ISO 27001 Foundation Skripta

ISO 27001:2013 (ISMS)
Istorijat standarda ISO 27001

1995 2013
2013
2007
1999
1995
1999
ISO/IEC
27001:2013
ISO/IEC
ISO/IEC
27002:2013
27002:2007
ISO/IEC
ISO/IEC
BS 77992:1999
BS 77991:1999
2000
2005
17799:2000
17799:2005
ISO/IEC
27001:2005
Razvijen da bi
se sprovela
Prvi standard
BS7799
certifikacija
Kriterijumi vrednosti
Potrebe
Trina relevantnost
Lakoa korienja
Koje su oekivane koristi i
tete za organizacije
Primenljivost ocenjivanja
usaglaenosti
Kompatibilnost sa ostalim
MSS
Ciljevi seminara
ISO 27001
Razumevanje strukture novog standarda ISO/IEC

27001:2013
Analiza
A
li prednosti
d
ti i nedostataka
d t t k standarda
t d d ISO/IEC
27001:2013 u poreenju sa standardom ISO/IEC
27001:2005
Razumevanje budue uloge standarda ISO/IEC 27003,

ISO/IEC 27004 i ISO/IEC 27005
Procena napora da
P
d se pree
sa standarda
t d d ISO/IEC
27001:2005 na standard ISO/IEC 27001:2013 i da se dobije
certifikat.
Ciljevi seminara
ISO 27002
Razumevanje nove organizacije standarda ISO/IEC

27002:2013 i razloga za to
Analiza
A
li prednosti
d
ti i nedostataka
d t t k standarda
t d d ISO/IEC
27002:2013 u poreenju sa standardom ISO/IEC
27002:2005
Uenje kako prei sa Anex-a A standarda ISO/IEC

27002:2005 na Anex A standarda ISO/IEC 27002:2013
ISO/IEC direktive
Izvod iz Annex-a SL
4 Kontekst organizacije
4.1 Razumevanje organizacije i njenog konteksta
Organizacija mora da odredi svrshishodna interna i eksterna relevantna pitanja
koja mogu uticati na sposobnost organizacije prilikom postizanja
eljenih rezultata sopstvenog sistema upravljanja sigurnou informacija.
4.2 Razumevanje potreba i oekivanja zainteresovanih strana

Organizacija bi morala da utvrdi sledee:
zainteresovane strane koje su relevantne za sistem upravljanja sigurnou informacija i;
zahteve tih zainteresovanih strana koji su relevantni za sigurnou informacija.
4.3 Odreivanje predmeta i podruja primene sistema

upravljanja sigurnou informacija
U cilju uspostavljanja i odreivanja predmeta i podruja primene, organizacija mora
da odredi granice i primenljivost sistema upravljanja sigurnou informacija.
Prilikom odreivanja predmeta i podruja primene, organizacija mora
da uzme u obzir sledee:
eksterna i interna pitanja pomenuta u poglavlju 4.1;
zahteve iz poglavlja 4.2 i
Predmet i podruje primene se mora dokumentovati.
Pregled standarda ISO 27001:2013

Nova struktura
0
Uvod
Predmet i podruje primene
Normativne reference
Termini i definicije
Kontekst organizacije
Liderstvo
Planiranje
Podrka
Operativni rad
Evaluacija performansi
10
Poboljanja

etrnaest taaka standarda
5
Politike sigurnosti informacija
Organizacija sigurnosti informacija
Sigurnost ljudskih resursa
Upravljanje sredstvima
Kontrola pristupa
10
Kriptografija
11
Fiziko obezbeenje i obezbeenje od spoljanjih uticaja
12
Sigurnost funkcionisanja
13
Sigurnost komunikacija
14
Nabavka, razvoj i odravanje informacionih sistema
15
Odnosi sa dobavljaima
16
Upravljanje incidentima sigurnosti informacija
17
Aspekti upravljanja kontinuitetom poslovanja sigurnosti informacija
18
Usklaenost

Prednosti u odnosu na standard ISO 27002:2005
Vie podruja a manje mera segurnosti
Usklaen sa razvojem tehnologije
Uklonjene prevaziene mere sigurnosti
Spojene sline mere sigurnosti
Smanjena redundancija
Umesto jedne spominju se sve politike u standardu
Izbaeni saeci ciljeva sigurnosti

Mere sigurnosti koje su izbrisane iz
standarda ISO 27002:2005
6.1.2 Koordinacija bezbednosti

informacija
11.4.4 Zatita porta za daljinsku

dijagnostiku i konfiguraciju
6.1.4 Proces autorizacije za rad sa

opremom za obradu informacija
11.4.6 Kontrola povezivanja na

mreu
6.2.1 Identifikacija rizika koji se

odnose na eksterne strane
11.4.7 Kontrola mrenog

usmeravanja (rutiranja)
6.2.2 Upuivanje na bezbednost

u radu sa korisnicima
12.2.1 Validacija ulaznih podataka
10.4.2 Mere sigurnosti protiv

mobilnog koda
10.7.4 Bezbednost dokumentacije

sistema
10.8.5 Poslovni informacioni

sistemi
14.1.4 Okviri planiranja kontinuiteta

poslovanja
10.9.3 Javno raspoloive

informacije
15.1.5 Spreavanje zloupotebe

opreme za obradu informacija
10.10.2 Praenje korienja

sistema
11.4.2 Provera verodostojnosti

korisnika za spoljna prikljuenja
12.2.2 Kontrola interne obrade

12.2.3 Integritet poruka
12.2.4 Validacija izlaznih podataka
12.5.4 Curenje informacija
15.3.2 Zatita alata za audit

informacionih sistema

Nove mere sigurnosti u standardu ISO 27002:2013
6.1.5 Bezbednost informacija u

upravljanju projektom
12.6.2 Restrikcije po pitanju

instalacije softvera
14.2.1 Politika bezbednosti razvoja
A.16.1.5 Odgovor na incidente

