1 / 30

Pregled serije standarda ISO 27000

Pregled serije standarda ISO 27000. doc. dr.sc. Samir Lemeš Asocijacija za kvalitet u BiH. doc.dr.sc. Samir Lemeš, dipl.inž.maš. Doktor tehničkih nauka, Univerza u Ljubljani, 2010 Zaposlen na Univerzitetu u Zenici od 1996

thi
Download Presentation

Pregled serije standarda ISO 27000

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Pregledserijestandarda ISO 27000 doc.dr.sc. SamirLemeš Asocijacijazakvalitet u BiH

  2. doc.dr.sc. Samir Lemeš, dipl.inž.maš. • Doktor tehničkih nauka, Univerza u Ljubljani, 2010 • Zaposlen na Univerzitetu u Zenici od 1996 • Rukovodilac odsjeka za veze i kriptozaštitu u Centru službi bezbjednosti Zenica (1993-1996) • Predsjednik BAS/TC 1 (Bosanski standardi, Tehnički komitet 1 - Informacione tehnologije) • Autor zvaničnog prevoda standarda BAS ISO/IEC 17799:2006 "Informaciona tehnologija - Sigurnosne tehnike - Pravilo dobre prakse za upravljanje sigurnošću informacija" koji je zatim preimenovan u BAS ISO/IEC 27002:2007 • Sekretar Asocijacije za kvalitet u Bosni i Hercegovini • Član stručnog savjeta Akademske i istraživačke mreže BiH BIHARNET • Autor 11 knjiga, 44 naučna rada, 28 web portala,...

  3. Uvod u informacijsku sigurnostprema standardu BAS ISO/IEC 27001:2005 • Standardizacija • Uvod u informacijsku sigurnost prema standardu BAS ISO/IEC 27001:2005 • Potreba za uvođenje ISMS • PDCA ciklus ISMS • Historija standarda informacijske sigurnosti (ISMS) • Sadržaj i zahtjevi standarda ISO/IEC 27001:2005 • Serija standarda 27000 • Karakteristike pojedinih standarda iz serije 27000 • Svrha primjene standarda ISO/IEC 27001:2005 • Sadržaj i zahtjevi standarda ISO/IEC 27001:2005

  4. Standardizacija • Standardizacija je djelatnost uspostavljanja pravila za opću i višekratnu upotrebu, koje se odnose na postojeće ili moguće probleme, radi postizanja optimalnog stepena uređenosti u određenoj oblasti. • Standard je dokument za opću i višekratnu upotrebu, donesen konsenzusom i odobren od priznatog tijela, koji sadrži pravila, smjernice ili karakteristike aktivnosti ili njihove rezultate i koji ima za cilj postizanje optimalnog stepena uređenosti u datom kontekstu. • Standardi se moraju temeljiti na provjerenim naučnim, tehnološkim i iskustvenim rezultatima, a cilj im je dostizanje optimalnog napretka zajednice. (BAS EN 45020:2009, definicija 3.2). • U Bosni i Hercegovini, bosanskohercegovačke standarde (BAS) donosi Institut za standardizaciju BiH. Putem stručnih tijela, Institut donosi izvorne bosanskohercegovačke standarde te preuzima međunarodne i evropske standarde. • BAS donosi standarde putem stručnih tijela (tehničkih komiteta - TC)

  5. Standardizacija • Na osnovu Zakona o standardizaciji BiH, a prema Pravilniku o proceduri pripremanja, donošenja i objavljivanja bosanskohercegovačkih standarda, bosanskohercegovačke standarde priprema, izdaje i objavljuje Institut za standardizaciju BiH, na prijedlog tehničkih komiteta. • Bosanskohercegovački standardi (BAS standardi) mogu nastati na ova četiri načina: • preuzimanjem stranih (međunarodnih/evropskih/nacionalnih) standarda uz prevođenje na neki od službenih jezika u BiH (metoda prijevoda) • preuzimanjem stranih (međunarodnih/evropskih/nacionalnih) standarda na izvornom jeziku (metoda proglašavanja) • preuzimanjem stranih (međunarodnih/evropskih/nacionalnih) standarda na izvornom jeziku, sa nacionalnim predgovorom (metoda korica) • izradom izvornog BAS standarda • BAS TC1 • Tehnički izvještaj (TR) je dokument koji sadrži podatke različitih vrsta koji su publicirani u standardima ili tehničkim specifikacijama • DIS • FDIS

