Standardi za bezbednost informacija - pregled

CONTENT

• Bezbednost informacija - pregled standarda
• Sertifikacija kao kompetitivna prednost na tržištu
• Deset ISO standarda o bezbednosti informacija sa kojima bi trebalo da budete upoznati
• Druge teme u ISO 2700x familiji standarda
• DQS - Šta možemo da učinimo za vas

Standardi za bezbednost informacija - pregled

Pojedinačni standardi IT bezbednosti u seriji ISO 2700x bave se raznovrsnim temama u oblasti bezbednosti informacija. Na primer, međunarodni standard navodi ISO 27001 Sistem menadžmenta bezbednošću informacija (ISMS), ISO 27701 sistem za upravljanje zaštitom podataka, ISO 27017 sistem za bezbednost informacija, sajber bezbednost i zaštitu privatnosti, a ISO 27005 (Informacione tehnologije – Tehnike bezbednosti – Menadžment rizicima po bezbednost informacija) daje smernice za upravljanje rizicima po IT bezbednost.

Kompanije u svim industrijama mogu imati koristi od sistemski strukturiranog pristupa ovih standarda za bezbednost informacija. Omogućava da poverljivi podaci budu zaštićeni od gubitka i zloupotrebe i pomaže da se pouzdano identifikuju i smanje (potencijalne) pretnje. Pristup pomaže da se obezbedi dostupnost korporativnih IT sistema, čime se doprinosi optimizaciji poslovnih procesa, IT i troškova procesa, kao i minimizaciji rizika.

Sertifikacija kao kompetitivna prednost

Sertifikacija prema ISO 27001, na primer od strane DQS-a, zahteva određene resurse za pripremu. Na kraju uspešno sprovedenog procesa sertifikacije, kompanija pruža sertifikat kao dokumentovani dokaz usaglašenosti sa zahtevima standarda za bezbednost informacija i sprovođenja mera za zaštitu osetljivih podataka kompanije. Ovo je jasna konkurentska prednost.

Deset ISO standarda o bezbednosti informacija sa kojima bi trebalo da budete upoznati

Dole navedena lista pruža informativni pregled trenutnog statusa ISO 2700x serije standarda u bezbednosti informacija. Svi standardi su dostupni na ISO veb-stranici.

ISO 27001 - Zahtevi za sisteme menadžmenta bezbednošću informacija

U vremenima kada se podacima i informacijama trguje kao retkom robom, njihova zaštita je od suštinskog značaja. Optimalnu osnovu za efikasnu implementaciju holističke bezbednosne strategije obezbeđuje dobro struktuirani sistem menadžmenta bezbednošću informacija (ISMS) u skladu sa standardom ISO 27001. Ovo je međunarodno priznat standard za bezbednost informacija u privatnim, javnim ili neprofitnim organizacijama, koji ne pokriva samo aspekte IT bezbednosti.

ISO 27001 ISMS definiše zahteve, pravila i metode za obezbeđivanje bezbednosti informacija koje zahtevaju zaštitu u organizacijama. ISO standard obezbeđuje model za uspostavljanje, implementaciju, praćenje i poboljšanje nivoa zaštite. Cilj je da se identifikuju potencijalni rizici za kompaniju, analiziraju i da se oni kontrolišu kroz odgovarajuće mere. ISO 27001 formuliše zahteve za takav sistem menadžmenta, koji se nadgledaju kao deo procesa eksterne sertifikacije .

Ovim standardom možete:

• Učiniti bezbednost osetljivih informacija sastavnim delom korporativnih procesa.
• Preventivno čuvati ciljeve, zaštititi poverljivost, dostupnost i integritet informacija
• Održavati kontinuitet poslovanja kroz stalno unapređenje nivoa bezbednosti
• Motivisati zaposlene i značajno povećati svest o bezbednosti na svim nivoima preduzeća
• Izgraditi poverenje sa zainteresovanim stranama
• Uspostaviti efikasan proces upravljanja rizicima

ISO 27019 - Mere bezbednosti informacija za snabdevanje energijom.

Standard bezbednosti informacija ISO 27019 formuliše komplementarne mere za sektor energetike.

Pomaže da obezbedite sisteme za kontrolu elektronskog procesa koji se koriste za kontrolu proizvodnje, prenosa, skladištenja i distribucije električne energije, gasa, nafte i toplote, kao i za kontrolu povezanih procesa podrške.

ISO 27006 - Zahtevi za sertifikaciona tela

ISO 27006 je usmeren na tela kao što je DQS koja obavljaju sertifikacije sistema menadžmenta bezbednošću informacija. Standard akreditacije ISO 27006 opisuje zahteve koje sertifikaciona tela moraju da slede prilikom audita sistema upravljanja ISO 27001 kod svojih klijenata u toku sertifikacije.

