politika informacione bezbjednosti - gov.me · pdf fileprijetnja po bezbjednost nekom...

C R N A G O R A

MINISTARSTVO ZA INFORMACIONO DRUŠTVO

POLITIKA

INFORMACIONE BEZBJEDNOSTI U CRNOJ GORI

Podgorica, oktobar 2009 godine

Politika informacione bezbjednosti

Predlog Strana 2

Sadržaj: 1. UVODNE NAPOMENE ....................................................................................................... 3 2. PRIJETNJE INFORMACIONIM SISTEMIMA ................................................................... 5 3. STANDARDI INFORMACIONE BEZBJEDNOSTI ........................................................... 7

3.1 ISO/IEC 27001 ......................................................................................................... 9 3.2 ISO/IEC 27002 (ISO/IEC 17799) ........................................................................... 10

3.3 NATO STANDARDI ............................................................................................. 11 4. EU I NATO POLITIKA INFORMACIONE BEZBJEDNOSTI ......................................... 13

4.1 OBIM EVROPSKE POLITIKE ............................................................................. 13 4.2 DEFINISANJE EVROPSKE INFORMACIONE BEZBJEDNOSTI .................... 14 4.3 MINIMALNI BEZBJEDNOSNI STANDARDI .................................................... 15 4.5 NATO POLITIKA INFORMACIONE BEZBJEDNOSTI .................................... 16

4.5 ZNAČAJ EU I NATO INFORMACIONE BEZBJEDNOSTI ............................... 16

5. POLITIKA INFORMACIONE BEZBJEDNOSTI .............................................................. 18 5.1 DEFINICIJA POLITIKE INFORMACIONE BEZBJEDNOSTI .......................... 18 5.2 ULOGA POLITIKE INFORMACIONE BEZBJEDNOSTI .................................. 19

5.2.1 Povjerljivost (Confidentiality) ................................................................. 20 5.2.2 Integritet (Integrity) ................................................................................. 22

5.2.3 Raspoloţivost (Availability) ..................................................................... 23 6. PROCES USPOSTAVLJANJA BEZBJEDNOSNE POLITIKE ......................................... 25

6.1 PROCJENA RIZIKA .............................................................................................. 25 6.1.1 Identifikacija resursa ................................................................................ 26

6.1.2 Analiza rizika ........................................................................................... 27 6.1.3 Tumačenje rezultata ................................................................................. 27

6.2 POLITIKA INFORMACIONE BEZBJEDNOSTI ORGANIZACIJE .................. 28 6.2.1 Dokument bezbjednosne politike ............................................................. 28

6.2.2 Provjera bezbjednosne politike ................................................................ 29 6.3 ORGANIZACIJA INFORMACIONE BEZBJEDNOSTI ..................................... 29 6.4 UPRAVLJANJE IMOVINOM ............................................................................... 30

6.5 ZAŠTITA OD ZAPOSLENIH ............................................................................... 30 6.6 FIZIČKA ZAŠTITA I ZAŠTITA OD OKOLINE ................................................. 31

6.7 UPRAVLJANJE KOMUNIKACIJAMA I OPERACIJAMA ................................ 31 6.8 PROVJERA PRISTUPA ........................................................................................ 32 6.9 RAZVOJ I ODRŢAVANJE SISTEMA ................................................................. 33

6.10 UPRAVLJANJE INCIDENTIMA U INFORMACIONOM SISTEMU .............. 33 6.11 UPRAVLJANJE POSLOVNIM KONTINUITETOM ........................................ 33

6.12 USKLAĐIVANJE ................................................................................................ 34 7. ZAKLJUČAK ...................................................................................................................... 35

POJMOVI ................................................................................................................................. 36


Predlog Strana 3

1. UVODNE NAPOMENE

Informacija je podatak sa odreĎenim značenjem, koji ima upotrebnu vrijednost

odnosno saznanje koje se moţe prenijeti u bilo kojem obliku (pisanom, audio, vizualnom,

elektronskom ili nekom drugom). Da bi se informacijama moglo kvalitetno upravljati

potrebno ih je na adekvatan način klasifikovati, precizno im odrediti svrhu, vrijednost,

dostupnost i ostale atribute. Vlasništvo nad informacijama i njihova upotreba postali su

ključni za funkcionisanje drţave, privrede, javnih sluţbi i svakodnevni ţivot graĎana.

Količina i vrijednost informacija u svakodnevnom ţivotu i radu neprekidno raste.

Informacije su danas najvrjednija imovina svakog poslovnog sistema, njegov intelektualni

kapital. Nalaze se u različitim oblicima i na različitim medijima. U postindustrijskom društvu

dominantna vrijednost kompanija nije u njenim finansijskim sredstvima već u znanju, ljudima

i informacijama. Informaciona imovina danas čini najveći dio vrijednosti organizacije.

Kvalitetno upravljanje informacijama zahtijeva upotrebu savremenih informaciono

komunikacionih tehnologija. Brzi razvoj primjene tih tehnologija uzrokuje i sve veće

mogućnosti napada na informacione sisteme i zloupotrebu informacija. Upravo zato,

informacije se moraju štititi i mogu ih koristiti samo ovlašćeni korisnici.

Opasnosti za naše društvo koje proizvode kvarovi, zloupotrebe ili sabotaţe

informacionih sistema danas mogu proizvesti mnogo veću štetu nego ikad ranije. Postoje

brojni i uglavnom dostupni izvori koji govore statistički o ovom problemu (FBI CSI, SANS

Institute i dr.). Lako je uočiti da je problem vrlo ozbiljan i da broj novootkrivenih oblika

ranjivosti informacionih sistema raste eksponencijalno. Dejstvo spoljašnjih i unutrašnjih

prijetnji na informacioni sistem moţe dovesti do neţeljenih posledica koje mogu ugroziti

cijelu društvenu zajednicu. Činjenica da ICT u današnje vrijeme utiče na sve vidove ţivota i

rada logično proizvodi moguću opasnost po nacionalnu bezbjednost. Ugroţavanje dolazi od

zloupotreba ICT-a, prije svega računarskih virusa, sajber kriminala, sajber terorizma, sajber

špijunaţe, zloupotrebe ličnih podataka i drugih napada na informacije.

Sa porastom broja korisnika informacionih tehnologija nameće se potreba rješavanja

brojnih pitanja vezanih zainformacione bezbjednosti. Taj pojam se ne odnosi isključivo na

tehničke mjere zaštite, već podrazumijeva i administrativne mjere (bezbjednosna politika,

pravilnici, procedure) i fizičke mjere (video nadzor, zaštita prostorija, fizička kontrola

pristupa). Kako bi informacioni sistem bio zaštićen na pravi način, potrebno je uspješno

uskladiti, implementirati i nadzirati sve potrebne mjere zaštite.

Informaciona bezbjednost u savremenim uslovima postala je jedan od ključnih faktora

razvoja, zbog čega se uspostavljaju brojni standardi koji uključuju najbolju praksu i

preporuke o bezbjednom upravljanju informacijama. Standardi predstavljaju smjernice za

izradu bezbjednosne politike. Ponekad imaju uopšten sadrţaj pa samim tim ne odgovaraju

specifičnim potrebama organizacija.


Predlog Strana 4

Bezbjednost informacionih sistema vrlo je kompleksna i široka tema. Činjenica je da

bez kvalitetnog programa bezbjednosti informacioni sistem nije moguće u potpunosti zaštiti.

Kvalitetan program omogućava uspostavljanje bezbjednosti na svim kritičnim tačkama

sistema, u bilo kojem segmentu bezbjednosti, a jedan od najboljih programa za postizanje

navedenog cilja jeste kreiranje bezbjednosne politike.


Predlog Strana 5

2. PRIJETNJE INFORMACIONIM SISTEMIMA

Prijetnja po bezbjednost nekom informacionom sistemu je svaki dogaĎaj koji moţe

dovesti do narušavanja povjerljivosti, integriteta i raspoloţivosti podataka. Vaţno je

napomenuti da svaka prijetnja i neovlašćeni pristup informacionom sistemu, imaju različite

posljedice, npr. uništavanje podataka ili narušavanje ispravnog rada cijelog informacionog

sistema.

Postoji nekoliko podjela prijetnji informacionim sistemima. Pitanje je da li svaka

podjela dovoljno detaljno razmatra sve uslove i mogućnost nastanka štete na informacionom

sistemu. Vaţnost detaljne podjele je u pronalasku primjerenih načina zaštite i standardizaciji

podjele. Prema klasifikaciji NIST-a (National Institute of Standards and Technology)

prijetnje informacionim sistemima se mogu podijeliti na:

1. Greške i kvarove - ova prijetnja se često podcjenjuje, ali moţe nanijeti značajnu

štetu informacionom sistemu. Najčešći uzrok greškama i kvarovima su ljudske

radnje. Mogu ih prouzrokovati zaposleni, proizvoĎači programskih paketa ili

administratori informacionih sistema. Procjenjuje se da je gotovo 65% napada

prouzrokovano greškama i kvarovima.

2. Prevare i krađe - zlonamjerna aktivnost kojom napadač pokušava steći

finansijsku ili neku drugu dobit. Prevare i kraĎe se mogu dogoditi aktivnostima

unutar (zaposleni) ili izvan (udaljeni napad) organizacije. MeĎutim, češći su

slučajevi aktivnosti prevare i kraĎe unutar organizacije. Na primjer, zaposleni ima

pristup odreĎenim finansijskim podacima i lako moţe upravljati iznosima koje je

potrebno obraditi. Vrlo lako je navesti razloge zbog kojih se prevare i kraĎe

dogaĎaju češće od strane zaposlenog nego udaljenim napadima:

zaposleni imaju pristup podacima i informacionom sistemu,

zaposleni znaju koje podatke sistem sadrţi i koje su bezbjednosne provjere, i

zaposleni znaju koje su prilike za prevaru i kraĎu, te kolika je vrijednost

mogućeg plijena.

3. Sabotaže od strane zaposlenih - što je česta prijetnja bezbjednosti i podacima

informacionog sistema. Kao što je već naglašeno, zaposleni imaju pristup, tako da

znaju u kojim djelovima sistema je moguće prouzrokovati najveću štetu. Ako je u

pitanju nezadovoljstvo zaposlenog, sabotaţa je vrlo čest slučaj, bilo da se radi o

sadašnjem ili bivšem zaposlenom. Najčešći primjeri sabotaţe su:

fizičko uništavanje djelova informacionog sistema,

postavljanje logičke bombe (logic bomb), tj. zlonamjernog programskog koda

čija je namjena izbrisati, premjestiti ili izmijeniti podatke,

namjerni unos neispravnih podataka,

„rušenje“ informacionih sistema,

brisanje i uništavanje podataka,

kraĎa podataka i ucjena pod prijetnjom otkrivanja tih podataka široj javnosti ili

konkurenciji, ili

namjerno mijenjanje podataka.

4. Gubitak fizičke i infrastrukturne podrške - je vrsta prijetnje koju nije moguće u

potpunosti provjeriti, ponekad ni spriječiti, a moţe nanijeti veliku štetu sistemima.

Takvi slučajevi mogu biti npr. prekid u napajanju električnom energijom, prekid

komunikacija, poplava, poţar, zemljotresi, itd.

5. Napadače (hackers) - nameće se kao najopasnija zbog razvoja Interneta i

komunikacija, poslovanja i drugih aktivnosti putem Interneta. Napadačem se


Predlog Strana 6

smatra osoba koja svoj znanje koristi kako bi ugrozila bezbjednost računara ili

podataka.

6. Zlonamjerne programe (malware) - vrsta prijetnje koja narušava bezbjednost

informacionog sistema zlonamjernim programima poput crva, virusa, trojanskih

konja, logičkih bombi i drugih. MeĎu najčešćim i najopasnijim prijetnjama su

virusi, trojanski konji i crvi.

