Click here to load reader
Upload
dragan-zivkovic
View
50
Download
4
Embed Size (px)
DESCRIPTION
isms
Citation preview
PROJEKTOVANJE MENADMENT SISTEMA ZATITE INFIORMACIJA
Tema 7:Plan implementacije ISMS-a
ISO/IEC 27001:2005 standard
PDCA faza planiranja
SADRAJ
Kritini faktori uspeha ISMS-a PDCA (Plan, Do, Check, Act) model
PDCA=PPPP PPPP- Priprema, Primena, Provera, Poboljanje
Priprema (planiraj, uspostavi ISMS)
Primena (implementiraj i koristi ISMS)
Provera (monitorii i pregledaj ISMS)
Poboljanje (odravaj i poboljavaj ISMS)
PPPP faza planiranja ISMS-a Izrada politike zatite/ISMS politike
Univerzitet Singidunum
Tehniki fakultet
2
Zato je potrebna zatita infomacija?
Poslednji podaci napada, tete (2012.g.):
Trojanci
Rutkit tehnike
Stuxnet
Virusi i crvi
Kraa identiteta (fiing, farming)
Kraa bankarskih podataka korisnika
Botnet
Internet pijunaa
Informaciono ratovanje
Univerzitet Singidunum
Tehniki fakultet
3
Planiranje ISMS implementacije Proces zatite informacija ima ponovljiv ivotni ciklus kroz 4 faze
PPPP- Priprema, Primena, Provera, Poboljanje
PPPP model procesa obezbeuje aktivnosti za:
pripremu (planiranje i uspostavljaje) - Plan,
primenu (implementaciju) - Do,
proveru (monitoring i pregled) - Check i
poboljanje (odravanje i poboljanje) ISMS-a u kontinualnom ciklusu Act i
balans menadmenta rizika sa operativnim ciljevima organizacije
Univerzitet Singidunum
Tehniki fakultet
4
Primer: Kritini faktori uspeha ISMS-a
Kada se donese odluka za implementaciju ISMS-a, treba uzeti u obzir neke kritine
faktore uspeha implementacije ISMS-a
Univerzitet Singidunum
Tehniki fakultet
5
Kritini faktori uspeha ISMS-a - opis
Angaovanje i smernice menadmenta:
Ciljevi menadmenta ISMS-a, namena ISMS-a;
ISMS ciljevi treba da budu opisani u poslovnim terminima
razumljivim za menadment
Menadment treba da bude regularno informisan o statusu ISMS
activnosti i ukljuen u donoenje odluka (ako nije - prioriteti se
mogu pomeriti na operativne probleme)
Finansijska razmatranja:
Alokacija resursa za implementaciju ISMS;
Rizici od ne odravanja strategije zatite;
Monitorisanje SROI, im se ISMS implementira i pone odravanje
SROIUniverzitet Singidunum
Tehniki fakultet
6
Kritini faktori uspeha ISMS opis 1
Organizacija zatite informacija
defiisanje strategije IKT sistema i manadmenta rizika
opis uloga i odgovornosti
Specifikacija aktivnosti domena
zakoni i regulative okruenje
industrijski standardi
Menadment rizika
rizici u obimu ISMS-a treba da budu definisani, da bi se
primenile odgovarajue mere za ublaavanje na
prihvatljiv nivo odobren od strane menadmenta
Ukljuivanje relevantnih uesnikaUniverzitet Singidunum
Tehniki fakultet
7
Zbirni pregled kritinih faktora uspeha ISMS-a
1. Ukljuivanje glavnog menadmenta (npr. UO)
2. Eksplicitna podrka glavnog menadera (npr. pisani
dokument koji jasno navodi da je usaglaenost sa
ISO/IEC 27001 strategijska odluka organizacije)
3. Smernice politike zatite organizacije, koje preporuuju
PPPP pristup
4. Jasno artikulisani bezbednosni zahtevi, koji odraavaju
poslovne potrebe
5. Usaglaenost politike zatite sa misijom i poslovnim
ciljevima organizacije
Univerzitet Singidunum
Tehniki fakultet
8
Zbirni pregled kritinih faktora uspeha ISMS-a -1
6. Sporazum sa menadmentom o procesu implementacije
ISMS-a
7. Uspostavljanje menadera zatite informacija za ISMS i
sertifikaciju
8. Uspostavljanje tima za zatitu informacija
9. Obezbeivanje razvoja svesti o potrebi zatite, obuke i
obrazovanja
10.Uspostavljanje metrike i sistema merenja za evaluaciju
performansi ISMS-a
11.Generisanje izvetaja za menadment, sa teitem na
nove vrednosti.
