Sistemi upravljanjа sigurnošću informacija

Šta je sistem upravljanja sigurnošću informacija (ISMS)?

Sistem upravljanja sigurnošću informacija (ISMS) sastoji se od politika, procedura, smjernica, povezanih resursa i aktivnosti, kojima rukovodi organizacija u nastojanju da zaštiti svoju informacionu imovinu. ISMS je sistematičan pristup za uspostavljanje, primjenu, provođenje, praćenje, pregled, održavanje i unapređenje sigurnosti informacija organizacije za postizanje poslovnih ciljeva. Zasniva se na procjeni rizika i nivoima prihvatljivosti rizika organizacije dizajniranih za efikasno tretiranje i upravljanje rizicima. Analiziranje zahtjeva za zaštitu informacione imovine i primjena odgovarajućih kontrola za osiguranje zaštite informacione imovine, po potrebi, doprinosi uspješnoj implementaciji sistema upravljanja sigurnošću informacija. Sljedeći osnovni principi takođe doprinose uspješnoj implementaciji ISMS-a:

  1. svijest o potrebi za sigurnošću informacija;
  2. dodjela odgovornosti za sigurnost informacija;
  3. uključivanje posvećenosti rukovodstva i interesi zainteresovanih strana;
  4. unapređenje društvenih vrijednosti;
  5. procjene rizika koje utvrđuju odgovarajuće kontrole za dostizanje prihvatljivih nivoa rizika;
  6. prihvatanje sigurnosti kao osnovnog elementa informacionih mreža i sistema;
  7. aktivno sprečavanje i otkrivanje informacionih sigurnosnih incidenata;
  8. osiguravanje sveobuhvatnog pristupa upravljanju sigurnošću informacija; i
  9. kontinuirana ponovna procjena sigurnosti informacija i provođenje izmjena po potrebi.


Zašto je ISMS važan?

Mora se povesti računa o rizicima povezanim s informacionom imovinom organizacije. Postizanje sigurnosti informacija zahtijeva upravljanje rizikom i obuhvata rizike od fizičkih, ljudskih i tehnoloških prijetnji, povezanih sa svim oblicima informacija unutar organizacije ili koje organizacija koristi. Očekuje se da usvajanje ISMS-a bude strateška odluka za organizaciju.
Na dizajn i implementaciju ISMS-a utiču potrebe i ciljevi organizacije, sigurnosni zahtjevi, poslovni procesi u upotrebi, kao i veličina i struktura organizacije. Dizajn i primjena ISMS-a moraju  odražavati interese i zahtjeve sigurnosti informacija svih zainteresovanih strana organizacije, uključujući korisnike, dobavljače, poslovne partnere, dioničare i ostale relevantne treće strane.
ISMS je važan i za javni i za privatni poslovni sektor. U bilo kojoj industriji ISMS omogućava podršku za e-poslovanje i osnova je za upravljanje rizicima. Povezanost javnih i privatnih mreža i dijeljenje informacione imovine usložnjava kontrolu pristupima informacijama i njihovo rukovanje. Također, distribucija prenosnih memorijskih uređaja koji sadrže informacionu imovinu može oslabiti efektivnost tradicionalnih kontrola. Kada organizacija usvoji ISMS familiju standarda, sposobnost  da primijeni dosljedne i međusobno prepoznatljive principe sigurnosti informacija može biti pokazana poslovnim partnerima i ostalim zainteresovanim stranama.


Prednosti ISMS familije standarda

Prednosti implementacije ISMS-a primarno će rezultirati smanjenjem rizika sigurnosti informacija (odnosno, smanjenjem vjerovatnoće i/ili efekata izazvanih incidentima sigurnosti informacija). Posebno, prednosti koje će organizacija imati od usvajanja ISMS familije standarda uključuju:

  1. strukturirani okvir koji podržava proces specifikacije, implementacije, provođenja i održavanja jasnog, isplativog, vrijednosnog, integrisanog i usklađenog ISMS-a, koji zadovoljava potrebe organizacije preko različitih operacija i lokacija;
  2. pomoć rukovodstvu u dosljednom upravljanju, na odgovoran način, njihovog pristupa prema upravljanju sigurnošću informacija, unutar konteksta upravljanja korporativnim rizikom, uključujući edukaciju i obuku vlasnika poslova i sistema holističkom upravljanju sigurnošću informacija;
  3. promovisanje globalno prihvaćenih dobrih praksi sigurnosti informacija, na nepropisujući način, dajući organizaciji prostor da usvoji i unaprijedi relevantne kontrole koje odgovaraju njenim specifičnim okolnostima i da ih održava prema unutrašnjim i vanjskim promjenama;
  4. obezbjeđivanje zajedničkog jezika i konceptualne baze za sigurnost informacija, što čini lakšim uspostavljanje povjerenja s poslovnim partnerima s kompatibilnim ISMS-om, naročito ako oni zahtijevaju ISO/IEC 27001 certifikat od strane akreditovanog certifikacionog tijela;
  5. povećanje povjerenja zainteresovanih strana;
  6. zadovoljavanje društvenih potreba i očekivanja; i
  7. efektivnije ekonomsko upravljanje investicijama u informacionu sigurnost.


ISMS familija standarda

ISMS familija standarda sastoji se od međusobno povezanih standarda, koji su već objavljeni ili su u fazi razvoja, i sadrži nekoliko važnih strukturnih komponenti. Ove komponente su fokusirane na  normativne standarde koji opisuju zahtjeve ISMS-a (ISO/IEC 27001), zahtjeve tijela za certifikaciju (ISO/IEC 27006), za one koji certifikuju usklađenost sa ISO/IEC 27001 i dodatne zahtjeve za implementaciju ISMS-a (ISO/IEC 27009) za specifične sektore. Ostali standardi pružaju smjernice za različite aspekte implementacije ISMS-a, obraćajući pažnju na generičke procese kao i smjernice za specifične kontrole.
Veza između standarda ISMS familije ilustrovana je na slici ispod: 

(slika)


Standardi koji opisuju pregled i terminologiju

BAS ISO/IEC 27000, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Sistemi za upravljanje sigurnošću informacija Pregled i rječnik
Ovaj međunarodni standard opisuje osnove sistema upravljanja sigurnošću informacija, koje formiraju temu ISMS familije standarda i definiše povezane termine.


Standardi koji specificiraju zahtjeve

BAS ISO/IEC 27001, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Sistemi za upravljanje sigurnošću informacija ‒ Zahtjevi
ISO/IEC 27001 pruža normativne zahtjeve za razvoj i provođenje ISMS-a, uključujući set kontrola za provjeru i smanjenje rizika povezanih s informacionom imovinom koju organizacija želi zaštititi provodeći sistem upravljanja sigurnošću informacija (ISMS).
BAS ISO/IEC 27006, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Zahtjevi za tijela koja vrše audit i certificiranje sistema za upravljanje sigurnošću informacija
ISO/IEC 27006 nadopunjuje ISO/IEC 17021 u pružanju zahtjeva prema kojima se akredituju organizacije za certifikaciju, dozvoljavajući tim organizacijama da dosljedno osiguraju certifikate o usklađenosti sa zahtjevima postavljenim u ISO/IEC 27001.
Standardi koji opisuju opće smjernice
BAS ISO/IEC 27002Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Pravilo dobre prakse za kontrole sigurnosti informacija
ISO/IEC 27002 pruža smjernice za implementaciju kontrola sigurnosti informacija.
BAS ISO/IEC 27003Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Smjernice za implementaciju sistema za upravljanje sigurnošću informacija
ISO/IEC 27003 pruža procesno orijentisani pristup uspješnoj implementaciji ISMS-a u skladu sa ISO/IEC 27001.
BAS ISO/IEC 27004Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Upravljanje sigurnošću informacija ‒ Mjerenje
ISO/IEC 27004 pruža okvir za mjerenje, dozvoljavajući da se efektivnost ISMS-a ocijeni u skladu sa ISO/IEC 27001.
BAS ISO/IEC 27005Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Upravljanje rizicima sigurnosti informacija
ISO/IEC 27005 pruža smjernice za implementaciju procesno orijentisanog pristupa upravljanju rizicima i pomaže u uspješnoj implementaciji i ispunjavanju zahtjeva upravljanja rizicima sigurnosti informacija prema ISO/IEC 27001.
BAS ISO/IEC 27007, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Smjernice za audit sistema za upravljanje sigurnošću informacija
ISO/IEC 27007 pruža smjernice za organizacije koje provode interne ili eksterne audite ISMS-a ili koje upravljaju ISMS audit programom prema zahtjevima navedenim u ISO/IEC 27001.
BAS ISO/IEC TR 27008, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Smjernice za auditore o kontrolama informacione sigurnosti
Ovaj tehnički izvještaj fokusira se na pregled kontrola sigurnosti informacija, uključujući provjeru tehničke usklađenosti prema standardu za implementaciju sigurnosti informacija.
BAS ISO/IEC 27013Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Smjernice za integrisanu implementaciju standarda ISO/IEC 27001 i ISO/IEC 20000-1
Ovaj međunarodni standard pruža organizacijama bolje razumijevanje karakteristika, sličnosti i razlika ISO/IEC 27001 i ISO/IEC 20000-1 da bi pomogao u planiranju integrisanog sistema upravljanja koji je usklađen s oba međunarodna standarda.
BAS ISO/IEC 27014, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Upravljanje sigurnošću informacija
Ovaj međunarodni standard pruža smjernice o principima i procesima za upravljanje sigurnošću informacija, prema kojim organizacije mogu procijeniti, usmjeriti i nadgledati upravljanje sigurnošću informacija.
BAS ISO/IEC TR 27016, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Upravljanje sigurnošću informacija ‒ Organizaciona ekonomika
Ovaj tehnički izvještaj pruža metodologiju omogućavajući organizacijama da bolje razumiju ekonomski kako da preciznije procijene vrijednost informacione imovine, procijene potencijalne rizike po tu informacionu imovinu i odrede optimalni nivo resursa koji trebaju koristiti u osiguravanju informacione imovine.


