ISO/IEC 27001:2005 Informacione tehnologije - Sigurnosne tehnike Sistemi menadžmenta sigurnošću informacija - Zahtevi

1

Sažetak
ISO/IEC 27001:2005 je standard koji se odnosi na sve vrste organizacija (npr. komercijalne organizacije, vladine agencije, ne-profitne organizacije itd.) ISO/IEC 27001:2005 navodi zahteve za uspostavljanje, primenu, funkcionisanje, nadgledanje, preispitivanje, održavanje, i unapređivanje dokumentovanog Sistema Menadžmenta Sigurnošću Informacija u smislu globalnih poslovnih rizika organizacija. Ovaj standard navodi tačno zahteve za primenu kontrola sigurnosti, koje se prilagođavaju potrebama individualnih organizacija ili njihovim delovima.
2

Uvod ISO/IEC 27001:2005 je projektovan da bi osigurao izbor adekvatnih i srazmernih kontrola sigurnosti koje štite informacione resurse i ulivaju poverenje zainteresovanim stranama. Zahtevi koji su dati u ovom međunarodnom standardu su opšti i namera je da budu primenjeni na sve sve vrste organizacija bez obzira na njihovu. 3 . veličinu ili prirodu.

zajedno sa identifikacijom i interakcijom ovih procesa i i njihov menadžment. funkcionisanje. može se definisati kao “procesni pristup”. Primena sistema procesa u okviru organizacije. 4 . preispitivanje. praćenje. implementaciju. održavanje i poboljšavanje sistema menadžmenta sigurnošću informacija u okviru organizacije.Procesni pristup Ovaj međunarodni standard predlaže primenu “procesnog pristupa” za uspostavljanje.

Procesni pristup kod menadžmenta sigurnošću informacija posebno naglašava važnost:     razumevanja zahteva za sigurnost informacijа i potrebe uspostavljanja politike i ciljeva za sigurnost informacija dizajniranje i primena kontrola radi upravljanja rizicima po sigurnost informacija praćenje i preispitivanje performansi i efikasnosti ISMS-a kontinualno unapređenje zasnovano na objektivnim merenjima 5 .

7 i 8 ovog standarda.6. ISMS prihvata ove ulaze i kroz neophodne aktivnosti i procese proizvodi izlaze koji zadovoljavaju ove zahteve i očekivanja. 6 . Ulazi u ISMS su zahtevi za sigurnost informacija i očekivanja zainteresovanih strana. Slika ilustruje kako funkcioniše ovaj model. Na slici je takođe ilustrovana veza između procesa koji su predstavljeni u tačkama 4. Ovaj međunarodni standard prihvata PDCA (planirajuradi-proveri-deluj) model procesa.5.

Planiraj Zainteresovane strane Zainteresovane strane Uspostavljanje ISMS Uradi Implementiranje i rad ISMS Održavanje i poboljšanje ISMS Deluj Zahtevi i očekivanja za sigurnost informacija Praćenje i preispitivanje ISMS Upravljana sigurnost informacija Proveri PDCA model primenjen na ISMS procese 7 .

 Primer1: Zahtev za sigurnost informacija može npr. biti da ugrožavanje sigurnosti informacija neće prouzorkovati ozbilljne finansijske štete po organizaciju. hakerski upad na web sajt organizacije – postoje ljudi koji su dovoljno obučeni i vešti i pri tom dobro poznaju procedure za minimizaciju mogućih posledica.  8 . Primer2: Očekivanje može biti da ukoliko se ozbiljan incident dogodi – npr.

Oceni i. procesa i procedura. ciljeve. procesa i procedura koje se odnose na upravljanje rizicima i unapređenje sigurnosti informacija kako bi se dobili rezultati u skladu sa celokupnom politikom i ciljevima organizacije. zasnovane na rezultatima internih ISMS provera i preispitivanju menadžmenta ili drugih relevantnih informacija. izmeri učinke procesa u odnosu na ISMS politiku. kako bi se postiglo kontinualno unapređenje ISMS-a. tamo gde je pogodno.Planiraj (uspostavljanje ISMS-a) Uspostavljanje ISMS politike. 9 Uradi (implementiranje i sprovođenje ISMS-a) Proveri (praćenje i preispitivanje ISMS-a) Deluj (održavanje i unapređenje ISMS-a) . praktična iskustva i izvesti o rezultatima menadžment radi preispitivanja. Implementiranje i sprovođenje ISMS politike. ciljeva. kontrola. Preduzmi korektivne i preventivne mere.