  6. Standardizacija • Tehnički komitet BAS/TC 1: Informaciona tehnologija • Područje rada: Priprema i utvrđivanje prijedloga bosanskohercegovačkih (BAS) standarda, preuzimanje međunarodnih i evropskih standarda te revizija postojećih važećih standarda iz područja informacione tehnologije, uključujući magnetne kartice i kartice s integralnim kolima, simbole pri kodiranju crticama (bar-kod), telematiku koja se primjenjuje u cestovnom prometu i transportu, zdravstvenu informatiku, skupove karaktera, inženjering informacionih sistema, te elektronsku razmjenu podataka. • Korespondentni evropski komiteti: CEN/TC 224, CEN/TC 251, CEN/TC 278, CEN/TC 287, CEN/TC 304, CEN/TC 353, CEN/ISSS • Korespondentni međunarodni komiteti: ISO/IEC JTC1, ISO/TC 211, ISO/TC 215

  7. Standardizacija • Međunarodni standardi se donose kroz 6 faza: • Faza prijedloga – ukoliko najmanje 5 članica ISO pristane da učestvuje u razvoju standarda, prijedlog standarda se usvaja. • Faza pripreme – radne grupe eksperata pripremaju nacrt (Working Draft), koji se zatim šalje odgovarajućem tehničkom komitetu. • Kad se postigne konsezus u TC, standarda prelazi u fazu DIS (Draft International Standard) • DIS se upućuje na raspravu svim članicama ISO, i nakon toga postaje FDIS (Final Draft International Standard) • FDIS se zatim upućuje na glasanje (yes/no) • FDIS koji je usvojen se zatim publikuje kao međunarodni standard • Tehnički izvještaj (TR) je dokument koji sadrži podatke različitih vrsta koji su publicirani u standardima ili tehničkim specifikacijama

  8. Uvod u informacijsku sigurnostprema standardu BAS ISO/IEC 27001:2005 • Informacija je imovina koja je, kao i druga važna poslovna imovina, nužna za poslovanje organizacije, te se stoga mora na odgovarajući način zaštititi. • To je posebno važno u poslovnom okruženju koje je sve više međusobno povezano. Kao rezultat te rastuće međusobne povezivosti, informacije su sada izložene rastućem broju i širem rasponu prijetnji i ranjivosti. • Bez obzira na oblik u kojem se nalaze, ili na sredstvo pomoću kojeg se dijele ili pohranjuju, trebaju uvijek biti zaštićene na odgovarajući način.

  9. Uvod u informacijsku sigurnostprema standardu BAS ISO/IEC 27001:2005 • C-I-A: Confidentiality - Integrity - Availability • Sigurnost informacija se u standardu predstavlja kao očuvanje: • povjerljivosti (tajnosti): osiguranje da su informacije dostupne samo onima kojima je dopušten pristup; • integriteta: očuvanje tačnosti i kompletnosti informacija i metoda za obradu; • dostupnosti (raspoloživosti): osiguranje da ovlašteni korisnici imaju pristup informacijama i imovini koja je u vezi s njima, onda kada se to zahtijeva. • Sigurnost informacija se postiže implementacijom odgovarajućeg seta kontrola, koje mogu biti načela, prakse, procedure, organizacione strukture i softverske funkcije. • Te kontrole treba uspostaviti da bi se obezbijedilo poštivanje specifičnih sigurnosnih ciljeva te organizacije.

