Ovaj rad je izloen na Svetskom danu kvaliteta 2011. god. u organizaciji FQCE. Rad je ustu ljen ortalu !

"valitet# i ne moe se dalje o$javljivati% ko irati ili menjati $ez saglanosti autora.

ISO 27001:2005 Potreba ili obaveza Autor:

Dragan Markovi HDL De ign Hou e! "eogra#

I$%A Serti&ie# Au#itor

Izvo#: U radu je prikazan kratak istorijat objavljivanja standarda vezanih za sigurnost informacija. Prikazan je trend sertifikacije ISMS-a. Navedeni su glavni elementi sistema i problemi u njegovom uvodjenju i primeni. U radu je dat pregled zakona koje je Skup tina !epublike Srbije donela" a koji se direktno odnose na sigurnosti informacija. U zaklju#ku su prikazane glavne prednosti funkcionisanja ISMS-a u organiziciji i eventualni nedostaci koje mogu biti posledica usvojenih propisa u ovoj oblasti. "lju&ne re&i$ IS% &'(()$&((*" sistem menadzmenta sigurnosti informacija" ISMS" I+ 1' (vo# ,ada se oktobra &((*. godine pojavio standard IS%-I./ &'(()$&((*" za mnoge I+ stru#njake je to bio samo jos jedan novi koncept koji organizacijama daje re enje za sigurnost informacija u eksanzivnom razvoju I+ sektora. No ubrzo su se stvari iskristalisale i prvo to su svi uo#ili je da ovo nije 0samo1 jo jedan informati#ki standard ve2 ne to mnogo ire. +o ne to ire je poku aj da se u centar stavi informacija" a ne informacioni sistem. Informacioni sistemi predstavljaju je mesto gde se ve2ina informacija danas mo3e na2i" ali standard IS% &'(()$&((* podrazumeva uvo4enje jednog mena4ment sistema koji 2e upravljati svim informacijama od va3nosti za jednu organizaciju" bez obzira gde se one i u kom obliku nalaze. %vaj kvalitativni korak je uslovio da se vi2ana drugih standarda za sigurnost pojedinih delova ili celog informacionog sistema nadju kao deo ili neophodni alat za uspe no funkcionisanje sitema menad3menta sigurno 2u informacija. 2' )ako *e ve +o,elo %bjavljivanju standarda IS% &'(()$&((* od strane IS%-a je prethodilo vi e od pet godina rada" a sve je po#elo devedesetih godina kada je po#elo intentivnije da se govori o sigurnosti informacija. ,ratki istorijat vezan za sisteme sigurnosti informacija moze se sa3eti u nekoliko klju#nih dogadjaja$ 1992 5 Ministarstvo trgovine i industrije 6elike 7ritanije je objavilo 0,odeks prakse za Menad3ment sigurnosti informacija1 1995 5 7ritanski institut za standarde 87SI9 je ovaj dokument objavio pod oznakom 7SI '':: i nazivom 0Sistem menad3menta sigurnosti informacija - Specifikacija sa uputstvom za kori 2enje1 1996 5 ;ejvid 6otson postaje prvi kvalifikovani proveriva# 8<uditor9 za standard 7SI ''::

1999 5 Izvr ena je prva revizija 7SI ''::. <kreditaciona i sertifikaciona ema je uspostavljena. =!>< i 7SI postaju prva sertifikaciona tela. 2000 5 Standard 7S '':: je ponovno objavljen ali formalno pod okriljem IS%-a kao IS%-I./ )'':: Informacione tehnologije 5 0,odeks prakse za menadzment sigurnosti informacija1 2001 5 Promovisan prvi )'':: alat 8+oolkit )''::9 2002 5 %bjavljen je drugi deo standarda pod oznakom 7S ''::-&. +o je bila specifikacija" vi e nego kodeks prakse. Po#inje proces uskla4ivanja sa drugim menadzment standardima" kao to su oni iz serije IS% :(((. 2005 5 %bjavljena je nova verzija IS% )''::. %vo uklju#uje dva nova poglavlja i ve2e uskla4ivanje sa 7S ''::-&. 2005 5 IS% &'(() je objavljen zamenjuju2i 7S ''::-& koji je povu#en. Standard je specifikacija za sistem menadzmenta sigurnosti informacija" koji je usagla en sa IS% )'':: i spojiv sa IS% :((). Poslednjih ? godina objavljen je ve2i broj standarda iz serije &'((( koji se odnose na specifi#ne segmente poslovanja organizacija ili bli3e defini u pojedine zahteve standarda IS%-I./ &'(()$&((*. Pregled objavljenih stanarda serije IS% &'((( 8zaklju#no sa oktobrom &())9 IS%-I./ &'((&$&((* Information technolog@ A Securit@ techniBues A /ode of practice for information securit@ managemen IS%-I./ &'((C$&()( Information technolog@ A Securit@ techniBues A Information securit@ management s@stem implementation guidance IS%-I./ &'((D$&((: Information technolog@ A Securit@ techniBues E Information securit@ management - Measurement IS%-I./ &'((*$&()) Information technolog@ A Securit@ techniBues A Information securit@ risk management 8second edition9 IS%-I./ &'((?$&((' Information technolog@ A Securit@ techniBues A !eBuirements for the accreditation of bodies providing audit and certification of information securit@ management s@stems IS%-I./ &'())$&((F Information technolog@ A Securit@ techniBues A Information securit@ management guidelines for telecommunications organizations based on IS%-I./ &'((& IS%-I./ &'(C)$&()) Information technolog@ A Securit@ techniBues A Guidelines for information and communications technolog@ readiness for business continuit@ IS%-I./ &'(C*$&()) Information technolog@ A Securit@ techniBues A Information securit@ incident management IS% &''::$&((F Health informatics A Information securit@ management in health using IS%-I./ &'((& -' Sigurno t in&or.a/i*a 0 +roble. avre.enog #ru1tva Informacije mogu postojati u mnogo oblika i formi. %ne mogu biti tampane na papiru" uskladi tene u elektronskom obliku" mogu se slati po tom ili elektronskim putem" prikazati na filmu ili izre2i u razgovoru. Informacije u bilo kom obliku ili sredstvo preko kojeg se one zajedni#ki koriste ili na kojem se #uvaju" one uvek treba da budu odgovaraju2e za ti2ene. 8)9 Pod dana njim pojmom sigurnosti informacija se uobi#ajeno misli na o#uvanje integriteta" raspolo3ivosti i poverljivosti informacija. Glavni pokreta#i savremenog poslovanja su$ Profitabilnost" Povratak investicija"

