UPRAVLJANJE BEZBEDNOU INFORMACIONIH SISTEMA

11. ISO 27000

Doc. dr Goran Kunjadi

 ISO 27000

International Organization for Standardization - ISO:

Meunarodna organizacija za standardizaciju je
agencija Ujedinjenih nacija sa seditem u enevi,
zaduena za standardizaciju, odnosno izdavanje
standarda.
Osnovana je 1947. godine i proizvodi industrijske i
komercijalne standarde.
Iako je ISO definisan kao nevladina organizacija,
njegova sposobnost postavljanja standarda koji esto
postanu zakoni, bilo kroz meunarodne ugovore ili
kroz nacionalne standarde to ga ini monijim od
veine nevladinih organizacija. ISO se ponaa kao
konzorcijum koji je usko povezan sa vladama.
 ISO 27000

International Electrotechnical Commission - IEC:

Meunarodna elektrotehnika komisija - IEC je
osnovana 1906. godine.
ISO usko sarauje za IEC-om koji je odgovoran za
standardizaciju elektrine opreme.
Svi ureaji koji sadre elektroniku a koriste ili
proizvode elektrinu energiju moraju da zadovolje IEC
meunarodne standarde o ocenjivanju usaglaenosti
sistema za obavljanje svoje funkcije i bezbedan rad.
 ISO 27000

National Institute of Standards and Technology - NIST:

Nacionalni institut za standarde i tehnologiju (NIST) je
osnovan 1901. godine a sada je deo Ministarstva
trgovine SAD. Institut je osnovan od strane SAD
Kongresa u cilju ubrzanja razvoja i sticanju za
industrijske konkurentnosti i smanjenja zaostatka za
Velikom Britanijom, Nemakom i drugim ekonomskim
rivalima u tadanje vreme.
NIST pokriva irok spektar tehnologija kao to su
kompjuterski ipovi, napredni nano materijali i mnogi
drugi proizvodi i usluge.
NIST SP 800 serija - U mnogome detaljnija od ISO
standarda.
 ISO 27000

British Standards - BS:

British Standards su standardi koje donosi British
Standards Institution - BSI grupa.
BSI je formirana na osnovu Kraljevske povelje i
formalno je imenovana za Nacionalno telo za
standardizaciju - National Standards Body u Velikoj
Britaniji.
Jedan od ciljeva BSI grupe je postavljanje standarda
kvaliteta robe i usluga, pripremanje i promovisanje
usvajanja britanskih standarda i povremeno
revidiranje i izmena standarda koje iskustvo i
okolnosti zahtevaju.
 ISO 27000

ISO/IEC 27000:
ISO/IEC 27000 predstavlja seriju standarda ISO/IEC
Information Security Management Systems - ISMS.
ISO/IEC 27000 serija standarda daje preporuke
najbolje prakse o upravljanju informacionom
bezbednosti kao i upravljanje informacionim rizicima
putem bezbednosnih kontrola u kontekstu opteg
ISMS.
Serija standarda pokriva irok spektar tema kao to su
privatnost, poverljivost, IT/tehnika/sajber pitanja i
drugo.
 ISO 27000

ISO/IEC 27000:
Standard je primenljiv na organizacije svih oblika i
veliina. Sve organizacije treba da procene svoje
informacione rizike a zatim da ih tretiraju u skladu sa
svojim potrebama a koristei smernice i predloge gde
je to relevantno (obino koristei bezbednosne
kontrole) .
S obzirom na dinamiku prirodu rizika bezbednosti
informacija, koncept ISMS ukljuuje kontinuirane
povratne informacije i aktivnosti poboljanja koje
reaguju na promene pretnji, ranjivosti i uticaja
incidenata.
 ISO 27000

ISO/IEC 27000:
ISO 27000 pokriva sledee celine:
Informaciona tehnologija,
Bezbednosne tehnike,
Sistemi za upravljanje informacionom bezbednosti,
Pregled i renik.
 ISO 27000

