Upload
dragan-zivkovic
View
37
Download
9
Embed Size (px)
DESCRIPTION
razvoj
Citation preview
PROJEKTOVANJE MENADMENT
SISTEMA ZATITE INFORMACIJA
Razvoj menadment sistema zatite
informacija (ISMS-a)
- ISO 27001:2005 -
Sadraj
Standardi za menadment sistem zatite
informacija:
ISO 17999:2005 (BS 7799-1) i
ISO 27001:2005 (BS 7799-2)
Sadre proirljivu kolekciju mera koje
zadovoljavaju zahteve najbolje prakse zatite informacija
Univerzitet Singidunum
Tehniki fakultet
2
ISMS
Standard ISO 17799:2005 (ISO/IEC 27002:2007):
specificira mere najbolje prakse zatite
informacija.
Standard ISO 27001:2005:
formira bazu za procenu ISMS-a koja se
moe usvojiti za formalnu proceduru za sertifikaciju.
Univerzitet Singidunum
Tehniki fakultet
3
Primer: Evolucija ISMS-a
ISO/IEC 27002:2007 ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
4
Primer: Razvoj ISO standarda zatite informacija
Dinamika razvoja ISO 27001 i ISO 27002 standarda
Univerzitet Singidunum
Tehniki fakultet
5
Struktura ISO 27001:2005
ISO/IEC 27001 - Uvod
Standard ISO/IEC 27001 Menadment sistem
zatite informcija - Specifikacija smernica za
upotrebu obuhvata:
pitanja bazinog menadment sistema i
obezbeuje model za implementaciju i upravljanje
efektivnog ISMS-a
Tok procesa ISMSUniverzitet Singidunum
Tehniki fakultet
6
Kljune oblasti ZAHTEVA STANDARDA:
1. Menadment sistem zatite informacija (ISMS)
(poglavlje 4)
2. Odgovornosti menadmenta (poglavlje 5)
3. Interna provera (audits) ISMS-a (poglavlje 6)
4. Menaderski pregled ISMS-a (poglavlje 7)
5. Poboljanje ISMS-a (poglavlje 8)
ISO/IEC 27001:2005
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
7
Standard sadri tri aneksa:
A: Ciljevi i mehanizmi kontrola zatite
Anex A ISO 27001
B: OECD-principi i ISMS standard
Anex A ISO 27001
C: Komparativna analiza ISO 9001 i 14001
Anex A ISO 27001
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
8
ISMS - Plan-Do-Check-Act model procesa
Model procesa PDCA(Planiraj, Primeni, Proveri, Poboljaj):
deo pristupa menadment sistemu za razvoj,
implementaciju i neprekidno poboljanje ISMS-a
predstavlja najznaajniju sutinsku promenu u
revidiranoj verziji ISO/IEC 27001:2005
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
9
ISMS - Plan-Do-Check-Act
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
10
1. PDCA - Faza Planiranja ISMS-a
Kljuni procesi ISMS faze planiranja su:
Uspostavljanje politike zatite
Odreivanje strategijskih ciljeva zatite
Implementacija procesa i akcija relevantnih
za menadment rizika
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
11
2. PDCA - Faza Primene ISMS-a
Kljuni procesi faze primene je:
Implementacija politike zatite
Implementacija kontrola zatite
Integracija procesa i akcija za kontrolu
ISMS-a
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
12
3. PDCA Faza Provere ISMS-a
Kljuni procesi faze provere su:
procena procesa zatite i (po potrebi)
merenje performansi procesa zatite u
poreenju sa:
politikom zatite,
ciljevima zatite i
steenim praktinim iskustvima
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
13
4. PDCA - Faza Poboljanja ISMS-a
Kljuni procesi faze delovanja su:
monitoring i odravanje
neprekidno poboljanje ISMS-a
preduzimanje korektivnih mera
preduzimanje preventivnih mera, na
bazi interne i menaderske provere.
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
14
Provera usaglaenosti i sertifikacija
Proces provere usaglaenosti za
dobijanje ISO/IEC 27001:2005
sertifikata je strogo regulisan
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
15
ISMS sertifikacija
Sertifikaciju mogu izvoditi samo posebno
akreditovana sertifikaciona tela
Akreditaciju sertifikacionih tela u EU daju: nacionalna akreditaciona tela
u skladu sa EA 7/03 Evropske kooperacije
za akreditaciju
Primer: TGA u Nemakoj; TV Thringen Nemaka, od 31.12.2006.
