Qeverisja dhe auditimi IT

Menaxhimi i Sigurise
Standardet ISO 20000; ISO 27001
Menaxhimi i IT ne teresi dhe lidhja me
sigurine

 Cfare kuptojme me “capabilities of IT”

 Kemi te bejme me funksionet, procedurat, proceset

 Ne nje organizate IT lidhen me kapacitetet e organizates IT,

kompetencen dhe konfidencen per te vepruar

 Pa keto do kishim thjesht nje grumbull burimesh te

pakoordinuara

 Si te vleresojme, masim kapabilitetet e organizates IT ?

Siguria e rrjeteve dhe e informacionit
 Siguria e rrjeteve

 Ka kërkesa të qarta ligjore ligji 9918/2008 për të siguruar integritetin e rrjetit të

komunikimeve publike
 Detyrime për sipërmarrësit të komunikimeve elektronike: në veçanti AKEP-i
mund të kërkojë që sipërmarrësit:
 a) të ofrojnë informacion të nevojshëm për të vlerësuar sigurinë dhe/ose
integritetin e shërbimeve dhe rrjeteve, duke përfshirë politika të dokumentuara të
sigurisë;
 b) t’i paraqesin auditit të sigurisë, të kryer nga një organ i certifikuar dhe i
pavarur ose nga një autoritet kompetent, rezultatet dhe në këtë mënyrë t’i vënë
ato në dispozicion të AKEP-it.
 Rregullore e miratuar nga AKEP per sigurine e rrjeteve:
 http://akep.al/images/stories/AKEP/rregullore/2015/Rregullore__Mbi_masat_teknike_dhe_
organizative_per_garantimin_e_sigurise_se_rrjeteve_apo_sherbimeve_05_11.pdf

 Siguria e informacionit
 Kemi nje ligj te ri per sigurine e sistemeve te informacionit: Ligji per sigurine
kibernetik
Rendesia e informacionit
Informacioni eshte nje aset
 Si cdo aset tjeter i rendesishem i biznesit, ka vlere per nje organizate dhe
kerkon mbrojtjen e pershtatshme.
Cfare eshte Informacioni?
 Planet e biznesit aktuale
 Planet e te ardhmes
 Pronesia Intelektuale (Patents, etj)
 Regjistrimet e punonjesve
 Detaje te klienteve
 Informacion per partnere biznesi
 Te dhena financiare
Standartet

 Na ofrojne nje bashkesi te matshme te praktikave me te

mira

 Perputhshmeria me standardet demonstron qe kemi

arritur benchmarket

 Standardet jane te auditueshme dhe te vleresueshem nga

auditore te autorizuar te pavarur

 ISO 20000 & ISO 27001 jane standarde

nderkombetare
Standartet

 Standarte te ndryshme
 ISO 9000 (QMS)
 ISO 14000 (EMS)
 ISO 27000 (ISMS) Menaxhimi i Sigurise
 ISO 20000 (IT SMS) Menaxhimi i Sherbimeve IT
ISO 20000

 ISO 20000 standard per menaxhimin e sherbimeve IT

 pershkruan nje teresi procesesh menaxhimi per
ofrimin/shperndarjen me efektivitet te sherbimeve te biznesit
tek klientet e tij;

 Ndjek kuadrin ITIL

 Individet kane certifikaten ITIL,

 organizatat kane ISO 20000

Kerkesat e ISO 20000
 Nje organizate duhet te demonstroje aftesite e
“Management control” per cdo proces te ISO 20000

 Cfare eshte kontrolli i menaxhimit?

 Njohurite dhe kontrolli i hyrjeve/inputeve
 Njohurite, perdorimi dhe interpretimi i outputeve
 Percaktimi dhe matja; demonstrimi i evidences objective te
pergjegjsise per proceset funksionale
 Percaktimi, matja dhe rishikimi i permiresimit te proceseve;
Kontrolli i menaxhimit

Normat

Masat

Input
output
Aktivieti Aktiviteti Aktiviteti

Objektivat
Kater aspekte per t’u pasur vemendje

Njerezit: Kush? Si? Cfare?

