Principi, standardi i normative – okvir zaštite informacija
Bezbednost informacija je u suštini sistem inženjerski (SE) posao. Sam termin „bezbednost informacija” evoluirao je tokom razvoja IKT-a od bezbednosti računarskog sistema, preko bezbednosti IS i IKT sistema (IKTS), do savremenog termina bezbednost informacione imovine (čiste, fizičke i humane), odnosno, bezbednost informacija, kao najznačajnije informacione imovine. Dakle, bezbednost informacija implicira bezbednost svih komponenti savremenih IKTS u Internet okruženju, a rizik bezbednosti informacija praktično postaje operativni rizik poslovnog sistema.
Određeni nivo bezbednosti informacija se ostvaruje uspostavljanjem sistema zaštite, koji uključuje upravljačke, organizaciono-operativne i tehničke kontrole zaštite (Anex A ISO/IEC 27001:2005 i 2013, ISO/IEC 27002:2005 i 2013). Svi relevantni standardi zaštite preporučuju procenu rizika, koja prethodi planiranju projekta uspostavljanja (ili reinženjeringa) sistema zaštite na bazi rezultata procene rizika. Standard ISO/IEC 27001:2005 (2013) je najšire prihvaćen menadžment sistem bezbednosti informacija (ISMS) u svetu.
Sistem inženjerski pristup zaštiti informacija podrazumeva primenu sistemske analizu (SA), sistemskog mišljenja, objektno orijentisanog (OO) modelovanja i procesnog pristupa. Iskustva SE, SA, OO modelovanja i procesnog pristupa zaštiti informacija preuzeti su i prilagođeni specifičnostima ove oblasti iz bogate inženjerske prakse u drugim naučnim disciplinama. Proces zaštite informacija nije jednokratni proces koji ima svoje konačno odredište, već ciklično ponavljan proces koji zahteva neprekidno poboljšanje. U (OO) modelovanju, uspostavljene su dve grana objekata: (1) grana objekata zaštite informacija - poverljivost, integritet i raspoloživost (CIA) informacione imovine i (2) grana objekata za zaštitu - kontrole ili mere upravljačke, organizaciono-operativne i tehničke (U, O, T). Ovakvim pristupom bitno se smanjuje kompleksnost (poslovnog IS i ugrađenog potsistema zaštite) kao i menadžment uspostavljanja, implementacije, rada/održavanja i poboljšavanje ISMS-a.
Cilj
Polaznici će po završetku ovog modula:
· Razumeti i naučiti ključne definicije i terminologiju bezbednosti informacijai ISMS-a
· Razumeti i naučiti značaj standard i normative za bezbednost informacija
· Razumeti potrebu regularne procene bezbednosnog rizika informacione imovine organizacije
· Razumeti potrebu pisanja politike zaštite
Kome je školovanje namijenjeno
Svim polaznicima koji žele ili planiraju da se, kao profesionalci, bave poslovima menadžmenta sistema bezbednosti informacija (ISMS) i integracijom ISMS-a u TQM sistem organizacije, kao i onima koji su zainteresovani da ovladaju problematikom menadžmenta rizika i sistema zaštite.
Sadržaj
1. 1. Principi, standardi, normativi – okvir zaštite informacija
Bezbednost informacija je u suštini sistem inženjerski (SE) posao. Sam termin „bezbednost informacija” evoluirao je tokom razvoja IKT-a od bezbednosti računarskog sistema, preko bezbednosti IS i IKT sistema (IKTS), do savremenog termina bezbednost informacione imovine (čiste, fizičke i humane), odnosno, bezbednost informacija, kao najznačajnije informacione imovine. Dakle, bezbednost informacija implicira bezbednost svih komponenti savremenih IKTS u Internet okruženju, a rizik bezbednosti informacija praktično postaje operativni rizik poslovnog sistema.
Određeni nivo bezbednosti informacija se ostvaruje uspostavljanjem sistema zaštite, koji uključuje upravljačke, organizaciono-operativne i tehničke kontrole zaštite (Anex A ISO/IEC 27001:2005 i 2013, ISO/IEC 27002:2005 i 2013). Svi relevantni standardi zaštite preporučuju procenu rizika, koja prethodi planiranju projekta uspostavljanja (ili reinženjeringa) sistema zaštite na bazi rezultata procene rizika. Standard ISO/IEC 27001:2005 (2013) je najšire prihvaćen menadžment sistem bezbednosti informacija (ISMS) u svetu.
Sistem inženjerski pristup zaštiti informacija podrazumeva primenu sistemske analizu (SA), sistemskog mišljenja, objektno orijentisanog (OO) modelovanja i procesnog pristupa. Iskustva SE, SA, OO modelovanja i procesnog pristupa zaštiti informacija preuzeti su i prilagođeni specifičnostima ove oblasti iz bogate inženjerske prakse u drugim naučnim disciplinama. Proces zaštite informacija nije jednokratni proces koji ima svoje konačno odredište, već ciklično ponavljan proces koji zahteva neprekidno poboljšanje. U (OO) modelovanju, uspostavljene su dve grana objekata: (1) grana objekata zaštite informacija - poverljivost, integritet i raspoloživost (CIA) informacione imovine i (2) grana objekata za zaštitu - kontrole ili mere upravljačke, organizaciono-operativne i tehničke (U, O, T). Ovakvim pristupom bitno se smanjuje kompleksnost (poslovnog IS i ugrađenog potsistema zaštite) kao i menadžment uspostavljanja, implementacije, rada/održavanja i poboljšavanje ISMS-a.
Cilj
Polaznici će po završetku ovog modula:
· Razumeti i naučiti ključne definicije i terminologiju bezbednosti informacijai ISMS-a
· Razumeti i naučiti značaj standard i normative za bezbednost informacija
· Razumeti potrebu regularne procene bezbednosnog rizika informacione imovine organizacije
· Razumeti potrebu pisanja politike zaštite
Kome je školovanje namijenjeno
Svim polaznicima koji žele ili planiraju da se, kao profesionalci, bave poslovima menadžmenta sistema bezbednosti informacija (ISMS) i integracijom ISMS-a u TQM sistem organizacije, kao i onima koji su zainteresovani da ovladaju problematikom menadžmenta rizika i sistema zaštite.
Sadržaj
1. 1. Principi, standardi, normativi – okvir zaštite informacija