Professional Documents
Culture Documents
Primena Standarda SRPS ISO/IEC 27001:2011
Primena Standarda SRPS ISO/IEC 27001:2011
Beograd, 2014.
SADRAJ
1.
2.
UVOD....................................................................................................................4
Sigurnost informacija.........................................................................................5
2.1. Sigurnost informacija...................................................................................................5
2.2. Ocenjivanje rizika po sigurnosti...................................................................................6
2.3. Polazna taka u sigurnosti informacija.........................................................................7
2.4. Ktritini faktori uspeha.................................................................................................7
2.5. Izrada sopstvenih smernica i uputstava........................................................................8
2.6. Definicije..........................................................................................................................8
3. Kontrola pristupa..............................................................................................11
3.1. Upravljanje pristupom korisnika................................................................................11
3.2. Odgovornost korisnika...............................................................................................11
Korienje lozinke.............................................................................................................11
Nenadgledana korisnikova oprema...................................................................................12
Politika praznog stola i praznog ekrana............................................................................13
3.3. Kontrola pristupa na mrei.........................................................................................14
Politika korienja mrenih usluga...................................................................................14
Provera verodostojnosti korisnika za spoljne prikljuke..................................................15
Indetifikovanje opreme u mreama..................................................................................16
Zatita prikljuka za daljinsku dijagnostiku i konfigurisanje...........................................16
Razdvajanje u mreama....................................................................................................17
Kontrola povezivanja na mreu........................................................................................18
Kontrola preusmeravanja u mrei.....................................................................................18
3.4. Kontrola pristupa operativnom sistemu.....................................................................19
Procedure za sigurno prijavljivanje..................................................................................19
Indetifikovanje i utvrivanje verodostojnosti korisnika...................................................20
Sistem za upravljanje lozinkama......................................................................................21
Korienje pomonih funkcija sistema.............................................................................22
Vremensko ogranienje trajanja sesije..............................................................................22
Ogranienje trajanja povezivanja......................................................................................23
3.5. Kontrola pristupa aplikacijama i informacijama........................................................23
Ogranienje pristupa informacijama.................................................................................24
Izdvajanje osetljivih sistema.............................................................................................24
3.6. Mobilno raunarstvo i rad na udaljenosti...................................................................25
Mobilno raunarstvo i komunikacije................................................................................25
Rad na udaljenosti.............................................................................................................26
4. CASE STUDY.....................................................................................................29
4.1.Studija sluaja Fredrickson International........................................................29
4.2.Studija sluaja SVM Europe..............................................................................31
Zato sertifikacija?............................................................................................................32
Implementacija..................................................................................................................32
Koristi...............................................................................................................................33
2
5.
6.
Zakljuak............................................................................................................34
Literatura............................................................................................................35
1. UVOD
Informacije predstavljaju jedan od najvanijih poslovnih resursa u savremenom
poslovanju. Informacija predstavlja podatak sa odreenim znaenjem, moe biti
tampana ili napisana na papiru, memorisana elektronski, prenesena potom ili
elektronskim putem, prikazana na korporacijskom web sajtu, verbalna - izgovorena u
konverzaciji, ili u vidu znanja - kao vetine zaposlenih. Informacije moraju biti
adekvatno zatiene, bez obzira u kom obliku se uvaju.
Sigurnost informacija se ostvaruje uvoenjem pogodnog skupa kontrola, koje mogu
biti politika, praksa, procedure, organizacione strukture i softverske funkcije.
Sigurnosne mere ukljuuju mehanizme i procedure koje se implementiraju u cilju
odvaranja, prevencije, detekcije i opravke od uticaja od incidentnih dogaaja a koji
deluju na poverljivost, celovitost i raspoloivost podataka i odgovarajuih servisa i
resursa, ukljuujui izvetavanje o sigurnosnim incidentima. Sigurnost informacija je
ustvari proces upavljanja rizikom. Upravljanje rizicima treba da bude stalan i
kontinuiran proces poto su rizici sami po sebi promenljivi, a sa druge strane stalno
se generiu novi kao odraz promenljivog okruenja u kome organizacija ostvaruje
svoju misiju. To znai da je neophodno da se periodino preispituju rizici, kao i
pretnje i slabosti informacionih resursa. Ovo je upravo ono na emu se bazira
menadzment za sigurnost informacija - ISMS.
