ISO 27002 - Norma i Sukladnost

Izvor: SIS Wiki
Skoči na: orijentacija, traži

Sadržaj

Kratka povijest ISO 27002

Iso.jpg

ISO/IEC 27002:2005 je nastala iz standarda BS7799 90-ih godina prošlog stoljeća. BS 7799 je standard koji je objavila BSI grupa (British Standards Institution) 1995. godine. Godine 2000. standard je prihvaćen kao međunarodni pod imenom ISO 17799, a revidiran je 2005. godine. Standard je promijenjen u ISO/IEC 27002 u 2007. godini kako bi se uskladio sa ostalim standardima iz serije 27000.

--Mario 11:59, 5. siječnja 2012. (CET)

Norma

Norma ISO 27002 prikazuje više od sto potencijalnih kontrola i kontrolnih mehanizama koje se mogu implementirati, u skladu s uputama, unutar ISO 27001. Kontrole su namijenjene za rješavanje specifičnih zahtjeva koji su identificirani preko formalne procjene rizika. Bitno je naglasiti da ISO 27002 nije upravljačka norma i da se po njoj ne može certificirati. Upravljačka norma znači da se njome određuje način upravljanja sustavom, što je u normi 27001 upravljanje sustavom informacijske sigurnosti (ISMS). Kontrole u normi 27002 imaju iste nazive kao i one u 27001 samo što je razlika u količini detalja.

ISO 27001 A.6.1.8 Nezavisna provjera informacijske sigurnosti 1 rečenica
ISO 27002 6.1.8 Nezavisna provjera informacijske sigurnosti 1 stranica


U prethodnoj tablici se vidi primjer kontrole u obje norme. Vidimo da je u normi ISO 27001 kontrola opisana u samo jednoj rečenici, dok je u normi ISO 27002 to cijela stranica. Norma ISO 27002 ne razlikuje sigurnosne mjere prema primjenjivosti u određenoj organizaciji, dok norma ISO 27001 propisuje da se mora provesti procjena rizika kako bi se utvrdilo je li neka mjera potrebna za umanjivanje rizika. Mjere navedene u aneksu A norme ISO 27001 ne bi bilo moguće provesti bez detalja koji su u normi ISO 27002.
Norma sadrži sljedeće dijelove:


--Mario 12:55, 5. siječnja 2012. (CET)

Struktura standarda

Glavne sigurnosne kategorije

a) cilj kontrole koji definira što treba postići
b) jednu ili više kontrola koje se primjenjuju za postizanje tog cilja
a) kontrolu – specifični kontrolni iskaz za zadovoljenje cilja kontorole
b) smjernice za primjenu
c) ostale informacije


--Mario 12:55, 5. siječnja 2012. (CET)

Procjena i obrada rizika

Procjena sigurnosnih rizika

Procjena rizika treba uključivati sustavni pristup procjeni veličine rizika (analiza rizika) i procesu usporedbe rizika prema kriterijima za određivanje njihove važnosti (vrednovanje rizika).

Tretiranje sigurnosnih rizika

Prije razmatranja obrade rizika, organizacija treba odrediti kriterij za određivanje da li je rizik prihvatljiv ili ne. Rizike je moguće prihvatiti ako je, primjerice, procijenjeno da je rizik mali ili da trošak obrade nije isplativ za organizaciju. Ovakve odluke je potrebno zapisati


--Mario 12:55, 5. siječnja 2012. (CET)

Politika sigurnosti

Politika sigurnosti je dokument kojim se dodjeljuju obveze i odgovornosti zaposlenicima za implementaciju, održavanje i poboljšavanje sustava informacijske sigurnosti.

