Departman za
poslediplomske studije
INŽENJERSKI MENADŽMENT
MASTER STUDIJSKI PROGRAM
Master rad
ZAHTEVI STANDARDA ISO 27001 ZA BEZBEDNOST INFORMACIJA I
UPRAVLJANJA RIZIKOM PRIMENOM STANDARDA ISO 27000
Mentor:
Student:
Vuk Tati
ć
Prof.dr. Dragan Cvetkovi
ć
Br. indeksa: 411195/2012
Beograd, avgust 2013.godina
Master rad
Zahtevi standarda ISO 27001 za bezbednost informacija
i upravljanja rizikom primenom standarda ISO 27000
2
SADRŽAJ
Uvod ..…………..…………..……………………………………………….……
3
1. Metodologija nau
č
nog istraživanja ..…………..…………..…………
6
1.1 Cilj istraživanja ..………………………………..…………..……………
6
1.2 Predmet istraživanja ...........…………..………………………...…………
6
1.3 Hipoteti
č
ki okvir ...........…………..………………………...………………
6
1.4 Metode i tok istraživa
č
kog procesa ..…………..…………..…………
6
1.5 Struktura rada ..…………..………………………………..……………….
6
2. Uopšteno o standardu ISO 27001 i njegov zna
č
aj ...........................
7
2.1 Istorijat ..…………..…………..………….…………..…………..…………
7
2.2 Definicije i termini ..…………..…………………………………..…………
8
2.3 Struktura serije standarda ISO 27001 ..…………..…………..………… 10
2.4 Zna
č
aj standarda ..................................…………..…………..………… 12
3.
Procesni pristup ..……………………………..…………..………… 14
3.1 PDCA model ..............……………………………..…………..………… 14
4. Sistem menadžmenta bezbednoš
ć
u informacija ........................... 15
4.1 Opšti zahtevi ...................................................................................... 15
4.1.2 Plan (Uspostavljanje ISMS-a) ......................................................... 15
4.1.3 Do (Implementacija i primena ISMS) ............................................... 17
4.1.4 Check (Pra
ć
enje i preispitivanje ISMS-a) ......................................... 18
4.1.5 Act (Održavanje i poboljšavanje ISMS-a) ........................................ 19
5. Interne provere ISMS ........................................................................ 19
6. Preispitivanje ISMS od strane rukovodstva .................................... 20
7. Poboljšavanje ISMS-a ....................................................................... 21
8. Iskustva u primeni i prakti
č
ni aspekti ............................................. 21
9.
Uopšteno o standardu ISO 27002 ..…………..…………..………… 28
9.1 Istorijat …………..…………..…………..………………………………. 28
9.2 O Standardu ISO 27002 .…………..…………..………………………
28
9.3 Definicije i termini …………..…………..…………..…………..………
28
9.4 Struktura standarda …………..…………..…………..…..………………
30
10. Upravljanje rizicima …………..…………..……………..………………
31
10.1 Opšte …………..…………………………..…..…………..……………….
31
10.2 Priprema za procesa upravljanja rizikom ……………………………….
34
10.3 Identifikovanje opasnosti …………..…………..…………..…………….
13
10.4 Odre
đ
ivanje verovatno
ć
e nastanka rizi
č
nog doga
đ
aja ……………….
35
10.5 Odre
đ
ivanje posledica nastanka opasnosti
Master rad
Zahtevi standarda ISO 27001 za bezbednost informacija
i upravljanja rizikom primenom standarda ISO 27000
4
19. Nabavka, razvoj i održavanje informacionih sistema ……….…….
51
19.1 Zahtevi za sigurnost informacionih sistema ……………………………
52
19.2 Ispravna u obrada u aplikacijama ………………………………….…….
53
19.3 Kriptografske kontrole …………………………………………………….
53
19.4 Sigurnost sistemskih datoteka ………………………………….……….
53
19.5 Sigurnost u procesima razvoja i podrške ……………………………….
53
19.6 Upravljanje tehni
č
kim ranjivostima ……………………………..……….
53
20. Upravljanje incidentima narušavanja
igurnosti informacija …………………………………………………….
54
20.1 Izveštavanje o doga
đ
ajima u vezi sa sigurnoš
č
u
Informacija i o slabostima ……………………………………….……….
54
20.2 Upravljanje incidentima narušavanja sigurnosti
informacija i poboljšanja ………………………………………………….
54
21. Upravljanje kontinuitetom poslovanja ………………………….…….
55
21.1 Aspekti sigurnosti informacija kod upravljanja
kontinuitetom poslovanja …………………………………..…………….
55
22.
Uskla
đ
enost ……………………………………………………………. 56
22.1 Uskla
đ
enost za zakonskim odredbama ………………………………..
57
22.2 Uskla
đ
enost sa politikama i standardima sigurnosti
i tehni
č
ka uskla
đ
enost …………………………………………………….
57
22.3 Razmatranje provere informacionih sistema ………………………..….
57
23. Zaklju
č
ak ……………………………………………………………..…….
57
Literatura .......……………………………………………………………..……. 59
Master rad
Zahtevi standarda ISO 27001 za bezbednost informacija
i upravljanja rizikom primenom standarda ISO 27000
5
UVOD
Znanje, kao najzna
č
ajniji resurs svakog
č
oveka, pa i društva u celini, može se
definisati kao „Obim informacija, opažanja ili razumevanja koja poseduje neka osoba“
Krajem dvadesetog veka, industrijski period razvoja tehnologija i mašina, zamenjen
je razvojem informati
č
kih tehnologija koje u centar interesovanja stavljaju informacije
kao izvor znanja. Nagli razvoj informacionih tehnologija izaziva velike promene u
poslovanju svih
č
inioca društva, pa se ve
ć
po
č
etkom 21. veka savremena
informati
č
ka rešenja koriste u svim društvenim procesima.