ISO/IEC 27001 je deo rastue ISO/IEC 27000 serije standarda, a nastao je na
osnovu standarda BS 7799 (British Standards). Objavljen je u oktobru 2005. od
strane meunarodne organizacije za standardizaciju (ISO) i meunarodne
elektrotehnicke komisije (IEC). Pun naziv je ISO/IEC 27001:2005 - Informaciona
tehnologija Sigurnosne tehnike - Sistemi upravljanja informacione sigurnosti Zahtevi, ali je obino poznat kao "ISO 27001". Namenjen je da se koristi zajedno sa
ISO/IEC 27002 (Kodeks prakse za informisanje uprave bezbednosti), koji izlistava
listu sigurnosnih kontrolnih ciljeva i preporuuje niz specifinih bezbednosnih
kontrola. Ovaj standard propisuje zahteve za ustanovljavanje, implementaciju,
kontrolu i unapreenje ISMS-a, sistema za upravljanje bezbednou informacija.
Standard je primenjiv na sve vrste organizacija (komercijalne, neprofitne, dravne
institucije, itd.) i sve veliine organizacija, od malih pa do velikih svetskih
organizacija.
Standard ISO/IEC 27001 se sastoji od 5 delova i to od:
1. Sistem za zatitu informacija,
2. Odgovornost rukovodeih ljudi,
3. Unutranje provere sistema za zatitu informacija,
4. Provera valjanosti sistema za zatitu informacija,
5. Poboljanja na sistemu za zatitu informacija.
2. Informacije
Informacije predstavljaju odreenu imovinu koja je, kao i druga vana poslovna
imovina, od sutinskog znaaja za poslovanje neke organizacije i stoga je potrebno
da se ona odgovarajue zatiti. Ovo je posebno vano u rastuem uzajamno
povezanom poslovnom okruenju. Kao rezultat ove rastue uzajamne povezanosti,
informacije su sada izloene rastuem broju i irem mnotvu pretnji i ranjivosti (videti
takoe Smernice OECD-a za sigurnost informacionih sistema i mrea).
Informacije mogu postojati u mnogo oblika. One mogu biti odtampane ili ispisane na
papiru, uskladitene u elektronskom obliku, mogu se slati potom ili primenom
elektronskih sredstava, prikazati na filmovima ili izrei u razgovoru. Bilo koji oblik da
informacije imaju, ili sredstva preko kojih se one zajedniki koriste ili na kojima se
uvaju, one uvek treba da budu odgovarajue zatiene.
Sigurnost informacija predstavlja zatitu od irokog opsega pretnji kako bi se
osigurao kontinuitet poslovanja, rizik u poslovanju sveo na najmanju moguu meru i
uveao prihod od investicija i povoljnih poslovnih prilika.
Sigurnost informacija se postie implementacijom pogodnog skupa i kontrola,
ukljuujui politike, procese, procedure, organizacione strukture, kao i softverske i
hardverske funkcije. Ove kontrole treba uspostaviti, implementirati, nadgledati,
preispitivati i poboljavati onda kada je to neophodno, kako bi se u organizaciji
osiguralo ispunjavanje specifinih sigurnosnih i poslovnih ciljeva. Ovo treba raditi u
sprezi sa drugim procesima upravljanja poslovanjem.[5]
bezbednou
informacija
(information
security
10
3. Kontrola pristupa
3.1. Upravljanje pristupom korisnika
Cilj je osiguranje pristupa ovlaenim korisnicima i spreavanje neovlaenog
pristupa informacionim sistemima. [3]
Treba da postoje formalne procedure za kontrolu dodele prava za pristup
informacionim sistemima i uslugama.