Proceset dhe Procedurat:

e aplikueshme
Njerezit Produktet
Produktet: Pjeset
ndihmese qe lehtesojne
proceset
Proceset Partneret
Partneret: me ke do
bashkepunohet, krijohet
skuadra?
Perputhshmeria me standardet

 Do te thote qe:

 Rolet dhe pergjegjesite te jene te percaktuara qarte;

 Politikat, proceset dhe procedurat te dokumentuara;

 Planet te jene zhvilluar per te kontrolluar dhe matur performancen;

 Te dhenat e regjistruara per te provuar qe proceset kane ndjekur

politikat e krijuara dhe procedurat dhe rishikimi eshte bere konform
tyre;

Implementimi i standardeve
 Kemi modelin me faza: permiresimin e konsoliduar dhe
kontroll te vijueshem te cilesise
Continuous Quality Control and consolidation Improvement

Act Plan
Bussine
IT Alig.

Check Do
Effective Quality Improvement
Consolidation of the level reached
Siguria e informacionit

Siguria e Informacionit lidhet:

Konfidencialiteti
Integriteti
Disponueshmeria

Gjithashtu perfshin:
Autenticitetin
Pergjegjshmerine
mosnjohjen
Besueshmerine
Burimet Hardware IT te nje organizate
Rreziqet e sigurise se IT
• Rreziqet ne IT lidhen me:
• System failures
• Denial of service (DOS)
attacks
• Misuse f resources
• Internet/email /telephone
• Damage of reputation
• Espionage
• Fraud
• Viruses/spy-ware etc
• Use of unlicensed software
• Software and network
risks
Siguria ne shtresa te ndryshme
menaxheriale dhe teknike
Ndergjegjesimi per sigurine

 Siguria eshte pergjegjesi e gjithesecilit

 Te gjitha nivelet jane pergjegjese
 Secili duhet ta konsideroje ne punen e perditshme
 Sjelljen (deshirat/synimet/objektivat)
 njohurite (cfare te bej?)
 aftesite (si ta bej?)
 Siguria eshte e integruar me te gjitha operacionet
 Performanca e sigurise duhet te jete e matshme
Rruga e programit te ndergjegjsimit
Politika e kompanise

Programi i ndergjegjsimit per sigurine

Feedback Aktivitetet

Punonjesit
Perfitimet nga ndjekja e certifikates
 I mundeson organizates te perballoje “IS breaches”
 I mundeson organizates te perballoje impaktin e “IS breaches”
kur ndodh
 Ne rastin e nje rreziku certifikimi mund te reduktoje
 Masat e imponuara nga rregullatoret
 Organizata demonstron kujdesin e duhur
 Me aksioneret, klientet, partneret e biznesit
 Lejon organizaten te demonstroje perputhshmeri proaktive
ligjore, rregullatore, kerkesat kontraktore
 Siguron validimin nga nje pale e trete te ISMS
Familja e ISO 27000

 ISO 27001 formal ISMS specification

 ISO 27002 infosec control guide
 ISO 27004 infosec metrics
 ISO 27005 infosec risk management
 ISO 27006 ISMS certification guide
 ISO 27011 ISO27k for telecoms
 ISO 27033 – network security
 ISO 27799 ISO27k for healthcare
Struktura e serise 27000

27000 Fundamentals & Vocabulary

27001:ISMS
27005
27002 Code of Practice for ISM
Risk
Management 27003 Implementation Guidance

27004 Metrics & Measurement

27006 Guidelines on ISMS accreditation

Cfare eshte ISO 27001
 ISO 27001 eshte standarti nderkombetar per
menaxhimin e sigurise se informacionit

Siguria e Informacionit

Konfidencialiteti Vlefshmeria
Mbrojtja e informacionit Siguria qe informacioni dhe
sensitiv sherbimet u garantohen
perdoruesve kur kerkohen

Integriteti
Garancia, saktesia dhe plotesia
e informacionit
ISO 27001 Kerkesat Baze

Palet e Palet e
interesuara interesuara

Plan
Krijo ISMS

Kerkesat per Do: Implemento Act: Miremban dhe

sigurine e dhe opero ISMS permireson ISMS
informacionit Siguria e
dhe Check: informacionit te
pritshmerite Monitoro dhe menaxhuar
risihko ISMS

Modeli PDCA i proceseve ISMS

Klasifikimi i kerkesave te dokumentimit,
Implementimit dhe Auditimit
Pika Pershkrimi Kerkesat e dokumentimit Kerkesat e Implementimit Kerkesat e Auditimit