%stvarivanje konkurentnosti" Usagla enost sa zakonskim i drugim propisima i standardima" !eputacija

Ia ostvarivanje poslovnih ciljeva potrebni su razli#iti resursi koji u svim slu#ajevima trebaju da budu za ti2eni" a danas ponajvi e od konkurencije. Ia dr3avne organe" problem predstavlja sigurnost informacija koje su od vitalnog zna#aja za bezbednost. Na sigurnost informacija uti#u tri glavna faktora$ =judi" Sistem" %kru3enje U savremenom poslovanju ljudski resursi i ponajvi e njihovo znanje 8odnosno tehnolo ka" informaciona i svaka druga ve tina9 je od su tinskog zna#aja" ne samo u smislu razvoja ve2 i za sam opstanak poslovnih aktivnosti organizacije. Sistemi se" sami po sebi" me4usobno razlikuju 8jer njihovi elementi nisu identi#ni9. %d okru3enja 2e zavisiti sa jedne strane postavka sistema" a sa druge strane okru3enje u najve2em delu odre4uje vrstu rizika po sigurnost informacija. ,ada se govori o sigurnosti informacija kao problemu savremenog dru tva" poseban pa3nju treba staviti na sigurnost informacija razli#itih dr3avnih organa i institucija" koje mogu imati dalekose3ne posledice po funkcionisanje i bezbednost dr3ava. ;anas" u velikoj meri" poslovanje zavisi od informacionih tehnologija" komunikacija putem mre3a" kao i be3i#nih i mobilnih komunikacija. %bim i brzina razmene informacija umnogome doprinose ranjivosti dana njih sistema za procesuiranje informacija. Podatak da je" prema nekim istra3ivanjima" ljudski faktor u F*J slu#ajeva uzrok pojave incidenata vezanih za sigurnost informacija" navodi na to da se akcenat treba staviti na organizaciona i sistemska re enja. 2' ( +o tavl*an*e ISMS3a 0 izazov za organiza/i*u Proces uspostavljanja sistema menad3menta sigurnosti informacija je odnosu na druge menad3ment sisteme ne to komplikovaniji i vreme za njegovo uspostavljanje je du3e. %vo je posledica nekoliko klju#nih elemenata$ Sveobuhvatna procena rizika koju zahteva sam standard Mnogobrojni tehni#kih uslovi koji moraju biti ispunjeni u savremenim I+ sistemima 6rsta i u#estalost mogu2ih pretnji po sistem )CC kontrolne mere koje trebate primeniti u sistemu 8uz uz ograni#eni broj mogu2ih isklju#enja9

%vakav pristup koji je standard postavio je za rezultat imao to da je godi nji rast broja sertifikovanih organizacija bio mali. Prema zvanicnim podacima IS%-a na kraju &((:. godine bilo je sertifikovano )& :CD organizacije. Na Slici ). je prikazan trend rasta broja ISMS sertifikata.

