ISO 27002 - Norma i Sukladnost

Sadržaj 1 Kratka povijest ISO 27002 2 Norma 3 Struktura standarda 3.1 Glavne sigurnosne kategorije 4 Procjena i obrada rizika 4.1 Procjena sigurnosnih rizika 4.2 Tretiranje sigurnosnih rizika 5 Politika sigurnosti 5.1 Politika informacijske sigurnosti 6 Organizacija informacijske sigurnosti 6.1 Unutarnja organizacija 6.2 Vanjski suradnici 7 Upravljanje imovinom 7.1 Dodjela odgovornosti za imovinu 7.2 Klasifikacija informacija 8 Sigurnost ljudskog potencijala 8.1 Prije zaposlenja 8.2 Tijekom zaposlenja 8.3 Prekid ili promjena zaposlenja 9 Fizička sigurnost i sigurnost okruženja 9.1 Osigurana područja 9.2 Sigurnost opreme 10 Upravljanje komunikacijama i operacijama 10.1 Operativne procedure i odgovornosti 10.2 Upravljanje pružanjem usluge treće strane 10.3 Planiranje i prihvaćanje sustava 10.4 Zaštita od malicioznog i prenošljivog koda 10.5 Sigurnosne kopije 10.6 Upravljanje sigurnošću mreže 10.7 Rukovanje medijima 10.8 Razmjena informacija 10.9 Usluge elektroničke trgovine 10.10 Nadzor 11 Kontrola pristupa 11.1 Poslovni zahtjevi za kontrolu pristupa 11.2 Upravljanje korisničkim pristupom 11.3 Korisničke odgovornosti 11.4 Kontrola pristupa mrežama 11.5 Kontrola pristupa operacijskim sustavima 11.6 Kontrola pristupa aplikacijama i informacijama 11.7 Mobilna računala i rad na daljinu 12 Nabava, razvoj i održavanje informacijskih sustava 12.1 Sigurnosni zahtjevi informacijskih sustava 12.2 Ispravna obrada u aplikacijama 12.3 Kriptografske kontrole 12.4 Sigurnost sustavskih datoteka 12.5 Sigurnost u procesima razvoja i podrške 12.6 Upravljanje tehničkom ranjivošću 13 Upravljanje sigurnosnim incidentom 13.1 Izvješćivanje o sigurnosnim događajima i slabostima 13.2 Upravljanje sigurnosnim incidentima i poboljšanjima 14 Upravljanje kontinuitetom poslovanja 14.1 Aspekti informacijske sigurnosti kod upravljanja kontinuitetom poslovanja� 15 Sukladnost 15.1 Sukladnost sa pravnim zahtjevima 15.2 Sukladnost sa politikom sigurnosti i standardima i tehnička sukladnost 15.3 Razmatranja revizije informacijskih sustava 16 Zaključak 17 Literatura

Kratka povijest ISO 27002

ISO/IEC 27002:2005 je nastala iz standarda BS7799 90-ih godina prošlog stoljeća. BS 7799 je standard koji je objavila BSI grupa (British Standards Institution) 1995. godine. Godine 2000. standard je prihvaćen kao međunarodni pod imenom ISO 17799, a revidiran je 2005. godine. Standard je promijenjen u ISO/IEC 27002 u 2007. godini kako bi se uskladio sa ostalim standardima iz serije 27000.

--Mario 11:59, 5. siječnja 2012. (CET)

Norma

Norma ISO 27002 prikazuje više od sto potencijalnih kontrola i kontrolnih mehanizama koje se mogu implementirati, u skladu s uputama, unutar ISO 27001. Kontrole su namijenjene za rješavanje specifičnih zahtjeva koji su identificirani preko formalne procjene rizika. Bitno je naglasiti da ISO 27002 nije upravljačka norma i da se po njoj ne može certificirati. Upravljačka norma znači da se njome određuje način upravljanja sustavom, što je u normi 27001 upravljanje sustavom informacijske sigurnosti (ISMS). Kontrole u normi 27002 imaju iste nazive kao i one u 27001 samo što je razlika u količini detalja.

