Upload
harry
View
52
Download
3
Embed Size (px)
DESCRIPTION
Upravljanje sigurnošću informacija. Milorad Milivojević IT@SavaOsiguranje [email protected]. Informacija Informaciona bezbednost Rizici Uvod u ISO 27000. Šta je informacija?. Informacija je imovina - PowerPoint PPT Presentation
Citation preview
• Informacija
• Informaciona bezbednost
• Rizici
• Uvod u ISO 27000
Šta je informacija?
• Informacija je imovina
• kao i bilo koja druga bitna poslovna imovina kompanije, ima vrednost za organizaciju i konstantno mora biti prikladno zaštićena.
Egzistira u različitim oblicima• Štampana, pisana, elektronska, vizuelna,
nematerijalna – znanje, iskustvo, ideja
• Kreirana, obrađena, emitovana, iskorišćena, kontrolisana
• Vlastita, modifikovana, izgubljena, uništena, ukradena
Šta je informaciona sigurnost?
Šta je informaciona sigurnost?• „nešto“ što čuva vredne informacije
sigurne (zaštićene, bezbedne od oštećenja)
• To nije nešto što možete da kupite, ali je nešto što radite
• To je stalni proces i nije proizvod
Informaciona sigurnost je definisana kao očuvanje:
Poverljivosti
Integriteta
Dostupnosti
Omogućiti dostupnost informacija, samo
autorizovanim korisnicima
Zaštititi tačnost i kompletnost informacija i načina obrade
Obezbediti dostupnost informacije kada je to
potrebno
Kako postižemo?• Kombinacijom različitih strategija i pristupa
• Utvrđivanjem rizika i proaktivnim upravljanjem
• Očuvanjem CIA
• Izbegavanjem, sprečavanjem, otkrivanjem i oporavkom od incidenata
• Obezbediti ljude, procese i tehnologiju… ne samo IT
LjudiMenadžment i
zaposleni
ProcesiPoslovne aktivnosti
TehnologijaIT, komunikacije…
Cilj
• Zaštiti podatke od raznih pretnji
• Obezbediti kontinuitet poslovanja
• Smanjiti finansijske gubitke
• Optimizovati CAPEX i OPEX
• Stvoriti mogućnosti za bezbedno poslovanje
• Održati privatnost i usaglašenost
Zašto?
Sigurnosni incidenti – posledice:
• IT downtime-a, prekid poslovanja
• Finansijski gubici i troškovi
• Devalvacija intelektualne svojine
• Kršenje zakona i propisa
• Narušavanje ugleda, gubitka tržišta, kupaca, poslovnih partnera, poverljivosti, biznisa…
• Strah, nesigurnost i sumnja
Šta je rizik?
• Rizik je mogućnost realizacije neželjenog događaja
• Rizik je mogućnost da pretnja eksploatiše ranjivost u informacionim resursima, što dovodi do direktnog negativnog uticaja na kompaniju.
Pristup proceni rizika
PRETNJA
Katalizator
Nepredvidiv događaj koji nas primorava da nešto uradimo
RANJIVOST
Problem
Slabost koja može biti iskorišćena
UTICAJ
Motivacioni
Razlog zašto neko treba da uradi nešto
Iskorišćava ranjivostUzrokuje uticaj
Pristup proceni rizika
PRETNJA
- Namerne (iznutra, spolja, fizičke, logičke)
- Nenamerne (greške, kvarovi)
RANJIVOST
- Ljudske greške (nedostatak znanja, interesa, umor)
- Tehničke ranjivosti (OS update, APP update, otvorene mreže, wifi, bluetooth, pogrešna konfiguracija)
UTICAJ
- Finansijski gubitak- Gubitak ugleda- Gubitak vremena- …
Osnovni parametri za upravljanje rizikom
• izbor odgovarajućeg pristupa za procenu rizika• uspostavljanje kriterijuma za evaluaciju rizika• uspostavljanje kriterijuma za procenu verovatnoće
uticaja• uspostavljanje kriterijuma za prihvatanje i tretman
rizika• određivanje potencijalno raspoloživih resursa
I kako sada da mi zaštitimo naše informacione resurse?
Kratka istorija ISO 27000• 1990-ih
- Information Security Management Code of Practice – BS7799
• 2000-ih- Prihvaćen od ISO/IEC-a, nastao ISO17799, objavljen ISO 27001, počela sertifikacija
• Sada- Proširen paket standarda za bezbednost informacija, ažuriran i reizdavan na nekoliko godina
ISO 27001• Odnosi se na upravljanje sigurnošću
informacija, ne samo na IT
• Formalno definiše sistem upravljanja
• Koristi PDCA model
• Primenjiv u heterogenim okruženjima
CHECKNadgledanje & Provera ISMS
CHECKNadgledanje & Provera ISMS
ACTOdržavanje &unapređenje
ACTOdržavanje &unapređenje
DOImplementacija
&Izvršavanje
ISMS
DOImplementacija
&Izvršavanje
ISMS
PLANUspostavljanje
ISMS
PLANUspostavljanje
ISMS
IS POLITIKA
SECURITY ORGANIZACIJA
IDENTIFIKACIJA& KLASIFIKACIJA
ASSET-a
KONTROLA SELEKCIJA &
IMPLEMENTACIJA
PROVERA EFIKASNOSTI
ISMS-a
KOREKTIVNE & PREVENTIVNE
METODE
DOPUNJAVATISIGURNOSNE
PLANOVE
REDOVAN NADZOR
MENADžMENT-a
Odrediti opseg ISMS-a• Data centar
• DR site
• Elektronske arhive
• Internet bankarstvo
• Kroz celu organizaciju
Ključni dokumenti• Korporativna sigurnosna politika
• Prateće politike: fizičke sigurnosti, email, HR, incident menadžment, usklađenost
• Procedure i uputstva
• Zapisi, security logovi, security izveštaji, korektivne akcije
Konačni cilj implementacije• Projektovati, implementirati, upravljati i
održavati ISMS koji je u skladu sa međunarodnim standardima, uključujući opšte priznate bezbednosne norme
Benefiti• Dokazana posvećenost sigurnosti kompanije
• Pravna i regulatorna usaglašenost
• Olakšano i unapređeno upravljanje rizikom
• Komercijalni kredibilitet, poverljivost
• Smanjenje troškova
• Usmeravanje zaposlenih, poboljšana svest
Ko je odgovoran?• IS manager / CSO
• Tim za upravljanje incidentima
• Tim za Business Continuity
• IT, Pravni, HR i ostali sektori
• Interna revizija
• Poslednji na spisku, ali ne i najmanje bitni Vi!
There is no security;there is only opportunity.
Douglas MacArthur