1 Uspostavljanje ISMS a) Definisanje područja i granica uspostavljanja ISMS b) Definisanje politke ISMS c) Definisanje meodologije za procenu rizika d) Identifikovanje rizika e) Analiza i ocena rizika f) Identifikacija i razmatranje opcija za postupanje sa rizicima g) Odabiranje kontrola 10 .2 Uspostavljanje i upravljanje ISMS 4.2.1 Opšti zahtevi 4. Sistem menadžmenta sigurnošću informacija (ISMS) 4.4.

2 Implementacija i rad ISMS-a a) Formulišite plan za postupanje sa rizicima b) Primenite plan kako bi ste dostigli identifikovane ciljeve c) Primenite odabrane kontrole d) Definišite kako ćete izmeriti efikasnost odabranih kontrola f) Primenite programe obuke 11 .h) Obezbeđenje podrške rukovodstva za preostali rizik i ) Traženje dozvole rukovodstva za implementiranje ISMS j) Priprema Izjave o primenljivosti 4.2.

2.3 Praćenje i preispitivanje ISMS-a a) sprovesti procedure praćenja i preispitivanja ISMS-a b) preduzeti redovna preispitivanja efikasnosti ISMS-a c) izmeriti efikasnost kontrola radi verifikacije da su svi sigurnosni zahtevi ispunjeni d) preispitati proceduru ocene rizika u planiranim intervalima i preispitati preostale rizike i identifikovati prihvatljive nivoe rizika 12 .f) upravljajte radom ISMS-a g) upravljajte resursima za ISMS h) primenite procedure i druge kontrole sposobne da omoguće brzo otkrivanje neželjenih događaja i brz odogovor na sigurnosne incidente 4.

2.e) sprovesti interne provere u planiranim intervalima f) preduzeti preispitivanje menadžmenta g) ažurirati sigurnosne planove uzimajući u obzir rezultate preispitivanja menadžmenta h) snimiti radnje i događaje koji mogu imati uticaj na efikasnost ili učinak ISMS-a 4.4 Održavanje i unapređenje ISMS-a 13 .

ili sredstva preko kojih se one zajednički koriste ili na kojima se čuvaju. Ovo je posebno važno u rastućem uzajamno povezanom poslovnom okruženju. od suštinskog značaja za poslovanje neke organizacije i stoga je potrebno da se ona na odgovarajući način zaštiti. one uvek treba da budu odgovarajuće zaštićene. Bilo koji oblik da informacije imaju. informacije su sada izložene povećanom broju i velikoj raznolikosti pretnji i ranjivosti. Informacije mogu postojati u mnogo oblika i formi. mogu se slati poštom ili primenom elektronskih sredstava. One mogu biti odštampane ili ispisane na papiru. uskladištene u elektronskom obliku. koja je kao i druga važna poslovna imovina. 14  . ili izreći u razgovoru.Šta je to sigurnost informacija?  Informacije predstavljaju određenu imovinu. prikazati na filmovima. Kao rezultat ove rastuće uzajamne povezanosti.

uključujući politike. kada je to neophodno. Ovo treba raditi u sprezi sa drugim procesima upravljanja poslovanjem. organizacione strukture kao i softverske i hardverske funkcije. preispitivati i poboljšavati. kako bi se u organizaciji osiguralo ispunjavanje specifičnih sigurnosnih i poslovnih ciljeva. Sigurnost informacija se postiže implementacijom pogodnog skupa kontrola. Pod kontrolom podrazumevamo zaštitinu meru koju neka organizacija primenjuje radi eliminisanja ili smanjivanja rizika po sigurnost informacija. procese. na minimum sveo rizik u poslovanju i na maksimum povisio prihod od investicija i povoljnih poslovnih prilika. nadgledati. implementirati. procedure. 15   . Ove kontrole treba uspostaviti. Sigurnost informacija predstavlja zaštitu od širokog opsega pretnji kako bi se osigurao kontinuitet poslovanja.

