sustavi upravljanja sigurnoŠĆu u informatici – korak koji slijedi
DESCRIPTION
3. HRVATSKA KONFERENCIJA O KVALITETITRANSCRIPT
Prof. dr. sc. Zdravko Krakar Prof. dr. sc. Željko Hutinski Mr. sc. Silvana Tomić Rotim
SUSTAVI UPRAVLJANJA SIGURNOŠĆU U INFORMATICI – KORAK KOJI SLIJEDI
Sažetak ISO 9000 sustavi kvalitete i metode za upravljanje razvojem zrelosti kao što su CMM (Capability Maturity Model), Bootstrap i SPICE (ISO 15504) već su dobrim dijelom ušle i u hrvatsku informatiku. Karika koja je do sada nedostajala jesu sustavi upravljanja sigurnošću u informatici. Ovakav korak mora se uskoro učiniti. Razlog za to jest činjenica da je informatika silovito prodrla u sve ljudske djelatnosti. Time je i ovisnost o ovoj tehnologiji postala izuzetno velika. Na sceni su mnogobrojne opasnosti koje mogu ugroziti naše informacijske sustave – opremu, ljude i ono što je najvrijednije, podatke, informacije, dokumentaciju i strukturirano znanje. Kako se zaštititi? Jedino razumno rješenje jest uspostaviti odgovarajući sustav sigurnosti. Jedna od mogućnosti jest i uporaba normi za sigurnost, kao što su ISO, BS, ANFOR, DIN, NASA-ine norme itd. Okosnicu uspostave takvih sustava čine britanske norme BS 7799-1:1999 i BS 7799-2:1999, te ISO/IEC 17799-1:2000. Ova posljednja norma navodi na način: donošenja politike sigurnosti, uspostave organizacije za sigurnost, nadzor pristupa informatičkim resursima i bazama podataka, uspostave sigurnosti osoblja, sigurnosti opreme, kao i na način procjene rizika. O ovim aspektima se i u dosadašnjoj praksi dijelom već vodilo računa, ali na nedovoljno sistematičan i nekonzistentan način. Vrijeme u kojem jesmo jest prigoda da se i u Hrvatskoj započne s uspostavom sustava upravljanja sigurnošću, naročito u bankama, osiguravajućim društvima, državnoj upravi, velikim gospodarskim tvrtkama itd. 1. Značaj uspostave sustava upravljanja sigurnošću u informatici Informatizacija je postala glavna poluga razvoja, generator gospodarskog uspjeha, industrija budućnosti. Po intenzitetu promjena često je uspoređuju s prelaskom iz poljoprivrednog u industrijsko društvo. Intenzivni razvoj širokog spektra suvremenih informacijskih i telekomunikacijskih tehnologija stvorio je uvjete nastanka tzv. informacijskog društva. Brz razvoj ovih tehnologija i njihovo prodiranje u sve ljudske djelatnosti i naš svakodnevni život, ima za posljedicu krupnu promjenu načina našeg rada. Globalne komunikacije, baze podataka, Internet, elektroničko poslovanje, rad na daljinu, učenje na daljinu, e-government, e-economy i slične paradigme, postale su sinonim još bržeg razvitka najrazvijenijih zemalja, prepreka ali i šansa zemljama u razvoju, pa i Hrvatskoj. Za informatizaciju sve se češće počinje koristiti i termin industrija znanja. Naša ovisnost o informatici postaje sve veća. No, porastom ove
2
ovisnosti rastu i različiti oblici ugrožavanja naših informacijskih sustava i našeg znanja. Moguća sistematizacija izvora i oblika prijetnji prikazana je u tablici 1. Tabela 1. Izvori i oblici prijetnji informacijskom sustavu
PRIJETNJE IZVOR OBLIK IZVOR OBLIK
Poplava Nepažnja Potres Nedisciplina Oluja Nemar Onečišćenje Neznanje Požar Neodgovarajući programi
PRIRODA
Incidentne situacije
LJUDI – NENAMJERNI UTJECAJ
Neodgovarajuća organizacija Uništenje Tehnička pogreška opreme Sabotaža Prestanak napajanja Diverzija Ispadi opreme Špijunaža Prekidi komunikacije Ratno razaranje
OPREMA
Zračenja Neautorizirani pristup Krađa Virusi
LJUDI S ATRIBUCIJOM
NAMJERE