Ove procedure treba da obuhvate sve faze ivotnog ciklusa pristupa korisnika, od
polaznog registrovanja novih korisnika do zavrnog brisanja iz registra onih korisnika
kojima vie nije potreban pristup informacionim sistemima i uslugama. Posebnu
panju treba pokloniti, onda kada to odgovara, potrebi za kontrolisanjem dodele
prava na privilegovani (povlaeni) pristup, koja korisnicima omoguuju
prevladavanje sistemskih kontrola
Korienje lozinke
Kontrola
Prilikom izbora i korienja lozinki, od korisnika treba zahtevati da se pridravaju
dobrih praksi sigurnosti.
Smernice za implementaciju
Svim korisnicima treba savetovati da:
a) lozinke dre u tajnosti;
b) izbegavaju uvanje lozinki u pisanom obliku (npr. na papiru, u softverskoj datoteci
ili na ureajima koji se nose u ruci), osim ako se ovi mogu skladititi na siguran
nain, a metoda skladitenja je odobrena;
11
mogueg
14
15
Razdvajanje u mreama
Kontrola
U mreama, grupe informacionih usluga, korisnika i informacionih sistema treba da
budu meusobno razdvojene.
16
Smernice za implementaciju
Jedna od metoda za kontrolu sigurnosti u velikim mreama jeste da se one podele u
odvojene logike mrene domene, npr. na domen interne mree organizacije i na
domen eksterne mree, pri emu je svaki domen zatien u definisanoj sigurnoj
oblasti. Da bi se u raznim logikim mrenim domenima izvrilo dalje razdvajanje
sigurnosnih okruenja mree, moe se ugraditi stepenasti skup kontrola, npr. sistemi
sa javnim pristupom, unutranje mree i kritina dobra. Domene treba definisati na
osnovu ocenjivanja rizika i razliitih zahteva za zatitu unutar svakog domena.
Takva oblast u mrei moe se uvesti instalisanjem sigurnosnog prolaza izmeu dve
mree koje meusobno treba povezati, kako bi se kontrolisao pristup i protok
informacija izmeu ova dva domena. Ovaj prolaz treba konfigurisati tako da filtrira
saobraaj izmeu tih domena , kao i da zaustavlja neovlaeni pristup u skladu sa
politikom organizacije za kontrolu pristupa. Primer ovakvog tipa prolaza za pristup se
obino navodi kao "protivpoarna pregrada". Druga metoda razdvajanja logikih
domena je da se ogranii pristup mrei korienjem virtuelnih privatnih mrea za
grupe korisnika unutar organizacije.
Mree je takoe mogue razdvojiti korienjem funkcija mrenih ureaja, npr. IP
prespajanje. Razdvojeni domeni se zatim mogu implementirati preko upravljanja
tokovima podataka primenom funkcija usmeravanja/prespajanja, kao to su spiskovi
za kontrolu pristupa.
Kriterijumi za razdvajanje mrea u domene treba da se zasnivaju na politici kontrole
pristupa i zahtevima za pristup, a u obzir treba uzeti i relativne trokove i posledice
ugradnje pogodnog mrenog usmeravanja ili samu tehniku prolaza.
.
Pored toga, razdvajanje u mreama treba da se zasniva na vrednosti i
klasifikovanosti informacija koje su uskladitene ili se obrauju u mrei, nivoima
poverenja, ili vrstama poslovanja, kako bi se smanjile ukupne posledice od nekog
poremeaja na uslugama.
Treba razmotriti odvajanje beinih mrea od unutranjih i privatnih mrea. Poto
oblasti beinih mrea nisu potpuno definisane, u takvim sluajevima treba sprovesti
ocenjivanje rizika da bi se identifikovale kontrole (npr. stroga provera verodostojnosti,
kriptografske metode i izbor frekvencija) kako bi se razdvajanje mrea odralo.