ISO 27001	A.6.1.8	Nezavisna provjera informacijske sigurnosti	1 rečenica
ISO 27002	6.1.8	Nezavisna provjera informacijske sigurnosti	1 stranica

U prethodnoj tablici se vidi primjer kontrole u obje norme. Vidimo da je u normi ISO 27001 kontrola opisana u samo jednoj rečenici, dok je u normi ISO 27002 to cijela stranica. Norma ISO 27002 ne razlikuje sigurnosne mjere prema primjenjivosti u određenoj organizaciji, dok norma ISO 27001 propisuje da se mora provesti procjena rizika kako bi se utvrdilo je li neka mjera potrebna za umanjivanje rizika. Mjere navedene u aneksu A norme ISO 27001 ne bi bilo moguće provesti bez detalja koji su u normi ISO 27002.
Norma sadrži sljedeće dijelove:

• 0. Uvod
• 1. Predmet
• 2. Nazivi i definicije
• 3. Struktura standarda
• 4. Procjena i obrada rizika
• 5. Politika sigurnosti
• 6. Organizacija informacijske sigurnosti
• 7. Upravljanje imovinom
• 8. Sigurnost ljudskog potencijala
• 9. Fizička sigurnost i sigurnost okruženja
• 10. Upravljanje komunikacijama i operacijama
• 11. Kontrola pristupa
• 12. Nabava, razvoj i održavanje informacijskih sustava
• 13. Upravljanje sigurnosnim incidentom
• 14. Upravljanje kontinuitetom poslovanja
• 15. Sukladnost

--Mario 12:55, 5. siječnja 2012. (CET)

Struktura standarda

Glavne sigurnosne kategorije

• svaka glavna sigurnosna kategorija sadrži:

a) cilj kontrole koji definira što treba postići

b) jednu ili više kontrola koje se primjenjuju za postizanje tog cilja

• svaka kontrola sadrži:

a) kontrolu – specifični kontrolni iskaz za zadovoljenje cilja kontorole

b) smjernice za primjenu

c) ostale informacije

--Mario 12:55, 5. siječnja 2012. (CET)

Procjena i obrada rizika

Procjena sigurnosnih rizika

Procjena rizika treba uključivati sustavni pristup procjeni veličine rizika (analiza rizika) i procesu usporedbe rizika prema kriterijima za određivanje njihove važnosti (vrednovanje rizika).

Tretiranje sigurnosnih rizika

Prije razmatranja obrade rizika, organizacija treba odrediti kriterij za određivanje da li je rizik prihvatljiv ili ne. Rizike je moguće prihvatiti ako je, primjerice, procijenjeno da je rizik mali ili da trošak obrade nije isplativ za organizaciju. Ovakve odluke je potrebno zapisati

--Mario 12:55, 5. siječnja 2012. (CET)

Politika sigurnosti

Politika sigurnosti je dokument kojim se dodjeljuju obveze i odgovornosti zaposlenicima za implementaciju, održavanje i poboljšavanje sustava informacijske sigurnosti.

Politika informacijske sigurnosti

• cilj: osigurati podršku uprave i njezinu podršku za informacijsku sigurnost u skladu sa poslovnim zakonima i odgovarajućim zakonima i propisima
• uprava treba donijeti jasan smjer politike u skladu sa poslovnim ciljevima i pokazati podršku i posvećenost ostvarenju informacijske sigurnosti donošenjem i održavnjem politike sigurnosti u cijeloj organizaciji

5.1.1. Dokument politike informacijske sigurnosti

5.1.2. Provjera politike informacijske sigurnosti

--Mario 15:13, 5. siječnja 2012. (CET)