Prisluškivanje Priroda kao izvor prijetnji informacijskim sustavima može djelovati kroz različite pojavne oblike. Čovjek s atribucijom namjere ili njegov nenamjerni utjecaj najčešći je uzrok prijetnji našim informacijskim sustavima. Uništenja, sabotaže, diverzije, špijunaža, razaranje, neautorizirani pristupi, krađe, virusi, prisluškivanje – najčešći su oblici prijetnji s atribucijom namjere. Nepažnja, nedisciplina, nemar, neznanje, loša programska oprema, loša organizacija, primjeri su izvora prijetnji našim informacijskim sustavima koji su po svom izvoru najčešće nenamjernog karaktera. Različiti incidenti s informatičkom opremom – tehničke pogreške, problemi u napajanju, ispadi, zračenja, itd., primjeri su ove skupine izvora ugrožavanja naših informacijskih sustava. Nepoznavanje izvora prijetnji i ignoriranje mogućih posljedica rezultira brojnim problemima. Mnogi primjeri ukazuju na veliku ranjivost naših informacijskih sustava. Navedimo samo neke slučajeve:
• skupina hakera u Luksemburgu specijalizirala se u otkrivanju lozinki u velikim poslovnim sustavima i informacije o tome javno je prodavala putem elektroničke oglasne ploče,
• službenici jedne banke u Švicarskoj uspjeli su provaliti u informacijski sustav konkurentne banke i otkriti popis klijenata s osobnim financijskim zahtjevima na osnovi čega su ponudili povoljnije usluge svoje banke,
3
• izmjenom parametara u otpremnim dokumentima suvremeni lopovi putem informatike uspjeli su se domoći pošiljke od 200 teretnih vagona,
• skupina njemačkih hakera prodrla je u američke i engleske vojne informacijske sustave i pribavljene informacije prodala ruskoj obavještajnoj službi.
• 23-godišnji haker putem virusa blokirao je 6000 računala, • 19-godišnji učenik neovlaštenom prodajom jedne igre zaradio je 50 milijuna
DM. U literaturi se mogu naći mnogi primjeri koji govore o sličnim zlouporabama. Computer Security (CSI) Institute iz San Franciska zajedno sa Federalnim Biroom (FBI), proveo je prošle godine istraživanje o razini informatičkog kriminala u San Fancisku. Prema provedenom istraživanju i objavljenoj statistici, 273 poslovna sustava u 2000. g. prijavilo je napade na svoje baze podataka. Direktna šteta koja je nastala radi ovih napada iznosi 265.589.940 dolara. Broj neprijavljenih napada nije poznat. Istraživanje je pokazalo da:
• u 90% poslovnih subjekata, velikih korporacija i vladinih organizacija smatraju da je povećan broj napada i provala sustava zaštite tijekom posljednjih 12 mjeseci;
• u 70 % slučajeva jesu napadi virusa, krađe putem računala ili pokušaj napada na podatke;
• u 74% slučaja prijavljen je, osim ometanja rada, i financijski gubitak kao posljedica prodora u računalni sustav;
• u 42% slučajeva bilo je moguće kvantificirati veličinu financijskih gubitaka. Gubici u navedenom broju napadnutih tvrtki doista su impresivni.
Usporedba s prethodnim godinama pokazala je da su financijski gubici u 8 od 12 kategorija po kojima je bilo izvedeno istraživanje bili veći nego prethodne godine. U 4 kategorije financijski gubici bili su viši nego ukupni zbroj od tri prethodne godine. U ranijim godinama najozbiljniji financijski gubici prijavljeni su od krađa informacija tj. neautoriziranog korištenja informacijskog sadržaja – u 66 slučajeva prijavljena je šteta od 66.708.000 dolara, a financijska prijevara izvedena računalom u 53 slučaja rezultirala je štetom od 55.996.000 dolara. Jedno drugo istraživanje prikazuje da računalni kriminal prijeti sve više velikim poslovnim sustavima i vladinim agencijama i uredima. Prijetnje dolaze izvan sustava ali sve više i iznutra. To potvrđuju sljedeći trendovi:
• u 71% slučajeva prijavljeno je otkrivanje nelegalnog pristupa sadržajima i neautorizirano korištenje sustava od strane djelatnika unutar poslovnog sustava;
• Treću godinu za redom sve više ispitanika (59%) navodi Internet kao važnu točku napada;
• Spoznaje o potrebi izrade striktnih procedura sigurnosti u godinu dana porasle su više nego dvostruko.
