STANDARDI U INFORMACIONOJ BEZBEDNOSTI - PowerPoint PPT Presentation

1 / 28
About This Presentation
Title:

STANDARDI U INFORMACIONOJ BEZBEDNOSTI

Description:

... implementaciju nadzora i pobolj anja samog ISMS ISO 27003 U sebi sadr i: 1. Introduction 2. Scope 3. Terms & Definitions 4. CSFs (Critical success factors) 5. – PowerPoint PPT presentation

Number of Views:71
Avg rating:3.0/5.0
Slides: 29
Provided by: MarijaBo
Category:

less

Transcript and Presenter's Notes

Title: STANDARDI U INFORMACIONOJ BEZBEDNOSTI


1
(No Transcript)
2
  • STANDARDI U INFORMACIONOJ BEZBEDNOSTI

  • Marija Bogicevic

3
  • Standardi su povezani sa konkretnim problemima i
    aspektima poslovnog procesa
  • Sama definicija standarda mora biti dovoljno
    detaljna
  • A standardi se sastoje od 5 osnovnih elemenata
  • Predmet i namena
  • Uloge i odgovornosti
  • Referentna dokumenta
  • Kriterijumi performansi
  • Održavanje i administrativni zahtevi
  • Važnost informacije kao imovine

4
  • Veliki broj kompanija uvodi standarde danas u
    oblasti zaštite u svoje organizacione celine
  • ISO(International Organization for
    Standardization)- Medunarodna organizacija za
    standarde
  • IEC(International Electrotechnical Commision)
  • Serija standarda ISO 27000
  • NIST standardi
  • Common criteria
  • PCI DSS

5
ISO / IEC 177992005
  • Code of Practices for Information Management
  • Definiše osnovne i opšte principe za iniciranje,
    implementaciju, održavanje i unapredenje
    upravljanja sigurnošcu informacija u nekoj
    organizaciji
  • Definiše 10 kljucnih oblasti, pri cemu
    organizacija mora da ispuni svih 10 kriterijuma
    da bi dobila sertifikat
  • Kontrolu sprovodjenja vrši specijalna revizorska
    komisija
  • Danas se ovaj standard zove ISO 27002

6
ISO / IEC 177992005
  • Pravilnik o sistemu zaštite
  • Organizacija zaštite
  • Klasifikacija resursa i kontrola
  • Personalna politika
  • Fizicke mere zaštite i mere oblasti radnog
    okruženja
  • Komunikacije i operativni rad
  • Kontrola pristupa
  • Razvoj sistema i održavanje
  • Planovi za hitne situacije-(BCM-Business
    Continuity Management)
  • Pridržavanje postojecih pravila

7
ISO / IEC 270012005
  • Serija standarda 27000
  • Zamenio je BS7799-2 standard
  • Obuhvata sve vrste organizacija
  • Specificira zahteve za uspostavljanje,
    implementaciju, rad, nadzor, pregledanje,
    održavanje i unapredenje dokumentovanog sistema
    upravljanja sigurnošcu kao delom poslovnih rizika
    te organizacije
  • Daje mogucnost izbora odgovarajucih sistema
    upravljanja za zaštitu imovine i stvaranja
    poverenja kod svih zainteresovanih strana

8
ISO / IEC 270012005 primena
  • Korišcenje u organizacijama pri formulisanju
    sigurnosnih zahteva i ciljeva
  • Korišcenje o organizacijama , kao osiguranje da
    je upravljanje sigurnosnim rizicima efikasno
  • Korišcenje u organizacijama, kako bi se osiguralo
    poštovanje zakona i ostalih regulacionih propisa
  • Kao okvir procesa za implementaciju i rukovodenje
    kontrolom
  • Definisanje novih procesa u rukovodenju sigurnošcu

9
ISO / IEC 270012005primena
  • Identifikacija i razjašnjenje postojecih procesa
    upravljanja sigurnošcu informacija
  • Koristi ga rukovodstvo organizacija da bi se
    odredio status aktivnosti za sigurnost inf.
  • Koriste ga interni i eksterni revizori da bi se
    odredio stepen poštovanja polisa, direktiva i
    standarda
  • Da bi se odredile relevantne informacije o
    pravilima informacione sigurnosti, direktivama...
  • Implementacija inf.sigurnosti koja omogucava
    odvijanje posla
  • Koriste ga organizacije da bi klijentima
    dostavile relevantne podatke o sigurnosti
    informacija

10
ISO / IEC 270012005
  • Zasnovan je na PDCA modelu (Plan-Do-Check-Act)
    koji je prihvacen uz sve ISMS(Information
    Security Managent System) procese
  • Plan-osnovati ISMS
  • Do- impelementacija i rad ISMS
  • Check- nadzor i pregledanje ISMS
  • Act-održavanje i unapredenje ISMS

11
ISO / IEC 270012005
  • 27001 je kompatibilan sa drugim ISO standardima
    poput ISO 90012000 i ISO 140012004
  • Neophodno je kontrolisati i meriti sve vrste
    rizika u organizacijama nakon uvodenja standarda

12
ISO / IEC 270012005
  • A ovaj standard u sebi sadrži
  • Management Responsibility
  • Internal Audits
  • ISMS Improvement
  • Annex A - Control objectives and controls
  • Annex B - OECD principles and this international
    standard
  • Annex C - Correspondence between ISO 9001, ISO
    14001 and this standard

13
ISO 27003
  • Information technology - Security techniques.
    Information security management system
    implementation guidance
  • Bazira se na primeni PCDA modelu, sa posebnim
    osvrtom na osnivanje, implementaciju nadzora i
    poboljšanja samog ISMS

