Embed Size (px)
Citation preview
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 1/19
UNIVERZITET U BEOGRADU
SAOBRAĆAJNI FAKULTET
Predmet
Upravljanje kvalitetom u logistici
Seminarski rad
Sistem menadžmenta bezbednošću informacija
ISO 2!!!
Profesor: "ilorad #ilibarda$ dipl% inž%saobraćaja Asistent & "ilan 'ndrejić$ dipl% inž%saobraćaja
Studenti: "arko (ukić (O)!!2*+
"iloš ,ajić (O)!!2-
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 2/19
Sadržaj:
)% Uvod%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%.
Sigurnost informacija%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%*
2% Sistem menadžmenta bezbednošću informacija / IS"S%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
2%)% Standardi serije ISO0I1 2!!!%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%3
2%2 Standard ISO0I1 2!!)%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%)!
2%.% 4lavni delovi standarda ISO 2!!)%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%)2
.% iljevi i prednosti standarda ISO 2!!!%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%).
5enefiti i o6ekivane prednosti primene standarda ISO 2!!)&%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%).
*% Iskustva u primeni standarda ISO 2!!) u Srbiji i regionu%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%)**%)% Implementacija ISO 2!!) u ISS7u$ iskustvo iz prve ruke%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%)-
*%2% Primena standarda ISO 2!!) u zemaljama regiona%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%)-
Slika *%2% Ilustrovan prikaz zemalja u regionu sa implementiranim ISO 2!!) standardom%)
+% 8aklju6ak%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%)3
-% (iteratura%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%)9
2
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 3/19
1. Uvod
8aštita i bezbednost informacija za današnji svet biznisa je mnogo važniji nego ikadaranije% :anas$ u velikoj meri$ biznis zavisi od informacioni; te;nologija$ komunikacija putemmreža$ kao i beži6ni; i mobilni; komunikacija% Obavljanje poslova putem interneta ikompjutera$ podugovaranje i korišćenje usluga treće strane postaju sve 6ešći vidovisavremenog poslovanja%(anac snabdevanja postaje sve složeniji i veći$ a mogućnostkompjuterski; prevara dovodi do povećanja rizika u svim oblastima poslovanja%Uspešan
biznis i donošenje dobre odluke moguće je ostvariti samo uz pravovremeni pristup pravim isigurnim informacijama koje su za to neop;odne%8aštita takvi; informacija postaje preduslovza ostvarivanje pret;odno pomenutog i zato joj treba prići sistemski% "e<unarodni standardiserije ISO0I1 2!!!$ koji se odnose na informacione te;nologije$ te;nike zaštite i sistem
menadžmenta bezbednošću informacije$ razvijeni su i doneti sa namerom da pomognusistemski pristup u obezbe<enju ovog preduslova% :a bi se steklo poverenje u ta6nost i
pouzdanost potrebni; informacija potrebno je imati poverenje u sistem menadžmentanji;ovom bezbednošću% Pouzdanost i poverenje u sistem menadžmenta bezbednošćuinformacija postiže se njegovom sertifikacijom od nezavisne i nepristrasne treće strane$odnosno sertifikacionog tela$ kompetentnog za obavljanje tog posla i koje je svojukompetentnost tako<e dokazalo na adekvatan na6in% =ajpodesniji na6in potvr<ivanjakompetentnosti ovi; sertifikacioni; tela jeste akreditacija koju sprovodi nacionalnoakreditaciono telo% Sertifikacijom se potvr<uje usaglašenost IS"S sa za;tevima definisanim
u standardu ISO0I1 2!!)&2!!+% Proces sertifikacije u odnosu na standard ISO0I12!!)&2!!+ je u osnovi isti kao onaj koji se sprovodi pri sertifikaciji sistema menadžmentakvalitetom prema ISO 9!!) ili nekog drugog sistema menadžmenta% Standard ISO0I1 )!2)>S,PS ISO0I1 )!2)? definiše kriterijume za sertifikaciona tela$ koja sprovode proveru isertifikaciju bilo kog sistema menadžmenta neke organizacije uklju6ujući i sistemmenadžmenta bezbednošću informacijama i on predstavlja osnov za akreditaciju% 'ko pak sertifikaciono telo želi da se akredituje za sertifikaciju sistema menadžmenta bezbednošćuinformacijama u skladu sa ISO0I1 2!!)&2!!+$ tada je potrebno da zadovolji dodatnespecifi6ne za;teve u odnosu na za;teve ISO0I1 )!2) a koji su definisani u standarduISO0I1 2!!-&2!!%
3
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 4/19
1.1 Si!r"o#$ i"%or&a'ija
Informacije predstavljaju jedan od najvažniji; poslovni; resursa u savremenom poslovanju% Informacija predstavlja podatak sa odre<enim zna6enjem$ može biti štampana ilinapisana na papiru$ memorisana elektronski$ prenesena poštom ili elektronskim putem$
prikazana na korporacijskom @eb sajtu$ verbalna 7 izgovorena u konverzaciji$ ili u viduznanja7 kao veštine zaposleni;% Informacije moraju biti adekvatno zaštićene$ bez obzira ukom obliku se 6uvaju%Sigurnost informacija se karakteriše kao 6uvanje & poverljivosti>osiguravanjem da informacije budu na raspolaganju samo onima koji imaju ovlašćen
