SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
UČINKOVITA IMPLEMENTACIJA CJELOVITIH SUSTAVA
INFORMACIJSKE SIGURNOSTI
ZIH d.o.o.Silvana Tomi ć Rotim, Lead Auditor, CISA
Opatija, KOM 2009, 25.11.2009.
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Agenda
Motivi uvoñenja ISMS-aProces uvoñenja ISMS-aUpravljanje informacijskom imovinomUpravljanje sigurnosnim rizicimaImplementacija i mjerenje učinkovitosti ISMS-aNešto za kraj
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
MOTIVI UVOðENJA ISMS-a
Zaštita imovineNesmetano odvijanje poslovnih procesaZahtjev poslovne okolineSmanjenje ili uklanjanje rizikaSmanjenje broja incidenataUsklañenost sa zakonskom regulativomKonkurentnostImidž
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Prednosti koje se postižu ISMS-om
Sigurnost i povjerenje u IS Prikladna zaštita informacijske imovineTržišna prednostSukladnost sa zakonomImidžPruža se izvrsna check lista raspoloživih kontrolaPredstavljanje vlastite prakse s dokazima
�Krajnjim korisnicima�Poslovnim partnerima�Auditorima
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Istina
Ne postoji 100% sigurnostSigurnost se ne može kupiti - nemagotovih rješenja!!!Sigurnost je trajan proces, ne stanjePodrška poslovodstva te organizirana i trajna izobrazba uvjet je za kvalitetan sustav sigurnosti
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Pogled u informacijsku sigurnost
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
ODNOSI MEðU ELEMENTIMA SIGURNOSTI
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Što je ISMS?
ISMS (Information Security Management System) je dio cjelokupnog sustava upravljanja, a odnosi se na pristup rukovanju sigurnosnim rizicima, te uspostavu, uvoñenje, provoñenje, nadzor, procjenu, održavanje i kontinuirano poboljšavanje informacijske sigurnosti.
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
PDCA MODEL
Metodologija Plan-Do-Check-Act može se primijeniti na sve procese ISMS-a.
PLAN : definiranje ciljeva i procesa ISMS-a koji su potrebni da bi se zadovoljili zahtjevi korisnikaDO: provoñenje procesa i rukovanje ISMS-om
CHECK: nadziranje i mjerenje rezultata procesa prema definiranim politikama, ciljevima i zahtjevima
ACT: kontinuirano poduzimanje akcija da bi se poboljšalo izvoñenje ISMS procesa
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
NORME SERIJE ISO 27000
ISO 27000
ISO 27799
ISO 27003
ISO 27001
ISO 27002
ISO 27004
ISO 27005
ISO 27006
ISMS- načela i rječnik
Zahtjevi za tijela koja pružaju
certifikaciju ISMS-a
ISMS- upravljanje rizikom
ISMS- metrike i mjerenja
ISMS- zahtjeviISMS-
smjernice za uvo ñenje
ISMS u zdravstvu
ISMS-sigurnosne
tehnike
ISO 27008
Smjernice za ISMS auditore
ISO 27007
Smjernice za ISMS
audit
ISO 27011
ISMS u telekomunikacijama
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Proces uvoñenja ISMS-a
IZRADA POLITIKE SIGURNOSTI I CILJEVA
TE DEFINIRANJE ORGANIZACIJE
Politika identifikacije i klasifikacije
informacijske imovine
Metodologija procjene rizika
DEFINIRANJE OPSEGA
PRIMJENE I GRANICA ISMS-a
POČETAK
Opseg primjene ISMS-a
Politika i ciljevi ISMS-a (sadrži krovnu
organizaciju)
IDENTIFIKACIJA I KLASIFIKACIJA
INFORMACIJSKE IMOVINE
Popis imovine
PROCJENA RIZIKA
INFORMACIJSKE IMOVINE
Izvješće o procjeni rizika
PRIPREMA PLANA POSTUPANJA S
RIZICIMA (uključuje kontrole i način njihovog
mjerenja) Plan postupanja s rizicima
Rizik izvan granica
prihvatljivosti?
PROJEKTIRANJE SIGURNOSNIH
KONTROLA (ISO 27001Anex A /ISO
27002)
DA
Elementarne politike
Procedure
Radne upute
IMPLEMENTACIJA SIGURNOSNIH
KONTROLA (ISO 27001Anex A /ISO
27002)
IZRADA OBAVEZNIH PROCEDURA PO ISO
27001
Procedura upravljanja dokumentima i
zapisimaProcedura za popravne i
preventivne radnje
Procedura za interne procjene
A
ODRŽAVANJE ISMS-a
NE
A
OBUKA INTERNIH
PROCJENITELJA
PROVEDBA INTERNIH
PROCJENA
Uočena nesukladnost?