Organizacija informacijske sigurnosti

Unutarnja organizacija

• cilj: upravljanje informacijskom sigurnošću unutar organizacije
• potrebno je uspostaviti upravljačku strukturu za pokretanje i kontrolu primjene informacijske sigurnosti unutar organizacije
• uprava treba odobriti politiku informacijske sigurnosti, dodijeliti sigurnosne uloge i koordinirati i provjeravati primjenu sustava sigurnosti u organizaciji
• ako je potrebno, treba uspostaviti izvor stručnog savjeta o informacijskoj sigurnosti i učiniti ga dostupnim unutar organizacije
• potrebno je uspostaviti kontakte sa vanjskim stručnjacima i grupama za sigurnost, uključujući nadležne vlasti
• potrebno je potaknuti multidisciplinarni pristup informacijskoj sigurnosti

--Mario 15:13, 5. siječnja 2012. (CET)

Vanjski suradnici

• cilj: održavanje informacijske sigurnosti unutar organizacije i sigurnosti opreme za obradu informacija kojima vanjski suradnici pristupaju, obrađuju ih, s njima komuniciraju, ili njima upravljaju
• sigurnost informacija i opreme za obradu informacija ne smije biti smanjena uvođenjem proizvoda ili usluga vanjskih suradnika
• svaki pristup vanjskih suradnika informacijama i opremi za obradu informacijama potrebno je kontrolirati
• gdje postoji poslovna potreba za suradnju s vanjskim suradnicima koji mogu zahtjevati pristup informacijama i opremi za obradu informacija potrebno je izvesti procjenu rizika radi određivanja sigurnosnih prijetnji i potreba kontrole

--Mario 15:13, 5. siječnja 2012. (CET)

Upravljanje imovinom

Dodjela odgovornosti za imovinu

• cilj: postizanje i održavanje prikladne zaštite organizacijske imovine
• sva imovina treba bit zapisana i imati dodijeljenog vlasnika
• vlasnici trebaju biti imenovani za svu imovinu i potrebno je dodijeliti odgovornost za održavanje odgovarajućih kontrola
• primjenu određenih kontrola vlasnik može prenijeti na suradnike, ali vlasnik ostaje odgovoran za ispravnu zaštitu imovine

Klasifikacija informacija

• cilj: osiguranje prihvatljive razine zaštite informacija
• informacije treba klasificirati kako bi se mogla vidjeti potreba, prioriteti i očekivana razina zaštite prilikom rukovanja informacijama
• informacije imaju različite stupnjeve osjetljivosti i važnosti
• nekim informacijama je potrebna dodatna zaštita ili poseban način rukovanja
• potrebno je koristiti shemu klasifikacije informacija radi određivanja prikladnih razina zaštite i isticanja potreba za posebnim načinom rukovanja

--Mario 15:13, 5. siječnja 2012. (CET)

Sigurnost ljudskog potencijala

Prije zaposlenja

• cilj: osigurati da svi zaposlenici, ugovorni suradnici i korisnici treće strane razumiju svoje odgovornosti i da su prikladni za uloge koje su im dodijeljene zbog smanjenja rizika krađe, prijevare ili zloporabe opreme
• potrebno je razmotriti sigurnosne odgovornosti prije zaposlenja kroz odgovarajuće opise poslova i u terminima i uvjetima zaposlenja
• svi kandidati za posao, ugovorni radnici i korisnici treće strane trebaju biti provjereni na odgovarajući način, posebice za osjetljive poslove
• zaposlenici, ugovorni radnici i korisnici treće strane koji koriste opremu za obradu informacija trebaju potpisati sporazum o njihovim ulogama sigurnosti i odgovornosti

Tijekom zaposlenja

• cilj: osigurati da su svi zaposlenici, ugovorni radnici i korisnici treće strane svjesni sigurnosnih prijetnji i rizika, svojih odgovornosti i dužnosti, i da su opremljeni da podrže organizacijsku politiku sigurnosti tijekom njihovog normalnog rada, te smanjiti rizik ljudske pogreške
• potrebno je definirati dužnost uprave za primjenu sigurnosti prilikom zapošljavanja pojedinaca
• svim zaposlenicima, ugovornim radnicima i korisnicima treće strane treba dati određenu razinu svijesti, edukacije i treniranja sigurnosnih procedura, te ispravnog korištenja opreme za obradu informacija