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
16
ISMS akreditacija
Nacionalna tela za akreditaciju sklapaju:
uzajamne sporazume o priznavanju
izdatih sertifikata u drugim zemljama
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
17
Po pravilu procena ISMS-a treba da se
izvri barem u dva koraka:1. Interna provera2. Sertifikaciona provera
Struktura ISO 27001:2005
Procena metodi provere ISMS-a
Univerzitet Singidunum
Tehniki fakultet
18
Pregled dokumenata pre provere nalokaciji
Ciljevi provere u koraku 1:
identifikovati kljune take za planiranje
provere u koraku 2
definisati obim ISMS sertifikacije
Korak 1: Provera
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
19
Osnovni uslov za sertifikaciju: da je ISMS ve implementiran, barem 6
meseci
Aktivnosti u koraku 2 provere: Definisati plan provere 2 na bazi rezultata
provere u koraku 1
Proveru uvek izvriti na lokaciji klijenta
Korak 2: Sertifikaciona provera (audit)
Struktura ISO 27001:2005
Univerzitet Singidunum
Tehniki fakultet
20
Struktura ISO 27001:2005
Zahtevi za proveravaePored optih zahteva, proveravai treba da ispune sledee kvalifikacije:
univerzitetsku diplomu ili veliko radno
iskustvo sa naprednom profesionalnom
obukom
sa najmanje 4 godine iskustva punog radnog
vremena u IKT sistemima i
najmanje 2 godine iskustva u oblasti zatite
Univerzitet Singidunum
Tehniki fakultet
21
Struktura ISO 27001:2005
Anex A: Kontrole zatite
Standard sadri 39 familija i 134 kontrole zatite
ISO/IEC 27001 nudi 134 kontrole u Annex A: Kontrole koje se odnosne na IT: 46%
Kontrole koje se odnose na organizaciju i dokumentaciju: 30%
Kontrole koje se odnose na fiziku zatitu: 9%
Kontrole koje se odnose na zakonsku zatitu: 6%
Kontrole koje se odnose na snabdevae i ponaanja: 5%
Kontrole koje se odnose na personalnu zatitu: 4%
ISO/IEC 27001 - za izradu politike i procedura zatite:
ciljevi kontrole indiciraju namenu
detalji kontrole generiu saoptenja politike i detalje procedura
za postizanje te namene
Univerzitet Singidunum
Tehniki fakultet
22
Komplementarnost sa drugim standardima
Svaki meunarodni ili nacionalni standard najbolje prakse:
nije sam dovoljan za specifinu organizaciju i kontekst
zahteva prilagoavanje specifinim uslovima
zahteva uvoenje komplementarnih standarda
ISO/IEC 27001 za ISMS komplementaran je sa:
ISO/IEC 9001:2000 za menadment kvaliteta i
ISO/IEC 14001 za upravljanjem ivotnom okolinom
Anex C ISO 27001
ISO/IEC 21827 (SSE CMM) - zrelosti procesa zatite,
ISO/IEC 13335 i NIST SP serije
Tabela DUniverzitet Singidunum
Tehniki fakultet
23
Komplementarnost sa drugim standardima -1
ISO/IEC 27001 je harmonizovan sa drugim
menadment sistemima sa ciljem:
konzistentne i integrisane implementacije i
rada menadment sistema organizacije
Primena ISMS standarda sa drugim menadment
standardima u organizaciji zahteva:
program usaglaavanja menadment sistema
u jedan menadment sistem:
TQM (Total Quality Management) sistem
Univerzitet Singidunum
Tehniki fakultet
24
Primer: Komplementarnost PDCA sa drugim standardima
Primena
Poboljanje
Univerzitet Singidunum
Tehniki fakultet
25
Struktura ISO/IEC 27002:2005
ISO/IEC 27002:2005 - Code of Practice for Information
Security Management:
meunarodno priznate smernice za menadment sistem
zatite informacija (ISMS)
sadri skup preporuka za procedure i metode najbolje
prakse zatite (ve dokazne u praksi)
obezbeuje uvid u kontrole za zatitu informacione imovine
ne ukljuuje KAKO se kontrole primenjuju
procedure za implementaciju kontrola zatite:
zadatak svake organizacije,
zavisi od konteksta, fizikog i tehnikog okruenja
ISO27k ISO IEC 27002 outlineUniverzitet Singidunum
Tehniki fakultet
26
Struktura ISO/IEC 27002:2005
Usaglaenost politike zatite sa poslovnim ciljevima i
misijom organizacije
Akcije usaglaene sa kulturom rada organizacije
Obezbeena podrka menadmenta organizacije