7. Otkrivanje privatnosti korisnika - postaje vrlo česta prijetnja s obzirom da sve

veći broj informacionih sistema sadrţi veliki broj ličnih podataka korisnika.

Primjeri takvih ustanova su banke, drţavne institucije i sve veći broj kompanija.

TakoĎe, treba pomenuti i podjelu prema ISO/IEC 17799:2000 standardu (Code of

Practice for Information Security Management) koji definiše ispravne i bezbjedne načine

upravljanja nekim informacionim sistemom. Prijetnje su podijeljene obzirom na uzroke

nastanka:

prirodne katastrofe - sve pojave koje su nepredvidive ili ih je nemoguće

provjeriti, npr. potresi, poplave, oluje, zagaĎenja, poţari, itd.

tehnički uzroci - tehničke greške, kvarovi, komunikacijske greške, različiti oblici

zračenja, itd.

nenamjerne ljudske radnje - neposlušnost, kršenje pravila, upotreba

neprimjerenih programa, itd.

namjerne ljudske radnje - uništavanje, sabotaţa, špijunaţa, ratna razaranja,

prevara, kraĎa, zlonamjerni programi, itd.

Computer Security Institute (CSI) je naveo vrlo jednostavnu podjelu prijetnji, uzevši

poziciju prijetnje u odnosu na poziciju informacionog sistema, tj. prijetnje je podijelio na

unutrašnje i spoljašne. Unutašnjim prijetnjama smatraju se sve namjerne i nenamjerne

radnje korisnika koji imaju direktan pristup informacionom sistemu. Spoljašnje prijetnje su

definišu kao pokušaji nanošenja bilo kakvog oblika štete udaljenim napadima ili ubacivanjem

zlonamjernih programa u informacioni sistem sa udaljenih lokacija.


Predlog Strana 7

3. STANDARDI INFORMACIONE BEZBJEDNOSTI

Uspostavljanje politike informacione bezbjednosti u organizaciji zahtijeva primjenu

standarda za bezbjednost informacionih sistema. Uspostavljanje bezbjednosne informacione

politike prema raspoloţivim standardima obezbjeĎuje sve aspekte zaštite nekog

informacionog sistema. Na taj način se obezbjeĎuje i kvalitet uspostavljenih mjera

informacione bezbjednosti.

Standardi iz ISO/IEC 27000 serije organizacijama pružaju smjernice za izradu,

primjenu i provjeru bezbjednosti informacionih sistema čime se obezbjedjuje

povjerljivost, integritet i raspoloživost informacionog sadržaja, sistema i procesa unutar

organizacije.

Ovi standardi su proizvod ISO/IEC JTC1 (Joint Technical Committee 1) SC27 (Sub

Committee 27), ISO tehničkog tijela, koje preuzima najbolju praksu i standarde iz oblasti

informacione bezbijednosti i donosi ih kao meĎunarodne standarde.

Za područje bezbjednosti informacionih sistema najčešće se koriste sledeći ISO

standardi:

ISO/IEC 27001 Information Security Management Systems Requirements

(Bivši standard BS 7799-2).

Osnovni standard za ustanovljavanje, implementaciju, kontrolu i unapreĎenje

ISMS-a u organizaciji bilo koje vrste.

ISO/IEC 27002 Code of practice for Information Security Management

(Bivši standard ISO/IEC 17799).

Standard sa smjernicama za sprovoĎenje bilo koje od 133 preporučane mjere

zaštite (kontrole) i koristi se zajedno sa standardom ISO/IEC 27001.

ISO/IEC 27005 Information Security Risk Management

(Nastao na bazi standarda BS 7799-3).

Standard koji detaljno opisuje na koji način treba sprovesti procjenu i ovladati

informacionim rizicima u bilo kojoj vrsti organizacije.

ISO/IEC 27006 Guide to the certificaion / registration process.

Daje zahtjeve za akreditaciju za sertifikaciona tijela koja sertifikuju ISMS prema

ISO/IEC 27001 zahtjevima, navodi specifične zahtjeve za sertifikaciju i zajedno sa

ISO/IEC 17021 predstavlja osnovni standard za akreditaciju.

ISO/IEC 27011 - Information Security Management Guidelines for the

telecommunications industry (published by ISO/IEC in 2008 and also published by

the ITU as X.1051).

U pripremi su sledeći standardi:

ISO/IEC 27003 - ISMS Implementation Guide

ObezbeĎuje uputstvo za procesno orijentisani pristup i uspešnu primenu ISMS u

skladu sa ISO/IEC 27001.

ISO/IEC 27004 - Information Security Management measurement

Daje uputsva i savete kako sprovesti merenja u cilju ocene efektivnosti ISMS.

ISO/IEC 27007 - A Guideline for Information Security Management auditing

(focusing on the management system)


Predlog Strana 8

Obezbjediće uputstva za interne i eksterne provjere ISMS i program provjera u

skladu sa standardom ISO/IEC 27001.

ISO/IEC 27008 - A Guideline for Information Security Management auditing

(focusing on the security controls)

Daje uputstva za ISMS metode i tehnike upravljanja rizikom kao podrška ISO/IEC

27001

ISO/IEC 27013 - A Guideline on the integrated implementation of ISO/IEC

20000-1 and ISO/IEC 27001

ISO/IEC 27014 - An information security governance framework

ISO/IEC 27015 - Information security management guidelines for the finance and

insurance sectors

ISO/IEC 27031 - A specification for ICT readiness for business continuity

ISO/IEC 27032 - A Guideline for cyber security (essentially, 'being a good

neighbor' on the Internet)

ISO/IEC 27033 - IT network security, a multi-part standard based on ISO/IEC

18028:2006

ISO/IEC 27034 - A Guideline for application security

Međusobne veze standarda serije ISO/IEC 27000

Ostali standardi koje treba navesti iz oblasti informacione bezbjednosti su:

NIST SP 800-30 - Risk management guide for information technology systems

Standard koji detaljno propisuje na koji način vršiti procjenu i ovladati

informacionim rizicima, iako je pisan za primjenu u američkim drţavnim

sluţbama, primjenjljiv je na sve vrste organizacija.

NIST SP 800-34 – Contingency planning guide for IT systems

Preporuke za izradu planova, procedura i tehničkih mjera za oporavak IT sistema.

BS 25999-2 - Specification for business continuity management

Standard koji specificira kako postaviti osnove za upravljanje kontinuitetom

poslovanja u organizaciji bilo koje vrste.

BS 25999-1:2006 Business continuity management: Code of Practice


Predlog Strana 9

Smjernice za sprovoĎenje upravljanja kontinuitetom poslovanja.

ISO/IEC 24762 - Guidelines for information and communications technology

disaster recovery services)

Smjernice za disaster recovery servise kao neophodni segment upravljanja

kontinuitetom poslovanja. Sa ovim smjernicama detaljnije se opisuju mjere

informacione bezbijednosti i postupanje u kriznim situacijama.

NIST SP 800-61 - Computer security incident handling guide

Standard koji opisuje na koji način se upravlja incidentima informacione

bezbijednosti.

ISO/IEC TR 18044 - Information security incident management

Ovaj standard takoĎe opisuje na koji način se upravlja incidentima informacione

bezbijednosti.

NIST SP 800-100 - Information security handbook: A guide for managers

Standard koji opisuje na koji način se upravlja informacionom bezbijednošću iz

pozicije različitih uloga u organizaciji. Iako je pisan za primjenu u američkim

drţavnim sluţbama, primjenjiv je na sve vrste organizacija.

Pri izradi informacione politike bezbjednosti uglavnom se preporučuje upotreba dva

standarda ISO/IEC 27001 i ISO/IEC 27002.

3.1 ISO/IEC 27001

ISO/IEC 27001 standard (ISO/IEC 27001 Informacione tehnologije – Tehnike zaštite -

Specifikacije za sistem upravljanja informacionim sistemom) je izraĎen 2005. godine, a nastao

je na osnovu standarda BS 7799 (British Standards). Sadašnji standard je pod revizijom, jer

su se donošenjem novih standarda iz iste ISO/IEC 27000 serije, neka pravila preklopila. Kako

bi se izbjegle zabune, očekuje se da će ISO i IEC 2010. godine objaviti novu reviziju ovog

standarda.

ISO/IEC 27001 je sluţbena grupa specifikacija na osnovu kojih organizacije imaju

pravo zatraţiti postupak sertifikacije, naravno ukoliko su primijenile taj standard na sistem

upravljanja bezbijednosti informacija. Ovaj standard propisuje zahtjeve za ustanovljavanje,

implementaciju, kontrolu i unapreĎenje ISMS-a, sistema za upravljanje bezbijednošću

informacija. Standard je primjenjiv na sve vrste organizacija (komercijalne, neprofitne,

drţavne institucije, itd.) i sve veličine organizacija, od malih pa do velikih svjetskih

organizacija.

Standard se sastoji od 5 dijelova:

1. Sistem za zaštitu informacija,

2. Odgovornost rukovodećih ljudi,

3. Unutrašnje provjere sistema za zaštitu informacija,

4. Provjera valjanosti sistema za zaštitu informacija,

5. Poboljšanja na sistemu za zaštitu informacija.

TakoĎe u standardu su navedeni ciljevi provjere koje je potrebno ostvariti i provjere

koje je potrebno sprovesti kako bi se ostvarili ti isti ciljevi.

Postoje institucije akreditovane za sertifikaciju prema ISO/IEC 27001 standardu, ali

isto tako i velik broj organizacija koje su sertifikovale svoje informacione sisteme prema


Predlog Strana 10

ISO/IEC 27001 standardu ili standardima pojedinih drţava. Sertifikacija je stvar izbora

organizacije, ali vrijedi spomenuti da poslovni partneri ponekad traţe da organizacija s kojom

saraĎuju ima sertifikat.

3.2 ISO/IEC 27002 (ISO/IEC 17799)

ISO/IEC 27002 standard je nastao na osnovu BS 7799-1 standarda. ISO/IEC 27002 je

zvaničan standard, ali bolje ga je protumačiti kao skup smjernica koje je moguće upotrijebiti.

Trenutno ovaj standard je pod revizijom, kako bi se u budućnosti mogao uskladiti sa

izmijenjenim standardom ISO/IEC 27001. Standard sadrţi 39 bezbjednosnih odredbi što ga

čini vrlo detaljnim i temeljnim.

Suštinski, standard sadrţi polazno poglavlje „Procjena i upravljanje ICT rizikom“ sa

11 djelova u kojima su grupisane bezbjedonosne odredbe:

1. Bezbijedonosna

politika

Donošenje bezbijedonosnog dokumenta sa smjernicama o

informacionoj bezbijednosti, podrţanog standardima i procedurama

kao i jasno iskazanim stavom menadţmenta o informacionoj

bezbijednosti.

2.

Organizacija

informacione

bezbijednosti

Definisanje i implementacija upravne strukture za informacionu

bezbijednost.

3. Upravljanje

imovinom

Definisanje – prepoznavanje informacione imovine koju organizacija

posjeduje. Klasifikacija informacija.

4. Bezbijednost kod

zaposlenih

Podjela odgovornosti i definisanje prava pristupa meĎu zaposlenima.

Edukacija i obuka zaposlenih u pogledu informacione bezbijednosti.

5. Fizička zaštita i

zaštita okoline

Zaštita IT opreme od zlonamjernih ili nenamjernih oštećenja,

gubitaka, kao i oštećenja usled neadekvatnih radnih uslova .

6.

Upravljanje

komunikacijama i

operacijama

Uspostavljanje bezbijedonosnih kontrola za upravljanje IT sistemom i

komunikacijama.