  10. Potreba za uvođenje ISMS • U modernom, povezanom svijetu, informacije i za njih vezani procesi, sistemi i mreže predstavljaju kritičnu poslovnu imovinu. • Organizacijei njihovi informacioni sistemi i mrežeizloženi su sigurnosnim prijetnjama iz širokog spektra izvora, uključujući i računarske prevare, špijunažu, sabotaže, vandalizam, požare i poplave. Prijetnje informacionim sistemima i mrežama uzrokovane zlonamjernim kodom, hakingom i napadima uskraćivanjem usluga postaju sve češće, sve ambicioznije,i sve sofisticiranije. • Sistem za upravljanje sigurnošću informacija (ISMS: Information Security Management System) pruža model za uspostavljanje, implementaciju, korištenje, nadzor, reviziju, održavanje i unapređenje zaštitu informacija, s ciljem postizanja ciljeva poslovanja, na osnovu procjene rizika i nivoa prihvatljivih rizika u organizaciji. • ISMS mora odražavati interese i zahtjeve informacijske sigurnosti svih zainteresiranih strana, uključujući kupce, dobavljače, poslovne partnere, suvlasnike i druge relevantne treće strane.

  11. Potreba za uvođenje ISMS • Potpuni prelazak na elektronsku obradu podataka, jačanje udjela elektronske trgovine te višestruki kanali elektronskog prikupljanja i distribucije podataka utječu na porast broja sigurnosnih incidenata. • Niz informacija koje se nalaze unutar informacijskog sistema organizacije često predstavljaju poslovne tajne od suštinske važnosti za organizaciju • Primjer 1: Ako se onemogući protok informacija u organizaciji – koliko dugo će ta organizacija funkcionirati? • Primjer 2: Nesvjesno koristite netačne podatke. Kako na osnovu njih možetete donositi strateške i operativne odluke za poslovanje? • Primjer 3: Do vaših poslovnih planova može doći bilo ko, pa i konkurencija. Koliko takva organizacija ima budućnosti? • Odgovore na sva ta pitanja prvenstveno daje sistem za upravljanje informacijskom sigurnošću (ISMS) zasnovan na seriji standarda ISO/IEC 27000.

  12. PDCA ciklus ISMS • Efikasno poslovanje se zasniva na identifikaciji i upravljanju niza aktivnosti. Pojam procesa predstavlja upravljanje nizom aktivnosti koje koriste resurse kako bi se transformisao ulaz u izlaz. • Primjena sistema procesa u organizaciji, s identifikacijom i interakcijama tih procesa, kao i njihovo upravljanje naziva se procesnim pristupom. • Procesni pristup za ISMS prema ovom setu standarda zasnovan je na principu jedinstvenom za sve ISO standarde za upravljanje sistemima: Plan-Do-Check-Act (PDCA). • Planiraj – uspostavi ciljeve i planove (analiziraj stanje, uspostavi ciljeve i razvij planove za ostvarenje tih ciljeva); • Uradi – implementiraj planove (uradi planirano); • Provjeri – izmjeri rezultate (koliko su planovi ostvareni); • Djeluj – koriguj i unaprijedi aktivnosti (nauči iz grešaka kako bi se postigli bolji rezultati).

  13. PDCA ciklus ISMS Dizajniranje ISMS (procjena rizika, otklanjanje rizika, izbor kontrola…) Ažuriranje i unapređenje ISMS (unapređenje ili implementacija novih kontrola, politika, procedura, …) Implementacija i upotreba ISMS (implementacija i testiranje kontrola, politika, procedura, procesa …) Praćenje ISMS (incidenti, promjene, ponovna procjena rizika, auditi …) Implementacija procesa upravljanja rizicima da bi se postigao efikasan ISMS kroz proceskontinuiranih unapređenja

