Sarajevo, januar 2015.

UVOD

PDCA ciklus
Act

Plan

Check

Do

Primjena PDCA ciklusa u ISO

27001
(Korak 0)

Formalna
usklaenost

(Korak 2)
(Korak 1)
Sainjavanje
ISMS politike
&
kontrola
pravila

(Korak 6)

Korektivni plan
i
izmjene

(Korak 3)

Priprema
popratne
dokumentacije

Procjena
rizika

(Korak 4)
(Korak 7)
Plan

Do

Check

Act

Obuka

(Korak 5)

Unutarnja
revizija

Poetak ISMS
operacije

Vanjska
revizija
-prvo stanje
-drugo stanje

Postii
ISO27001

Karakteristike BS 7799, CC i ITSEC

Operacija Area

BS 7799

Zajedniki kriteriji (CC)

IT Security Kriteriji (ITSEC)

Engleska

Oko 25 zemalja

Europske zemlje

- 6 Uprava faze
- 11 sigurnosnih domena
- 139 ciljevi kontrole
- 133 sigurnosne kontrole

- 3 dijela
- 11 Sigurnost funkcionalni - 4 faze
zahtjevi
- 6 stupnjeva
- 8 Assurance zahtjevi

Proces menadmenta

1 - Definirajte politiku
2 - Definirati opseg
3 - Procjena rizika
4 - Upravljanje rizikom
5 - Odaberite kontrole koje
e se provoditi i
primjenjivati
6 - pripremiti izjavu o
primjenjivosti

1 - PP / ST Uvod
2 - Sukladnost tvrdnje
3 - Sigurnost Problem
definition
4 - Sigurnosni ciljevi
5 - Proirena dijelovi
definicija
Sigurnosni zahtjevi
7 - TOE saetak
specifikacije

Razlika procesa

Naglasak na menaderskoj
sigurnosti

Naglasak na tehnikoj
sigurnosti

Naglasak na menaderskoj
sigurnosti

Specifikacija Kontrolna
taka

Osigurati najbolje kodeks

za upravljanje
informacijskom sigurnou

Osigurati zajedniki skup

zahtjeva za sigurnosne
funkcionalnosti IT
proizvoda

Osigurati zajedniki skup

zahtjeva za sigurnosne
funkcionalnosti IT proizvoda

Koristite PDAC ciklus

Pratite svaki postupak

Pratite Komisije Europskih

Osnovna struktura

Evaluacija metoda

1- Zahtjevi
2 - Arhitektonski Dizajn
3 - Detaljni dizajn
6 - 4 - Provedba

Dokumenti koji su potrebni za

ovjeru ISO 27001
Obim ISMS
Informacije sigurnosne
politike

Informacijska sigurnost
procjene rizika

ISMS dijagram i ISO 27001

Implementacija ISMS i ISO 27001 potvrde proces dijagrama

ISO 27002

Podrka
upravljanju

Poetak

Poslovni
sluaj

Norma ISO 27002

preimenovala je postojei ISO
17799 standard,te kodeks
prakse za informacijsku
sigurnost.

Definiranje
ISMS opsega

ISMS opseg

Informacije
o procjeni
popisa

Pripremanje
izjave o
mogunosti
aplikacija

Procjena
informacione
sigurnosti
rizika

SOA

Priprema
plana za
uklanjanje
rizika

RTP

Inventar
Razvijanje
ISMS
provedbe
programa

ISMS operativni
artefakti

Uinak
sigurnosnih
dnevnika

Sustav
upravljanja
informacijskom
sigurnou

Police
Standardi
Postupci
Smjernice

N
N-1

Pregled
uslunosti

Sukladnost
i revizorska
izvjea

Jedan
projekt u
programu

Korektivne
mjere

Plan
projekta
Plan
projekta
Plan
projekta

Svijesti i
pohaanje
izvjea o
ispitivanju
Procjena
procertificiranja

Ovo je specifikacija za sustav

upravljanja informacijskom
sigurnou (ISMS) i zamjenjuje
stari 6S7799-2
Klju
Aktivnost
Dokument
od ulaza