Informacije postaju dobro koje, kao i druga društvena dobra, imaju vrednost koju
treba adekvatno zaštititi.
Imaju
ć
i u vidu da je
č
uvanje znanja, resursa od suštinskog zna
č
aja za društvo, jasno
je koliko je bezbednost informacija važna. U današnjim uslovima globalizacije tržišta,
informacije posebno veliki zna
č
aj imaju u poslovnom svetu,
č
esto od raspoloživosti i
ta
č
nosti informacija zavisi opstanak na tržištu.
Britanski Institut za standardizaciju (BSI) je po
č
etkom devedesetih godina postavio
osnovu za razvoj standarda za bezbednost informacija.
Prva verzija teksta ovog standarda BS 7799 se usvaja 1995. godine, a 1998. godine
dobija svoju prvu zvani
č
nu reviziju. BSI nedugo po objavljivanju prvog, prate
ć
i brz
razvoj interneta, objavljuje i drugi deo standarda BS 7799.
Zbog sve izraženijih potreba organizacija u svetu, razvoj ovog standarda podignut je
na me
đ
unarodni nivo u okviru ISO (International Organization for Standardization).
Me
đ
unarodna organizacija za standardizaciju ISO prihvata BS standarde i u junu
2005. godine objavljuju drugu verziju standarda koja se zvala ISO 17799
Informacione tehnologije - bezbednost tehnike - Na
č
ela upravljanja bezbednoš
ć
u
informacija.
Standard ISO 27001 se objavljuje u oktobru 2005. godine pod nazivom Informacione
tehnologije - Sistemi upravljanja bezbednoš
ć
u informacija - Zahtevi.
Standard 27001 je posve
ć
en bezbednosti informacija i specificira zahteve i daje okvir
na koji na
č
in organizacija treba da pristupe zaštiti informacija.
Standard ISO 27001 je zna
č
ajan za sve organizacije koje imaju potrebu za
menadžment informacijama, bez obzira
č
ime se bave, tj. da li posluju u oblasti
informacionih tehnologija ili se bave proizvodnjom ili pružanjem usluga.
Me
đ
unarodna organizacija za standardizaciju ISO i Me
đ
unarodna elektrotehni
č
ka
komisija IEC
č
ine specijalizovani sistem svetske standardizacije. Radi delovanja u
pojedinim oblastima tehni
č
ke aktivnosti, nacionalna tela koja su
č
lanovi ISO-a ili IEC-
a, u
č
estvuju u razvoju me
đ
unarodnih standarda preko tehni
č
kih komiteta koje je
osnovala odgovaraju
ć
a organizacija.
Kotrola se može definisati kao sredstvo za upravljanje rizikom, uklju
č
uju
ć
i smernice,
prakse, procedure ili organizacionu strukturu koja može biti tehni
č
ke, rukovodne,
administrativne ili zakonske prirode.
Master rad
Zahtevi standarda ISO 27001 za bezbednost informacija
i upravljanja rizikom primenom standarda ISO 27000
7
2. UOPŠTENO O STANDARDU ISO 27001 I NJEGOV ZNA
Č
AJ
Standard ISO 27001 ima za cilj obezbe
đ
enje poverljivosti, integriteta i dostupnosti
informacija zainteresovanim i ovlaš
ć
enim stranama kroz postavljanje mehanizama -
kontrola zaštite informacija.
U današnjoj eri informacionih tehnologija, informacija je postala lako dostupna, ali u
isto vreme i veoma ugrožena. Informacija je dobro koje, kao i druga vredna poslovna
dobra ima vrednost za organizaciju i potrebu da bude odgovaraju
ć
e zašti
ć
ena.
Danas, kada se gotovo kompletno poslovanje obavlja preko ra
č
unarskih poslovnih
sistema, bezbednost informacija postaje veoma važna. Zbog pretnji iz raznih izvora,
zaštita informacija je neophodna.
U uslovima visoke konkurentnosti, pravovremena i prava informacija je novac,
opstanak i prestiž na tržištu. Podatak koji je ažuran, pravovremeno dostavljen do
korisnika postaje informacija.
Sa aspekta bezbednosti informacije uo
č
avamo tri dimenzije: bezbednost podataka,
bezbednost kanala distribucije podataka i bezbednost koriš
ć
enja informacije.
Bezbednost informacija
č
ine slede
ć
a tri elementa:
Poverljivost: informacija nije dostupna neovlaš
ć
enim osobama, organizacijama
i procesima, što se u velikom broju slu
č
ajeva stavlja u prvi plan;
Integritet: zaštita ta
č
nosti i kompletnosti informacije;
Pristupa
č
nost: omogu
ć
avanje pravovremene dostupnosti informacijama
osobama sa ovlaš
ć
enjem i u vremenu kada je to potrebno na mestu gde je
predvi
đ
eno.
Pretnje po bezbednost informacija dolaze i iznutra i spolja. Možemo ih podeliti u
namerne i slu
č
ajne. Namerne su osmišljene akcije fokusirane na informacije, a
slu
č
ajne su neplanirani upadi u sistem spolja i neadekvatno rukovanje informacijama
od strane zaposlenih. Upravljanjem rizicima upravljamo bezbednoš
ć
u informacija.
U pravcu ostvarenja bezbednosti informacija usvojen je standard ISO 27001. U
standardu su specificirani zahtevi koje organizacija treba da ispuni da bi zaštitila
informacije. Ovaj standard je primenjiv za sve tipove organizacija.
2.1 Istorijat
Krajem dvadesetog veka na poslovnu scenu veliki trag je ostavio nagli razvoj
informacionih tehnologija.
Ovaj materijal je namenjen za učenje i pripremu, ne za predaju.
