Upload
hadan
View
229
Download
3
Embed Size (px)
Citation preview
ISO 27000 + Disaster Recovery lokacija + Regulisanje outsourcinga= Odluka NBS o IT standardima
Branko Pavlović
Delta Generali osiguranje
ISO 27000 - Upravljanje bezbednošću informacija
- Prava pristupa podacima značajno se ograničavaju
- U svim ugovorima se definišu obaveze čuvanja informacija
- Server sobe se posebno štite
- Pravila za back-up
- Rukovanje i čuvanje prenosivih medijuma
- Procedura za uklanjanje podataka sa opreme koja se rashoduje
- Pravila za korisničke lozinke
- Razvijanje svesti zaposlenih o važnosti bezbednosti informacija
Dokumentacija za ISO 27000
- Deklaracija o politici integrisanog sistema menadžmenta (IMS)
- Poslovnik IMS
- Procedure za upravljanje rizicima
- Procedure za postupanje u slučaju bezbedonosnih incidenata
- Plan kontinuiteta poslovanja
- Plan oporavka sistema u slučaju katastrofalnih događaja
- Uputstvo za klasifikaciju informacija
Dokumentacija za ISO 27000 je obimna
- Registar informacione imovine
- Procena rizika
- Mere za upravljanje procenjenim rizicima
- Izjava o primenljivosti
- Izveštaji o internim proverama i preispitivanju
- Ugovori o radu se dopunjuju obavezom čuvanja informacija
Disaster Recovery (DR)
- Katastrofa (engl. disaster) je neplanirani prekid uobičajenih poslovnih procesa, prouzrokovan prekidom komponenti IT sistema, neophodnih za njihovo funkcionisanje
- Gubitak kritičnih sisitema može rezultirati značajnim gubitkom prihoda i poslovnih šansi
- Sposobnost da se sistem oporavi brzo i kompletno je od suštinske važnosti za uspeh biznisa
- Prvi korak - business impact analysis
- Razgovor IT-a i ključnih osoba (business owner) radi razumevanja:
- Koji su procesi vremenski i informacijski najkritičniji
- Koliko se biznis oslanja na IT servise i dostupnost aplikacija
- Koliki su finansijski, zakonski, reputacioni i ostali uticaji nedostupnosti IT servisa
- Koja dostupnost, odnosno brzina oporavka je opravdana na osnovu zahteva
Ostali koraci u implementaciji DR
- Revizija stanja IT infrastrukture koja uključuje: aplikacije, servere, storage,
mrežu, telekomunikacije, itd.
- Identifikacija takozvanih “Single Point of Failure”
- Definisanje DR strategije koja će zadovoljiti zahteve biznisa
- Pravljenje plana za uspostavljanje potrebnih kapaciteta za oporavak i potrebnu dokumentaciju i definisanje:
- Recovery Point Objective (RPO) - trenutak u vremenu u kojem oporavljamo podatke
- Recovery Time Objective (RTO) - maksimalno trajanje prekida servisa
- DR LOKACIJA
- Implementacija kapaciteta potrebnih za DR
- Razvoj sistema održavanja i procedure testiranja IT DR plana
Outsourcing
-Definicija: Strateško korišćenje IT resursa koji se nalaze van kompanije za vršenje aktivnosti koje tradicionalno obavljaju zaposleni u kompaniji
-Cilj: Obezbeđenje IT usluge koja je efikasnija, kvalitetnija, bezbednija i stabilnija uz
niže troškove
-Svrha:
- Smanjenje troškova
- Fokusiranje energije zaposlenih na osnovni posao
- Povećanje brzine reagovanja na tržišne promene
- Izbegavanje velikih investicija u IT
Problemi sa Outsourcingom
- Gubitak kontrole
- Povećan odliv novca
- Poverljivost i sigurnost
- Izbor dobavljača
- Velika zavisnost od provajdera
- Gubitak osoblja
- Nerazumevanje provajdera za poslovno okruženje
- Provajder sporo reaguje na strateške promene
- REGULATIVA - Odluka NBS: “... прописи државе или држава у којимапотенцијални пружалац услуга послује омогућују Народној банци Србијенесметано вршење непосредне контроле тог пословања ...”
Odluka NBS o min. standardima upravljanja IS finansijske institucije
1. Okvir za upravljanje informacionim sistemom
2. Upravljanje rizicima informacionih sistema
3. Unutrašnja revizija informacionih sistema
4. Bezbednost informacionog sistema
5. Upravljanje kontinuitetom poslovanja i oporavak aktivnosti u slučaju katastrofa
6. Razvoj i održavanje informacionog sistema
7. Poveravanje aktivnosti u vezi sa informacionim sistemom trećim licima
Odluka NBS o IT standardima =ISO 27000 + Disaster Recovery lokacija + Regulisanje Outsourcinga
Prednosti uvođenja ISO 27000
- Povećava se poverenje klijenata i poslovnih partnera u kompaniju
- Razvija se svest zaposlenih o značaju zaštite informacija
- Uređuje se i poboljšava raspoloživost informacija
- Prestiž na tržištu u odnosu na konkurenciju
- Poboljšava se marketinška promocija kompanije
- Smanjuje se pritisak ostalih revizora
- Formira se samoodrživ sistem upravljanja kvalitetom
Saveti iz prakse Delta Generali osiguranja
- Pažljivo proučiti zahteve standarda
- Naći pravu meru u nivou detaljnosti zahteva
- Doneti odluku da li će uvoditi standard sopstvenim snagama
- Izabrati iskusne članove u Komisiju za bezbednost da rukovode uvođenjem
- Napomena: Troškovi uvođenja i očekivani godišnji troškovi poštovanja standarda manji su od 2% IT budžeta
HVALA NA PAŽNJI!