bezbednosti informacija
14.2.5 Inenjerski principi

bezbednosti sistema
17.1.1 Planiranje kontinuiteta

sigurnosti informacija
14.2.6 Bezbednost razvojnog

okruenja
17.1.2 Implementacija kontinuiteta

bezbednosti informacija
14.2.8 Testiranje bezbednosti

sistema
15.1.1 Politika sigurnosti

informacija za odnose sa
dobavljaima
17.1.3 Verifikacija, preispitivanje i

procena kontinuiteta sugurnosti
informacija
15.1.3 Informacioni i komunikacioni

lanac snabdevanja
16.1.4 Procena i odluka o

dogaajima bezbednosti
informacija
17.2.1 Raspoloivost opreme za

obradu informacija
Struktura standarda ISO 27001

Taka 4
Kontekst
organizacij
e
Taka 6
Planiranje
Taka 10
Poboljanja
Taka 7
Podrka
Taka 8
Operativni rad
Taka 9
Performance
evaluation
Taka 5
Liderstvo
Annex A
Ciljevi i mere sigurnosti
12
4.1 Razumevanje organizacije i njenog konteksta
Organizacija mora da odredi svrshishodna interna i eksterna relevantna pitanja koja mogu
uticati na sposobnost organizacije prilikom postizanja eljenih rezultata sopstvenog
sistema upravljanja sigurnou informacija.
NAPOMENA Odreivanje ovih pitanja odnosi se na uspostavljanje eksternog i internog
konteksta organizacije, to je objanjeno u Poglavlju 5.3 standarda ISO 31000:2009 [5].
13
4.2 Razumevanje potreba i oekivanja zainteresovanih strana
Organizacija bi morala da utvrdi sledee:
a) zainteresovane strane koje su relevantne za sistem upravljanja sigurnou informacija i;
b) zahteve tih zainteresovanih strana koji su relevantni za sigurnost informacija.
NAPOMENA Zahtevi zainteresovanih strana mogu podrazumevati pravne i regulatorne
zahteve, kao i ugovorne obaveze.
14
4.3 Odreivanje predmeta i podruja primene sistema upravljanja sigurnou
informacija
U cilju uspostavljanja i odreivanja predmeta i podruja primene, organizacija mora da

odredi granice i primenljivost sistema upravljanja sigurnou informacija.
Prilikom odreivanja predmeta i podruja primene, organizacija mora da uzme u obzir
sledee:
a) eksterna i interna pitanja pomenuta u poglavlju 4.1;
b) zahteve iz poglavlja 4.2 i
c) interfejse i zavisnosti izmeu aktivnosti koje obavlja organizacija i aktivnosti koje
obavljaju druge organizacije.
Predmet i podruje primene se mora dokumentovati.
15
4.4 Sistem upravljanja sigurnou informacija
Organizacija mora da uspostavi, implementira, odrava i stalno poboljava sistem
upravljanja sigurnou informacija u skladu sa zahtevima ovog meunarodnog standarda.
16
5 Liderstvo
5.1 Liderstvo i posveenost (1 od 2)
Top menadment (najvie rukovodstvo) mora da pokae liderstvo i posveenost sistemu
upravljanja sigurnou informacija tako to e:
a) obezbediti uspostavljanje politike i ciljeva sigurnosti informacija, kao i njihovu
kompatibilnost sa stratekim pravcem organizacije;
b) obezbediti integraciju zahteva za sistem upravljanja sigurnou informacija u procese
organizacije;
c) obezbediti raspoloivost neophodnih resursa za potrebe sistema upravljanja sigurnou
informacija;
d) ukazivati na vanost efektivnog upravljanja sigurnou informacija i usaglaavati se sa
zahtevima za sistem upravljanja sigurnou informacija;
17
5 Liderstvo
5.1 Liderstvo i posveenost (2 od 2)
Top menadment (najvie rukovodstvo) mora da pokae liderstvo i posveenost sistemu
upravljanja sigurnou informacija tako to e:
e) osigurati da sistem upravljanja sigurnou informacija postie eljene rezultate;
f) usmeravati i podravati osoblje kako bi se doprinelo efektivnosti sistema za upravljanje
sigurnou informacija;
g) promovisati stalno poboljanje i
h) podravati i druge relevantne rukovodee strukture u cilju dokazivanja njihovog
liderstva koje se odnosi na njihova podruja odgovornosti.
18
5 Liderstvo
5.2 Politika
Top menadment mora da uspostavi politiku sigurnosti informacija koja ispunjava sledee:
a) odgovara svrsi organizacije;
b) obuhvata ciljeve sigurnosti informacija (videti 6.2) ili daje okvir za utvrivanje ciljeva sigurnosti informacija;
c) ukljuuje obavezu da zadovolji odgovarajue zahteve koji se odnose na sigurnost informacija i
d) ukljuuje posveenost kontinuiranom poboljanju sistema upravljanja sigurnou informacija.
Politika sigurnosti informacija mora:
biti na raspolaganju kao dokumentovana informacija;
e) da se saopti u okviru organizacije i
f) biti raspoloiva zainteresovanim stranama, po ukazanoj potrebi.
19
5 Liderstvo
5.3 Organizacione uloge, odgovornosti i ovlaenja
Najvie rukovodstvo mora blagovremeno da obezbedi dodeljivanje odgovornosti i
ovlaenja relevantnim ulogama u sistemu upravljanja sigurnou informacija, kao i njihovo
saoptavanje.
Najvie rukovodstvo mora dodeliti odgovornost i ovlaenja u cilju:
obezbeenja usaglaenosti sistema upravljanja sigurnou informacija sa zahtevima ovog
meunarodnog standarda i
izvetavanja top menadmenta o funkcionisanju sistema upravljanja sigurnou
informacija.
NAPOMENA Takoe, najvie rukovodstvo moe dodeliti odgovornosti i ovlaenja za
izvetavanje o funkcionisanju sistema upravljanja sigurnou informacija u okviru
organizacije.
20
6 Planiranje
6.1 Mere za reavanje rizika i mogunosti
6.1.1 Opte karakteristike (1 od 2)
Tokom planiranja sistema upravljanja sigurnou informacija, organizacija mora da uzme u
obzir pitanja iz poglavlja 4.1, kao i zahteve iz poglavlja 4.2 u cilju odreivanja rizika i
mogunosti koje je neophodno reavati radi:
a) osiguranja da sistem upravljanja sigurnou informacija moe da postigne svoj
nameravani rezultat;
b) spreavanja, odnosno smanjenja neeljenih efekata i
c) postizanja kontinualnog poboljanja.
Organizacija mora da planira:
d) mere za reavanje tih rizika i mogunosti i
21
6 Planiranje
6.1.1 Opte karakteristike (2 od 2)
Tokom planiranja sistema upravljanja sigurnou informacija, organizacija mora da uzme u
obzir pitanja iz poglavlja 4.1, kao i zahteve iz poglavlja 4.2 u cilju odreivanja rizika i
mogunosti koje je neophodno reavati:
e) kako da
1.
integrie i primeni te mere u sopstvene procese sistema upravljanja sigurnou