4
Rezultati provedenih istraživanja ukazuju na veliku potrebu podizanja razine zaštite, kao i potrebu daljnjeg praćenja računalnog kriminala. Temeljeno na jednom drugom uzorku od ukupno 643 korisnika informatičke tehnologije koji upotrebljavaju različite vidove računalne zaštite u korporacijama, vladinim agencijama, financijskim institucijama, medicinskim institucijama i sveučilištima, sami sudionici ovog istraživanja zaključuju da nije umanjena prijetnja računalnim kriminalom i drugim vrstama prodora u sustav. To uvelike utječe na sigurnost informacija i opstojnost poslovnog sustava. U ovom istraživanju ispitanici su istaknuli široki opseg napada i zlouporabe informacijskih sustava podržanih računalima. Navedeno je nekoliko primjera:
• 25% ispitanika samo je uočilo upade u svoj sustav putem vanjskog napada, • 27% ispitanika uočilo je nemogućnost pristupa pojedinim servisima
sustava, kao posljedicu vanjskog napada, • 79% ispitanika uočilo je prijevaru ili nedozvoljenu radnju od strane vlastitih
uposlenika, npr. korištenje Interneta u skidanju pornografskog sadržaja, ili neprikladno korištenje elektroničke pošte,
• 85% ispitanika uočilo je i imalo posljedice od računalnih virusa. Jedno istraživanje u Europi o elektronskom poslovanju korištenjem Interneta pokazuje da:
• 93% tvrtki već ima Web stranice, • 43% koristi elektronsko poslovanje na Web stranicama, • 19% ima probleme s uočavanjem i otklanjanjem neovlaštenog pristupa, • u 32% tvrtki nisu upoznati s ograničenjima u smislu neautoriziranog
pristupa, • u 35% od pronađenih napadača i utvrđenog identiteta, prijavljeno je i
procesuirano tek 2-5 incidenta, • u 19% tvrtki prijavljeno je 10 ili više incidenata, • 64% tvrtki pretrpjelo je štete od napada na Web-stranice ili preko Web
stranica, • 60% šteta prijavljeno je kao nemogućnost rada i korištenja poslužiteljem
zbog posljedice napada na informatiku, itd. Prema jednom drugom istraživanju provedenom u SAD više od 85% krađa putem računala nikada se ne otkrije. Štete koje na taj način nastaju, procjenjuju se samo u bankama i osiguravajućim društvima na stotine milijuna dolara. Poslovodstva banaka takve krađe najčešće zataje, prosuđujući da tako izbjegavaju rizik gubitka poslovnog ugleda. Danas već postoji preko 400 različitih vrsta prekršaja – od izravne krađe, lažnih narudžbi, manipulacije s robom do vrlo perfidnih i praktički neuhvatljivih oblika kriminala. A sve se to dešava bez otisaka prstiju, razbijenih blagajni, provaljenih sefova.
5
Informatički delinkventi su često mladi ljudi koji iz hobija proučavaju sve mogućnosti računala i uglavnom ne nanose posebnu štetu, ali u posljednje vrijeme to su sve više obrazovani stručnjaci za rad s računalima kojima je cilj materijalna dobit. Istraživanja pokazuju da oko 20% delinkvenata predstavlja rukovodeći kadar, 17% trgovački i oko 5% osoblje zaposleno u računovodstvu. Pri tome, udio žena je 7,7% kod rukovodstva, slijede tajnice i suradnice (21%), blagajnice (30%) i knjigovođe (16%). Zaposleni i bivši službenici odgovorni su za 70-85% kriminalnih radnji pomoću računala. Analize pokazuju da većina provala u sustave poduzeća obavljaju pojedinci, ali opasnost jako raste ukoliko bračni partneri rade zajedno. Zbog toga mnoga poduzeća ne zapošljavaju supružnike u istom odjelu ili na mjestima gdje bi se njihova znanja mogla nadopuniti i omogućiti lakše obavljanje ovih kriminalnih radnji. 2. Primjena normi za sigurnost u informatici Normizacija prodire i u područje sigurnosti informacijskih sustava. Postoji niz nacionalnih normi koje pripadaju ovoj domeni kao što su: BSI, DIN, AFNOR i dr. norme. Također, postoje i vrlo rigorozne norme institucija kao: NASA, DoD i dr. ISO organizacija u okviru zajedničkog tehničkog komiteta s IEC JTC 1 (Joint Technical Commity) ima potkomitet 27 putem kojeg nastaju norme za sigurnost informacijskih sustava. Do sada nastale su 33 takve norme, a u tablici 1. kao primjer daje se pregled slučajno odabrane 4 norme.