Univerzitet Singidunum
Tehniki fakultet
9
Faze i aktivnosti PDCA modela
PLAN - Planiraj Analiza poslovanja
Procena rizika
Gap analiza
SoA (izjava o primenljivosti)
Politika zatite informacija
DO - Primeni Plan tretmana rizika
Standardi i procedure IS
ISMS kontrole zatite
Plan implementacije
Obuka i svest o potrebi z.
Menadment incidenta
CHECK - Proveri Monitoring
Merenja ISMS-a
Interna provera ISMS-a
Menaderska revizija ISMS-a
ACT - Poboljaj Identifikacija neusaglaenosti
Merenja plana &
implementacije
Testiranje, monitoring &
rezultati komunikacije
Preventivne i korektivne
(procedure) akcije
Univerzitet Singidunum
Tehniki fakultet
10
Planiranje ISMS-a
Priprema plana ISMS-a u fazama PDCA:
Do Plan implementacije i praenje projekta
Check Revizija performansi i postizanje ciljeva monitoringa
Act Razreavanje moguih slabosti i poboljanje
Mogua integracija sa drugim menadment sistemima
implementiranim u organizaciji
Primer 1: menadment sistem kvaliteta, TQM;
Identifikovanje zajednikih elemenata koji su ve
implementirani
Primer 2: timovi za menadment, potrebni materijali;
Gap analiza sa zahtevima za bezbednost informacija;
Prilagoavanje postojeih elemenata za ISO/IEC 27001
usaglaenostUniverzitet Singidunum
Tehniki fakultet
11
Faza planiranja
Definisanje obima ISMS-a je prva aktivnost u ovoj fazi
Razvoj plana implementacije ISMS-a.
Informaciona imovina
Analiza poslovanja org
Inventar kljune imovine
Univerzitet Singidunum
Tehniki fakultet
12
Faza planiranja analiza poslovanja
Pregled na poslovanje organizacije - taktike i strateke poslovne ciljeve
Zato? Za skupljanje dovoljno informacija za projektovanje ISMS-a organizacije
Kako?
Definisanjem obima ISMS-a.(cela organizacija, deo organizacije?)
Ako se deo organizacije iskljui, treba navesti validne razloge
Skupljati informacija kroz intervjue i pregled dokumentacije
Brainstorming sesija sa menaderima za snimanje poslovnih procesa i
identifikaciju postojeih: zahteva za identifikaciju i adekvatnu zatitu informacione imovine
kljunih aktivnosti za procesiranje informacija koje treba zatititi
procesirane informacije i odnosne IKT sisteme
uloge i odgovornosti menadmenta i ostalih zaposlenih
Rezultati aktivnosti:
Analiza poslovanja organizacije
Inventar kljune imovine i poslovnih procesa
ISMS faza planiranjaUniverzitet Singidunum
Tehniki fakultet
13
Faza planiranja procena rizika
Procena rizika
Cilj: Odrediti bezbednosni rizik na bazi:
vrednovanja kljune imovine
inventara poslovnih procesa i imovine
Zato?