informacija;
2. proceni efektivnost preduzetih mera.
22
6 Planiranje
6.1.2 Procena rizika sigurnosti informacija (1 od 3)
Organizacija mora da definie i primeni proces procene rizika sigurnosti informacija koji
e da:
a) uspostavlja i odrava kriterijum za odreivanje rizika sigurnosti informacija koji
obuhvata:
1.
kriterijum prihvatljivosti rizika i
2. kriterijum za vrenje procene rizika sigurnosti informacija;

b) osigurava da se ponavljanjem procena rizika sigurnosti informacija dobijaju
konzistentni, validni i uporedivi rezultati;
23
6 Planiranje

Organizacija mora da definie i primeni proces procene rizika sigurnosti
informacija koji e da:
ISO/IEC
27001:2013(E)
c) identifikuje rizike sigurnosti informacija:

d) primenom procesa procene rizika sigurnosti informacija u cilju
identifikovanja rizika koji se odnose na gubitak poverljivosti, integriteta i
raspoloivosti informacija u okviru predmeta i podruja primene sistema
upravljanja sigurnou informacija i
1. identifikovanjem vlasnika rizika;
d) analizira rizike sigurnosti informacija:
1. procenom potencijalnih posledica koje bi se dogodile ukoliko bi se
identifikovani rizici u 6.1.2 v) 1) ostvarili;
24
6 Planiranje
Organizacija mora da definie i primeni proces procene rizika sigurnosti informacija koji e da:
d) analizira rizike sigurnosti informacija:
2) procenom realne verovatnoe nastanka rizika identifikovanih u 6.1.2 v) 1) i
3) utvrivanjem nivoa rizika;
e) procenjuje rizike sigurnosti informacija:
1.
poreenjem rezultata analize rizika sa kriterijumima za odreivanje rizika utvrenih pod 6.1.2 a)
i
2.
odreivanjem prioriteta analiziranih rizika radi tretiranja rizika.
Organizacija mora da uva dokumentovane informacije o procesu procene rizika sigurnosti

informacija.
25
6 Planiranje
6.1.3 Postupak u sluaju rizika sigurnosti informacija (1 od 3)
Organizacija mora da definie i primenjuje proces tretmana u sluaju rizika sigurnosti
informacija na sledei nain:
a) izabrati odgovarajue opcije tretmana rizika sigurnosti informacija, uzimajui u obzir
rezultate procene rizika;
b) odrediti sve neophodne kontrole za implementaciju izabranih opcija (ili opcije) tretmana
rizika sigurnosti informacija;
NAPOMENA Organizacije mogu da dizajniraju kontrole po potrebi, ili da ih identifikuju iz
bilo kog izvora.
26
6 Planiranje
6.1.3 Postupak u sluaju rizika sigurnosti informacija(2 od 3)
c) uporediti kontrole odreene u 6.1.3 b) sa kontrolama navedenim u Aneksu A i proverite
da li je izostavljena neka neophodna kontrola;
NAPOMENA 1
Aneks A sadri sveobuhvatnu i iscrpnu listu kontrolnih ciljeva i
kontrola. Korisnici ovog meunarodnog standarda upuuju se na Aneks A, kako bi se
osiguralo da ne doe do izostavljanja neophodnih kontrola.
NAPOMENA 2
Kontrolni ciljevi posredno su ukljueni u odabranim kontrolama.
Navedeni kontrolni ciljevi i kontrole u Aneksu A nisu konani, tako da se moe dogoditi da
je potrebno definisati dodatne kontrolne ciljeve i kontrole.
27
6 Planiranje