Prekid ili promjena zaposlenja

• cilj: osigurati da zaposlenici, ugovorni radnici i korisnici treće strane napuštaju organizaciju ili mijenjaju zaposlenje na uredan način
• potrebno je dodijeliti odgovornosti za osiguranje da se upravlja izlascima iz organizacije zaposlenika, ugovornih radnika i korisnika treće strane, da vrate svu opremu i da im se obrišu sva prava pristupa
• promjena odgovornosti i zaposlenja unutar organizacije treba biti upravljana kao završetak trenutne dužnosti ili zaposlenja i kao novo zaposlenje, kao što je opisano u kategoriji 8.1

--Mario 15:13, 5. siječnja 2012. (CET)

Fizička sigurnost i sigurnost okruženja

Osigurana područja

• cilj: spriječiti neovlašten fizički pristup, oštećenje i ometanje organizacijskih prostorija i informacija
• ključna ili osjetljiva oprema za obradu informacija treba biti smještena u sigurnim područjima, zaštićena određenim mjerama sigurnosne zaštite, sa odgovarajućim sigurnosnim preprekama i kontrolama ulaza
• opremu je potrebno fizički zaštititi od neovlaštenog pristupa, oštećenja i ometanja
• pružena zaštita treba biti proporcionalna identificiranim rizicima

Sigurnost opreme

• cilj: sprječavanje gubitka, oštećenja, krađe ili gubitka imovine i ometanja aktivnosti unutar organizacije
• oprema treba biti zaštićena od fizičkih i prirodnih prijetnji
• zaštita opreme (uključujući onu koja se koristi na udaljenoj lokaciji) treba smanjiti rizike neovlaštenog pristupa informacijama i zaštiti ih od gubitka ili oštećenja
• ovo se odnosi i na smještaj opreme i njezino odbacivanje
• za zaštitu od fizičkih prijetnji i za zaštitu podržavajuće opreme, poput električnih napajanja i kablovske infrastrukture, moguće je korištenje posebnih kontrola

--Mario 15:13, 5. siječnja 2012. (CET)

Upravljanje komunikacijama i operacijama

Operativne procedure i odgovornosti

• cilj: osigurati ispravan i siguran rad opreme za obradu informacija
• odrediti odgovornost i procedure za upravljanje i rad opreme
• potrebno je napravati separaciju zadaća gdje je moguće

Upravljanje pružanjem usluge treće strane

• cilj: implementacija i zadržavanje prihvatljive razine informacijske sigurnosti u skladu sa sporazumom o pružanju usluge s trećom stranom
• organizacija treba provjeravati implementaciju ugovora, pratiti sukladnost sa ugovorom i upravljati promjenama kako bi se osiguralo da su usluge u skladu sa sporazumom

Planiranje i prihvaćanje sustava

• cilj: minimiziranje rizika od kvara na sustavu
• visoka razina planiranja i pripreme za osiguranje dostupnosti potrebnih kapaciteta i resursa za davanje potrebnih performansi sustava
• procjenjivanje budućih potrebnih kapaciteta zbog smanjivanja rizika od preopterećenja sustava
• donošenje, dokumentiranje i testiranje radnih zahtjeva novih sustava prije njihovog uvođenja i korištenja

Zaštita od malicioznog i prenošljivog koda

• cilj: zaštita integriteta softvera i informacija
• potrebne su mjere opreza za prevenciju i detekciju malicioznog koda i neovlaštenog prenošljivog koda
• softver i postrojenja za obradu informacija su vrlo osjetljivi na maliciozni kod, poput računalnih virusa, mrežnih crva, trojanskih konja i logičkih bombi
• korisnici trebaju biti svjesni opasnosti zlonamjernog koda
• menadžeri bi, gdje je moguće, trebali uvesti kontrole za prevenciju, detekciju i uklanjanje zloćudnog i prenošljivog koda