Za analizu i procenu mogue tete za poslovne aktivnosti
Za identifikaciju pretnji i ranjivosti iformacione imovine
Za razumevanje kritinih faktora za informacionu
imovinu organizacije (tekue stanje vs. vizije)
Univerzitet Singidunum
Tehniki fakultet
14
Faza planiranja procena rizika -1
Kako ?
Izborom adekvatne metodologije za procenu rizika (>200)
Generiki metodi za procenu rizika
Analizom i procenom ukupnog operativnog rizika organizacije:
procenom pretnji, ranjivosti i uticaja (tete), tj. iskoristivosti
dogaaja para pretnja/ranjivost
evaluacijom rizika (kvalitativni, polu-kvantitativni metodi,
kvantitativni);
izborom opcija tretmana rizika (ublaiti, prihvatiti, preneti,
ignorisati)
detaljnom procenom kritinih faktora rizika
prihvatanjem preostalog nivoa rizika
dokumentovanjem procene ukupnog rizika!
Univerzitet Singidunum
Tehniki fakultet
15
Faza planiranja gap analiza
Gap analiza: Identifikovanje tekueg nivoa bezbednosti informacija sa
ciljem definisanja sistema zatite informacione imovine organizacije
Zato?
Za pravu orijentaciju i podrku menadmenta zatiti informacija, kroz:
Identifikovanje nedostataka koje treba ukljuiti u akcioni plan
implementacije (reinenjeringa) ISMS-a
Definisanje zahteva za ISMS u formi politike zatite
Kako ?
Na bazi procene rizika i evaluacije tekuih zahteva za bezbednost
informacija (u terminima CIA informacija)
Odreivanjem prioriteta, u kombinaciji sa analizom poslovanja kao
osnove za procenu bezbednosti informacija
Univerzitet Singidunum
Tehniki fakultet
16
Faza planiranja Izjava o primenljivosti (SoA)
SoA: Dokument ciljeva kontrola i kontrola zatite
izabranih za implementaciju ISMS-a
Sa dokumentom SoA upoznati sve zaposlene
Obezbediti da svi razumeju svoje uloge i odgovornosti
Zato ?
Za podrku ciljeva kontrola i kontrola zatite relevantnih za
primenu ISMS-a organizacije
Za opravdanje iskljuenja na bazi rezultata procene rizika:
obavezna aktivnost za ISO/IEC 27001 sertifikaciju
Univerzitet Singidunum
Tehniki fakultet
17
Faza planiranja SoA (1)
Kako?
Izborom ciljeva kontrola i kontrola zatite za primenu u
procesu tretmana rizika
Ako ciljevi i kontrole zatite ne postoje u Annex-u A, mogu
se kreirati novi
Izradom izjave o primenjivosti (SoA):
Dokumenta zatite namenjenog za:
ciljeve kontrola i kontrole zatite iz Annex-a A;
ciljeve kontrola i kontrole zatite iskljuene iz Annex-a A
SoA dokument
Primer: ako nije primenljivokorstiti outsourcing aktivnostUniverzitet Singidunum
Tehniki fakultet
18
Faza planiranja politika zatite informacija
Politika zatite: Dizajniranje i izrada politike zatite informacija
Zato ?
Za uspostavljanje strateke pozicije, koju definie menadment, za ciljeva
bezbednosti informacija u organizaciji
Za primenu principa i zahteva za bezbednost informacija kao smernica
Za definisanje uloga i odgovornosti za zatitu informacija u organizaciji
Univerzitet Singidunum
Tehniki fakultet
19
Faza planiranja politika zatite informacija 1
Kako ?