PROVEDBA POPRAVNIH
RADNJI
OCJENA ISMS-a OD STRANE
UPRAVE
DA
CERTIFIKACIJA ISMS-a
ODRŽAVANJE ISMS-a
Procedura za interne procjene
Izvješće o procjeni
Izvješće o nesukladnostima
NEZapis o provedbi popravnih radnji
Zapis o ocjeni sustava od strane
uprave
Rezultati internih procjena
Status popravnih i preventivnih radnji
Tehnike, procedure i proizvodi koji se mogu koristiti za poboljšanje
ISMS-a
Rezultati mjerenja učinkovitosti
kontrola Sve promjene koje mogu utjecati na
ISMSPreporuke za poboljšanje
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Plan projekta
Osvješćivanjei educiranje djelatnika
Krovna politika ISMS-a
Identifikacija i klasifikacija
imovine
RiskAssesment
Održavanje ISMS-a
Izrada dokumentacije i implementacija
ISMS-a
RiskTreatment
Detaljni projektni plan
Definiranje Scope-a
Upravljanje incidentima
Procjena ranjivosti imovine
Identifikacija posl. procesa
Identifikacija imovine
Klasifikacija imovine
Procjena prijetnji
Procjena rizika
Prijedlog kontrola za
zaštitu imovine
Izrada plana postupanja s
rizicima
Odreñivanje rezidualnog
rizika
Izrada politika i procedura
Izrada druge potrebne
dokumentacije
Primjena u praksi i ocjene
sustava
Risk re-assessment
Interne procjene ISMS-a
Vanjske procjene ISMS-a
Poboljšanja ISMS-a
Generiranje i kontrola
sigurnosnih zapisa
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Upravljanje informacijskom imovinom
Informacijska imovina tvrtke je sve ono što za tu tvrtku predstavlja odreñenu vrijednost i samim time se treba zaštititi.Informacijska imovina se može klasificirati na:� Informacije (baze podataka, datoteke, dokumenti …)�Programsku podršku (aplikacije, sistemski SW …)�Fizičku imovinu (računalna i komunikacijska oprema,
mediji …)�Usluge (računalne, opće – napajanje, klima …)�Ljudske resurse
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Popis imovine(A.7.1.1)
identifikacija imovine (vrijednost i važnost)
popis imovine s dogovorenim i dokumentiranim vlasništvom, klasifikacijom i razinom zaštite
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Vlasništvo nad imovinom (A.7.1.2)
Sve informacije i sva imovina vezana uz opremu za obradu informacija trebala bi biti vlasništvo odreñenog dijela organizacije
Vlasnik imovine treba biti odgovoran za:�klasifikaciju informacija i imovine�odreñivanje i periodičko provjeravanje ograničenja i
klasifikacije pristupa u skladu s politikama kontrole pristupa
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Kako na činiti popis imovine? -Polazište
Polazište: poslovni procesi Vaše organizacijeKategorizirati procese i donijeti odluku o kritičnosti svakog od njih za poslovanjeZa odabrane kritične procese radi se klasifikacija imovine i analiza rizikaOsigurati da je količina promatrane imovine takva da je upravljiva u analizi rizikaImovina nasljeñuje kritičnost od procesa kojima pripada“Kritičnost” je kombinacija “raspoloživosti”, “integriteta” i “povjerljivosti”
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Funkcija
Informacijskeslužbe
Ostale službe
Financijskasredstva
Izlaznimaterijal
Rezultat/doga ñaj
Početnidoga ñaj
Informacijskeslužbe
Ostale službe
Financijskasredstva
Ulaznimaterijal
SoftwareLjudskiresursi
Organizacijskajedinica
RačunalaStrojevi
Podaci ookolišu
Cilj
PorukaPokre će
Odgovara
Procesira
njeU
potr
eba Upotreba
Izvršavanje, kontrola
UlaziIzlaz
Izlaz
(stvoren je)
Ulaz
(procesira se)
Kon
trol
ira
Transformira
Organizacijski tok/Tok resursa
Tok nadzora
Tok informacija
Tok informacijskih usluga
Tok materijalnih resursa
Tok financijskih resursa
Opći model poslovnog procesa
UslugeKoristi
Klju čne osobe
Obavljaju
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Klasifikacija informacijske imovine(A.7.2)
NORMALNAUmjerena, Niska, Bez utjecajaUobičajenNeklasificirano
VISOKAStandardnaUobičajenNeklasificirano
VISOKAStandardna, Umjerena, Niska ili Bez utjecaja
VažanNeklasificirano
VISOKAStandardna, Umjerena, Niska ili Bez utjecaja
Važan ili UobičajenPovjerljivo ili Ograničeno
VRLO VISOKAKritična ili VisokaVažan ili UobičajenPovjerljivo, Ograničeno ili Neklasificirano
VRLO VISOKAKritična, Visoka, Standardna, Umjerena, Niska ili Bez
utjecaja
NužanPovjerljivo, Ograničeno ili Neklasificirano
VRLO VISOKAKritična, Visoka, Standardna, Umjerena, Niska ili Bez
utjecaja
Nužan, Važan ili UobičajenVrlo tajno ili Tajno
Klasifikacijska oznakaRaspoloživostIntegritetPovjerljivost
BPR SP & BSC ISMS ISO 9001 nadzor IS-a
© ZIH
UPRAVLJANJE SIGURNOSNIM
RIZICIMA
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Položaj rizika u ISMS-u
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Što je sigurnosni rizik?