7. Kontrola pristupa Nadzor i kontrola pristupa ICT sistemu i podacima u cilju

sprečavanja neovlašćene upotrebe.

8.

Nabavka, razvoj i

održavanje

informacionih sistema

VoĎenje informacione bezbijednosti u svim fazama ţivotnog ciklusa

ICT sistema (razvoj/nabavka, testiranje, implementacija, odrţavanje)

9.

Upravljanje

bezbijedonosnim

incidentima

Promptno izvještavanje o bezbijedonosnim incidentima i

sprovoĎenje odgovarajuće kontrole incidenata.

10.

Upravljanje

poslovnim

kontinuitetom

Analiza, dokumentovanje i testiranje plana postupanja u slučaju

nepredviĎenih okolnosti, prirodnih ili ljudski uzrokovanih havarija.

11. Usklađivanje

UsklaĎivanje informacionih sistema sa zakonskom regulativom,

standardima i tehničkim uputstvima kao i način korišćenja audit alata

i zaštita od njihove zloupotrebe.


Predlog Strana 11

Struktura ISO/IEC 27002 standarda

Svaki od djelova sadrţi odreĎeni broj glavnih bezbjednosnih kategorija, a pod

bezbjednosnim kategorijama navodi se cilj provjere koji je potrebno ostvariti i provjere koje

je moguće primijeniti radi ostvarivanja cilja. ISO/IEC 27002 sadrţi i predloge organizacije

sistema za zaštitu informacija. U standardu nije naglašeno koje specifične bezbjednosne

provjere je potrebno raditi, već samo kako sistem za upravljanje mora funkcionisati jer:

od svake organizacije se očekuje da sprovede detaljnu procjenu rizika kako bi se

odredile specifične potrebe prije izbora sistema provjere,

nemoguće je nabrojati sve moguće provjere u standardu za opštu primjenu.

3.3 NATO STANDARDI

Nato bezbjednosna informaciona politika je ustanovljena dokumentom C-M(2002)49

(Security in NATO) i 50. Pored ovog dokumenta postoje i direktive koje interpretiraju ovaj

dokument/politiku:

AC/35-D/2000 Directive on Personnel Security,

AC/35-D/2001 Directive on Physical Security, AC/35-D/2002 Directive on Security of Information,

AC/35-D/2003 Directive on Industrial Security,


Predlog Strana 12

AC/35-D/2004 (AC/322-D/0052) Primary Directive on INFOSEC,

AC/35-D/2005 INFOSEC Management Directive.

Pored navedenih neophodno je pomenuti i NATO standarde koji se uredjuju i

organizuju kroz sledeće organizacije:

NATO Standardization Organisation (NSO),

NATO Committee for Standardization (NCS),

NATO Standardization Staff Group (NSSG),

NATO Standardization Agency (NSA).

Radi se o standardima čije ustanovljavanje procesa, procedura, termina i uslova za

zajedničke vojne ili tehničke postupke ili opremu izmeĎu zemalja članica Saveza se ostvaruje

kroz tzv. Standardization Agreement, skraćenica STANAG. Svrha je pruţanje zajedničkih

operativnih i administrativnih postupaka i logistika, tako da svaka članica moţe kupovati i

koristiti pomoć od druge drţave članice.


Predlog Strana 13

4. EU I NATO POLITIKA INFORMACIONE BEZBJEDNOSTI

Problem informacione bezbjednosti jedno je od strateških pitanja Evropske Unije (u

nastavku EU) a samim tima i razlog kreiranja evropske politike informacione bezbjednosti.

Osnovna namjena bezbjednosne politike EU je zaštita povjerljivosti, integriteta i

raspoloţivosti informacija i informacionih sistema. Savjet EU (Council of the European

Union) glavna je zakonodavna institucija Evropske Unije. Savjet EU usvojio je konvencije,

evropske sporazume i pripadajuće protokole, i preporuke kojima se nastoji regulisati pitanje

mreţne i informacione bezbjednosti. Strategija EU prema bezbjednosnoj problematici

odreĎena je upravo Odlukom Savjeta EU o prihvatanju bezbjednosne politike koja je

donesena 19. marta 2001. godine, a stupila je na snagu 1. decembra 2001. godine te Odlukom

Evropske komisije o sprovoĎenju bezbjednosne politike koja je donesena 6. juna 2001.

godine.

4.1 OBIM EVROPSKE POLITIKE

Evropska politika mreţne i informacione bezbjednosti razmatra se u kontekstu

postojećih telekomunikacionih politika, politika zaštite podataka i politika sajber kriminala

(cybercrime). Interakcija pomenutih politika prikazana je na slici.

Interakcija politika

Odlukom Savjeta EU o prihvatanju bezbjednosne politike definišu se specifične

aktivnosti u području mreţne i informacione bezbjednosti za zemlje članice, a to su:

podizanje svijesti putem javnog informisanja, realizacija edukativnih promocija i

edukacija,

efikasan odgovor na bezbjednosne incidente putem CERT (Computer Emergency

Response Team) organizacija zemalja članica s ciljem unapreĎenja i koordiniranog

rada istih,

tehnološka podrška za istraţivanja i razvoj bezbjednosti povezano sa strategijom

unapreĎenja mreţne i informacione bezbjednosti,

pruţanje podrške i promocija standardizacije i sertifikacije na osnovu postojećih

bezbjednosnih standarda,


Predlog Strana 14

harmonizacija pozitivnih propisa na nacionalnom nivou,

meĎunarodna saradnja na području mreţne i informacione bezbjednosti.

Svakako je potrebno naglasiti da je bezbjednosna politika namijenjena trima glavnim

grupama:

1. građanima kojima se mora obezbjedati zaštita ličnih podataka koja predstavlja

osnovni uslov individualne slobode u demokratskoj drţavi,

2. kompanijama koje trebaju štititi intelektualno vlasništvo i lične podatke graĎana,

poštovati konkurentnost i obezbijedati produktivnost, a što se sve vrlo često

zasniva na kompleksnim informacionim sistemima,

3. državnim aparatima koji su odgovorni za zaštitu osjetljivih i klasifikovanih

informacija kao i za obezbjedjivanje kontinuiranog poslovanja drţavnih institucija

i infrastrukture.

Navedene grupe imaju zajednički cilj, a to je bezbjednost informacija ispunjavanjem

relevantnih tehničkih, operativnih i zakonskih uslova. Bezbjednosna politika, moţe se reći,

predstavlja kompromis izmeĎu zaštite individualnih sloboda i implementacije restriktivnih

bezbjednosnih kontrola i alokacije materijalnih i ljudskih resursa.

4.2 DEFINISANJE EVROPSKE INFORMACIONE BEZBJEDNOSTI

Bezbjednosni zahtjevi koji se postavljaju ispred organizacije u dijelu mreţne i

informacione bezbjednosti, se sastoje se od obezbjedjivanja sledećih meĎusobno povezanih

karakteristika:

povjerljivost informacija.

integritet informacija,

raspoloţivost informacija,

Mreţna i informaciona bezbjednost definišu se kao sposobnost odbrane mreţe i

informacionog sistema od gubitka raspoloţivosti, narušavanja integriteta i kompromitovanja

povjerljivosti informacija koje su smještene ili koje se prenose upotrebom odreĎenih servisa,

a koji mogu biti ugroţeni nenamjernim dogaĎajima ili malicioznim akcijama.

Mreţna i informaciona bezbjednost ima glavne ciljeve, a to su:

zaštita klasifikovanih informacija od špijunaţe, kompromitovanja ili

neautorizovanog otkrivanja,

zaštita informacija koje se razmjenjuju putem mreţa i informacionih sistema od

narušavanja integriteta i gubitka raspoloţivosti,

zaštita informacija od sabotaţe i malicioznih akcija,

ograničavanje posljedica i usvajanje potrebnih dopunskih mjera u slučaju

ugroţavanja (napada).

Obzirom na činjenicu da je klasifikacija informacija osnov za bezbjednosti, posebna

paţnja je posvećena pravilnoj klasifikaciji informacija prema odreĎenim nivoima, a ne

pretjeranoj ili nedovoljnoj klasifikaciji informacija. Pod pojmom EU klasifikovane

informacije podrazumijeva se bilo koja informacija i materijal čije neovlašćeno otkrivanje

moţe prouzrokovati štetu interesima EU ili bilo kojoj od zemalja članica.


Predlog Strana 15

U evropskoj bezbjednosnoj politici dokumentima se definišu pisma, bilješke,

zapisnici, izvještaji, memorandumi, poruke, skice, fotografije, dijapozitivi, filmovi, mape,

grafikoni, matrice, trake pisaćih mašina ili štampača, trake, kasete, računarski diskovi, CD

ROM ureĎaji, ili bilo koji drugi fizički medij na kojem se informacija moţe smjestiti i

prenositi.

Osnovi principi bezbjednosnih mjera su:

obezbijediti povjerljivost, integritet i raspoloţivost informacija,

obezbijediti da se informacijama pristupa na temelju načela „need-to-know“,

spriječiti bilo kakvu vrstu neovlašćenog pristupa klasifikovanim informacijama,

obezbijediti identifikaciju osoba čiji poloţaj moţe ugroziti bezbjednost

klasifikovanih informacija.

4.3 MINIMALNI BEZBJEDNOSNI STANDARDI

Bezbjednosna politika EU propisuje minimalne bezbjednosne standarde koje trebaju

zadovoljiti zemlje članice. Minimalni bezbjednosni standardi obuhvaćaju sledeća područja:

ljudske resurse,

fizičku bezbjednost,

bezbjednost informacija,

bezbjednost informacionih sistema,

razmjenu informacija s trećim stranama.

Ljudski resursi - Pod bezbijedonosnim standardima vezanim uz ljudske resurse

podrazumijevaju se bezbijedonosne provjere zaposlenih kao predradnja dodjeljivanju

ovlašćenja u obavljanju poslova.

Fizička bezbjednost - Fizička bezbjednost obuhvata primjenu fizičkih i tehničkih

mjera zaštite na mjestima na kojima se nalaze klasifikovane informacije. Glavni cilj fizičkih

bezbjednosnih mjera jeste spriječiti neovlašćeni pristup klasifikovanim informacijama.

Bezbjednost informacija - Bezbjednost informacija odnosi se na identifikaciju i

klasifikaciju informacija. Za pristup informacijama, prema evropskoj politici mreţne i

informacione bezbijednosti, koristi se načelo „need-to-know“. Prema ovom načelu pristup

informacijama se omogućava prema potrebama posla koji se obavlja, a ne prema

hijerarhijskom nivou.

Bezbijednost informacionih sistema (INFOSEC) - Bezbijednost informacionih

sistema uključuje nadgledanje informacionih sistema kako bi se spriječile špijunaţa, sabotaţa,

terorizam i ostale subverzivne aktivnosti. Bezbijednost informacionih sistema podrazumijeva

i uzajamno djelovanje svih strana uključenih u rad informacionog sistema: projektanata

informacionog sistema, odgovornih za implementaciju i operativnost informacionog sistema

kao i korisnika informacionog sistema.

Bezbijednost informacionih sistema unutar EU poznata je pod nazivom INFOSEC

(Information Security) i ona obuhvata:

1. Bezbijednost podataka na elektronskim medijima i računarima (COMPUSEC),

2. Bezbijednost podataka u sistemima za prenos podataka (COMSEC),


Predlog Strana 16

3. Bezbijednost informacione infrastrukture u posebnim kategorijama prostora od

različitih vrsta prisluškivanja (TECSEC).

Razmjena informacija s trećim stranama - Trećim stranama smatraju se zemlje

članice ili meĎunarodne organizacije. U postupku razmjene informacija izmeĎu Savjeta EU i

trećih strana bezbijedonosna politika EU propisuje odreĎena ograničenja.