  14. Historija standarda informacijske sigurnosti • Serija standarda ISO/IEC 27000 daje smjernice i dobre prakse za dizajniranje, implementaciju i audit sistema za upravljanje sigurnošću informacija (ISMS)s ciljem zaštite povjerljivosti, integriteta i dostupnosti informacija. • Standardi su potekli iz Velike Britanije, u DTI (Department of Trade and Industry), s ciljem definisanja kriterija za procjenu informacijske sigurnosti i kreiranja pravila dobre prakse (Code Of Good Practice). • 1995. godine usvojen prvi standard, BS 7799, koji krajem 2000. godine postaje ISO/IEC 17799. Taj standard je revidiran 2005. godine. • Nakon toga je ISO komitet JTC1/SC27 pokrenuo razvoj i usvajanje serije standarda 27000. • 1998. godine BSI je izdao drugi dio standarda, BS7799-2, koji je sadržao specifikacije ISMS, a koji je kasnije postao ISO/IEC 27001 • 2007. godine je ISO/IEC 17799 preimenovan u ISO/IEC 27002

  15. Serija standarda informacijske sigurnosti

  16. Serija standarda informacijske sigurnosti

  17. Serija standarda informacijske sigurnosti

  18. Serija standarda informacijske sigurnosti

  19. ISO/IEC 27000:2009 • Information technology - Securitytechniques - Information securitymanagement systems - Overview andvocabulary • Pregled sistema za upravljanje sigurnošću informacija, i terminologija • Obuhvata: • Presjek kroz ISMS seriju standarda; • Uvod u sisteme za upravljanje sigurnošću informacionih sistema (ISMS); • Kratak opis PDCA (Plan-Do-Check-Act) procesa; i • pojmove i definicije koji se upotrebljavaju u ISMS seriji standarda. • Ovaj međunarodni standard se primjenjuje u svim vrstama organizacija (npr. komercijalna preduzeća, vladine agencije, neprofitne organizacije, obrazovne ustanove, uslužna i proizvodna preduzeća, velike kompanije, mala i srednja preduzeća).

  20. ISO/IEC 27001:2005 • Information technology - Securitytechniques - Information securitymanagement systems - Requirements • Specificira zahtjeve za uspostavljanje, implementaciju, upotrebu,monitoring, reviziju, održavanje i unapređenje formaliziranih sistema za upravljanje sigurnošću informacija u kontekstu ukupnih rizika poslovanja organizacije. • Obezbjeđuje normativne zahtjeve za razvoj i upotrebu ISMS, uključujući i set kontrola i za provjeru i smanjenje rizika u vezi s informacijama koje organizacija želi zaštititi. • Aneks A - Ciljevi kontrola i kontrole. • Aneks B - OECD principi i ovaj standard. • Aneks C - Poređenje ISO 9001:2000, ISO 14001:2004 i ovog standarda.

  21. ISO/IEC 27002:2005 • Information technology -- Security techniques -- Information security management system implementation guidance • Preimenovani standard ISO/IEC 17799 • Katalog pravila dobre prakse za upravljanje sigurnošću informacija • Sugeriše set holističkih kontrola • Nije standard za certificiranje ili audit • Trenutno se revidira(2013?) 27002

  22. ISO/IEC 27002:2005 izvor: www.iso27001security.com

  23. ISO/IEC 27003:2010 • Information technology -- Security techniques -- Information security management system implementation guidance • Vodič za implementaciju zahtjeva koji su definisani u 27001 • Opisuje procese specifikacije i dizajna ISMS od odluke o uvođenju ISMS do kreiranja planova za implementaciju, odnosno aktivnosti pripreme i planiranja prije stvarne implementacije. • Sadržaj standarda: • Pribavljanje odobrenja menadžmenta za uvođenje ISMS • Definisanje sadržaja ISMS, područja primjene i politika ISMS • Analiza zahtjeva za sigurnost informacija • Provođenje procjene rizika i planiranje otklanjanja rizika • Dizajniranje ISMS

  24. ISO/IEC 27004:2009 • Information technology -- Security techniques -- Information security management -- Measurement • Smjernice za mjerenje sistema sigurnosti s ciljem podrške mjerenju efikasnosti zahtjeva iz 27001 • Opisuje šta, kako i kada treba mjeriti. • Sadržaj: • Pregled mjerenja sigurnosti informacija • Odgovornosti menadžmenta • Mjere i razvoj mjerenja • Provođenje mjerenja • Analiza podataka i izvještavanje o rezultatima • Evaluacija i unapređenje programa mjerenja sigurnosti informacija.