Tablica 1. Pregled nekih ISO normi iz sigurnosti informacijskih sustava
Red. br. Norma Područje primjene
1. ISO/IEC 9796-3:2000 Information technology – Security techniques – Digital signature schemes giving message recovery – Part 3: Discrete logarithm based mechanisms
2. ISO/IEC 9798-2:1999 Information technology – Security techniques – Entity authentication – Part 2: Mechanisms using symmetric encipherment algorithms
3. ISO/IEC TR 13335-2:1997 Information technology – Guidelines for the management of IT Security – Part 2: Managing and planning IT Security
4. ISO/IEC 17799:2000 Information technology – Code of practice for information security management
Osim navedene 33 norme, pretraživanje putem Interneta pokazalo je da postoji i niz drugih normi iz područja sigurnosti informacijskih sustava. Uporabom ključnih riječi “Information security” dobio se pregled od 78 takvih normi. Osim tzv. tehničkih normi namjenjenih sigurnosti informacijskih sustava, primjetan je trend prema uspostavi cjelovitih sustava upravljanja sigurnošću u informatici.
6
Godine 1995. British Standard Institute objavio je 2 takve norme čiji je cilj bila uspostava cjelovitih sustava upravljanja sigurnošću u informatici. Ove norme bile su:
− BS 7799-1:1995 Information security management – Part 1. Code of practice for information security management systems i
− BS 7799-2:1995 Information security management – Part 2. Specification for information security management systems.
Interesantno da je u okviru spomenutog ISO/IEC JTC 1/SC 27 IT Security techniques razvoj normi za sigurnost informacijskih sustava usmjeren na način da su formirane 3 radne skupine: WG 1 Requirements, security services and guidelines (provodi engleski BSI), WG 2 Security techniques and mechanisms (provodi belgijski IBN) i WG 2 Security evaluation criteria (provodi švedski SIS). Kao rezultat ovih nastojanja, posebice rada WG 1 nastale su nove verzije navedenih normi 1999. g. Prvu od ovih normi (BS 7799-1:1999) ISO i IEC su prihvatili kao normu ISO/IEC 17799:2000, dok je za očekivati i skorašnju objavu i druge norme. Norma ISO/IEC 17799:2000, osim uvodnih, ima sljedećih 10 poglavlja:
− politika sigurnosti, − organizacijska sigurnost, − klasifikacija i kontrola imovine, − sigurnost osoblja, − fizička sigurnost i sigurnost okoline, − upravljanje komunikacijama i operativom, − nadzor pristupa, − razvoj i održavanje sustava, − upravljanje kontinuitetom poslovnih aktivnosti, − pritužbe.
Za očekivati je da će predstojeća norma vjerojatne oznake ISO/IEC 17799-2 riješiti pitanje specifikacije sustava sigurnosti. Između ostalog treba očekivati da će se odrediti i način upravljanja takvim sustavom i da će on biti kao na slici 1. Time su ispunjeni svi zahtjevi da se i u našoj praksi pristupi projektiranju i implementaciji cjelovitih sustava upravljanja sigurnošću u informatici.
7
Slika 1. Način upravljanja sustavom sigurnosti u informatici prema očekivanoj normi ISO/IEC 17799-2
(danas još BS 7799-2:1999) 3. SSE CMM model sigurnosti Osim ISO/IEC 17799-1:2000 sustava upravljanja sigurnošću u informatici, postoji mogućnost i primjene tzv. SSE CMM modela. The Systems Security Engineering Capability Maturity Model ili SSE CMM model sigurnosti vrlo je sličan CMM-ovom modelu upravljanja razvojem u proizvodnji programske opreme. Temelji se na Wats Hempfry-evom modelu koji razlikuje 5 razina zrelosti. Može se koristiti kao:
− metoda kojom se tvrtke služe za provjeru razine sigurnosti i za definiranje mogućih poboljšanja,
− standardni mehanizam koji korisnici mogu koristiti za provjeru razine sigurnosti kod svojih dobavljača,
− osnova za certifikacijske kuće koje provjeravaju sustav sigurnosti.
