ISO 27000 + Disaster Recovery lokacija + Regulisanje outsourcinga= Odluka NBS o IT standardima

Branko Pavlović

Delta Generali osiguranje

ISO 27000 - Upravljanje bezbednošću informacija

- Prava pristupa podacima značajno se ograničavaju

- U svim ugovorima se definišu obaveze čuvanja informacija

- Server sobe se posebno štite

- Pravila za back-up

- Rukovanje i čuvanje prenosivih medijuma

- Procedura za uklanjanje podataka sa opreme koja se rashoduje

- Pravila za korisničke lozinke

- Razvijanje svesti zaposlenih o važnosti bezbednosti informacija

Dokumentacija za ISO 27000

- Deklaracija o politici integrisanog sistema menadžmenta (IMS)

- Poslovnik IMS

- Procedure za upravljanje rizicima

- Procedure za postupanje u slučaju bezbedonosnih incidenata

- Plan kontinuiteta poslovanja

- Plan oporavka sistema u slučaju katastrofalnih događaja

- Uputstvo za klasifikaciju informacija

Dokumentacija za ISO 27000 je obimna

- Registar informacione imovine

- Procena rizika

- Mere za upravljanje procenjenim rizicima

- Izjava o primenljivosti

- Izveštaji o internim proverama i preispitivanju

- Ugovori o radu se dopunjuju obavezom čuvanja informacija

Disaster Recovery (DR)

- Katastrofa (engl. disaster) je neplanirani prekid uobičajenih poslovnih procesa, prouzrokovan prekidom komponenti IT sistema, neophodnih za njihovo funkcionisanje

- Gubitak kritičnih sisitema može rezultirati značajnim gubitkom prihoda i poslovnih šansi

- Sposobnost da se sistem oporavi brzo i kompletno je od suštinske važnosti za uspeh biznisa

- Prvi korak - business impact analysis

- Razgovor IT-a i ključnih osoba (business owner) radi razumevanja:

- Koji su procesi vremenski i informacijski najkritičniji

- Koliko se biznis oslanja na IT servise i dostupnost aplikacija

- Koliki su finansijski, zakonski, reputacioni i ostali uticaji nedostupnosti IT servisa

- Koja dostupnost, odnosno brzina oporavka je opravdana na osnovu zahteva

Ostali koraci u implementaciji DR

- Revizija stanja IT infrastrukture koja uključuje: aplikacije, servere, storage,

mrežu, telekomunikacije, itd.

- Identifikacija takozvanih “Single Point of Failure”

- Definisanje DR strategije koja će zadovoljiti zahteve biznisa

- Pravljenje plana za uspostavljanje potrebnih kapaciteta za oporavak i potrebnu dokumentaciju i definisanje:

- Recovery Point Objective (RPO) - trenutak u vremenu u kojem oporavljamo podatke

- Recovery Time Objective (RTO) - maksimalno trajanje prekida servisa

- DR LOKACIJA

- Implementacija kapaciteta potrebnih za DR

- Razvoj sistema održavanja i procedure testiranja IT DR plana

Outsourcing

-Definicija: Strateško korišćenje IT resursa koji se nalaze van kompanije za vršenje aktivnosti koje tradicionalno obavljaju zaposleni u kompaniji

-Cilj: Obezbeđenje IT usluge koja je efikasnija, kvalitetnija, bezbednija i stabilnija uz

niže troškove

-Svrha:

- Smanjenje troškova

- Fokusiranje energije zaposlenih na osnovni posao

- Povećanje brzine reagovanja na tržišne promene

- Izbegavanje velikih investicija u IT

Problemi sa Outsourcingom

- Gubitak kontrole

- Povećan odliv novca

- Poverljivost i sigurnost

- Izbor dobavljača

- Velika zavisnost od provajdera

- Gubitak osoblja

- Nerazumevanje provajdera za poslovno okruženje

- Provajder sporo reaguje na strateške promene

- REGULATIVA - Odluka NBS: “... прописи државе или држава у којимапотенцијални пружалац услуга послује омогућују Народној банци Србијенесметано вршење непосредне контроле тог пословања ...”

Odluka NBS o min. standardima upravljanja IS finansijske institucije

1. Okvir za upravljanje informacionim sistemom

2. Upravljanje rizicima informacionih sistema

3. Unutrašnja revizija informacionih sistema

4. Bezbednost informacionog sistema

5. Upravljanje kontinuitetom poslovanja i oporavak aktivnosti u slučaju katastrofa

6. Razvoj i održavanje informacionog sistema

7. Poveravanje aktivnosti u vezi sa informacionim sistemom trećim licima

Odluka NBS o IT standardima =ISO 27000 + Disaster Recovery lokacija + Regulisanje Outsourcinga

Prednosti uvođenja ISO 27000

- Povećava se poverenje klijenata i poslovnih partnera u kompaniju

- Razvija se svest zaposlenih o značaju zaštite informacija

- Uređuje se i poboljšava raspoloživost informacija

- Prestiž na tržištu u odnosu na konkurenciju

- Poboljšava se marketinška promocija kompanije

- Smanjuje se pritisak ostalih revizora

- Formira se samoodrživ sistem upravljanja kvalitetom

Saveti iz prakse Delta Generali osiguranja

- Pažljivo proučiti zahteve standarda

- Naći pravu meru u nivou detaljnosti zahteva

- Doneti odluku da li će uvoditi standard sopstvenim snagama

- Izabrati iskusne članove u Komisiju za bezbednost da rukovode uvođenjem

- Napomena: Troškovi uvođenja i očekivani godišnji troškovi poštovanja standarda manji su od 2% IT budžeta

HVALA NA PAŽNJI!