Mnogi informacioni sistemi nisu projektovani tako da budu sigurni. kao minimum se zahteva učešće svih zaposlenih u organizaciji. Takođe mogu biti potrebni 16 specijalistički saveti izvan organizacije. Sigurnost koja se može ostvariti tehničkim sredstvima je ograničena. i treba da bude podržana odgovarajućim upravljanjem i procedurama. špijuniranje. isporučilaca. uključujući prevare uz korišćenje računara. trećih strana.Zašto je potrebna sigurnost informacija ?  Organizacije i njihovi informacioni sistemi i mreže suočavaju se sa pretnjama po sigurnost iz širokog opsega izvora. vandalizme. Za upravljanje sigurnošću informacija. Uzroci štete kao što su maliciozni kod. zahteva pažljivo planiranje i pažnju do detalja. provaljivanje u računare i napadi na informacione resurse postali su češći. ambiciozniji i usavršeniji.  . požare ili poplave. korisnika ili drugih spoljnih strana. To može takođe zahtevati učešće deoničara. sabotaže. Identifikovanje kontrola koje treba postaviti.

Prvi izvor se dobija na osnovu ocenjivanja rizika po organizaciju. verovatnoća njihovog pojavljivanja. vrednuje se ranjivost informacionog sistema i predviđaju se moguće posledice. uzimajući u obzir ukupnu poslovnu strategiju i ciljeve organizacije.Kako uspostaviti zahteve za sigurnost informacija ? Suštinsko je da organizacija identifikuje svoje zahteve za sigurnost. Kroz ocenjivanje rizika identifikuju se pretnje po imovinu. 17 . Postoje tri glavna izvora zahteva za sigurnost: 1.

ugovarači i davaoci usluga moraju da ispune. ciljeva i poslovnih zahteva za obradu informacija koje je neka organizacija razvila za podršku svom radu.2. 3. statutarni. Treći izvor čini poseban skup principa. njeni trgovinski partneri. 18 . kao i njihovo socijalno-kulturno okruženje. regulativni i ugovorni zahtevi koje neka organizacija. Drugi izvor čine zakonski.

 19 . kao i za implementaciju kontrola izabranih da bi štitile od tih rizika. Rezultati ocenjivanja rizika po sigurnost pomoći će u vođenju i utvrđivanju odgovarajuće akcije menadžmenta i prioritete kod upravljanja rizicima po sigurnost informacija.Ocenjivanje rizika po sigurnost  Zahtevi za sigurnost identifikuju se metodičkim ocenjivanjem rizika po sigurnost. Troškovi kontrola treba da su u ravnoteži sa štetom u poslovanju koja bi mogla nastati kao rezultat otkaza sigurnosti.

20 . Kontrole se mogu odabrati na osnovu ovog standarda ili iz drugih skupova kontrola. Izbor sigurnosnih kontrola zavisi od odluka same organizacije zasnovanim na kriterijumima za prihvatljivost rizika. kao i kada su donete odluke o postupanju sa rizicima. kao i na opštem pristupu upravljanju rizicima koji organizacija primenjuje. ili se mogu projektovati nove kontrole kao odgovarajuće da bi se zadovoljile specifične potrebe. a treba takođe da podleže svim odgovarajućim nacionalnim i međunarodnim zakonima ili uredbama. treba odabrati i implementirati odgovarajuće kontrole kako bi se osiguralo da se rizici smanje na prihvatljiv nivo. opcijama postupanja sa rizicima.Odabiranje kontrola  Kada su zahtevi za sigurnost i rizici identifikovani.