Ostale informacije
Mree se sve vie proiruju izvan tradicionalnih granica organizacije, jer se formiraju
poslovna partnerstva kojima e biti potrebno meusobno povezivanje ili zajedniko
korienje sredstava za obradu informacija i povezivanje u mree. Takva proirenja
mogu poveati rizik neovlaenog pristupa u ve postojeim informacionim
sistemima koji koriste mreu, od kojih nekima moe biti potrebna zatita od drugih
korisnika te mree zbog sopstvene osetljivosti ili kritinosti.
17
18
Ovo posebno vai za mree koje se koriste zajedno sa korisnicima treih strana (koji
ne pripadaju organizaciji).
19
20
21
Ostale informacije
Lozinke su jedno od glavnih sredstava validacije ovlaenja korisnika za pristup
nekoj raunarskoj usluzi.
Neke aplikacije zahtevaju da lozinke korisnicima dodeljuje neko nezavisno ovlaeno
telo; u takvim sluajevima ne primenjuju se prethodno navedene take b), d) i e). U
najveem broju sluajeva lozinke odabiraju i uvaju sami korisnici.
24
Rad na udaljenosti
Kontrola
Treba razviti i implementirati politiku, operativne planove i procedure za aktivnosti pri
radu sa udaljenosti.
26
Smernice za implementaciju
Organizacije treba da autorizuju rad sa udaljenosti samo ako su zadovoljne
uspostavljenim odgovarajuim sistemima sigurnosti i kontrolama i ako su oni u
skladu sa politikom sigurnosti u organizaciji.
Na udaljenoj lokaciji treba da bude postavljena odgovarajua zatita, npr. protiv
krae opreme i informacija, neovlaenog razotkrivanja informacija, neovlaenog
daljinskog pristupa unutranjim sistemima organizacije ili zloupotrebe sredstava.
Menadment treba da autorizuje i kontrolie aktivnosti rada sa udaljenosti, kao i da
naprave odgovarajue dogovore za ovakav nain rada.
U obzir treba uzeti sledee:
a) postojeu fiziku sigurnost na mestu rada sa udaljenosti, uzimajui u obzir fiziku
sigurnost zgrade i lokalnog okruenja;
b) predloeno fiziko okruenje za rad sa udaljenosti;
c) zahteve za sigurnost komunikacija, uzimajui u obzir potrebe za daljinski pristup
internim sistemima organizacije, osetljivost informacija kojima se pristupa i koje se
alju preko komunikacionih veza, kao i osetljivost internih sistema;
d) pretnju da e drugi ljudi koji koriste isti smetaj, npr. rodbina i prijatelji,
neovlaeno pristupiti informacijama ili resursima;
e) korienje kunih mrea i zahteve ili ogranienja na konfiguraciji usluga u beinoj
mrei;
f) politike i procedure da bi se spreili sporovi u pogledu prava intelektualne svojine
kod ureaja u privatnoj svojini;
g) pristup ureajima koji su u privatnom vlasnitvu (da bi se proverila sigurnost
maine ili u toku istrage), to zakon moe spreavati;
h) sporazumi u vezi sa licencama za softver koji su takvi da organizacija moe da
podlee zakonu prilikom davanja licence za softver klijentu na radnoj stranici koja
je u privatnom posedu osoblja, isporuilaca ili korisnika tree strane;
i) zatita od virusa i zahtevi za "protivpoarne" zatitne pregrade.
