Transcript Sistemi menadžmenta sigurnošću informacija ISO 27001/Kursevi QAC

Novi zakonski zahtevi u Republici Srbiji u
vezi primene standarda ISO 27001
Milan Vlahović CISSP, PMP
Privredna komora Beograda
Dosadašnji rezultati
Aktivnosti Privredne komore Beograda
• Aktivno učešće u okviru USAID Projekta za razvoj
konkurentnosti
– Organizacija niza poslovno-stručnih skupova na kojima
su predstavljeni:
• standardi i programi obuke i sertifikacije iz oblasti
bezbednosti IS
• prednosti i izazovi pri uvođenju ISO 27001 standarda
upravljanja bezbednošću IS
• najnoviji zahtevi i trendovi u ovoj oblasti
– Organizacija četiri ciklusa pripreme za sticanje
profesionalnih sertifikata iz oblasti bezbednosti IS
• Blended Learning – Skillsoft IT Security Knowledge Center,
CISSP and CompTIA Security+ Roadmaps
• renje kruga eksperata i profesionalalca
USAID Projekat za razvoj konkurentnosti
• Sticanje konkurentske prednosti kroz program
izgradnje kapaciteta u oblasti bezbednosti IS
• Tri komponente
– Širenje kruga sertifikovanih profesionalaca na bazi
svetskih standarda
• CISSP, CompTIA Security+
– Sertifikacija preduzeća ISO 27001
• Sticanje većeg rejtinga firmi i sektora u celini
– Širenje svesti o važnosti pitanja bezbednosti IS
• Skupovi, seminari, kursevi
• ŠiŠirenje kruga eksperata i profesionalalca
• renje kruga eksperata i profesionalalca
Rezultati koji ohrabruju
• ISO 27001 standard za IT kompanije
– Na početku programa 14 sertifikovanih firmi, trenutno
bi trebalo da ih bude 23 (septembar 2011.)
• Obuka i sertifikacija stručnjaka za CISPP i
CompTIA Security+
– Kroz proces obuke je prošlo blizu sto profesionalaca
– Srbija je u avgustu 2010. imala 14 profesionalaca sa
CISSP sertifikatima, a u julu 2011. 24, tako da sada
zauzima treće mesto u regionu (iza Rumunije sa 69 i
Hrvatske sa 39)
Spisak firmi koji su u zadnjem ciklusu
ušle u proces sertifikacije za ISO 27001
•
•
•
•
•
•
•
•
•
CPU
OSA Računarski inženjering
MFC Mikrokomerc
SOPREX Software Programming Experts
ABSoft Informacioni sistemi
NetSeT Network Security Technologies
COMING Computer Engineering
DataTek Inženjering računarskih sistema
BeotelNet
Sertifikaciona tela
•
•
•
•
DAS Serbia
SGS
CIS Serbia
TUV
UREDBA O POSEBNIM MERAMA
ZAŠTITE TAJNIH PODATAKA U
INFORMACIONOTELEKOMUNIKACIONIM SISTEMIMA
(jul 2011)
• Vlada Republike Srbije je u julu 2011. usvojila
uredbu o posebnim merama zaštite tajnih
podataka u informaciono-telekomunikacionim
sistemima ("Sl. glasnik RS", br. 53/2011)
• Odnosi se na organ javne vlasti, odnosno
pravno lice koje po osnovu ugovornog odnosa
pruža usluge organu javne vlasti
• Uredba se bavi nizom veoma kompleksnih
pitanja u vezi zaštite tajnih podataka u
informaciono-telekomunikacionim sistemima
• Navode se razne tehničke i organizacione
mere zaštite, od fizičke zaštite objekata i
obezbeđivanja i zaštite opreme, do
organizacionih mera kao što su kontrola
prilikom zasnivanja radnog odnosa i stručna
obuka zaposlenih.
• Detaljno su propisani i uslovi koje moraju da
zadovoljavaju sistemi za potrebe rada sa
tajnim podacima kao i pravila za njihovo
korišćenje
• Dužna pažnja je posvećena i upravljanju
rizikom bezbednosti sistema
• Od posebnog značaja je i eksplicitno
referenciranje na primenu standarda ISO/IEC
27001.
Član 10
• Radi održavanja bezbednosti sistema u toku
njegovog korišćenja, organ javne vlasti,
odnosno pravno lice sprovodi:
• ...
• 4) primenjivanje novih tehničkih i programskih
sredstava u sistemu u skladu sa odgovarajućim
tehničkim standardima SRPS ISO/IEC 27001 i
SRPS ISO/IEC 17799;
• ...
Pitanje
• Rok u kome organi javne vlasti, odnosno
pravna lica koja po osnovu ugovornog odnosa
pružaju usluge organu javne vlasti, treba da
primene odredbe iz ove uredbe, koja je već
stupila na snagu ???
HVALA NA PAŽNJI