pristup?$ integriteta >samozaštitom ta6nosti i celovitosti informacija i metoda za obradu?$ iraspolozivosti >osiguravanjem da ovlašćeni korisnici imaju pristup informacijama iodgovarajućim resursima kada im je potrebno?%
Sigurnost informacija se ostvaruje uvo<enjem pogodnog skupa kontrola$ koje mogu
biti politika$ praksa$ procedure$ organizacione strukture i softverske funkcije% Sigurnosnemere uklju6uju me;anizme i procedure koje se implementiraju u cilju odvraćanja$ prevencije$detekcije i opravke od uticaja od incidentni; doga<aja a koji deluju na poverljivost$ celovitosti raspoloživost podataka i odgovarajući; servisa i resursa$ uklju6ujući izveštavanje osigurnosnim incidentima% Sigurnost informacija je ustvari proces upavljanja rizikom%
Upravljanje rizicima treba da bude stalan i kontinuiran proces pošto su rizici sami posebi promenljivi$ a sa druge strane stalno se generišu novi kao odraz promenljivog okruženjau kome organizacija ostvaruje svoju misiju% Ao zna6i da je neop;odno da se periodi6no
preispituju rizici$ kao i pretnje i slabosti informacioni; resursa% Ovo je upravo ono na 6emu se
bazira menadzment za bezbednost informacija 7 IS"S%
Organizacije i nji;ovi informacioni sistemi suo6avaju se sa pretnjama sigurnostiinformacija iz širokog opsega izvora >prevare$ sabotaže$ terorizam$ poplave$ požari$ra6unarski virusi %% ?$ koje postaju sve 6ešće i usavršenije% "nogi infomacioni sistemi nisu
projektovani da bi se štitili$ sigurnost koja se može ostvariti te;ni6kim sredstviam jeograni6ena%Utvr<ivanje kontrola koje treba da se postave za;teva pažljivo planiranje$ kao iu6ešće svi; zaposleni; u organizaciji%
#ontrole za zaštitu informacija znatno su jeftinije i efikasnije ako se ugrade prilikom
specificiranja za;teva u fazi projektovanja i razvoja informacioni; sistema%
4
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 5/19
Slika )% Informacije i njeni pripadajući elementi >podaci$ procesi$ i sistemi?
Informacije i njima pripadajući podaci$ zatim procesi i sistemi >;ardverski$ softverski$mrežni itd%? koji se koriste za nji;ovo generisanje$ obradu$ prenos$ memorisanje kao i pristup
predstavljaju važan deo poslovne imovine organizacije koju je potrebno prikladno zaštititiako se želi normalno poslovanje koje će obezbediti opstanak i razvoj%Ovaj za;tev postaje svevažniji zbog distribuirane poslovne okoline organizacije u kojoj su informacije izloženeranjivostima usled velikog broja pretnji >opasnosti? >slika )%)%?%
=ezavisno od prirode$ informacioni resursi >informacione vrednosti? >tabela )%? imajuneku od sledeći; karakteristika &
• prepoznati su na nivou organizacije kao entitet koji ima vrednost$
• ne mogu biti lako zamenjeni bez utroška resursa kao što su novac$ vreme$
• veštine zaposleni;$
• 6ine identitet organizacije bez koga poslovanje može biti ugroženo %
Aabela )%#ategorije informacioni; resursa >vrednosti? koje je neop;odno zaštiti
5
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 6/19
Slika )%)% Uzroci i tipovi kompjuterskog kriminala
Pretnje informacionim resursima u nekoj organizaciji predstavljaju&
• zaposleni$
• niska svest o potrebi zaštite informacija >korporativna kultura?
• porast umreženosti i distribuirane obrade podataka$
• porast složenosti i efektivnosti ;akerski; alata i virusa$
• e7mail7ovi$
• požar$ poplave$ zemljotresi itd%
Osnovni ciljevi zaštite informacija u nekoj organizaciji su da se obezbedi kontinuitet poslovanja i da se minimizira rizik od potencijalni; šteta%
:anas se sigurnost informacija postize primenom odgovarajući; kontrola koje seodnose na politiku sigurnosti$ poslovne procese$ procedure$ strukturu organizacije i funkcije
;ardvera i softvera % #ontrole važne za organizaciju sa zakonske ta6ke gledišta su zaštitainformacija i tajnost li6ni; podataka$ 6uvanje izveštaja i poštovanje prava intelektualnogvlasništva%
Osnovno je da organizacija definiše za;teve za sigurnost% Prvi izvor za;teva dobija seocenjivanjem rizika po organizaciju$ 6ime se identifikuju pretnje po imovinu$ vrednuje severovatnoća doga<anja$ i procenjuju se moguće posledice% :rugi izvor 6ine ugovorni$statutarni i zakonski za;tevi koje organizacija$ njeni poslovni partneri$ ugovara6i i davaociusluga moraju da ispune% I treći izvor 6ini poseban skup osnovani; postavki$ ciljeva i za;tevaza obradu informacija koje je oragnizacija razvila za podršku svojim poslovnim operacijama%
6
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 7/19
(. Si#$)& &)"adž&)"$a *)+*)d"o,-! i"%or&a'ija IS/S
Sistem menadženta bezbednošću informacija 7 IS"S >Information SecuritB"anagement SBstem? je kao što mu i samo ime kaže skup pravila koji se brine o bezbednosti