Izradom nacrta dokumentacije zatite
Na bazi znanja iz prethodnih koraka
Isticanjem, kroz saoptenja politike:
angaovanja menadmenta na principima i ciljevima zatite informacija
definicije informacione bezbednosti
principa i namene drugih politika zatite (procene rizika, AV zatite, BCP ...)
posledica (sankcija) za nesprovoenje politike zatite
uticaja zahteva zakona i standarda na organizaciju (ne prepisivati zahteve
ISO/IEC 27001)
Dovoljno konciznom i jasnom politikom, razumljivom za sve zaposlene
Regularnom proverom menadera odgovornih za sprovoenje i odravanje
politike zatite
Primer: ISMS politika zatite
Univerzitet Singidunum
Tehniki fakultet
20
Dokumentacija zatite
Treba da bude napisana i regularno pregledana
ISMS politiku zatite treba da odobri menadment
Sve verzije politike moraju biti kontrolisane (4.3.2 std)
Primer: SANS Institute uzorci politike zatite
Dokaze o odobravanju dokumenata zatite treba da uva:
menader zatite informacija ili
proveriva usaglaenosti
Sva dokumenta treba proveravati svake ili svake druge
godine
Univerzitet Singidunum
Tehniki fakultet
21
Dokumentacija zatite 1
ISMS standard zahteva definisanje i dokumentovanje: Obima i granice ISMS-a (4.2.1a)
Ciljeva ISMS-a (4.3.1a)
ISMS politike, kao superset politike zatite informacija (4.2.1b)
Pristupa proceni rizika (4.2.1c) ili metodologije (4.3.1d)
Procene rizika ili Izvetaja o analizi rizika (4.2.1c,d,e,f,g i 4.3.1e)
Plana tretmana rizika (4.2.1f i 4.2.2b)
Odobrenja menadmenta za preostali rizik - Rp (4.2.1h)
Akreditacije ISMS-a (4.2.1i)
Izjave o primenljivosti -SoA (4.2.1j) (4.2.1g)
Procedura zatite (4.3.1g)
Zapisa, koji pokazuju da ISMS stvarno radi (4.2.3, 4.3.1 i 4.3.3)
Obavezna ISMS dokumenta
Kontrolna lista ISMS dokumenata
Dokumantacija zatite zahteva upravljanje
Krosreferenciranje dokumenata zatiteUniverzitet Singidunum
Tehniki fakultet
22
ta je politika zatite?
Politika zatite JESTE:
Dokumentovana izjava menadmenta na visokom nivou
Formalni nain da se kae:
Ovo je nain na koji mi titimo nau informacionu imovinu
Generalizovane izjave zahteva za minimizaciju bezbednosnog rizika informacione imovine
Dokument zatite na viem nivou od standarda i procedura
Politika zatite NIJE:
Konfigurisanje sistema
Primer: Firewalls, IDPS, AC i drugih mehanizama zatite
Nema opcija reenja
Primer: za razliku od smernica/uputstava (Guidelines),
Ne zavisi od proizvoda/tehnologija zatite
Primer: za razliku od arhitekture sistema zatite Univerzitet Singidunum
Tehniki fakultet
23
Indikatori potrebe za politikom zatite
Pokuaji da se zadovolje zahtevi interne i spoljne provere (revizije, auditing-a)
Frustracija zbog ogranienih rezultata sa ogranienim strunim osobljem
Ponienje organizacije zbog proboja sistema zatite
Neorganizovan/sproveden program razvoja svesti o potrebi zatite
Nedovoljna ili neaurna dokumentacija zatite
Nisu izvreni kritini zadaci zatite kako bi trebalo
Zaposleni raspravljaju o tome ta treba uiniti da se pobolja zatita
Univerzitet Singidunum
Tehniki fakultet
24
Security Policy Drivers
RReegguulalattioionnss TTeecchhnnoolologgyy
TTeecchhnnoollooggyy DDeeppllooyymmeenntt
{ }
PDA
Spyware
Wireless
VOIP
Sarbox
HIPAA
GLBA
EU Data Privacy
Encryption
TThhrreeaattss SPAM
HACKS
Data Loss
Policies
Standards
IDS Anti-Virus Firewalls
BBeehhaavvioiorr
Internet Use Incident Reporting
Primer: Pokretai razvoja politike zatite
HakeriGubitakpodataka
pijuni,SPAM
PRETNJE
REGULATIVE TEHNOLOGIJE