  25. ISO/IEC 27004:2009

  26. ISO/IEC 27005:2011 • Information technology -- Security techniques -- Information security risk management • Smjernice za upravljanje rizicima ISMS kako bi se poružila podrška procjeni rizika, otklanjanju rizika i upravljanju rizicima, kao i izboru kontrola prema zahtjevima iz 27001 • Detaljne smjernice za implementatore ISMS, menadžere rizika, sigurnosno osoblje,... • Kvalitativne i kvantitativne analize • Ne pokriva praćenje i reviziju rizika • Zamijenio ISO/IEC 27005:2008

  27. ISO/IEC 27006:2011 • Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems • Zahtjevi za akreditiranje ISMS • Specifični zahtjevi ISMS kako bi se zadovoljili opšti zahtjevi iz standarda ISO 17021-1 (International Standards and Guides - Management System Certification) • Definiše kompetencije i pouzdanost tijela koja vrše certifikaciju i registrovanje ISMS • Pojam "Shall"se koristi da označi obavezne zahtjeve iz ISO/IEC 17021, ISO/IEC 27001, ili zahtjeva koji proističu iz njihovog kombinovanja. • Pojam "Should"se koristi kao smjernica, odnosno priznato sredstvo za ispunjavanje zahtjeva. • Zamijenio ISO/IEC 27006:2007

  28. ISO/IEC 27007:2011 • Information technology — Security techniques — Guidelines for information security management systems auditing • Smjernice za interni i eksterni audit ISMS u skladu sa ISO/IEC 27001 • Smjernice za kompetentnost i evaluaciju ISMS auditora, u skladu sa smjernicama iz ISO 19011:2011 • Ne određuje zahtjeve. • Namijenjen je svim vrstama organizacija, uključujući i MSP • ISO 19011 (Guidelines for auditing management systems)daje smjernice za provođenje programa audita, provođenje internih i eksternih audita sistema upravljanja, kao i za kompetentnost i evaluaciju auditora sistema upravljanja.

  29. Svrha primjene standarda ISO/IEC 27001 • Formulisanje sigurnosnih zahtjeva i ciljeva u organizaciji • Osiguranje da se rizicima može efikasno i ekonomično upravljati • Osiguranje usklađenosti sa zakonima i pravilima • Okvirni proces za implementaciju i upravljanje kontrolama da bi se postigli specifični ciljevi sigurnosti organizacije • Definisanje novih procesa za upravljanje sigurnošću informacija • Određivanje statusa aktivnosti upravljanja sigurnošću informacija • Interni i eksterni auditi s ciljem demonstriranja usvojenih politika, direktiva i standarda sigurnosti informacija, te utvrđivanja stepena usklađenosti s tim politikama, direktivama i standardima • Implementacija poslovanja s implementiranom sigurnošću informacija • Obezbjeđenje relevantnih informacija kupcima o sigurnosti informacija

  30. Sadržaj i zahtjevi standarda ISO/IEC 27001 • Uvod • Predmet • Normativne reference • Nazivi i definicije • Sistem upravljanja informacijskom sigurnošću • Odgovornost uprave • Interni auditi ISMS • Provjera ISMS od strane uprave • Poboljšanje ISMS • Aneks A (normativni) Ciljevi kontrola i kontrole • Aneks B (informativni) OECD principi i ovaj međunarodni standard • Aneks C (informativni) Podudarnosti između ISO 9001:2000, ISO 14001:2004 i ovog međunarodnog standarda

More Related