informacija% 4lavni koncept IS"S7a je za organizaciju da dizajnira $ implementira i održavako;erentne procese i sisteme za efikasno upravljanje dostupni; informacija i da na taj na6inosigurava poverljivost$ integritet i dostupnost informacija imovine i smanjivanje rizika po
bezbenošću informacija% Sistem menadžmenta bezbednošću informacija >IS"S? je deosveukupnog sistema menadžmenta$ zasnovan naposlovnom riziku$ sa ciljem da uspostavi$implementira$ izvršava$ nadzire$ preispituje$ održava i poboljšava sigurnost informacija >ISO2!!)&2!!+?% U standardu ISO 2!!)&2!!+ definisani su za;tevi koje organizacija mora daispuni$ kako bi; dobila sertifikat za IS"S% ISO0I1S 2!!) je zasnovan na tipi6nom P7:77'ciklusu 7 :emingov krug >slika 2%?%
Slika 2% :emingov krug
P:' >Plan7:o7;eck7'ct? predstavlja concept planiranja kao ciklus koji se bazira nakontinuiranom poboljšavanju%
Prvi korak predstavlja plan% =eko ima plan / zamisao za unapre<enje proizvoda ili procesa% Ovaj korak vodi ka stvaranju plana za testiranje$ pore<enje$ eksperiment% Plan
izmene ili ispitivanja je ciljan za unapre<enje kvaliteta >proizvoda ili procesa?%
:rugi korak predstavlja rad na sprovo<enju testa0ispitivanja$ pore<enja ilieksperimenta$ po mogućnosti u maloj razmeri$ u skladu s onim što je odlu6eno u prvomkoraku%
Areći korak predstavlja studiju rezultata% Potrebno je prou6iti rezultate% Cta smonau6iliD Cta nije išlo kako trebaD "ožda smo omanuli i u ne6emu prevarili sami sebe$ pa je
potrebno startovati iznova%
Eetvrti korak predstavlja akciju% Promenu usvajamo$ ili je napuštamo ili ponovo prolazimo 6itav krug$ možda poddruga6ijim uslovima sredine$ sa drugim materijalima$
7
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 8/19
drugim ljudima ili druga6ijim pravilima% 8a usvajanje promene$ ili za njeno napuštanje$ potrebno je predvi<anje%
(.1. S$a"dardi #)rij) ISO0IE (2333
Svr;a me<unarodni; standarda serije ISO0I1 2!!! je da pruže pomoćorganizacijama svi; vrsta i veli6ina da razviju i primene sistem za upravljanje bezbednošćusopstveni; informacija i da se pripreme za nezavisno i nepristrasno ocenjivanje >sertifikaciju?tog sistema primenjenog na zaštitu informacija$ kao što su$ na primer finansijske informacije$informacije o intelektualnoj svojini$ podaci o osoblju ili informacije koje su im poverene odkorisnika ili treće strane%
Ova serija obu;vata standarde koji& definišu za;teve za IS"S kao i za;teve za telakoja sertifikuju IS"SF obezbe<uju podršku$ detaljna uputstva i instrukcije za celokupan
proces planiraj7uradi7proveri7deluj >Plan7:o7;eck7'ct?F daje specifi6na sektorska uputstva
za IS"S i ocenjivanje usaglašenosti za IS"S%
Ovu seriju 6ine sledeći standardi koji su me<usobno povezani&
G ISO0IE (2333:(334$ Information securitB management sBstem 7 Overvie@ andvocabularB koji daje opšti prikaz sistema menadžmenta bezbednošću informacija idefiniše odgovarajuće termine$
G ISO0IE (2331:(335$ Information securitB management sBstem / ,eHuirements$nazna6ajniji standard IS"S serije koji definiše model za uspostavljanje$ primenu$
funkcionisanje$ održavanje i poboljanje sistema menadžmenta bezbednošćuinformacija$
G ISO0IE (233(: (335 >pret;odno 5S 99 7) i ISO0I1 )99?$ ode of practice for information securitB management$ definiše pravila dobre prakse upravljanja
bezbednošću informacija$ odnosno obezbe<uje specifi6ne savete i uputstva zakontrolisanje IS"S kao podršku ISO0I1 2!!)$
G ISO0IE (2336 >u izradi?$ Information securitB management sBstem implementationguidance$ obezbe<uje uputstvo za procesno orijentisani pristup i uspešnu primenu
IS"S u skladu sa ISO0I1 2!!)$G ISO0IE (2337 >u izradi?$ Information securitB management sBstem / "easurement$
koji daje uputsva i savete kako sprovesti merenja u cilju ocene efektivnosti IS"S$
G ISO0IE (2335:(338$ Information securitB risk management koji daje uputstva zaIS"S metode i te;nike upravljanja rizikom kao podrška ISO0I1 2!!)$
G ISO0IE (2339:(332$ ,eHuirement for bodies providing audit and certificatio of information securitB sBstem koji daje za;teve za akreditaciju za sertifikaciona telakoja sertifikuju IS"S prema ISO0I1 2!!) za;tevima% On navodi specifi6ne za;teve
za sertifikaciju i zajedno sa ISO0I1 )!2) predstavlja osnovni standard zaakreditaciju$
8
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 9/19
G ISO0IE (2332 >u izradi?$ 4uidelines for information securitB management sBstemsauditing$ obezbediće uputstva za interne i eksterne provere IS"S i program provera uskladu sa standardom ISO0I1 2!!)%
Pored navedeni; osnovni;$ postoji i odre<eni broj standarda koji se odnose na specifi6ne
sektore >većina još u pripremi?$ i dopuna su seriji ISO0I1 2!!! standarda$ kao&
GISO0I1 2!))$ za;tevi za sektor telekomunikacija
GISO0I1 2!)2$ za;tevi za automobilsku industriju
GISO0I1 2!).$ integrisana upotreba ISO0I1 2!!!!7) i ISO0I1 2!!)