6.1.3 Postupak u sluaju rizika sigurnosti informacija(3 od 3)
d) napisati Izjavu o primenljivosti koja sadri neophodne kontrole (vidi
6.1.3 b) i v)) i opravdanost ukljuivanja, bez obzira da li su
implementirane ili ne, kao i opravdanost iskljuivanja kontrola iz
Aneksa A;
e) formulisati plan tretmana rizika sigurnosti informacija i
f) dobiti od vlasnika rizika odobrenje plana tretmana rizika sigurnosti
informacija i prihvatanje preostalih rizika sigurnosti informacija.
Organizacija mora da uva dokumentovane informacije o procesu
tretmana rizika sigurnosti informacija.
NAPOMENA Proces procene i tretmana rizika sigurnosti informacija u
ovom meunarodnom standardu usklaen je sa principima i optim
smernicama navedenim u ISO 31000 [5].
28
6 Planiranje
6.2 Ciljevi sigurnosti informacija i planovi za njihovo postizanje (1 od 2)
Organizacija mora da uspostavi ciljeve sigurnosti informacija na relevantnim funkcijama i
nivoima.
Ciljevi sigurnosti informacija moraju:
a) da budu u skladu sa politikom sigurnosti informacija;
b) da budu merljivi (ukoliko je izvodljivo);
c) uzeti u obzir vaee primenljive zahteve za sigurnost informacija, kao i rezultate
procene i tretmana rizika;
d) se saoptiti i
e) se aurirati po potrebi.
Organizacija mora da uva dokumentovane informacije o ciljevima sigurnosti informacija.
29
6 Planiranje
6.2 Ciljevi sigurnosti informacija i planovi za njihovo postizanje (2 od 2)
Prilikom planiranja naina postizanja sopstvenih ciljeva sigurnosti informacija, organizacija
mora da utvrdi sledee:
f) ta e biti uraeno;
g) koji resursi e biti potrebni;
h) ko e biti odgovoran;
i) kada e biti zavreno i
j) kako e se rezultati proceniti.
30
10
Podrka
7.1 Resursi
Organizacija mora da odredi i obezbedi resurse potrebne za uspostavljanje,
implementaciju, odravanje i kontinualno poboljanje sistema upravljanja sigurnou
informacija.
31
Podrka
7.2 Kompetentnost
Organizacija mora da:
a) odredi potrebnu kompetentnost osobe (osoba) koja obavlja posao pod kontrolom organizacije koji
utie na performanse sigurnosti informacija organizacije;
b) obezbedi da se kompetentnost tih osoba zasniva na adekvatnom obrazovanju, obuci ili iskustvu;
c) gde je primenljivo, preduzme mere u cilju sticanja odgovarajue kompetentnosti, kao i da izvri
procenu efektivnosti preduzetih mera i
d) sauva odgovarajue dokumentovane informacije kao dokaz kompetentnosti.
NAPOMENA Primenjene mere mogu obuhvatiti, na primer: obezbeenje obuke, mentorstva, ili
promene radnih mesta zaposlenih; ili zapoljavanje ili ugovorno obavezivanje kompetentnih osoba.
32
Podrka
7.3 Svesnost
Lica koja obavljaju posao pod kontrolom organizacije moraju da budu svesna sledeeg:
a) politike sigurnosti informacija;
b) njihovog doprinosa efektivnosti sistema upravljanja sigurnou informacija, ukljuujui
koristi od poboljane performanse sigurnosti informacija;
c) implikacija (upletenosti) u neusaglaenost sa zahtevima sistema upravljanja sigurnou
informacija.
33
11
Podrka
7.4 Komunikacija
Organizacija mora da odredi potrebu za internim i eksternim komunikacijama relevantnim
za sistem upravljanja sigurnou informacija, ukljuujui sledee:
a) o emu komunicirati;
b) kada komunicirati;
c) sa kim ostvarivati komunikaciju;
d) ko e komunicirati i
e) procese kojima se ostvaruje komunikacija.
34
Podrka
7.5 Dokumentovane informacije

7.5.1 Opte karakteristike
Sistem upravljanja sigurnou informacija organizacije mora da obuhvati
sledee:
a) dokumentovane informacije koje zahteva ovaj meunarodni standard i
b) dokumentovane informacije koje odredi organizacija kao neophodne za
efektivnost sistema upravljanja sigurnou informacija.
NAPOMENA Obim dokumentovanih informacija koje se odnose na sistem
upravljanja sigurnou informacija moe se razlikovati od organizacije do
organizacije, usled:
1.
veliine organizacije i njenih vrsta aktivnosti, procesa, proizvoda i usluga;
2.
kompleksnosti procesa i njihovih interakcija i
3.
kompetentnosti osoblja.
35
Podrka
7.5.2 Kreiranje i auriranje
Prilikom kreiranja i auriranja dokumentovanih informacija organizacija mora obezbediti
sledee:
a) odgovarajuu identifikaciju i opis (npr. naslov, datum, autor, ili poziv na broj);
b) odgovarajui format (npr. jezik, verzija softvera, grafika) i medij (npr. papir,
elektronska forma) i
c) odgovarajue preispitivanje i odobrenje za pogodnosti i prikladnosti.
36
12
Podrka
7.5.3 Kontrola dokumentovanih informacija(1 od 2)
Dokumentovane informacije zahtevane od strane sistema upravljanja sigurnou
informacija i ovog meunarodnog standarda moraju da se kontroliu, kako bi se obezbedilo
sledee:
a) dostupnost i pogodnost za upotrebu, u svakom momentu prema ukazanim potrebama i
b) adekvatna zatita (npr. od gubitka poverljivosti, nepravilne upotrebe ili gubitka
integriteta).
37
Podrka
7.5.3 Kontrola dokumentovanih informacija(2 od 2)

