Professional Documents
Culture Documents
15 Bezbednost Informacija ISO 27001
15 Bezbednost Informacija ISO 27001
•Poverljivost •Integritet
• Dostupnost
Da li su moje informacije
dostupne ovlašćenim korisnicima?
Vrednost informacione imovine
Ranjivost
Pretnja Informaciona Posledica
imovina
Mobilni ureñaji
Cloud tehnologije
Infrastruktura
Klimatske promene
Information Security
- Špijunaža -
% Političkai
špijunaža
Prebacivanje špijunaže
na poslovna područja Poslovna
špijunaža
Ranije Danas
Učestalost napada po industrijskim
sektorima
Primer napada sa modifikacijom virusa
Današnji profil hakera
za izvoñenje napada
Conseko d.o.o.
Korist od sistema menadžmenta bezbednošću
informacija
Sistem menadžmenta bezbednošću informacija omogućava
organizaciji da:
◦ zadovolji zahteve bezbednosti informacija kupaca i drugih
zainteresovanih strana;
◦ poboljšava svoje planove i aktivnosti;
◦ ispuni ciljeve bezbednosti informacija;
◦ bude u skladu sa propisima, zakonima, ugovornim obavezama i
očekivanjima zainteresovanih strana; i
◦ upravlja informacionom imovinom na organizovan način tako da
olakša neprekidno poboljšavanje i prilagođavanje trenutnim
organizacionim ciljevima.
22
Merama bezbednosti informacija
zaštićuju se:
Tehničke mere
Administrativne mere
Organizacione mere
Organizacione Administrativne
Postupci, Svesnost i primena
upravljanje mera za bezbednost
Tehničke
Kontrole komunikacija,
zaštite pristupa i zaštite
podataka
Sistem menadžmenta bezbednošću informacija
Uloga rukovodstva
27
Preporuke menadžmentu organizacija
28
Tipična organizaciona šema za IS u velikom preduzeću
ISM – Information Security Management
Network Security
Business Continuity & Administrator
DRP Team
Communications Security
Administrator
Application Security
Administrator
Odreñivanje potencijalno raspoloživih
resursa
izbor timova za:
◦ hitne situacije
◦ upravljanje rizikom u organizaciji,
◦ ublažavanje posledica kroz BCP
odabir kontrola zaštite,
implementacija kontrola zaštite
Bezbednost informacija
Pravilnici,
Procedure, Polise na Politike
Ugovori ureñajima i
sistemima
32
Razmotriti i uzimati u obzir
fleksibilnost i ograničenja u radu
Maksimalna
Poslovna fleksibilnost Maksimalna
Bezbednost informacija
Vodeći principi kod primene standarda
Uspostavi pravila:
Upostavi i po potrebi dokumentuj pravila za rad u firmi.
Definiši očekivane rezultate procesa:
Definiše očekivane rezultate i za to dokumentovane informacije.
Prikaži rezultate šta si uradio:
Stvori zapise (dokaze) da su aktivnosti sprovedene i da su ispunjeni zahtevi.
Verifikuj:
Sprovodi periodične interne provere, da proveriš pogodnost, usaglašenost i
efektivnost primene.
Politika i Interne
ciljevi provere i
bezbednosti
informacija
ISMS preispitivanje
Za verifikaciju
Politike i ciljevi prakse primene i
ISMS otkrivanje mesta
za poboljšanja
Primena Upravljanje
Procena rizika zahtevanih kontinuitetom
bezbednosti kontrola kritičnih
informacija Prema zahtevima usluga
za svu aneksa A Za slučaj
informacionu standarda nepredviñenih
imovinu dogañaja
Vodeći principi kod primene standarda
Uspostavi pravila:
Upostavi i po potrebi dokumentuj pravila za rad u firmi.
Definiši očekivane rezultate procesa:
Definiše očekivane rezultate i za to dokumentovane informacije.
Prikaži rezultate šta si uradio:
Stvori zapise (dokaze) da su aktivnosti sprovedene i da su ispunjeni zahtevi.
Verifikuj:
Sprovodi periodične interne provere, da proveriš pogodnost, usaglašenost i
efektivnost primene.
Interno
Poverljivo
Strogo poverljivo / poslovna tajna
Pojam Definicija
Rizik Kombinacija verovatnoće nekog
dogañaja i njegovih (negativnih)
posledica
Pretnja Potencijalni uzrok nekog neželjenog
incidenta, koji može dovesti do štete
na sistemu ili u organizaciji
Verovatnoća Verovatnoća
rizičnog dogañaja posledica
Kontrola Kontrola
verovatnoće posledica
rizičnog
dogañaja
Faktori rizika prema Microsoft DREAD
modelu
Rizik
Mogućnost
Broj afektiranih
kontrole
komponenti
Mogućnost
ponavljanja
Conseko d.o.o.
Ocena rizika gubitka ili zloupotrebe
informacija
≥4
Nizak Kada je utvrñen nizak nivo rizika, tim za
<14 bezbednost informacija treba da proceni da
li su potrebne dodatne aktivnosti
Verovatnoća ispoljavanja rizika je veoma
Veoma nizak <4 niska, nisu potrebne dodatne aktivnosti na
sprečavanju.
Efektivno upravljanje rizicima
Očekuje da:
Organizacija je prepoznala svoje rizike za bezbednost
informacija
Preduzimaju se mere da se ti rizici svedu na minimum
Vrši se stalni monitoring/praćenje
51
Procesi unutar organizacije
se usklañuju sa zahtevima
Zahtevi
MAY-
MAY-05 Miodrag Vukovic 9|15
Nezaobilazni zahtev:
Usklañenost sa zakonom
Propisi relevantni za bezbednost informacija:
Preispitivanje
Interna Korektivne od strane
provera mere rukovodstva
Procena Plan
rizika tretrmana
Uvodna obuka
Iniciranje
projekta
GAP
analiza
Hvala na pažnji!
Pitanja?