GISO0I1 2!)*$ upravlja6ki okvir za bezbednost informacija
GISO0I1 2!)+$ bezbednosni za;tevi za finansijske servise
GISO 299&2!!3$ bezbednosni za;tevi u zdravstvu korišćenjem standarda ISO0I1 2!!2
Slika 2%)% "e<usobne veze standarda serije ISO0I1 2!!!
=a slici 2%)% su prikazani struktura$ me<usobne veze i uloge standarda serije ISO0I12!!!% ećina navedini; standarda je u primeni dok su ostali u postupku razvoja i donošenja%"ože se reći da je glavni standard ISO0I1 2!!)&2!!+$ koji sa standardom ISO0I12!!-&2!! definiše opšte za;teve za IS"S i njegovu sertifikaciju$ dok ostali predstavljaju
podršku i dajuuputstva za interpretaciju celokupnog procesa planiraj7uradi7proveri7deluj iza;teva definisani; u ISO0I1 2!!)%
Ova serija standarda je u vezi i sa mnogim drugim ISO i ISO0I1 standardima koji seodnose na oblast bezbednosti informacija i koji obezbe<uju specifi6ne za;teve$ uputstva i sl%ISO0I1 2!!) isti6e da nije moguće u potpunosti eliminisati celokupan rizik u vezi sa
bezbednošću informacija i omogućava organizacijama da ustanove kriterijume koji će
9
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 10/19
uravnotežitimogućnosti poslovanja$ za;teve definisane u propisima$ ugovorne obaveze$ cenukontrolisanja bezbednosti informacija i rizik%
(.( S$a"dard ISO0IE (2331
ISO0I1 2!!) je deo rastuće ISO0I1 2!!! serije standarda$ a nastao je na osnovustandarda 5S 99 >5ritis; Standards?% Objavljen je u oktobru 2!!+% od strane me<unarodneorganizacije za standardizaciju >ISO? i me<unarodne elektrote;nicke komisije >I1?% Punnaziv je ISO0I1 2!!)&2!!+ 7 Informaciona te;nologija / Sigurnosne te;nike 7 Sistemiupravljanja informacione sigurnosti 7 8a;tevi$ ali je obi6no poznat kao JISO 2!!)J%
=amenjen je da se koristi zajedno sa ISO0I1 2!!2 >#odeks prakse za informisanje uprave bezbednosti?$ koji izlistava listu sigurnosni; kontrolni; ciljeva i preporu6uje niz specifi6ni; bezbednosni; kontrola%
ISO0I1 2!!) je službena grupa specifikacija na osnovu koji; organizacije imaju pravo
da zatraže postupak sertifikacije$ naravno ukoliko su primenile taj standard na sistemupravljanja bezbednosti informacija% Ovaj standard propisuje za;teve za ustanovljavanje$implementaciju$ kontrolu i unapre<enje IS"S7a$ sistema za upravljanje bezbednošćuinformacija% Standard je primenjiv na sve vrste organizacija >komercijalne$ neprofitne$državne institucije$ itd%? i sve veli6ine organizacija$ od mali; pa do veliki; svetski;organizacija%
U standardu su navedeni ciljevi provere koje je potrebno ostvariti i provere koje je potrebno sprovesti kako bi se ostvarili ciljevi standarda% Postoje institucije akreditovane zasertifikaciju prema ISO0I1 2!!) standardu$ ali isto tako i velik broj organizacija koje susertifikovale svoje informacione sisteme prema ISO0I1 2!!) standardu ili standardima
pojedini; država% Sertifikacija je stvar izbora organizacije$ ali vredi spomenuti da poslovni partneri ponekad traže da organizacija s kojom sara<uju ima sertifikat% ISO0I1 2!!) processertifikacije$ kao i ostali ISO sertifikati za upravljanje sistemima obi6no primenjuju tristepena revizije procesa&
• P,I& je Kvr; tabeleL pregled postojeće i kompletne dokumentacije kao što su
organizaciona bezbednosna politika$ izjava primenljivosti >SO'? i plan postupkarizika >,AP?%
• :,U4I& je detaljna$ duboka revizija koja uklju6uje testiranje postojanja efektivnosti
informacioni; sigurnosni; kontrola$ navedeni; u SO' i ,AP$ kao i nji;ovi; pomoćni;dokumenata%
• A,1MI& je praćenje ponovne procene revizije da bi se potvrdilo da je pret;odna
sertifikaciona organizacija ostala u skladu sa standardima% Sertifikaciono održavanjeuklju6uje periodi6ne preglede i ponovne procene dabi se potvrdilo da IS"S nastavljada deluje kao što je nazna6eno i nameravano%
10
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 11/19
Ovaj me<unarodni standard usvaja procesni pristup za uspostavljanje$ primenu$funkcionisanje$ nadzor$ reviziju$ održavanje IS"S7a jedne organizacije% Organizacija treba daidentifikuje i upravlja mnogim aktivnostima da bi efikasno funkcionisala% 5ilo koja aktivnostkoja koristi resurse i koja je vo<ena da bi omogućila transformaciju ulaza u izlaze može da