U cilju kontrole dokumentovanih informacija, organizacija mora da
preduzme sledee aktivnosti:
c) distribuciju, pristup, pretraivanje i korienje;
d) skladitenje i uvanje, ukljuujui i ouvanje itljivosti;
e) kontrolu promena (npr. kontrola verzija) i
f) zadravanje i raspolaganje.
Dokumentovane informacije eksternog porekla za koje je organizacija
utvrdila da su neophodne za planiranje i funkcionisanje sistema
upravljanja sigurnou informacija, moraju biti identifikovane kao
prikladne i mora se vriti njihova kontrola.
NAPOMENA Pristup podrazumeva odluku koja se odnosi na dozvolu
samo za pregled dokumentovanih informacija, ili na dozvolu i
ovlaenja za pregled i izmenu dokumentovanih informacija, itd.
38
8 Operativni rad
8.1 Operativno planiranje i kontrola
Organizacija mora da planira, implementira i kontrolie procese potrebne za ispunjavanje
zahteva za sigurnou informacija, kao i da implementira mere koje su odreene u
poglavlju 6.1. Takoe, organizacija mora da implementira planove u cilju ostvarenja ciljeva
sigurnosti informacija, kao to je navedeno u poglavlju 6.2.
Organizacija mora da uva dokumentovane informacije sve dok se ne uveri da su procesi
izvreni prema planu.
Organizacija mora da kontrolie planirane izmene i preispituje posledice nepredvienih
izmena, kao i da, ukoliko je neophodno, preduzima mere radi ublaavanja negativnih
efekata.
Organizacija mora da odredi i kontrolie spoljne (eng. outsource) procese.
39
13
8 Operativni rad
8.2 Procena rizika sigurnosti informacija
Organizacija mora da izvri procenu rizika sigurnosti informacija u planiranim intervalima,
ili u sluaju predloenih ili izvrenih znaajnijih izmena, vodei rauna o kriterijumima koji
su utvreni u poglavlju 6.1.2 a).
Organizacija mora da uva dokumentovane informacije o rezultatima procene rizika
sigurnosti informacija.
40
8 Operativni rad
8.3 Tretman rizika sigurnosti informacija
Organizacija mora da implementira plan tretmana rizika sigurnosti informacija.
Organizacija mora da uva dokumentovane informacije o rezultatima tretmana rizika
sigurnosti informacija.
41
9 Evaluacija performansi
9.1 Praenje, merenje, analiza i evaluacija (1 od 2)
Organizacija mora da oceni performanse sigurnosti informacija, kao i efektivnost sistema
upravljanja sigurnou informacija.
Organizacija mora da utvrdi:
a) ta mora da se prati i meri, ukljuujui i procese i kontrole sigurnosti informacija;
b) metode za praenje, merenje, analizu i procenu po potrebi, kako bi se obezbedili validni
rezultati;
NAPOMENA Da bi se smatrali validnim, odabranim metodama moraju se proizvesti uporedivi
i reproduktivni rezultati.
42
14
9.1 Praenje, merenje, analiza i evaluacija (2 od 2)
c) kada se praenje i merenje vri;
d) ko e vriti monitoring i merenje;
e) kada e se izvriti analiza i evaluacija rezultata praenja i merenja i
f) ko e analizirati i oceniti te rezultate.
Organizacija mora da uva odgovarajue dokumentovane informacije kao dokaz o
rezultatima praenja i merenja.
43
9.2 Interni audit (1 od 2)
Organizacija mora da sprovodi interne provere u planiranim intervalima,

kako bi proverila da li je sistem upravljanja sigurnou informacija:
a) u skladu (usaglaen) sa
1. zahtevima organizacije za sopstveni sistem upravljanja sigurnou
informacija i;
2. zahtevima ovog meunarodnog standarda;
b) efektivno implementiran i odravan.
44
9.2 Interni audit (2 od 2)
Organizacija mora da:
c) planira, uspostavi, implementira i odrava program(e) audita, ukljuujui i uestalost,
metode, odgovornosti, planiranje zahteva i izvetavanje. Program(i) audita mora da uzme u
obzir znaaj aktuelnih procesa, kao i rezultate prethodnih audita;
d) definie kriterijume i obim za svaki audit;
e) izabere auditore i sprovede audit radi osiguranja objektivnosti i nepristrasnosti
procesa audita;
f) obezbedi da se rezultati audita saopte relevantnom rukovodstvu i
g) zadri dokumentovane informacije kao dokaz sprovedenog programa i rezultata audita.
45
15
9.3 Preispitivanje od strane rukovodstva (1 od 2)
Top menadment mora da preispita sistem upravljanja sigurnou informacija u planiranim
intervalima kako bi se obezbedila stalna pogodnost, adekvatnost i efektivnost sistema.
Prilikom preispitivanja, rukovodstvo mora da uzme u obzir sledee:
a) status mera na osnovu prethodnih preispitivanja;
b) promene u eksternim i internim pitanjima koja su relevantna za sistem upravljanja
sigurnou informacija;
c) povratnu informaciju o performansama sigurnosti informacija, ukljuujui trendove u:
1. neusaglaenostima i korektivnim merama;
2. praenju i merenju rezultata;
3. rezultatima audita i
4.
ispunjavanju ciljeva sigurnosti informacija;
46
9.3 Preispitivanje od strane rukovodstva (2 od 2)
Top menadment mora da preispita sistem upravljanja sigurnou informacija u planiranim
intervalima kako bi se obezbedila stalna pogodnost, adekvatnost i efektivnost sistema.
Prilikom preispitivanja, rukovodstvo mora da uzme u obzir sledee:
d) povratnu informaciju od zainteresovanih strana;
e) rezultate procene rizika i status plana tretmana rizika i
f) mogunosti kontinualnog poboljanja.
Rezultati preispitivanja od strane najvieg rukovodstva moraju da obuhvate odluke koje se
odnose na kontinualno poboljanje mogunosti i bilo koje potrebe za izmenama sistema
Organizacija mora da uva dokumentovane informacije kao dokaz o rezultatima
preispitivanja od strane menadmenta.
47
10 Poboljanja
10.1 Neusaglaenost i korektivne mere (1 od 2)
U sluaju pojave neusaglaenosti, organizacija mora da preduzme sledee:
a) da odreaguje na neusaglaenosti i ukoliko je mogue:
1. preduzme mere radi uspostavljanja kontrole i ispravljanja i
2. suoi se sa posledicama;
b) proceni potrebu za sledeim merama za otklanjanje uzroka neusaglaenosti, u cilju
spreavanja ponavljanja ili pojave na drugom mestu:
1. preispitivanje neusaglaenosti;
2. utvrivanje uzroka neusaglaenosti i
3. utvrivanje da li postoje sline neusaglaenosti, ili mogunost njihove pojave;
48
16
10 Poboljanja
10.1 Neusaglaenost i korektivne mere (2 od 2)
U sluaju pojave neusaglaenosti, organizacija mora da:
c) sprovodi sve potrebne mere;
d) preispituje efektivnost svake preduzete korektivne mere i
e) ukoliko je potrebno, vri izmene sistema upravljanja sigurnou informacija.
Korektivne mere moraju da odgovaraju posledicama neusaglaenosti sa kojima se susreu.
Organizacija mora da uva dokumentovane informacije kao dokaz:
f) prirode neusaglaenosti i svih preduzetih korektivnih mera i
g) o rezultatima korektivnih mera.
49
10 Poboljanja
10.2 Kontinualna poboljanja
Organizacija mora kontinualno da poboljava pogodnost, adekvatnost i efektivnost sistema
50
Mere sigurnosti iz Anex-a A