Smernice i dogovori koje treba uzeti u obzir:
a) obezbeenje pogodne opreme i nametaja za smetaj prilikom rada sa
udaljenosti, onda kada nije dozvoljeno korienje privatne opreme koja nije pod
kontrolom organizacije;
b) definisanje dozvoljenog rada, radnog vremena, klasifikovanje informacija koje
mogu biti sadrane i interni sistemi i usluge za koje je udaljeni radnik ovlaen da
im pristupa;
c) obezbeenje pogodne komunikacione opreme, ukljuujui metode za osiguranje
daljinskog pristupa;
27
d) fiziku sigurnost;
e) pravila i uputstva o pristupu roaka i posetilaca opremi i informacijama;
f) obezbeivanje i odravanje hardverske i softverske podrke;
g) obezbeivanje osiguranja;
h) procedure za izradu rezervnih kopija i za kontinuitet poslovanja;
i) proveru i nadgledanje sigurnosti;
j) ukidanje ovlaenja i prava pristupa i vraanje opreme onda kada se aktivnosti sa
udaljenosti zavre.
Ostale informacije
Prilikom rada sa udaljenosti primenjuju se komunikacione tehnologije kako bi se
osoblju omoguilo da radi sa udaljene lokacije izvan sopstvene organizacije.
28
29
Zato sertifikacija?
Industrija naplate duga je predmet sve intenzivnijeg regulatornog nadzora irom
sveta, a klijenti Fredrickson kompanije dolaze iz velikog broja visoko regulisanih
industrijskih sektora, ukljuujui bankarstvo, finansije, komunalno, telekomunikacije,
kuna kupovina, centralna vlada.
Kao i veina organizacija, Fredrickson se suoava sa izazovima poveane
bezbednosti i zahtevima za upravljanje IT. Sigurnost informacija je od sutinskog
znaaja za uspeh Fredrickson poslovanja poto njihovo poslovanje ukljuuje
primanje, analiziranje i uvanje osetljivih potroaa i poslovnih kreditnih informacija.
Neophodno je da organizacija ima odgovarajuu kontrolu i da titi svoje sisteme od
hakera i sprei da line informacije o svojim sistemima padnu u pogrene ruke poto
postoji veliki i realan rizik da to moe biti neki kriminalan koji eli da poini prevaru
identiteta. Stoga je imperativ da Fredrickson uveri svoje klijente i javnost da
bezbednost njihovih linih informacija shvataju veoma ozbiljno.
Organizacija redovno prolazi reviziju kako od strane klijenata tako i od drugih
zainteresovanih strana kako bi videli da li njihovo poslovanje napreduje.Kao takva
Fredrickson ima inspiraciju da se da se usavrava sve dok ne postane
najkompatibilnija agencija u svojoj industriji. Prema Simonu Jonesu, upravnom
direktoru Radije nego da kaemo da smo kompatibilni, mi smo smatrali da bi bilo
bolje obezbediti trite neophodnim poverenjem koje je potrebno, bili smo spremni i
da se podvrgnemo nezavisnoj proceni naeg ISO 27001 sistema bezbednosti za
upravljanje.
Implementacija
Za Fredrickson traei potvrdu za ISO 27001 je relativno prihvatljivo poto ve
posluju u skladu sa standardom. Organizacija sprovodi analize jaza,kada su
indetifikovani propusti u sistemu to je omoguavalo poboljanje pre revizije od
strane treeg lica. Dok su mnoge politike i procedure o bezbednosti informacija vec
odavno postojale, dokumenti o tome nisu bili dostupni i samo osnovno znanje je bilo
dostupno. U nastojanju da popravi ovo Fredrickson, je stvorio odbor za bezbednost
sa ciljem podizanja svesti u celoj kompaniji kao i vodjenje celog procesa korak
napred. Odbor je koristio kombinaciju treninga i postera kampanje kako bi se
obezbedio da osoblje razume znaaj bezbednosti informacija, kao i uloge koje su
morali da igraju. Takodje su stvorili shared disk kako bi osoblje organizacije lako
moglo da dodje do potrebnih dokumenata i informacija. Ovaj proces pomogao je da
se obezbedi ukljuivanje svih zaposlenih, takodje je bio od sutinskog zanaaja da
Fredrickson ugradi zahtevane standard i krene napred sa sertifikacijom. Fredrickson
je posveen postavljanju standarda i postajanju najkompatibilnije agencije u Velikoj
Britaniji. Prema Jan-Michael Lejsiju, Fredrickson Veruje da ce u bliskoj budunosti
ISO27001 sertifikat biti preduslov kada nai klijenti biraju spoljne partnere.