sesmatra procesom% Eesto ulaz >input? jednog procesa direktno stvara izlaz >output? sledećeg procesa% Primena sistema procesa u okviru organizacije$ zajedno sa identifikacijom iinterakcijom ti; procesa$ i nji;ovo upravljanje$ 6esto se zove Kprocesni pristupL%
Procesni pristup za upravljanje informacionom sigurnošću predstavljen u ovomme<unarodnom standardu o;rabruje svoje korisnike da naglase važnost&
a? razumevanja za;teva informacione sigurnosti jedne organizacije i potrebu da se utvrdi politika i ciljevi informacione sigurnostiF
b? kontrole primene i funkcionisanja da bi se upravljalo rizicima informacione sigurnosti
jedne organizacije u kontekstu ukupni; poslovni; rizika organizacijeF
c? nadzor i revizije u6inka i efikasnosti IS"S7aF
d? stalno poboljšavanje bazirano na objektivnom merenju%
Ovaj me<unarodni standard usvaja model KPlaniraj7,adi7Proveri7:elujL >JPlan7:o7;eck7'ctJ 7 P:'? model$ koji se primenjuje na strukturu svi; IS"S procesa% Slika 2%)%)%ilustruje kako jedan IS"S uzima kao ulaz za;teve informacione sigurnostii i o6ekivanjazainteresovani; strana i kroz neop;odne radnje i procese daje rezultat informacione
sigurnostii koji zadovoljava ove za;teve i o6ekivanja%
Slika 2%)%)% Procesni pristup / model P:'
;a"iraj& Ustanoviti IS"S politiku$ ciljeve$ procese i procedure relevantne za upravljanjerizikom i poboljšanje informacione sigurnosti da bi se dobili rezultati u skladu sa ukupnom
politikom i ciljevima organizacije%Uradi& Primeniti i rukovoditi IS"S politikom$ kontrolom$ procesima i procedurama%
11
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 12/19
rov)ri& Oceniti i$ gde je primenljivo$ izmeriti u6inak procesa u odnosu na IS"S politiku$ciljeve i prakti6no iskustvo i izveštavati rukovodstvo o rezultatima radi revizije%
D);!j& Preduzeti korektivne i preventivne mere$ zasnovane na rezultatima interne IS"Srevizije i revizije rukovodstva ili drugim relevantnim informacijama$ da bi se postiglo stalno
poboljšanje IS"S7a%
(.6. G;av"i d);ovi #$a"darda ISO (2331
8a;tevi standarda ISO 2!!) su sadržani u pet poglavlja >*$ +$ -$ i 3?%
o;av;j) 7& Opšte odredbe za sistem menadžmenta bezbednosti informacija koje za;tevajuod organizacije da$ poštujući sistemski i procesni pristup$ uspostavi$ dokumentuje$ primeni$nadzire$ preispituje$ održava i poboljšava dokumentovani sistem menadžmenta sigurnostiinformacija%
o;av;j) 5& Odgovornost rukovodstva sadrži za;teve rukovodstvu da obezbedi delotvornosprovo<enje za;teva iz Poglavlja * na na6in tako što će da uspostave sistem nadležnosti iodgovornosti za svaku aktivnost koja se u sistemu sprovodi$ definiše politiku$ ciljeve i
planove zaštite informacija$ obezbede sve potrebne resurse i sprovode stalne obukezaposleni; u oblasti sigurnosti informacija%
o;av;j) 9& Interne provere sistema menadžmenta bezbednosti informacija koje jeorganizacija u obavezi da sprovodi u redovnim vremenskim intervalima kako bi utvrdila da likontrole$ kontrolni ciljevi$ procesi i procedure sistema menadžmenta bezbednosti informacijazadovoljavaju uslove navedene u ovom poglavlju%
o;av;j) 2& Preispitivanje sistema menadžmenta bezbednosti informacija od stranerukovodstva za;teva preispitivanje ovog sistema u planiranim vremenskim intervalima kako
bi se obezbedila njegova stalna prikladnost$ adekvatnost i efektivnost% Ovo preispitivanjemora da obu;vati procenu mogućnosti poboljšavanja$ kao i procenu potreba za izmenama uokviru sistema$ uklju6ujući politiku i ciljeve zaštite%
o;av;j) 8& Poboljšanje sistema menadžmenta bezbednosti informacija definiše za;teve zastalna poboljšanja efikasnoti sistema kroz sprovo<enje politike zaštite informacija$ispunjavanje ciljeva zaštite$ zatim primenom rezultata provera$ analiza nadgledani; doga<aja$korektivni; i preventivni; mera$ kao i preispitivanjem od strane rukovodstva%
Ovaj standard razlikuje dve vrste za;teva za sistem menadžmenta bezbednosti informacija&
G "etodološki za;tevi >Poglavlja * / 3? i
G 8a;tevi za sigurnosnim kontrolama >'neN ' standarda?%
G
12
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 13/19
6. i;j)vi i <r)d"o#$i #$a"darda ISO (2333