Definiranje politikeKoraci 1
2
3
4
5
6
Definiranje područja
Procjena rizika
Upravljanje rizicima
Odabir postupaka sigurnostikoje treba implementirati
Priprema iskaza oprimjenljivosti
Politika sigurnosti
Zaključci
Odabrani ciljevi
Odabrane opcije
Iskaz oprimjenljivosti
Rizici
Područje sustavasigurnosti
8
SSE-CMM model ima 2 dimenzije: domenu i razinu. Dimenzija domene sastoji se od prakse koja definira inženjering sigurnosti. Dimenzija razine predstavlja praksu koje ukazuju na razinu upravljanja procesom. Ova praksa se zove generička praksa koje se primjenjuju kroz široki rang domena. Generička praksa predstavlja aktivnosti koje bi se trebale izvoditi kao dio izvođenja osnovne prakse. Na slici 2. prikazana je veza između osnovne i generičke prakse.
Slika 2. Veza između osnovne i generičke prakse u
SSE CMM modelu sigurnosti Model procjenjuje svako procesno područje u odnosu na svaku zajedničku karakteristiku. Ovakvim postavljanjem osnovne i generičke prakse omogućava se provjera mogućnosti organizacije za određenim aktivnostima sigurnosti. Ako se provjere sve kombinacije osnovne i generičke prakse, dobiva se dobra slika razine inženjeringa sigurnosti provjeravane organizacije. Osnovna praksa SSE-CMM sadrži 60 dijelova osnovne prakse sigurnosti, organiziranih u 11 procesnih područja koja pokrivaju sve važne dijelove inženjeringa sigurnosti. Odabrana praksa predstavlja najbolju postojeću praksu inženjeringa sigurnosti. Osnovna praksa:
− primjenjuje se kroz cijeli životni ciklus tvrtke, − ne preklapa se s drugim osnovnim praksama, − ne reflektira jednostavno “state-of-art” tehniku, − primjenjiva je korištenjem više metoda u više poslovnih konteksta, − ne specificira neku određenu metodu ili alat.
Dimenzija domene(Osnovne prakse)
Dim
enzi
ja ra
zine
(Gen
erič
ke p
raks
e)Generička praksaAlokacija resursa
Osnovna praksaIdentifikacija 'ranjivosti'sustava sigurnosti
9
Osnovna praksa organizirana je u sljedećih 11 procesnih područja: − PA01 – Administriranje nadzora sigurnosti, − PA02 – Procjena utjecaja, − PA03 – Procjena rizika sigurnosti, − PA04 – Procjena prijetnji, − PA05 – Procjena ranjivosti, − PA06 – Izgradnja argumenta osiguranja, − PA07 – Koordiniranje sigurnosti, − PA08 – Nadzor položaja sigurnosti, − PA09 – Osiguranje ulaza sigurnosti, − PA10 – Specificiranje potrebe sigurnosti, − PA11 – Verifikacija i validacija sigurnosti.
Svako od navedenih procesnih područja ima skup ciljeva koji predstavlja očekivano stanje organizacije koja uspješno provodi to procesno područje. Organizacija koja provodi osnovne prakse procesnih područja treba također ostvariti ove ciljeve. Procesno područje:
− asemblira povezane aktivnosti u jedno područje za jednostavnu primjenu, − vezano je na bitne usluge inženjeringa sigurnosti, − primjenjuje se kroz cijeli životni ciklus tvrtke, − može se implementirati u više organizacijskih i proizvodnih konteksta, − može se poboljšati kao distinktivni proces, − može se poboljšati pomoću grupe sa sličnim interesima u procesu, − uključuje sve osnovne prakse koje su potrebne za zadovoljenje ciljeva
procesnog područja. Pored spomenutih 11 procesnih područja, postoji još sljedećih 11 područja povezanih s projektnom i organizacijskom praksom:
− PA12 – Osiguranje kvalitete, − PA13 – Upravljanje konfiguracijom, − PA14 – Upravljanje rizikom na projektu, − PA15 – Nadzor i kontrola tehničkog napora, − PA16 – Planiranje tehničkog napora, − PA17 – Definiranje procesa inženjeringa sustava organizacije, − PA18 – Poboljšanje procesa inženjeringa sustava organizacije, − PA19 – Upravljanje razvojem proizvodne linije, − PA20 – Upravljanje okolinom podrške za inženjering sustava, − PA21 – Osiguranje tekućih vještina i znanja, − PA22 – Koordiniranje dobavljača.
Generička praksa Generička praksa su aktivnosti koje se primjenjuju na sve procese. Ona se odnosi na upravljanje, mjerenje i institucionalizaciju aspekata procesa. Koristi se tijekom procjene za određivanje mogućnosti organizacije da izvodi željene procese.