Ukoliko je vlasnik informacije čija se razmjena traţi Savjet EU, tada je Savjet EU

odgovorno za donošenje odluke o razmjeni informacija. Ukoliko je vlasnik informacija čija se

razmjena traţi treća strana, a Savjet EU zahtjeva informaciju, u tom slučaju Savjet EU mora

traţiti odobrenje treće strane za razmjenu informacija. Ako je nemoguće ustanoviti vlasnika

informacije, tada Savjet EU donosi odluku o razmjeni informacija.

Ako Savjet EU prima klasifikovane informacije od treće strane, te informacije moraju

biti tretirane u skladu sa nivom klasifikacije koju je dodijelila treća strana. Ukoliko postoji

nesaglasnost oko klasifikacije informacija koje se razmjenjuju, Savjet EU i treća strana mogu

izvršavati korekcije klasifikacije informacija na osnovu meĎusobnog dogovora.

4.5 NATO POLITIKA INFORMACIONE BEZBJEDNOSTI

Osnovne mjere informatičke bezbjednosti, sa aspekta NATO-a, ogledaju se u :

1. Procjeni bezbjednosnih rizika

2. Definisanju bezbjednosnih potreba

3. Kriptografskoj zaštiti komunikaciono informacionih sistema

4. Tempest zoniranju i opremi (emisiona bezbjednost – TEMPEST)

5. Instaliranju elektronskih sredstava i opreme

6. Bezbjednosnim operativnim procedurama i

7. Bezbjednosnim akreditacijama komunikaciono informacionih sistema.

NATO politika informacione bezbjednosti se bazira na sledećim direktivama: NATO

bezbjednosna politika C-M(2002)49 i 50 i direktive u sastavu Primary Directive on INFOSEC

AC/35-D/2004, AC/322-D/0052, INFOSEC Management Directive AC/35-D/2005, kao i

brojnim uputstvima i instrukcijama, s tim što se velika paţnja polaţe na zaštiti od neţeljenih

elektromagnetnih zračenja, što i opredjeljuje bezbjednosni nivo opreme koja se ugraĎuje u

komunikaciono informacione sisteme (TEMPEST oprema po SDIP standardima).

4.5 ZNAČAJ EU I NATO INFORMACIONE BEZBJEDNOSTI

Na sve veći značaj bezbjednosti informacija i informacionih sistema ukazuju dvije

bitne činjenice. Prva jeste da su NATO i EU potpisale NATO - EU Pakt o bezbjednosti u

Atini još 14. marta 2003. godine, a jedan od ciljeva bio je otvaranje sigurne razmjene

klasifikovanih informacija izmeĎu organizacija.

Druga činjenica je ta da je EU početkom 2004. godine osnovala Evropsku agenciju za

mreţnu i informacionu bezbjednost ENISA (European Network and Information Security

Agency) čiji je glavni cilj promocija i razvoj kulture mreţne i informacione bezbjednosti

unutar EU. U ovom kontekstu aktivnosti ENISA sastoje se od pruţanja savjeta i davanja

preporuka, analize podataka kao i podizanja svijesti o bezbjednosnim prijetnjama kao i

saradnja sa sadašnjim i budućim članicama EU. ENISA takoĎe prati razvoj standarda u


Predlog Strana 17

zemljama članicama, podstiče procjene rizika i razvija studije o ovim pitanjima unutar javnog

ali i privatnog sektora.

Ono što je zadatak EU i zemalja članica na području mreţne i informacione

bezbjednosti jeste pribliţavanje bezbjednosne politike EU sa nacionalnim bezbjednosnim

politikama zemalja članica. Ambiciozan koncept izgradnje bezbjednog informacionog sistema

EU zasniva se na nacionalnim politikama i preporučuje upotrebu internacionalnih standarda iz

područja informacione bezbjednosti (ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 15408).


Predlog Strana 18

5. POLITIKA INFORMACIONE BEZBJEDNOSTI

Današnje vrijeme jeste vrijeme informacija, znanja, inovativnosti, visokih tehnologija,

integracija i globalizacije. Dio tog procesa je i intenzivan razvoj i primjena informacionih i

komunikacionih tehnologija koje su ušle u sve pore našeg društva i ţivota. Primjena tih

tehnologija je prisutna u bankama, osiguravajućim društvima, industrijskim kompanijama,

zdravstvu, drţavnoj i lokalnoj upravi, školama i fakultetima, istraţivačkoj djelatnosti, ušla je u

kućnu upotrebu, itd. Iz osnova je promijenjen način poslovanja. Svijet je postao „globalno

selo“. Naravno, ova činjenica ima i svoje opasnosti. Adekvatna bezbjednost informacija i

informacionih resursa su neophodan preduslov prilikom realizacije informacionih sistema.

Dosadašnja rješenja na ovom području su uglavnom fokusirala tehničke i fizičke aspekte

zaštite. Procesi globalizacije i integracije danas zahtijevaju, ne samo programe zaštite

već, kompletnu politiku informacine bezbjednosti.

5.1 DEFINICIJA POLITIKE INFORMACIONE BEZBJEDNOSTI

Informacioni sistemi sadrţe podatke kojima se sluţe ovlašćeni korisnici na osnovu

kojih im je omogućen pristup i korišćenje sistema (identifikacija, lozinka, itd.). Obzirom da

takvi podaci ne smiju biti javno dostupni, da ne smiju biti mijenjani bez odobrenja i da ne

smiju biti nedostupni vlasnicima, vaţno je sprovesti odreĎene mjere bezbjednosti kako bi

navedeni uslovi uvijek bili zadovoljeni.

Politika informacione bezbjednosna je skup pravila, smjernica i postupaka koja

definišu na koji način informacioni sistem učiniti bezbjednim i kako zaštititi njegove

tehnološke i informacione vrijednosti. Bezbjednosnom politikom korisniku se nameću

obvezna pravila ponašanja i odgovornosti kako bi se zaštitio informacioni sistem, tj.

informacije smještene u informacionom sistemu, od spoljašnih i unutrašnjih neprimjerenih

uticaja. Politika informacione bezbjednosti organizacije ili institucije prilagođava se

potrebama i poslovnim procesima, pa samim tim nije jednaka za sve.

Politikom se ne odreĎuje na koji način zaštititi informacioni sistem već samo što

zaštititi. Svakodnevnim razvojem tehnologija otkrivaju se i nove metode kojima je moguće

ugroziti sistem. Upravo zbog toga, jednom ustanovljena politika se mora redovno analizirati,

mijenjati i aţurirati kada god se za to ukaţe potreba.

Bezbjednosnom politikom definisana su pravila koja se odnose na:

svu informatičku opremu organizacije (hardver i softver),

osobe odgovorne za administraciju informacionog sistema,

sve zaposlene i korisnike sistema, odnosno osobe koje imaju pravo pristupa,

spoljne saradnike.

Bezbjednosnom politikom obuhvataju se najšira područja bezbjednosnih mjera.

MeĎutim, nijesu svi dijelovi politike potrebni pojedinim grupama korisnika. Recimo,

zaposleni koji koriste sistem ne moraju znati dio politike koji se odnosi na bezbjednost

tehničke opreme ili onaj dio namijenjen spoljnim saradnicima. Čak je preporučljivo

bezbjednosnu politiku pisati u više dijelova.


Predlog Strana 19

Korisnici, kojima je bezbjednosna politika namijenjena, često nemaju strpljenja čitati

brojne stranica teksta. Oni uglavnom imaju vrlo mala znanja o tehnologijama koje koriste pri

radu i zbog toga je nuţno definisati bezbjednosnu politiku tako da bude kratka i jasna,

napisana na način da je korisnici mogu razumjeti. Politiku napisanu opširno i stručnim

jezikom običan korisnik ne razumije i površno je ili nikako ne analizira, pa je stoga ne moţe

ni primijeniti.

Nakon definisanja bezbjednosne politike vaţno je obezbijediti da se pravila koja su

definisana bezbjednosnom politikom sprovode i poštuju. Da bi se to postiglo bitno je svakom

korisniku sistema dati na znanje da je bezbjednosna politika uvedena i upoznati ga sa

njegovim duţnostima. Postoji više načina kako korisnike upoznati sa bezbjednosnom

politikom, npr. dijeljenjem dokumenta politike ili objavljivanjem bezbjednosne politike na

web stranicama kompanije itd.

5.2 ULOGA POLITIKE INFORMACIONE BEZBJEDNOSTI

UvoĎenjem i sprovoĎenjem bezbjednosne politike organizacija smanjuje mogućnost

gubitka podataka što u velikoj mjeri utieče na poslovanje. MeĎutim, nije u pitanju samo

gubitak podataka, već i vremena i novaca. Uništavanjem, kopiranjem ili mijenjanjem

povjerljivih podataka, organizacija moţe izgubiti poziciju na trţištu. UvoĎenjem informacione

bezbjednosne politike obezbjeĎuje se stabilno poslovanje neke organizacije.

Informacioni sistemi se uglavnom sastoje od tri glavna dijela:

računarsku opremu,

programe, i

komunikacije.

Zaštita različitim alatima i tehnologijama u informacionim sistemima često nije

dovoljna kako bi se zaštitili povjerljivi i osjetljivi podaci. Bezbjednost informacionih sistema

doprinosi ispravna upotreba svih djelova informacionog sistema i poštovanje pravila

propisanih bezbjednosnom politikom organizacije. Bezbjednosnom politikom propisuju se

dozvoljene i nedozvoljene radnje kako bi se obezbijedila postojanost informacinog sistema i

podataka koje on sadrţi.

Kreiranjem politike informacione bezbjednosti korisnicima se nameću obavezujuća

pravila ponašanja koja ograničavaju slobodu prilikom pregledanja povjerljivih informacija,

kao i pravila za ispravno korišćenje računarske opreme koja su korisniku data na korišćenje.

Kao što se moţe vidjeti na slici (na narednoj strani), mehanizmi zaštite i sprječavanja

su podijeljeni na tri osnovna nivoa:

1. fizička bezbjednost, pod kojom se smatra bezbjednost računarske opreme i

podataka,

2. lična bezbjednost, koja podrazumijeva zaštitu korisnika i povjerljivih informacija

o korisniku, i

3. bezbjednost organizacije, koja proizilazi iz prva dva nivoa.


Predlog Strana 20

Bezbjednosne informacione komponente - CIA (Confidentiality, Integrity, Availability)

Osnovna uloga informacione politike jeste obezbjedati tri jedinstvena svojstva

informacija:

Povjerljivost,

Integritet,

Raspoloţivost.

5.2.1 Povjerljivost (Confidentiality)

Povjerljivost je zaštita podataka koje štiti sistem od neovlašćenog pristupa. Ovaj tip

zaštite je od najveće vaţnosti za drţavne institucije i vojsku. TakoĎe, ovaj tip zaštite je vrlo

vaţan i za kompanije koje imaju potrebu zaštititi poslovne planove i informatičke vrijednosti

od konkurencije. Problemu privatnosti, koji u zadnje vrijeme privlači sve više interesa,

posvećuje se sve više paţnje, kako u drţavnim institucijama tako i u privatnom sektoru.

Ključni aspekt povjerljivosti je identifikacija korisnika i provjera autentičnosti.

Identifikacija je proces prijave korisnika na sistem, pri čemu sistem zna da takav

korisnik postoji. Na primjer, korisnik A ţeli se prijaviti na sistem. Sistem provjeri da li je

korisnik A prijavljen i ako jeste tada slijedi proces provjere autentičnosti.

Provjera autentičnosti je proces kojim sistem ţeli biti siguran da je korisnik koji se

prijavljuje pod imenom A upravo osoba A. Postoji više načina provjere autentičnosti.