Dobro razumevanje bezbednosnih zahteva, procene
rizika i menadmenta rizika
Efektivni marketing zatite informacija za poveanje
svesti o potrebi i osetljivosti informacione imovine
Faktori uspeha implementacije ISMA-a:
Univerzitet Singidunum
Tehniki fakultet
27
Struktura ISO/IEC 27002:2005
Svi relevantni uesnici su upoznati sa tekuim
smernicama i regulativama zatite informacija
Budet za menadment sistem zatite informacija
postoji
Izvrena obuka svih relevantnih uesnika
Uspostavljen efektivan proces za menadment
kompjuterskog incidenta
Postoji sistem za rangiranje i poboljanje ISMS-a
Faktori uspeha implementacije ISMA-a(1):
Univerzitet Singidunum
Tehniki fakultet
28
Struktura ISO/IEC 27002:2005
ISO 27002 sadri 12 sekcija ciljeva i 137 kontrola zatite:1. procena i tretmana rizika (2)*
2. politika zatite (1) 2 kontrole zatite
3. organizacija zatite informacija (2) -11 kontrola zatite
4. menadment imovine organizacije (2) 5 kontrola zatite
5. zatita ljudskih resursa (3) 9 kontrola zatite
6. fizika zatita i zatita okruenja (2) 13 kontrola zatite
7. menadment komunikacija i operacija zatite (10) 32 kontrole z.
8. kontrola pristupa (7) 25 kontrola zatite
9. akvizicija, razvoj i odravanje IKT sistema (6) 16 kontrola zatite
10. menadment bezbednosnog incidenta (2) 5 kontrola zatite
11. menadment kontinuiteta poslovanja (1) 5 kontrola zatite
12. usaglaenost (3) 10 kontrola zatite
(*) broj ciljeva zatite u poglavlju
Svako cilj zatite ime odreeni broj kontrola zatiteUniverzitet Singidunum
Tehniki fakultet
29
Primer: Struktura standarda ISO 27002:2005 Sadri 11 oblasti upravljanja sa 39 ciljeva zatite
Univerzitet Singidunum
Tehniki fakultet
30
Struktura ISO/IEC 27002:2005
2. Politika zatite informacija Slui za uspostavljanje strateke orijentacije i
dokumentacije menaderske podrke u odnosu na sve
faktore (komponente) informacione bezbednosti
Dokument politike pisan razumljivim jezikom na
visokom nivou apstrakcije
Politika - koncizna i usmerena na ciljne grupe
korisnika
Menaderska kontrola politike
1. Procena i tretman rizika (polazni zahtev)
Prema standardu ISO/IEC 27005
Univerzitet Singidunum
Tehniki fakultet
31
Struktura ISO/IEC 27002:2005
3. Organizacija informacione bezbednosti
Uspostavlja odgovarajui okvir za ISMS
(SMF) koji obezbeuje:
metode, procedure i procese za
inicijaciju, implementaciju odravanje i
monitoring sistema zatite informacija
organizacije
Univerzitet Singidunum
Tehniki fakultet
32
Struktura ISO/IEC 27002:2005
4. Menadment informacione imovine
Da bi se postigla adekvatna zatita
informacione imovine organizacije potrebno je:
jasno identifikovati kritinu i drugu
informacionu imovinu
izraditi inventar informacione imovine
Univerzitet Singidunum
Tehniki fakultet
33
Struktura ISO/IEC 27002:2005
5. Personalna zatita
Ova komponenta zatite slui za redukciju: rizika od ljudskih greaka
krae informacija ili
zloupotrebe IKT sistema
6. Fizika i zatita okruenja
Uspostavljanjem zona bezbednosti spreava se:
neovlaeni pristup
oteenje fizika imovine
oteenje i kraa informacija organizacije Univerzitet Singidunum
Tehniki fakultet
34
Struktura ISO/IEC 27002:2005
7. Menadment komunikacija i operacija
a) Obezbeuje bezbedno i korektno procesiranje
b) Menadment servisa koje izvravaju TTP
provajderi usluga
c) Minimizira rizike u sluaju kvara ili pada
sistema kroz planiranje i tehniku proveru
sistema
Univerzitet Singidunum
Tehniki fakultet
35
Struktura ISO/IEC 27002:2005
7. Menadment komunikacija i operacija (1)
d) Integracija zatite informacija i softvera
e) Integritet i raspoloivost IKT sistema kroz
pogodne procedure bekapovanja
f) Zatita informacija u mreama i mrenoj
infrastrukturi
Univerzitet Singidunum
Tehniki fakultet
36
Struktura ISO/IEC 27002:2005
7. Menadment komunikacija i operacija (2)
g) Spreavanje oteenja imovine i nefunkcionalnog
rukovanja medija
h) Spreavanje gubitka, izmene ili zloupotrebe
