Dragan Jovičić, PwC Srbija: „Važnost ISMS-a u e-Business-u“
- 3. Važnost ISMS-a u e-Business-u Dragan Jovičić PricewaterhouseCoopers doo Beograd
- 4. PLANIRANJE BEZBEDNOSTI INFORMACIJA Što je veći kontakt ili interakcija sa poslovnim svetom, to je veća potreba da se koriste informacione tehnologije. Organizacije koje koriste informacione tehnologije u poslovanju i imaju interakciju sa većim brojem korisnika imaju veću izloženost informacionih sredstava. Sve ovo dovodi do toga da organizacija može biti pogođena različitim oblicima neautorizovanih akcija ili napadima koji ugrožavaju bezbednost informacionih sistema organizacije.
- 5. PREDNOSTI KORIŠĆENJA ISMS OKVIRA X X X Advantages of Framework Adoption X Benchmark za poređenje Poverenje kupaca i poslovnih partnera Obezbeđuje pravilno usvajanje ključnih funkcija Struktura X X Usaglašavanje sa prihvatljivim nivoom bezbednosti Odbrana od tužbi
- 6. KOJI OKVIRI SU VAŽNI ZA VAŠU ORGANIZACIJU I INDUSTRIJU U KOJOJ SE NALAZITE? ZAŠTO? Okviri internacionalnih standarda su dizajnirani za implementaciju i upravljanje najboljim praksama informacione bezbednosti Šta je motivacija za organizaciju da primeni okvir? •Pružaju bezbednost informacija i primenu odgovarajućih najboljih industrijskih praksi •Sertifikacija je omogućena kao prepoznavanje usaglašenosti organizacije sa određenim okvirom
- 7. ISO 27000 SET STANDARDA Izvor? •ISO 27000 set standarda sastoji se od standarda bezbednosti informacija zajednički objavljenih od strane ISO i IEC Terminologija? •ISO 27000 set standarda se uglavnom odnosi na ISO 27001 i ISO 27002
- 8. ISO 27000 SET STANDARDA - NASTAVAK Šta su ISO 27001 i 27002 standardi? •Međunarodni, među-industrijski standardi koji obezbeđuju najbolje prakse i primere kontrola za optimalno upravljanje bezbednošću informacija
- 9. OSNOVNI CILJEVI UVOĐENJA STANDARDA ISO 27001 •stalna raspoloživost informatičke opreme i komunikacija •zaštita informacija od neovlašćenog pristupa •zaštita podataka od gubitka •zaštita od curenja informacija •osigurati kontinuitet poslovanja i pružanje usluga, za slučaj nepredviđenog događaja.
- 10. USVAJANJE PROGRAMA ZA SERTIFIKACIJU •Korišćenjem seta standarda iz grupe 27000, organizacija stiče kredibilitet za svoje bezbednosne procese i programe (povećava se poverenje kupaca / dobavljača). •Organizacija može da koristi specifične sertifikate bezbednosti kao pomoć da je usaglašena sa drugim regulatornim standardima. Na primer, ISO 27002 može da se koristi kao biblioteka kontrola za SOX kontrole ili neke druge zakonske standarde. •Smanjuje potrebu za revizijama od strane poslovnih partnera. •Značajnije skuplje rešenje, u poređenju sa strukturnom implementacijom
- 11. USVAJANJE STRUKTURNIH PROGRAMA •Usvajanje seta standarda 27000, demonstrira usaglašenost sa strukturnim pristupom i pristupom baziranom na rizicima informacionih tehnologija, koji su globalno prepoznati kao vodeće industrijske prakse. •Strukturiran ISMS program omogućava održivo upravljanje bezbednosnim kontrolama organizacije. •Fokusiran je na prioretizaciju organizacionih potreba i opciju isplativosti troškova •Povećana potreba za drugim programima revizije i usaglašenosti poslovanja •Zahteva druge načine da se poveća poverenje od strane kupaca.