Politike
Standardi
Implementacija tehnologije Praksa zatite
Univerzitet Singidunum
Tehniki fakultet
25
Primer: Hijerarhijska struktura politike poslovanja
Univerzitet Singidunum
Tehniki fakultet
26
Primer: Organizaciona struktura menadmenta ISMS-a
Univerzitet Singidunum
Tehniki fakultet
27
Politika zatite-Pokreta razvoja sistema zatite-
Pre implementacije sistema zatite, politika zatite:
Razjanjava: pravila zatite pre razvoja i konfigurisanja sistema zatite
Osigurava : konzistentnu aplikaciju kontrola zatite
Koordinira: rad razliitih grupa
Olakava: komunikaciju i interoperabilnost
Definie: materijal za obuku i razvoj svesti o potrebi zatite
kompromis izmeu intranet i ekstranet mrea
razmenu vlasnikih informacija sa treom stranomUniverzitet Singidunum
Tehniki fakultet
28
Atributi efektivne politike zatite informacija
Kompletnost:
obuhvata sve kritine oblasti rizika za informacionu imovinu
Organizovanost:
bazirana na iroko prihvaenom standardu (ISO/IEC 27001/2, ISO/IEC 21827, NIST SP 800-12)
Dokumentovanost:
napisana i odravana sa eksplicitno definisanim vlasnitvom i verzijom
Aurnost:
periodino revidirana i aurirana na bazi poslednje procene rizika
Komunikativnost:
politike su dostavljene svim odnosnim stranama, proitane i shvaene od strane svih zaposlenih u organizaciji
Univerzitet Singidunum
Tehniki fakultet
29
Podrka drugim procesima zatite informacija
Eksplicitno pokazuje podrku menadmenta zatiti informacija
Uspostavlja kredibilitet i transparentnost procesa zatite
Eliminie nesporazume o zatiti informacija
Proaktivno definie odgovore na proboje sistema zatite
Daje smernice za izbor servisa i kontrola zatite
Omoguava brz razvoj novog sistema zatite informacija
Definie osnovne mere zatite informacija :
duna panja (due care controles)
etiki kodeks ponaanja u IKT sistemu
minimum privilegija, znati to je potrebno, nikad sam itd.
Univerzitet Singidunum
Tehniki fakultet
30
Podrka usaglaenosti sa zakonom/regulativama...
Aranira ugovorne obaveze:
potrebne za tuilatvo u sluaju spora/kompjuterskog kriminala
Uspostavlja disciplinske mere:
otputanje sa posla i eventualno krivinu prijavu
Dokumentuje zahtev za usaglaenost:
sa zakonom, regulativama i standardima
Odrava i obezbeuje :
skrivenu zatitu legalnoj e-trgovini i e-poslovanju
Otklanja sumnju:
u krenje ugovornih/zakonskih obaveza ili zatite privatnosti
Podrava:
internu reviziju u proveri usaglaenosti
Univerzitet Singidunum
Tehniki fakultet
31
Generika struktura politike zatite - (NIST) -
Struktura politike zatite informacija: opta od 1.- 3., specifina od 4. 5:
1. Naslov:
2. Autor:
3. Verzija:
Datum:
Amandmani: kontrolni podaci dokumenta, poetak primene, revizija
4. Namena: predmet politike, bezbednosni ciljevi i ciljna grupa (namena) za koju je dokument namenjen.
Uvod: definicija zatite informacija, objanjenje konteksta sistema zatite.
Struktura, obim i granice: kratak opis strukture, obima, granica politike.
Bezbednosni ciljevi: svi bezbednosni ciljevi po prioritetima.
Specifini zahtevi: Funkcionalni: saoptenja, uloge/odgovornosti
Obavezujui: sankcije za nespovoenje, vlasnik politike
Usaglaenost sa zakonima, standardima i drugim regulativama
5. Renik termina: kljune rei koriene u dokumentu
6. Odobrava: poslednja stranica koju potpisuje akreditacioni autoritet organizacije.
Univerzitet Singidunum
Tehniki fakultet
32
I. Programska politika zatite (NIST)
1 3. (Tipini deo opte strukture politike zatite).