ISO/IEC 27000 grupa standarda:

ISO/IEC 27001, ISMS (upravljanje zatitom),
ISO/IEC 27002, kontrole zatite,
ISO/IEC 27005, upravljanje rizikom,
ISO/IEC 15443, Information Technology - Security
Techniques,
ISO/IEC 17799, ISMS Implementation,
ISO/IEC 21827 ili SSE-CMM (System Security
Engeneering Capability Maturity Model), model
sazrevanja procesa zatite,
ISO/IEC 15408, (Common Criteria) Evaluation
Criteria for IT Security.
 ISO 27000

ISO/IEC 27001 i ISO/IEC 27002:

ISO/IEC 27001 predstavlja ISMS:
Kako uspostaviti (procedure) menadment sistem
zatite informacija,
Svesti o potrebi zatite, organizacione infrastrukture,
plana, implementacije i odravanja kontrola zatite
proces za uspostavljanje,
Nije skup procedura koje obuhvataju sve kontrole
zatite.
 ISO 27000

ISO/IEC 27001 i ISO/IEC 27002:

ISO/IEC 27002 predstavlja uputstvo za ciljeve i
specifikaciju kontrola:
ta treba (tj., lista kontrola zatita) uraditi da se
informacije zatite,
retko organizacije trae sertifikaciju za ISO/IEC 27002
uobiajeno se sertifikuju za ISMS (ISO/IEC 27001),
Annex A ISO/IEC 27001 sadri iste kontrole zatite kao
ISO/IEC 27002 samo sa skraenim opisom.
 ISO 27000

ISO/IEC 27001:
Kljune oblasti zahteva standarda:
Menadment sistem zatite informacija - ISMS,
Odgovornosti menadmenta,
Interna provera (audits) ISMS-a,
Menaderski pregled ISMS-a,
Poboljanje ISMS-a.
 ISO 27000

ISO/IEC 27001:
Standard ISO/IEC 27001 Menadment sistem zatite
informcija - Specifikacija smernica za upotrebu
obuhvata:
pitanja bazinog menadment sistema i
obezbeuje model za implementaciju i upravljanje
efektivnog ISMS-a
 ISO 27000

Aneksi ISO 27001:

A: Ciljevi i mehanizmi kontrola zatite
Anex A ISO 27001
B: OECD-principi i ISMS standard
Anex B ISO 27001
C: Komparativna analiza ISO 9001 i 14001
Anex C ISO 27001
 ISO 27000

Aneks A ISO/IEC 27001, Kontrole zatite:

Standard sadri 39 familija i 134 kontrole zatite
ISO/IEC 27001 nudi 134 kontrole u Aneksu A:
Kontrole koje se odnosne na IT: 46%,
Kontrole koje se odnose na organizaciju i
dokumentaciju: 30%,
Kontrole koje se odnose na fiziku zatitu: 9%,
Kontrole koje se odnose na zakonsku zatitu: 6%,
Kontrole koje se odnose na snabdevae i ponaanja:
5%,
Kontrole koje se odnose na personalnu zatitu: 4%.
 ISO 27000

Aneks A ISO/IEC 27001, Kontrole zatite:

ISO/IEC 27001 - za izradu politike i procedura zatite:
ciljevi kontrole indiciraju namenu,
detalji kontrole generiu saoptenja politike i detalje
procedura za postizanje te namene.
 ISO 27000

Usaglaenost ISO/IEC 27001:

Svaki meunarodni ili nacionalni standard najbolje
prakse:
Nije sam dovoljan za specifinu organizaciju i
kontekst,
Zahteva prilagoavanje specifinim uslovima,
Zahteva uvoenje komplementarnih standarda.
 ISO 27000

Usaglaenost ISO/IEC 27001:

ISO/IEC 27001 za ISMS komplementaran je sa:
ISO/IEC 9001:2000 za menadment kvaliteta,
ISO/IEC 14001 za upravljanjem ivotnom okolinom,
ISO/IEC 21827 (SSE CMM - Systems Security
Engineering Capability Maturity Model) Model
zrelosti procesa zatite,
ISO/IEC 13335 i NIST SP serije.
 ISO 27000

Usaglaenost ISO/IEC 27001:

ISO/IEC 27001 je harmonizovan sa drugim menadment
sistemima sa ciljem:
Konzistentne i integrisane implementacije,
Rada menadment sistema organizacije.
Primena ISMS standarda sa drugim menadment
standardima u organizaciji zahteva:
Program usaglaavanja menadment sistema u jedan
menadment sistem: TQM (Total Quality Management)
sistem.
 ISO 27000

ISO/IEC 27002:
ISO/IEC 27002 - Code of Practice for Information
Security Management:
Meunarodno priznate smernice za menadment
sistem zatite informacija (ISMS),
Sadri skup preporuka za procedure i metode najbolje
prakse zatite (ve dokazne u praksi),
Obezbeuje uvid u kontrole za zatitu informacione
imovine.
 ISO 27000

ISO/IEC 27002:
ISO/IEC 27002 - Code of Practice for Information
Security Management:
Ne ukljuuje kako se kontrole primenjuju
procedure za implementaciju kontrola zatite:
Zadatak svake organizacije,
Zavisi od konteksta, fizikog i tehnikog okruenja.
 ISO 27000

ISO/IEC 27002:
ISO 27002 sadri 12 sekcija ciljeva i 137 kontrola zatite:
Procena i tretmana rizika (2),
Politika zatite (1) 2 kontrole zatite,
Organizacija zatite informacija (2) -11 kontrola
zatite,
Menadment imovine organizacije (2) 5 kontrola
zatite,
Zatita ljudskih resursa (3) 9 kontrola zatite,
Fizika zatita i zatita okruenja (2) 13 kontrola
zatite,
 ISO 27000

ISO/IEC 27002:
ISO 27002 sadri 12 sekcija ciljeva i 137 kontrola zatite:
Menadment komunikacija i operacija zatite (10)
32 kontrole zatite,
Kontrola pristupa (7) 25 kontrola zatite,
Akvizicija, razvoj i odravanje IKT sistema (6) 16
kontrola zatite,
Menadment bezbednosnog incidenta (2) 5 kontrola
zatite,
Menadment kontinuiteta poslovanja (1) 5 kontrola
zatite,
Usaglaenost (3) 10 kontrola zatite.
 ISO 27000

ISMS - Plan-Do-Check-Act model procesa:

Model procesa PDCA (Planiraj, Primeni, Proveri,
Poboljaj):
deo pristupa menadment sistemu za razvoj,
implementaciju i neprekidno poboljanje ISMS-a
predstavlja najznaajniju sutinsku promenu u
revidiranoj verziji ISO/IEC 27001:2005
 ISO 27000

ISMS - Plan-Do-Check-Act model procesa:

 ISO 27000

ISMS - Plan-Do-Check-Act model procesa:

1. PDCA - Faza Planiranja ISMS-a
Kljuni procesi ISMS faze planiranja su:
Uspostavljanje politike zatite,
Odreivanje strategijskih ciljeva zatite,
Implementacija procesa i akcija relevantnih za
menadment rizika.
 ISO 27000

ISMS - Plan-Do-Check-Act model procesa:

2. PDCA - Faza Primene ISMS-a
Kljuni procesi faze primene su:
Implementacija politike zatite,
Implementacija kontrola zatite,
Integracija procesa i akcija za kontrolu ISMS-a.
 ISO 27000

ISMS - Plan-Do-Check-Act model procesa:

3. PDCA Faza Provere ISMS-a
Kljuni procesi faze provere su:
Procena procesa zatite i (po potrebi).
Merenje performansi procesa zatite u poreenju sa:
Politikom zatite,
Ciljevima zatite,
Steenim praktinim iskustvima.
 ISO 27000