4 Konteksti i organizates
4.1 Kuptimi i “Rreth organizates” ne Kuptimi i organizate, vecorite e Rishikimi i dokumentit te
organizates dhe dokumentin e biznesit te saj dhe percaktoje politikave te IS
kontekstit te saj politikave te IS ate ne dokumentin e politikave
te IS
4.2 Kuptimi i Targetimi i audiences Brainstorming me menaxhimin Rishikimi i dokumentit te
nevojave dhe ne dokumentin e dhe perfshirja e saj ne politikave te IS
pritshmerive te politikave te IS dokumentin e politikave te IS
grupeve te
interesit
4.3 Percaktimi i Fusha e ISMS ne Brainstorming me menaxhimin Rishikimi i dokumentit te
fushes se ISMS dokumentin e dhe perfshirja e saj ne politikave te IS
politikave te IS dokumentin e politikave te IS
4.4 ISMS Dokumenti i politikave  Krijimi i IS Rishikimi i dokumentit te
te IS  Caktimi i Menaxherit te IS politikave te IS
 Kryerja e trajnimeve dhe
ndergjegjesimit per IS
 Percaktimi i RACI
ISO 27001
 ISO 27001 Pjesa I
 Kodi i praktikes per Menaxhimin e Sigurise se Informacionit
(ISM)
 Praktikat me te mira, guide, rekomandtimet per
 konfidencialitetin ( C )
 Integritetin (I)
 Disponueshmerine ( A )

 ISO 27001 Pjesa II

 Specifikimet per ISM
ISO 27001
 Klauzola Mandatore (4  8)
 Te gjitha klausolat duhet te aplikohen, pa perjashtime
 Aneksi (Objektivat e kontrollit dhe kontrollet )
 11 Domainet e Sigurise (A5  A 15)
 Shtresat e sigurise
 39 Objektivat e kontrollit
 Deklarata e rezultateve te deshiruara ose qellimi
 133 Kontrollet
 Politikat, procedurat, praktikat, software controls dhe struktura
organizative
 Te jape siguri qe objektivat e organizates do arrihen dhe qe ngajrjet e
padeshiruara do te parandalohen, detektorhen ose korrektohen
 Perjashtimet ne disa raste mund te jene te mundura po te justifikuara
Hapat per implementimin e ISO 27001
 Vendos mbi fushen e ISMS
 Risk assessment
 Kryej “GAP Analysis”
 Zgjedhja e kontrolleve
 Deklarata e aplikueshme
 Rishikimi dhe menaxhimi i riskut
 Siguron menaxhimin
 Auditimi i brendshem i ISMS
 Mat efektivitetin dhe performancen
 Perditeson planin e trajtimit te riskut, procedurat dhe
kontrollet
ISO 27001 implementon “Plan-Do-Check-
Act” /PDCA ne te gjitha proceset e ISMS

Plan

Act Do

Check
“Plan-Do-Check-Act”

PDCA Model
Establish ISMS policy, objectives, processes and procedures
relevant to managing risk and improving IS to deliver results in
Plan Establish ISMS
accordance with an organization’s overall policies and
objectives
Implement and Implement and operate ISMS policy, controls, processes and
Do operate ISMS procedures
Asses, and where applicable, measure process performance
Chec Monitor and
against ISMS policy, objectives and practical experience and
k review ISMS
report the results to management for review
Take corrective actions, based on the results of the internal
Maintain and
Act improve ISMS
audit and management review or other relevant information,
to achieve continual improvement of ISMS
Plan:
Studimi i kerkesave
Draftimi i nje Politike IS
Diskutimi ne Forume i politikes IS
Finalizimi dhe miratimi i politikes
Krjimi dhe procedurat e implementmit
Ndergjegjesimi i stafit/trajnimi
Do:
Implementimi i politikes
Check:
Monitorimi, matja, & auditimi dhe procesi
Act:
Permiresimi i procesit
Fusha e ISMS
 Business security policy and plans
 Current business operations requirements
 Future business plans and requirements
 Legislative requirements
 Obligations and responsibilities with regard to security
contained in SLAs
 The business and IT risks and their management
Nje liste e thjeshte e politikave
 Overall ISMS policy
 Access control policy
 Email policy
 Internet policy
 Anti-virus policy
 Information classification policy
 Use of IT assets policy
 Asset disposal policy

 Reference: dokumentat ISO 27001 dhe ISO 27002