ISO 27001, A.5.1
Cilj
sigurnosti
A.5.1
Usmerenost
menadment
a na
sigurnost
informacija
Mere sigurnosti
A.5.1.1 Politike sigurnosti
informacija
A.5.1.2 Preispitivanje politika

17
Interna organizacija
ISO 27001, A.6.1
Cilj
sigurnosti
Mere sigurnosti
A.6.1.1 Funkcije i odgovornosti koje se odnose na
sigurnost
informacija
g
j
A.6.1.2 Razdvajanje dunosti
A.6.1
Interna
organizacija
A.6.1.3 Kontakti sa ovlaenim telima

A.6.1.4 Kontakti sa posebnim interesnim grupama
A.6.1.5Sigurnost informacija u upravljanju

projektom
p j
Mobilni ureaji i rad na daljinu

ISO 27001, A.6.2
Cilj
sigurnosti
Mere sigurnosti
A.6.2.1 Politika mobilnih
ureaja
A.6.2
Mobilni
ureaji i rad
na daljinu
A.6.2.2 Rad sa udaljenosti
Pre radnog odnosa

ISO 27001, A.7.1
Cilj
sigurnosti
Mere sigurnosti
A.7.1.1 Provere kandidata
A.7.1
Pre radnog
odnosa
A.7.1.2 Uslovi zapoljavanja
18
Tokom radnog odnosa

ISO 27001, A.7.2
Cilj
sigurnosti
A.7.2
Tokom
radnog
odnosa
Mere sigurnosti
Mere
sigurnosti
A.7.2.1 Odgovornosti
rukovodstva
A.7.2.2 Upoznavanje sa
sigurnou informacija,
obrazovanje i obuka
A.7.2.3 Disciplinski proces
Prestanak i promena radnog odnosa

ISO 27001, A.7.3
Cilj
sigurnosti
A.7.3
Prestanak i
promena
radnog
odnosa
Mere sigurnosti
A.7.3.1 Prestanak ili promena

radnog odnosa
Odgovornost za imovinu
ISO 27001, A.8.1
Cilj
sigurnosti
A.8.1
Odgovornost
za imovinu
Mere sigurnosti
A.8.1.1 Popis imovine
A.8.1.2 Vlasnitvo nad
imovinom
A.8.1.3 Prihvatljiva upotreba
resursa
A.8.1.4 Povraaj resursa
19
Klasifikacija informacija
ISO 27001, A.8.2
Cilj
sigurnosti
A.8.2
Klasifikacija
informacija
Mere sigurnosti
A.8.2.1 Klasifikacija
informacija
A.8.2.2 Obeleavanje
informacija
A.8.2.3 Upravljanje resursima
Upravljanje medijima
ISO 27001, A.8.3
Cilj
sigurnosti
A.8.3
Upravljanje
medijima
Mere sigurnosti
A.8.3.1 Upravljanje prenosivim
medijima
A.8.3.2 Rashodovanje medija
A.8.3.3 Fiziki prenos medija
Poslovni zahtevi kontrole pristupa

ISO 27001, A.9.1
Cilj
sigurnosti
A.9.1
Poslovni
zahtevi
kontrole
pristupa
Mere sigurnosti
A.9.1.1 Politika kontrole
pristupa
A.9.1.2 Pristup mreama i
mrenim uslugama
20
Upravljanje korisnikim pristupom

ISO 27001, A.9.2
Cilj
sigurnosti
A.9.2
Upravljanje
korisnikim
pristupom
Mere sigurnosti
A.9.2.1 Registracija i odjavljivanje korisnika
A.9.12.2 Odreivanje korisnikog pristupa
A.9.2.3 Upravljanje privilegovanim pravima
pristupa
A.9.2.4 Upravljanje tajnim informacijama o
autentikaciji korisnika
A.9.2.5 Preispitivanje prava pristupa
korisnika
A.9.2.6 Ukidanje ili prilagoavanje prava
pristupa
Odgovornosti korisnika
ISO 27001, A.9.3
Cilj
sigurnosti
A.9.3
Odgovornost
i korisnika
Mere sigurnosti
A.9.3.1 Korienje tajnih

autentifikacionih informacija
Kontrola pristupa sistemu i

aplikacijama
ISO 27001, A.9.4
Cilj
sigurnosti
Mere sigurnosti
A.9.4.1 Ogranienje pristupa informacijama
A.9.4.2 Procedure za sigurnosno prijavljivanje
A.9.4
Kontrola
pristupa
sistemu i
aplikacijama
A.9.4.3 Sistem za upravljanje lozinkama

A.9.4.4 Korienje privilegovanih uslunih programa
A.9.4.5 Kontrola pristupa izvornom kodu programa
21
Kriptografske kontrole
ISO 27001, A.10.1
Cilj
sigurnosti
Mere sigurnosti
A.10.1.1 Politika korienja
kriptografskih kontrola
A.10.1
Kriptografsk
e kontrole
A.10.1.2 Menadment
kljuevima
Sigurne oblasti
ISO 27001, A.11.1
Cilj
sigurnosti
Mere sigurnosti
A.11.1.1 Zona razdvajanja fizike sigurnosti
A.11.1.2 Kontrola fizikog ulaska
A.11.1
Sigurne
oblasti
A.11.1.3 Zatita kancelarija, prostorija i

sredstava
A.11.1.4 Zatita od eksternih pretnji i pretnji iz
okruenja
A.11.1.5 Rad u sigurnim zonama
A.11.1.6 Podruja isporuke i utovara
Oprema
ISO 27001, A.11.2
Cilj
sigurnosti
Mere sigurnosti
A.11.2.1 Postavljanje i zatita opreme
A.11.2.2 Pomone funkcije za podrku