Najrašireniji je unos lozinke. Sve više su u primjeni tehnologije koje jedinstvene fizičke

ljudske osobine, poput otiska prsta ili mreţnjače oka pretvaraju u digitalne zapise. Na primjer,


Predlog Strana 21

kako bi sistem provjerio da li je korisnik koji se pokušava prijaviti kao osoba A upravo ta

osoba, moţe pri prijavi traţiti od korisnika A odreĎenu lozinku koju zna samo osoba A. Ako

korisnik A pošalje upravo tu lozinku, sistem zna da je korisnik upravo osoba A. U suprotnom,

korisnik nije osoba A pa mu sistem ne dozvoljava korišćenje resursa.

Povjerljivost moţe biti narušena na više načina. Najčešće prijetnje povjerljivosti su:

napadači,

lažno predstavljanje,

neovlašćena aktivnost,

nezaštićeno preuzimanje podataka,

tzv. trojanski konji itd.

Napadači

Napadači su osobe koje koriste bezbjednosne slabosti sistema na način da neovlašćeno

koriste sistem ili ga onesposobe. Mnogi napadači, osim bezbjednosnih slabosti sistema,

koriste i metode otkrivanja lozinki ovlašćenih korisnika. Naime, lozinke u formi riječi koje se

nalaze u rječniku ili često korišćene lozinke, iskusnijim hakerima, pomoću programske

podrške, vrlo lako je otkriti. Otkrivanjem lozinke korisnika haker se prijavljuje na sistem kao

ovlašćeni korisnik i vrlo jednostavno obavlja kopiranje, brisanje ili mijenjanje podataka, ili ih

kopira na lokacije sa kojih su dostupni odreĎenom krugu ljudi ili čak svim korisnicima

Interneta. Iz tih razloga aktivnost hakera predstavlja veliku opasnost povjerljivosti

informacija.

Lažno predstavljanje

Laţno predstavljanje je prijetnja u kojoj korisnik preko lozinke drugog korisnika

dobija mogućnost pristupa sistemu pod drugim imenom, te mu se na taj način „otvaraju vrata“

za obavljanje zlonamjernih radnji. Laţno predstavljanje je čest slučaj u kompanijama koje

dozvoljavaju korisnicima da razmjenjuju lozinke.

Neovlašćena aktivnost

Ovaj tip aktivnosti se dogaĎa kad korisnik sistema koristi podatke za koje nema

ovlašćenja. Nedovoljna kontrola pristupa i zaštita podataka omogućavaju neovlašćen pristup,

što moţe ugroziti njihovu povjerljivost.

Kopiranje podataka na nezaštićene lokacije

Kopiranje podataka moţe ugroziti njihovu povjerljivost ukoliko se podaci kopiraju na

sistem s nedovoljnom bezbjednosnom zaštitom. Primjer ove vrste prijetnje je kopiranje

podataka sistema na lokacije sistema koje nemaju adekvatan nivo zaštite. Ukoliko do

kopiranih podataka pristup imaju ostali ovlašćeni korisnici sistema njihova je tajnost

ugroţena.

Lokalna mreža

Lokalna mreţa predstavlja prijetnju jer podaci koji putuju mreţom mogu biti

„uhvaćeni“ u svakom čvoru mreţe. Kako bi se izbjegla ova vrsta prijetnje svi tajni podaci koji

bi smjeli biti dostupni samo u odreĎenim čvorovima moraju biti kriptovani.

Trojanski konji

Trojanski konj je vrsta aplikacije koja moţe izazvati vrlo velike štete sistema. Primjer

trojanskog konja je aplikacija instalirana na računaru sistema nakon što ga nesvjesno pokrene

ovlašćeni korisnik. Takva aplikacija je programirana da kopira podatke na nezaštićene


Predlog Strana 22

dijelove sistema. Jednom pokrenut, trojanski konj ostaje aktivan na sistemu i konstantno

obavlja programirane zadatke.

5.2.2 Integritet (Integrity)

Integritet predstavlja zaštitu podataka od namjernog ili slučajnog neovlašćenog

mijenjanja. Dodatni element integriteta jest zaštita procesa ili programa kako bi se

onemogućilo neovlašćeno mijenjanje podataka. Glavni zahtjev komercijalnih i drţavnih

institucija jeste obezbijediti integritet podataka kako bi se izbjegle zloupotrebe i greške. To je

imperativ kako korisnici ne bi mogli mijenjati podatke na način da ih izbrišu, promjene ili

učine ključne podatke nebezbjednima. Primjeri gdje je integritet podataka od ključne vaţnosti

su sistemi za kontrolu leta, sistemi u medicinskim ustanovama, sistemi u finansijskim

ustanovama itd.

Ključni elementi za postizanje integriteta podataka su identifikacija i provjera

autentičnosti korisnika. Obzirom da integritet zavisi od kontrole pristupa, vaţno je pozitivno i

jedinstveno utvrditi identitet svih korisnika prijavljenih na sistem.

Kao i povjerljivost, integritet moţe biti ugroţen od hakera, laţnog predstavljanja,

neovlašćenih aktivnosti i nedozvoljenih programa (virusi, trojanski konji) jer sve navedene

aktivnosti mogu dovesti do neovlašćenog mijenjanja podataka.

Osnovni principi za kontrolu integriteta:

dodjeljivanje pristupa na osnovu potreba,

razdvajanje obaveza,

rotiranje obaveza.

Dodjeljivanje pristupa na osnovu potreba. Korisnici bi trebali dobijati pristup samo

onim podacima koji su im potrebni kako bi mogli obavljati zadane poslove. Korisnikov

pristup ključnim podacima bi trebao biti dodatno ograničen kvalitetno definisanim

transakcijama koje obezbjeĎuju da korisnik podatke moţe mijenjati u strogo kontrolisanim

uslovima u cilju čuvanja integriteta podataka. Bitan element kvalitetno definisanih transakcija

je biljeţenje podataka o mijenjanju podataka (tko, kada i koje) kako bi se kasnije moglo

utvrditi da li su podaci ispravno mijenjani od ovlašćene osobe. Transakcije bi trebale

dopuštati izmjenu podataka samo od unaprijed odabranih programa. Odabrani programi

moraju biti ispitani kako bi se izbjegla neovlašćena aktivnost.

Kako bi korisnici mogli uspješno koristiti sistem, privilegija pristupa mora biti

razumno raspodijeljena kako bi se omogućila potrebna operativna fleksibilnost. Dodjeljivanje

pristupa na osnovu potreba ima zadatak da obezbjeda maksimalnu kontrolu uz minimalno

ograničavanje korisnika.

Razdvajanje obaveza. Da bi se obezbijedilo da ni jedan pojedinac nema kontrolu

transakcije od početka do kraja, dvoje ili više ljudi moralo bi biti odgovorno za obavljanje

njezinog izvršavanja. Jedan od načina razdvajanja obaveza je da se svima koji imaju dozvolu

za kreiranje transakcije ukine pravo izvršavanja transakcija. Time se sprječava koršćenje

transakcija za obavljanje ličnih interesa, osim ukoliko se usaglase sve odgovorne osobe.

Rotiranje obaveza. Radne obaveze zaposlenih trebale bi periodično mijenjati kako bi

kontrolisanje transakcija za lične potrebe bilo još komplikovanije. Ovaj princip je efektivan u


Predlog Strana 23

kombinaciji s razdvajanjem obaveza. Problem u rotiranju obaveza se obi_no javlja u

organizacijama s ograničenim brojem kvalifikovanog kadra.

5.2.3 Raspoloživost (Availability)

Raspoloţivost je garancija ovlašćenim korisnicima sistema da će im sistem biti

dostupan u svakom trenutku kad za njim imaju potrebu.

Dva najčešća razloga nedostupnosti sistema su:

odbijanje usluge (Denial Of Service), i

gubitak mogućnosti obrade podataka.

Odbijanje usluge (DoS) svaki je zlonamjeran napad kojem je cilj uskraćivanje

legitimnim korisnicima mogućnosti pristupa uslugama. Napad odbijanja usluge moţe se

podijeliti u dvije kategorije:

1. Napadi koji iskorišćavaju poznate greške (propuste) u operativnim sistemima i

serverima. Ovi napadi koriste se za „rušenje“ sistema. Na taj način uskraćuju se

usluge (servisi) koji ti programi pruţaju. Primjeri ranjivih operativnih sistema

uključuju sve sisteme, kao što su Windows ili Linux ili servera kao što su DNS,

Proxy ili Web server. Svi ovi programi, koji imaju vaţnu i korisnu funkciju,

posjeduju programske propuste ( bug) koje hakeri koriste kako bi ih „srušili“. Za

ovakav tip napada nije potreban širokopojasni (broadband) pristup Internetu.

2. Napadi koji iskorišćavaju slabosti komunikacine infrastrukture i Internet

protokola. Poplavom paketa iskorišćavaju se resursi programa (servera). Na taj

način uskraćuju se usluge legitimnim korisnicima. Za razliku od prve kategorije

napada, u ovom slučaju napadač za uspješan napad mora imati širokopojasni

pristup Internetu. Ovakvom tipu napada naročito je teško ući u trag i od njega se

vrlo teškoodbraniti.

Gubitak mogućnosti obrade podataka moţe biti rezultat prirodnih katastrofa ili

destruktivnog djelovanja ljudi na sistem. Prirodnim katastrofama poput potresa ili poţara

moţe doći do oštećenja opreme, pa tako i podataka smještenih na sistemu, pri čemu je

trenutno onemogućeno funkcioniranje sistema. Čovjek moţe na informacioni sistem

destruktivno djelovati slučajnim ili namjernim destruktivnim radnjama.

Bezbjednosne mjere kojima se obezbjedjuje raspoloţivost su:

fizičke,

tehničke,

administrativne.

Fizičke mjere uključuju kontrolu pristupa koja sprječava neovlašćenim osobama

pristup informacionom sistemu, protivpoţarnim sistemima, sistemima za kontrolu

temperature prostorija itd.

Tehničke mjere sprječavaju nefunkcionisanje sistema koje moţe proizvesti kvar

opreme. Recimo, jedna od tehničkih mjera jeste i miroring diskova (više diskova sadrţi iste

informacije). TakoĎe, jedna od mjera jeste konstantna provjera rada aplikacija (ako aplikacija

ne izvršava zadatke ona se automatski ponovno pokreće). IzmeĎu ostalih, tehničke mjere

sadrţe mehanizme oporavka nakon nestanka struje (automatski se pokreće sekundarno

napajanje), automatsko kreiranje kopija podataka itd.


Predlog Strana 24

Administrativne mjere uključuju kontrolu pristupa, kontrolu izvršavanja procedura i

obuku korisnika. Odgovarajuća osposobljenost programera i stručnjaka za bezbjednost jeste

bitan faktor dostupnosti sistema. Na primjer, ostane li prilikom kontrole sistema baza

podataka zaključana, korisnici se ne mogu koristiti podacima koje ona sadrţi, tj. sistem

postaje nedostupan.


Predlog Strana 25

6. PROCES USPOSTAVLJANJA BEZBJEDNOSNE POLITIKE

Organizacija moţe svoju politiku informacione bezbjednosti bazirati na unaprijed

izraĎenim standardima, čime se uveliko smanjuju operativni troškovi i vrijeme potrebno za

sprovoĎenje iste. Bezbjednosnu politiku organizacije moguće je izraditi samostalno,

procjenom mogućih prijetnji informacionom sistemu, te procjenom i zaštitom slabih tačaka

sistema. Ovaj proces je dugotrajniji i skuplji, ali obezbjeĎuje način zaštite koji potpuno

odgovara potrebama organizacije. Iako se na prvi pogled samostalna izrada bezbjednosne

politike čini kao bolje rješenje, preporučuje se izrada bezbjednosne politike organizacije na

bazi standarda kako bi se obratila paţnja na sve moguće prijetnje koje mogu ugroziti

informacioni sistem.