Ovaj aneks sadrži specifične mere koje treba primeniti kao deo sistema menadžmenta, kao što je od značaja za organizaciju. ISO 27002 je vodič sa preporukama za sprovođenje mera iz ISO 27001.

Sa ovim standardom možete:

• podržati implementaciju ISO 27001
• Implementarati preporuke za mere u Aneksu A od ISO 27001

ISO 27000 - Pregled i rečnik sistema menadžmenta bezbednošću informacija

ISO 27000 sadrži pojmove i definicije koji se koriste u ISO 2700X seriji standarda. ISO 27000 pruža pregled sistema menadžmenta bezbednošću informacija i ISO 2700x niz standarda sa njihovim standardima bezbednosti informacija.

U rečniku, (tehnički) termini se definišu eksplicitno i formalno.

ISO 27701 - Smernice za upravljanje zaštitom podataka

Standard za IT bezbednost posebno vezan za privatnost podataka ISO 27701 navodi sistem za upravljanje zaštitom podataka zasnovan na ISO 27001, ISO 27002 (kontrole bezbednosti informacija) i ISO 29100 (okvir za privatnost podataka) kako bi se na odgovarajući način bavio obradom ličnih podataka i bezbednošću informacija. Ovo se odnosi i na obrađivače i na rukovaoce ličnih podataka (termini preuzeti iz GDPR terminologije).

Kako možete da uspete sa ovim standardom:

• Bolje upravljanje ličnim podacima i bezbednošću informacija
• Lakša primena zajedničkih principa upravljanja rizikom informacija na lične podatke
• Poravnajte i proširite kontrole unutar ISO 27001, kao i srodnog ISO 27002

ISO 27017 – Smernice za mere bezbednosti informacija u cloudu (information security measures in cloud services

Standard ISO 27017 pruža smernice o merama bezbednosti informacija u računarstvu u cloudu u okviru standarda za bezbednost informacija.

On preporučuje, podržava i pruža dodatne mere za primenu kontrola bezbednosti informacija specifičnih za klaud.

Šta možete da postignete ovim standardom:

• Razumevanje aspekata bezbednosti infomracija računarstva u klaudu.
• Dizajnirajte i primenite kontrole bezbednosti informacija specifične za klaud
• Kontrola nad opcijama za izbor, implementaciju i upravljanje bezbednošću informacija za računarstvo u klaudu

ISO 27018 – Guidance on data protection in cloud services.

Standard ISO 27018 pruža smernice kako bi se obezbedilo da dobavljači usluga u klaudu nude odgovarajuće kontrole bezbednosti informacija kako bi zaštitili privatnost klijenata obezbeđivanjem ličnih podataka koji su im povereni.

Ovaj standard prati ISO 27017 (Mere bezbednosti informacija u uslugama u klaudu), koji pokriva druge aspekte bezbednosti informacija u računarstvu u klaudu osim zaštite podataka.

Evo šta možete da uradite sa standardom:

• Izaberite kontrole zaštite PII kao deo implementacije sistema upravljanja bezbednošću informacija računarstva u klaudu zasnovanog na ISO 27001.
• Primenite opšte prihvaćene kontrole zaštite PII.
• Produbite znanje jer je standard zasnovan na ISO 27002 i proširuje njegove opšte savete u nekim oblastima
• Povezivanje principa privatnosti OECD-a sadržanih u nekoliko zakona i propisa o zaštiti podataka

ISO 27005 - Smernice za upravljanje rizikom po bezbednosti informacija. (information security risk management)

Standard ISO 27005 pruža smernice za upravljanje rizikom po bezbednosti informacija i podržava opšte koncepte o ovome izložene u ISO 27001.

ISO 27005 je takođe namenjen da podrži implementaciju informacione bezbednosti zasnovane na konceptu upravljanja rizikom.

To možete učiniti pomoću standarda:

• Sprovesti bezbednost informacija na osnovu pristupa upravljanja rizikom.
• Definisanje konteksta upravljanja rizikom
• Kvantitativna ili kvalitativna procena (tj. identifikacija, analiza i evaluacija) relevantnih informacionih rizika
• Kontinuirano praćenje i pregled rizika, tretmana rizika, zahteva i kriterijuma
• Odgovarajuće rukovanje rizicima
• Stalna komunikacija svih zainteresovanih strana

ISO 27007 - Vodič za proveru ISMS-a (Guide to auditing ISMS)

ISO 27007 je vodič za sprovođenje provera i namenjen je internim i eksternim auditorima koji ocenjuju ISMS prema ISO/IEC 27001.

