Title: Upravljanje sigurno
1Upravljanje sigurnošcu informacija
- Milorad Milivojevic
- IT_at_SavaOsiguranje
- milorad.milivojevic_at_sava-osiguranje.rs
2- Informacija
- Informaciona bezbednost
- Rizici
- Uvod u ISO 27000
3Šta je informacija?
- Informacija je imovina
- kao i bilo koja druga bitna poslovna imovina
kompanije, ima vrednost za organizaciju i
konstantno mora biti prikladno zašticena.
4Egzistira u razlicitim oblicima
- Štampana, pisana, elektronska, vizuelna,
nematerijalna znanje, iskustvo, ideja - Kreirana, obradena, emitovana, iskorišcena,
kontrolisana - Vlastita, modifikovana, izgubljena, uništena,
ukradena
5Šta je informaciona sigurnost?
6(No Transcript)
7Šta je informaciona sigurnost?
- nešto što cuva vredne informacije sigurne
(zašticene, bezbedne od oštecenja) - To nije nešto što možete da kupite, ali je nešto
što radite - To je stalni proces i nije proizvod
8Informaciona sigurnost je definisana kao ocuvanje
- Poverljivosti
- Integriteta
- Dostupnosti
Omoguciti dostupnost informacija, samo
autorizovanim korisnicima
Zaštititi tacnost i kompletnost informacija i
nacina obrade
Obezbediti dostupnost informacije kada je to
potrebno
9Kako postižemo?
- Kombinacijom razlicitih strategija i pristupa
- Utvrdivanjem rizika i proaktivnim upravljanjem
- Ocuvanjem CIA
- Izbegavanjem, sprecavanjem, otkrivanjem i
oporavkom od incidenata - Obezbediti ljude, procese i tehnologiju ne samo
IT
10 LjudiMenadžment i zaposleni
ProcesiPoslovne aktivnosti
Tehnologija IT, komunikacije
11Cilj
- Zaštiti podatke od raznih pretnji
- Obezbediti kontinuitet poslovanja
- Smanjiti finansijske gubitke
- Optimizovati CAPEX i OPEX
- Stvoriti mogucnosti za bezbedno poslovanje
- Održati privatnost i usaglašenost
12Zašto?
13Sigurnosni incidenti posledice
- IT downtime-a, prekid poslovanja
- Finansijski gubici i troškovi
- Devalvacija intelektualne svojine
- Kršenje zakona i propisa
- Narušavanje ugleda, gubitka tržišta, kupaca,
poslovnih partnera, poverljivosti, biznisa - Strah, nesigurnost i sumnja
14(No Transcript)
15Šta je rizik?
- Rizik je mogucnost realizacije neželjenog
dogadaja - Rizik je mogucnost da pretnja eksploatiše
ranjivost u informacionim resursima, što dovodi
do direktnog negativnog uticaja na kompaniju.
16Pristup proceni rizika
Iskorišcava ranjivost
Uzrokuje uticaj
17Pristup proceni rizika
18Osnovni parametri za upravljanje rizikom
- izbor odgovarajuceg pristupa za procenu rizika
- uspostavljanje kriterijuma za evaluaciju rizika
- uspostavljanje kriterijuma za procenu verovatnoce
uticaja - uspostavljanje kriterijuma za prihvatanje i
tretman rizika - odredivanje potencijalno raspoloživih resursa
19I kako sada da mi zaštitimo naše informacione
resurse?
20Kratka istorija ISO 27000
- 1990-ih
- - Information Security Management Code of
Practice BS7799 - 2000-ih
- - Prihvacen od ISO/IEC-a, nastao ISO17799,
objavljen ISO 27001, pocela sertifikacija - Sada
- - Proširen paket standarda za bezbednost
informacija, ažuriran i reizdavan na nekoliko
godina
21ISO 27001
- Odnosi se na upravljanje sigurnošcu informacija,
ne samo na IT - Formalno definiše sistem upravljanja
- Koristi PDCA model
- Primenjiv u heterogenim okruženjima
22IS POLITIKA
SECURITY ORGANIZACIJA
IDENTIFIKACIJA KLASIFIKACIJA ASSET-a
KOREKTIVNE PREVENTIVNE METODE
KONTROLA SELEKCIJA IMPLEMENTACIJA
DOPUNJAVATI SIGURNOSNE PLANOVE
PROVERA EFIKASNOSTI ISMS-a
23Odrediti opseg ISMS-a
- Data centar
- DR site
- Elektronske arhive
- Internet bankarstvo
- Kroz celu organizaciju
24Kljucni dokumenti
- Korporativna sigurnosna politika
- Pratece politike fizicke sigurnosti, email, HR,
incident menadžment, uskladenost - Procedure i uputstva
- Zapisi, security logovi, security izveštaji,
korektivne akcije
25Konacni cilj implementacije
- Projektovati, implementirati, upravljati i
održavati ISMS koji je u skladu sa medunarodnim
standardima, ukljucujuci opšte priznate
bezbednosne norme
26Benefiti
- Dokazana posvecenost sigurnosti kompanije
- Pravna i regulatorna usaglašenost
- Olakšano i unapredeno upravljanje rizikom
- Komercijalni kredibilitet, poverljivost
- Smanjenje troškova
- Usmeravanje zaposlenih, poboljšana svest
27Ko je odgovoran?
- IS manager / CSO
- Tim za upravljanje incidentima
- Tim za Business Continuity
- IT, Pravni, HR i ostali sektori
- Interna revizija
- Poslednji na spisku, ali ne i najmanje bitni Vi!
28There is no securitythere is only
opportunity.Douglas MacArthur
29HVALA!
- Milorad Milivojevic
- IT_at_SavaOsiguranje
- milorad.milivojevic_at_sava-osiguranje.rs