A.11.2.3 Sigurnost postavljanja kablova
A.11.2
Oprema
A.11.2.4 Odravanje opreme

A.11.2.5 Izmetanje imovine
A.11.2.6 Sigurnost izmetene opreme i sredstava
A.11.2.7 Bezbedno rashodovanje ili ponovno
korienje opreme
A.11.2.8 Nenadgledana oprema korisnika
A.11.2.9 Politika praznog stola i praznog ekrana
22
Operativne procedure i odgovornosti

ISO 27001, A.12.1
Cilj
sigurnosti
A.12.1
Operativne
procedure i
odgovornost
i
Mere sigurnosti
A.12.1.1 Dokumentovane
operativne procedure
A.12.1.2 Upravljanje
promenama
kapacitetom
A 12 1 4 Razdvajanje
A.12.1.4
R d j j
razvojnih, testnih i operativnih
okruenja
Zatita od zlonamernih programa

ISO 27001, A.12.2
Cilj
sigurnosti
A.12.2
Zatita od
zlonamernih
programa
Mere sigurnosti
A.12.2.1 Kontrole protiv

zlonamernih programa
Pravljenje rezervnih kopija

ISO 27001, A.12.3
Cilj
sigurnosti
A.12.3
Pravljenje
rezervnih
kopija
Mere sigurnosti
A.12.3.1 Pravljenje rezervnih

kopija informacija
23
Evidentiranje i praenje
ISO 27001, A.12.4
Cilj
sigurnosti
Mere sigurnosti
A.12.4.1 Zapisivanje dogaaja
A.12.4
Evidentiranje
i praenje
A.12.4.2 Zatita zapisa o

informacijama
A.12.4.3 Zapisi administratora
i operatera
A.12.4.4 Sinhronizacija satova
Kontrola operativnog softvera

ISO 27001, A.12.5
Cilj
sigurnosti
A.12.5
Kontrola
operativnog
softvera
Mere sigurnosti
A.12.5.1 Instalacija softvera na

operativnim sistemima
Upravljanje tehnikim ranjivostima

ISO 27001, A.12.6
Cilj
sigurnosti
A.12.6
Upravljanje
tehnikim
ranjivostima
Mere sigurnosti
A.12.6.1 Upravljanje tehnikim
ranjivostima
A.12.6.2 Restrikcije po pitanju

instalacije softvera
24
Razmatranje audita informacionih sistema

ISO 27001, A.12.7
Mere sigurnosti
Cilj
sigurnosti
A.12.7
Razmatranje
audita
informacioni
h sistema
A.12.7.1 Kontrole audita

informacionog sistema
Upravljanje sigurnou mree

ISO 27001, A.13.1
Mere sigurnosti
Cilj
sigurnosti
A.13.1.1 Kontrole mree

A.13.1
Upravljanje
sigurnou
mree
A.13.1.2 Sigurnost mrenih

usluga
A.13.1.3 Razdvajanje u
mreama
Transfer informacija
ISO 27001, A.13.2
Cilj
sigurnosti
A.13.2
Transfer
informacija
Mere sigurnosti
A.13.2.1 Politike i procedure
transfera informacija
A.13.2.2 Sporazumi o
transferu informacija
A.13.2.3 Elektronske poruke
A.13.2.4 Sporazumi o
poverljivosti ili neotkrivanju
25
Zahtevi informacionih sistema za

sigurnost
ISO 27001, A.14.1
Cilj
sigurnosti
A.14.1
Zahtevi
informacioni
h sistema za
sigurnost
Mere sigurnosti
A.14.1.1 Analiza i specifikacija
zahteva sigurnosti informacija
A.14.1.2 Obezbeenje
aplikacionih servisa na javnim
mreama
A.14.1.3 Zatita transakcija
aplikacionih servisa
Sigurnost u procesima razvoja i

podrke
ISO 27001, A.14.2
Cilj
sigurnosti
Mere sigurnosti
A.14.2.1 Politika sigurnosti razvoja
A.14.2.2 Procedure za kontrolu promena sistema
A.14.2
Sigurnost u
procesima
razvoja i
podrke
A.14.2.3 Tehniko preispitivanje aplikacija posle promena na

operativnom sistemu
A.14.2.4 Ogranienja za promene na softverskim paketima
A.14.2.5 Inenjerski principi sigurnosti sistema

A.14.2.6 Sigurnost razvojnog okruenja
A.14.2.7 Razvoj softvera u autsorsu
A.14.2.8 Testiranje sigurnosti sistema
A.14.2.9 Testiranje prihvatljivosti sistema
Testiranje podataka
ISO 27001, A.14.3
Cilj
sigurnosti
A.14.3
Testiranje
podataka
Mere sigurnosti
A.14.3.1 Zatita testiranih

podataka
26
Sigurnost informacija u odnosima sa

dobavljaima
ISO 27001, A.15.1
Cilj
sigurnosti
A.15.1
Sigurnost
informacija u
odnosima sa
dobavljaim
a
Mere sigurnosti
A.15.1.1 Politika sigurnosti
informacija za odnose sa
dobavljaima
A.15.1.2 Naglaavanje
sigurnosti u okviru
sporazuma sa dobavljaima
A.15.1.3 Informacioni i
komunikacioni lanac
snabdevanja
Upravljanje isporukom usluga

dobavljaa
ISO 27001, A.15.2
Cilj
sigurnosti
A.15.2
Upravljanje
isporukom
usluga
dobavljaa
Mere sigurnosti
A.15.2.1 Praenje i
preispitivanje usluga
dobavljaa
promenama usluga
dobavljaa
Upravljanje incidentima sigurnosti

informacija i poboljanjima
ISO 27001, A.16.1
Cilj
sigurnosti
A.16.1
Upravljanje
incidentima
sigurnosti
informacija i
poboljanjim
a
Mere sigurnosti
A.16.1.1 Odgovornosti i procedure
A.16.1.2 Izvetavanje o dogaajima u vezi sa
sigurnou
informacija
g
j
A.16.1.3 Izvetavanje o slabostima sigurnosti
informacija
A.16.1.4 Procena i odluka o dogaajima
A.16.1.5 Odgovor na incidente sigurnosti
informacija
j
A.16.1.6 Prikupljanje znanja iz incidenata
naruavanja
informacija
j sigurnosti
g
j
A.16.1.7 Prikupljanje dokaza
27
Kontinuitet sigurnosti informacija