razmenjivanih informacija
i) Garantuje bezbednost servisa e-trgovine
j) Garantuje prepoznavanje neovlaenih aktivnosti
Univerzitet Singidunum
Tehniki fakultet
37
Struktura ISO/IEC 27002:2005
8. Kontrola pristupa
Ova komponenta zatite odnosi se na:
znaaj testiranja i monitoringa mera za
kontrolu pristupa informacijama i sistemima
bezbednost i zatitu od zloupotrebe internih
korisnika ili spoljnih napadaa
Univerzitet Singidunum
Tehniki fakultet
38
Struktura ISO/IEC 27002:2005
9. Akvizicija, razvoj i odravanje IKT sistema
Pre razvoja sistema za procesiranje informacija:
treba identifikovati i
usaglasiti bezbednosne zahteve
Univerzitet Singidunum
Tehniki fakultet
39
Struktura ISO/IEC 27002:2005
10.Menadment kompjuterskog incidenta
Menadment kompjuterskog incidenta treba da
sadri:
pogodne procese za izvetavanje, eliminaciju
i praenje kompjuterskog bezbednosnog
incidenta
zatitu dokaza o kompjterskom incidentu (?)
Univerzitet Singidunum
Tehniki fakultet
40
Struktura ISO/IEC 27002:2005
11. Menadment kontinuiteta poslovanja
Ova komponenta zatite treba da uspostavi:
preventivne i reaktivne mere zatite od
prekida poslovnih aktivnosti i kritinih poslovnih
procesa
zatitu od uticaja prekida aktivnosti i
vanrednih dogaaja
Univerzitet Singidunum
Tehniki fakultet
41
Struktura ISO/IEC 27002:2005
12. Usaglaenost
Ova oblast sistema zatite informaija obuhvata:
usaglaenost sa legalnim zahtevima
pregled kvaliteta politike zatite
uasaglaenost sa tehnikim standardima i
razmatranje revizije i sertifikacije sistema
Univerzitet Singidunum
Tehniki fakultet
42
ISO 27001 : ISO 27002
ISO/IEC 27001 predstavlja ISMS:
kako uspostaviti (procedure) menadment sistem zatite informacija
psvesti o potrebi zatite, organizacione infrastrukture, plana,
implementacije i odravanja kontrola zatite roces za uspostavljanje
nije skup procedura koje obuhvataju sve kontrole zatite
ISO/IEC 27002 predstavlja uputstvo za ciljeve i specifikaciju kontrola:
ta treba (tj., lista kontrola zatita) uraditi da se informacije zatite
retko organizacije trae sertifikaciju za ISO/IEC 27002
uobiajeno se sertifikuju za ISMS (ISO/IEC 27001)
Annex A ISO/IEC 27001 sadri iste kontrole zatite kao ISO/IEC 27002
samo sa skraenim opisom
Oba standarda implementirana zajedno dovode do ISMS sertifikacije
Univerzitet Singidunum
Tehniki fakultet
43
Zajednike karakteristike
standarda menadment sistema
Svi su zasnovani na angaovanju mendmenta
Definiu odgovornosti
Zahtevaju: kontrolu dokumenata
upravljanje zapisima
obuku
menadersku proveru (reviziju)
internu proveru
Univerzitet Singidunum
Tehniki fakultet
44
Zajednike karakteristike
standarda menadment sistema (1)
Korektivne i preventivne aktivnosti
Opti PDCA model za implementaciju i operativni rad
Procesi provere (audit) na bazi standarda ISO 19011:2002,
Guidelines on Quality and/or Environmental Management
System Audit
Zahtevi zasnovani na slinim standardima
Sertifikaciono telo odgovorno za verifikaciju kompetencija
proveravaa (auditor)
Univerzitet Singidunum
Tehniki fakultet
45
SMF - okvir menadmenta zatite informacija
ISMS preporuke treba prilagoavati konkretnoj organizaciji
Prvi korak je razvoj specifinog SMF-a (Security Management
Framework) organizacije koji:
Generie okvir za definisanje svih bezbednosnih pitanja organizacije
Obezbeuje nacrt za definisanje diskusija, planova implementacije, praenja i
izvetavanja svih pitanja zatite relevantnih za organizaciju
Promovie dobru industrijsku praksu
Obezbeuje usaglaavanje sa brojnim standardima kroz jednu inicijativu
Kao osnovu koristi ISO/IEC 27002 (ISO/IEC 27001 i ISO/IEC 27002 zajedno)
Moe da sadri po potrebi neto iz brojnih standarda zatite:
ISO, NIST, FIPS (Federal Information Processing Standards),
ENISA (European Network and Information Security Agency),
SarbanesOxley i HIPAA (Health Insurance Portability&Accountability Act)...