- 12. ISO 27001/2 ISMS 27001 27002 Definiše zahteve za ISMS Pristup za adresiranje rizika i kontrola označenih u 27002 Upravljački standard koji definiše zahteve koje je potrebno ispuniti za upravljački sistem bezbednošću informacija (information security management system (ISMS)). Sertifikacija za ovaj standard je moguća, ali nije obavezna. Standard bezbednosti informacija koji specificira preporuke za korišćenje najboljih industrijskih praksi kroz nekoliko domena. Ovaj standard daje osnovne potencijalne kontrole i kontrolne mehanizme. Sistemski pristup upravljanju informacionim dobrima tako da informaciona dobra ostanu zaštićena. Ovo uključuje ljude, procese i IT sisteme uz pomoć primene procesa upravljanja rizicima. ISO 27001 ISO 27002 ISMS
- 13. PREDNOSTI ISO 27001/2 OKVIRA Razlozi za implementaciju ISO 27001 ISMS i povezanih ISO 27002 kontrola uključuje: •Strateški – Bolje upravljanje bezbednošću unutar širokog okruženja eksternih rizika •Poverenje kupaca – Pokazuje kupcima da su njihovi podaci zaštićeni, u razumnoj meri, od strane organizacije, ili da bi se organizacija razlikovala od konkurencije •Zakonski zahtevi – Korišćenje okvira radi integrisanja i upravljanja različitim zakonskim zahtevima •Interna efektivnost – Efektivno upravljanje informacija kao najbolja praksa Strateški Poverenje kupaca Interna efektivnost Zakonski zahtevi ISMS
- 14. STANDARDNE KONTROLE ISO 27000 set standarda je dizajniran da se koristi zajedno radi kompletiranja implementacije ISMS Kontrole su primarno definisane u ISO 27002 •114 kontrola u 14 domena u ovoj verziji standarda •Kontrole su definisane na visokom nivou •Primenljive su na svaku organizaciju, bez obzira na veličinu, strukturu ili industriju •ISO standardi kao što je 27799 primenjuju kontrole za određenu industriju
- 15. ČESTI RAZLOZI ZA PRIMENU ISO 27001 •Organizacije se susreću sa velikim brojem izazova u upravljanju bezbednošću informacija i ISO 27001 Information Security Management System (ISMS) je jedan od načina celokupnog rešavanja ovih pitanja Zaštita poslovno kritičnih informacija Upravljanje eksternim i internim pretnjama Usaglašenost trećih lica sa zakonskim odredbama Implementacija bezbednostnih kontrola Omogućavanje organizacija da uspešno posluje Odgovor na sigurnosne događaje Obezbeđivanje dostupnosti informacija Kvantifikacija pretnji i uticaja Zakonska usaglašenost Efektivna zaštita važnih podataka
- 16. ISO 27001 - ISMS Rizici poslovnih procesa (Poslovni rizici) Zakonski, Regulatorni, Ugovorni (Bezbednosni) zahtevi Information Security Management System (Upravljanje) Kontrole informacione bezbednosti
- 17. ISO 27001 - SERTIFIKACIJA •ISMS može biti sertifikovan da je u saglasnosti sa ISO 27001 od strane nezavisne treće strane. Sertifikacija da je organizacija u skladu sa ISO 27001 se sastoji iz sledećih faza procesa revizije: ISO je odgovoran za razvoj, održavanje i objavljivanje ISO 27000 seta standarda, ali sam ISO ne učestvuje u revizijama niti procenjuje upravljačke sisteme organizacija. Sertifikacija nije obavezan korak ISO standarda. •Preliminarni pregled ISMS i relevantne dokumentacije Faza 1 •Formalna revizija, testiranje ISMS prema zahtevima ISO 27001 i ISO 27002 Faza 2 •Revizije usklađenosti, koje testiraju da organizacija poštuje zahteve standarda. Održavanje sertifikata zahteva periodične ponovne revizije. Faza 3
- 18. ISO 27001 - SERTIFIKACIJA •Redovne godišnje revizije su obavezne da bi se zadržao sertifikat Revizija dokumentacije Revizija implementacije Odluka o sertifikaciji Nadzorna revizija(Godišnja) Nadzorna revizija(Godišnja) Ponovna procena usklađenosti
- 19. ZRELOST I IZVEŠTAVANJE Potpuna primena ISO 27001/2, ali sertifikacija nije obavljena Korišćenje ISO 27001/2 preporuka u područjima od interesa Korišćenje kontrola koje se fokusiraju na teme značajne za menadžment Zrelost Posvećenost “Usklađenost” “ISO 27001/2 primena” “Usvajanje određenih ISO 27001/2 praksi” “Sigurnosne kontrole” Zrelost i izveštavanje •Primena ISO 27001/2 može da posluži da se izmeri zrelost sigurnosti informacija •Zrelost može biti objavljena interno ili eksterno kao demonstracija sigurnosti informacija i poređenje sa drugim organizacijama
- 20. Hvala na pažnji!