10
Generička praksa je grupirana u logička područja koja se zovu zajedničke karakteristike, koje su organizirane u 5 razina zrelosti. U nastavku su navedene zajedničke karakteristike koje predstavljaju atribute inženjeringa sigurnosti potrebne za dostizanje svake pojedine razine. Razina 1:
− izvođenje osnovne prakse u području sigurnosti Razina 2:
− planiranje performanci − discipliniranje performanci − verificiranje performanci − praćenje performanci
Razina 3:
− definiranje standardnog procesa − izvođenje definiranog procesa − koordiniranje procesa
Razina 4:
− postavljanje mjerljivih ciljeva kvalitete − objektivno upravljanje performancama
Razina 5:
− podizanje razine organizacije − poboljšanje efektivnosti procesa
Prikaz razina zrelosti inženjeringa sigurnosti i potrebnih atributa za dostizanje određene razine naveden je na slici 3.
Slika 3. Razine zrelosti inženjeringa sigurnosti s pripadajućim atributima
Da bi se moglo izmjeriti početno stanje u području inženjeringa sigurnosti, kao i pratiti proces poboljšanja, razvijena je metoda za procjenu razina zrelosti inženjeringa
0 1 2 3 4 5
Ne postoji Kontinuiranopoboljšanje
Kvantitativnose kontrolira
Dobrodefinirano
Planira sei prati
Postojiformalno
- provođenjeosnovnih
praksi
- planiranje performanci
- discipliniranje performanci
- verificiranje performanci
- praćenje performanci
- definiranje standardnog procesa- izvođenje definiranog procesa
- koordiniranje procesa
- postavljanje mjerljivih ciljeva kvalitete- objektivno upravljanje performancama
- podizanje razineorganizacije- poboljšanje efektivnosti procesa
11
sigurnosti po svim procesnim područjima (SSAM-SSE-CMM Appraisal Method). Rezultati primjene takve metode mogu se izraziti pomoću dijagrama prikazanog na slici 4. Razina zrelosti
Razina 5 Razina 4 Razina 3 Razina 2 Razina 1 Procesno područje 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
Procesna područja inženjeringa sigurnosti
Projektna i organizacijska procesna područja
Slika 4. Dijagramski prikaz rezultata procjene inženjeringa sigurnosti
Ovim jednostavnim štapićastim dijagramom prikazuju se razine zrelosti (od 1 do 5) za svako procesno područje, što daje preciznu informaciju o mogućnostima sustava sigurnosti i predstavlja polaznu točku u planiranju i provedbi poboljšanja u ovom području. 4. Zaključak Sve intenzivnija primjena informatike čini sve ranjivijim naše informacijske sustave. Brojni su oblici prijetnji kojih danas ima već više od 400. No, ljudi su najčešći izvor prijetnji sigurnosti u informatici, što potvrđuju i brojna istraživanja. Posljedice ugrožavanja ove sigurnosti mogu biti vrlo dramatične. Zbog toga se u posljednje vrijeme vrlo intenzivno razvijaju metode, tehnike i oprema putem kojih je moguće uspostaviti i adekvatne sustave upravljanja sigurnošću u informatici. U radu je analizirano stanje normi namijenjenih ovom vidu sigurnosti. Posebno su u tom kontekstu značajne norme BS 7799-1:1999 i BS 7799-2:1999 odnosno ISO 17799:2000. Uporabom ovih normi danas je moguće projektirati, implementirati i unapređivati konzistentan sustav sigurnosti u informatici. Osim navedenih normi postoji mogućnost uporabe i SSE CMM (Systems Security Engineering Capability Maturity) modela koji ima određene sličnosti s modelom upravljanja razvoja zrelosti koji se već duže vrijeme koristi u proizvodnji programske opreme. Za očekivati je da će i u hrvatskoj informatici započeti primjena takvih sustava, naročito u bankarstvu, osiguravajućim društvima, državnoj upravi, ali i velikim tvrtkama. Danas već postoje sve pretpostavke za to.
12
Literatura 1. BS 7799-1:1999 Information security management – Part 1: Code of practice for
information security management
2. BS 7799-2:1999-2:1999 Information security management Part 2: Specification for information security management systems
3. ISO/IEC 17799-1:2000 Information technology – Code of practice for information security management
4. Z. Krakar, “Upravljanje razvojem zrelosti kao metoda uspostave sustava kvalitete u informatici”, Druga hrvatska konferencija o kvaliteti, Zbornik radova, Cavtat (1999.) s. 127
5. Systems Security Engineering Capability Maturity Model, Model Description Document, V. 2.0, Caranegive Mellon University (1999.)
6. http://www.see-cmm.org