ISMS - Plan-Do-Check-Act model procesa:

4. PDCA - Faza Poboljanja ISMS-a
Kljuni procesi faze delovanja su:
Monitoring i odravanje,
Neprekidno poboljanje ISMS-a,
Preduzimanje korektivnih mera,
Preduzimanje preventivnih mera, na bazi interne i
menaderske provere.
 ISO 27000

Provera usaglaenosti i sertifikacija:

Proces provere usaglaenosti za dobijanje ISO/IEC
27001:2005 sertifikata je strogo regulisan.
Sertifikaciju mogu izvoditi samo posebno
akreditovana sertifikaciona tela.
Akreditaciju sertifikacionih tela u EU daju:
nacionalna akreditaciona tela u skladu sa EA 7/03
Evropske kooperacije za akreditaciju.
Primer: TGA u Nemakoj; TV Thringen Nemaka, od
31.12.2006.
 ISO 27000

ISMS akreditacija:
Nacionalna tela za akreditaciju sklapaju uzajamne
sporazume o priznavanju izdatih sertifikata u drugim
zemljama.
Procena metodi provere ISMS-a
Po pravilu procena ISMS-a treba da se izvri barem u
dva koraka:
1. Interna provera,
2. Sertifikaciona provera.
 ISO 27000

ISMS akreditacija:
Korak 1: Provera
Pregled dokumenata pre provere na lokaciji.
Ciljevi provere u koraku 1:
Identifikovati kljune take za planiranje provere u
koraku 2.
Definisati obim ISMS sertifikacije.
 ISO 27000

ISMS akreditacija:
Korak 2: Sertifikaciona provera (audit)
Osnovni uslov za sertifikaciju:
da je ISMS ve implementiran, barem 6 meseci
Aktivnosti u koraku 2 provere:
Definisati plan provere 2 na bazi rezultata provere u
koraku 1,
Proveru uvek izvriti na lokaciji klijenta.
 ISO 27000

ISMS akreditacija:
Zahtevi za proveravae
Pored optih zahteva, proveravai treba da ispune
sledee kvalifikacije:
Univerzitetsku diplomu ili veliko radno iskustvo sa
naprednom profesionalnom obukom,
Najmanje 4 godine iskustva punog radnog vremena u
ICT sistemima,
Najmanje 2 godine iskustva u oblasti zatite.
 ISO 27000

Rekapitulacija
International Organization for Standardization - ISO
International Electrotechnical Commission - IEC
National Institute of Standards and Technology - NIST
British Standards - BS
ISO/IEC 27000
ISO/IEC 27000 grupa standarda
ISO/IEC 27001 i ISO/IEC 27002
ISO/IEC 27001
Aneksi ISO 27001
 ISO 27000

Rekapitulacija
Aneks A ISO/IEC 27001, Kontrole zatite
Usaglaenost ISO/IEC 27001
ISO/IEC 27002
ISMS - Plan-Do-Check-Act model procesa
Provera usaglaenosti i sertifikacija
ISMS akreditacija
ISO 27000
UPRAVLJANJE BEZBEDNOU INFORMACIONIH SISTEMA

Ova prezentacija je nekomercijalna.

Slajdovi mogu da sadre materijale preuzete sa Interneta i
iz strune i naune grae, koji su zatieni Zakonom o
autorskim i srodnim pravima. Ova prezentacija se
moe koristiti samo privremeno tokom usmenog
izlaganja nastavnika u cilju informisanja i upuivanja
studenata na dalji struni, istraivaki i nauni rad i u
druge svrhe se ne sme koristiti
lan 44 - Dozvoljeno je bez dozvole autora i bez plaanja
autorske naknade za nekomercijalne svrhe nastave:
(1) javno izvoenje ili predstavljanje objavljenih dela
u obliku neposrednog pouavanja na nastavi;
- ZAKON O AUTORSKOM I SRODNIM PRAVIMA
("Sl. glasnik RS", br. 104/2009 i 99/2011)