Системи управљања безбједношћу информација

Шта је систем управљања сигурношћу информација (ISMS)?

Систем управљања сигурношћу информација (ISMS) се састоји од политика, процедура, смјерница, повезаних ресурса и активности, којима руководи организација у настојању да заштити своју информациону имовину. ISMS је систематичан приступ за успостављање, примјену, спровођење, праћење, преглед, одржавање и унапређење сигурности информација организације за постизање пословних циљева. Заснива се на процјени ризика и нивоима прихватљивости ризика организације дизајнираних за ефикасно третирање и управљање ризицима. Анализирање захтјева за заштиту информационе имовине и примјена одговарајућих контрола за осигурање заштите информационе имовине, по потреби, доприноси успјешној имплементацији система управљања сигурношћу информација.

Сљедећи основни принципи такође доприносе успјешној имплементацији ISMS-a:

а) свијест о потреби за сигурношћу информација;
б) додјела одговорности за сигурност информација;
ц) укључивање посвећености руководства и интереси заинтересованих страна;
д) унапређење друштвених вриједности;
е) процјене ризика које утврђују одговарајуће контроле за достизање прихватљивих нивоа ризика;
ф) прихватање сигурности као основног елемента информационих мрежа и система;
г) активно спречавање и откривање информационих сигурносних инцидената;
х) обезбјеђивање свеобухватног приступа управљању сигурношћу информација; и
и) континуирана поновна процјена сигурности информација и спровођење измјена по потреби.


Зашто је ISMS важан?

Мора се повести рачуна о ризицима повезаним с информационом имовином организације. Постизање сигурности информација захтијева управљање ризиком и обухвата ризике од физичких, људских и технолошких пријетњи, повезаних са свим облицима информација унутар организације или које организација користи. Очекује се да усвајање ISMS-а буде стратешка одлука за организацију.
На дизајн и имплементацију ISMS-а утичу потребе и циљеви организације, сигурносни захтјеви, пословни процеси у употреби, као и величина и структура организације. Дизајн и примјена ISMS-а морају да одражавају интересе и захтјеве сигурности информација свих заинтересованих страна организације, укључујући кориснике, добављаче, пословне партнере, дионичаре и остале релевантне треће стране.
ISMS је важан и за јавни и за приватни пословни сектор. У било којој индустрији ISMS омогућава подршку за е-пословање и основа је за управљање ризицима. Повезаност јавних и приватних мрежа и дијељење информационе имовине усложава контролу приступима информацијама и њихово руковање. Такође, дистрибуција преносних меморијских уређаја који садрже информациону имовину може да ослаби ефективност традиционалних контрола. Када организација усвоји ISMS фамилију стандарда, способност  да примијени досљедне и међусобно препознатљиве принципе сигурности информација може да буде показана пословним партнерима и осталим заинтересованим странама.


Предности ISMS фамилије стандарда

Предности имплементације ISMS ће примарно резултовати смањењем ризика сигурности информација (односно, смањењем вјероватноће и/или ефеката изазваних инцидентима сигурности информација). Посебно, предности које ће организација имати од усвајања ISMS фамилије стандарда укључују:

а) структурисани оквир који подржава процес спецификације, имплементације, спровођења и одржавања јасног, исплативог, вриједносног, интегрисаног и усклађеног ISMS-а, који задовољава потребе организације преко различитих операција и локација;

б) помоћ руководству у досљедном управљању, на одговоран начин, њиховог приступа према управљању сигурношћу информација, унутар контекста управљања корпоративним ризиком, укључујући едукацију и тренинг власника послова и система холистичком управљању сигурношћу информација;

ц) промовисање глобално прихваћених добрих пракси сигурности информација, на непрописујући начин, дајући организацији простор да усвоји и унаприједи релевантне контроле које одговарају њеним специфичним околностима и да их одржава према унутрашњим и спољашњим промјенама;

д) обезбјеђивање заједничког језика и концептуалне базе за сигурност информација, што чини лакшим успостављање повјерења с пословним партнерима с компатибилним ISMS-ом, нарочито ако они захтијевају ISO/IEC 27001 сертификат од стране акредитованог сертификационог тијела;

е) повећање повјерења заинтересованих страна;

ф) задовољавање друштвених потреба и очекивања; и

г) ефективније економско управљање инвестицијама у информациону сигурност.