ilj standarda serije ISO 2!!! je obezbe<enje poverljivosti$ integriteta i dostupnostiinformacija zainteresovanim$ ovlašćenim stranama$ kroz postavljanje adekvatni;me;anizama zaštite informacija% 8ainteresovane strane 6ine klijenti$ zaposleni$ poslovni
partneri i društvo u celini%
=ezaštićeni informacioni sistemi su podložni razli6itim vrstama pretnji$ kao što sura6unarski potpomognute prevare$ sabotaže i virusi% Pretnje mogu biti interne ili eksterne$slu6ajne ili zlonamerne% Povreda informacione bezbednosti može dovesti do neovlašćenog
pristupa$ kra<e$ oštećenja ili gubitka zna6ajni; informacija%Implementacija sistema zaštite i
bezbedosti informacija pruža uverenje klijentima i poslovnim partnerima da se premainformacijama postupa odgovorno i da se one koriste i distribuiraju profesionalno i sigurno%
6.1 B)")%i$i i o=)>iva") <r)d"o#$i <ri&)") #$a"darda ISO (2331:
kod potencijalni; ili postojeći; korisnika se stvara poverenje u informacioni sistemorganizacije što doprinosi stvaranju poverenja korisnika i poslovni; partnera uorganizaciju$
obezbe<uje se da organizacija ima potpuno komplementaran sistem sa pravnomregulativom koja je vezana za informacione tokove jer se radi o standardu koji
poseduje izraženu fleksibilnost u tom pravcu$
obezbe<uje se sistem koji je usmeren na jasna i stalna poboljšavanja procesa kojimase obezbe<uje informaciona sigurnost$ ostvaruje se transparentnost u pružanju usluga$
obezbe<uje se i sistem koji je posebno orijentisan na upravljanje rizikom i krozupravlja6ke aktivnosti$ na smanjenje rizika na dozvoljenu i minimalnu meru$
obezbe<uje se naprednije razumevanje informacioni; tokova u organizaciji 6ime seostvaruje zna6ajna dobit i u delu razumevanja i poboljšavanja poslovni; procesa$
stvara se me;anizam za smanjenje troškova kroz bolji menadžment rizikom iotklanjanje uzro6nika grešaka u organizaciji$ ostvaruje se bolja analizatroškovi0dobiti$
ostvaruje se lakši proces monitoringa >kroz smanjenje radni; napora$ primenu sistemasamoprovere i sl%?$
povećava se preventivno dejstvo >na primer kroz smanjenje uski; grla u mreži ilikroz analizu zaštićeni; i sa6uvani; podataka o procesima?$
smanjenje incidenata i bolje razumijevanje uzro6nika$ razvija se svest zaposleni; u
smislu zna6aja zaštite informacija$
13
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 14/19
obezbe<uje se jasan protok i raspoloživost informacija$pruža okvir za rešavanjesigurnosni; pitanja$obezbe<uje uskla<enost koja je 6esto vrlo bitan faktor u tenderimai javnim nabavkama$ postiže se prestiž i omogućava se bolja pozicioniranost na tržištui dr%
•
7. I#>!#$va ! <ri&)"i #$a"darda ISO (2331 ! Sr*iji i r)io"!
Statisti6ki pokazatelji govore da većina organizacija koje primenjuju za;tevestandarda ISO 2!!) tako<e posluju i u skladu sa standradom ISO 9!!) na osnovu 6egazaklju6ujemo da je sistem menadžmenta kvalitetom u praksi dobra osnova za uvo<enjesistema menadžmenta bezbednosti informacija% Organizacije koje se prvi put sreću sastandardima za razli6ite sisteme menadžmenta moraju pret;odno biti upoznate sa time kakose definišu procesi u organizaciji 7 šta predstavlja model sistema menadžmenta koji je
zasnovan na procesima i kako se sprovode za;tevi standarda u organizaciji% 8ato je najlakše inajefikasnije da po6nu sa uspostavljanjem sistema menadžmenta kvaliteta koji ima najopštijustrukturu% :akle$ efikasnije je da organizacija najpre uspostavi sistema menadžmentakvaliteta$ a da ga potom nadogradi sistemom menadžmenta bezbednosti informacija%
Prva sertifikacija integrisanog sistema menadžmenta ISO 2!!) bila je krajem2!!-%godine u firmi Q:(:esign Qouse >korisnici njeni; usluga su vodeći svetski
proizvo<a6i procesora& Intel$ '":$ Simens$ =1 i drugi%?% Ovo je ujedno bilo i prvoocenjivanje sistema po ISO 2!!) standardu u Srbiji% Primena standarda ISO 2 !!) posebno
je namenjena koje u svojem poslovanju imaju svoje interne ili eksterne informacione sisteme$ podatke koji su poverljivi$ 6ije funkcionisanje poslovni; procesa zavisi od informacionogsistema$ ali i ostalim organizacijama koje se žele prilagoditi potrebama današnjeinformacione sigurnosti%
14
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 15/19
Aabela 2% Organizacije u Srbiji koje imaju ISO 2!!) >izvor& Privredna komora Srbije?