Sigurnosne kopije

• cilj: zadržavanje cjelovitosti i dostupnosti informacija i postrojenja za obradu informacija
• potrebno je ustaliti rutinirane procedure za implementaciju dogovorene politike i strategije sigurnosnih kopija (14.1) za izradu sigurnosnih kopija i pravodobno ponovno uspostavljanje normalnog rada sustava

Upravljanje sigurnošću mreže

• cilj: osiguravanje zaštite informacije u mrežama i zaštita podržavajuće infrastrukture
• sigurno upravljanje mrežama, koje mogu biti i izvan prostora organizacije, zahtjeva pažljivo razmatranje toka podataka, zakonskih obaveza, praćenja i zaštite
• postoji mogućnost za potrebom dodatnih kontrola za zaštitu protoka osjetljivih informacija preko javnih mreža

Rukovanje medijima

• cilj: prevencija neautoriziranog korištenja, modifikacije, uklanjanja ili uništavanja imovine i prekida poslovnih aktivnosti
• mediji trebaju biti kontrolirani i fizički zaštićeni
• potrebno je donijeti prikladne radne procedure za zaštitu dokumenata, računalnih medija (npr. trake, diskovi), ulazno/izlaznih podataka i dokumentacije sustava radi sprječavanja neautoriziranog korištenja, modifikacije, uklanjanja ili uništavanja

Razmjena informacija

• cilj: održavanje sigurnosti informacija i softvera koji se razmjenjuju unutar organizacije i s trećom stranom
• razmjena informacija i softvera između organizacija treba biti temeljena na formalnoj politici razmjene, zajedno sa sporazumima o razmjeni, i treba biti sukladna sa svim važećim zakonima
• potrebno je odrediti procedure i standarde za zaštitu informacija i fizičkih medija koji sadrže informacije koje se razmjenjuju

Usluge elektroničke trgovine

• cilj: osigurati sigurnost usluga elektroničke trgovine i njihovu sigurnu upotrebu
• potrebno je razmotriti sigurnosna pitanja vezana uz usluge elektroničke trgovine, što uključuje on-line transakcije
• potrebno je razmotriti integritet i dostupnost informacija koji se objavljuju elektroničkim putem kroz javno dostupne sustave

Nadzor

• cilj: detekcija neautoriziranih aktivnosti neovlaštene obrade informacija
• potrebno je praćenje i bilježnje stanja sustava i događaja vezanih uz informacijsku sigurnost
• potrebno je korištenje zapisa operatera i zapisa o zastojima kako bi se osiguralo identificiranje problema informacijskog sustava
• organizacija se treba držati svih važećih pravnih zahtjeva koji se odnose na nadzor i vođenje zapisa
• potrebno je nadziranje sustava kako bi se provjerila učinkovitost primjenjenih kontrola i usklađenost sa modelom politike pristupa

--Mario 15:13, 5. siječnja 2012. (CET)

Kontrola pristupa

Poslovni zahtjevi za kontrolu pristupa

• cilj: kontrola pristupa informacijama
• pristup informacijama, postrojenjima za obradu informacijama i poslovnim procesima treba biti kontroliran na osnovi poslovnih i sigurnosnih zahtjeva
• pravila za kontrolu pristupa trebaju uzeti u obzir politiku pružanja informacija i ovlaštenja

Upravljanje korisničkim pristupom

• cilj: osiguranje autoriziranog korisničkog pristupa i prevencija neautoriziranog korisničkog pristupa informacijskim sustavima
• potrebno je odrediti formalne procedure za kontrolu dodjele prava pristupa informacijskim sustavima i servisima
• procedure trebaju pokriti sve stupnjeve životnog ciklusa korisničkog pristupa, od registracije novih korisnika do de-registracije korisnika kojima više nije potreban pristup informacijskom sustavu i servisima
• posebna pozornost treba se obratiti na potrebu za kontrolom dodjele privilegiranih prava pristupa, koja dopuštaju korisnicima zaobilaženje kontrola sustava