14
ISO 27003
  • U sebi sadrži
  • 1. Introduction2. Scope3. Terms
    Definitions4. CSFs (Critical success factors)5.
    Guidance on process approach6. Guidance on using
    PDCA7. Guidance on Plan Processes8. Guidance on
    Do Processes9. Guidance on Check Processes10.
    Guidance on Act Processes11. Inter-Organization
    Co-operation

15
ISO 27004
  • Objavljen u decembru 2009
  • Information technology - Security techniques -
    Information security management Measurement
  • Obezbeduje uputstvo za razvoj i upotrebu mera i
    merenja efektivnosti implementiranog ISMS i
    kontrolu, kako je specificirano u ISO 27001

16
ISO 27005
  • Ovaj standard daje uputstvo kako minimizirati
    rizike,naime obuhvata oblast information security
    risk management -ISRM

17
ISO 27005
  • Obuhvata
  • Foreword
  • Introduction
  • Normative references
  • Terms and definitions
  • Structure
  • Background
  • Overview of the ISRM Process
  • Context Establishment
  • Information Security Risk Assessment (ISRA)
  • Information Security Risk Treatment
  • Information security Risk Acceptance
  • Information security Risk Communication
  • Information security Risk Monitoring and Review
  • Annex A Defining the scope of the process
  • Annex B Asset valuation and impact assessment
  • Annex C Examples of Typical Threats

18
ISO 27006
  • Information technology - Security techniques.
    Requirements for bodies providing audit and
    certification of information security management
    systems
  • Sadrži 10 poglavlja i 4 aneksa
  • Daje uputstvo za akreditaciju organizacija koje
    nude sertifikaciju i registraciju u skladu sa ISMS

19
NIST
  • National Institute of Standards and Technology
  • Postoji mnogo standarda koje je propisalo i
    razvilo odeljenje za racunarsku sigurnost
    americkog Nacionalnog instituta za standarde i
    tehnologiju
  • Neki od njih su i kriptografski algoritmi
    DES(Data Encryption Standard) i AES(Advanced
    Encryption Stabdard )

20
Common Criteria
  • CC je rezultat napora da se naprave kriterijumi
    za proveru i vrednovanje IT sigurnosti koji ce
    moci da se koriste u medunarodnoj zajednici
  • Opisuje se radni okvir
  • CC daje garanciju da se proces specifikacije,
    implementacije i evaluacije proizvoda za
    racunarsku sigurnost vodi na standardizovan
    nacin, što daje visok nivo kvaliteta i usluga u
    ovoj oblasti

21
IETF
  • IAB-Internet Architecture Board- rukovodi i
    usmerava IETF
  • Internet Engineering Task Force- bavi se
    inženjeringom protokola i razvojem Interneta,
    radi na 8 podrucja
  • RFC- Requst For Comments-skladišteni na mreži i
    svako im može pristupiti
  • Odluku o tome koji ce RFC postati standard donosi
    IESG(Internet Engineering Steering Group) na
    predlog IETF

22
PCI DSS
  • Payment Card Industry Data Security Standard
  • Fraud Management Systems
  • Inicijatori su Visa i Master Card International
  • Prihvacen kasnije i od drugih kompanija
  • Doneti su programi i procedure sertifikacije
    kojima podležu kompanije koje se bave trgovinom
    preko Interneta uz primanje uplata platnim
    karticama
  • Kompanije koju produ ovu sertifikaciju kod
    kompanija koje izdaju kartice imaju povoljne
    uslove za transakcije koje su posledica frauda

23
PCI DSS
  • Postoji 12 podrucja svrstanih u 6 grupa
  • I Izgradivanje i održavanje sigurne mreže
  • 1. instaliranje i održavanje konfiguracije
    zaštitne barijere zbog zaštite podataka
  • 2. ne koristiti podrazumevane vrednosti za
    lozinke
  • II Zaštita podataka vlasnika platnih kartica
  • 3. zaštita uskladištenih podataka
  • 4. šifrovanje podataka koji idu preko mreže

24
PCI DSS
  • III Održavanje programa za rukovanje ranjivostima
  • 5. upotreba i ažuriranje antivirus softvera
  • 6. razvoj i održavanje sigurnosnog sistema i
    aplikacija
  • IV Implementacija strogih mera kontrole pristupa
  • 7. pristup podacima po principu treba da zna
  • 8. dodela jedinstvene identifikacije svakom licu
    koje ima pristup racunaru
  • 9. ogranicavanje fizickog pristupa podacima o
    vlasniku kartice

25
PCI DSS
  • V Redovno nadziranje i testiranje mreže
  • 10. pracenje i nadzor svih pristupa mrežnim
    resursima i podacima o vlasniku kartice
  • 11. redovno ispitivanje sigurnosnih sistema i
    procesa
  • VI Održavanje politike sigurnosti informacija
  • 12. održavanje pravila koja se odnose na
    sigurnost informacija
  • Za svaki od ovih zahteva postoje detaljne
    smernice kako sve rešiti

26
ISO 8583
  • Standard koji propisuje nacin komunikacije
    izmedu same smart kartice i citaca kartice

27
Standardi u medicini
  • Važnost cuvanja podataka u medicinskim
    ustanovama, kako javnim tako i privatnim, pre
    svega u laboratorijama
  • Neophodno je da budu sprovedeni standardi ISO
    9001, ISO 15 189, ISO/IEC 17799, ISO/IEC 27001
  • A problem može da predstavlja generisanje
    izveštaja

28
(No Transcript)
Write a Comment
User Comments (0)
About PowerShow.com