1 / 29

Upravljanje sigurnošću informacija

Upravljanje sigurnošću informacija. Milorad Milivojević IT@SavaOsiguranje milorad.milivojevic@sava-osiguranje.rs. Informacija Informaciona bezbednost Rizici Uvod u ISO 27000. Šta je informacija?. Informacija je imovina

harry
Download Presentation

Upravljanje sigurnošću informacija

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Upravljanje sigurnošću informacija Milorad Milivojević IT@SavaOsiguranje milorad.milivojevic@sava-osiguranje.rs

  2. Informacija • Informaciona bezbednost • Rizici • Uvod u ISO 27000

  3. Šta je informacija? • Informacija je imovina • kao i bilo koja druga bitna poslovna imovina kompanije, ima vrednost za organizaciju i konstantno mora biti prikladno zaštićena.

  4. Egzistira u različitim oblicima • Štampana, pisana, elektronska, vizuelna, nematerijalna – znanje, iskustvo, ideja • Kreirana, obrađena, emitovana, iskorišćena, kontrolisana • Vlastita, modifikovana, izgubljena, uništena, ukradena

  5. Šta je informaciona sigurnost?

  6. Šta je informaciona sigurnost? • „nešto“ što čuva vredne informacije sigurne (zaštićene, bezbedne od oštećenja) • To nije nešto što možete da kupite, ali je nešto što radite • To je stalni proces i nije proizvod

  7. Informaciona sigurnost je definisana kao očuvanje: Poverljivosti Integriteta Dostupnosti Omogućiti dostupnost informacija, samo autorizovanim korisnicima Zaštititi tačnost i kompletnost informacija i načina obrade Obezbediti dostupnost informacije kada je to potrebno

  8. Kako postižemo? • Kombinacijom različitih strategija i pristupa • Utvrđivanjem rizika i proaktivnim upravljanjem • Očuvanjem CIA • Izbegavanjem, sprečavanjem, otkrivanjem i oporavkom od incidenata • Obezbediti ljude, procese i tehnologiju… ne samo IT

  9. LjudiMenadžment i zaposleni ProcesiPoslovne aktivnosti Tehnologija IT, komunikacije…

  10. Cilj • Zaštiti podatke od raznih pretnji • Obezbediti kontinuitet poslovanja • Smanjiti finansijske gubitke • Optimizovati CAPEX i OPEX • Stvoriti mogućnosti za bezbedno poslovanje • Održati privatnost i usaglašenost

  11. Zašto?

  12. Sigurnosni incidenti – posledice: • IT downtime-a, prekid poslovanja • Finansijski gubici i troškovi • Devalvacija intelektualne svojine • Kršenje zakona i propisa • Narušavanje ugleda, gubitka tržišta, kupaca, poslovnih partnera, poverljivosti, biznisa… • Strah, nesigurnost i sumnja

  13. Šta je rizik? • Rizik je mogućnost realizacije neželjenog događaja • Rizik je mogućnost da pretnja eksploatiše ranjivost u informacionim resursima, što dovodi do direktnog negativnog uticaja na kompaniju.

  14. Pristup proceni rizika RANJIVOST UTICAJ PRETNJA KatalizatorNepredvidiv događaj koji nas primorava da nešto uradimo Problem Slabost koja može biti iskorišćena Motivacioni Razlog zašto neko treba da uradi nešto Uzrokuje uticaj Iskorišćava ranjivost

  15. Pristup proceni rizika RANJIVOST UTICAJ PRETNJA • Namerne (iznutra, spolja, fizičke, logičke) • Nenamerne (greške, kvarovi) • Ljudske greške (nedostatak znanja, interesa, umor) • Tehničke ranjivosti (OS update, APP update, otvorene mreže, wifi, bluetooth, pogrešna konfiguracija) • Finansijski gubitak • Gubitak ugleda • Gubitak vremena • …

  16. Osnovni parametri za upravljanje rizikom • izbor odgovarajućeg pristupa za procenu rizika • uspostavljanje kriterijuma za evaluaciju rizika • uspostavljanje kriterijuma za procenu verovatnoće uticaja • uspostavljanje kriterijuma za prihvatanje i tretman rizika • određivanje potencijalno raspoloživih resursa

  17. I kako sada da mi zaštitimo naše informacione resurse?

  18. Kratka istorija ISO 27000 • 1990-ih - Information Security Management Code of Practice – BS7799 • 2000-ih - Prihvaćen od ISO/IEC-a, nastao ISO17799, objavljen ISO 27001, počela sertifikacija • Sada - Proširen paket standarda za bezbednost informacija, ažuriran i reizdavan na nekoliko godina

  19. ISO 27001 • Odnosi se na upravljanje sigurnošću informacija, ne samo na IT • Formalno definiše sistem upravljanja • Koristi PDCA model • Primenjiv u heterogenim okruženjima

  20. IS POLITIKA SECURITY ORGANIZACIJA REDOVAN NADZOR MENADžMENT-a PLAN Uspostavljanje ISMS DO Implementacija&Izvršavanje ISMS ACT Održavanje & unapređenje IDENTIFIKACIJA& KLASIFIKACIJA ASSET-a KOREKTIVNE & PREVENTIVNE METODE CHECK Nadgledanje& Provera ISMS KONTROLA SELEKCIJA & IMPLEMENTACIJA DOPUNJAVATI SIGURNOSNE PLANOVE PROVERA EFIKASNOSTI ISMS-a

  21. Odrediti opseg ISMS-a • Data centar • DR site • Elektronske arhive • Internet bankarstvo • Kroz celu organizaciju

  22. Ključni dokumenti • Korporativna sigurnosna politika • Prateće politike: fizičke sigurnosti, email, HR, incident menadžment, usklađenost • Procedure i uputstva • Zapisi, security logovi, security izveštaji, korektivne akcije

  23. Konačni cilj implementacije • Projektovati, implementirati, upravljati i održavati ISMS koji je u skladu sa međunarodnim standardima, uključujući opšte priznate bezbednosne norme

  24. Benefiti • Dokazana posvećenost sigurnosti kompanije • Pravna i regulatorna usaglašenost • Olakšano i unapređeno upravljanje rizikom • Komercijalni kredibilitet, poverljivost • Smanjenje troškova • Usmeravanje zaposlenih, poboljšana svest

  25. Ko je odgovoran? • IS manager / CSO • Tim za upravljanje incidentima • Tim za Business Continuity • IT, Pravni, HR i ostali sektori • Interna revizija • Poslednji na spisku, ali ne i najmanje bitni Vi!

  26. There is no security;there is only opportunity.Douglas MacArthur

  27. HVALA! Milorad Milivojević IT@SavaOsiguranje milorad.milivojevic@sava-osiguranje.rs

More Related