Information security management system" koju je Dragan Aleksić održao na konferenciji Informatika 2010 u maju 2010. godine.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,550
On SlideShare
0
From Embeds
0
Number of Embeds
73
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Information security management system

  1. 1. INFORMATIKA 2010 ISMS - Information Security Management System (Систем за управљање безбедношћу информација) прве три године у Србији - поглед оцењивача Драган Алексић, водећи оцењивач DAS Serbia dragan.aleksic@yahoo.com 12. Maj 2010. 1
  2. 2. INFORMATIKA 2010 Информација као ресурс Информација је значајан пословни ресурс и представља имовину која мора бити адекватно заштићена, како би се омогућило нормално пословање организације. - Брзо овладавање информацијом сваке врсте постало је императив али и мора модерног света. - Прелазак са информација на папиру на информације на ИТ медијима и у виртуелном облику 12. Maj 2010. 2
  3. 3. INFORMATIKA 2010 Нека од питања која се постављају приликом коришћења информација су: Шта радити ако су критични подаци уништени? Шта предузети ако су архиве у којима се подаци чувају оштећене? Да ли су подаци које користимо поуздани? Где брзо пронаћи информације које су нам потребне за одлучивање? 12. Maj 2010. 3
  4. 4. INFORMATIKA 2010 Зашто нам је потребан ISMS? Организације све више зависе од информационих вредности Корисници информација (интерни & екстерни) захтевају већу доступност Конкуренција расте и безбедност информација постаје императив Број инцидената који угрожавају континуитет операција је у порасту Нови закони из ове области Укратко, један прекршај безбедности може: Уништити репутацију компаније Поништити вредност пословања Уништити основу, и Компромитовати будуће зараде 12. Maj 2010. 4
  5. 5. INFORMATIKA 2010 ISO/IEC 27001 – ISMS захтеви Два најважнија стандарда коришћена у организацијама од 2005. године су ISO/IEC 27001:2005 познат и као ISMS (захтеви за сертификацију Система за безбедност информација) и ISO/IEC 27002:2005 (најбоља пракса и упутство за примену Система за безбедност информација) – претходна ознака ISO/IEC 17799:2005 12. Maj 2010. 5
  6. 6. INFORMATIKA 2010 Хармонизација са осталим стандардима 12. Maj 2010. 6
  7. 7. INFORMATIKA 2010 Структура стандарда из серије ISO/IEC 27000 ... 12. Maj 2010. 7
  8. 8. INFORMATIKA 2010 Шта је ISMS? ISMS је средство којим највише руководство прати и контролише безбедност информација, умањује резидуалне пословне ризике и обезбеђује да безбедност информација стално задовољава корпоративне, законске и захтеве корисника. ISMS International User Group 12. Maj 2010. 8
  9. 9. INFORMATIKA 2010 ISMS Осигурава идентификацију кључних информационих ресурса организације и имплементацију одговарајућих безбедоносних контрола Осигурава да су сви ризици узети у обзир и да су изабране контроле: Применљиве Исплативе ЕФИКАСНЕ Осигурава да су процедуре имплементиране, особље обучено, и да је цела организација свесна значаја безбедности информација 12. Maj 2010. 9
  10. 10. INFORMATIKA 2010 Безбедност информација Безбедност информација се посматра из три аспекта: Поверљивост – осигуравање да информација буде приступачна само ауторизованим (овлашћеним) особама; Интегритет – осигуравање тачности и комплетности информација и метода процесирања и Расположивост – давање гаранције да ће ауторизоване особе имати приступ инфорамцијама и придруженим информационим ресурсима када год поставе такав захтев. 12. Maj 2010. 10
  11. 11. INFORMATIKA 2010 Ризик и контрола ризика Пословање подразумева ризик. Ризик свакодневног пословања: Преваре Неауторизоване модификације Крађа сервиса/услуге Ометање пословних процеса Природне катастрофе Неауторизовани приступ кључним ресурсима 12. Maj 2010. 11
  12. 12. INFORMATIKA 2010 Утицај ризика по индустријским секторима 12. Maj 2010. 12