ažno je istaći da se standard ISO 2!!) ne odnosi samo na kompanije koje se baveinformacionim te;nologijama$ iako je takvo mišljenje 6esto zastupljeno% Ovaj standard govori
da organizacija mora da zaštiti sve informacije >sa stanovišta raspoloživosti$ poverljivosti icelovitosto? za koje proceni da imaju vrednost po njeno celokupno poslovanje% Ao umnogome
prevazilazi sistem informacioni; te;nologija$ iako je nesumnjivo da se u savremenom poslovanju većina ti; informacija nalazi u informacionim sektorima organizacija%
=a osnovu svi; navedeni; podataka$ može se o6ekivati znatno veći stepen primenjivosti irast primene standarda ISO 2!!) u našoj zemlji >slika *%)%? u naredni; dve do tri godine&
•
većina banaka će sprovesti regulativu =arodni; banaka o sigurnosti informacijakoristeći metodologiju ISO 2!!)$ ali je pitanje da li ćepostojati veći interes zasertifikaciju$
• gotovo sva tela državne uprave i pravne osobe u javnim oblastima će morati da
primene standard ISO 2!!) i tu će biti najveći skok u primeni i sertifikaciji$
• firme koje su dobavlja6i banaka odnosno tela državne uprave$ a pogotovo one iz
te;nološkog i sigurnosnog sektora sve će više tražiti na6ine da se diferenciraju idokažu svoju te;nološki i sigurnosni nivo$ pa će i one doprineti zna6ajnijem rastu u
smislu sertifikovani; firmi$
• pretpostavka je da će i ostatak finansijskog sektora morati slediti praksu bankara po
pitanju sigurnosti informacija i rizika$ pa se može o6ekivati da će i taj sektor vrlo brzo pokrenuti projekte temeljene na ISO 2!!)%
15
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 16/19
*%)% Ilustrovan prikaz rasta broja kompanija u Srbiji sa ISO 2!!! >izvor& @@@%iso%org%?
7.1. I&<;)&)"$a'ija ISO (2331 ! ISS?!@ i#>!#$vo i+ <rv) r!>).
Aokom istraživanja i prikupljanja informacija za ISO 2!!! standard$ imali smo priliku da
popri6amo sa zaposlenima iz Insituta za standardizaciju Srbije7ISS i prenesu nam svojeiskustvo pre i nakon implementacije% Ono što smo tokom razgovora sa njima uo6ili na šta sunam prili6no skrenuli pažnju da mora da se radi pod KobaveznoL je to da se sve greške kojenastaju i koje se dešavaju moraju da se zapisuju$ ne da se prenose usmenim putem$ u interneformulare i naravno da se te iste greške vremenom otklone i da se zaposleni trude da ne
ponavljaju iste greške%Sertifikat se izdaje na * godine i jednom godišnje se vrše eksternekontrole$ koje su najavljene mesec dana unapred$ a tako<e se na svaka * meseca rade internekontrole% Aokom godina rada i ocenjivanja od strane akreditacioni; kuća$ uspeli su da izgodine u godinu budu imaju sve manje grešaka u sistemu% Ono što oni isti6u kao loše straneovog standarda je&
• preobimna administracija$
• slaba produktivnost zaposleni;$
• jedna osoba je odgovorna za standard$
• skupo održavanje licence >oko * !!! evra?
Aako<e$ uo6ili su i odre<ene benefite$ posle implementacije ISO 2!!) standarda kao što su&
• posedovanje back7up sistema$ u slu6aju njegovog KpadaL
• bolja prolaznost na tenderima za dobijanje novi; projekata za rad
• prostorija u kojoj se skladište svi podaci izgra<ena od vatrostalnog materijala i
vodootporna je%
=ažalost zaposleni nisu bili u mogućnosti da nam daju bilo kakav pisani materijal$ ali su namomogućili da pro6itamo ISO 2!!) standard u nji;ovim prostorijma$ i najavili nam da izlazinova verzija na srpskom jeziku za nepuni; mesec dana% Ono što su oni tako<e istakli jeste da
oni uglavnom ne poseduju podatke koje su strogo 6uvane tajne$ te da zbog toga organizacijekao što su banke i osiguravajuća društva najviše poseduju sertifikat za ISO 2!!) standard%
7.(. ri&)"a #$a"darda ISO (2331 ! +)&a;ja&a r)io"a
Aako<e smo se osvrnuli i na primenu standarda ISO 2!!) u Qrvatskoj$ u kojoj jetrenutno zabeležena veći broj uspostavljeni; sistema menadžmenta bezbednosti informacija%#ompanije koje su me<u prvima ovakav sistem sertifikovale to su u6inile po staroj normi 5S
9972 >koja je kasnije prešla u ISO 2!!)?% "e<u njima su bile Pliva informatika >45S / 4lobal 5usiness Services? i S omputer SBstems$ kao kompanije koje su na ovaj na6in
16
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 17/19
dokazale svoj te;nološki nivo razvoja i stvorile osnovu za proširivanje tržišta% Ubrzo nakontoga sertifikaciju sistema prema standardu ISO 2!!) su izvršile ipnet >iniciranu projektima
pokrenutim na nivou korporacije? i Primorsko7goranska županija kao prvo telo lokalnesamouprave% 4rupi sertifikovani; kompanija se priklju6ila i 'gencija za komercijalnu
delatnost >'#:? usled svoje specifi6ne delatnosti i želje da sigurnost informacija podigne na još viši nivo$ kao i Privredna banka 8agreb koja je kao prva u finansijskom sektoru uo6ilaodre<enu marketinšku korist od uspostavljanja ovakvog sistema i posedovanja odgovarajućegsertifikata%
Podaci prikazuju da je do sada izdato sertifikata prema ISO 2!!)$ u nekim odzemalja u regionu$ u Qrvatskoj -!$ Sloveniji )+$ 5osni i Qercegovini )! i "akedoniji +$ atako<e je zanimljivo da rna gora nema ni jedan izdat sertifikat$ što predstavlja zanemariv
broj u odnosu na zemlje kao što je ,uminija 3!$ 5ugarska 2)! i "a<arska sa 2!! izdati;sertifikata% "e<utim$ veliki broj banaka u Qrvatskoj jezapo6elo$ ili će zapo6eti$ projekte
primene za;teva standarda ISO 2!!)% >Slika *%2% F izvor& @@@%iso%org%?