Kao što je u poglavlju o standardima rečeno, bezbjednosna politika organizacije moţe

se zasnivati na ISO/IEC 27001 standardu. MeĎutim, potrebno je pomenuti da ISO/IEC 27001

standard opisuje sve šta je potrebno napraviti, ali ne i kako. Da bi se odgovorilo na pitanje

kako, koristi se standard ISO/IEC 27002 kroz potrebne smjernice. Upravo na bazi ovog

standarda opisan je proces uspostavljanja bezbjednosne politike, tj. koraci i postupci koje je

potrebno napraviti.

6.1 PROCJENA RIZIKA

Procjena rizika je bitan korak prilikom uspostavljanju bezbjednosti u informacionom

sistemu organizacije. Procjena rizika je usko povezana s definisanjem politike bezbjednosti.

Proces procjene rizika nije nimalo jednostavan, ali najlakše bi se mogao opisati kao

davanje odgovora (za svaku vrijednost koju organizacija posjeduje) na sljedeća četiri pitanja:

šta se moţe dogoditi (dogaĎaj prijetnje)?

ako se dogodi, kolika šteta moţe nastati (učinak prijetnje)?

koliko često se moţe dogoditi (frekvencija prijetnje)?

koliko su tačni odgovori na prva tri pitanja?

Odgovori na navedena pitanja mogu biti vrlo opseţni, lista onoga što bi trebalo da se

uradi je vrlo dugačka, zato je navedena četiri pitanja često potrebno proširiti sa još tri:

što se moţe učiniti?

koliko će učinjeno koštati?

da li je utrošeno isplativo?

Odgovori na ova pitanja uravnoteţuju potrebe i mogućnosti organizacija za

implementacijom bezbjednosnih kontrola. Kako bi se postigla ravnoteţa potreba i mogućnosti

neke je rizike čak potrebno i prihvatiti. Rizik je prihvatljiv ukoliko je on vrlo malen ili

ukoliko su posljedice prihvatljive za organizaciju.

Dakle, pored osnove - upravljanja bezbjdenošću informacija, drugi vaţan dio sistema

je predstavlja upravljanje rizikom, odnosno uspostavljanje odnosa izmeĎu ranjivosti,

potencijalnih prijetnji i posljedica, to jest uticaja na informacioni sistem.

Proces upravljanja rizikom sastoji se od sljedećih koraka:


Predlog Strana 26

identifikacije resursa,

analize rizika,

tumačenja rezultata i preduzimanja odgovarajućih protivmjera.

6.1.1 Identifikacija resursa

Jedan od uslova za uspješno upravljanje bezbjednošću informacionog sistema jeste

identifikacija resursa koji su dio tog sistema. Bez precizne identifikacije resursa nije moguće

sprovesti njegovu kvalitetnu zaštitu.

Kroz proces identifikacije resursa potrebno je evidentirati sve resurse unutar

informacionog sistema te procijeniti njihovu relativnu vrijednost za organizaciju. Kako bi se

mogla odrediti vrijednost resursa za organizaciju, potrebno je poznavanje poslovnih procesa

koji se odvijaju u organizaciji. Na osnovu toga je kasnije u procesu upravljanja rizikom,

odnosno prilikom analize rizika moguće ocijeniti potreban nivo zaštite za svaki pojedini

resurs bitan za funkcionisanje poslovnih procesa unutar organizacije.

Kvalitetnom identifikacijom resursa nuţno je postići sledeće zahtjeve:

ustanoviti vlasnike poslovnih procesa, odnosno odgovorne osobe,

identifikovati pojedine resurse bitne za funkcionisanje poslovnih procesa,

procijeniti vrijednost resursa,

ustanoviti njihovo fizičko ili logičko mjesto u sistemu,

napraviti odgovarajuću dokumentaciju.

U načelu, vlasnik procesa je taj koji bi morao da zna da procijeni vrijednost resursa

bitnih za funkcionisanje poslovnih procesa, no u praksi to često i nije slučaj. To ukazuje na

probleme u organizaciji i u takvim slučajevima uspostvljanje sistema za upravljanje

informacionom bezbjenošću obično je jalov posao.

Podjelu resursa moguće je napraviti prema raznim pravilima. U informacionim

sistemima resurse je moguće podijeliti u sljedeće kategorije:

informacije (baze podataka, dokumentacija, autorska djela itd.),

programska podrška (aplikacije, operativni sisteni, razvojni alati itd.),

oprema (računarska oprema, mreţno-komunikaciona oprema, mediji za čuvanje

podataka i ostala oprema nuţna za rad informacionog sistema),

servisi (računarski i komunikacioni i uopšteno servisi kao što su klimatizacija,

osvjetljenje itd.).

Za svaki od identifikovanih resursa potrebno je napraviti procjenu njegove relativne

vrijednosti unutar sistema bez obzira u koju kategoriju pripada. Često se naglasak prilikom

upravljanja bezbjednošću informacionog sistema polaţe na same informacije, dok su, na

primjer servisi zanemareni. Gubitak nekog od tih resursa moţe dovesti do narušavanja rada

sistema, pa čak i potpunog zastoja poslovnog procesa.

Resurse koji pripadaju različitim kategorijama moguće je klasifikovati na razne

načine. Obzirom na to da je u informacionom sistemu ipak najvaţnija sama informacija,

potrebno je uspostaviti odgovarajući sistem podjele.


Predlog Strana 27

Unutar sistema su smještene informacije različitih vrijednosti za organizaciju: od

potpuno nevaţnih do onih ključnih, pa i kritičnih. Cilj podjele informacija je obezbjedanje

njihove odgovarajuće zaštite.

Uz procjenu rizika potrebno je odrediti kako postupati s rizicima. Mogući postupci

uključuju:

ugraĎivanje odgovarajućih kontrola koje smanjuju rizik,

svjesno i objektivno prihvatanje rizika, udovoljavajući bezbjednosnoj politici

organizacije i kriterijumimama prihvatljivog rizika,

izbjegavanje rizika zabranama, tj. onemogućavanjem akcija koje prouzrokuju

rizik.

Za rizike čiji postupci uključuju implementaciju odgovarajućih kontrola, te kontrole

moraju biti odabrane i implementirane zadovoljavajući zahtjeve definisane procjenom rizika.

Kontrole moraju obezbijediti da su rizici dovedeni na prihvatljiv nivo uzimajući u

obzir:

ograničenja i zahtjeve definisane nacionalnim i internacionalnim zakonima i

propisima,

ciljeve organizacije,

operativne potrebe i ograničenja,

cijenu implementacije.

6.1.2 Analiza rizika

Analiza rizika je postupak kojem je cilj da se ustanove ranjivosti sistema, uočiti

potencijalne prijetnje (rizike) te na odgovarajući način kvantifikovati moguće posljedice kako

bi se mogao odabrati najprimjereniji način zaštite, odnosno procijeniti opravdanost uvoĎenja

dodatnih protivmjera.

Postoje dva osnovna pristupa analizi rizika:

Kvantitativna analiza;

Kvalitativna analiza.

Kvantitativna analiza podrazumijeva iskazivanje rizika u očekivanim novčanim

troškovima na godišnjem nivou, dok rezultat kvalitativne analize iskazuje samo relativan

odnos vrijednosti šteta nastalih djelovanjem neke prijetnje i uvoĎenja protivmjera. Pritom

valja imati na umu da je ta procjena subjektivne prirode pa je stoga podloţna greškama.

U načelu kombinacija kvantitativne i kvalitativne analize predstavlja pristup primjeren

za većinu organizacija. Čista kvantitativna analiza uglavnom se primjenjuje samo u

finansijskim institucijama poput banaka i osiguravajućih društava.

6.1.3 Tumačenje rezultata

Analizom rizika moraju se utvrditi sljedeće činjenice:

kritični resursi i prijetnje i vjerovatnost njihove pojave,

potencijalni gubici koje uzrokuje ostvarenje prijetnje,

preporučene protivmjere i njihova vrijednost (relativna ili novčana),


Predlog Strana 28

nadzor i zaštita.

Na osnovu dobivenih rezultata potrebno je odlučiti kakve treba preduzeti protivmjere.

Postoje tri mogućnosti djelovanja koje nuţno nijesu meĎusobno isključive:

smanjenje rizika,

prenos rizika,

prihvatanje rizika.

Jedini vaţan parametar prilikom izbora načina djelovanja je isplativost za

organizaciju. Smanjenje rizika predstavlja proces u kojem se na temelju provedene analize

rizika nastoje sprovesti odgovarajuće protivmjere i uvesti bezbjednosni nadzor da bi se

zaštitili resursi organizacije. U tom postupku nastoji se smanjiti vjerovatnost prijetnje i(ili)

njen uticaj na organizaciju. Ukoliko se pokaţe isplativijim, rizik je moguće prenijeti na treću

stranu (na primjer, osiguravajuće društvo). Isto tako moguće je da implementacija protivmjera

ili prijenos rizika nijesu isplativi. U tom slučaju organizacija moţe odlučiti da prihvati rizik,

odnosno troškove koji iz toga proizlaze.

Jedini pristup koji u upravljanju rizikom nije prihvatljiv je ignorisanje ili

zanemarivanje rizika. Upravljanje rizikom je stalan proces i odnos vrijednosti resursa,

ranjivosti i prijetnji sa vremenom se mijenja.

6.2 POLITIKA INFORMACIONE BEZBJEDNOSTI ORGANIZACIJE

Politikom informacione bezbjednosti organizacije uspostavlja se niz pravila i

smjernica dobijenih od strane rukovodećih ljudi organizacije kako bi se obezbijedila

povjerljivost, integritet i raspoloţivost informacija. Da bi bezbjednosna politika bila efikasna

potrebno je tu politiku primijeniti na svaki dio organizacije.

6.2.1 Dokument bezbjednosne politike

Dokument politike informacione bezbjednosti je sluţbeni dokument organizacije i

moraju ga odobriti vodeći ljudi unutar te organizacije. Dokument je potrebno objaviti i poslati

svim zaposlenim i korisnicima. Bezbjednosnu politiku potrebno je napisati kako bi bila

razumljiva svim stranama kojih se tiče. Dokument bezbjednosne politike mora sadrţati:

definicije bezbjednosti informacija, ciljeve i opseg i vaţnost bezbjednosti,

stavove rukovodioca kojima se podrţavaju ciljevi i principi informacione

bezbjednosti,

okvire uspostavljanja ciljeva i provjera,

objašnjenje bezbjednosne politike, načela i standarda,

saglasnost sa zakonodavnim, nadzornim i ugovornim zahtjevima,

zahtjeve o edukovanju po pitanju bezbjednosti,

posljedice nepridrţavanja pravila bezbjednosne politike,

definicije opštih i specifičnih odgovornosti rukovodioca informacione

bezbjednosti i

reference na literaturu koja podrţava uvedenu bezbjednosnu politiku.


Predlog Strana 29

6.2.2 Provjera bezbjednosne politike

Pojavom novih prijetnji informacionim sistemima, ugradnjom nove opreme u

informacioni sistem, i drugim radnjama mijenjaju se parametri na kojima je uspostavljena

bezbjednosna politika. Kako bi postojeća bezbjednosna politika bila jednako efikasna kao i u

trenutku kada je uvedena, potrebno je uzeti u obzir promjene koje su se dogodile, te

prilagoditi pravila i procedure. Nastale promjene nijesu nuţan uslov za poboljšanje

bezbjednosne politike. Bezbjednosnu politiku potrebno je prilagoĎavati na godišnjoj bazi čak

i ako se ni jedan parametar u okruţenju organizacije nije promijenio jer je moguće da uvedena

bezbjednosna politika ne odgovara organizaciji u potpunosti. Provjeru bezbjednosne politike

preporučeno je izvoditi u razmaku od godinu dana, ali u slučaju incidenata, otkrivanja

ranjivosti i ugradnje nove opreme čak i češće. Provjera bezbjednosne politike ne uslovljava

nuţno i promjenu, ali je potrebno uzeti nove okolnosti u obzir kako bi informacioni sistem bio

primjereno zaštićen.