30
Prednosti
Klijenti i ira javnost sada mogu imati celokupno poverenje u Fredrickson
bezbednosne sisteme prakse i naina upravljanja njihovim linim informacijama.
Fredrickson je izabrao da radi sa BSI zbog ugleda BSI u industriji. Sa BSI smo
realizovali sistem koji nam je obezbedio odgovarajui i pritupaan nivo zatite za
nae lijente.Fredricksnu je BSI obezbedio informacije i preporuke neophodne da
dobije sertifikat, i pripremio ga za stroge, kontinuirane procene revizije. Kroz svoje
redovne posete BSI je bio u stanju da skrene panju Fredricksonu na oblasti u kojima
moe da se pobolja, takodje im je pomogao da uvedu novi nain razmiljanja.
Daren Rajt iz Fredricksona objasnio je Da je bilo nekoliko sluaja od visokog
znaaja, gde su se igubile neke informacije u naoj agenciji i zbog toga
pokazivanjem smanjenje rizika da se ovo dogadja mi dokazujemo da imamo najvii
nivo sigurnosti i pokazujemo klijentima da smo mi ba mi sposobni za tu svrhu. Mi
smo ponosni da kaemo da smo dobili sertifikat, i to potvrdjuje svaki lan naeg
osoblja koji je bio ukljuen u ovom stvaranju.
Fredrickson e na ovom polju stalno kontinuirano da poboljava svoj pristup.
Ostvarivi svoje kratkorone ciljeve, Fredrickson sada radi na tome da razvije veu
svest o sigurnosti medju osobljem i time jo unapredi svoje poslovanje .
Prednosti koje je Fredrickson stekao uvodjenjem ISO27001 sertifikata su:
Vea svest o bezbednosti na svim nivoima organizacije
Vee poverenje klijenata i bolja percepcija organizacije
Uvodjenje ISO27001 standarda samo je uvrstilo poziciju Ferdricksona na tritu i
donelo im mnoge pogodnosti. Postali su agencija u koju klijenti mogu da imaju
potpuno poverenje jer u industriji u kojoj oni posluju od kjunog znaaja je
bezbednost informacija, jer klijenti ele da budu sigurni i zatieni.
31
Zato sertifikacija?
Kako je SVM iz malog prerastao u velikog globalnog operatera, bila mu je potrebna
formalnija struktura ali su takoe eleli da osnovne vrednosti kompanije ostanu
centralne u njihovom poslovanju i da ne izgube poslovnu kuluturu koju je sa sobom
nosio mali biznis.
Brajan Dan (Brian Dunne), direktor SVM je izjavio da su smatrali da bi
standardizacija pomogla da njihovo poslovanje dobije odgovarajuu strukturu. Pritom
je napomenuo da konkretno misli na ISO/IEC 27001 i na standard ISO 9001 koji se
odnosi na upravljanje kvalitetom. On je, takoe naglasio, da je standardizacija u
oblasti bezbednosti informacija pomogla rast preduzea a pritom omoguila
potovanje osnovnih vrednosti kompanije.
Jo jedan kljuni razlog za sertifikaciju je bila zatita novca koji se dodaje na kartice
od internih i eksternih prevara.
Pored toga, ustanovili su da je za sve vie dravnih tendera potrebna sertifickacija
ISO/IEC 27001, pa je ona postala fundamentalna za osvajanje novih trita i rast.
Implementacija
Implementacija je kljuna taka standarda ISO/IEC 27001. Postupci i koraci kojim e
se ii ka uvoenju standarda e uticati na uspenost i brzinu prihvatanja istog. Kako
je kompanija primer dobre prakse bitno je istai nain implementacije u njihovom
sluaju.