Rizik predstavlja kombinaciju vjerojatnosti ostvarenja odreñene prijetnje i njezinih posljedica na imovinu.Upravljanje rizikom obuhvaća:�Procjenu rizika�Obradu rizika
�Prihvaćanje rizika i�Priopćenje
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Prijetnja
Predstavljaju potencijalni uzrok neželjenog incidenta koji može rezultirati ugrožavanjem sustava ili organizacije i njezine imovine. Može biti slučajna ili namjerna. Predmet prijetnji je uvijek imovina tvrtke.Neke od prijetnji jesu:
�Prirodne katastrofe (potres, poplava, grom …)�Prijetnje uzrokovane ljudskim djelovanjem (slučajne i namjerne)�Tehnologija (kvar opreme, nesukladna oprema …)�Prijetnje uzrokovane organizacijskim propustima (nedostatak
kontrolnih mehanizama, pravila …)
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Ranjivost
Ranjivost je slabost imovine koju jedna ili više prijetnji mogu iskoristiti. Ranjivost sama po sebi ne uzrokuje štetu, ali ako doñe do incidenta i njome se ne upravlja na pravilan način, tada šteta nastaje.
Neke od ranjivosti su:�Nezaštićen fizički pristup osjetljivim prostorima�Nepostojanje UPS-a�Nekorištenje antivirusnih programa�Nedefinirana pravila logičkog pristupa aplikacijama
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
učestalost
posljedice
Funkcija rizika
Rizik = f(» vjerojatnosti prijetnje» vrijednosti imovine» razine ranjivosti imovine» utjecaja prijetnje na imovinu» itd....» )
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Izvori i oblici prijetnji informacijskoj imovini
PoplavaNeodgovarajuća organizacija
PotresNeznanje
Oluja Nemar
Incidentne situacijeNedisciplina
PožarNepažnja
LJUDI- NENAMJERNI
UTJECAJ
Onečišćenja
PRIRODA
Uništenje
ZračenjaSabotaža
Prekidi komunikacijeVirusi i drugo
Ispadi opremePrisluškivanje
Prestanak napajanjeKraña
Tehnička pogreška opreme
OPREMA
Neautorizirani pristup
LJUDI S ATRIBUCIJOM
NAMJERE
OBLIKIZVOROBLIKIZVOR
PRIJETNJE
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Procjena rizika - primjer
Rizik se izračunava kao:
R = PT * IT
Tabela razina rizika
000Bez utjecaja (0)
123Nizak (1)
246Srednji (2)
369Visok (3)
Niska (1)Srednja(2)Visoka(3) Utjecaj štete (I T)
Vjerojatnost ostvarenja prijetnje ( PT)
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Obrada rizika
Postoje 4 mogućnosti obrade rizika:1. Primjenjivanje odgovarajućih kontrola za
smanjenje rizika2. Svjesno i objektivno prihvaćanje rizika (ako on
zadovoljava politiku organizacije i kriterije za prihvaćanje rizika)
3. Izbjegavanje rizika 4. Prijenos rizika na druge strane, npr.
osiguravatelje ili dobavljače
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Koje kontrole odabrati?
Kontrole mogu uključivati:Kontrole iz ISO/IEC 27001:2005 Anex AKontrole iz zakona i ostalih regulativaZahtjeve korisnikaZahtjeve organizacijeOstale važeće kontrole
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
ODNOS RIZIKA I TROŠKA SIGURNOSTI
Investicije(trošak)
Investicije
Rizici
Cilj
Max Min
Veličinarizika
SVRHA - Odrediti prihvatljiv rizik
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Obavezni dokumenti vezani za rizike po ISO 27001
�Metodologija procjene i postupanja s rizicima
�Izvješće o procjeni rizika �Plan postupanja s rizicima�Izjava o primjenjivosti - SOA
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Izjava o primjenjivosti (SOA)
Izjava o primjenjivosti - SOA (Statement of Applicability) je dokument u koji se zapisuju razlozi odabira tj. isključenja pojedinih kontrola.