Slika ). +rend rasta broja ISMS sertifikata Prvih nekoliko meseci od zvani#nog objavljivanja standarda" koji je tako dugo pripreman nije bilo ni jedne sertifikovane organizacije" ali stvari su se vrlo brzo po#ele da menjaju" ipak sporije u odnosu na primenu drugih standarda. Upore4uju2i ove podatke sa podacima o sertifikaciji prema drugim standardima" na primer IS% &&((($&((*" mo3emo uo#iti" da je u periodu &((? 5 &((: godina" broj sertifikata ISMS-a rastao po stopi koja je za C( J bila ni3a od broja izdatih sertifikata za IS% &&(((" bez obzira na veliku ekspanziju i razvoj I+ sektora u celom svetu. Kedan od velikih pomaka u pristupu ISMS u odnosu na standarde koji su se primenjivani" naj#e 2e od strane proizvo4a#a specifi#ne informati#ke opreme" softvera ili velikih multinacionalnih kompanija" je u sveobuhvatnom pristupu sistema menadzmenta sigurno 2u informacija. Mora se naglasiti da iako je standard IS%-I./ &'(()$&((* izdat pod segmentom informacionih tehnologija" on ne predstavlja 0samo1 informati#ki standard" jer obuhvata i fizi#ko 5 tehni#ku za titu" upravljanje ljudskim resursima" uskla4enost sa zakonskim" tehni#kim i drugim propisima i sveobuhvatno planiranje i vrednovanje aktivnosti u sistemu menad3menta sigurnosti informacija. 6elika konkurencija na tr3i tu" nedostatak finansijskih sredstava i borba za sve ve2u profitabilnost podstakla je i najve2e svetske kompanije da posle nekog vremena prihvate ovaj standard kao najbolji za ispunjenje njihovih ciljeva u odnosu na sigurnost informacija. Najveci pomak u tom smislu je sertifikovanje glavne kancelarije Majkrsofta 8Microsoft Global Loundation Services ;ivision9

i pojedinih njegovih ogranaka u <merici i .vropi" prema standardu IS%-I./ &'(()$&((* od strane 7SI po#etkom &()) god. %vo je uticalo sna3no na konkurenciju koja je odgovorila sa najavom sertifikacije pojedinh delova ili #ak citavih kompanija. Mora se uzeti u obzir da usled obimnih zahteva standarda pojedine multinacinalne kompanije odustaju od sertifikacije" jer ve2 imaju svoje sisteme koji su razvijani u du3em vremenskom periodu. Procena kompanije +eksas Instrument 8+eMas Instruments9" odnosno njenog I+ Securit@ ;epartment-a je da bi sertifikacija prema zahtevima ovog standarda ko tala izme4u F i )( miliona N" uklju#uju2i i neophodne infrastrukturne" organizacione i tehni#ke izmene u kompaniji. 5' ISMS za .noge u Srbi*i +o ta*e obaveza Skup tina !epublike Srbije je" uskladjuju2i zakonodavstvo Srbije sa zakonodavstvom evropske unije" donela set zakona koji se odnose na sigurnost informacija 8direktno iliindirektno9. U roku od dve godine doneti su slede2i zakoni koji se odnose na sigurnost podataka$ ). Iakon o za titi podataka o li#nosti &. Iakon o tajnosti podataka C. Iakon o #uvanju poslovne tajne U skladu sa Iakonom o tajnosti podataka 6lada !epublike Srbije donela je Uredbu o posebnim merama za tite tajnih podataka u informaciono 5 telekomunikacionim sistemima. U #lanu )( ove Uredbe eksplicitno je napisano da radi odr3avanja bezbednosti sistema u toku njegovog kori 2enja" organ javne vlasti" odnosno pravno lice sprovodi 0primenjivanje novih tehni#kih i programskih sredstava u sistemu u skladu sa odgovaraju2im tehni#kim standardima S!PS IS%-I./ &'(() i S!PS IS%-I./ )''::18&9. %va Uredba je obavezala sve dr3avne organe i organizacije koje rade sa njima i za njih" a imaju pristup tajnim podacima" da prakti#no uspostave sistem menadzmenta sigurnosti informacija 8mada formalno ne moraju biti sertifikovani9. Uredba je tako koncipirana da se u njenih &' #lanova mogu prepoznati glavni ciljevi grupa kontrola <neksa < standarda IS%-I./ &'(()$&((*. Postavlja se pitanje kako 2e 6lada !epublike Srbije" koja je donela Uredbu" vr iti kontrolu njenog sprovo4enja jer se organi javne vlasti" odnosno organizacije ne obavezuju na sertifikaciju" pa ostaje nejasno ko 2e i sa kakvim kompetencijama vr iti proveru uskla4enosti sistema sa zahtevima standarda IS% &'(()$&((*. 4' 5akl*u,ak Imaju2i u vidu stalnu ekspanziju I+ industrije i sve izazove koje stoju pred savremena dr tva potreba za uvo4enjem sistema menad3menta sigurnosti informacija je ve2a nego ikada. Na potrebu impleplementacije zahteva standarda IS%-I./ &'(()$&((* pre svega uti#u brojni rizici po sigurnost informacija. Iakonski propisi koji su doneseni u !epublici Srbiji" stvaraju samo predpostavsku za br3u implementaciju i stvaranje neophodnih uslova da se problematika sigurnosti informacija postavi na jedan kvalitativno vi i nivo. =itratura$ 8)9 IS%-I./ )''::$&((D 8&9 Uredba o posebnim merama za tite podataka u informaciono-telekomunikacionim sistemima 8C9 IS% Oeb site 5 OOO.iso.org