4. Saoptenja politike eksplicitna podrka i smernice za obim i granice politike,
4.1 Saoptenje o zahtevima: za zatitu informacija i IKT sistema organizacije.
4.2 Saoptenje o odgovornosti: obavezu odreivanja uloga (vlasnika) i odgovornosti svih zaposlenih.
4.3. Usaglaenost i obaveza primene: usaglaenosti politike sa standardima i praksom zatite;
definie vlasnika, sankcije za nesprovoenje i neusaglaenost politike zatite
5. Definicije termina: renik kljunih termina u odnosnoj politici zatite
6. Odobrava: potpisuje glavni menader.
Uzorak politike bezbednosti
Univerzitet Singidunum
Tehniki fakultet
33
II. Politika zatite IKT sistema (NIST)
Istie odluke menadmenta za zatitu IKT sistema
Definie odgovornosti za akcije u sistemu zatite
Odobrena na bazi analize i procene rizika
Fleksibilna/varira zavisno od bezbednosnih ciljeva
Saoptena kroz pravila ovlaenja:
ko (prema poloaju, kategoriji posla, imenu) i
ta ko moe raditi (modifikovati, brisati, itati...) nad objektima IS
Univerzitet Singidunum
Tehniki fakultet
34
II. Politika zatite IKT sistema (NIST) -1
1 3. (Tipini deo opte strukture politike zatite)
4. Saoptenja politike eksplicitna podrka i smernice za obim i granice politike
4.1 Saoptenje o zahtevima: za zatitu specifinog objekata imovine, komponente, sistema
4.2 Saoptenje o ulogama i odgovornostima: glavnog menadmenta i izvrnih menadera
svih zaposlenih, spoljnih saradnika i TTP provajdera
za razvoj svesti o potrebi zatite svih uesnika
4.3. Usaglaenost i obaveza primene: objanjava hijerarhiju odnosnih dokumenata zatite i znaaj usaglaenosti politike sa
standardima i praksom zatite
definie sankcije za nesprovoenje i neusaglaenost politike zatite
odreuje vlasnika politike i listu vanih kontakata sa funkcijama, a ne imenima
5. Definicije termina: renik kljunih termina u odnosnoj politici zatite
6. Odobrava: potpisuje akreditator i obino dobrovoljno ustupa autorska prava na dokument.
Primer: Politike zatite IKT sistema XYZ
Univerzitet Singidunum
Tehniki fakultet
35
III. ISMS politike zatite (ISO/IEC 27001)
1. 3. (Tipini deo opte strukture politike zatite)
4. Saoptenja politike:
Definicija bezbednosti informacija i zahtevane zatite -
Lista pravila zatite koju treba razviti:
fizika zatita sistema, personalna zatita, upotreba kriptografije, upravljanje kompjuterskim incidentom, logovanje i kontrolni tragovi, udaljeni pristup, autorizacija i kontrola pristupa,zatita poverljivost, integriteta i raspoloivost itd.
Uloge i odgovornosti: detaljne uloge i odgovornosti za ISMS.
Usaglaenost i obaveza primene
Vlasnitvo i kontakti
5. Definicije termina
6. Odobrava i autorska prava
Primer: ISMS politika LANEUniverzitet Singidunum
Tehniki fakultet
36
III. Politike (pravila) zatite
Politika (pravilo) zatite funkcionalne komponente sistema zatite
1. 3. (Tipini deo opte strukture politike zatite)
4. Saoptenja:
zahtevi za: uskladitene informacije, metod skupljanja informacija, upravljanje kolaiima, pristup linim podacima, auriranje linih podataka, iskljuivanje informacija, dostupnost za treu stranu i sl.
uloge i odgovornosti svih relevantnih uesnika na koje se politika odnosi.