Smernica je u velikoj meri zasnovan na Smernicama za proveru sistema upravljanja (ISO 19011) i pruža dodatne smernice za sistem upravljanja bezbednošću informacija (ISMS).

Evo kako možete da uspete sa standardom:

• Smernice posebno za ISO 27001 ISMS provere
• Uputstvo za planiranje i sprovođenje provera integrisano iz ISO 19011
• Važne informacije o kompetencijama ISMS auditora
• Razumevanje i izvođenje ISMS provere

DQS - šta možemo da uradimo za vas

DQS je vodeći specijalista u sertifikaciji sistema menadžmenta i procesa od 1985. Od tada je istorija DQS-a usko povezana sa istorijom ISO 9001. Svojim klijentima donosimo naše znanje i iskustvo iz celog sveta i opsežno razumevanje standarda. Na oko 30.000 provera godišnje. Tako da možete videti koje su vam opcije.

Poverenje i stručnost

Naše tekstove i bele strane pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Kao i pregled standarda bezbednosti informacija. Ako imate bilo kakva pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, slobodno nas kontaktirajte.

Standardi za bezbednost informacija: Druge teme u porodici standarda ISO 2700Ks

ISO 27003 - Smernice za razvoj i implementaciju ISMSa

ISO/IEC 27003:2017

Informacione tehnologije — Tehnike bezbednosti — Sistemi menadžmenta bezbednošću informacija — Smernice

ISO 27004 - Smernice o metodama merenja upravljanja bezbednošću informacija

ISO/IEC 27004:2016

Informacione tehnologije — Tehnike bezbednosti — Menadžment bezbednošću informacija — Praćenje, merenje, analiza i vrednovanje

ISO 27008 - Uputstvo za ocenjivanje mera bezbednosti informacija

ISO/IEC TS 27008:2019

Informacione tehnologije – Tehnike bezbednosti – Uputstva za ocenjivanje kontrola bezbednosti informacija

ISO 27009 - Smernice za sektorsku primenu sistema za upravljanje informacijama

ISO/IEC 27009:2020

Information security, cybersecurity and privacy protection — Sector-specific application of ISO/IEC 27001 — Requirements

ISO 27010 - Smernice za upravljanje bezbednošću informacija za međusektorske i međuorganizacijske komunikacije

ISO/IEC 27010:2015

Informacione tehnologije – Tehnike bezbednosti – Menadžment bezbednošću informacija za komunikaciju između sektora i između organizacija

ISO 27011 - Smernice za upravljanje bezbednošću informacija u sektoru telekomunikacija

ISO/IEC 27011:2016

Informacione tehnologije – Tehnike bezbednosti – Pravilo dobre prakse za kontrolu bezbednosti informacija u telekomunikacionim organizacijama zasnovano na ISO/IEC 27002

ISO 27013 - Smernice za integrisanu implementaciju ISMS-a i upravljanja IT uslugama

ISO/IEC 27013:2021

Bezbednost informacija, sajber bezbednost i zaštita privatnosti — Uputstvo za integrusanu primenu ISO/IEC 27001 i ISO/IEC 20000-1

ISO 27014 - 'Upravljanje' bezbednošću informacija

ISO/IEC DIS 27014:2020

Bezbednost informacija, sajber bezbednosti i zaštita privatnosti - Upravljanje bezbednošću informacija

ISO 27016 - Ekonomika upravljanja bezbednošću informacija

ISO/IEC TR 27016:2014

Informacione tehnologije – Tehnike bezbednosti – Menadžment bezbednošću informacija – Organizaciona ekonomija

ISO 27021 - Uslovi za kompetentnost ISMS profesionalaca

ISO/IEC 27021:2019

Informacione tehnologije – Tehnike bezbednosti – Zahtevi za kompetencije stručnjaka za sisteme menadžmenta bezbednošću informacija

ISO 27031 - Smernice za kontinuitet poslovanja

ISO/IEC 27031:2011

Informacione tehnologije — Tehnike bezbednosti — Smernice za spremnost informacionih i komunikacionih tehnologija za kontinuitet poslovanja

SAVET: Pročitajte naš blog post o upravljanju kontinuitetom poslovanja da biste saznali šta standard ISO 22301 preporučuje da bi se obezbedilo kontinuirano poslovanje kompanije u specifičnim situacijama.