ISMS фамилија стандарда

ISMS фамилија стандарда се састоји од међусобно повезаних стандарда, који су већ објављени или су у фази развоја, и садржи неколико важних структурних компоненти. Ове компоненте су фокусиране на  нормативне стандарде који описују захтјеве ISMS (ISO/IEC 27001), захтјеве тијела за сертификацију (ISO/IEC 27006), за оне који сертификују усклађеност са ISO/IEC 27001 и додатне захтјеве за имплементацију ISMS-а (ISO/IEC 27009) за специфичне секторе. Остали стандарди пружају смјернице за различите аспекте имплементације ISMS-а, обраћајући пажњу на генеричке процесе као и смјернице за специфичне контроле.
Веза између стандарда ISMS фамилије је илустрована на слици испод:

(slika)


Стандарди који описују преглед и терминологију

BAS ISO/IEC 27000,Информациона технологија ‒ Сигурносне технике – Системи за управљање сигурношћу информација – Преглед и рјечник
Овај међународни стандард описује основе система управљања сигурношћу информација, које формирају тему ISMS фамилије стандарда и дефинише повезане термине.


Стандарди који специфицирају захтјеве


BAS ISO/IEC 27001Информациона технологија ‒ Сигурносне технике ‒ Системи за управљање сигурношћу информација ‒ Захтјеви
ISO/IEC 27001 пружа нормативне захтјеве за развој и спровођење ISMS-а, укључујући сет контрола за провјеру и смањење ризика повезаних с информационом имовином коју организација жели да заштити спроводећи систем управљања сигурношћу информација (ISMS).
BAS ISO/IEC 27006,Информациона технологија ‒ Сигурносне технике – Захтјеви за тијела која врше аудит и цертифицирање система за управљање сигурношћу информација
ISO/IEC 27006 надопуњује ISO/IEC 17021 у пружању захтјева према којима се акредитују организације за сертификацију, дозвољавајући тим организацијама да досљедно осигурају сертификате о усклађености са захтјевима постављеним у ISO/IEC 27001.


Стандарди који описују опште смјернице


BAS ISO/IEC 27002,Информациона технологија ‒ Сигурносне технике ‒ Правило добре праксе за контроле сигурности информација
ISO/IEC 27002 пружа смјернице за имплементацију контрола сигурности информација.
BAS ISO/IEC 27003,Информациона технологија ‒ Сигурносне технике – Смјернице за имплементацију система за управљање сигурношћу информација
ISO/IEC 27003 пружа процесно оријентисани приступ успјешној имплементацији ISMS-а у складу са ISO/IEC 27001
BAS ISO/IEC 27004,Информациона технологија – Сигурносне технике – Управљање сигурношћу информација – Мјерење
ISO/IEC 27004 пружа оквир за мјерење, дозвољавајући да се ефективност ISMS-а оцијени у складу са ISO/IEC 27001.
BAS ISO/IEC 27005,Информациона технологија ‒ Сигурносне технике – Управљање ризицима сигурности информација
ISO/IEC 27005 пружа смјернице за имплементацију процесно оријентисаног приступа управљању ризицима и помаже у успјешној имплементацији и испуњавању захтјева управљања ризицима сигурности информација према ISO/IEC 27001.
BAS ISO/IEC 27007,Информациона технологија ‒ Сигурносне технике – Смјернице за аудит система за управљање сигурношћу информација
ISO/IEC 27007 пружа смјернице за организације које спроводе интерне или екстерне аудите ISMS-а или које управљају ISMS аудит програмом према захтјевима наведеним у ISO/IEC 27001.
BAS ISO/IEC TR 27008,Информациона технологија – Сигурносне технике – Смјернице за аудиторе о контролама информационе сигурности
Овај технички извјештај се фокусира на преглед контрола сигурности информација, укључујући провјеру техничке усклађености према стандарду за имплементацију сигурности информација.
BAS ISO/IEC 27013,Информациона технологија ‒ Сигурносне технике – Смјернице за интегрисану имплементацију стандарда ISO/IEC 27001 и ISO/IEC 20000-1
Овај међународни стандард пружа организацијама боље разумијевање карактеристика, сличности и разлика ISO/IEC 27001 и ISO/IEC 20000-1 да би помогао у планирању интегрисаног система управљања који је усклађен с оба међународна стандарда.
BAS ISO/IEC 27014,Информациона технологија ‒ Сигурносне технике – Управљање сигурношћу информација
Овај међународни стандард пружа смјернице о принципима и процесима за управљање сигурношћу информација, према којим организације могу да процијене, усмјере и надгледају управљање сигурношћу информација.
BAS ISO/IEC TR 27016,Информациона технологија – Сигурносне технике – Управљање сигурношћу информација – Организациона економика
Овај технички извјештај пружа методологију омогућавајући организацијама да боље разумију економски како да прецизније процијене вриједност њихове информационе имовине, процијене потенцијалне ризике по ту информациону имовину и одреде оптимални ниво ресурса који требају да користе у осигуравању информационе имовине.