Standardi koji opisuju smjernice za specifične sektore

BAS ISO/IEC 27010Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Upravljanje sigurnošću informacija u komunikacijama unutar sektora i unutar organizacija
Ovaj međunarodni standard je primjenljiv na sve forme razmjene i dijeljenja osjetljivih informacija, javnih i privatnih, nacionalnih i međunarodnih, unutar istih ili različitih sektora.
BAS ISO/IEC 27011Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Smjernice za upravljanje sigurnošću informacija za telekomunikacijske organizacije zasnovane na ISO/IEC 27002
ISO/IEC 27011 omogućava organizacijama za telekomunikaciju da ispune osnovne zahtjeve upravljanja sigurnošću informacija za povjerljivost, integritet, dostupnost i bilo koje druge relevantne sigurnosne osobine.
BAS ISO/IEC TR 27015Informacione tehnologije ‒ Sigurnosne tehnike ‒ Smjernice za upravljanje sigurnošću informacija kod finansijskih usluga  
Ovaj tehnički izvještaj pruža smjernice kao dodatak smjernicama datim u ISO/IEC 27000 familiji standarda za pokretanje, implementaciju, održavanje i unapređenje sigurnosti informacija unutar organizacije koja pruža finansijske usluge.
ISO/IEC 27017 (u planu za usvajanje kao BAS standard), Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Pravilo dobre prakse za kontrole sigurnosti informacija baziranim na ISO/IEC 27002 za servise u oblaku (cloud)
Ovaj međunarodni standard pruža kontrole i smjernice za implementaciju za pružaoce i korisnike servisa u oblaku.
BAS ISO/IEC 27018Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Pravilo dobre prakse za zaštitu ličnih informacija (PII) u javnim oblacima koji obrađuju PII
Ovaj međunarodni standard  je primjenljiv na sve organizacije, uključujući javne i privatne kompanije, vladina tijela i neprofitne organizacije, koje pod ugovorom pružaju usluge obrade informacija kao PII procesori putem računarstva u oblaku drugim organizacijama.
BAS ISO/IEC TR 27019Informacione tehnologije ‒ Sigurnosne tehnike ‒ Smjernice za upravljanje sigurnošću informacija bazirane na ISO/IEC 27002 za sisteme kontrole procesa specifične za energetiku
Kao dodatak ciljevima sigurnosti i mjerama koje su postavljene u ISO/IEC 27002, ovaj tehnički izvještaj pruža smjernice za kontrole sigurnosti informacija, za sisteme koje koriste energetska postrojenja i snabdjevači energijom.
BAS ISO 27799Zdravstvena informatika ‒ Upravljanje sigurnošću informacija o zdravlju korištenjem ISO/IEC 27002
ISO 27799 pruža  zdravstvenim organizacijama adaptaciju smjernica ISO/IEC 27002 standarda, na jedinstven način za njihov industrijski sektor.