5 i 6. Kao u standardnoj strukturi, ali specifino za konkretnu komponentu zatite.
Primer: Politika kontrole pristupa
Univerzitet Singidunum
Tehniki fakultet
37
Plan zatite (NIST)- proces razvoja i struktura-
Plan projekta za implementaciju politike i procedura zatite
Generiki proces razvoja plana zatite:
iniciranje projekta
razvoj politika zatite
konsultacije i odobravanje
razvoj svesti i obuka
distribucija politika zatite svim korisnicima
Primer uzorka plana zatite: Uzorak za izradu plana zatite
Primeri procedure zatite: Procedura kontrole pristupa
Univerzitet Singidunum
Tehniki fakultet
38
Primeri saoptenja bitnih politika zatite
1. Redovno izvetavati o svim problemima i ranjivostima sistema zatite centralni entitet organizacije za upravljanje zatitom informacija.
2. Pristup sistemima i informacijama davati na baziznati samo ono to je potrebno za izvravanje posla.
3. Informacije klasifikovati na bazi osetljivosti i oznaavati svaku osetljivu informaciju.
4. Korisniki izabrane lozinke moraju slediti pravilo kompleksnosti i moraju se periodino aurirati/menjati.
5. .
Univerzitet Singidunum
Tehniki fakultet
39
Faktori uspeha implementacije politike zatite
Konzistentno ukljuivanje korisnika
Podrka menadmenta (aktivni interes)
Jasna izjava o zahtevima
Dobro planiranje
Realistina oekivanja
Manje kontrolnih taaka - vea transparentnost
Vlasnitvo (odgovornosti)
Jasna vizija i ciljevi
Planiranje rizika, identifikacija i ublaavanje
Budunost politike zatite:
automatizacija (VigilEnt Policy Center from NetIQ, Informatio cecurity Policy Shield)
Univerzitet Singidunum
Tehniki fakultet
40
Primer: Problemi nedostatka politike zatite
*CSI/FBI & Information Security shield anketa
>25% zaposlenih nije proitalo ni jednu politiku zatite u 2007 godini*
50% nije proitalo sve politike zatite koje su im namenjene u 2007
75% zaposlenih ignorie politiku zatite ak i kada su svesni njenog postojanja *
Univerzitet Singidunum
Tehniki fakultet
41
Primer: Problemi nedostatka politike zatite
*CSI/FBI & Information Security shield anketa
46% korisnika rutinski deli pasvorde*
50% organizacija nema politiku za izvetavanje o bezbednosnom incidentu i ranjivostima sistema
67% organizacija istie da je kljuni prioritet u sledeoj (2010) podizanje svesti o potrebi zatite
22% organizacija imaju program za razvoj svesti o potrebi zatite
13% organizacija ima asove obuke iz oblasti zatite informacija
Univerzitet Singidunum
Tehniki fakultet
42
ZAKLJUCI
1. Glavni cilj upravljanja zatitom informacija (ZI):
uspostavljanje odrivog programa,
selekcija i izbor resursa i revizija sistema zatite
za odravanje rizika na prihvatljivom nivou.
2. GAISP - osnovni skup principa za upravljanje sistemom ZI:
informacija i integralno upravljanje IKTS/SZI
upravljanje SZ - odreeni broj infrastrukturnih servisa koji
obezbeuju normalni rad komponenti zatite i IKTS
najznaajniji resurs - tim specijalista zatite
integralno upravljanje sa IKTS i SZI (ITU X.700)
integrie skupove informacionih servisa i servisa zatite
3. Metodologija za upravljanje ZI: IEC/ISO 27001 (ISMS)
4. Planiranje implementacije ISMS-a ukljuuje sledee aktivnosti:
analizu poslovanja, procenurizika, gap analizu, izradu SoA dokumenta
i izradu politike zatiteUniverzitet Singidunum
Tehniki fakultet
43
Pitanja ?