Bezbednost racunarskih mreza – Uspostava ISMS po standardu ISO/IEC 27001:2005

Bezbednost racunarskih mreza – Uspostava ISMS po standardu ISO/IEC 27001:2005

1. Uvod
U ovom dokumentu se razmatra proces implementacije ISO/IEC 27001:2005 standarda u informacionom sistemu određene organizacije, kao i procedura sertifikacija po pomenutom standardu.

U tom smislu, u dokumentu su obrađene sledeće teme:

•     Uvodni opis ISO/IEC 27001:2005 standarda
•     Jedno viđenje procesa implementacije navedenog standarda u informacionom sistemu organizacije,
•     Mogući način sertifikacije organizacije (ili nekog užeg organizacionog dela) u skladu sa standardom ISO/IEC 27001:2005.

 
3. ISO/IEC 27001:2005 standard  
3.1 Uvodna razmatranja
Međunarodni standard ISO/IEC 27001:2005 je definisan da obezbedi model za uspostavu, implementaciju, operativni rad, nadzor, pregled, održavanje i kontinualno poboljšavanje Sistema za upravljanje informatičkom bezbednošću (ISMS – Information Security Management System).

Usvajanje ISMS treba da bude strateška odluka za jednu organizaciju. Dizajn i implementacija ISMS u organizaciji je pod uticajem njenih potreba i ciljeva, bezbednosnih zahteva, procesa koji se izvršavaju, kao i uslovljen veličinom i strukturom organizacije. Očekuje se da jedna implementacija ISMS treba da bude prilagođena potrebama organizacije, na primer jednostavan model organizacije zahteva jednostavno ISMS rešenje.

ISO/IEC 27001:2005 standard je usvojio procesni pristup za uspostavu, implementaciju, operativni rad, nadzor, pregled, održavanje i poboljšavanje ISMS sistema. Organizacija mora da identifikuje i upravlja mnogim aktivnostima u cilju da funkcioniše efektivno.

Bilo koja aktivnost koja koristi resurse i upravlja se u cilju da omogući transformaciju nekih ulaza u izlaze može se posmatrati kao proces. Često izlaz jednog procesa direktno formira ulaz za sledeći proces, itd.

Primena sistema procesa u okviru organizacije, zajedno sa identifikacijom i interakcijom tih procesa, kao i njihovo upravljanje može se posmatrati kao „procesni prilaz”.

Procesni prilaz upravljanju informatičke bezbednosti koji je predstavljen u ISO/IEC 27001:2005 standardu naglašava važnost:

a.    Razumevanja zahteva za informatičkom bezbednošću u organizaciji, kao i potrebe da se uspostave politika i ciljevi informatičke bezbednosti;
b.    Implementacije i primene kontrola za upravljanje rizicima informatičke bezbednosti u organizaciji u kontekstu sveukupnih poslovnih rizika organizacije;
c.    Nadzora i pregleda performansi i efektivnosti ISMS sistema;
d.    Kontinualnog poboljšanja na bazi objektivnog merenja.

ISO/IEC 27001:2005 standard usvaja “Plan-Do-Check-Act” (PDCA) model, slika 1, koji se primenjuje da struktuira sve ISMS procese.

Naime, ISMS koristi kao ulaz zahteve za informatičkom bezbednošću, kao i očekivanja zainteresovanih strana, i kroz neophodne akcije i procese proizvodi izlaze informatičke bezbednosti koji zadovoljavaju pomenute zahteve i očekivanja.