Professional Documents
Culture Documents
11 UBIS - Poglavlje 11 PDF
11 UBIS - Poglavlje 11 PDF
ISO/IEC 27000:
ISO/IEC 27000 predstavlja seriju standarda ISO/IEC
Information Security Management Systems - ISMS.
ISO/IEC 27000 serija standarda daje preporuke
najbolje prakse o upravljanju informacionom
bezbednosti kao i upravljanje informacionim rizicima
putem bezbednosnih kontrola u kontekstu opteg
ISMS.
Serija standarda pokriva irok spektar tema kao to su
privatnost, poverljivost, IT/tehnika/sajber pitanja i
drugo.
ISO 27000
ISO/IEC 27000:
Standard je primenljiv na organizacije svih oblika i
veliina. Sve organizacije treba da procene svoje
informacione rizike a zatim da ih tretiraju u skladu sa
svojim potrebama a koristei smernice i predloge gde
je to relevantno (obino koristei bezbednosne
kontrole) .
S obzirom na dinamiku prirodu rizika bezbednosti
informacija, koncept ISMS ukljuuje kontinuirane
povratne informacije i aktivnosti poboljanja koje
reaguju na promene pretnji, ranjivosti i uticaja
incidenata.
ISO 27000
ISO/IEC 27000:
ISO 27000 pokriva sledee celine:
Informaciona tehnologija,
Bezbednosne tehnike,
Sistemi za upravljanje informacionom bezbednosti,
Pregled i renik.
ISO 27000
ISO/IEC 27001:
Kljune oblasti zahteva standarda:
Menadment sistem zatite informacija - ISMS,
Odgovornosti menadmenta,
Interna provera (audits) ISMS-a,
Menaderski pregled ISMS-a,
Poboljanje ISMS-a.
ISO 27000
ISO/IEC 27001:
Standard ISO/IEC 27001 Menadment sistem zatite
informcija - Specifikacija smernica za upotrebu
obuhvata:
pitanja bazinog menadment sistema i
obezbeuje model za implementaciju i upravljanje
efektivnog ISMS-a
ISO 27000
ISO/IEC 27002:
ISO/IEC 27002 - Code of Practice for Information
Security Management:
Meunarodno priznate smernice za menadment
sistem zatite informacija (ISMS),
Sadri skup preporuka za procedure i metode najbolje
prakse zatite (ve dokazne u praksi),
Obezbeuje uvid u kontrole za zatitu informacione
imovine.
ISO 27000
ISO/IEC 27002:
ISO/IEC 27002 - Code of Practice for Information
Security Management:
Ne ukljuuje kako se kontrole primenjuju
procedure za implementaciju kontrola zatite:
Zadatak svake organizacije,
Zavisi od konteksta, fizikog i tehnikog okruenja.
ISO 27000
ISO/IEC 27002:
ISO 27002 sadri 12 sekcija ciljeva i 137 kontrola zatite:
Procena i tretmana rizika (2),
Politika zatite (1) 2 kontrole zatite,
Organizacija zatite informacija (2) -11 kontrola
zatite,
Menadment imovine organizacije (2) 5 kontrola
zatite,
Zatita ljudskih resursa (3) 9 kontrola zatite,
Fizika zatita i zatita okruenja (2) 13 kontrola
zatite,
ISO 27000
ISO/IEC 27002:
ISO 27002 sadri 12 sekcija ciljeva i 137 kontrola zatite:
Menadment komunikacija i operacija zatite (10)
32 kontrole zatite,
Kontrola pristupa (7) 25 kontrola zatite,
Akvizicija, razvoj i odravanje IKT sistema (6) 16
kontrola zatite,
Menadment bezbednosnog incidenta (2) 5 kontrola
zatite,
Menadment kontinuiteta poslovanja (1) 5 kontrola
zatite,
Usaglaenost (3) 10 kontrola zatite.
ISO 27000
ISMS akreditacija:
Nacionalna tela za akreditaciju sklapaju uzajamne
sporazume o priznavanju izdatih sertifikata u drugim
zemljama.
Procena metodi provere ISMS-a
Po pravilu procena ISMS-a treba da se izvri barem u
dva koraka:
1. Interna provera,
2. Sertifikaciona provera.
ISO 27000
ISMS akreditacija:
Korak 1: Provera
Pregled dokumenata pre provere na lokaciji.
Ciljevi provere u koraku 1:
Identifikovati kljune take za planiranje provere u
koraku 2.
Definisati obim ISMS sertifikacije.
ISO 27000
ISMS akreditacija:
Korak 2: Sertifikaciona provera (audit)
Osnovni uslov za sertifikaciju:
da je ISMS ve implementiran, barem 6 meseci
Aktivnosti u koraku 2 provere:
Definisati plan provere 2 na bazi rezultata provere u
koraku 1,
Proveru uvek izvriti na lokaciji klijenta.
ISO 27000
ISMS akreditacija:
Zahtevi za proveravae
Pored optih zahteva, proveravai treba da ispune
sledee kvalifikacije:
Univerzitetsku diplomu ili veliko radno iskustvo sa
naprednom profesionalnom obukom,
Najmanje 4 godine iskustva punog radnog vremena u
ICT sistemima,
Najmanje 2 godine iskustva u oblasti zatite.
ISO 27000
Rekapitulacija
International Organization for Standardization - ISO
International Electrotechnical Commission - IEC
National Institute of Standards and Technology - NIST
British Standards - BS
ISO/IEC 27000
ISO/IEC 27000 grupa standarda
ISO/IEC 27001 i ISO/IEC 27002
ISO/IEC 27001
Aneksi ISO 27001
ISO 27000
Rekapitulacija
Aneks A ISO/IEC 27001, Kontrole zatite
Usaglaenost ISO/IEC 27001
ISO/IEC 27002
ISMS - Plan-Do-Check-Act model procesa
Provera usaglaenosti i sertifikacija
ISMS akreditacija
ISO 27000
UPRAVLJANJE BEZBEDNOU INFORMACIONIH SISTEMA