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
IMPLEMENTACIJA I MJERENJE UČINKOVITOSTI ISMS-a
Odabrane sigurnosne kontrole implementiraju se kroz:
Organizaciju za sigurnostDokumentaciju (politike, procedure, upute, …)Fizičku provedbu sigurnosnih mjeraInstalaciju i konfiguraciju softvera u skladu sa sigurnosnim zahtjevimaObuku osobljaProcjene itd.
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Politika informacijske sigurnosti kao krovni dokument
Korporativna poslovna politika(proizašla iz ciljeva i strategije)
Korporativna politika sigurnosti
Politika informacijske sigurnosti
Politika ICT sigurnosti
Politika ICT sigurnosti na razini odjela (PJ)
Sustav BPolitika ICT sigurnosti
sustava A
Korporativna ICT politikaDruge politike
Korporativna politika razvoja,prodaje itd
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Zahtjevi norme ISO 27001:2005
4. Sutav upravljanja informacijskom sigurnošću5. Odgovornost uprave
6. Interne procjene ISMS-a7. Ocjena sustava od strane uprave
8. Poboljšanja ISMS-aAnex A
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Annex A
A.5 Politika sigurnostiA.6 Organizacija informacijske sigurnostiA.7 Upravljanje imovinomA.8 Sigurnost ljudskog potencijalaA.9 Fizička sigurnost i sigurnost okruženjaA.10 Upravljanje komunikacijama i operacijamaA.11 Kontrola pristupaA.12 Nabava, razvoj i održavanje informacijskih
sustavaA.13 Upravljanje sigurnosnim incidentomA.14 Upravljanje kontinuitetom poslovanjaA.15 Sukladnost
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Veza normi ISO 27001:2005 i ISO 27002:2005
ISO 27001 - Anex A: A.5A.6A.7A.8A.9A.10A.11A.12A.13A.14A.15
ISO 27002:Klauzula 5Klauzula 6Klauzula 7Klauzula 8Klauzula 9Klauzula 10Klauzula 11Klauzula 12Klauzula 13Klauzula 14Klauzula 15
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Zakonska regulativa RH u podru čju informacijske sigurnosti
Zakon o informacijskoj sigurnosti
Uredba o mjerama informacijske sigurnosti
PravilniciStandardi informacijske sigurnosti
•Pravilnik o standardima sigurnosne provjere•Pravilnik o standardima fizičke sigurnosti•Pravilnik o standardima sigurnosti podataka•Pravilnik o standardima organizacije i upravljanja područjem sigurnosti informacijskih sustava•Pravilnik o standardima sigurnosti poslovne suradnje
Zakon o tajnosti podataka
Zakon o pravu na pristup informacijama
Zakon o zaštiti osobnih podataka
Zakon o autorskom pravu i srodnim pravima
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Pripreme za implementaciju ISMS-a
Pripremne radnje za implementaciju ISMS-a obuhvaćaju:
Pregled i ovjeru dokumentacije ISMS-aDistribuciju dokumentacije svima na koje se odnosi (djelatnici i treća strana)
Edukaciju i osvješćivanje djelatnika
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Edukacija djelatnika
Pri implementaciji ISMS-a potrebno je provesti više vidova edukacije:�Obuku djelatnika za postupanje u skladu sa
zahtjevima norme ISO 27001:2005 i ISMS dokumentacijom koja se na njih odnosi, uz obavezni osvrt na njihove odgovornosti
�Obuku internih procjenitelja koji će provoditi interne procjene ISMS-a
�Awareness radionice za podizanje svijesti o informacijskoj sigurnosti - kontinuirano
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Implementacija sustava i ono što slijedi
Nakon provedenih pripremnih radnji, sustav se implementira i kontinuirano nadzire i poboljšava:�Provode se interne procjene primjene sustava u
praksi�Analiziraju se rezultati procjena i otklanjaju
nesukladnosti�Prate se metrike za mjerenje učinkovitosti
implementiranih kontrola�Uprava vrši ocjenu sustava na temelju informacija o
njegovom funkcioniranju, dobivenih iz različitih izvora
SP & BSC ISO 9001 nadzor IS-aBPR ISMS
© ZIH
Pitanja...
Nedoumice...
Nejasnoće...
Hvala.