Polazna tačka u sigurnosti informacija  Mnoge od kontrola mogu se smatrati kao dobra polazna tačka za implementaciju sigurnosti informacija. b) zaštitu zapisa organizacije. 21    . zavisno od primenljivih zakona: a) zaštitu podataka i tajnost informacija o ličnosti. One se zasnivaju bilo na suštinskim pravnim zahtevima ili se smatraju za ustaljenu praksu u sigurnosti informacija. c) zaštitu prava na intelektualnu svojinu.  Kontrole koje se smatraju suštinskim za neku organizaciju sa zakonske tačke gledišta obuhvataju.

g) upravljanje pri incidentima narušavanja sigurnosti i poboljšanjima. b) raspodelu odgovornosti za sigurnost informacija. f) upravljanje kontinuitetom poslovanja. d) ispravno procesiranje u aplikacijama. obrazovanje i obuku o sigurnosti informacija. Kontrole koje se smatraju uobičajenom praksom u sigurnosti informacija obuhvataju: a) dokument o politici sigurnosti informacija. e) menadžment tehničkom ranjivošću. c) upoznavanje.        22 .

 vidljiva podrška i obavezivanje na svim nivoima rukovođenja. ciljevi i aktivnosti koje odražavaju poslovne ciljeve. održavanja. nadgledanja i unapređivanja sigurnosti koji je dosledan sa kulturom u organizaciji.Kritični faktori uspeha  Iskustvo je pokazalo da su za uspešnu implementaciju sigurnosti informacija unutar neke organizacije često kritični sledeći činioci:  politika sigurnosti informacija.  pristup i okvir implementacije.  dobro razumevanje zahteva za sigurnost informacija. 23 . ocenjivanje rizika i upravljanje rizicima.

implementacija sistema merenja koji se koristi za vrednovanje učinka u upravljanju sigurnošću informacija i povratni predlozi za poboljšanje. obezbeđivanje odgovarajućeg znanja. obezbeđenje sredstava za aktivnosti upravljanja sigurnošću informacija. uspostavljanje efikasnog procesa upravljanja pri incidentima narušavanja sigurnosti informacija.      efikasna promocija sigurnosti informacija kod svih rukovodilaca. zaposlenima i ostalim učesnicima. 24 . obrazovanja i obuke. radi adekvatne informisanosti. zaposlenih i ostalih učesnika. distribucija smernica politike sigurnosti informacija i standarda svim rukovodiocima.

9...80 82. 3404/43974..43:  ..32..58. ..9. 439740408082. 99:.8: 938257..:8.:8:7348931472.. 99:54/.8::8:7348931472.:  .39009:.3.2. .:8:7348931472.90.0 ..43809.  3080 ..9.3:8. 9.47.4/4-7.348931472..:-43.4-:.3.24:8082..4 3489 . .3.30: 47..2502039.83.8344/57203.!4.43.3.97.9. ..:8: 9382...54.:... 99:57..97..03:57. . 00/ 9.:89..97.9..3.

3..  :57. / 857.4 : 1 :57..  .3.8:7348931472.5.8:73489 54-4 . .... 0 203.::4- ..439740408082..4.2.087...4-:./0392.30573..: ../ 2039903 427. :543.30 4-7.32.3. /4:20394549.854/0:4/4...30:.34574.3...7..9.304-::48:73489 31472.......97.7: .304393:909425484. .842: 8:7348931472.473489.034257.8:7348931472.

9.54/7 .0.303.. .8:7348931472.4 03.3.0 4/7 ...90.8:7348931472.570 .3..30. 7:4.. .  4.0... /4-747.8:..3..30.:850 3:2502039....307...0.4054..947:850.42. 549.307.38.348940 4/7.4/.0 5789:54.23...4-.:20..:3:9..8.2.. .:9:742:47..730047.03.8:7348940 /480/..:57.3../0/.:3.3.  3.  ...72502039.0 0894 79 380/0  34.: 8:7348931472.79 31..:5484. 8:89./.

:57.4. ..83..4804789...2....7.3.304/4.3.3. 4-7..3:8:734 :31472.54908:7348931472. 89. 4-:0 :85489..: 03..27:4..4/.57 3.4/8.93570/4.7. 8:734 :31472.54803489.834574..82073. .: 083....930314728...3489:57..3..30: 3..7/./0392.4/4...3/.8:7348931472.. ...../0. 2502039.8..::57.57424.3489 /897-:.30  .2..9.70/34.01.8:7348931472.3001. 7:4.3. 7. 4-0-0 .08.54-4 ..548032.489...20703...3. 4-0-0 030870/89.2 : 083..88902. 54.7: ../ .

Sign up to vote on this title
UsefulNot useful