Стандарди који описују смјернице за специфичне секторе

BAS ISO/IEC 27010, Информациона технологија ‒ Сигурносне технике – Управљање сигурношћу информација у комуникацијама унутар сектора и унутар организација
Овај међународни стандард је примјенљив на све форме размјене и дијељења осјетљивих информација, јавних и приватних, националних и међународних, унутар истих или различитих сектора.
BAS ISO/IEC 27011,Информациона технологија ‒ Сигурносне технике – Смјернице за управљање сигурношћу информација за телекомуникацијске организације засноване на ISO/IEC 27002
ISO/IEC 27011 омогућава организацијама за телекомуникацију да испуне основне захтјеве управљања сигурношћу информација за повјерљивост, интегритет, доступност и било које друге релевантне сигурносне особине.
BAS ISO/IEC TR 27015,Информационе технологије – Сигурносне технике – Смјернице за управљање сигурношћу информација код финансијских услуга  
Овај технички извјештај пружа смјернице као додатак смјерницама датим у ISO/IEC 27000 фамилији стандарда за покретање, имплементацију, одржавање и унапређење сигурности информација унутар организације која пружа финансијске услуге.
ISO/IEC 27017 (у плану за усвајање као BAS стандард),Информациона технологија ‒ Сигурносне технике – Правило добре праксе за контроле сигурности информација базираним на ISO/IEC 27002 за сервисе у облаку (cloud)
Овај међународни стандард пружа контроле и смјернице за имплементацију за пружаоце и кориснике сервиса у облаку.
BAS ISO/IEC 27018,Информациона технологија ‒ Сигурносне технике ‒ Правило добре праксе за заштиту личних информација (PII) у јавним облацима који обрађују PII
Овај међународни стандард  је примјенљив на све организације, укључујући јавне и приватне компаније, владина тијела и непрофитне организације, које под уговором пружају услуге обраде информација као PII процесори путем рачунарства у облаку другим организацијама.
BAS ISO/IEC TR 27019,Информационе технологије – Сигурносне технике – Смјернице за управљање сигурношћу информација базиране на ISO/IEC 27002 за системе контроле процеса специфичне за енергетику
Као додатак циљевима сигурности и мјерама које су постављене у ISO/IEC 27002, овај технички извјештај пружа смјернице за контроле сигурности информација, за системе које користе енергетска постројења и снабдјевачи енергијом.
BAS ISO 27799,Здравствена информатика ‒ Управљање сигурношћу информација о здрављу кориштењем ISO/IEC 27002
ISO 27799 пружа  здравственим организацијама адаптацију смјерница ISO/IEC 27002 стандарда, на јединствен начин за њихов индустријски сектор.