Uvoenje sistema za upravljanje sigurnosti informacijama u ovu organizaciju je
trajalo godinu dana. Poetna analiza jaza preduzeta od strane kompanije je pokazala
da postoji ve pola zahteva kompatibilnih sa ISO/IEC 27001, sistem za upravljanje
sigurnosti informacijama.
Kako bi se postigla potpuna kompatibilnost, lan vieg rukovodsva, zagovornik ovog
projekta, je koordinirao proces po sistemu top-down uz podrku tima za
sprovoenje planova.
Najvei izazov tokom implemetacije sa kojim se SVM susreo su bili zahtevi za
unapreivanje IT strukture i formalizacije politike za upravljanje podacima. To je
zahtevalo izmene u funkcionisanju kompanije, ukljuujui izmene u slanju informacija
i elektronske pote, naroito utiui na udaljene korisnike i prodajne timove. Ovi
izazovi su bili usmereni za obezbeenje prednosti komunikacije u poslovanju i rano
angaovanje releventnih ljudi kroz, istovremenim razvijanjem politike i scenarija stres
strestiranja.
32
Kako bi pomogao u realizaciji, BSI je obuavao kljune lanove SVM tima da budu
uspeni interni revizori. Takoe je organizovao dan analze jaza, kada su
indetifikovani propusti u sistemu to je omoguavalo poboljanje pre revizije od
strane treeg lica.
Svi zaposleni vieg rukovodstva operativnog i pomonog osoblja su uestvovali u
obuci i prezentaciji kako bi obezbedili puno razumevanje i angaovanje u poslovanju.
Koristi
Uvoenje standarda ISO/IEC 27001 je kompaniji donela vee koristi nego to se to
prvobitno oekivalo.
Naa percepcija o ovom putovanju bila je da e ovaj standard biti samo o sigurnosti,
ono to smo mi shvatili je da je on ivotni stil. On zaista utie na sve to radimo i na
to kako to radimo. Sara Vajld (Sarah Wild), operativni menader.
Primeeno je da su nakon uvoenja ovog standarda sva odeljenja u Evropi jednaka i
da se njima se pravilno upravlja, umesto odprilike. Kao rezultat ove sertifikacije
SVM je dobio dobru PR podlogu i mogunost da unapredi svoju reputaciju.
Prednosti koje su oni ostvarili su:
- manje zastoja
- jaa organizaciona struktura
- vee poverenje u bezbednost informacionih procesa
SVM je od stanja gde nema ni registar rizika napredovala do sistema za
registrovanje i upravljanje rizikom infomracija u organizaciji.
SVM organizacija je nakon implementacijie poela da radi sa jasnim politikama i
procedurama sa jasno definisanim ulogama i odgovornostima. Takoe je poela sa
uvoenjem Prince 2 metodologije koja se uklapa u ISO implementaciju.
33
5. Zakljuak
Ceo koncept sigurnosti informacija bazira se na konceptu upravljanja rizicima. Ocena
rizika definisana je kao ocena pretnji informacijama (pretnje koje dovode do povrede
poverljivosti, integriteta i raspoloivosti informacija), njihovog uticaja na informacije i
ranjivost informacija, kao i verovatnoe njihove pojave. Upravljanje rizikom je
definisano kao proces identifikacije, kontrole i umanjivanja ili eliminacije sigurnosnih
rizika koji mogu da utiu na informacije i informacione sisteme.
U vremenu izrazitog rasta koliine informacija i znanja u organizacijama i njihovoj
komunikaciji sa korisnicima, za potrebe bezbednosti informacija i za potrebe sticanja
korisnikog poverenja, neophodno je koristiti zahteve modela ISO 27001. Time se
stvara sistem koji je fokusiran na kontinualna poboljavanja i smanjenje trokova i
eliminisanje uzronika greaka u sistemu.
34
6. Literatura
[1]
[2]
[3]
[4]
[5]
35