Korisničke odgovornosti

• cilj: prevencija neautoriziranog korisničkog pristupa i ugrožavanja ili krađe informacija i opreme za obradu informacija
• za sigurnost je ključna suradnja ovlaštenih korisnika
• korisnici trebaju biti svjesni svojih odgovornosti za održavanje efikasne kontrole pristupa, posebice u vezi sa korištenjem svojih lozinki i sigurnošću korisničke opreme
• potrebno je primijeniti politiku praznog radnog stola i praznog zaslona za smanjivanje rizika od neovlaštenog pristupa ili oštećenja papira, medija i opreme

Kontrola pristupa mrežama

• cilj: sprječavanje neautoriziranog pristupa mrežnim uslugama
• potrebno je kontrolirati pristup unutarnjim i vanjskim mrežnim servisima
• korisnički pristup mrežama i mrežnim servisima ne smije ugroziti sigurnost mrežnih servisa, potrebno je osigurati:

1. prikladna sučelja između mreže organizacije i mreža drugih organizacija, te javnih mreža
2. prikladne mehanizme autentifikacije za korisnike i opremu
3. kontrolu korisničkog pristupa informacijskim uslugama

Kontrola pristupa operacijskim sustavima

• cilj: prevencija neautoriziranog pristupa operacijskim sustavima
• potrebno je odrediti sigurnosnu opremu za ograničenje pristupa operacijskim sustavima koja mora biti sposobna:

1. autentificirati ovlaštene korisnike
2. bilježiti uspješne i neuspješne pokušaje prijave
3. bilježiti korištenje posebnih sustavskih povlastica
4. oglasiti alarm kada se krše politike sigurnosti
5. osigurati odgovarajuće načine autentifikacije
6. ako je potrebno, ograničiti trajanje veze korisnika

Kontrola pristupa aplikacijama i informacijama

• cilj: prevencija neovlaštenog pristupa informacijama koje se nalaze u aplikacijskim sustavima
• potrebno je korištenje sigurnosne opreme za ograničenje pristupa aplikacijama i pojedinim dijelovima aplikacija
• logički pristup aplikacijskom softveru i informacijama treba biti dozvoljen samo autoriziranim korisnicima
• aplikacijski sustavi trebaju:

1. kontrolirati korisnički pristup informacijama i funkcijama aplikacija, u skladu sa definiranom politikom kontrole pristupa
2. davati zaštitu od neovlaštenog pristupa kroz dodatne programe, operacijski sutav i maliciozni kod
3. ne smiju ugrožavati druge sustave sa kojima se dijele informacije

Mobilna računala i rad na daljinu

• cilj: osiguravanje informacijske sigurnosti prilikom korištenja mobilnih računala i opreme za rad na daljinu
• potrebna zaštita treba biti proporcionalna rizicima ovih načina rada
• prilikom korištenja mobilnih potrebno je razmotriti rizik rada u nezaštićenom okruženju i primijeniti potrebne mjere zaštite
• u slučaju rada na daljinu organizacija treba primijeniti zaštitu lokacije s kojom se radi i osigurati pogodne uvjete za ovaj način rada

--Mario 15:13, 5. siječnja 2012. (CET)

Nabava, razvoj i održavanje informacijskih sustava

Sigurnosni zahtjevi informacijskih sustava

• cilj: osigurati da je sigurnost integralni dio informacijskih sustava
• informacijski sustavi uključuju operacijske sustave, infrastrukturu, poslovne aplikacije, standardne proizvode, usluge i korisničke aplikacije
• dizajn i implementacija informacijskog sustava koji podupire poslovni proces može biti ključna za sigurnost
• sigurnosni zahtjevi trebaju biti identificirani i dogovoreni prije razvoja i implementacije informacijskih sustava
• svi sigurnosni zahtjevi trebaju biti identificirani u fazi postavljanja zahtjeva projekta, te moraju biti opravdani, dogovoreni i dokumentirani kao dio cjelokupnog poslovnog slučaja za informacijski sustav