Neke od činjenica koje treba uzeti u obzir pri provjeri bezbjednosne politike su:

rezultati nezavisnih ispitivanja,

promjene koje mogu pozitivno uticati na bezbjednost informacija,

promjene vezane uz ranjivosti i prijetnje informacionim sistemima,

izvještaje o bezbjednosnim incidentima i

preporuke stručnih organizacija.

6.3 ORGANIZACIJA INFORMACIONE BEZBJEDNOSTI

Pri organizaciji informacione bezbjednosti potrebno je jasno odrediti sve odgovornosti

u skladu s bezbjednosnom politikom. Rukovodeći ljudi organizacije treba da podrţavaju

efikasno sprovoĎenje bezbjednosne politike, i na propisan način kaţnjavaju one koji krše

pravila. TakoĎe, bitno je ispravno koordinirati zaposlene kako bi sprovedena bezbjednosna

politika bila uspješna. Dalji koraci koji se preduzimaju pri organizaciji informacione

bezbjednosti su:

proces autorizacije - odnosi se na procjenu nivoa bezbjednosti nekog dijela

opreme, npr. laptop-a.

ugovor o povjerenju - popisivanje vrijednosti koje organizacija posjeduje na način

da se svako korišćenje dokumentuje sa ciljem zaštite vrijednosti od kopiranja,

uništavanja i zamjene od strane zaposlenih, partnera ili treće strane.

savjeti stručnjaka za informacionu bezbjednost - potrebno je savjetovati se sa

organizacijama koje se bave računarskom bezbjednošću kako bi se u slučaju

bezbjednosnih incidenata dobili primjereni savjeti i smjernice koje upućuju kako

djelovati.

saradnja s drugim organizacijama - odrţavanje kontakta sa drugim

organizacijama zbog unapreĎenja znanja o bezbjednosti informacionih sistema ili

brzih obavještenja u slučaju bezbjednosnog incidenta.

provjera bezbjednosti sistema - potrebno je redovno provjeravati bezbjednost

informacionog sistema zbog obezbjedjenja u smislu ispravnog funkcionisanja

sistema zaštite.

bezbjednost pristupa treće stane - odrţati jednak nivo bezbjednosti i kod

informacija kojima treća strana ima pristup.


Predlog Strana 30

identifikacija rizika kod pristupa treće strane - prije dodjele prava pristupa trećoj

strani potrebno je provjeriti moguće rizike kako bi se informacioni sistem

primjereno zaštitio.

zahtjevi bezbjednosti u ugovorima s trećom stranom - ukoliko postoji dogovor sa

trećom stranom koja ima pristup informacionom sistemu, potrebno je formalnim

dokumentom odrediti pravila zaštite koja su u skladu sa bezbjednosnom politikom

organizacije.

6.4 UPRAVLJANJE IMOVINOM

Kako bi se obezbijedila zaštita imovine organizacije potrebno je sprovesti sljedeće

korake:

popis imovine - identifikacija imovine organizacije u svrhu procjene vrijednosti i

vaţnosti, i shodno tome primjerenog nivoa zaštite.

vlasništvo nad imovinom - kako ne bi došlo do mijenjanja ili otuĎivanja imovine,

potrebno je odrediti vlasnika, tj. osobu odgovornu za bezbjednost i zaštitu

imovine.

prihvatljivo korišćenje imovine - definisanje jasnih pravila ispravnog korišćenja

imovine kako ne bi došlo do gubitka informacija ili bezbjednosnog incidenta.

klasifikacija informacija - primjena odgovarajućeg nivoa zaštite na informacije.

smjernice za klasifikaciju - klasifikacija se izvodi na osnovu vrijednosti,

osjetljivosti, vaţnosti za organizaciju i zakonodavnih okvira.

označavanje i rukovanje informacijama - definisanje procedura za označavanje i

rukovanje informacijama, npr. procedure za kopiranje, snimanje, prenos, itd.

6.5 ZAŠTITA OD ZAPOSLENIH

Zaposleni često rade nesvjesne greške, ali jednako tako i svjesne zlonamjerne radnje.

Kako bi se zaštitile informacije i imovina organizacije potrebno je uzeti u obzir sljedeće:

uloge i odgovornosti - potrebno je definisati uloge i odgovornosti zaposlenih,

radnika pod ugovorom i treće strane.

provjera - provjeravaju se potencijalni zaposleni, ulagači ili poslovni partneri kako

bi se povećala bezbjednost informacionog sistema.

uslovi zaposlenja - prije zapošljavanja ili ugovaranja posla sa ulagačima ili trećom

stranom potrebno je u ugovor uključiti dio koji sve strane obvezuje na poštovanje

bezbjednosne politike organizacije.

odgovornost rukovodioca - informisanje zaposlenih o ulogama i odgovornostima

u sprovoĎenju bezbjednosti.

edukacija o informacionoj bezbjednosti - zaposlenih ili treće strane kako bi se

postigli zadovoljavajući rezultati, tj. kako bi svi bili svjesni vaţnosti zaštite

informacionog sistema.

raskid ugovora - potrebno je jasno definisati procedure koje je potrebno izvršiti po

raskidu radnog odnosa, ili ugovora, tj. odrediti pravila o vraćanju imovine

organizacije koja je zaposlenom data na korišćenje, ukidanje prava pristupa

informacionom sistemu, itd.


Predlog Strana 31

6.6 FIZIČKA ZAŠTITA I ZAŠTITA OD OKOLINE

Cilj definisanja ovog poglavlja unutar bezbjednosne politike je sprječavanje nastanka

fizičke štete od strane zaposlenih ili bilo kojeg pojedinca koji je s organizacijom potpisao

ugovornu obavezu.

Potrebno je odrediti sljedeće:

područje fizičke zaštite - djelovi organizacije koji sadrţe povjerljive informacije

moraju biti zaštićeni nekom vrstom fizičke prepreke, npr. zidovima, vratima,

autentifikacijskim ureĎajima, itd,

fizička provjera ulaska - kako bi se obezbijedilo da pravo pristupa odreĎenim

prostorijama unutar organizacije imaju samo ovlašćene osobe, potrebno je

postaviti odgovarajuće metode provjere ulaska,

bezbjednost opreme - kako ne bi došlo do gubitaka, štete ili prekida poslovnih

aktivnosti potrebno je obezbijediti zaštitu primjerenu vrijednostima organizacije,

smještaj i zaštita opreme - opremu je potrebno smjestiti u skladu sa uputstvima

proizvoĎača opreme,

bezbjednost instalacija - kako ne bi došlo do oštećenja informacionog sistema

potrebno je voditi računa o ispravnosti instalacija u prostorijama organizacije,

bezbjednost kod kabliranja - kablovi za napajanje električnom energijom ili

telekomunikacioni kablovi moraju biti zaštićeni u skladu s propisima, i

održavanje opreme - potrebno je redovno odrţavati opremu prema uputstvima

proizvoĎača, a odrţavanje smiju raditi samo ovlašćene osobe.

6.7 UPRAVLJANJE KOMUNIKACIJAMA I OPERACIJAMA

Komunikacije i operacije (aktivnosti) organizacije su vrlo vaţni procesi. Stoga je

potrebno jasno definisati pravila upravljanja komunikacijama i operacijama. Područja koja je

potrebno obraditi su:

procedure rada i odgovornosti - potrebno je odrediti procedure i odgovornosti za

ispravno upravljanje i rad jedinica za obradu informacija čime se smanjuje rizik od

namjerne i nenamjerne greške,

dokumentovane procedure rada - operativne procedure moraju biti

dokumentovane, odrţavane i dostupne svim korisnicima kojima su potrebne,

nadzor promjena u operativnim sistemima i objektima - promjene vezane uz

objekte i sisteme moraju biti provjerene,

razdvajanje dužnosti - postupak razdvajanja obveza i odgovornosti zaposlenih

kako bi se mogućnosti obavljanja neovlašćenih i neţeljenih radnji svele na

minimum,

razdvajanje objekata za razvoj, ispitivanje i operativni rad - potrebno je odvojiti

razvojne i aktivnosti vezane za ispitivanje, isto kao i aktivnosti vezane uz

operativni rad. Npr. program koji se provjerava ili razvija moţe biti opasan za

ispravno funkcionisanje informacionog sistema, pa je potrebno odvojiti sisteme na

kojima se obavlja razvoj i ispitivanje od onih na kojima se radi,

planiranje i prihvatanje sistema - radi obezbjeĎenja dostupnosti potrebnih

kapaciteta i računarskih i drugih resursa,

zaštita od zlonamjernih programa - potrebno je uvesti zaštitu koja će odgovorne

ljude u organizaciji upozoriti da je informacioni sistem ugroţen zlonamjernim

programom kako bi se zaštitio integritet podataka,


Predlog Strana 32

provjere protiv zlonamjernih programa - ugraditi odreĎene alate i mjere koji će

redovno pregledati da li u sistemu postoje zlonamjerni programi,

izrada bezbjednosnih kopija - potrebno je redovno izraĎivati bezbjednosne kopije

podataka radi očuvanja integriteta i raspoloţivosti istih,

upravljanje bezbjednošću mrežnog sistema - potrebno je obezbijediti zaštitu

informacija koje mreţni sistem sadrţi, te zaštititi sam mreţni sistem,

rukovanje i bezbjednost medija - potrebno je uspostaviti procedure za zaštitu

dokumenata, računarskih medija i dokumentacije od kraĎe, neovlašćenog pristupa,

uništavanja, itd.,

upravljanje prenosnim medijima - uspostavljanje pravila za rukovanje prenosnim

medijima i podacima koje sadrţe,

uklanjanje medija - ukoliko više nijesu potrebni, mediji se mogu uništiti, ali na

ispravan način kako treća strana ne bi otkrila informacije koje medij sadrţi,

procedure za rukovanje informacijama - odrediti pravila za ispravno rukovanje

informacijama kako bi se zaštitile od neovlašćenog otkrivanja i zloupotrebe,

razmjena informacija - obezbijediti zaštitu pri razmjeni podataka i programa

unutar organizacije ili izvan nje, i

nadgledanje - kako bi se pravovremeno uočile neovlašćene aktivnosti.

6.8 PROVJERA PRISTUPA

Vaţno je odrediti koji će korisnik imati pristup odreĎenim informacijama. Stoga je

potrebno definisati sljedeće:

provjera pristupa u skladu s poslovnim zahtjevima - pristup informacijama treba

odgovarati zahtjevima poslovnih duţnosti kako bi se spriječio neovlašćeni pristup

podacima,

politika provjere pristupa - potrebno je uspostaviti niz pravila kojima će se

odrediti nivo pristupa zaposlenih,

upravljanje pristupom korisnika - kako bi se spriječio neovlašćeni pristup

informacijama,

registracija korisnika - uspostavljanje formalnog postupka registracije radi

dobijanja prava pristupa višenamjenskim informacionim sistemima,

upravljanje privilegijama - potrebno je odrediti nivoe privilegija u informacionom

sistemu koje je potrebno obezbijediti zaposlenim,

upravljanje korisničkim lozinkama - potrebno je izraditi formalnu izjavu kojom

se korisnici obavezuju da dobijene lozinke čuvaju tajnim, i zabranu odavanja

lozinke tokom bilo kakvog oblika komunikacije (e-mailom, telefonom, pismeno),

odgovornost korisnika - potrebno je podstaći svijest korisnika o odgovornosti

vezanoj uz lozinke i opremu koja im je data na korišćenje radi smanjenja

mogućnosti neovlašćenog pristupa,

provjera pristupa mreži - potrebno je uspostaviti provjeru mreţnih servisa i usluga

kako bi se zaštitio mreţni sistem od nedozvoljenih aktivnosti,

provjera pristupa operativnom sistemu - kako bi se spriječio neovlašćeni pristup

računarskim resursima potrebno je uspostaviti bezbjednosne mehanizme unutar

operativnog sistema,

praćenje pristupa sistema - kako bi se pravovremeno uočili pokušaji

nedozvoljenih aktivnosti potrebno je dokumentovati i provjeriti pristup sistema,


Predlog Strana 33

bilježenje događaja - u slučaju pojave bezbjednosnog incidenta potrebno je

biljeţiti prethodne aktivnosti u sistemu kako bi se moglo odrediti šta se zapravo

dogodilo, i

praćenje upotrebe sistema - kako bi se obezbijedilo da korisnici sistema izvode

samo one aktivnosti za koje su ovlašćeni potrebno je pratiti koliko i kako ga

koriste.