Univerzitet Singidunum
Tehniki fakultet
46
SMF - okvir menadmenta zatite informacija(1)
Uspostavlja bazu znaenja i namena termina, koncepata, uzoraka,
alate za analizu i izvetavanje
Obezbeuje bolje razumevanje naina upotrebe uprocesu razvoja i
odravanja ISMS-a.
sa dodacima ili modifikacijama za specifine potrebe organizacije.
Prednost :
jedinstveni okvir koji opisuje sva identifikovana bezbednosna razmatranja.
ne znai da organizacija obavezno treba da za svaki od njih implementira
zatitu
odluka o implementaciji zatite za elemenat iz SMF-a donosi se na bazi procene
rizika
Univerzitet Singidunum
Tehniki fakultet
47
Generiki proces uspostavljanja ISMS a
Tekue stanje (as-it-is) upravljanja rizikom zatite
informacija ukljuuje: procese otkrivanja, gap analiza i izvetavanje o nalazima
(sekcija 3. ISMS-a)
generisanje upitnika i templejta za prilagoavanje SMF-a
primenjuje se na PDCA faze planiranja i provere
Univerzitet Singidunum
Tehniki fakultet
48
Generiki proces uspostavljanja ISMS a (1)
Planirano stanje upravljanja rizikom (as-to-be):
obezbediti kombinacijom ISO/IEC 27001 i 27002
u fazi planiranja
izradu SMF-a treba poeti sa ISO 27002 i drugim
standardima zatite (sekcija 3. ISMS-a)
definisati bezbednosne ciljeve (sekcije 4 - 8 ISMS)
Univerzitet Singidunum
Tehniki fakultet
49
Generiki proces uspostavljanja ISMS a (2)
Komparativna gap analiza stanja as-to-be i as-to-is
Plan tranzicije sa as-to-is na as-to-be:
Baziran na SMF i detaljima razlike as-to-be i as-to-is stanja
Ukljuuje detalje kako prei od stanja as-to-is u stanje as-to-be
Projekat moe obuhvatiti vie od jednog ciklusa finansiranja
Zahteva prioritete akcija za smanjenje najveeg rizika
Poglavlje 4. Implementacija ISMS-PDCA, daje detalje za
dostizanje zahteva ISMS-a
Moe proizvesti sledea dokumenta:
formalnu izjavu o bezbednosnim ciljevima,
model trokova i WBS - (work breakdown structure)
ugovor o visini usluga - SLA
Primenljiv je u PDCA fazi primene (do) i poboljanja (act)
Univerzitet Singidunum
Tehniki fakultet
50
Operativni rad i odravanje
Primenljiv u PDCA fazama provere (C) i
poboljanja (A)
Podrava tekui ISMS, ukljuujui periodinu
reviziju definicije as-to-be na bazi:
standarda ISO/IEC 27001 i 27002
promena novih regulativa, ugovora, okruenja
Proizvodi metriku performansi u odnosu na
SLA i mnogo izvetaja (log, incidenti, analiza)
Univerzitet Singidunum
Tehniki fakultet
51
Zakljuak
Standardi ISO/IEC 27001 i 27002 razvijeni su iz BS 7799:
Deo 2 i Deo 1, respektivno.
Standard ISO/IEC 27001 formira bazu za procenu ISMS-a
koja se moe usvojiti za formalnu proceduru za
sertifikaciju.
Standard ISO/IEC 27001 je menadment sistem zatite
informcija (ISMS) i specifikacija smernica za primenu
Standard ISO/IEC 27002 specificira mere najbolje prakse
zatite informacija (kontrole zatite).
Standard ISO/IEC 27002 sadri 12 oblasti projektovanja
sistema zatite sa 39 ciljeva zatite i 137 kontrola zatite
Univerzitet Singidunum
Tehniki fakultet
52
Pitanja ?