Ispravna obrada u aplikacijama

• cilj: sprječavanje pogrešaka, gubitka, neautorizirane promjene ili zloporabe informacija u aplikacijama
• potrebno je ugraditi dodatne kontrole u aplikacije, kao i u korisničke aplikacije, kako bi se osigurala ispravna obrada podataka
• te kontrole trebaju uključivati provjeru valjanosti ulaznih podataka, unutarnje obrade i izlaznih podataka
• dodatne kontrole mogu biti potrebne za sustave koji obrađuju ili utječu na osjetljive, vrijedne ili ključne informacije
• takve kontrole trebaju biti određene na osnovi sigurnosnih zahtjeva i procjene rizika

Kriptografske kontrole

• cilj: zaštita povjerljivosti, vjerodostojnosti i cjelovitosti informacija uz upotrebu kriptografije
• potrebno je donošenje police korištenja kriptografskih kontrola
• potrebno je upravljanje ključevima za podršku kriptografskih metoda

Sigurnost sustavskih datoteka

• cilj: osiguravanje sigurnost sustavskih datoteka
• pristup sustavskim datotekama i izvornom kodu programa treba biti kontroliran, a projekte i prateće aktivnosti se treba izvoditi na siguran način
• potrebno je voditi brigu o izbjegavanju izlaganja osjetljivih podataka u testnim okruženjima

Sigurnost u procesima razvoja i podrške

• cilj: održavanje sigurnosti softvera i informacija aplikacijskog sustava
• potrebno je strogo kontrolirati projekte i okruženje za podršku
• menadžeri odgovorni za aplikacijske sustave također moraju biti odgovorni za sigurnost projekta ili okruženja za podršku
• menadžeri trebaju osigurati da se bilježe sve predložene promjene na sustavu kako se nebi ugrožavala sigurnost sustava ili okruženja za podršku

Upravljanje tehničkom ranjivošću

• cilj: smanjenje rizika od iskorištavanja objavljenih tehničkih ranjivosti
• upravljanje tehničkom ranjivošću treba biti implementirano na efikasan, sustavan i ponovljiv način sa korištenjem mjerenja koje će potvrditi njegovu učinkovitost
• ta razmatranja trebaju uključivati operacijske sustave i druge aplikacije koje se koriste

--Mario 15:13, 5. siječnja 2012. (CET)

Upravljanje sigurnosnim incidentom

Izvješćivanje o sigurnosnim događajima i slabostima

• cilj: osiguravanje izvješćivanja o sigurnosnim događajima i slavostima vezanima uz informacijske sustave koje omogućuje pravovremeno poduzimanje korektivnih akcija
• potrebno je postaviti formalne procedure izvješćivanja o procesima i procedure eskalacije
• svi zaposlenici, ugovorni suradnici i korisnici treće strane trebaju biti svjesni procedura za izvješćivanje o različitim tipovima događaja i slabnosti koje mogu imati utjecaj na sigurnost organizacijske imovine
• zaposlenici trebaju biti obvezani izvješćivati o događajima informacijske sigurnosti i o slabostima sustava u najbržem mogućem vremenu na predviđenom mjestu kontakta

Upravljanje sigurnosnim incidentima i poboljšanjima

• cilj: osigurati konzistentan i učinkovit pristup upravljanju incidentima informacijske sigurnosti
• potrebno je odrediti odgovornosti i procedure za efikasno rukovanje događajima informacijske sigurnosti i slabostima kada su oni prijavljeni
• potrebno je primijeniti proces kontinuiranog poboljšavanja na odgovor, nadzor, vrednovanje i ukupno upravljanje incidentima informacijske sigurnosti
• kada su potrebni dokazi, potrebno ih je prikupiti radi osiguravanja sukladnosti sa pravnim zahtjevima