ISO 27032 - Smernice za sajber bezbednost

ISO/IEC 27032:2023

Sajber bezbednost – Smernice za bezbednost interneta

ISO 27033 - Smernice o bezbednosti mreže

ISO/IEC 27033

Informacione tehnologije – Tehnike bezbednosti – Bezbednost mreže – Deo 1: Pregled i pojmovi, Deo 2: Smernice za projektovanje i implementaciju bezbednosti mreže, Deo 3: Preporuke kod scenarija umrežavanja — Pretnje, tehnike projektovanja i rezultati kontrola, Deo 4: Obezbeđivanje komunikacija između mreža korišćenjem bezbednosnih mrežnih prolaza, Deo 5: Obezbeđivanje komunikacija između mreža korišćenjem virtuelnih privatnih mreža (VPN), Deo 6: Obezbeđivanje pristupa bežičnoj mreži koja koristi IP tehnologiju

ISO 27034 - Smernice o bezbednosti aplikacija

ISO/IEC 27034

Informacione tehnologije — Tehnike bezbednosti — Bezbednost aplikacije — Deo 1: Pregled i pojmova, Deo 2: Normativni okvir organizacije, Deo 3: Proces upravljanja bezbednošću aplikacija, Deo 4: Validacija i verifikacija, Deo 5: Protokoli i struktura podataka za kontrolu bezbednosti aplikacija, Deo 6: Studije slučaja, Deo 7: Okvir za predviđanje pouzdanosti

ISO 27035 - Smernice za upravljanje incidentima narušavanja bezbednosti informacija

ISO/IEC 27035

Informacione tehnologije - Menadžment incidentima narušavanja bezbednost iinformacija
Deo 1: Principi i proces, Deo 2: Smernice za plan i pripremu odgovora na incident, Deo 3: Smernice za reagovanje na incidente informacione i komunikacione tehnologije (nacrt)

ISO 27036 - Smernice o odnosima sa dobavljačima

ISO/IEC 27036

Sajber bezbednost - Odnosi sa dobavljačima
Deo 1: Pregled i koncepti, Deo 2: Zahtevi, Deo 3: Smernice za bezbednost lanca snabdevanja hardverom, softverom i uslugama,  Deo 4: Smernice za bezbednost usluga u klaudu

ISO 27037 - Smernice za rukovanje digitalnim dokazima.

ISO/IEC 27037:2012

Informacione tehnologije — Tehnike bezbednosti — Smernice za identifikovanje, prikupljanje, preuzimanje i očuvanje digitalnih dokaza

ISO 27038 - Specifikacija za digitalnu redakciju

ISO/IEC 27038:2017

Informacione tehnologije – Tehnike bezbednosti – Specifikacije za digitalnu redakciju

ISO 27039 - Uputstvo za sisteme za otkrivanje upada (IDPS)

ISO/IEC 27039:2019

Informacione tehnologije – Tehnike bezbednosti – Selekcija, puštanje u rad i funkcionisanje sistema za otkrivanje i prevenciju upada (IDPS)

ISO 27040 - Uputstvo o bezbednosti skladištenja

ISO/IEC 27040:2015

Informacione tehnologije – Tehnike bezbednosti – Bezbednost skladištenja podataka

ISO 27041 - Smernice o metodama istrage incidenta

ISO/IEC 27041:2015

Informacione tehnologije – Tehnike bezbednosti – Smernice za obezbeđivanje pogodnosti i opravdanost metode istrage incidenata

ISO 27042 - Smernice za analizu i tumačenje digitalnih dokaza.

ISO/IEC 27042:2015

Informacione tehnologije – Tehnike bezbednosti – Uputstvo za analizu i tumačenje digitalnih dokaza

ISO 27043 - Smernice o procesima istrage incidenta.

ISO/IEC 27043:2015

Informacione tehnologije – Tehnike bezbednosti – Principi i procesi istrage incidenata

ISO 27050 - Uputstvo za elektronsku detekciju

ISO/IEC 27050

IUputstvo za elektronsku detekciju, Deo 2: Uputstvo za upravljanje i menadžment elektronskim otkrivanjem, Deo 3: Pravilo dobre prakse za elektronsko otkrivanje

ISO 27102 - Smernice o sajber osiguranju

ISO/IEC 27102:2019

Menadžment bezbednošću informacija — smernice za sajber osiguranje

ISO 27103 - Smernice za sajber bezbednost i ISO/IEC standarde

ISO/IEC TR 27103:2018

Informacione tehnologije - Tehnike bezbednosti - Sajber bezbednost i ISO i IEC standardi

ISO 27550 -Inženjering privatnosti za procese životnog ciklusa sistema

ISO/IEC TR 27550:2019-09

Informacione tehnologije - Tehnike bezbednosti — Inženjering privatnosti za procese životnog ciklusa sistema

ISO 27799 - Upravljanje bezbednošću informacija u sektoru zdravstva

ISO 27799:2016

Informatika u zdravstvu – Upravljanje bezbednošću informacija u zdravstvu pomoću ISO/IEC 27002