6.9 RAZVOJ I ODRŽAVANJE SISTEMA

Kako bi se obezbijedila dostupnost sistemu i njegovo funkcionisanje, potrebno je

odrţavati njegovu opremu. TakoĎe je potrebno definisati sve bezbjednosne zahtjeve koji se

nameću, uključujući niz postupaka za slučaj bezbjednosnih incidenata. Sve zahtjeve je

potrebno dokumentovati.

Provjerom ulaznih podataka moguće je spriječiti namjerno ili nenamjerno unošenje

netačnih podataka. Provjera se moţe sprovoditi uzimajući u obzir:

nedozvoljene vrijednosti,

nedopuštene znakove u pojedinim poljima,

nepotpune podatke, ili

prekoračenje količine podataka za unos.

Najvaţnija kategorija koju ovo poglavlje obuhvata je svakako provjera i odrţavanje

operativnog dijela sistema od kojeg se zahtjeva neprekidan i ispravan rad.

6.10 UPRAVLJANJE INCIDENTIMA U INFORMACIONOM SISTEMU

Svrha ovog poglavlja je dati smjernice na koji način u slučaju bezbjednosnog

incidenta brzo i efikasno djelovati. TakoĎe, potrebno je sve zaposlene edukovati kako bi znali

prepoznati da se radi o nekoj vrsti bezbjednosnog incidenta, te da odmah upozore nadleţne.

Definisani su sljedeći koraci:

prijava bezbjednosnih incidenata - bezbjednosni incident potrebno je prijaviti

prema unaprijed odreĎenoj proceduri u što kraćem vremenskom roku,

prijava ranjivosti sistema - po otkrivanju bezbjednosnog propusta u

informacionom sistemu potrebno je prijaviti ranjivost u što kraćem vremenskom

roku,

upravljanje bezbjednosnim prijavama - potrebno je unaprijed definisati procedure

u slučaju bezbjednosnih incidenata ili ranjivosti kako bi se u što kraćem

vremenskom roku iste mogle riješiti, i

odgovornosti i procedure - potrebno je definisati procedure koje će obuhvatiti

različite vrste učestalih bezbjednosnih incidenata, postupke koji će sistem zaštititi

od ponavljanja istog bezbjednosnog incidenta, i sačuvati i zaštititi dokumentaciju o

incidentu kako bi se upotrijebila kao dokaz u sudskom postupku.

6.11 UPRAVLJANJE POSLOVNIM KONTINUITETOM

Uslijed prekida rada u informacionom sistemu, organizacija moţe doţivjeti znatne

financijske gubitke. Stoga je vrlo vaţno odrediti:


Predlog Strana 34

proces upravljanja kontinuitetom poslovanja - organizacija se mora suočiti s

rizicima poslovanja i biti spremna primjereno reagovati ukoliko se dogodi incident

koji moţe prouzrokovati zastoj u poslovanju,

kontinuitet poslovanja i analiza učinka - potrebno je identifikovati i analizirati

dogaĎaje, tj. incidentne situacije, koji mogu prekinuti poslovni proces te definisati

plan za kontinuirano poslovanje organizacije,

ispitivanje i održavanja - potrebno je kontinuirano sprovoditi ispitivanja kako bi

se pravovremeno otkrili propusti uslijed promjena u sistemu,

identifikacija rizika - potrebno je odrediti potencijalne prijetnje informacionom

sistemu organizacije,

analiza rizika - potrebno je odrediti koje je mjere moguće primijeniti kako bi se

smanjili rizici kojima je izloţen informacioni sistem,

prirodne katastrofe - primjena provjera za minimiziranje štete nastale prirodnim

katastrofama (zemljotresi, poplave, poţari, itd.) i

korisnici - potrebno je preduzeti sve mjere zaštite i opreza kako korisnici sistema

ne bi mogli prouzrokovati prestanak ispravnog rada informacionog sistema.

6.12 USKLAĐIVANJE

Vaţno ja da su bezbjednosna politika i pravila koja se primjenjuju na informacioni

sistem neke organizacije usklaĎena sa zakonskim i ugovornim zahtjevima. Zbog toga je

potrebno uspostaviti pravila vezana uz:

intelektualno vlasništvo, autorska prava - potrebno je definisati odgovarajuća

pravila koja će biti u skladu sa zakonskim odredbama koje su vezane uz ugovore o

intelektualnom vlasništvu i autorskim pravima,

čuvanje zapisa organizacije - zapise je potrebo primjereno zaštititi od gubitka,

oštećenja i krivotvorenja,

sprečavanje zlouporabe uređaja za obradu informacija - korišćenje računarskih

resursa u neposlovne ili neovlašćene svrhe potrebno je dokumentovati kao

neprimjereno, i

nadgledanje korisnika - ukoliko zakon tako nalaţe, korisnike je potrebno

obavijestiti o pravilima o nadgledanju.


Predlog Strana 35

7. ZAKLJUČAK

Usvajanjem Politike informacione bezbjednosti sa mandatom na najširu društvenu

zajednicu, Zakona o informacionoj bezbjednosti, meĎunarodnih standarda iz serije ISO/IEC

27000, Uredbe o mjerama informacione bezbjednosti i pravilnika o standardima za pojedine

oblasti, uz već usvojeni Program informacione bezbjednosti u Crnoj Gori i zakona kojima se

ureĎuje tajnost podataka, elektronska trgovina, elektronski potpis, elektronski dokument,

arhivsko poslovanje, krivični postupak, Crna Gora u potpunosti pravno uredjuje ovu oblast.

Poštujući preporuke i najbolju praksu, utemeljenu na meĎunarodnim standardima prilikom

izrade navedenih propisa, stvara se ICT platforma neophodna za saradnju sa svim relevantnim

faktorima iz okruţenja, u prvom redu sa EU i NATO. Saradnja bazirana na povjerenju koje je

normirano i realizovano u svim segmentima informacionog društva ima perspektivu

kontinuiranog razvoja i dobrobiti i za graĎane i za drţavu.

Činjenica da informaciona bezbjednost, kao dio ukupne nacionalne bezbjednosti, sve

više dobija na značaju nameće potrebu njenog daljeg razvoja, kako u teorijskom, tako i u

praktičnom smislu. U Crnoj Gori ne postoji dovoljno razvijena svijest o informacionoj

bezbjednosti, kao ni organizovana redovna edukacija bilo kojeg nivoa. Podizanje svijesti o

potrebi i neophodnosti uvoĎenja informacione bezbjednosti, kao i njeno izučavanje kroz

sistem redovnog visokoškolskog obrazovanja ima vaţnu ulogu u daljem razvoju

informacionog društva. S obzirom na kompleksnost, višeslojnost i interdisciplinarnost,

obučenost u sferi informacione bezbjednosti podrazumijeva odreĎeni fond tehničkih,

upravljačkih i specijalističkih znanja. Sa svakim novim dostignućem u oblasti informacionih

tehnologija javljaju se novi aspekti informacione bezbednosti što mora biti propraćeno naučno

istraţivačkim radom.

Ova politika informacione bezbjednosti u sebi sadrţi i edukativnu komponentu. Na taj

način se htjelo ukazati da svaka organizacija u Crnoj Gori mora shvatiti neophodnost i

potrebu realizacije sopstvene politike informacione bezbjednosti. Da bi se te politike mogle

realizovati neophodno je, paralelno sa normativnim uredjivanjem ove oblasti, raditi na

programima koji će u narednom periodu podići ukupnu svijest i kreirati neophodnu kadrovsku

i naučnu infrastrukturu. Planiranjem mjera i aktivnosti, ohrabrivanjem stručnog i naučnog

rada, organizovanjem stručnih debata, sistemskom promocijom novih tehnologija i metoda

informacione bezbjednosti, kao i ažuriranjem propisa, obezbijediće se uslovi za brzo i

kvalitetno priključenje Crne Gore razvijenom svijetu, a time i uslovi za poboljšanje ukupnog

kvaliteta ţivota.


Predlog Strana 36

POJMOVI

Informaciona tehnologija (IT)

Skup povezanih informacionih resursa namijenjenih za

upravljanje informacijama – skladištenje, obradu, prenos

i dijeljenje informacija.

Informaciono-komnikaciona

tehnologija (ICT)

Savremeni termin koji označava napredne informacione i

komunikacione resurse za upravljanje i razmjenu

informacija.

Informaciona bezbijednost Zaštita povjerljivosti, integriteta i raspoloţivosti

informacije.

Organizacija

Entitet bilo koje veličine ili sloţenosti koji djeluje

samostalno ili kao dio veće organizacione cjeline

(privredni subjekat, drţavni organ, NVO, ...)

Izvor prijetnje

Osmišljeni način – metod da se namjerno iskoristi neka

slabost ICT resursa / sistema. OdreĎen je motivacijom i

drugim karakteristikama.

Prijetnja Potencijal (mogućnost) izvora prijetnje da ugrozi ili uništi

integritet, povjerljivost i / ili raspoloţivost informacije.

Ranjivost

Slabost, mana ili nedostatak kontrole u ICT sitemu koji

omogućava pojavu prijetnje informacijama, servisima ili

drugim ICT resursima.

Rizik (ICT rizik)

Veličina sa kojom se izraţava odnos izmeĎu vjerovatnoće

da će neka ranjivost ICT sistema biti uspješno iskorišćena

od strane prijetnje i odgovarajućeg negativnog uticaja

(štete) na sistem.

Princip Need-To-Know

Pozitivni pristup prema potrebi korisnika da ima pravo

pristupa, upoznavanje sa ili posjedovanje informacija koje

su mu potrebne za vršenje sluţbene duţnosti odnosno

obavljanje zadataka.

Raspoloţivost informacije Osobina da je informacija pristupačna i upotrebljiva na

zahtjev ovlašćenog korisnika ili entiteta.

Integritet informacije Osobina da informacija nije izmijenjena ili uništena na

nedozvoljen način.

Povjerljivost informacije Osobina da informacija nije dostupna odnosno da se ne

otkriva neovlašćenim korisnicima ili entitetima.

COMPUSEC Bezbijednost podataka na računarima.

COMSEC Bezbijednost podataka u prenosnim sistemima.

INFOSEC Bezbijednost informacionih sistema.

TEMPEST Skup standarda kojima se propisuju mjere zaštite od

elektromagnetnog prisluškivanja elektronske opreme.

TECSEC

Bezbjednost informacione infrastrukture u posebnim

kategorijama prostora od različitih vrsta pasivnog ili

aktivnog prisluškivanja

politika informacione bezbjednosti - gov.me · pdf fileprijetnja po bezbjednost nekom...

Documents