Upravljanje kontinuitetom poslovanja

Aspekti informacijske sigurnosti kod upravljanja kontinuitetom poslovanja�

• cilj: protumjere u slučaju prekida poslovnih aktivnosti te zaštitita ključnih poslovnih procesa od utjecaja velikih zastoja informacijskih sustava ili katastrofa i osiguravanje pravodobnog nastavka rada
• potrebno je primijeniti proces upravljanja kontinuitetom poslovanja zbog smanjenja utjecaja na organizaciju i oporavak od gubitka informacijske imovine na prihvatljivu razinu uz upotrebu preventivnih kontrola i kontrola oporavka
• ovaj proces treba odrediti ključne poslovne procese i spojiti zahtjeve upravljanja informacijskom sigurnošću za kontinuitet poslovanja s ostalim zahtjevima za kontinuitetom koji se odnose na operacije, osoblje, materijale, transport i postrojenja
• posljedice nesreća, sigurnosnih neuspjeha, gubitaka usluga i dostupnosti usluga trebaju se podvrgnuti analizi utjecaja na poslovanje
• potrebno je razviti i primijeniti planove kontinuiteta poslovanja radi osiguranja pravovremenog nastavka bitnih aktivnosti
• informacijska sigurnost treba biti sastavni dio cjelokupnog procesa kontinuiteta poslovanja i drugih procesa upravljanja unutar organizacije

--Mario 15:13, 5. siječnja 2012. (CET)

Sukladnost

Sukladnost sa pravnim zahtjevima

• cilj: izbjegavanje povreda zakona, statuta, regulativnih ili ugovornih obveza i sigurnosnih zahtjeva
• dizajn, upotreba, korištenje i upravljanje informacijskim sustavima može biti predmetom zakonskih, regulativnih i ugovornih sigurnosnih obveza
• savjet za specifične pravne zahtjeve treba biti dobiven od organizacijskih pravnih savjetnika ili kvalificiranih pravnih stručnjaka
• zakonski zahtjevi su različiti u različitim državama i mogu se razlikovati za informacije stvorene u jednoj zemlji koje se prenose u drugu zemlju (npr. tok podataka preko granice)

Sukladnost sa politikom sigurnosti i standardima i tehnička sukladnost

• cilj: osigurati sukladnost sustava sa organizacijskom politikom sigurnosti i standardima
• potreban je redovita procjena sigurnosti informacijskog sustava
• takve procjene trebaju biti izvršene u skladu sa politikom sigurnosti i tehničkim platformama
• potrebno je provjeriti sukladnost informacijskih sustava sa primjenjenim standardima o primjeni sigurnosti i dokumentiranim kontrolama sigurnosti

Razmatranja revizije informacijskih sustava

• cilj: maksimiziranje učinkovitosti i smanjenje ometanja procesa revizije informacijskih sustava
• potrebne su kontrole za zaštitu operativnih sustava i revizijskih alata tijekom revizije informacijskih sustava
• potrebna je i zaštita za očuvanje cjelovitosti sadržaja i prevenciju zloporabe alata za reviziju

--Mario 15:13, 5. siječnja 2012. (CET)

Zaključak

Norme iz serije ISO 27000 izrađene su tako da svaka od normi daje naglasak na nešto.

• ISO 27001 služi za postavljanje temelja informacijske sigurnosti i određivanje njezinih okvira.
  
• ISO 27002 služi za implementaciju sigurnosnih mjera.
  
• ISO 27003 pruža upute za implementaciju kao pomoć osobama koje implementiraju ISO 27000 standarde. U osnovi se bazira na smjernicama iz ISO 27001 standarda, te pruža vodstvo sve do pokretanja ISMS projekta.
  
• ISO 27004 služi da pomogne organizacijama mjeriti, izvještavati i na temelju istoga sistematski poboljšavati kvalitetu ISMS.
  
• ISO 27005 služi za provedbu procjene rizika.
  
• ISO 27006 je akreditacijski standard koji vodi certificiranje kroz formalni proces certifikacije ISMS organizacija prema ISO 27001 standardu. U istome su navedene sve potrebe i upute kako izvesti certifikaciju i koje uvjete organizacija mora zadovoljiti.
  

--Mario 15:13, 5. siječnja 2012. (CET)

Literatura

http://www.bsigroup.com/
http://www.27000.org/thepast.htm
http://blog.iso27001standard.com/hr/tag/iso-27002-hr/#
http://www.27000.org
http://www.iso27000.hr