  13. 13. INFORMATIKA 2010 30% претњи долази изван организације Firewall Заштита мреже Заштита рачунара Системске датотеке Унутрашњи и подаци напади Квалитет софтвера Грешке (софтверске, (софтверске, хардверске, људске) хардверске, људске) 70% претњи налази се 12. Maj 2010. унутар саме организације 13
  14. 14. INFORMATIKA 2010 Анализа ризика Анализа ризика треба да идентификује све претње и рањивости, процени ризике и њихов утицај на пословање, изврши избор контрола које ће елиминисати или ублажити утицај ризика, прихватити ризике и живети са њима. 12. Maj 2010. 14
  15. 15. INFORMATIKA 2010 Планови за третман ризика Догађај Претња Користи Третман ризика Рањивост Нарушава Избегавање ризика Имовина Узрокује Прихватање ризика Штетан утицај Трансфер ризика Шта је ризик? Смањење ризика Шта треба да радимо? Пропорционалност контроле треба да одговарају ризику Одлучити које од 133 контроле дате у анексу А су Избор контрола применљиве - SOA Изабрати одговарајуће контроле 12. Maj 2010. 15
  16. 16. INFORMATIKA 2010 Структура контрола из прилога А стандарда ISO/IEC 27001:2005 12. Maj 2010. 16
  17. 17. INFORMATIKA 2010 Значај организационе заштите ИТ заштита није само техничко, већ пре свега, организационо-управљачко питање свега 12. Maj 2010. 17
  18. 18. INFORMATIKA 2010 Управљање инцидентима Извештавање о догађајима нарушавања безбедности информација и слабостима заштите Менаџмент инцидентима нарушавања безбедности и побољшања Обавезе, одговорности и процедуре Сакупљање знања из инцидената нарушавања безбедности 12. Maj 2010. 18
  19. 19. INFORMATIKA 2010 План континуитета пословања Посебно значајни аспекти приликом имплементације ISMS јесу: анализа информационих ресурса и ризика повезаност ресурса са кључним пословним процесима власништво над ресурсима и процесима план континуитета за њихов брз опоравак у критичним ситуацијама 12. Maj 2010. 19
  20. 20. INFORMATIKA 2010 Препоруке за примену Пројекат имплементације Система безбедности информација је веома сложен и у њему морају учествовати сви запослени а најзначајније је учешће руководства; Боље повезивање кључних пословних процеса са безбедношћу информација и планом континуитета пословања; Значајна веза постоји између ISO 9001:2008 i ISO/IEC 27001:2005, односно интеграције у домену управљања документима и записима, интерним проверама, неусаглашеностима, корективними превентивним мерама и на крају кроз преиспитивање система; Свеобухватнија процена и класификација информационих вредности организације и њихова припадност пословним процесима; 12. Maj 2010. 20
  21. 21. INFORMATIKA 2010 Препоруке за примену Садржајнија анализа ризика и стална процена ризика код промена у информационом и пословном систему; Недовољно и површно означавање и поступање са информацијама; Недовољна обука запослених, поготову у препознавању инцидената и догађаја нарушавања безбедности информација; Повезивање инцидената са информационим вредностима и повратне информације за нову анализу ризика; Примена организационих решења испред техничких – велике уштеде се могу постићи бољом организацијом и расподелом одговорности, применом процедура и политика безбедности; 12. Maj 2010. 21
  22. 22. INFORMATIKA 2010 Закључак Применом и сертификацијом ISMS добијамо: Промену свести о значају безбедности информација Детаљну анализу информационих ресурса које поседујемо Контрoлисане ризике и смaњене губитке Усаглашеност сa индустријским и законским стандардима Пoуздану услугу Боље разумевање пословних информација Брже управљање пословним процесима Смањен број и утицај безбедоносних инцидената Спремност на деловање у кризним ситуацијама Интернационално признати сертификат 12. Maj 2010. 22
  23. 23. INFORMATIKA 2010 Хвала на пажњи. Питања? Комуницирајте dragan.aleksic@yahoo.com 12. Maj 2010. 23

×