ISO 27001, A.17.1
Cilj
sigurnosti
A.17.1
Kontinuitet
sigurnosti
informacija
Mere sigurnosti
A.17.1.1 Planiranje
kontinuiteta sigurnosti
informacija
A.17.1.2 Implementacija
kontinuiteta sigurnosti
informacija
A 17 1 3 Verifikacija
A.17.1.3
Verifikacija,
preispitivanje i procena
kontinuiteta sugurnosti
informacija
Redundantnost
ISO 27001, A.17.2
Cilj
sigurnosti
A.17.2
Redundantn
ost
Mere sigurnosti
A.17.2.1 Raspoloivost
opreme za obradu informacija
Potovanje zakonskih i ugovornih

zahteva
ISO 27001, A.18.1
Cilj
sigurnosti
A.18.1
Potovanje
zakonskih i
ugovornih
zahteva
Mere sigurnosti
A.18.1.1 Identifikacija primenljivih zakonskih i
ugovornih zahteva
A.18.1.2 Prava intelektualne svojine
A.18.1.3 Zatita zapisa
A.18.1.4 Privatnost i zatita linih podataka
A.18.1.5 Propisi za kriptografske kontrole
28
Preispitivanje sigurnosti informacija

ISO 27001, A.18.2
Cilj
sigurnosti
A.18.2
Information
security
reviews
Mere sigurnosti
A.18.2.1 Nezavisno
preispitivanje sigurnosti
informacija
A.18.2.2 Usklaenost sa
sigurnosnim politikama i
standardima
A.18.2.3 Preispitivanje
tehnike usklaenosti
Ovo su bili moji principi.

Ukoliko vam ne odgovaraju,
Imam ja i druge
29
Ako je revizija standarda odgovor
ta je onda pitanje
Stvaranje svesti i odgovornosti...
Mogue zloupotrebe u praksi...
30

ISO 27001 Foundation Skripta

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ISO 27001 Foundation Skripta

Uploaded by

Copyright:

Available Formats

ISO 27001:2013 (ISMS)

Istorijat standarda ISO 27001

Razumevanje strukture novog standarda ISO/IEC

Razumevanje budue uloge standarda ISO/IEC 27003,

Razumevanje nove organizacije standarda ISO/IEC

Uenje kako prei sa Anex-a A standarda ISO/IEC

4.2 Razumevanje potreba i oekivanja zainteresovanih strana

4.3 Odreivanje predmeta i podruja primene sistema

Pregled standarda ISO 27001:2013

Predmet i podruje primene

Pregled standarda ISO 27002:2013

Politike sigurnosti informacija

Organizacija sigurnosti informacija

Sigurnost ljudskih resursa

Fiziko obezbeenje i obezbeenje od spoljanjih uticaja

Nabavka, razvoj i odravanje informacionih sistema

Upravljanje incidentima sigurnosti informacija

Aspekti upravljanja kontinuitetom poslovanja sigurnosti informacija

Pregled standarda ISO 27002:2013

Pregled standarda ISO 27002:2013

6.1.2 Koordinacija bezbednosti

11.4.4 Zatita porta za daljinsku

6.1.4 Proces autorizacije za rad sa

11.4.6 Kontrola povezivanja na

6.2.1 Identifikacija rizika koji se

11.4.7 Kontrola mrenog

6.2.2 Upuivanje na bezbednost

12.2.1 Validacija ulaznih podataka

10.4.2 Mere sigurnosti protiv

10.7.4 Bezbednost dokumentacije

10.8.5 Poslovni informacioni

14.1.4 Okviri planiranja kontinuiteta

10.9.3 Javno raspoloive

15.1.5 Spreavanje zloupotebe

10.10.2 Praenje korienja

11.4.2 Provera verodostojnosti

12.2.2 Kontrola interne obrade

15.3.2 Zatita alata za audit

Pregled standarda ISO 27002:2013

6.1.5 Bezbednost informacija u

12.6.2 Restrikcije po pitanju

14.2.1 Politika bezbednosti razvoja

A.16.1.5 Odgovor na incidente

14.2.5 Inenjerski principi

17.1.1 Planiranje kontinuiteta

14.2.6 Bezbednost razvojnog

17.1.2 Implementacija kontinuiteta

14.2.8 Testiranje bezbednosti

15.1.1 Politika sigurnosti

17.1.3 Verifikacija, preispitivanje i

15.1.3 Informacioni i komunikacioni

16.1.4 Procena i odluka o

17.2.1 Raspoloivost opreme za

Struktura standarda ISO 27001

Ciljevi i mere sigurnosti

U cilju uspostavljanja i odreivanja predmeta i podruja primene, organizacija mora da

integrie i primeni te mere u sopstvene procese sistema upravljanja sigurnou

2. proceni efektivnost preduzetih mera.

kriterijum prihvatljivosti rizika i

2. kriterijum za vrenje procene rizika sigurnosti informacija;

6.1 Mere za reavanje rizika i mogunosti

c) identifikuje rizike sigurnosti informacija:

odreivanjem prioriteta analiziranih rizika radi tretiranja rizika.

Organizacija mora da uva dokumentovane informacije o procesu procene rizika sigurnosti