Baza
podataka
ISO
standard

ISO 27001

Certifikat za
reviziju

ISO 27001
certifikat

Kontinuirano
poboljanje

Proces
prihvatanj
a rizika

Kontrola ISMS-a

Sistem 27001 na osnovu

informacija sigurnosti fokusira se
na:

Dostupnost

Povjerljivo
st

Integrite
t

ISO 27002
Uvodna rije
0.Uvoenje
1.Namjera
2.Nominalne refernce
3.Uvjeti i definicije
4.Stuktura standardne literature

5.Informacije sigurnosne
politike

6.Organizacija informacijske
sigurnosti

7.Upravljanje ljudskim
resursima sigurnosti

8.Upravljanje imovinom

12.Operativna
sigurnost
9.Kontrola pristupa

15.Odnosi s
dobavljaima

10.Kriptografija

11.Fizika i okolina
sigurnost

13.Komunikacijska
sigurnost

14.Sustav za akviziciju,razvoj i odravanje

16.Informacijska
sigurnost upravljanja
incidentima
17.Sigurnosne
informacije s aspekta
upravljanja
kontinuitetom
poslovanja

18.Usklaenost

Razlike izmeu standarda ISO 27001

i ISO 27002

Certificiranje standarda

Preliminarni, neformalni
pregled ISMS-A

FAZA 2
Detaljnija je i spada u
formalni segment
revizije u kojem se
testira ISMS

FAZA 1

Ukljuuje popratne
provjere ili revizije,
kako bi se potvrdilo da
sistem i organizacija
ostaju u skladu sa
standardima.

FAZA 3

PROCES

ULAZNE INFORMACIJE

REZULTAT

ORGANIZACIJA ODLUUJE O
IMPLEMENTACIJI ISO 27001

PREDANOST UPRAVE
DODJELA ODGOVORNOSTI NA
PROJEKTU

Izrada Politike informacijske

sigurnosti

Dokument politike
informacijske
sigurnosti

Definiranje opsega
ISMS

Dokument opsega
ISMS

Procjena rizika u
sklopu opsega ISMS

Dokumenti procjene
rizika

Metodologija tretmana
rizika organizacije

Odluivanje o tretmanu
rizika

Dokumentirane
odluke o
odgovornostima
vezanim uz tretmane
rizika

Kontrole i vodii ISO

27001,plus kontrole koje
nisu navedene u ISO
27001

Odabir ciljeva i
kontrola za
implementaciju

Dokument izjave o
primjenjivosti

ISMS OKVIR

Proces
certifikacije

Identifikacija glavnih
ranjivosti,prijetnji,rizika
te utjecaja na poslovanje

Implementacija
kontrola

Priprema i
certifikacija

DA
Korektivne akcije

PROLAZ?
NE

Dobiven certifikat

Dokumentacij
a

Djelokrug

Informacije i
informacijska
imovina s
klasifikacijom

ISMS politika

Auriranje
rezidualnih
rizika

Mjerenja

Procjena
rizika

Checklista
certifikatora

Rezultati
interne
prosudbe

Program
poboljanja
ISMS-a

Dokument
upravljanja
incidentima
Opis ISMS
operacija

Politika
informacijsk
e sigurnosti

Selection of
Controls ISO
27001 norme
Obrada
rizika

Trening
dokumenti i
plan

Upravljanje
kontinuitetom
poslovanja

Prirunik
informacijske
sigurnosti

SoA
(Statement of
Applicability)

Primjer
certifikata
ISO 27001

Upotreba norme 9001 za

provedbu ISO 27001

Elemenati za upravljanje kvalitetom prema

ISO 9001 moe se iskoristiti i u ISO 27001
Upravljanje dokumentacijom

Interni audit

Popravne i preventivne mjere

Upravljanje ljudskim resursima

Pregled od strane menadmenta
Postavljanje poslovnih ciljeva i praenje
jesu li postignuti

Zakljuak

Hvala na panji!