Slika *%2% Ilustrovan prikaz zemalja u regionu sa implementiranim ISO 2!!) standardom%
17
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 18/19
5. Za>;j!=a>
Uvo<enje interneta$ elektronskog poslovanja itd% zna6ajno je povećalo sposobnostorganizacija da obavlja poslovne aktivnosti i da brzo reaguju na stalne promene koje sedešavaju u okruženju% 5ez primene ovi; te;nologija organizacije teško mogu da prežive natržištu koje se sve više globalizuje% "e<utim$ informacije i informacioni resursi >;ardverski isoftverski? dansa su izloženi brojnim pretnjama po sigurnost te se konceptzaštite$ odnosnosigurnosti informacija nameće kao jedan od prioriteta poslovanja%
Savremena poslovna praksa pokazuje da se$ danas$ sigurnost informacija ne ti6e samosektora za informacione sistema već se ti6e celokupnog poslovanja jer se sve odluke irešavanja problema na nivou organizacije moraju temeljiti na informacijama% Standard ISO2!!) se može posmatrati kao model tj% dobra praksa u obliku smernica i preporuka zaobezbe<enje delotvornog sistema menadžmenta sigurnosti informacija% =jegovom primenomse stvara sistem koji je fokusiran na stalna poboljšavanja i smanjenje troškova$ kao ieliminisanje uzro6nika grešaka u sistemu%Sve je veći broj organizacija koje to uvi<aju te seo6ekuje veće interesovanje organizacija za ovu oblast i porast broja sertifikata izdati; poovom standardu%
18
7/25/2019 Seminarski Rad - IsO 27 000
http://slidepdf.com/reader/full/seminarski-rad-iso-27-000 19/19
9. Li$)ra$!ra:
● Information SecuritB "anagement SBstem$;ttp&00en%@ikipedia%org0@iki0InformationRsecuritBRmanagementRsBstem
● Sistem menadžmenta bezbednošću informacija / Uloga i zna6aj sertifikacije i akreditacije$ mr ida ivković$ dr :ejan#rnjaić$;ttp&00@@@%ats%rs0upload0dl05I(A1=0IS"Sida8ivkovic:ejan#rnjaic%pdf
● 5ezbednost informacioni; sistema >skripta?$;ttp&00docs%google%com0vie@erDaTvpidTsitessrcidT84mVWsd4,vbXYpbnNi8Wpi8X,ub.=!aW=38.g-"A'2VX1NOXY;O4"N=AVz"'
● "e<unarodni ISO0I1 standard 2!!)$;ttp&00docs%google%com0vie@erDaTvpidTsitessrcidT84mVWsd4,vbXYpbnNi8Wpi8X,ub.=!aW=38.g-=zl;8:=m
=zYkO4,i"mI+"Z● ISO0I1 2!!! series$;ttp&00en%@ikipedia%org0@iki0ISO0I1R2!!!7series●
ISO0I1 2!!)$;ttp&00en%@ikipedia%org0@iki0ISO0I1R2!!)● ISO0I1 2!!2$;ttp&00en%@ikipedia%org0@iki0ISO0I1R2!!2● ISO0I1 (233(&2!!+ Information tec;nologB 77 SecuritB tec;niHues$
;ttp&00@@@%cert%sd0iso2!!2%pdf ● Understanding ISO 2!!2$ Aom arlson$
;ttp&00@@@%orangeparac;ute%com0documents0UnderstandingRISOR2!!2%pdf ● ISO0I1 2!!.$;ttp&00en%@ikipedia%org0@iki0ISO0I1R2!!.● ISO0I1 2!!*$;ttp&00en%@ikipedia%org0@iki0ISO0I1R2!!*● ISO0I1 2!!+$;ttp&00en%@ikipedia%org0@iki0ISO0I1R2!!+● @@@%ecdlcentar%com / 1:( centar [ugoimport7 S:P,$ januar 2!)!%● @@%sigurnost%info / Portal za informacijsku sigurnost$ januar 2!)!%● Standard ISO 2!!)&2!!+$ Information securitB management sBstems /
,eHuirements$International organization for standardization
19