Politika informacijske sigurnosti

5.1.1. Dokument politike informacijske sigurnosti
5.1.2. Provjera politike informacijske sigurnosti

--Mario 15:13, 5. siječnja 2012. (CET)

Organizacija informacijske sigurnosti

Unutarnja organizacija

--Mario 15:13, 5. siječnja 2012. (CET)

Vanjski suradnici

--Mario 15:13, 5. siječnja 2012. (CET)

Upravljanje imovinom

Dodjela odgovornosti za imovinu

Klasifikacija informacija

--Mario 15:13, 5. siječnja 2012. (CET)

Sigurnost ljudskog potencijala

Prije zaposlenja

Tijekom zaposlenja

Prekid ili promjena zaposlenja

--Mario 15:13, 5. siječnja 2012. (CET)

Fizička sigurnost i sigurnost okruženja

Osigurana područja

Sigurnost opreme

--Mario 15:13, 5. siječnja 2012. (CET)

Upravljanje komunikacijama i operacijama

Operativne procedure i odgovornosti

Upravljanje pružanjem usluge treće strane

Planiranje i prihvaćanje sustava

Zaštita od malicioznog i prenošljivog koda

Sigurnosne kopije

Upravljanje sigurnošću mreže

Rukovanje medijima

Razmjena informacija

Usluge elektroničke trgovine

Nadzor

--Mario 15:13, 5. siječnja 2012. (CET)

Kontrola pristupa

Poslovni zahtjevi za kontrolu pristupa

Upravljanje korisničkim pristupom

Korisničke odgovornosti

Kontrola pristupa mrežama

  1. prikladna sučelja između mreže organizacije i mreža drugih organizacija, te javnih mreža
  2. prikladne mehanizme autentifikacije za korisnike i opremu
  3. kontrolu korisničkog pristupa informacijskim uslugama

Kontrola pristupa operacijskim sustavima

  1. autentificirati ovlaštene korisnike
  2. bilježiti uspješne i neuspješne pokušaje prijave
  3. bilježiti korištenje posebnih sustavskih povlastica
  4. oglasiti alarm kada se krše politike sigurnosti
  5. osigurati odgovarajuće načine autentifikacije
  6. ako je potrebno, ograničiti trajanje veze korisnika

Kontrola pristupa aplikacijama i informacijama

  1. kontrolirati korisnički pristup informacijama i funkcijama aplikacija, u skladu sa definiranom politikom kontrole pristupa
  2. davati zaštitu od neovlaštenog pristupa kroz dodatne programe, operacijski sutav i maliciozni kod
  3. ne smiju ugrožavati druge sustave sa kojima se dijele informacije

Mobilna računala i rad na daljinu

--Mario 15:13, 5. siječnja 2012. (CET)

Nabava, razvoj i održavanje informacijskih sustava

Sigurnosni zahtjevi informacijskih sustava

Ispravna obrada u aplikacijama

Kriptografske kontrole

Sigurnost sustavskih datoteka

Sigurnost u procesima razvoja i podrške

Upravljanje tehničkom ranjivošću

--Mario 15:13, 5. siječnja 2012. (CET)

Upravljanje sigurnosnim incidentom

Izvješćivanje o sigurnosnim događajima i slabostima

Upravljanje sigurnosnim incidentima i poboljšanjima

Upravljanje kontinuitetom poslovanja

Aspekti informacijske sigurnosti kod upravljanja kontinuitetom poslovanja�

--Mario 15:13, 5. siječnja 2012. (CET)

Sukladnost

Sukladnost sa pravnim zahtjevima

Sukladnost sa politikom sigurnosti i standardima i tehnička sukladnost

Razmatranja revizije informacijskih sustava

--Mario 15:13, 5. siječnja 2012. (CET)

Zaključak

Norme iz serije ISO 27000 izrađene su tako da svaka od normi daje naglasak na nešto.

--Mario 15:13, 5. siječnja 2012. (CET)

Literatura

http://www.bsigroup.com/
http://www.27000.org/thepast.htm
http://blog.iso27001standard.com/hr/tag/iso-27002-hr/#
http://www.27000.org
http://www.iso27000.hr

Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima