Gojko Grubor Milan Milosavljeviæ
OSNOVE ZAŠTITE INFORMACIJA
Gojko Grubor Milan Milosavljeviæ
OSNOVE ZAŠTITE INFORMACIJA Metodološko - tehnološke osnove
UNIVERZITET SINGIDUNUM
Gojko Grubor Milan Milosavljevi
OSNOVE ZAŠTITE INFORMACIJA Metodološko - tehnološke osnove
Beograd, 2010.
OSNOVE ZAŠTITE INFORMACIJA: Metodološko - tehnološke osnove Autori: Doc. dr Gojko Grubor Prof. dr Milan Milosavlejvi Recenzen: Prof. dr Milovan Staniši Prof. dr Branko Kovaevi Izdava: UNIVERZITET SINGIDUNUM Beograd, Danijelova 32 www.singidunum.ac.rs Za izdavaa: Prof. dr Milovan Staniši Tehniki urednik: Novak njeguš Dizajn korica: Aleksandar Mihajlovi Lektor: Snježana Krs Godina izdanja: 2010. Tiraž: 300 primeraka Štampa: Mladost Grup Loznica ISBN 978-87-7912-313-8 Copyright: © 2010 Univerzitet Singidunum Izdava zadržava sva prava. Reprodukcija pojedinih delova ili celine ove publikacije nije dozvoljena.
PREDGOVOR
Udžbenik Osnove zašte informacija – metodološko tehnološke osnove je drugo izdanje, prošireno, obnovljeno i ažurirano sa savremenim trendovima u oblas zašte informacija u elektronskom okruženju. Namenjen je studenma osnovnih studija i u osnovi je uskla en sa silabusom predmeta Osnove zašte informacija. Udžbenik sadrži i šire informacije iz oblas zašte informacija u elektronskom okruženju, tako da ga mogu koris i profesionalci u zaš, koji žele sistemazova i upotpuni svoja znanja. Glavni cilj pisanja ovog udžbenika je, da se raznovrsna i obimna teorija, dostupna uglavnom u stranoj literaturi, standardima i autorskim radovima na Internetu, sistemazuje, terminološki ujednai i približi studenma i prosenim korisnicima IKT sistema, koji žele unapredi znanja u kompleksnoj oblas zašte informacija. Smanjenje kompleksnos terminologije zašte jedan je od strateških ciljeva teorije i prakse zašte. Time se posže vea razumljivost i bolja korisnika prihvatljivost zašte informacija, što je esto problem za obine korisnike, menadžere i vlasnike IKT sistema. Brojni funkcionalni, graki, strukturni i objektno orijensani modeli, uzorci i primeri da u udžbeniku i prilozima, koji je sastavni deo udžbenika, tako e, doprinose smanjenju kompleksnos problemake zašte informacija u elektronskom okruženju. Metodološki, udžbenik je koncipiran u dve glave: Bezbednost informacionih sistema i Upravljanje sistemom zašte informacija. Svako poglavlje je struktuirano modularno, sa uvodom, razradom razmatranog problema, rezimeom, kljunim terminima i pitanjima za ponavljanje. Spisak korišene i šire literature dat je na kraju svake glave. Za obradu celokupne problemake zašte informacija u elektronskom okruženju korišeni su i razmatrani koncep: terminologije zašte, strateškog i takkog rešavanja problema zašte, reakvnih i proakvnih sistema zašte, sistemskog, procesnog i objektno orijensanog pristupa zaš informacija.
PO O
III
U prvoj glavi denisani su i opisani u 9 poglavlja metodološke i tehnološke osnove zašte poslovnih IKT sistema, odnosno, informacija kao najvrednije imovine svake organizacije. Metodološki aspekt obuhvata: denicije kljunih termina; principe, relevantne standarde i normave zašte; koncepte reakvne i proakvne zašte; koncepte servisa, mehanizama i kontrola zašte; metodologije i modele zašte. Tehnološki aspekt obuhvata osnovne tehnike i alate zašte raunarskih sistema i raunarskih mreža. U drugoj glavi, Upravljanje sistemom zašte informacija, u 9 poglavlja obra ene su: upravljake, operavne i kontrolne komponente zašte, ukljuujui metode za upravljanje sistemom zašte i bezbednosnim rizikom; razvoj i implementaciju programa, plana, polika i procedura zašte; nadzor, kontrolu i reviziju sistema zašte; upravljanje kompjuterskim incidentom, vanrednim doga ajem, zikom i personalnom zaštom, obukom i obrazovanjem u zaš i serkacijom i akreditacijom sistema zašte. U dvanaest priloga date su liste relevantnih standarda zašte, brojni primeri bezbednosne kategorizacije, malicioznih programa, ranjivos i pretnji IKT sistema, kao i graki modeli kongurisanja logikih barijera u raunarskoj mreži i metodi procene ukupnog bezbednosnog rizika. Autori se zahvaljuju recenzenma prof. dr Milanu Stanišiu i prof. dr Branku Kovaeviu na korisnim sugesjama, lektoru Snježani Krs na pravopisnim ispravkama, Aleksandru Mihajloviu na dizajnu korica i Novaku Njegušu na prelomu i tehnikoj obradi ovog udžbenika.
IV
O Š FOJ
SADRŽAJ UV D
XV GLAVA I BEZBEDNOST INFORMACIONIH SISTEMA
1. BEZBEDNOST I ZAŠTITA INFORMACIJA 1.1. UV D 1.2. BEZBEDN ST IN RMACIA 1.2.1. Denicije pojmova bezbednost i sigurnost informacija 1.2.2. unkcionalna zavisnost bezbednost – pretnje 1.2.3. Glavni faktori ucaja na bezbednosno stanje ikts 1.3. PTA DEINICIA SISTEMA ZATITE 1.3.1. snovne funkcionalnos sistema zašte 1.3.2. Informacioni sistem kao objekat zašte 1.3.3. Generiki, funkcionalni model sistema zašte 1.3.4. Denisanje opmalnog sistema zašte 1.3.5. Promena paradigme zašte ikts i informacija 1.3.6. pš metod implementacije sistema zašte 1.4. REZIME 1.5. KLUNI TERMINI 1.6. PITANA ZA P NAVLANE
3 3 4 4 6 7 9 10 11 13 14 16 18 22 24 25
2. PRINCIPI, STANDARDI I NORMATIVI ZAŠTITE 2.1. UV D 2.2. SISTEMSKI PRINCIPI ZATITE 2.3. PTE PRIHVAENI PRINCIPI ZATITE 2.3.1. Namena gaisp principa zašte 2.3.2. Struktura GAISP principa zašte 2.3.2.1. Opš GAISP principi zašte 2.3.2.2. Funkcionalni GAISP principi zašte 2.3.2.3. Detaljni GAISP principi zašte 2.4. STANDARDI ZATITE 2.4.1. Generika denicija standarda zašte 2.4.2. pš model standarda zašte 2.4.3. Tela za standardizaciju zašte 2.4.4. Klasikacija standarda zašte
28 28 29 30 30 30 31 32 32 33 33 33 34 35
SŽJ
V
2.4.5. Prednos i nedostaci standarda zašte 2.5. N RMATIVNI KVIR ZATITE 2.6. D KUMENTACIA ZATITE 2.7. REZIME 2.8. KLUNI TERMINI 2.9. PITANA ZA P NAVLANE
VI
37 37 38 40 41 41
3. METODOLOGIJE, MODELI I OKVIRI SISTEMA ZAŠTITE 3.1. UV D 3.2. MET D L KI KVIRI ZA RAZV SISTEMA ZATITE 3.3. M DEL VANE SISTEMA ZATITE 3.3.1. Strukturni modeli distribuiranog IKT sistema 3.3.2. bjektno orijensano modelovanje sistema zašte 3.4. REZIME 3.5. KLUNI TERMINI 3.6. PITANA ZA P NAVLANE
44 44 44 47 47 49 52 52 53
4. KONCEPTI SISTEMA ZAŠTITE 4.1. UV D 4.2. K NCEPT SISTEMA REAKTIVNE ZATITE 4.2.1. Sistem reakvne zašte 4.2.1.1. Funkcionalni model reakvne zašte 4.2.1.2. Ocena kvaliteta sistema reakvne zašte 4.3. K NCEPT SISTEMA PR AKTVNE ZATITE 4.3.1. unkcionalni model proakvne zašte 4.4. K NCEPT K NTR LA ZATITE 4.4.1. snovne karakteriske kontrola zašte 4.4.2. Skup kontrola za sistem osnovne zašte 4.4.3. Proces selekcije i implementacije kontrola zašte 4.4.4. Procena efekvnos kontrola zašte 4.4.5. Dokumentovanje kontrala zašte u planu zašte 4.5. REZIME 4.6. KLUNI TERMINI 4.7. PITANA ZA P NAVLANE
54 54 54 54 55 56 57 58 61 61 63 64 66 67 67 68 68
5. OPŠTI MODEL SERVISA ZAŠTITE 5.1. UV D 5.2. SERVISI ZATITE 5.2.1. Misija i ciljevi sistema zašte 5.2.2. Me uzavisnost bezbednosnih ciljeva 5.3. PTI M DEL SERVISA ZATITE 5.4. RAZV I IMPLEMENTACIA SERVISA ZATITE 5.4.1. Isporuka servisa zašte 5.5. REZIME
71 71 72 72 73 74 80 80 81
O O FOJ
5.6. KLUNI TERMINI 5.7. PITANE ZA P NAVLANE 6. METRIKI SISTEMI ZAŠTITE INFORMACIJA 6.1. UV D 6.2. MET D L GIA METRIKE SISTEMA ZATITE IN RMACIA 6.2.1. Denicije pojmova 6.2.2. Principi, namena, program i procesi metrikog sistema 6.2.3. snovne karakteriske metrika zašte informacija 6.2.4. Procesno orijensani metriki sistemi 6.2.5. Izbor pa i razlozi za primenu metrika zašte 6.2.6. Primeri metrikih sistema operavnih kontrola zašte 6.2.7. Prezentovanje metrika zašte informacija 6.2.8. Prednos i nedostaci metrikih sistema zašte 6.3. REZIME 6.4. KLUNI TERMINI 6.5. PITANA ZA P NAVLANE
81 82 84 84 84 84 85 88 89 91 92 93 95 96 97 97
7. TAKSOMOMIJA PRETNJI I MALICIOZNIH PROGRAMA 7.1. UV D 7.2. PRETNE I NAPADI 7.2.1. Taksonomije pretnji i napada 7.3. PREGLED MALICI ZNIH PR GRAMA 7.3.1. snovne vrste savremenih malicioznih programa 7.3.2. Taksonomija virusa 7.3.2.1. Mehanizmi širenja virusa 7.3.3. Karakteriske crva 7.3.4. Kombinovani napad 7.3.5. Trojanci i ostali maliciozni programi 7.3.6. Metodi skrivanja malicioznih programa 7.4. DISTRIBUCIA MALICI ZNIH PR GRAMA 7.5. MERE ZATITE I P RAVAK SISTEMA D MALICI ZNIH NAPADA 7.6. REZIME 7.7. KLUNI TERMINI 7.8. PITANA ZA P NAVLANE
100 100 100 100 105 105 106 108 110 111 112 114 116 120 122 123 123
8. TEHNOLOGIJE ZA ZAŠTITU RAUNARSKIH SISTEMA 8.1. UV D 8.2. KLASIIKACIA ALATA ZA ZATITU 8.3. MEHANIZMI ZATITE RAUNARSK G SISTEMA 8.3.1. Apstraktni bezbednosni slojevi raunarskog sistema 8.3.2. Podsistem za zaštu os (nosss) 8.3.3. Logika kontrola pristupa raunarskom sistemu 8.3.3.1. Mehanizmi logike kontrole pristupa
127 127 127 129 129 130 131 132
SŽJ
VII
8.3.3.2. Univerzalni mehanizmi logike kontrole pristupa 8.3.4. Zašta integriteta raunarskog sistema 8.3.5. Mehanizmi za detekciju i spreavanje upada u sistem 8.3.6. Mehanizmi za zaštu poverljivos i integriteta podataka 8.3.6.1. Osnovi kriptograje - simetrini šifarski sistemi 8.3.6.2. Osnovi kriptograje – asimetrini šifarski sistemi 8.4. REZIME 8.5. KLUNI TERMINI 8.6. PITANA ZA P NAVLANE 9. TEHNOLOGIJE ZA ZAŠTITU RAUNARSKIH MREŽA 9.1. UV D 9.2. SERVIS L GIKE K NTR LE PRISTUPA RAUNARSK MREI 9.2.1. Mehanizmi logike kontrole pristupa raunarskoj mreži 9.2.1.1. Logike mrežne barijere 9.2.1.2. Proksi serveri 9.2.1.3. Web lteri 9.2.1.4. Autenkacioni protokoli 9.2.1.5. Serveri za autenkaciju i autorizaciju 9.2.1.6. Smart karce i kriptografski moduli 9.2.1.7. Ostali autenkacioni ureaji i protokoli 9.2.2. Zašta integriteta raunarske mreže 9.2.2.1. Skeneri ranjivos raunarske mreže 9.2.2.2. Skeneri telefonskih veza 9.2.3. Mehanizmi za detekciju i spreavanje upada u mrežu 9.2.4. Infrastrukturni mehanizmi za zaštu raunarske mreže 9.2.4.1. Infrastruktura sa javnim kljuem 9.2.4.2. IPSec protokol 9.2.5. Bezbednost bežinih lokalnih mreža 9.3. REZIME 9.4. KLUNI TERMINI 9.5. PITANA ZA P NAVLANE 9.6. LITERATURA
134 135 139 140 142 143 145 147 147 150 150 150 150 151 153 153 154 157 159 160 162 162 165 166 168 168 173 177 181 183 183 186
GLAVA II UPRAVLJANJE SISTEMOM ZAŠTITE INFORMACIJA 1. UPRAVLJANJE ZAŠTITOM INFORMACIJA 1.1. UV D 1.2. MET D L KI KVIR ZA UPRAVLANE ZATIT M 1.2.1. Principi upravljanja zaštom 1.2.2. Uloge i odgovornos 1.2.3. Generiki proces upravljanja zaštom informacija 1.2.4. Sistem upravljanja zaštom informacija.
VIII
O O FOJ
193 193 194 194 194 195 197
1.2.4.1. Uspostavljanje ISMS 1.2.4.2. Administracija sistema zašte 1.2.4.3. Metrika za evaluaciju upravljanja sistemom zašte 1.2.5. tvoreni problemi upravljanja zaštom informacija 1.2.6. Preporuke za upravljanje zaštom informacija 1.3. REZIME 1.4. KLUNI TERMINI 1.5. PITANA ZA P NAVLANE
198 200 200 201 202 205 205 206
2. UPRAVLJANJE BEZBEDNOSNIM RIZIKOM 2.1. UV D 2.2. PTA MET D L GIA ZA UPRAVLANE RIZIK M 2.2.1. Glavni principi upravljanja rizikom 2.2.2. Generiki metod kvalitavne procene rizika 2.2.3. ormalna metodologija za procenu rizika 2.2.3.1. Uspostavljanje konteksta za procenu rizika 2.2.3.2. Proces analize i evaluacije rizika 2.2.3.3. Modeli procena ukupnog bezbednosnog rizika 2.3. REZIME 2.4. KLUNI TERMINI 2.5. PITANA ZA P NAVLANE
209 209 210 210 213 214 216 218 228 229 230 231
3. UPRAVLJANJE PROGRAMOM ZAŠTITE INFORMACIJA 3.1. UV D 3.2. RAZV I STRUKTURA PR GRAMA, PLANA I P LITIKE ZATITE 3.2.1. Struktura programske polike zašte 3.2.2. Razvoj i struktura plana zašte 3.2.2.1. Uloge i odgovornos 3.2.2.2. Upravljanje promenama 3.2.3. Razvoj i struktura polike i procedura zašte 3.2.3.1. Struktura i taksonomija polike zašte 3.2.3.2. Razvoj polike zašte 3.2.3.3. Razvoj procedura zašte 3.3. PREP RUENA D KUMENTACIA ZA IMPLEMENTACIU ISMS 3.4. USP STAVLANE UPRAVLAK G KVIRA SISTEMA ZATITE 3.5. REZIME 3.6. KLUNI TERMINI 3.7. PITANA ZA P NAVLANE
234 234 235 235 235 236 237 237 238 241 245 246 248 250 251 252
4. NADZOR, KONTROLA I REVIZIJA SISTEMA ZAŠTITE 4.1. UV D 4.2. PR CESI NADZ RA, K NTR LE I REVIZIE SISTEMA ZATITE 4.2.1. Glavni aspek procesa kontrole i revizije sistema zašte 4.2.2. Planiranje nadzora, kontrole i revizije sistema zašte
255 255 255 256 257
SŽJ
IX
4.3. REZIME 4.4. KLUNI TERMINI 4.5. PITANA ZA P NAVLANE
X
261 262 262
5. UPRAVLJANJE KOMPJUTERSKIM INCIDENTOM I VANREDNIM DOGAAJEM 5.1. UV D 5.2. K MPUTERSKI D GAA I K MPUTERSKI INCIDENT 5.2.1. Polika i procedure za upravljanje incidentom 5.2.2. Kategorije bezbednosnog kompjuterskog incidenta 5.2.3. Nagoveštaji kompjuterskog incidenta 5.2.4. Upravljanje kompjuterskim incidentom 5.3. PLANIRANE VANREDNIH D GAAA U IKTS 5.4. REZIME 5.5. KLUNI TERMINI 5.6. PITANA ZA P NAVLANE
264 264 265 265 265 266 266 269 275 276 277
6. UPRAVLJANJE FIZIKO TEHNIKOM ZAŠTITOM 6.1. UV D 6.2. STANDARDI IZIKE ZATITE 6.2.1. Standardi zike zašte za raunarsku sobu i radne stanice 6.3. IZIKA ZATITA I ZATITA KRUENA IKTS 6.3.1. Rizici proboja zike zašte i zašte okruženja ikts 6.3.2. izika zašta IKTS i okruženja 6.3.3. Zašta EM i opkih medija 6.3.4. Metodi uništavanja medija 6.3.5. Kriterijumi za izbor i implementaciju zike zašte 6.3.6. Sistemi zašte okruženja ikts 6.4. K NVERGENCIA IZIKE I L GIKE K NTR LE PRISTUPA 6.5. REZIME 6.6. KLUNI TERMINI 6.7. PITANA ZA P NAVLANE
281 281 281 281 282 282 282 284 286 287 287 288 290 291 291
7. UPRAVLJANJE PERSONALNOM ZAŠTITOM 7.1. UV D 7.2. PR CES P PUNE RADNIH MESTA U IKTS 7.2.1. dre ivanje osetljivos radnog mesta 7.2.2. Popuna radnih mesta i izbor zaposlenih 7.2.3. buka zaposlenih 7.3. UPRAVLANE K RISNIKIM NAL ZIMA 7.3.1. Revizija prakse upravljanja korisnikim nalozima 7.3.2. Detekcija nelegalnih akvnos zaposlenih 7.3.3. Privremena zamena i interni transfer zaposlenih 7.3.4. Ukidanje naloga 7.3.5. Personalna zašta spoljnih saradnika po ugovoru
294 294 294 295 295 296 296 297 298 298 298 299
O O FOJ
7.3.6. Personalna zašta u ikts sa javnim pristupom 7.3.7. Uspostavljanje ma za zaštu informacija 7.4. REZIME 7.5. KLUNI TERMINI 7.6. PITANA ZA P NAVLANE.
299 300 301 301 301
8. UPRAVLJANJE OBUKOM I OBRAZOVANJEM U ZAŠTITI 8.1. UV D 8.2. RAZV SVESTI, BUKA I BRAZ VANE U ZATITI 8.2.1. Program za razvoj sves o potrebi zašte 8.2.2. Program obuke u zaš 8.2.3. brazovanje u zaš 8.2.4. Konnuitet procesa obrazovanja u zaš 8.2.5. Znanje i vešne lanova ma za upravljanje zaštom 8.3. UPRAVLANE PR GRAM M BUKE U ZATITI 8.4. PR CES RAZV A PR GRAMA BUKE U ZATITI 8.5. REZIME 8.6. KLUNI TERMINI 8.7. PITANA ZA P NAVLANA
304 304 304 305 306 306 307 308 309 311 313 314 314
9. SERTIFIKACIJA I AKREDITACIJA SISTEMA ZAŠTITE 9.1. UV D 9.2. RGANIZACIA PR CESA SERTIIKACIE I AKREDITACIE 9.2.1. Uloge i odgovornos 9.3. UPRAVLANE PR CES M SERTIIKACIE I AKREDITACIE 9.3.1. Serkaciona i akreditaciona dokumentacija 9.3.2. Tipovi i proces akreditacije 9.3.3. aza post–akreditacije 9.4. REZIME 9.5. KLUNI TERMINI 9.6. PITANA ZA P NAVLANE 9.7. LITERATURA
316 316 316 316 318 321 322 325 326 327 327 330
PRILOZI PRIL G 1: IS 27K STANDARDI – BAVLENI ILI U T KU IZRADE PRIL G 2: RELEVANTNI STANDARDI ZATITE PRIL G 3: PRIMER BEZBEDN SNE KATEG RIZACIE BEKATA VELIK G IKTS PRIL G 4: MET D P KRIVANA PRETNI K NTR LAMA ZATITE PRIL G 5: KRATKA IST RIA MALICI ZNIH PR GRAMA PRIL G 6: PRIMERI K NIGURACIE L GIKE BARIERE U RAUNARSK MREI PRIL G 7: GRAIKI M DEL IMPLEMENTACIE ISMS PRIL G 8: TIPINI PAR VI RANIV STI/PRETNA (T/V) PRIL G 9: TIP VI U BIAENIH PRETNI (IS /IEC 27005) PRIL G 10: PRIMERI DREIVANA VER VATN DE I NE DREEN STI PRETNI PRIL G 11: MET DI PR CENE UKUPN G RIZIKA PRIL G 12: K NTR LNA LISTA PR CESA IMPLEMENTACIE P LITIKE I PR CEDURA ZATITE
337 338 343 345 347 348 350 351 355 360 365 370
SŽJ
XI
SPISAK SLIKA GLAVA I Slika 1.1 Slika 1.2 Slika 1.3 Slika 1.4 Slika 2.1 Slika 2.2 Slika 2.3 Slika 2.4 Slika 3.1 Slika 3.2 Slika 4.1 Slika 4.2 Slika 4.3 Slika 4.4 Slika 5.1 Slika 5.2 Slika 5.3 Slika 5.4 Slika 5.5 Slika 5.6 Slika 5.7 Slika 6.1 Slika 6.2 Slika 6.3 Slika 6.4 Slika 7.1 Slika 7.2 Slika 7.3 Slika 7.4 Slika 7.5 Slika 7.6 Slika 7.7 Slika 7.8 Slika 7.9 Slika 7.10 Slika 7.11 Slika 7.12 Slika 7.13 Slika 7.14
XII
Nivo ukupne bezbednos u funkciji komponen bezbednos Nivo ukupne bezbednos IKTS u funkciji pretnji Generiki model sistema zašte i me usobni odnosi komponen pmalni sistem zašte informacija pš model standarda zašte informacija [61] rganizaciona šema Tehnikog komiteta IS /IEC TC 1SC 27 Klasikacija standarda zašte Klasikacija dokumentacije zašte Strategija bezbednos IKTS u funkciji sistema zašte Izlaz modelovanja sistema osnovne zašte IKTS unkcionalni model sistema reakvne zašte Vremenski prozori proakvnih i reakvnih sistema zašte [53] Procenat otkrivanja ranjivos IKTS u periodu 1998–2005 [53] Zona – (a) i prošireni vremenski prozor proakvne zašte- (b) [53] Me uzavisnost bezbednosnih ciljeva pš model servisa zašte Primarni servisi za zaštu raspoloživos Primarni servisi za zaštu integriteta Primarni servisi za zaštu poverljivos Distribuirani servisi zašte DMZ sa jednom barijerom – (a) i dve barijere – (b) [85] Struktura – (a) i proces programa – (b) metrikog sistema zašte informacija Sazrevanje tehnologija zašte Uloge kojima se naješe prezentuju metrike zašte u organizaciji Primeri metoda za prezentovanje metrike zašte informacija Generika taksonomija napada Generiki tok napada na raunarske mreže i sisteme Kljuni povi incidenata izraženi u procenma (2008) [96] Zastupljenost malicioznih napada u 2009 godini [96] Prikaz neinciranog i inciranog boot sektora Dopisivanje ispred izvršne datoteke Dopisivanje na kraju izvršne datoteke Generika struktura crva Naješe korišene tehnike samozašte malicioznih programa [111] Države koje hostuju najviše zlonamernih programa [116] Razvoj malicioznih programa (malvera) u periodu 2003-2010. Države iz kojih se šalje najviše spam poruka [116] Pad koliine SPAM poruka tokom 11.10.2008. godine [116] Pregled efekvnos anvirusnih programa u 2009 godini [32]
O O FOJ
Slika 8.1 Slika 8.2 Slika 8.3 Slika 8.4 Slika 8.5 Slika 8.6 Slika 8.7 Slika 8.8 Slika 8.9 Slika 8.10 Slika 9.1 Slika 9.2 Slika 9.3 Slika 9.4 Slika 9.5 Slika 9.6 Slika 9.7 Slika 9.8 Slika 9.9 Slika 9.10 Slika 9.11 Slika 9.12 Slika 9.13 Slika 9.14 Slika 9.15 Slika 9.16 Slika 9.17 Slika 9.18 Slika 9.19 Slika 9.20 Slika 9.21 Slika 9.22
Klasikacija alata za zaštu Apstraktni bezbednosni slojevi RS Generiki servis logike kontrole pristupa Mehanizmi logike kontrole pristupa [62] aze procesa upravljanja ranjivosma Primena skenera ranjivos u IKTS srednje veliine IDPS koncept Komunikacija sa šifrovanjem podataka Sadržaj standardnog ITU X.500 DS-3-0 Zavisnost mehanizama zašte od vrednos imovine i izloženos Tok procesa ltriranja paketa Principi rada lterskih i aplikavnih barijera Zašta perimetra raunarske mreže sa dve barijere [19] Konguracija aplikavnog proksija [19] Lokacija SSL protokola u višeslojnoj arhitekturi RM unkcionalni model RADIUS protokola Upotreba kriptokarce sa eksternim itaem karca Tipian skener za procenu ranjivos RS – (a) i implementacija u RM – (b) [109] Rezultat pingovanja mrežnih ure aja u Nmap alatu (PingSweep) Skeneri ranjivos raunarskih mreža Rezulta analize ranjivos – (a) i povi izveštaja – (b) u Rena alatu Glavne ranjivos RM (2006) [60] Linearna aproksimacija rasta ranjivos od 2000–2006 [60]] Mogunos primene NIDPS sistema u RM [87] Upravljanje NIDPS sistemima: centralizovano – (a) i distribuirano – (b) [87] Kljuni moduli PKI sistema Model globalne arhitekture PKI sistema Struktura paketa podataka za prenos putem Ethernet mreža: IP – (a) i IPSec – (b) Struktura IPSec paketa podataka uz korištenje AH potprotokola u Ethernet mreži Struktura IPSec paketa uz korištenje ESP potprotokola u Ethernet mrežama unkcionalni model WEP protokola Princip rada 802.11i u eri faze
GLAVA II Slika 1.1 Slika 1.2 Slika 1.3 Slika 1.4 Slika 2.1 Slika 2.2 Slika 2.3
Generiki proces ISMS – (a) i usaglašenos sa BS – (b) PDCA (Plan, Do, Check Act) model Primena PDCA modela na ISMS prema IS /IEC 27001 Skala sazrevanja procesa upravljanja Model – (a) i hijerarhijski pristup upravljanju – (b) strateškim rizikom Generiki okvir – (a) i ciklus – (b) upravljanja rizikom Generiki model za analizu i procenu rizika [67]
SŽJ
XIII
Slika 2.4 Slika 2.5 Slika 2.6 Slika 2.7 Slika 3.1 Slika 3.2 Slika 3.3 Slika 3.4 Slika 3.5 Slika 5.1 Slika 5.2 Slika 6.1 Slika 6.2 Slika 7.1 Slika 8.1 Slika 8.2 Slika 8.3 Slika 8.4 Slika 9.1 Slika 9.2 Slika 9.3 Slika 9.4
Tok procesa UR od namernog, nemalicioznog eksternog napada Dijagram odnosa „ucaj–verovatnoa neuspeha“ napada unkcionalni model procesa procene rizika Implemenrane kontrole zašte i preostali rizik–Rrp Generiki proces razvoja plana zašte unkcionalni model za razvoj polike zašte Ciklus procesa održavanja polike zašte Klasikacija dokumenata zašte Sazrevanje procesa upravljakog okvira zašte ivotni ciklus – (a) procesa upravljanja bezbednosnim incidentom – (b) Dijagram troškova bekapovanja i vremena oporavka u funkciji rezervne lokacije Tok procesa saniranja i odlaganja dokumenata i medija Model odnosa logike i zike kontrole pristupa [35] Proces popune zaposlenih u IKT sistemu Model konnuiteta procesa uenja i osposobljavanja u zaš Centralizovano – (a) i delimino decentralizovano – (b) upravljanje programom obuke Decentralizovano upravljanje programom obuke u zaš Evaluacija i tehnike povratne sprege za kontrolu programa aze i akvnos procesa serkacije i akreditacije [1] Plan serkacije sistema zašte [1] Akreditacija sistema – (a) i pska akreditacija – (b) [1] Lokacijska akreditacija [1]
SPISAK TABELA GLAVA I Tabela 1.1 Tabela 1.2 Tabela 1.2 Tabela 2.1 Tabela 2.2 Tabela 2.3 Tabela 3.1 Tabela 4.1 Tabela 4.2 Tabela 4.3 Tabela 4.4 Tabela 6.1 Tabela 6.2
XIV
Klasikacija informacione imovine Relevantni aspek zašte IKTS aze implementacije sistema zašte pš GAISP principi zašte Relevantna me unarodna tela za standardizaciju u oblas zašte Primeri dokumentacije zašte Kljuni koncep za razvoj sistema zašte Klase, familije i idenkatori kontrola zašte Dimenzije kontrola zašte Primer matrice praenja zahteva za zaštom Metodi za procenu efekvnos kontrola zašte za razliite nivoe ucaja Pristup za izbor metrike – odozgo nadole Pristup za izbor metrike – odozdo nagore
O O FOJ
Tabela 6.3 Tabela 6.4 Tabela 6.5 Tabela 6.6 Tabela 7.1 Tabela 7.2 Tabela 7.3 Tabela 8.1 Tabela 8.2 Tabela 8.3 Tabela 8.4 Tabela 9.1 Tabela 9.2 Tabela 9.3 Tabela 9.4 Tabela 9.5 Tabela 9.6 Tabela 9.7 Tabela 9.8 Tabela 9.9
Karakteriske metrika zašte informacija Primeri metrika zašte prema kategorijama Naješe korišene metrike zašte informacija Istraživanja primene metrika zašte informacija u praksi Zbirne karakteriske atributa namernih napada Pomeranje vektora napada sa Interneta Uporedne karakteriske nekih malicioznih programa Staska korisnike upotrebe lozinke Primer prorauna prozora poznah ranjivos Kriterijumi procene vrednos kriptološkog algoritma Vrednovanje kriptoloških algoritama za mehanizme zašte Mrežni protokoli sa poznam ranjivosma Kriptografski algoritmi za komunikaciju SSL protokolom Autenikacioni i autorizacioni protokoli Zbirne prednos instalacija NIDS na razliim lokacijama u RM unkcionalnos CA i RA Servisi i mehanizmi mrežne zašte Standardni povi bežinih mreža snovne karakteriske protokola zašte WLAN sistema Uporedne vrednos funkcija protokola zašte WLAN sistema
GLAVA II Tabela 1.1 Tabela 2.1 Tabela 2.2 Tabela 2.3 Tabela 2.4 Tabela 2.5 Tabela 2.6 Tabela 2.7 Tabela 2.8 Tabela 3.1 Tabela 3.2 Tabela 3.3 Tabela 4.1 Tabela 6.1 Tabela 7.1 Tabela 7.2 Tabela 8.1 Tabela 8.2
Glavni principi upravljanja rizikom Primer intuivne procene atributa A,V,T i relavnog rizika (Rr) Kriterijumi za odre ivanje težinskih faktora vrednos A Primer procene relevantnih faktora ranjivos (V) Primeri pova kombinovanih pretnji Proraun težinskih faktora za verovatnou pojave incidenta Kriterijumi za ponderisanje intenziteta potencijalnih pretnji Kriterijumi za odre ivanje težinskih faktora frekvencije incidenta Komponente za odre ivanje težinskih faktora ucaja rizika Glavni principi za razvoj polike zašte Bezbednosne kategroije upravljakog okvira sistema zašte Kapacite procesa upravljakog okvira po nivoima zrelos Ciljevi i metrike kontrole i revizije sistema zašte Standard stepena saniranja kljunih kategorija medija snovna podela zadataka u mu za upravljanje zaštom informacija Proširene uloge u mu za zaštu u praksi zašte Komparacija parametara sves o potrebi, obuke i obrazovanja u zaš Znanja i vešne lanova ma za zaštu informacija
Tabela 9.1
Tehnike verikacije za nivoe bezbednosne serkaciju
SŽJ
XV
UVOD
Produkvnost savremenih poslovnih sistema u najveoj meri zavisi od brzine donošenja odluka i kvaliteta upravljanja. dluivanje, a me i kvalitet upravljanja u potpunos zavise od kvaliteta informacija, koje procesiraju, skladište i prenose raunarski sistemi (RS) i raunarske mreže (RM). U ovom udžbeniku umesto uobiajenih skraenica IS (Informacioni sistem) ili IT (informacione tehnologije) korise se termin sistem informaciono komunikacionih tehnologija (IKTS), koji generiki ukljuuje sve atribute i aspekte bezbednos i zašte: sistemski pristup, informacione objekte (informacije, podatke, programe), tehnologije (mrežne, informacione, komunikacione, zašte) i ljude. Tako e, termin zašta informacija implicira zaštu IKTS u celini, pa se ova dva termina u udžbeniku koriste ravnopravno. U skladu sa objektno - orijensanim pristupom, od brojnih atributa informacija, kvalitet informacija u potpunos zavisi od skupa relavno nezavisnih atributa: poverljivos – da informacije nisu otkrivene neovlašenim korisnicima; integriteta – da informacije nisu neovlašeno izmenjene i raspoloživos – da su informacije dostupne legimnim korisnicima kada je to potrebno. Kvalitet procesiranih, skladištenih i prenošenih informacija u savremenim visoko distribuiranim i umreženim IKTS Internet pa, zavisi od funkcionalne pouzdanos i bezbednos sistema i njegovog okruženja, odnosno, od implemenranog sistema zašte. Na taj nain, pored kvaliteta hardvera i sovera, bezbednost IKTS postaje trei gradivni blok sistema kvaliteta poslovnih IKTS i poslovnih sistema u celini.
U O
XVII
Udžbenik Osnove zašte informacija, namenjen je studenma osnovnih studija, ali i korisnicima i menadžerima koji prvi put ulaze u problemaku zašte informacija. Mogu ga koris i profesionalci u zaš koji žele sistemazova i upotpuni svoja zna-nja iz ove široke, muldisciplinarne oblas. Glavni cilj pisanja ovog udžbenika je da se raznovrsna i obimna teorija, dostupna u brojnoj stranoj literaturi, strunim asopisima, preporukama, uputstvima, standardima i autorskim radovima na Internetu, sistemazuje, terminološki ujednai i deniše i što više približi korisnicima i menadžerima, koji po pravilu ne moraju bi tehniki obrazovani. Smanjenje kompleksnos terminologije zašte jedan je od strateških ciljeva teorije i prakse zašte. Time se posže vea razumljivost i korisnika prihvatljivost zašte. Metodološki, udžbenik je koncipiran u dve glave: Metodološko tehnološke osnove zašte IKTS i Upravljanje zaštom IKTS, sa ukupno osamnaest poglavlja. Svako poglavlje je koncipirano modularno sa uvodom, razradom razmatranog problema zašte, rezimeom (kratkim sadržajem), kljunim terminima i pitanjima za ponavljanje. Spisak korišene i šire literature dat je na kraju svake glave. Sa metodološkog aspekta, za obradu celokupne problemake zašte u zadatom okviru udžbenika korišeni su i razmatrani sledei kljuni koncep: 1. koncept terminologije zašte, kao jedan od glavnih ciljeva udžbenika, primenjen je u svakom poglavlju sa posebnim denisanjem kljunih termina na kraju poglavlja; 2. koncept strateškog (dugoronog) i takkog (kratkoronog) rešavanja problema bezbednos i zašte IKTS (planiranja i razvoja programa, plana i sistema zašte); 3. koncept reakvnih, tradicionalnih sistema zašte koji šte informacije i objekte IKTS od poznah pretnji i proakvnih sistema zašte koji šte informacije od poznah i nepoznah, promenljivih, kombinovanih pretnji; 4. koncept sistemskog i procesnog pristupa, kojim se denišu i idenkuju upravljaki, operavno - organizacioni i tehniki procesi i kontrole zašte. Sistemski i procesni pristup zaš znaajan je i zato što obezbe uje osnovu za dalji rad u ovoj oblas i omoguava projektanma IKTS i sistema zašte da lakše usklade razvoj životnih ciklusa IKTS i sistema zašte sa bolje denisanim procesima i metodima, što u praksi naješe nije sluaj (sistem zašte se uglavnom implemenra pri kraju ili posle razvoja životnog ciklusa IKTS); 5. koncept objektno orijensanog modelovanja ( M) IKTS kao objekta zašte i sistema zašte kao sredstava za zaštu, primenjen je u udžbeniku u cilju smanjenja kompleksnos IKTS i sistema zašte. pisana je primena M u oblas zašte i idenkovane su dve kljune grane objekata: grana objekata zašte – poverljivost, integritet i raspoloživost informacija i grana sredstava za zaštu (objekata za zaštu) – upravljake, operavne i tehnike kontrole zašte. Razmatrane su XVIII
O Š FOJ
primene i ostalih atributa M na oblast zašte: klase, objek, komponente objekta, kontejner, inkapsulacija, polimorzam, nasleivanje i dekompozicija. Primena koncepta M na oblast zašte ima višestruki znaaj, a posebno treba istai da se problemaka zašte na elegantan nain dovodi u fokus vlasnika i projektanata IKTS, koji sada mogu istom metodologijom blagovremeno uskladi razvoje životnih ciklusa IKTS i sistema zašte. Na kraju su razmatrani neki koncep nove paradigme zašte sevisno orijensanih web aplikacija – S A (Service Oriented Applicaon) i distribuiranog Internet raunarstva (Cloud Compung). U Glavi I denisani su i opisani u devet poglavlja: bezbednost, zašta, sistem zašte i opmalna zašta; opšte prihvaeni principi (GAISP, ECD, NIST), relevantni standardi (IS /IEC 27001/2/5; IS /IEC 21827 ili SSE CMM – System Security Engeneering Capability Maturity Model i dr.) i normavi zašte; metodologije i modeli sistema zašte; koncep kontrola i sistema reakvne i proakvne zašte; opš model servisa zašte; metriki sistemi zašte informacija; taksonomije pretnji i malicioznih programa; tehnologije za zaštu raunarskih sistema i tehnologije za zaštu raunarskih mreža. U Glavi II: Upravljanje zaštom informacionih sistema, u devet poglavlja detaljnije su razmatrane upravljake i operavne komponente zašte. Naime, u upravljakim i operavnim kontrolama zašte ljudski faktor je nezamenljiv i odluujui, a dobra praksa zašte potvrdila je da se najbolji rezulta u zaš posžu, ako se ove kontrole kombinuju i razvijaju i implemenraju jedinstveno. U teoriji i praksi zašte proces upravljanja sistemom zašte generalno je najslabije razvijen proces zašte. U tom smislu, posebno su razmatrani procesi: upravljanja sistemom zašte; upravljanja bezbednosnim i operavnim rizikom IKTS; upravljanje programom zašte; nadzor, kontrola i revizija sistema zašte; upravljanje kompjuterskim incidentom i vanrednim doga ajem; upravljanje ziko–tehnikom i personalnom zaštom; upravljanje obukom i obrazovanjem u zaš i evaluacijom kvaliteta sistema zašte (serkacijom i akreditacijom).
U O
XIX
Glava I
BEZBEDNOST INFORMACIONIH SISTEMA
1.
BEZBEDNOST I ZAŠTITA INFORMACIJA
1.1. UVOD Termini: bezbednost informacija ili informaciona bezbednost, primarno podrazumevaju bezbednost informacija i podataka u IKTS, a sekundarno - bezbednost objekata raunarskog sistema (RS) i raunarske mreže (RM), ime se posredno šte informacije. vakav pristup implicira da je krajnji cilj bezbednos i zašte – zašta informacija i podataka, koja se direktno ili posredno posže zaštom informacione imovine1. U stranoj literaturi se koriste razlii termini (eng. informaon security; rus.
; nem. Informaons–sicherheit), a u ovom udžbeniku se ravnopravno koriste termini bezbednost informacija i informaciona bezbednost, koji uvek impliciraju bezbednost informacione imovine u celini. Kljuni termini korišeni u ovom udžbeniku denisani su na kraju svakog poglavlja, sa namerom da se kompleksnost terminologije zašte informacija što više smanji i približi krajnjim korisnicima, a me poveaju korisnika prihvatljivost i svest o potrebi zašte. Bezbednost informacija od dinamiki promenljivih, kombinovanih pretnji, u nebezbednom Internet okruženju, obezbe uje sistem zašte. Da bi se denisao rentabilan sistem zašte, opisani su strukturni i objektno orijensani modeli. Glavni cilj je usmeri pažnju na upravljanje rizikom i izbor kontrola zašte za ublažavanje rizika. Kako je prol rizika specian za svaku organizaciju, primena standarda najbolje prakse zašte informacija ne daje uvek najbolje rezultate, pošto standard ne uzima u obzir specine prole rizika organizacija. Dakle, opmalni sistem zašte informacija znai rentabilan i adekvatan sistem zašte za dato poslovno okruženje, prol rizika i ukupne troškove zašte. 1
1
informaciona imovina – u IS /IEC 27001 obuhvata informacije, hardver, sover i ljude.
BO FOO
3
1.2. BEZBEDNOST INFORMACIJA 1.2.1. Definicije pojmova bezbednost i sigurnost inormacija U praksi zašte postoje brojne denicije bezbednos informacija, zavisno od nivoa apstrakcije. Na nivou države to je stanje zašenos nacionalnih interesa u informacionoj sferi, odreenih skupom linih, poslovnih i državnih interesa. Kako se bezbednost informacija obezbe uje zaštom, može se denisa i kao zašenost informacija od sluajnih ili namernih akvnos prirodnog ili veštakog karaktera, koje mogu nane neprihvatljivu štetu informacionoj imovini organizacije [21, 74, 61]. Bezbednost IKTS je objekvna mera stanja rizika ili stanja bezbednog, pouzdanog i neometanog funkcionisanja sistema, u odnosu na samog sebe i svoje okruženje. Sistem se smatra bezbednim, ako je zašen od ucaja faktora rizika. Sigurnost je sinonim bezbednos, a semanki predstavlja subjekvnu meru poverenja ili oseaja sigurnos da je sistem bezbedan. Bezbednost sistema zašte semanki najbliže odgovara znaenju engleskog termina Security Assurance (garantovana bezbednost). ba termina – bezbednost i poverenje, zasnivaju se na mehanizmu ljudske percepcije. IKTS se smatra objekvno bezbednim, ako je do odreenog stepena pouzdano poznato da zaista poseduje neka bezbednosno relevantna svojstva, koja nominalno poseduje, a siguran je ili poverljiv, ako se do odreenog stepena veruje da ima neka bezbednosno - relevantna svojstva koja nominalno poseduje. U oba sluaja termin do odreenog stepena indicira relavnost denicija ovih pojmova. U realnom okruženju, bezbednost IKTS je složen fenomen sa sociološko - kulturološkim i tehnološkim faktorima. Zato za ocenu nivoa bezbednosnog stanja IKTS treba ukljui sve ove aspekte. U opštem sluaju, ukupna bezbednost nekog složenog sistema obuhvata skup komponen bezbednos (B1, B2...Bn) (Sl. 1.1). Nivo ukupne bezbednos sistema – Bu raste sa porastom nivoa bezbednos njenih relavno nezavisnih bezbednosnih komponen, iji se skupovi negde presecaju, ali približno adivno dopriSl. 1.1. Nivo ukupne bezbednos u funkciji komponen nose porastu ukupne bezbednos bezbednos. U idealnom
4
O Š FOJ
sluaju, da je bezbednost determiniska veliina, ova bi zavisnost bila linearna funkcija. Me um, Bu je uvek nelinearna funkcija komponen bezbednos, zbog stohaske prirode kombinovanih, dinamiki promenljivih pretnji i neodre enos faktora rizika, koji uu na bezbednost [61]. Ukupna bezbednost složenog sistema – Bu, koja obuhvata sve komponente bezbednos (B1,...Bn), može se izrazi približnom relacijom: Bu
n
¦k j 1
j
Bj
gde su: j=1,2,...,n – komponente bezbednos, a k=1,2,...,kn – težinski faktori ucaja pojedinanih komponen bezbednos, koji razliito doprinose porastu Bu.
Najvei ucaj na Bu, npr. države, imaju najosetljivije komponente – državna, vojna, ekonomska i informaciona bezbednost. Kako se razvija informako društvo, u toj meri raste znaaj informaciono - kiberneke bezbednos2, odnosno – bezbednos informacija, koja prožima sve aspekte bezbednos. Uobiajeno se bezbednost raunarskih sistema (RS), mreža (RM) ili IKTS poistoveuje sa bezbednošu informacija, jer u savremenom informacionom društvu informacija postaje najvrednija imovina organizacije. snovna razlika izme u bezbednos informacija i bezbednos RS/RM/IKTS je u pristupu i metodologiji zašte. U objektno orijensanom pristupu, bezbednost informacija se odnosi na zaštu poverljivos, integriteta i raspoloživos – CIA (Condenciality, Integrity, Avialability) informacija, bez obzira na formu u kojoj se informacija nalazi, dok se bezbednost RS/RM/IKTS odnosi na zaštu CIA informacija koje se skladište, obra uju ili prenose u RS/RM [61]. Bezbednost informacija omoguava konnuitet poslovanja, smanjuje potencijalnu štetu, obezbe uje povratak invescije i unapre uje ukupno poslovanje. U tom smislu se bezbednost informacija može denisa kao odsustvo rizika za CIA informacija ili zašenost informacija od neovlašenog pristupa, upotrebe, otkrivanja, izmene ili uništenja informacija [6]. U praksi se bezbednost informacija naješe manifestuje u bezbednom radu bez otkaza RS, RM i Interneta, malicioznih programa i prisluškivanja; bezbednoj komunikaciji, kupovini i plaanju preko Interneta sa zaštom privatnos. Dakle, bezbednost informacija je ciklino ponovljiv proces stalnog održavanja zašenos informacija, kojeg je potrebno planira, implemenra, izvršava, održava i poboljšava, kroz uspostavljen sistem za upravljanja zaštom informacija – ISMS (Informaon Security Management System) [50].
2
Engl.: Cyberspace Informaon Security.
BO FOO
5
1.2.2. Funkcionalna zavisnost bezbednost – pretnje Bezbednost IKTS je stanje i konkretno - situacioni problem realnog okruženja, pa ne postoji univerzalno i nepromenljivo stanje bezbednos IKTS. Agen potencijalnih pretnji su izvršioci napada i uzroci nastanka faktora rizika. Rizik je procenjena mera ucaja pretnje na informacionu imovinu i osnovna kategorija analize bezbednos IKTS, a može se denisa kao verovatnoa da e agent pretnje iskoris neku ranjivost sistema i izazva negavne posledice za sistem i organizaciju u celini. Kako apsolutna bezbednos prakno ne postoji3, upravljanje bezbednos IKTS najbolje se objašnjava procesom upravljanja rizikom. U realnim uslovima, sa porastom pretnji poveavaju se rizici, a nivo ukupne bezbednos IKTS nelinearno opada, zbog stepena neodre enos ucaja faktora rizika (Sl. 1.2) [61]. Neka su B1, B2, ..., Bj, ...Bn bezbednosna stanja komponen bezbednos IKTS, procenjivana u prostoru i vremenu. unkcija nelinearne zavisnos komponen bezbednos – Bj od sto-haski promenljivih faktora rizika – Ri, može se približno izrazi relacijom: Sl. 1.2. Nivo ukupne bezbednos IKTS u funkciji pretnji n
Bj
¦ k B 1 R j
j
i
j 1
gde su: j=1,2,...,n – komponente bezbednos, k=1,2,…,n – težinski faktori ucaja pojedinanih komponen bezbednos, a Ri – procenjeni faktori rizika pojedinanih komponen bezbednos, i=1,2,...,n.
Denisanje bezbednosnog stanja IKTS, sa formalnim matemakim aparatom, nije lak zadatak, jer zahteva formalni opis IKTS i sistema zašte. Relacioni pristup sa me usobnim odnosima relavno nezavisnih skupova ukazuje na težinu ovog problema. Neka je ukupna bezbednost IKTS predstavljena skupom moguih bezbednosnih stanja svih komponen sistema zašte – S, u kojem bezbednosna stanja pojedinanih bezbednosnih komponen IKTS – si zavise od vrste, intenziteta i verovatnoe napada i ucaja iskorisvos ranjivos sistema sa kombinovanim, dinamiki promenljivim pretnjama, na IKTS i poslovanje. Ako se uzme da okruženje IKTS unosi faktor neodreenos u metriku 3
6
ako nisu na raspolaganju neogranieni resursi za zaštu, što je prakno neizvodljivo.
O Š FOJ
nivoa bezbednos IKTS i da je trenutno bezbednosno stanje okruženja sistema (Bso) = v, elemenat skupa svih moguih stanja Bso = V, tada se V može se denisa kao funkcija tri varijable [21]:
V
f ( S , A, F )
gde je: S – skup moguih bezbednosnih stanja svih komponen bezbednos sistema – si,, u kojem je idenkovan i denisan rizik i implemenran neki skup upravljakih, operavnih i tehnikih kontrola zašte koje smanjuju faktore rizika na prihvatljiv nivo; A – skup svih raspoloživih i novih proceduralnih kontrola zašte – ai, koje pomeraju sistem iz jednog u drugo (više) bezbednosno stanje; F – skup svih tehnikih kontrola komponen sistema zašte – fi, koje su implemenrane u specinim komponentama zašte IKTS – si, na tekuem nivou bezbednosnog stanja sa faktorom rizika na prihvatljivom nivou.
Zadatak specijaliste zašte je da deniše parove (fi,, Vj), koji ine bezbednosno stanje komponente zašte IKTS (si), prihvatljivim za organizaciju, što se može izrazi relacijom: si { f i , V j }, j
1, 2,..., n
1.2.3. Glavni aktori uticaja na bezbednosno stanje IKTS Na bezbednost IKTS uu brojni, manje oigledni faktori, od kojih su najznaajniji funkcionalni zahtevi poslovnih sistema (npr. e-poslovanje, cloud compung-CC), organizaciona struktura (npr. promena prava pristupa, zbog promene posla), tehnološki razvoj (npr. problem zašte u CC okruženju), polika zašte (npr. nedostatak upravljakog okvira na bazi polike za rešavanje tekuih problema zašte), svest o potrebi zašte (npr. implementacija tehnologije zašte bez procene rizika), kompleksnost i skalabilnost sistema (npr. kompleksnost IKTS otežava poszanje koherentnog sistema zašte), poverljivost i privatnost (npr. kompleksan problem prenosa poverenja u IKT okruženje) i dr. [74, 85, 35, 59, 63]. Kvalitetne i integrisane informacije, potrebne za odluivanje, postaju najznaajniji resurs svake organizacije i krini objekat zašte. Izvršni menadžeri rangiraju zaštu informacija sa 7,5 od 10, po znaaju za funkcionisanje IKTS [28]. Na kvalitet informacija ue niz atributa (tanost, blagovremenost, aktuelnost, pouzdanost, integritet, objekvnost, tajnost, raspoloživost i dr.), koji pojedinano mogu bi od relavnog znaaja za razliite poslovne sisteme. Sa porastom informazacije svih sfera života raste znaaj kvalitetnih informacija, koje u objektno orijensanom pristupu obezbe uje bezbedan IKTS. Zato se ukupan kvalitet poslovnih IKTS esto ilustruje trouglom stabilnos: hardver, sover, bezbednost.
BO FOO
7
injenica da je vrednost informacija funkcija vremena (informacija znaajna danas ne mora bi znaajna i sutra), presudno ue na nain zašte informacija. Na primer: informacije, koje obezbe uju komparavnu prednost za duži vremenski period, treba š jakim mehanizmima zašte (npr. kriptološkim). tuda i potreba za razvoj realnih metoda za procenu rizika, kompabilnih sa vremenskim okvirima i dinamikom savremenog e-poslovanja. Zbog esh organizacionih promena, pod ucajem brojnih ekonomskih i tehnoloških faktora, osnovni problem je kako obezbedi specijaliste zašte sa potrebnim znanjima i vešnama i izvršne menadžere, koji najbolje poznaju poslovne procese, idenkuju faktore rizika, odre uju prava pristupa, upravljaju sistemom zašte itd. Tehnološki razvoj pomera težište sa automazacije poslovanja na integraciju sistema i integrisano upravljanje kompleksnim upravljakim i inženjerskim procesima, što otežava administraciju zašte IKTS, koju je vrlo teško ili nemogue potpuno automazova i integrisa. Zato intervencija oveka u sistemu bezbednos informacija, ostaje nezamenljiv i krian faktor. Kompleksnost savremenih, heterogenih, visoko distribuiranih IKTS, glavni je problem za planiranje arhitekture sistema zašte, zbog teškoa idenkovanja i korekcije ranjivos. Razvojem veb servisa i aplikacija4, IKT i Internet umrežavanja, generisani su sasvim novi povi pretnji, koje zahtevaju razvoj novih modela, procesa i kontrola zašte. U veini organizacija procesi zašte su nedovoljno razvijeni i stabilni i aksiomatski zavise od predenisane polike zašte i procene izloženos faktorima rizika na bazi stakog okvira ISMS standarda5 za upravljanje zaštom, operavnih uputstava i tehnikih kontrola zašte. Relevantni standardi zašte idenkuju sva ogranienja sistema zašte, projektovanog na bazi predenisane polike zašte i sugeriše regularnu procenu rizika [48, 49, 50, 84]. vaj pristup podrazumeva da se procena rizika uzima kao primarni alat za donošenje odluka, što ne znai da upravljaki okvir na bazi polike zašte nije važan. Naprov, treba ga redovno koris, ali samo eše kontrolisa njegovu relevantnost u realnom kontekstu i na bazi procene rizika. Vei problem je nedostatak sves menadžera o potrebi procene rizika, koji eše implemenraju tehnologije zašte bez procene rizika, kao i krajnjih korisnika koji nedovoljno shvataju potrebu kontrole i posledice ucaja rizika na dnevne akvnos. orsiranje primene tehnikih rešenja zašte, može stvori iluzija da se rizik uspešno kontroliše i da bezbednost zavisi od primene sve novijih i novijih alata. Iako u zaš IKTS dominiraju tehnološka pitanja, treba izbegava projektovanje arhitekture sistema zašte samo na bazi tehnologije i standarda najbolje prakse zašte. Racionalan pristup obezbe uje samo razumevanje realnog rizika i njegovog relavnog znaaja za organizaciju. Na praksu zašte IKTS, glavni ucaj imaju: kompleksnost, skalabilnost, poverljivost i privatnost. Kompleksnost zahteva duboko razumevanje principa funkcionisanja IKTS, da bi se implemenrao koherentan sistem zašte. Zahtev za skalabilnost (nadogradi4 5
8
S A, mrežno raunarstvo (Greed Compung), distribuirano Internet raunarstvo (Cloud Compung) Standard IS /IEC 27001
O Š FOJ
vost) raste uporedo sa porastom kompleksnos, distribuiranos i umrežavanja IKTS, što automatski zahteva analizu modularnos i mogunos integracije. Poverljivost i privatnost su dva kljuna pitanja koja dramano rastu sa poveavanjem broja umreženih aplikacija i primene IKTS, servisa i aplikacija. Modeli autenkacije (verikacije identeta) postali su tehniki najkompleksnija oblast zašte savremenih IKTS u Internet okruženju, pošto su jedini mehanizmi koji mogu reši istovremeno probleme uzajamnog poverenja i zašte privatnos korisnika. Zahtevi za zaštom privatnos i poverljivos linih podataka rastu uporedo sa lakoom sa kojom se elektronske informacije mogu skladiš, prenosi, menja i distribuira. U veini zemalja u svetu done su zakoni za zaštu privatnos linih podataka u elektronskom okruženju, dok se pristup ovom problemu bitno razlikuje od zemlje do zemlje [75, 76, 77]. U sekciji Osam izveštaja privremenog komiteta evropskog parlamenta navodi se da: „Svaki akt koji ukljuuje intercepciju komunikacija i ak snimanje podataka od strane obaveštajnih službi za obaveštajne namene, predstavlja ozbiljno kršenje line privatnos”. Me um, porast terorizma u svetu i kompjuterskog kriminala nameu potrebu da se izbalansiraju prava zašte privatnos i potrebe država da imaju pristup svim informacijama i podacima. Generalno, bezbednost realnog IKTS zavisi od sledea eri faktora: šta sistem treba da radi (specikacija/polika), kako to radi (implementacija/mehanizmi zašte), da li stvarno to radi (tanost/garantovana bezbednost) i može li sistem prežive sofoscirane napadae (ljudska priroda)6. Na primer, krajem 2010. godine dnevno se na Internetu generisalo oko 40.000 novih, sosciranih pova pretnji, od koji preko 40% promeni svoju deniciju u prva 24 asa7. državanje stanja bezbednos IKTS, u nebezbednom okruženju, treba da bude stabilan proces. U praksi to se stanje bezbednos održava na prihvatljivom nivou rizika sa implemenranim upravljakim (U), organizacionim (O) i tehnikim (T) kontrolama zašte [100].
1.3. OPŠTA DEFINICIJA SISTEMA ZAŠTITE Zahtevana bezbednost informacija i IKTS ostvaruje se (pod)sistemom zašte. U objektno - orijensanom pristupu, sistem zašte je organizovan i koherentan skup U, O i T kontrola zašte i njihovih veza i ogranienja, primenjenih na IKTS, da bi se zašla raspoloživost, poverljivost i integritet (ukljuujui neporecivost i autenkaciju), procesiranih, uskladištenih i prenošenih podataka i informacija i održao ili poveao nivo bezbednos i pouzdanos funkcionisanja IKTS u izvršavanju poslovnih ciljeva i misije organizacije. va denicija nedvosmisleno implicira da sistem zašte IKTS nije sam sebi cilj, nego da je u funkciji pouzdanog funkcionisanja IKTS u izvršavanju poslovnih ciljeva i misije organizacije. 6 7
Stamp, M., Informaon Security: Principles and Pracce, ohnWiley & Sons, Inc. 2006. The Help Net Security News, 17. novembar 2010.
BO FOO
9
Za analizu i razvoj sistema zašte najbolje rezultate daju metodologija sistem inženjerske analize, objektno - orijensano modelovanje ( M) i procesni pristup, ija je glavna prednost smanjivanje kompleksnos [21]. Prva faza razvoja sistema zašte je denisanje modela IKTS i odre ivanje objekata koje treba š, na bazi procene rizika. Racionalno je razvija sistem zašte za životni ciklus IKTS. U pristupu zaš informacija, glavni cilj je fokusira pažnju na procenu rizika i izbor kontrola zašte za ublažavanje tog rizika na prihvatljiv nivo. Kako je prol rizika specian za svaku organizaciju, primena standarda najbolje prakse zašte8 nije uvek adekvatna, pošto ne uzimaju u obzir razliite prole rizika. Drugim reima, opmalni sistem zašte informacija ne znai obavezno najviši nivo zašte, kojeg podrazumeva standard najbolje prakse zašte, nego – rentabilan, ekonomski i funkcionalno opravdan sistem zašte za dato poslovno okruženje, prol rizika i ukupne troškove zašte. Kako je IKTS bezbedan, ako je adekvatno zašen, bezbednost IKTS – BIS je bezbednosna funkcija sistema zašte – Sz, tj:
BIS
f (Sz )
Bezbednost IKTS se dovoljno dobro može denisa i skupom atributa vektora zašte, gde je: intenzitet zašte (dužina vektora)–Isz, kvalitet zašte (pravac vektora) – Ksz i sveobuhvatnost (višeslojnost i raznovrsnost) kontrola zašte (smer vektora zašte) – Ssz, pa je: BIS = f(Sz) = f(Isz U Ksz U Ssz) Atribu vektora zašte su u konjukvnoj vezi, pa sledi da e IKTS bi bolje zašen, ako je vea unija atributa, odnosno što je sistem zašte koherentniji. 1.3.1. Osnovne unkcionalnosti sistema zaštite snovne funkcionalnos sistema zašte izvršavaju se kroz servise, mehanizme, kontrole i funkcije zašte ili bezbednosne funkcije. unkcije zašte se izvršavaju mehanizmima i protokolima zašte, koji u logikom smislu predstavljaju nain realizacije servisa zašte [63, 74, 83]. Servisi zašte su logike aplikacione jedinice, koje se izvršavaju kroz razliite akcije, kao što su metodi za implementaciju operacija kontrola zašte, funkcionisanje ili transformisanje bezbednosnih funkcija, implementacija skupa polika zašte, rukovanje mehanizmima zašte, ažuriranje, dodavanje, modikacija sa novim rešenjima zašte itd. Servis zašte je proces ili neprekidna, ponovljiva akvnost, izvršena funkcijama mehanizama i protokola zašte. Korisnike ne zanima kako su servisi zašte implemenrani, ve da li mogu da izvrše željenu akciju. Na primer: zašta tajnos informacija u komunikacionom kanalu je servis zašte u IKTS, a algoritamska kriptografska transformacija sadržaja informacija je mehanizam za realizaciju tog servisa zašte. 8
10
NIST SP 53 A, B, C; IS v.4.0; IS /IEC 27000 serija, IS /IEC 21827 (SSE CMM) itd.
O Š FOJ
Mehanizmi i protokoli zašte su individualni algoritmi, hardversko-soverski moduli ili metodi za izvršavanje bezbednosnih funkcija. Neki mehanizmi zašte su za jedan, a neki za više razliih servisa (npr. kriptografski mehanizmi). Za realizaciju mehanizma zašte, potrebno je obezbedi odre ene kontrolne strukture, koje mogu bi upravljake, operavne i tehnike, a uobiajeno se nazivaju kontrole zašte. Kontrola zašte IKTS je konana klasikacija mehanizama zašte i interfejs izme u mehanizma i oveka. Kontrola zašte može bi tehnika povratna sprega (npr. alarmni signal generisan na izlazu IDPS), bezbednosna funkcija arhitekture sistema zašte, organizaciono-operavna mera (npr. barijere za ziki pristup) i upravljako–administravna mera (npr. primenjen standard). Termin kontrola zašte, tako e, implicira sušnsku potrebu neprekidnog nadzora i kontrolisanja sistema zašte i uspešno zamenjuje tradicionalne termine: administravnih, organizacionih i hardversko soverskih mera i metoda zašte [33]. 1.3.2. Inormacioni sistem kao objekat zaštite snovno strukturno obeležje savremenih IKTS je teritorijalna distribucija RM u intenzivnoj komunikaciji sa RS, kao osnovnom tehnikom komponentom. Smanjenje kompleksnos posže se uvo enjem grana objekata [21, 61]: informacione imovine: poverljivost (C), integritet (I) i raspoloživost (A) ili CIA9, ime se struktuiraju objek koje treba š, tj. bezbednosni ciljevi i mera i sredstava zašte: proceduralne (U, ) i tehnike (T) kontrole zašte, ime se struktuiraju ala za zaštu. U objektno orijensanom pristupu zašta informacija podrazumeva zaštu informacione imovine: iste, zike i humane (tabela T.1.1) [50, 51]. Tabela 1.1 Klasikacija informacione imovine ista informaciona imovina Digitalni podaci i informacije
personalne, nansijske, zakonske, istraživanje i razvoj, strateške i komercijalne, e-pošte, voice-mail, baze podataka, lini i deljeni folder, backup mediji – trake/CD/ DVD i digitalna arhiva, šifarski kljuevi, lozinke
pipljiva informaciona imovina
personalna, nansijska, zakonska, istraživanje i razvoj, strateške i komercijalne, poštanske pošiljke, faksovi, mikroš i drugi bekap/arhivni materijali, kljuevi skladišta medija, žurnala, magacina, knjiga
Neopipljiva inf. imovina
znanje, poslovni odnosi, trgovake tajne, licence, paten, iskustva, brend, reputacija, poverenje, konkurentnost, eka, produkvnost
Aplikavni program
razvijeni u korporaciji/kastomizovani sistemi, klijentski program (ukljuujui deljene i za krajnje korisnike), komercijalno raspoloživi sover, ERP sistemi, MIS (managament IS), baze podataka, uslužni programi/ala, aplikacije za e-poslovanje, midleware
Sistemski program
za servere, desktop raunare, mainframe raunare, mrežne ure aje, prirune i ugra ene raunare (ukljuujui bios rom i druge rmware (nastavak na sledeoj strani)
9
Engl.: CIA – Condenality, Integrity and Availability (poverljivost, integritet i raspoloživost)
BO FOO
11
Fizika informaciona imovina Infrastruktura za podršku IKTS
zgrada u kojoj su smešteni: IKTS, centar za obradu podataka, serverske/raunarske sobe, kancelarije, kabina za umrežavanje LAN mreže, kabine za držanje fascikli dokumenata, sobe i sefovi za uvanje EM i opkih diskova, ure aji za idenkaciju i autenkaciju medija/ kontrolu pristupa (karni sistemi za pristup, tokeni, smart karce itd.) i drugi ure aji za tehniku zaštu (CCTV, provprovalni sistemi itd.)
Kontrole okruženja IKTS
provpožarni alarmi/sistemi za gašenje požara/provpožarni apara, jedinice za neprekidno napajanje (UPSS), mrežno napajanje, mrežni transformatori/lteri/atenuatori, klima ure aji/venlacioni sistemi za provetravanje, alarmni sistemi za poplavu
Hardver IKTS
ure aji za raunanje i skladištenje (desktop PC, radne stanice, laptop, priruni raunari, serveri, mainframes, modemi i linijski terminatori, komunikacioni ure aji, (mrežni vorovi), printeri/kopir/fax mašine itd.
Imovina IKTS
autenkacioni servisi i administravni procesi za upravljanje prolom korisnika, hiperlinkovi (brauzeri), rewalls, proxy serveri, mrežni servisi, bežini servisi, an–spam/ virus/spyware, IDPS, servisi za telerad, servisi zašte, TP, e–mail, web servisi, ugovori za podršku i održavanje.
Humana informaciona imovina Zaposleni
zaposleno osoblje, glavni/izvršni menadžeri, dizajneri/programeri/ evaluatori programa, menadžer i administrator zašte, operateri, pravnici, korisnici sa najveim privilegijama, LAN i administratori zašte.
Ne-zaposleni
privremeno zaposleni, spoljni konsultan/specijalis savetnici, specijalis po ugovoru, snabdevai, poslovni partneri
snovni bezbednosni zahtevi za sistem zašte informacija su spreavanje: ugrožavanja bezbednos linos, organizacija i države; krae, pronevere, gubitaka i izmene informacija; neovlašenih akvnos u IKTS; povreda intelektualne svojine, privatnos i poverljivos linih i poslovnih podataka u skladu sa Zakonom o zaš podataka o linos 10 i Zakonom o zaš tajnos podataka. Sistem zašte informacija je podsistem IKTS i postaje najvažnija komponenta razvoja savremenih IKTS, svih pova i namena; integriše se u IKTS kroz opšte funkcionalne komponente sistema ili dodatne komponente i posebne kanale, koji spajaju elemente jednog sistema sa drugim. Normalno, IKTS se uglavnom zasnivaju na standardnim hardversko–soverskim proizvodima. Mehanizmi i protokoli zašte, koji za svoj rad koriste funkcije IKTS, u velikoj meri zasnivaju se na tehnikoj pouzdanos IKTS. Standardi zašte preporuuju da se sistem zašte projektuje paralelno i u toku razvoja prve faze životnog ciklusa, a implemenra u fazi implementacije samog IKTS, za sve faze životnog ciklusa IKTS. U procesima denisanja bezbednosnih ciljeva, planiranja i projektovanja sistema zašte, u prvom koraku treba razmatra bezbednosno relevantne komponente IKTS: mrežnu arhitekturu, topologiju, infrastrukturu, protokole, servise, plaorme i aplikavne programe (Tabela 1.2) [21]. 10
12
U Republici Srbiji stupio na snagu 01.01.2009.
O Š FOJ
Tabela 1.2. Relevantni aspek zašte IKTS Aspek zašte
Objek zašte za analizu
Kljune karakteriske IKTS
vrsta komunikacionih veza i ure aja i procesi upravljanja, kompleksnost formalnog opisa IKTS, raznorodnost i prostorna distribucija komponen IKTS, vrste prezentacije servisa, upravljanje procesima i umrežavanje uspostavljanje veze, predaja podataka, obrada podataka udaljenim pristupom, prenos datoteka, e-pošta, pristup distribuiranim bazama i dr.
Servisi IKTS
ukupan broj veza – potencijalna sposobnost uspostavljanja me usobnih veza korisnika i distribuiranih objekata sistema vremenska karakteriska – brzina isporuke servisa korisnicima na bazi srednjeg vremena pristupa (zavisi od veliine, udaljenos i optereenja) Kvalitet IKTS servisa
srednje vreme isporuke servisa – vreme utrošeno na obradu zahteva korisnika u nekom režimu rada sistema pouzdanost servisa – verovatnoa rada sistema bez otkaza vernost prenosa, pohranjivanja i integriteta informacija, odre ena brojem sistemskih grešaka i pristupnih taaka informacijama i podacima
1.3.3. Generiki, funkcionalni model sistema zašte Za razumevanje mesta i uloge sistema zašte IKTS, od velike koris je generiki model sistema zašte (Sl. 1.3).
Sl. 1.3. Generiki model sistema zašte i me usobni odnosi komponen BO FOO
13
Vlasnik IKTS uspostavlja vrednos informacione imovine i odgovoran je za njenu zaštu. Agent pretnje je izvršilac potencijalne pretnje i uvek radi prov interesa vlasnika sistema. Sistem zašte š objekte informacione imovine od pretnji – pino malicioznih programa i namernih internih i eksternih napada, koje ugrožavaju poverljivost, integritet i raspoloživost objekata informacione imovine. Vlasnik, u proceni rizika, analizira mogue pretnje i procenjuje, koja od njih je primenljiva u okruženju; procenjuje ranjivos sistema, iskorisvost te ranjivos sa jednom ili više pretnji i verovatnou ucaja na poslovanje. Rezulta analize su rizici. Analiza i procena rizika ukljuuje izbor razliih kontrola zašte za ublažavanje rizika na prihvatljiv nivo, smanjenjem ranjivos i izloženos u skladu sa zahtevima polike zašte vlasnika. Posle implementacije kontrola zašte, agen pretnji mogu iskoris preostale ranjivos, što predstavlja preostali rizik na prihvatljivom nivou, kojeg vlasnik u neprekidnom (ciklinom) procesu zašte uvek nastoji smanji svim raspoloživim kontrolama zašte. Vlasnik mora bi uveren da su primenjene kontrole zašte adekvatne za ublažavanje faktora rizika, pre nego što dozvoli izlaganje IKTS – idenkovanim pretnjama. U tom cilju, vlasnik može traži evaluaciju – internu i spoljnu reviziju (audit) ili serkaciju i akreditaciju (tesranje i odobrenje za rad) IKTS i sistema zašte. Izlaz procesa evaluacije je izjava o akreditatciji (na bazi rezultata serkacije) da e zaštne mere smanji faktore rizika na prihvatljiv nivo. Na osnovu rezultata evaluacije vlasnik odluuje da li e prihva preostali rizik ili ne, što dokazuje potpisivanjem dokumenta S A (Statement of Applicability) [12, 51].
1.3.4. Definisanje optimalnog sistema zaštite Namena programa zašte informacija je da idenkuje bezbednosne ciljeve i razvije, implemenra i održava opmalan (ekonomski rentabilan i funkcionalno efekvan) sistem zašte. Neki IKTS je opmalno zašen, ako ima izbalansirane efekvnos kontrola zašte i troškove njihove akvizicije/razvoja, odnosno, kada su troškovi kontrola zašte potpuno izjednaeni sa procenjenim gubicima [4]. U zavisnos od odnosa strategije zašte i postavljenih bezbednosnih ciljeva, mogua su dva pristupa sintezi opmalnog sistema zašte [21]:
Primarni: za da nivo troškova zašte – Trz obezbedi maksimalno mogui intenzitet vektora zašte – I (s) =>Imax, gde je s – izabrana strategija zašte; Sekundarni: obezbedi željene rezultate intenziteta vektora zašte I(s) > Idopušteni, pri minimalno moguim troškovima zašte – Ttrmin
14
O Š FOJ
Pod efekvnošu kontrole zašte informacija podrazumeva se ekasnost i efekvnost u akvnoj zaš poverljivos, integriteta i raspoloživos informacija u operacijama obrade, skladištenja i prenosa. cena efekvnos procesa zašte odnosi se na sposobnost kontrole zašte da reši zadatak zašte. U procesu sinteze opmalnog sistema zašte, poetne akvnos su izbor matemaki produkvnog kriterijuma opmalnos, u skladu sa arhitekturom sistema zašte, tehnologijom obrade informacija i preciznom matemakom formulacijom zadatka, uzimajui u obzir sve apriorne zakljuke i dopuštena rešenja u skladu sa primarnim kriterijumima. Za sintezu opmalnog sistema zašte treba ima gotova rešenja za arhitekturu sistema zašte i ocenu kvaliteta njenog funkcionisanja, ocenu osetljivos modela razvoja u odnosu na apriorne podatke i ziku realizaciju integrisanog sistema zašte u IKTS. Izbor vektora efekvnos kontrole zašte – I(s) zavisi i od izbora strategije zašte – s, koja se odre uje iz skupa strategija zašte – S. U opštem sluaju ta zavisnost se izražava relacijom transformacije–Y skupa moguih strategija – S u skup indikatora efekvnos – I [21]:
Y :S o I Uvo enje indikatora efekvnos – I zahteva takvo odre ivanje kriterijuma efekvnos, koji omoguavaju izbor strategije iz skupa dostupnih. Pri tome, neophodno je uze u obzir da teoretske osnove za formiranje opmalnih sistema zašte nisu dovoljno usavršene. Za sintezu opmalnih sistema, osim nedostatka dovoljno tane opšte teorije za formiranje metodoloških osnova za fenomene sa faktorima neodre enos, nije primenljiva ni klasina staska teorija. Pod metodologijom opmizacije sistema zašte informacija podrazumeva se razvijena teorija zašte, koja povezuje strukturu sistema zašte, logiku organizaciju i kontrole zašte u cilju formiranja bezbednosnih funkcija za izbor i izdvajanje podskupa najboljih strategija zašte. Opmalno rešenje zašte je ono, koje u dam uslovima na najbolji nain zadovoljava sve uslove razmatranog zadatka, a posže se putem najracionalnije raspodele resursa utrošenih na rešavanje zadataka zašte [21]. U procesu uspostavljanja opmalnog sistema zašte potrebno je vrši korekciju zahteva, zbog faktora neodre enos ponašanja, funkcionalnos ili ciljeva zašte. snovni nedostaci opmizacije sistema zašte odnose se na matemaku složenost rešavanja opmalnog sistema, težinu programiranja algoritma opmizacije, neprihvatljivo veliko vreme automatske opmizacije i zavisnost kvaliteta opmalnog sistema od tanos izvornih ovlašenja i karaktera promena upravljanog objekta zašte. Generalno, opmalni sistem zašte dobije se u taki izme u potpune bezbednos i ne–bezbednos, uz ostvarivanje maksimalnog prota (Sl. 1.4) [4].
BO FOO
15
Sl. 1.4. pmalni sistem zašte informacija Sa porastom troškova akvizicije/razvoja sistema zašte, raste i nivo bezbednos IKTS, ali opada potencijalni prot organizacije zbog troškova sistema zašte. Zato ne treba teži sve veem i veem nivou zašte po svaku cenu. 1.3.5. Promena paradigme zaštite IKTS i inormacija U zaš IKTS bazina su dva principa: po dubini, implementacija serije nezavisnih mehanizama zašte za spreavanje kompromitacije sistema, probojem nekog sloj i primarna zašta najvrednije imovine, alokacija resursa organizacije za zaštu najvrednije informacione imovine – informacija. va dva principa su tradicionalno graki prikazivana sa prstenovima zašte ili tzv. slojevima luka, koji višekratno preklapaju jezgro. Savremeni razvoj S A11 web aplikacija, virtuelizacija klijentske i serverske strane i razvoj distribuiranog Internet raunarstva – CC (Cloud Compung), kao i neki drugi faktori, zahtevaju promenu klasine paradigme zašte, bazirane na ova dva principa. Savremene organizacije sve više diverzikuju lanac vrednos, u kojem uestvuju razliite organizacije, koje igraju jednako znaajne uloge. Sa aspekta zašte IKTS, to znai da e neki slojevi zašte bi efekvni, samo ako se implemenraju u svim organizacijama koje uestvuju u distribuiranom lancu vrednos. 11
16
Engl.: S A (Service Oriented Applicaon) – servisno orijensane web aplikacije.
O Š FOJ
Ekonomske i nansijske krize su uzrok velikog broja nezaposlenih i esh promena posla širom sveta, pa nezadovoljni, veš profesionalci sa administravnim privilegijama i slabim ekim principima, mogu predstavlja ozbiljne pretnje za savremene IKTS (npr. izbrisa, modikova ili proda–vredne podatke). Gubitak granica organizacije i postojanje ozbiljnih internih pretnji, menjaju paradigmu zašte od slojeva luka na prsten slojeva luka ili distribuiranu slojevitu zaštu po dubini. U ovim uslovima organizacije moraju implemenra takav sistem zašte, koji je otporan na interne pretnje i obezbe uje poslovanje, ak i kada je probijen. Virtualizacija klijentske i serverske strane smanjuje vreme i resurse, potrebne za uvo enje novih sistema u organizaciju. Tako e, stariji sistemi mogu bi virtuelizovani. Sa aspekta bezbednos, otvoreno je novo polje za istraživanje adekvatnih mehanizama zašte hipervizora u konguraciji virtuelne mašinske introspekcije (VMR), koji bi spreili nedozvoljenu komunikaciju izme u virtuelnih mašina (VM). Veoma brzo, zašta informacija u virtuelnom okruženju CC postae sve znaajnija oblast za istraživanje i razvoj. Za iznajmljivanje sovera kao servisa (SasS), hardvera (HasS) ili infrastrukture (IasS), potrebno je samo da se klijent, preko Interneta, poveže sa poslovnom aplikacijom provajdera CC usluga. Rad u CC nudi brojne prednos za organizaciju, ali nosi i nove probleme zašte, kao što su12: kako zaš podatke organizacije u CC i koje servise za zaštu CIA informacija treba da obezbede klijen, a koje provajderi CC itd. Evolucija mobilnih telefona, od prostog telefona sa nekim funkcionalnosma PDA (Personal Digital Assistant) do ure aja, koji je po funkcionalnos bliži personalnom raunaru, nego bazinom telefonu. Razvoj mobilne telefonije je uneo dodatnu kompleksnost u oblast zašte, jer zahteva sline mehanizme zašte, kao za desktop, laptop i prirune raunare (AVP, personalna barijera i ažuriranje sovera). Upotreba digitalnih RS i RM za izvršavanje krivinih dela, kao što su prevare, uznemiravanja, distribucija ilegalne pornograje i kra a intelektualne imovine i identeta, postala je surova realnost. Kada se dogodi glavni kompjuterski incident, organizacija u prvom koraku pokušava utvrdi prirodu incidenta i veliinu štete, svojim kapacitema za upravljanje kompjuterskim incidentom. Kad sluaj prevazilazi nadležnos organizacije, incident se prijavljuje zvaninim organima istrage. U oba sluaja poinje istraga kompjuterskog incidenta/kriminala, koja ukljuuje ispivanje digitalnih dokaza. Profesionalci, specijalizovani za digitalnu forenziku istragu su nezamenljivi u ovom poslu. Kako se poveava broj digitalnih ure aja, sve više raste znaaj dnevnika rada (log datoteka) svih h ure aja, zbog potrebe praenja bezbednosno relevantnih doga aja. Za pregled i reviziju obimnih podataka u brojnim log datotekama, potrebni su neprihvatljivo veliki resursi. Zato je automazovana analiza log datoteka na bezbednosno relevantne doga aje, od velikog znaaja za nadzor sistema zašte savremenih IKTS. Sveobuhvatni pristup proveri i reviziji svih distribuiranih log datoteka nije mogu, pa je dobro rešenje centralizovano skupljanje svih log podataka u log server. Akvna, selekvna analiza bezbednosno-relevantnih dogaaja u log serveru, na bazi specinog poznavanja realnih pretnji, koje pogaaju krine poslovne procese, postaje klju za ranu detekciju incidenta. 12
Grubor, G., Njeguš, A., Paradigma zašte distribuiranog raunarstva, Singergija 10, 2010.
BO FOO
17
U novom e-okruženju, organizacije moraju generiku metodologiju za upravljanje rizikom dopuni sa agilnijim tehnikama, zasnovanim na injenicama, dobijenim mikoranalizom rizika, umesto scenarija rizika na makro planu. To znai da upravljanje rizikom mora posta obavezan deo poslovnog odluivanja, na bazi realnih, lokalnih i specinih pretnji, ranjivos i ucaja na poslovne procese. Digitalno okruženje postaje znaajan front u savremenom ratovanju, a u budunos njegov znaaj e još više poras. Više armija u svetu (preko 120) dizajnira, implemenra, tesra i uvodi defanzivne i ofanzivne alate za scenario kiber ratovanja. Poznato je da se prakno vode kiber ratovi izme u Indije i Pakistana, Rusije i Gruzije, Izraela i Palesne, a Kina sama ve je angažovala više od 10.000 specijalista za kiber ratovanje.13 Upravljanje rizikom na mikro nivou, obezbe uje tehnike koje su primenljive i za detekciju malicioznih programa. U toku je razvoj novih alata kao što su šire dostupne kriptografske tehnike i tehnologije višeslojne mrežne zašte (distribuirane barijere, sistemi za detekciju i spreavanje upada – IDPS (Intrusion Detecon and Protecon Systems), distribuirani sistemi za monitoring i kontrolu saobraaja (skeneri, veb lteri), sistemi za centralno upravljanje zaštom preko zašenih veza, proakvni sistemi zašte od poznah i nepoznah pretnji, objektno orijensani i procesni pristup za smanjenje kompleksnos zašte, programi koji obezbe uju servise zašte na heterogenim plaormama itd. Za zaštu korisnikih informacija u web i CC okruženju, nije dovoljno samo implemenra tradicionalne mehanizme zašte, nego ih je potrebno ugra iva u distribuirane hardverske ure aje i sover u fazi njihovog razvoja i proizvodnje. Na nekoliko univerziteta u svetu, u toku su istraživanja kolonije tzv. digitalnih mrava, koji u svemu podražavaju prirodne mrave. Specina grupa digitalnih mrava programira se za jednu vrstu malicioznog programa, na koji se nakon detekcije fokusiraju i alarmiraju administratora za nadzor sistema zašte. 1.3.6. Opšti metod implementacije sistema zaštite Glavni cilj svakog sistema zašte je da obezbedi ekasno upravljanje rizikom. dnosno, rizik nije mogue redukova ako sistem zašte nije implemenran i integrisan u IKTS za podršku poslovnih procesa. dgovornost za to imaju svi zaposleni i menadžment organizacije, koji mora imenova odgovarajua lica za koordinaciju i nadgledanje procesa realizacije sistema zašte. va lica moraju bi sposobna da idenkuju interne i eksterne faktore rizika za CIA podataka i informacija, ukljuujui i rizik od nedovoljne i nekvalitetne obuke u oblas zašte. U praksi zašte, izme u više raspoloživih, naješe se primenjuju dva metoda za implementaciju sistema zašte [68,69]: 1. sveobuhvatno ublažavanje ukupnog rizika na prihvatljivi nivo i 2. proces 4–fazne tranzicije iz jednog u drugo bezbednosno stanje. 13
18
EC, Workshop on Informaon security, INRA 42589, Hotel umadija, Beograd, 4-5.10.2010
O Š FOJ
Smanjenje ukupnog rizika, za sve objekte IKTS, na prihvatljiv nivo, dugoroan je i zahtevan proces, koji podrazumeva sveobuhvatan, sistemski pristup i smanjenje svih faktora rizika, implementacijom adekvatnih i rentabilnih kontrola zašte. Umesto istovremene zašte svih objekta IKTS od svake iskorisve ranjivos, preporuuje se alternavni metod 4–fazne tranzicije IKTS iz jednog u više bezbednosno stanje. Polazi se od zašte najkrinijih objekata IKTS. Pregled opšh faza implementacije sistema zašte za ublažavanje faktora rizika, u zavisnos od krinos objekata koje ugrožavaju, dat je u tabeli 1.3 [69]. Tabela 1.3. aze implementacije sistema zašte Faza
Krini objek za misiju
Krini objek
Primarni objek
Opš objek
1.
20 glavnih faktora rizika–R
0
0
0
2.
50 glavnih faktora rizika
20 glavnih R
0
0
3.
100 glavnih faktora rizika
50 glavnih R
20 glavnih R
0
4.
200 glavnih faktora rizika
100 glavnih R
50 glavnih R
20 glavnih R
U 1. fazi šte se objek krini za misiju organizacije i ublažava 20 glavnih faktora rizika, ako procena rizika obuhvata ukupno 200 faktora rizika. vaj korak brzo daje rezultate i omoguava zaposlenim da prihvate proces proakvne zašte. U 2. fazi proširuje se sistem zašte na sledeih 50 faktora rizika, krina za poslove organizacije. Proces progresivno raste u skladu sa sazrevanjem kapaciteta zašte organizacije, obezbe ujui sve dublje nivoe zašte RM, RS i aplikacija. Na ovom konceptu zasnivaju se metodi evaluacije ranjivos, operavno krinih pretnji i informacione imovine – OCTAVE (Operaonally Crical, Threat, Asset, and Vulnerability Evaluaon) [68] i brze analize rizika – BAR [74]. CTAVE omoguava da interni m idenkuje faktore rizika za najkrinije objekte IKTS i izgradi plan zašte za ublažavanje h faktora rizika. BAR analiza rizika se vrši na pojednostavljenoj arhitekturi IKTS, gde se objek sa ism ili slinim bezbednosnim ciljevima, grupišu u bezbednosne zone. U prvom koraku se ignorišu svi postojei servisi zašte, pošto ih proces BAR analize sam derivira. Skup rezultata BAR analize prikazuje se tabelarno u matrici faktora rizika, za svaku denisanu bezbednosnu zonu. BAR analizu rizika vrši m izvršnih menadžera sa specijalistom zašte, koji vodi sastanke i poznaje proces. U svakoj metodi ublažavanja rizika osnovno pitanje je: kako prepozna glavne faktore rizika? Za neke poslovne sisteme, mogue je za procenu ranjivos sistema i primenu bezbednosnih popravki koris servis poverljivog provajdera zašte – TTPS (Trusted Third Party Service) [11], koji pra pretnje na Internetu i dostavlja klijenma informacije o novim pretnjama ili aplicira bezbednosne popravke. Me um, korišenje usluga TTPS predstavlja znaajan faktor nepoverenja korisnika i nije primenljivo za mnoge sisteme, zbog zakonskih i drugih ogranienja.
BO FOO
19
Proces implementacije sistema zašte može se razlikova u odre enim akvnosma, za razliite ciljeve i okruženja organizacija. Generiki tok procesa implementacije sistema zašte odvija se u eri faze [15]: 1. priprema (denisanje obima i granica projekta, izbor ma); 2. idenkovanje bezbednosnih faktora rizika; 3. revizija ekasnos kontrola (sistema) zašte i preporuke za izmene i 4. integracija i prilagoavanje sistema zašte u skladu sa nalazima revizije. Svaki proces implementacije sistema zašte treba da obuhvata najmanje tri jasno diferencirane i obavezne komponente [1]: (1) obuku zaposlenih, (2) nadzor kontrolu i reviziju usaglašenos i (3) nametanje obaveze sprovoenja polike zašte. Obuka zaposlenih ukljuuje detaljno upoznavanje svih zaposlenih sa polikom i procedurama zašte koje se na njih odnose. d zaposlenih se može oekiva odgovornost, samo ako su svesni šta se od njih oekuje. Bitno je shva da je bezbednost kiber prostora više problem ljudi i procesa, nego tehnologije. Ljudski resurs je kljuan za zaštu informacija. Polika zašte treba da eksplicitno i jasno istakne da e svaki zaposleni ima obuku za razvoj sves i usavršavanje znanja i vešna o zaš, na nivo, potreban za ekasno izvršavanje radnih obaveza. Kontrola usaglašenos meri stepen usaglašenos, implemenranog i integrisanog sistema zašte sa polikom, standardima i zakonima zašte. Menadžment organizacije obezbe uje i odgovaran je za kontrolu opšte usaglašenos polike zašte sa normavima i standardima i za implementaciju procesa koji nameu poliku zašte. Monitoring zaposlenih je najlakši nain da se nadgleda normavna usaglašenost polike i procedura, iako može bi u sukobu sa zakonom o zaš privatnos zaposlenih. U veini organizacija u državnom i privatnom sektoru, ne oekuje se da zaposleni rade bilo šta privatno na raunarima na poslu, pa u brojnim državama nisu zašeni zakonom o zaš privatnos. U javnom sektoru u veini razvijenih zemalja zaposleni su zašeni Zakonom o zaš linih podataka i na raunarima na poslu. Poslodavac je obavezan da upozori zaposlene da su svi podaci pod stalnim nadzorom. EU je obezbedila mnogo veu zaštu privatnos u privatnom i javnom sektoru, jer ima sveobuhvatan zakon o zaš privatnos, koji se sve više globalno prihvata. Prema direkvi EU o zaš privatnos mogu se monitorisa [20]: pristup Internetu i ltriranje paketa, korišenje e–pošte, saobraaj brzih poruka, korišenje telefona, lokacija zaposlenog (video nadzor) i logovanje otkucaja tastature. U SAD zakon Electronic Communicaon Privacy Act iz 1996. godine š privatnost zaposlenih na radnom mestu (2001. godine oko 75% kompanija u SAD snimalo je i monitorisalo sav saobraaj svojih zaposlenih). Prema tom zakonu, ako poslodavac upozori zaposlenog da se vrši nadzor, sud to priznaje kao pristanak zaposlenog. U Republici Srbiji od 1. januara 2009. godine na snazi je Zakon o zaš informacija o linos, koji obuhvata i zaštu poverljivos i privatnos linih podataka. Kontrola specine usaglašenos prakse zašte sa primenjenim standardima, polikom, procedurama i planom zašte, zahteva verikaciju poslovnih procesa i operavnog korišenja
20
O Š FOJ
tehnologija zašte. Za usaglašenost polike i prakse zašte odgovorni su zaposleni izvršioci procesa, ako su za to na vreme obueni, a usvojena znanja i vešne provereni. Sve više se koriste elektronski, interakvni oblici polike zašte, gde se korisnicima pre pristupa RS/RM na ekranu pojavi prozor, koji zahteva armavno prihvatanje saopštenja polike zašte14. vakav program obuke je pogodan za najznaajnije faktore rizika (npr. korišenje Interneta, e-pošte i pristup zašenim podacima), ali ne i za celu poliku zašte. Preporuuje se obuka i tesranje iz oblas zašte tri puta godišnje. Merenjem usaglašenos prakse, polike i standarda zašte, organizacija, u sluaju potrebe, dokazuje pravosudnim organima i poslovnim partnerima, da š svoje informacije i ekasno upravlja sistemom zašte, što uliva vee uzajamno poverenje. Interni nadzor, kontrola i tehnika revizija sistema zašte, igraju kljunu ulogu u zaš kiber prostora i olakšavaju eksternu reviziju. Cilj je evaluira efekvnost sistema zašte, proakvno inicira novu procenu rizika i razvoj strategije za ublažavanje rizika. Uestalost nadzora, kontrole i revizije zasniva se na zdravoj logici: što su vei faktori rizika i vrednost imovine, ona treba da bude eša. d velike je pomoi metod skeniranja za automatsku procenu ranjivos i oporavak IKTS. Obim nadzora, kontrole i revizije mora bi pažljivo denisan i treba verikova brojne komponente, procese i dokumenta zašte. Preporuke standarda zašte (IS /IEC 27001) su da se najmanje jednom godišnje procenjuje rizik, a na osnovu te procene pravi plan za interni nadzor, kontrolu i reviziju. Preporuuju se runske vežbe i simulacije kompjuterskog incidenta i vanrednog doga aja, ime se ise znaaj nadzora, kontrole i revizije, obezbeuju priorite zašte i upravljanje kompjuterskim incidentom razliitog nivoa intenziteta. Nezavisna (eksterna) revizija (audit) naješe se vrši u fazi reinženjeringa IKTS u cilju poveanja produkvnos i smanjenja troškova poslovanja. Ukljuivanje spoljnih revizora unosi dodatni rizik, koji se mora razmatra. Spoljna revizija se mora izvrši u bezbednom okruženju i atmosferi poverenja, uz obavezno prisustvo internog revizora i odobrenje glavnog menadžera. Nametanje obaveze sprovo enja polike zašte je krian faktor uspeha. Revizija sistema zašte je u sušni u ovoj funkciji. Izveštaj revizora deo je dokumentacije zašte, a može se koris da pokaže mertriki sistem revizora, pomogne u planiranju, izvršavanju i kontroli procesa revizije, olakša kontrolu rada nezavisnog revizora, evaluira sistem kvaliteta procesa revizije, obezbedi podršku u sluaju naplate polise osiguranja ili sudskog gonjenja itd. [21]. U Izveštaju o reviziji treba obradi pitanja kao što su: zašenost sistemskih i aplikavnih programa, ažurnost i usaglašenost polike i drugih dokumenata zašte, adekvatnost i prihvatljivost manuelnog/ automazovanog sistema revizije, format izveštaja o reviziji, svest o potrebi itd. Revizorski izveštaj je ulazna informacija za reinženjering i korekciju slabih taaka sistema zašte. Sankcije za nesprovo enje polike zašte moraju bi unapred planirane, jer nema smisla implemenra sistem zašte, ako se povrede ignorišu. 14
David . Lineman, The New ISO 17799:2005 – Security Policy Implicaons For Business, Informaon Shield Policy, 2010.
BO FOO
21
1.4. REZIME Bezbednost informacija u IKTS je objekvna mera/ocena stanja rizika ili stanja sigurnog, pouzdanog i neometanog funkcionisanja IKTS, u odnosu na sam sistem i njegovo okruženje. Sistem se smatra bezbednim, ako je zašen od ucaja faktora rizika. Sigurnost IKTS je sinonim bezbednos, subjekvna mera uverenja korisnika da je sistem bezbedan. Nivo bezbednosnog stanja odre en je nivoom preostalog prihvatljivog rizika. Ukupna bezbednost proporcionalna je skupu bezbednosnih stanja svih komponen, koje neravnomerno, adivno uu na ukupnu bezbednost, a najvei ucaj imaju najosetljivije komponente sistema bezbednos. Bezbednost IKTS je konkretno, situacioni problem stanja sistema i realnog okruženja i ne postoji univerzalno i nepromenljivo stanje bezbednost IKTS. U realnim uslovima, sa porastom pretnji nivo ukupne bezbednos IKTS nelinearno opada, zbog stohaske prirode pretnji. Održavanje stanja bezbednos IKTS, na prihvatljivom nivou rizika, obezbe uje implemenrani sistem zašte poverljivos, integriteta i raspoloživos informacija–organizovan i koherentan skup U, O i T kontrola zašte i njihovih veza i ogranienja, primenjenih na IKTS, radi zašte raspoloživos, poverljivos i integriteta informacija i namenjenog funkcionisanja IKTS u izvršavanju poslovnih ciljeva i misije organizacije. snovnu funkcionalnost sistema zašte ine servisi zašte, koji se implemenraju izvršavanjem skupa bezbednosnih funkcija. Bezbednosne funkcije vrše mehanizmi i protokoli zašte: pojedinani algoritmi, hardversko-soverski moduli i metodi. Za upravljanje mehanizmima zašte obezbe ene su odre ene kontrolne strukture ili kontrole zašte, koje obuhvataju U, O i T kontrole. Sa aspekta zašte, osnovni zahtev je smanjenje kompleksnos, što se posže sistem -inženjerskim, objektno-orijensanim i procesnim pristupom u svim fazama razvoja IKTS. Smanjenje kompleksnos poinje uvo enjem grana informacionih objekata zašte: raspoloživost, integritet i poverljivost informacija, ime se struktuira bezbednosni cilj i grana objekata za zaštu: U, O i T kontrole zašte, koje struktuiraju sredstava za poszanje bezbednosnog cilja. U generikom modelu sistem zašte š informacionu imovinu od pretnji, malicioznih i namernih napada. Kontrole zašte se implemenraju da redukuju ranjivos i izloženost IKTS u skladu sa rezultama procene rizika i zahtevima polike zašte. Preostali rizik, na prihvatljivom nivou, vlasnik sistema nastoji smanji u ciklinom procesu zašte. Cilj svakog programa zašte informacija je da razvije opmalan sistem zašte, koji u dam uslovima na najbolji nain zadovoljava sve uslove, a posže se putem najracionalnije raspodele resursa utrošenih na rešavanje zadataka zašte. Savremeni web servisi (web aplikacije, S A, Cloud Compung i dr.) i e-poslovanje zahtevaju promenu paradigme klasine zašte IKTS, sa rešenjima distribuiranih mehanizama zašte, koji se ne samo implemenraju, nego i ugrauju u hardverske i soverske komponente u toku njihovog razvoja. 22
O Š FOJ
U praksi zašte primenjuju se dva glavna metoda za implementaciju sistema zašte od dinamiki promenljivih pretnji: sveobuhvatnim smanjenjem ukupnog rizika na prihvatljivi nivo, što zahteva velike resurse i procesom 4-fazne tranzicije iz jednog u više bezbednosno stanje, koji preporuuje metod CTAVE. U 1. fazi obezbe uje se zašta objekata krinih za misiju organizacije od glavnih faktora rizika, a u sledeim fazama progresivno razvija program zašte od ostalih faktora rizika. Generiki proces implementacije sistema zašte odvija se u eri faze: (1) priprema i izbor ma, (2) idenkovanje internih i eksternih faktora rizika, (3) nadzor, kontrola i revizija i (4) usaglašavanje programa zašte. Svaki proces implementacije programa zašte može bi razliit u organizacijama, ali treba da obuhvata tri obavezne komponente: obuku zaposlenih, kontrolu usaglašenos i nametanje obaveze izvršavanja polike i procedura zašte. buka treba da obuhva sve strukture zaposlenih. Usaglašenost obuhvata opštu usaglašenost programa i polike zašte sa zakonima i standardima i specinu usaglašenost prakse i polike zašte. baveze sprovo enja programa i polike zašte namee se merama internog nadzora, kontrole i revizije i eksterne revizije (auding), obaveznog izveštavanja o bezbednosno relevantnim doga ajima i sankcionisanja nesprovo enja polike zašte.
BO FOO
23
1.5. KLJUNI TERMINI Arhitektura sistema zašte: funkcionalni odnosi komponen sistema zašte. Bezbednost: objekvna mera/ocena stanja sistema u odnosu na samog sebe ili okruženje. Sinonim: sigurnost. IKTS: sistem IKT, koji obuhvata integrisani skup ljudi, programa, hardvera, protokola, komunikacione infrastrukture, procesa i njihovih me usobnih veza. Sinonim: IS. Informacija: podaci o injenicama, saznanjima, procesima i pojavama, o stanju objekata u nekoj predmetnoj oblas; skup podataka koji donosi novo saznaje. Informaciona imovina: obuhvata istu informacionu imovinu (digitalni podaci i informacije, aplikavni i sistemski programi), ziku (infrastruktura za podršku i kontrolu okruženja IKTS, hardver i ostala imovina IKTS) i humanu (zaposleni i nezaposleni). Integritet informacija, sistema: stanje u kojem informacije/sistemi nisu izmenjeni na neovlašen nain. Kontrole zašte: upravljaki okvir mehanizama i protokola zašte; grupišu se u klase upravljakih, operavnih i tehnikih kontrola; interfejs izme u mehanizma zašte i oveka. Korisnik IKTS: lice/grupa/program korisnika IKTS sa pravima pristupa i korišenja servisa. Mehanizmi i protokoli zašte: pojedinani algoritmi, hardversko–soverski moduli i metodi za izvršavanje bezbednosnih funkcija; u logikom smislu realizuju servise zašte. Model: aproksimacija realnog sistema, koja približno predstavlja tokove procesa, funkcionisanje i/ili druge relevantne atribute realnog sistema. Neporecivost informacija: stanje sistema u kojem stranke u transakciji ne mogu naknadno porica izvršene akvnos u transakciji ili delovima transakcije.
24
O Š FOJ
Objek zašte: ziki, logiki i humani objek informacione imovine, koje š sistem zašte. Opmalni sistem zašte: sistem zašte u kojem su troškovi kontrola zašte potpuno izjednaeni sa procenjenim potencijalnim gubicima. Plan zašte: sveobuhvatan strateški dokument za zaštu informacija; predstavlja plan implementacije programa, polike i procedura zašte. Polika zašte IKTS: izjava na nivou IKTS koja obezbe uje okvir oekivanog i obaveznog ponašanja upravne strukture, zaposlenih, tehnologije i procesa. Procedure zašte: Precizno denisani naini primene elemenata polike zašte sa listom detalja i specinih koraka koje pojedinci moraju sprovodi. Pouzdanost (funkcionalna, tehnika, operavna): korektno funkcionisanje komponen i sistema u operavnom okruženju, sa performansama u propisanim granicama. Poverljivost informacija/sistema: stanje u kojem su informacije/sistemi nedostupni neovlašenim korisnicima. Program zašte: sveobuhvatan skup akvnos za zaštu informacione imovine organizacije; predstavlja smernice za izradu, polike, procedura i plana zašte. Raspoloživost informacija/sistema: stanje u kojem se informacijama/sistemima može pristupa po potrebi. Servis zašte: logike aplikacione jedinice, koje se izvršavaju kroz razliite akcije, izvršavanjem mehanizama i protokola zašte. Sigurnost sistema: mera subjekvnog oseaja/ uverenja da je sistem bezbedan, da mu ne pre nikakva opasnost, jer je zašen. Sinonim: bezbednost sistema. Sistem zašte: organizovan i koherentan skup U, O i T kontrola zašte i njihovih veza i ogranienja, primenjenih na IKTS da bi se zašla CIA informacija.
1.6. PITANJA ZA PONAVLJANJE 1. Tendencija je da se terminologija zašte informacija što je mogue više uini: a. kompleksnom i nerazumljivom za krajnje korisnike iz bezbednosnih razloga b. jasnom i razumljivom za sve korisnike c. jasnom i razumljivom samo za specijaliste zašte d. nejasnom i nerazumljivom za menadžere organizacije 2. Bezbednost IKTS je: a. objekvna mera/ocena stanja rizika IKTS b. subjekvna ocena stanja zašenos IKTS c. funkcionalna komponenta IKTS d. ni jedan od navedenih odgovora 3. Nivo ukupne bezbednos složenog sistema (Bu): a. raste približno linearno i adivno sa porastom nivoa bezbednos njenih relavno nezavisnih bezbednosnih komponen (B1, B2, ..., Bn) b. raste približno nelinearno i mulplikavno sa porastom nivoa bezbednos njenih relavno nezavisnih bezbednosnih komponen (B1, B2, ..., Bn) c. raste približno nelinearno i adivno sa porastom nivoa bezbednos njenih relavno nezavisnih bezbednosnih komponen (B1, B2, ..., Bn) 4. unkcija zavisnos komponen bezbednos IKTS–Bi od faktora rizika–Ri je: a. linearno opadajua b. linearno rastua c. nelinearno opadajua d. eksponencijalno opadajua 5. Stabilno održavanje stanja bezbednos IKTS na odre enom nivou, najtanije obezbe uje: a. m specijalista za zaštu b. sistem servisa i kontrola osnovne zašte c. održavanje rizika na prihvatljivom nivou d. m za zaštu i implemenrani sistem za zaštu
6. Na bezbednosno stanje IKTS uu sledei kljuni faktori: a. korisniki zahtevi i polika zašte b. funkcionalni zahtevi i organizaciona struktura IKTS c. kadrovska struktura i ugled organizacije d. razvoj tehnologija i malicioznih programa e. razvoj standarda i normava zašte f. kompleksnost IKTS i terminologije zašte 7. Sa aspekta kvaliteta, nužno je i dovoljno obezbedi sledea svojstva informacija: a. blagovremenost, tanost, korisnost b. poverljivost, integritet, raspoloživost c. blagovremenost, tanost, integritet d. poverljivost, tanost, integritet, raspoloživost e. blagovremenost, integritet, raspoloživost 8. Sistem zašte najbolje objašnjava izraz: a. adivna funkcija intenziteta vektora zašte b. skup funkcija zašte sa kojim se izvršavaju odre eni bezbednosni zadaci c. mulplikavna funkcija intenziteta vektora zašte d. organizovan i koherentan skup upravljakih, organizaciono–operavnih i tehnikih kontrola zašte 9. pmalni sistem zašte je sistem, koji u dam uslovima: a. na najbolji nain zadovoljava sve bezbednosne zahteve, sa racionalnim resursima za akviziciju, implementaciju i održavanje sistema zašte b. ne zadovoljava sve bezbednosne zahteve, ali se posže se neznatnim resursima za akviziciju, implementaciju i održavanje sistema zašte c. zadovoljava sve bezbednosne zahteve, ali se posže se znaajnim resursima za akviziciju, implementaciju i održavanje sistema zašte
BO FOO
25
10. Servis zašte je: a. logika aplikaciona jedinica, koja se izvršava kroz razliite akcije, izvršavanjem mehanizama i protokola zašte b. hardversko–soverski modul za izvršavanje bezbednosnih funkcija c. konana klasikacija mehanizama zašte i interfejs prema korisniku 11. Mehanizam zašte je: a. proces ili neprekidna akvnost, koja se izvršava izvršavanjem bezbednosnih funkcija kontrola zašte b. hardversko–soverski modul za izvršavanje bezbednosnih funkcija c. interfejs prema korisniku servisa zašte 12. Kontrola zašte je: a. proces ili neprekidna akvnost, koju vrše bezbednosne funkcije mehanizama zašte b. hardversko–soverski modul za izvršavanje bezbednosnih funkcija c. konana klasikacija mehanizama zašte i interfejs izme u mehanizma zašte i oveka 13. Dva glavna metoda za implementaciju programa zašte su: a. metod životnog ciklusa sistema i metod vodopada b. sveobuhvatno ublažavanje ukupnog rizika na prihvatljiv nivo i metod etverofazne tranzicije iz jednog u drugo bezbednosno stanje c. iteravni metod i metod brzog odgovora 14. U objektno orijensanom pristupu za smanjenje kompleksnos uvode se grane objekata: a. informaciono komunikacionog sistema b. informacione imovine ili CIA informacija c. raunarske mreže i web servisa d. mera i sredstava zašte ili proceduralnih i tehnikih kontrola zašte 15. ista informaciona imovina obuhvata: a. digitalni podaci i informacije, opipljiva informaciona imovina, neopipljiva informaciona imovina, aplikavni program, sistemski program
26
O Š FOJ
b. infrastruktura za podršku IKTS, kontrole okruženja IKTS, hardver IKTS, imovina IKTS c. aplikavni program, sistemski program, infrastruktura za podršku IKTS d. zaposleni, ne-zaposleni, spoljni saradnici, poslovni partneri e. zaposleni, ne-zaposleni 16. izika imovina obuhvata: a. digitalni podaci i informacije, opipljiva informaciona imovina, neopipljiva inf. imovina, aplikavni program, sistemski program b. infrastruktura za podršku IKTS, kontrole okruženja IKTS, hardver IKTS, imovina IKTS c. aplikavni program, sistemski program, infrastruktura za podršku IKTS d. zaposleni, ne-zaposleni, spoljni saradnici, poslovni partneri e. zaposleni, ne-zaposleni 17. Humana imovina obuhvata: a. digitalni podaci i informacije, opipljiva informaciona imovina, neopipljiva inf. imovina, aplikavni program, sistemski program b. infrastruktura za podršku IKTS, kontrole okruženja IKTS, hardver IKTS, imovina IKTS c. aplikavni program, sistemski program, infrastruktura za podršku IKTS d. zaposleni, ne-zaposleni, spoljni saradnici, poslovni partneri e. zaposleni, ne-zaposleni 18. Relevantni aspek zašte IKTS, koje treba razmatra kao objekte zašte obuhvataju: a. kljune karakteriske pretnji, servisi IKTS, kvalitet IKTS servisa b. kljune karakteriske IKTS, servisi IKTS, kvalitet IKTS servisa c. kljune karakteriske IKTS, servisi zašte IKTS, kvalitet IKTS servisa d. kljune karakteriske IKTS, servisi IKTS, kvalitet servisa zašte 19. Generiki model sistema zašte obuhvata sledee objekte: a. vlasnik IKTS, agent pretnje, sistem
zašte, pretnja, CIA informacija, procena rizika, kontrole zašte, ranjivos, izloženost, b. polika zašte, preostali rizik, prihvatljivi nivo rizika, evaluacija, serkacija i akreditacija, S A c. administrator IKTS, preostali rizik, prihvatljivi rizik, evaluacija, serkacija i akreditacija, S A d. vlasnik IKTS, servisi zašte, pretnje, topologija RM, procena rizika, kontrole zašte, ranjivos, izloženost, polika zašte, dokument S A 20. U zaš savremenih IKTS bazina je primena sledea dva principa: a. odbrana po dubini i primarna zašta najvrednije informacione imovine b. odbrana po dubini i prstenovi zašte c. virtuelizacija i prstenovi slojeva luka d. digitalni mravi i prstenovi slojeva luka 21. U zaš savremenih IKTS nova paradigma zašte obuhvata sledee tehnologije: a. odbrana po dubini i primarna zašta najvrednije informacione imovine b. odbrana po dubini i prstenovi zašte c. virtuelizacija i prstenovi slojeva luka, proakvna zašta d. digitalni mravi, prstenovi slojeva luka, IDPS, proakvna zašta 22. Generike tok procesa implementacije sistema zašte obuhvata sledee faze: a. priprema (denisanje obima i granice projekta i izbor ma) b. stalni nadzor i interna revizija c. idenkovanje bezbednosnih faktora rizika d. serkacija i akreditacija sistema zašte e. revizija ekasnos sistema zašte i preporuke za izmenu f. integracija i prilago avanje kontrola zašte u skladu sa nalazima revizije
23. bavezne komponente sadržaja svakog procesa implementacije sistema zašte: a. obuka zaposlenih, nadzor i revizija usaglašenos i nametanje obaveze sprovo enja polike b. obuka zaposlenih i nametanje obaveze izvršavanja polike zašte c. obuka zaposlenih, kontrola pristupa, akreditacija i serkacija sistema 24. Potencijalno korisne upotrebe izveštaja o reviziji sistema zašte su (ISACA) da: a. evaluira poliku zašte i sistem kvaliteta procesa revizije b. demonstrira metriki sistem i pomogne u planiranju i izvršavanju revizije c. olakša kontrolu rada IKTS i obezbedi izradu plana zašte d. obezbedi podršku u sluaju naplate polise osiguranja ili sudskog gonjenja 25. Nametanje obaveze sprovo enja programa/polike zašte je: a. krian faktor uspeha programa/polike zašte i u funkciji revizije sistema zašte b. znaajan za uspeh programa/polike zašte, ali ne zavisi od revizije zašte c. krian faktor uspeha programa/polike zašte, a revizija je u toj funkciji d. nije krian faktor uspeha programa/ polike zašte, a revizija je u toj funkciji
BO FOO
27
2.
PRINCIPI, STANDARDI I NORMATIVI ZAŠTITE
2.1. UVOD Kompleksni sistem zašte informacija ukljuuje principe, standarde, normave, praksu i tehnologije na kojim su zasnovani. Za harmonizaciju sistema zašte, potrebna je koordinacija svih ovih faktora. Princip je fundamentalna isna ili zakonitost, koja se uzima bez dokazivanja kao osnova za izvršavanje racionalne akvnos. Generalno prihvaeni principi zašte informacija – GAISP (Generally Accepted Informaon Security Principles), nastali su saradnjom ekspertskih mova iz više zemalja (EU, SAD, Kanade, Australije itd.) i na osnovu brojnih standarda ( ECD, NIST, IS /IEC 17799, IS / IEC 27001, C BIT i dr.). GAISP principi zašte se ažuriraju svake tri godine i impliciraju da svaki princip u odreenom sluaju može ima izuzetak. Specijalis zašte ih koriste u svim fazama životnog ciklusa sistema zašte, proizvo ai u proizvodnji komponen/ ure aja, a vlasnici i menadžeri za razvoj programa zašte. GAISP principi se odnose na zike, tehnike, personalne i proceduralne komponente, a dele na opšte - za upravljanje zaštom, funkcionalne - za operavno upravljanje komponentama sistema zašte i detaljne - za upravljanje mehanizmima zašte. Konzistentni principi zašte su osnovni gradivni elemen procesa zašte. Standardi zašte obezbe uju široko prihvaena pravila za upravljanje zaštom informacija, a mogu se izvodi iz normava (Zakoni i podzakonska akta) ili industrijskih standarda najbolje prakse zašte. Pomažu korisnicima da prevedu zahteve za zaštu iz normava u zahteve polike zašte. Normavi u oblas zašte obezbe uju osnovni okvir za šire uspostavljanje i implementaciju programa zašte IKTS u organizacijama, kao i mehanizme sankcionisanja koji movišu korisnike da ih sprovode. Principi, standardi i normavi zašte ine metodološku osnovu za izradu dokumenata zašte.
28
O Š FOJ
2.2. SISTEMSKI PRINCIPI ZAŠTITE Sistemski principi zašte su preuze iz procesa upravljanja IKTS (što implicira termin „sistemski”). buhvataju opšte prihvaene i u praksi dokazane personalne, organizacione i operavne mere u IKTS, koje spreavaju sukob nadležnos i interesa, zloupotrebu privilegija i poveavaju opštu pouzdanost resursa IKTS. Efekvni su mehanizmi za održavanje pouzdanog rada sistema i baza za implementaciju GAISP principa [27,43,64]. Sistemski principi su obavezan okvir u koji se ugra uju specini GAISP principi zašte i obuhvataju principe [61]: „nikada sam“, rotaciju radnih mesta, razdvajanje dužnos, minimum privilegija, zna samo što je potrebno i principe upravljanja IKTS. Princip „nikada sam“ spreava monopolski položaj i obezbe uje samokontrolu u IKTS i zahteva zapošljavanje najmanje dva lica, za sledee bezbednosno relevantne poslove: autorizaciju prava pristupa; procesiranje osetljivih informacija; tesranje i prijem hardvera i sovera; modikaciju hardvera, sovera i IKTS; projektovanje i implementaciju baze podataka, sistemskih, aplikavnih i programa za zaštu; izmenu dokumentacije i procedura u IKTS; destrukciju važnih programa itd. Rotacija radnih mesta zahteva da ni jedno lice ne ostane na nekom bezbednosno znaajnom mestu u IKTS toliko dugo da pomisli da je nezamenljiv. Rotacija osoblja se preporuuje, ali zavisi od broja zaposlenih i kvalikovanih lica. Razdvajanje dužnos zahteva da ni jedno lice istovremeno ne može obavlja dve ili više od deset sledeih parova funkcija u IKTS: 1. operavni rad na raunaru – programiranje; 2. unos i priprema podataka za obradu – obrada podataka; 3. obrada podataka – kontrola kvaliteta IKTS; 4. operavni rad na raunaru – uvanje elektronskih medija; 5. prijem osetljivih informacija – predaja osetljivih informacija; 6. kopiranje, izdavanje/uništavanje osetljivih informacija – izdavanje ovlašenja; 7. programiranje aplikacija – sistemsko programiranje; 8. programiranje aplikacija – administracija baza podataka; 9. projektovanje, implementacija/modikacija sistema zašte - bilo koji drugi; 10. kontrola ovlašenja za pristup – bilo koji drugi posao.
U manjim IKTS, uprkos sistemskom principu razdvajanja dužnos, u porastu je tendencija konvergencije dužnos administratora sistema i administratora zašte. Princip minimuma privilegija znai davanje što je mogue manje privilegovanih naloga za pristup objekma IKTS. Princip zna samo što je potrebno znai davanje prava pristupa samo informacijama potrebnim za obavljanje posla.
BO FOO
29
Princip upravljanja IKTS obezbe uje osnovni nivo upravljanja zaštom, a obuhvata postavljanje zikih prepreka i ogranienja i administravno nametanje pravila ponašanja u radu sa IKTS. Fizika ogranienja, ukljuuju: bezbedno uvanje elektro-opkih medija; pripremu osetljivih podataka za obradu u restrikvnom prostoru; odvojenu radnu sobu programera od serverske sobe; zabranu pristupa u sobu administratora zašte za sve osim zaposlenih u zašte; skladištenje otpada za uništavanje na bezbedno mesto izvan serverske sobe i dr. Administravno upravljanje zaštom ukljuuje upravljanje korisnikim nalozima za pristup IKTS. Tako e, mogue je nai vezu izme u opšh principa zašte informacija i biologije, kao što su koncep malicioznih programa – virusa i crva i trofazni koncept prevencije, detekcije i kontrole, koji se koriste u biologiji i zaš informacija.
2.3. OPŠTE PRIHVAENI PRINCIPI ZAŠTITE 2.3.1. Namena GAISP principa zaštite
snovna namena GAISP principa zašte je da pomogne vlasnicima informacija za upravljanje, specijalisma zašte za razvoj sistema zašte, a proizvo aima za proizvodnju komponen i ure aja zašte. GAISP principi imaju višestruku upotrebljivost i koriste se da [27,43]: promovišu najbolju praksu zašte; obezbede referentne principe usaglašenih mišljenja i prakse zašte; movišu poslovne sisteme i uvere menadžere da je zašta konzistentna i merljiva; poveaju kontrolu i bezbednost operavnog okruženja; smanje troškove zašte; omogue serkaciju sistema i izradu polike zašte; poveaju efekvnost servisa i specijalista zašte; poveaju poverenje u proizvode zašte; ubrzaju razvoj metodologija i tehnologija zašte itd. 2.3.2. Struktura GAISP principa zaštite
GAISP principi su sveobuhvatna hijerarhija instrukcija za obezbe enje opšte prihvaenog okvira za zaštu IKTS, koji ukljuuje osnovne – na upravljakom, funkcionalne – na operavnom i detaljne – na tehnikom nivou. Osnovni GAISP principi usmeravaju menadžment i pomažu organizaciji da deniše efekvnu strategiju zašte. Funkcionalni GAISP principi, su gradivni blokovi osnovnih i detaljnije denišu takku izgradnje efekvne arhitekture sistema zašte. Detaljni GAISP principi su namenjeni za profesionalce u zaš, a koriste funkcionalne principe kao okvir i obezbe uju specina, sveobuhvatna uputstva za dnevne akvnos u procesima upravljanja rizikom i sistemom zašte. 30
O Š FOJ
U praksi zašte, treba obezbedi da je svaki GAISP princip precizno denisan, kompletan i konzistentan, usaglašen sa bezbednosnim ciljem, tehniki racionalan i prihvatljiv, dobro prezenran, gramaki korektan i jeziki razumljiv i uskla en sa primenljivim standardima i uputstvima zašte. GAISP principi zašte su struktuirani i opisani u standardnom formatu – naziv, denicija, objašnjenje (opis) i primer principa, kao na primer: Ime: kontrolisana odgovornost (accountability) za logiku kontrolu pristupa. Denicija: ovlašenja i odgovornos za pristup moraju u sistemu zašte bi jasno denisani, shvaeni, lino prihvaeni i kontrolisani. Objašnjenje: kontrolisana odgovornost omoguava da se kontrolišu akcije svih uesnika koji interakvno rade u IKTS. Uloge i odgovornos se jasno denišu, idenkuju i dodeljuju ovlašenja pristupa osetljivim i krinim informacijama, zaposlenim na svim nivoima organizacije. Odnosi izmeu uesnika, procesa i informacija moraju bi jasno denisani, dokumentovani i prihvaeni od svih uesnika, koji moraju preuze odgovornos. Primer: na osnovu pregleda i analize bezbednosno relevantnih dogaaja u log datoteci sistema, treba izvrši reviziju krinih informacija. Log datoteka sadrži sve izmene informacija.
2.3.2.1. Opšti GAISP principi zaštite pš GAISP principi (tabela 2.1) pomažu organizaciji da deniše efekvnu strategiju zašte. Tabela 2.1. pš GAISP principi zašte GAISP princip Sves o potrebi zašte dgovornos Stalnog preispivanja Demokranos Ekog ponašanja Integracije Muldisciplinarnos Proporcionalnos Blagovremenos
Opis svi relevantni uesnici treba da budu svesni primenljivih pretnji za bezbednost IKTS i tehnologija zašte informacija. ovlašenja i odgovornos moraju u sistemu zašte bi jasno denisani, shvaeni, prihvaeni i kontrolisani. rizik za informacionu imovinu mora se regularno periodino procenjiva, a procesi zašte neprekidno unapre iva. u procesima zašte treba jednako uvažava privatnost, lina i autorska prava i dostojanstvo svih uesnika. informacije koje se šte treba da budu eki prihvatljive, a administriranje zašte u skladu sa opšm kodeksom ponašanja. principi, standardi i mehanizmi treba da budu komplementarni i sinergijski integrisani u poliku, procedure i kontrole zašte. principi, standardi i mehanizmi zašte treba da sveobuhvatno ukljuuju sve relevantne aspekte razliih disciplina. kontrole zašte treba projektova, implemenra i primenjiva za zaštu informacija, proporcionalno proceni rizika. sve komponente zašte treba da blagovremeno spreavaju napade na IKTS.
BO FOO
31
Po svojoj prirodi su fundamentalni, retko se menjaju i obuhvataju zaštu CIA informacija. bjavio ih je komitet ECD, a prihvao NIST sa neznatnim proširenjem. 2.3.2.2. Funkcionalni GAISP principi zaštite unkcionalni principi zašte brojniji su i detaljniji od opšh, ine okvir za razvoj još brojnijih, detaljnih principa, a menjaju se sa glavnim promenama okruženja i tehnologija zašte. Predstavljaju gradivne blokove osnovnih principa zašte, denišu preporuke za implementaciju i operavnu primenu kontrola zašte, a ine ih sledei principi: polika zašte, obuka i razvoj sves o potrebi zašte, odgovornost, upravljanje informacionom imovinom, upravljanje zikom i zaštom okruženja, upravljanje personalnom zaštom, upravljanje incidentom, upravljanje zaštom u životnom ciklusu IKTS, kontrola pristupa, upravljanje vanrednim doga ajem i konnuitetom poslovanja, upravljanje bezbednosnim rizikom, zašta mreže od rizika sa Interneta, normavni, administravni i ugovorni zahtevi, eki principi itd. 2.3.2.3. Detaljni GAISP principi zaštite Detaljne GAISP principe denišu i primenjuju specijalis zašte u dnevnom radu. ni ine osnovne elemente procedura zašte i esto se menjaju sa promenama tehnologija. Sadrže detaljna objašnjenja i podržavaju jedan ili više funkcionalnih GAISP principa. Usaglašavaju se sa funkcionalnim principima, ukljuujui nove tehnologije i pretnje. Na primer, detaljni princip kontrole pristupa podržava funkcionalni princip – kontrolu pristupa, koji, pak, podržava opš princip – proporcionalnos, a opisuje se u formi:
Ime: detaljni princip kontrole pristupa. Denicija: koris jednokratne lozinke za logiku kontrolu pristupa svim informacijama. koje se smatraju krinim za organizaciju. Objašnjenje: višestruko korišene lozinke su tradicionalno jedina tehnika na raspolaganju za kontrolu pristupa objekma IKTS. Tehnološke promene uinile su lozinke za višekratnu upotrebu zastarelim u brojnim primenama. Za kontrolu pristupa i autenkaciju uvodi se lozinka za jednokratnu upotrebu, koju omoguava tehnologija smart karca. Primer: primena smart karce za ulazak u zgradu, radnu prostoriju i pristup raunaru.
32
O Š FOJ
2.4. STANDARDI ZAŠTITE 2.4.1. Generika definicija standarda zaštite Prva faza razvoja standarda zašte je razvoj RC (Request For Comment) specikacija [78, 79]. Kada RC specikacija postane razumljiva, stabilna i tehniki kompetentna, može posta standard zašte, kroz prelazne forme nacrta i de facto standarda. Telo za standardizaciju IET (Internet Engineering Task Force) objavljuje RC po odobrenju IESG (Internet Engineering Steering Group) [39]. Standard zašte je usvojen i objavljen dokument koji uspostavlja specikaciju i procedure, dizajnirane da obezbede da dokumenta, materijali, proizvodi, metodi ili servisi zašte, odgovaraju nameni i konzistentno izvršavaju predvi ene funkcije. U praksi, standard zašte sadrži itav set aranžmana za pokrivanje što veeg broja pinih bezbednosnih zahteva za održavanje rizika na prihvatljivom nivou. Standardi zašte obezbe uju preporuke za razvoj, implementaciju i održavanje sistema zašte i glavni je alat za poboljšanje kvaliteta kontrola zašte, integrisanjem delova standarda u poslovne procese, procenu kvaliteta i izbor kontrola zašte, poboljšanje programa obrazovanja, obuke i razvoja sves o potrebi zašte itd. Bitni atribu kvaliteta svakog standarda su, da je: dokumentovan, raspoloživ, sveobuhvatan, izdat od strane nacionalnog tela za standardizaciju, adekvatan nameni, rentabilan, dobrovoljno prihvaen, usaglašen sa zakonima i da obezbeuje indikatore progresa [64]. Standardi zašte uvode promene u upravljaki okvir sistema zašte. Primarni cilj standarda zašte nije sama standardizacija sistema zašte, što bi se moglo lako zloupotrebi. Potpuno standardizovana zašta sigurno bi izazvala znatno vei broj napada i pokušaja proboja, a to bi moglo ugrozi i sam koncept zašte. 2.4.2. Opšti model standarda zaštite pš, hijerarhijski model standarda zašte ukljuuje terminologiju, principe, metodologiju, elemente standarda, uputstvo i dodatke za primenu, tehnike i alate (sl. 2.1). Terminologija ukljuuje listu denicija i pojmova. Principi obezbe uju generalno prihvatljiva, aksiomatska pravila za izradu uputstava zašte. Metodologija Sl. 2.1. pš model standarda zašte informacija [61] BO FOO
33
(okvir) obezbe uje pojednostavljen opis naina korišenja koncepta, metoda i tehnika i njihovih me usobnih odnosa. Elemen standarda obezbe uju specine zahteve za denisanu komponentu zašte. Uputstvo obezbe uje detaljniji opis primene elemenata standarda u specinim situacijama. Tehnike i ala podržavaju primenu standarda [61]. 2.4.3. Tela za standardizaciju zaštite Standardi postoje za komponente i sisteme zašte, organizacije i profesionalce koji se bave zaštom, tako da organizacije, proizvodi i profesionalci zašte mogu bi serkovani i akreditovani prema odre enom standardu. Standarde donose brojna me unarodna, akreditovana tela (tabela 2.2). Tabela 2.2. Relevantna me unarodna tela za standardizaciju u oblas zašte Meunarodna standardizaciona tela u oblas zašte informacija BSI Brish Standards Instute BSI (German) Bundesamt fuer Sicherheit in der Informaonstechnik ISO Internaonal Organizaon for Standardizaon IEC Internaonal Electrotechnical Commission NIST (USA) Naonal Instute for Standards and Technology
U oblas bezbednos informacija, IS /IEC su objavili najviše standarda od kojih je najznaajnija tzv. serija IS /IEC 27000, koja dosta lii na seriju standarda IS 9000 za kontrolu kvaliteta. U oblas bezbednos informacija, IS /EC su objavili najviše standarda od kojih je najznaajnija tzv. serija IS /IEC 27000, koja dosta lii na seriju standarda IS 9000 za kontrolu kvaliteta (Prilog 1). Standarde zašte informacija donosi Meunarodni tehniki komitet za standardizaciju ISO/IEC JTC1/SC27, formiran 1990. (Sl. 2.2) [61].
Sl. 2.2. Organizaciona šema Tehnikog komiteta ISO/IEC JTC 1SC 27 34
O Š FOJ
bim poslova Komiteta su standardi za zaštu informacija i IKTS, ukljuujui generike metode, tehnike i uputstva, koji obuhvataju sve aspekte zašte informacija i privatnos, kao što su: metodologija za upravljanje bezbednosnim zahtevima; ISMS; kriptografski i drugi mehanizmi zašte; dokumentacija i terminologija zašte; bezbednosni aspek upravljanja identetom i zaštom privatnos; metodologija i kriterijumi za evaluaciju zašte itd. Komitet ima pet radnih grupa: WG1 – za upravljanje zaštom, WG2 – za kriptografske algoritme i druge mehanizme zašte, WG3 – kriterijumi za procenu/evaluaciju zašte, WG4 – servisi i kontrole zašte i WG5 – tehnologije za zaštu privatnos i upravljanje identetom [12, 22, 24, 25, 26]. 2.4. 4. Klasifikacija standarda zaštite Uobiajena klasikacija standarda zašte je na eksterne i interne. Eksterni (industrijski) standardi, tzv. standardi najbolje prakse zašte su šire prihvaeni i namenjeni (ali ne iskljuivo) za upravljanje sistemom zašte, analizu rizika, obuku, evaluaciju i serkaciju i akreditaciju sistema i proizvoda zašte. Prednos u odnosu na interne standarde su u tome što obezbe uju bolje tesranje proizvoda zašte, lakše otkrivanje i brže ksiranje ranjivos i bržu razmenu iskustva iz prakse zašte. Nedostaci su što ih periodino treba usaglašava sa kriterijumima za razvoj sistema zašte (Sl. 2.3.) [74].
Sl. 2.3 Klasikacija standarda zašte
BO FOO
35
Eksterni standardi su naješe korišeni u praksi zašte i obuhvataju set širom sveta, empirijski potvr enih principa zašte [43, 48, 49, 50, 64]. Denicija najbolje prakse zašte informacija je kompleksna, raznolika i obuhvata više izvora. Na meta nivou deniše se kao: „Dokumentovane, pristupane, ekasne, odgovarajue i široko prihvaene strategije, planovi, takke, procesi, metodologije, akvnos i pristupi, razvijeni od strane kompetentnih enteta i izvršeni sa adekvatno obuenim personalom, koji su usklaeni sa postojeim zakonima i regulavama, vremenom se potvrdili kroz istraživanje, evaluaciju i praksu kao efekvni u obezbeivanju zašte na prihvatljivom nivou rizika i koji se neprekidno revidiraju i poboljšavaju u skladu sa promenama okruženja, tehnologija, pretnji, organizacije i sl.” [61]. vaj pristup („odozgo nadole”) pomaže u razumevanju osnovnih i kljunih atributa generike, najbolje prakse i elemenata, važnih za zaštu informacija [21, 74]. Glavni ciljevi ovih standarda su da promovišu najbolju praksu zašte, poboljšaju nivo bezbednos, smanje rizik na prihvatljiv nivo i pomognu dalji razvoj standarda. Za uspostavljanje upravljivog poslovnog okruženja, gde se rizik mora drža pod kontrolom, potrebno je, na bazi procene rizika, redenisa kontrole najbolje prakse zašte i izabra one koje daju najbolje rezultate, implemenra standard u sve faze životnog ciklusa i upravlja promenama – održava efekvan i ekasan skup kontrola zašte na bazi regularne procene rizika. Implementacija standarda najbolje prakse zašte pomaže organizaciji: da se ukljui u meunarodno prihvaenu praksu zašte, upravlja rizikom, izgradi poverenje drugih enteta, smanji štetne posledice glavnih incidenata, uspešno bori prov kompjuterskog kriminala, usklauje praksu sa pravnim i normavnim zahtevima, održava konnuitet poslovanja i dr. Najbolja praksa zašte pino se implemenra u program IKTS zašte uz podršku i akvnu saradnju menadžmenta, administratora sistema, administratora i tehnikog revizora zašte [21, 43]. Glavni nedostatak je ne postojanje jedinstvenog modela najbolje prakse zašte. Razlozi su brojni faktori, kao što su razlii ucaji nacionalnih zakona i pravnih okvira u drugim zemljama, razliih i brojnih denicija najbolje prakse, veliki broj serkacionih tela i dr. Do sada najpotpuniji model najbolje prakse zašte nalazi se u priruniku „Hierarchy of Security” [64]. Interni standardi ukljuuju specikacione i proceduralne standarde. Specikacioni standardi denišu osnovnu zaštu za datu konguraciju IKTS, na bazi teorije zašte i izbora kontrola osnovne zašte (security baseline) iz kataloga kontrola za najbolju praksu zašte. Za izradu ovakvog standarda za vei, visoko distribuirani IKTS u Internet okruženju, potrebno je oko šest meseci rada. Kontrole osnovne zašte moraju se u fazi razvoja i implementacije dopuni na bazi analize i procene rizika sa kontrolama zašte, specinim za sistem i okruženje. Proceduralni interni standardi (upravljake i organizaciono-operavne kontrole) su korisni mehanizmi za opisivanje procedura procesa za administraciju i organizaciju prakse zašte i ukljuuju samo važne korake bez tehnikih detalja. Uglavnom su generiki i nisu specini za plaormu raunarskog sistema. Tehniki detalji se opisuju u tehnikoj dokumentaciji za ure aje/sisteme zašte.
36
O Š FOJ
2.4.5. Prednosti i nedostaci standarda zaštite snovne prednos standardizacije zašte IKTS su [1,6,12, 27, 43]: smanjenje kompleksnos upravljanja sistemom zašte, vea mogunost izbora i izrada standardne dokumentacije, obezbe enje interoperabilnos razliih sistema zašte, formiranje baze znanja iz oblas zašte, nezamenljivi alat u procesima serkacije i akreditacije sistema zašte, obezbe uje osetljive metode i deniše najbolju praksu zašte. snovni nedostatak standardizacije zašte je što ne postoji integralni standard za upravljanje zaštom, pa opšte prihvaenog standarda za upravljanje sistemom zašte (ISMS standard IS /IEC 27001), koji bi pored odgovora „ŠTA“ dao instrukcije i „KAKO“ to treba uradi u zaš (pa IS /IEC 21827 ili SSE CMM – System Security Engeneering Capability Maturity Model, rev. 2008) [49]. Me um, zbog prirode koncepta zašte, verovatno je dobro da se takvi standardi nikada ne pojave. Implementacija standarda i normavno uskla ivanje, sami po sebi nisu dovoljni. Ako su konzistentno primenjeni, standardi obezbe uju opmalne uslove za razvoj programa i projektovanje sistema zašte, a normavno uskla ivanje obezbe uje zaštu specinih i osetljivih informacija. U programu zašte preporuuje se integracija internih i eksternih standarda najbolje prakse zašte i usaglašavanje sa normavima, da bi se izgradio sveobuhvatni okvir za merenje i evaluaciju procesa zašte u organizaciji. Lista relevantnih standarda zašte data je u Prilogu 2.
2.5. NORMATIVNI OKVIR ZAŠTITE Normavni okvir obezbe uje znaajne funkcije osnovnog sloja zašte, kao što su: ise znaaj zašte informacija na državnom nivou, koncentriše resurse na strateškim pravcima istraživanja i razvoja, zahteva obuku i obrazovanje, sankcioniše zloupotrebe zašte, obavezuje na serkaciju i akreditaciju i dr. U normavnom okviru posebno mesto imaju podzakonski pravni ak (npr. Pravilnici o uspostavljanju PKI (Public Key Infrastructure), CA i digitalnog potpisa itd.) i standardi zašte [37, 58, 77]. Na nivou svake države uglavnom postoji Zakon o zaš informacija, koji obavezuje pojedince i poslovne sisteme da šte svoje informacije u e-okruženju, propisuju obavezan obim zašte, od ega i kako š privatnost korisnika i kakve su sankcije za povrede sistema zašte [75, 76]. Pored zakona o zaš informacija, na nivou države potrebni su i donose se brojni zakoni koji regulišu kompjuterski kriminal (Zakon o kompjuterskom kriminalu, Zakon o digitalnom dokazu, Zakon o sudskom veštaenju u oblas IKT, Zakon o formiranju CIRT i CERT tela i dr.) [13, 32].
BO FOO
37
Globalni karakter kompjuterskog kriminala zahteva da se u razvoju programa zašte razmatraju usklaenost sa meunarodnim zakonima, regulavama i standardima, razlike pravosudnih sistema, ugovorne i obaveze o uvanju poslovnih tajni, zašta privatnos i linih podataka. U razvoj programa zašte treba ukljui nacionalni zakonski okvir, koji reguliše p podataka kojima se pristupa, naine korišenja, skladištenja ili procesiranja u IKTS organizacije i idenkova sve primenljive normavne zahteve. Globalizacija IKT i transnacionalna priroda kompjuterskog kriminala, zahtevaju usklaenost zakona, regulava i standarda zašte na me unarodnom nivou. Razlike u pravosudnim sistemima uu na istragu transnacionalnog kompjuterskog kriminala. Tako e, legalni zahtevi državnih organa za zadržavanje podataka, kao i za zaštu privatnos u periodu njihovog zadržavanja, variraju od države do države. EU je usvojila Direkvu o privatnos i elektronskim komunikacijama (25.07.2002.), zahtevajui od provajdera Internet servisa da u odre enom periodu zadržavaju podatke na svim e-komunikacijama. Autorska prava moraju bi zašena na nain koji zadovoljava legalne zahteve. Poverljive i informacije o intelektualnoj svojini, program zašte mora š na nain koji zadovoljava minimalne zahteve zakona o zaš poverljivih informacija, da bi se moglo obezbedi zakonsko gonjenje poinioca u pravosudnom sistemu gde je krivino delo izvršeno. U mnogim zemljama Zakon o borbi prov kompjuterskog kriminala je neadekvatan i ne pokriva na is nain transnacionalni kriminal, koji se mora istraživa, dokaziva i sankcionisa usaglašenim i standardizovanim procedurama i alama u svim ukljuenim pravosudnim sistemima [1]. Ugovori i ugovori o neotkrivanju poslovnih tajni – NDA (Non Disclose Agreement) moraju na is nain trera vlaste i IKTS objekte druge ugovorne strane, što esto nije sluaj. rganizacije moraju ima eksplicitnu poliku i procedure zašte koje zadovoljavaju zahteve zakona o kompjuterskom kriminalu i neotkrivanju poslovnih tajni u konkretnom pravosudnom sistemu. Zašta privatnos i linih podataka u brojnim pravosudnim sistemima, nije komplerana i usaglašena sa zakonima EU, uprkos velikom prisku javnos. Preporuke da se privatnost i lini podaci šte opšm i tehnikim merama zašte, ostavljaju prostor za proizvoljnost i uvek su jeinije rešenje za organizaciju, nego obavezna zašta propisana zakonom.
2.6. DOKUMENTACIJA ZAŠTITE U M metodološka osnova programa zašte je dokumentacija zašte, koja se može klasikova ma internu i eksternu. snovni zahtevi za dobru dokumentaciju zašte su da bude laka za upotrebu/održavanje, da sadrži tane i ažurne informacije, da je odgovarajua za ciljne korisnike i da sadrži samo relevantne i bitne informacije. 38
O Š FOJ
Bezbednost i zašta informacija nisu staki elemen. d krinog znaaja je da se revizija dokumenata zašte vrši najmanje jedanput godišnje, a za operavnu zonu, koja zahteva vei stepen zašte, i eše. Revizija ukljuuje dokumenta zašte, korekciju otkrivenih ranjivos, usaglašavanje sa promenama standarda, normava, tehnologija i okruženja, a esto i ažuriranje polike i procedura zašte. Glavne kategorije dokumentacije zašte prikazane su na slici 2.4. [74]
Sl. 2.4. Klasikacija dokumentacije zašte Primeri dokumentacije zašte prikazani su u tabeli 2.3. Tabela 2.3. Primeri dokumentacije zašte Upravljaka dokumentacija Interne procedure Projektna dokumentacija Tehnika dokumentacija Ostala dokumenta Program zašte ISMS polika Industrijski standardi Uputstva za zaštu Radna dokumenta
Interna dokumentacija ugovori, planovi, izveštaji, NDA itd. za izveštavanje, reviziju izmena, administraciju itd. za implementaciju skenera zašte itd. ure aja zašte, tehniki izveštaji, testovi i sl. materijal za obuku, dokumenta sa konferencija itd. Eksternu dokumentaciju programsku poliku na nivou organizacije za upravljanje sistemom zašte informacija za upravljanje, obuku, nadzor i reviziju itd. za upravljanje VD, administraciju zašte itd. radne liste, uzorci, katalozi kontrola zašte i dr.
BO FOO
39
Uputstva zašte ne uvode promene u upravljaki okvir, za razliku od standarda zašte. ine ih upravljaka i tehnika uputstva, koja daju detaljnije informacije o specinim pitanjima zašte. Radna dokumenta su namenjena za poveavanje razumevanja prakse zašte (grake prezentacije i ek liste, tehniki bilteni itd.).
2.7. REZIME Konzistentni principi zašte informacija su osnovni, gradivni elemen na kojima se zasnivaju procesi zašte. Opšte prihvaeni principi zašte (GAISP) usmeravaju menadžment na izvršnom nivou i pomažu organizaciji da deniše efekvnu strategiju zašte. Namenjeni za upravljanje sistemom zašte, fundamentalni su i retko se menjaju. GAISP principi obuhvataju tri kategorije - opšte, funkcionalne i detaljne principe. Opš GAISP principi se odnose na upravljanje i sadrže devet principa. Funkcionalni su gradivni blokovi opšh, a odnose se na operavno upravljanje i detaljnije denišu takku izgradnje efekvne arhitekture sistema zašte. Detaljni GAISP principi zašte koriste funkcionalne kao okvir, namenjeni su za profesionalce, a obezbe uju specino, sveobuhvatno uputstvo za dnevne akvnos u procesu upravljanja rizikom i sistemom zašte. Standardi zašte obezbe uju pravila za upravljanje sistemom zašte, a mogu se izvodi iz normava, industrijske prakse ili iskustava. Primarni cilj standarda nije sama standardizacija, nego smanjenje kompleksnos sistema upravljanja zaštom, mogunost izbora standardne dokumentacije i obezbeenje interoperabilnos. Eksterni industrijski standardi su brojni, na primer za upravljanje sistemom zašte, analizu rizika, obuku itd. Interni standardi, specini za organizaciju, predstavljaju jezgro za formiranje okvira za upravljanje, dodaju vrednost poslovanju i pomažu interpretaciju polike zašte. Dele se na specikacione i proceduralne. Standardi najbolje prakse zašte obezbe uju kontrole za osnovnu zaštu. Za specinu organizaciju i okruženje, ove kontrole je potrebno ažurira na bazi procene rizika. Normavni okvir obezbe uje pravni okvir i obavezu organizovanja i uspostavljanja sistema zašte informacija i sankcionisanja prekršioca; ise znaaj problemake zašte na najvišem državnom nivou; koncentriše resurse na najznaajnijim, strateškim pravcima istraživanja; koordinira obuku i obrazovanje; obavezuje serkaciju i akreditaciju sistema zašte i dr. Metodološku osnovu programa zašte ine interna i eksterna dokumentacija. Interna dokumentacija, u odnosu na sistem zašte, obuhvata upravljaku dokumentaciju, procedure, projektnu i tehniku dokumentaciju i ostala dokumenta. Eksterna dokumentacija obuhvata poliku zašte, industrijske standarde, uputstva za zaštu i druga radna dokumenta. Uputstva za zaštu su precizne instrukcije za upravljanje sistemom zašte, koje ne obavezuju korisnike da ih striktno sprovode za razliku od zakona i standarda zašte. 40
O Š FOJ
2.8. KLJUNI TERMINI Detaljni GAISP principi zašte: gradivni blokovi funkcionalnih principa, obezbe uju specina, sveobuhvatna uputstva za dnevne akvnos u procesima upravljanja zaštom. Eksterni standardi zašte: nastaju izvan organizacije koja ih koris, šire su prihvaeni za upravljanje sistemom zašte i druge procese zašte. Funkcionalni GAISP principi zašte: detaljnije denišu takku izgradnje efekvne arhitekture sistema zašte i ine gradivne blokove opšh principa. GAISP principi zašte: sveobuhvatna hijerarhija instrukcija za obezbe enje opšte prihvaenog, konzistentnog okvira za zaštu informacija, koji mogu ima i izuzetke. Interni standardi zašte: specini su za organizaciju i dele se na specikacione i proceduralne; jezgro su za upravljanje sistemom zašte i dodaju vrednost IKTS.
Normavni okvir: zakoni i podzakonska akta u oblas zašte obezbe uju osnovni okvir za širu implementaciju programa zašte IKTS i mehanizme sankcionisanja za nesprovo enje. Opš GAISP principi: namenjeni za upravljanje sistemom zašte, fundamentalni su, retko se menjaju, a obuhvataju 9 principa za zaštu informacija. Princip: fundamentalna isna, ili zakonitost koja se uzima bez dokazivanja kao osnova za izvršavanje racionalne akvnos u procesu realizacije nekog koncepta. Proceduralni interni standardi: mehanizmi za opisivanje procedura za administratore ili korisnike zašte; ukljuuju samo najvažnije korake, bez tehnikih detalja i generiki su. Specikacioni interni standardi: denišu opmalan sistem osnovne zašte za datu konguraciju IKTS. Standardi zašte: obezbe uju pravila upravljanja sistemom zašte, a mogu se izvodi iz normava, industrijske prakse i iskustava.
2.9. PITANJA ZA PONAVLJANJE 1. Skup sistemskih principa zašte predstavlja obavezan okvir u koga se ugra uju specini GAISP principi zašte, a obuhvata: a. nikad sam, rotacija radnih mesta, razdvajanje dužnos, minimum privilegija b. nikad sam, rotacija radnih mesta, razdvajanje dužnos, minimum privilegija, zna samo što je potrebno, principe upravljanja IKT sistemom c. uvek sam, rotacija radnih mesta, razdvajanje dužnos, zna samo što je potrebno, minimum privilegija, principe upravljanja IKT sistemom d. što duže na jednom radnom mestu, objedini što više dužnos radi smanjenja kadrova, upravljanje zaštom razdvoji od upravljanja IKT sistemom
2. Isto lice ne može istovremeno obavlja sledee parove funkcija u IKTS: a. operavni rad na raunaru – programiranje b. unos i priprema podataka za obradu – uvanje elektronskih medija; c. obrada podataka – kontrola kvaliteta IKTS d. operavni rad na raunaru – obrada podataka e. prijem osetljivih informacija – predaja osetljivih informacija f. programiranje aplikacija – kontrola ovlašenja za pristup g. programiranje aplikacija – administracija baza podataka h. projektovanje, implementacije/modikacija sistema zašte – programiranje
BO FOO
41
3. Princip minimuma privilegija znai: a. dava minimum pristupa objekma IKTS b. dava što je mogue manje privilegovanih prava pristupa objekma IKTS c. dava pristup što manjem broju korisnika objekma IKTS 4. Sistemski princip nikad sam: a. spreava monopolski položaj b. spreava samokontrolu u IKTS i sistemu zašte c. obezbe uje samokontrolu u IKTS i sistemu zašte d. zahteva zapošljavanje najmanje dva lica na bezbednosno relevantno mesto e. znai da ni jedan servis zašte ne treba da kontroliše samo jedan administrator zašte 5. pšte prihvaene principe zašte (GAISP) mogu da koriste: a. specijalis zašte za razvoj sistema zašte b. proizvo ai u proizvodnji komponen i ure aja zašte c. menadžeri za razvoj i implementaciju poslovnih procesa d. proizvo ai proizvoda zašte u procesu prodaje komponen/ure aja zašte e. vlasnici informacija i menadžeri za razvoj programa zašte 6. Navedite koji principi spadaju u opšte GAISP principe zašte: a. princip sves o potrebi zašte i odgovornos b. princip stalnog preispivanja i ekog ponašanja c. princip povremenog preispivanja i procene d. princip proporcionalnos i dekompozicije e. princip muldisciplinarnos i dezintegracije 7. Princip proporcionalnos znai da: a. kontrole zašte treba projektova, implemenra i primenjiva za zaštu informacija proporcionalno proceni rizika
42
O Š FOJ
b. kontrole zašte treba projektova, implemenra i primenjiva za zaštu informacija proporcionalno zahtevima korisnika c. sistem zašte treba projektova, implemenra i primenjiva za zaštu informacija proporcionalno zahtevu vlasnika sistema 8 Detaljni principi zašte namenjeni su: a. vlasnicima sistema b. izvršnim menadžerima c. specijalisma zašte 9. Primarni cilj standarda zašte je: a. sama standardizacija zašte b. smanjenje kompleksnos zašte c. mogunost izbora i izrade standardne dokumentacije d. obezbe enje interoperabilnos sistema zašte e. formiranje baze znanja iz oblas zašte 10. Glavni ciljevi standarda najbolje prakse zašte su: a. promovisanje najbolje prakse zašte b. smanjenje nivoa bezbednos c. smanjenje rizika na prihvatljiv nivo d. omoguavanje daljeg razvoja mehanizam zašte 11. Standard zašte: a. je usvojen i objavljen dokument b. uspostavlja specikaciju i procedure c. obezbe uje da dokumenta, materijali, proizvodi, metodi ili servisi zašte, odgovaraju nameni i konzistentno izvršavaju saopštenja polike zašte d. sadrži skup rešenja za pokrivanje specinih bezbednosnih zahteva za održavanje rizika na prihvatljivom nivou e. obezbe uje instrukcije za razvoj, implementaciju i održavanje IKTS f. uvodi promene u upravljaki okvir sistema zašte 12. Standard IS /IEC 27001 obezbe uje: a. uputstvo za upravljanje i izbor kontrola zašte b. standard za upravljanje sistemom zašte informacija
c. upravljake, operavne i tehnike kontrola zašte d. tehniki standard za specine tehnologije i metriku za evaluaciju zašte 13. Generiki, hijerarhijski model standarda zašte ukljuuje: a. principe, metodologiju, elemente standarda, uputstvo, dodatke za primenu, tehnike i alate b. terminologiju, elemente standarda, uputstvo, dodatke za primenu, tehnike i alate c. terminologiju, principe, metodologiju, elemente standarda, uputstvo, dodatke za primenu, tehnike i alate d. terminologiju, principe, metodologiju, elemente standarda, tehnike i alate 14. Standarde zašte informacija donosi tehniki komitet: a. BSI b. BSI (GERMAN) c. IS /IEC TC1/SC27 d. NIST (USA) e. IS 15. Standardi zašte se klasikuju na: a. eksterne i interne b. industrijske i organizacijske c. specikacione i proceduralne d. tehnike i proceduralne 16. snovne karakteriske dobre dokumentacije zašte su: a. laka za upotrebu/održavanje i sadrži tane i ažurne informacije b. što kraa i sa glavnim podacima, odgovarajua za sve korisnike c. sadrži opšte podatke iz vremena izrade dokumentacije d. odgovarajua za sve grupe korisnika, sadrži samo relevantne informacije e. odgovarajua za ciljne korisnike i sadrži samo relevantne i bitne informacije
17. Interna dokumentacija zašte ukljuuje: a. upravljaku dokumentaciju i interne procedure b. program zašte i ostalu dokumentaciju (materijal za obuku, instrukcije) c. poliku zašte i industrijske standarde d. projektnu dokumentaciju i tehniku dokumentaciju e. uputstva za zaštu i radna dokumenta (kontrolne liste, uzorci, katalozi, ...) 18. Eksterna dokumenta zašte ukljuuju: a. upravljaku dokumentaciju i interne procedure b. program zašte i ostalu dokumentaciju (materijal za obuku, instrukcije) c. ISMS poliku zašte i industrijske standarde d. projektnu dokumentaciju i tehniku dokumentaciju e. uputstva za zaštu i radna dokumenta (kontrolne liste, uzorci, katalozi...) 19. snovne funkcije normava zašte informacija su: a. ise znaaj zašte informacija na nivou organizacije b. koncentriše resurse na takkom nivou istraživanja i razvoja c. zahteva obuku i obrazovanje, sankcioniše zloupotrebe d. obavezuje na serkaciju i akreditaciju 20. Glavni atribu kvaliteta standarda zašte su: a. dokumentovan, raspoloživ i sveobuhvatan b. izdat od strane nacionalnog tela za standardizaciju c. adekvatan nameni, rentabilan, obavezno prihvaen d. usaglašen sa zakonima i da obezbe uje indikatore progresa e. usaglašen sa polikom zašte i da obezbe uje indikatore progresa
BO FOO
43
3.
METODOLOGIJE, MODELI I OKVIRI SISTEMA ZAŠTITE
3.1. UVOD Metodologije i okviri zašte IKTS uspostavljaju se u kontekstu organizacije na osnovu internih ili šire prihvaenih industrijskih standarda. Metodologije i okviri se grupišu zajedno, naješe kao upravljake kontrole i dodaju strukturu procesima zašte. Za razvoj i implementaciju sistema zašte kljuni koncep su metodologija, tehnologija, praksa i odgovornos u zaš. Klasina metodologija za razvoj životnog ciklusa IKTS – SDLC (System Development Life Cycle) preuzeta je kao formalna metodologija i za razvoj sistema zašte [59]. Me um, ova ni bilo koja standardna metodologija, nisu pogodne za veinu razvojnih projekata savremenih IKTS (npr. za e-poslovanje i podsisteme zašte), koji se razlikuju od klasinih po distribuciji servisa, brzini promena okruženja i tehnologija, pa zahtevaju nove pristupe procesima projektovanja i razvoja. U praksi zašte malo je verovatno da e se primenjena metodologija podudari sa bilo kojom poznatom. bino projektant izabere metodologiju koja najviše odgovara, a zam kreira sopstvenu, kombinujui poznate metodologije. Metodologije za razvoj tradicionalnih IKTS (SDLC, vodopada, brzog odziva itd.), razvijane su za razliita okruženja i ne mogu se lako prene u web okruženje sa enormnim porastom rizika. Za zaštu web aplikacija od presudnog znaaja je pouzdano upravljanje kvalitetom sistema zašte web aplikacija gde je primenljiva, na primer, metodologija vektora zašte, koja kombinuje standarde ISO/IEC 15408, ISO/IEC 27001 i ISO/IEC 21827 [45, 50, 49].
3.2. METODOLOŠKI OKVIRI ZA RAZVOJ SISTEMA ZAŠTITE Dugoroni okvir za razvoj sistema zašte obezbe uje strategija zašte. Koncept strategije zašte ukljuuje presek stanja sistema zašte, viziju željenog bezbednosnog
44
O Š FOJ
stanja, inicijave za doszanje tog stanja, sistem indikatora za praenje progresa i akcioni plan za izvršavanje strateškog cilja (Sl. 3.1).
Sl. 3.1. Strategija bezbednos IKTS u funkciji sistema zašte Razvoj i implementacija sistema zašte obuhvata eri kljuna koncepta: metodologiju, tehnologiju, operavnu praksu i odgovornos (Tabela 3.1). Tabela 3.1. Kljuni koncep za razvoj sistema zašte Koncep
Primeri realizacije
Metodologija
Principi: GAISP (sveobuhvatnost, integralnost, modularnost ...). Modeli: IKTS, procesa, arhitekture sistema zašte itd. Metodi: kvantavni, kvalitavni; primena standarda najbolje prakse. Razvoj procesa: projektno–procesni i SE pristup; plan zašte …
Tehnologija
Ala i tehnike: hardversko–soverski; manuelne, polu-automatske tehnike. Tehnike kontrole: hardversko/soverski mehanizmi i protokoli.
Praksa zašte
Operavne kontrole: akvnos proceduralne zašte.
dgovornost
Upravljake kontrole: pripisivanje odgovornos za zaštu.
Metodologije i okviri u oblas zašte razvijaju se na bazi internih i/ili opšte prihvaenih industrijskih standarda. ba konteksta su jednako znaajna. Primeri metodologija i okvira zašte su brojni [44, 49, 63, 74]. Kada neka organizacija primeni metodološki okvir na odre eni projekat zašte, razmatrajui sve organizacione, projektne i mske varijable, malo je verovatno da e se okvir potpuno podudari sa bilo kojom poznatom metodologijom za razvoj IKTS. Savremeni IKTS za e-poslovanje, web servise u distribuiranom Internet raunarstvu – CC (Cloud Compung) i sistemi njihove zašte, zahtevaju veu pažnju za razvoj interfejsa ovek–mašina za automazaciju upravljanja, veu potrebu za mskim radom i nove pristupe procesima projektovanja i razvoja. BO FOO
45
Svaka metodologija u potpunos je odre ena denisanjem: principa, koncepata, metoda i toka razvoja procesa zašte. Principi su aksiomatske, fundamentalne isne, ili relavno nepromenljive zakonitos koje se uzimaju kao osnova za izvršavanje racionalne akvnos u procesu realizacije nekog koncepta. U oblas zašte usvojeni su GAISP principi. Koncept zašte, naješe model, približna je aproksimacija realnog sistema zašte, kojim se deniše razumevanje osnovnih funkcionalnos ili strukturnih elemenata organizacije zašte. U praksi zašte, naješe upotrebljavani modeli su funkcionalni, strukturni i objektno–orijensani, a koncep – reakvnog i proakvnog sistema zašte. Detaljan pregled primenljivih modela u oblas zašte, može se nai u literaturi [6, 10, 25, 34]. U razvoju sistema zašte generalno se koriste tri mogue metodologije, koje kao upravljaki okvir koriste [74]: (1) poliku zašte, (2) procenu rizika, (3) standarde najbolje prakse zašte i njihove kombinacije. Primenjene pojedinano, ove metodologije obezbe uju koncept klasinog, reakvnog sistema zašte, ili zašte od poznah napada. Kombinovane, namenjene za najviši nivo (idealne) zašte i univerzalne pove organizacija, poslovnog okruženja i prola rizika, obezbe uju zaštu od poznah i nepoznah pretnji (tzv. proakvnu zaštu). Metodologija na bazi standarda najbolje prakse zašte ne uzima u obzir realno stanje konkretne organizacije, pa za jednu organizaciju može bi idealna, a za drugu redundantna ili ne-efekvna. va metodologija daje dobre rezultate u kombinaciji sa ažurnom polikom zašte i regularnom procenom rizika, koja obezbe uje neophodne konkretne informacije za opmalnu zaštu. Tehnologije zašte (tehnike i ala) su hardversko soverski mehanizmi i protokoli implemenrani u sistem zašte. Pod alama zašte se u širem smislu podrazumevaju proceduralne (upravljake i operavne) i tehnike kontrole (hardversko-soverski mehanizmi i protokoli) zašte. Ala su sredstva za realizaciju koncepata zašte, a metodi primene alata ukljuuju tehnike zašte, koje su dokumentovane obino u tehnikoj dokumentaciji ure aja za zaštu. Procesni razvoj sistema zašte zahteva poznavanje, planiranje, formalni opis, denisanje, kontrolu, evaluaciju i poboljšavanje procesa zašte. U metodologiji sistemskog inženjerstva (SE) proces je skup ljudi, sredstava i povezanih akvnos, usmerenih za poszanje nekog jedinstvenog cilja; proces ima svoj poetak i kraj, a u kontekstu sistema zašte može se ciklino neprekidno ponavlja (npr. nadzor i revizija, obuka i edukacija). Redosled izvršavanja akvnos u procesu zašte denišu procedure zašte, koje dokumentuju procese zašte. Proces zašte je i transformator ulaznih veliina u sistem zašte u, oekivano, vee izlazne veliine i integrator kljunih atributa posla: ljudi, tehnologija i metoda za izvršavanje zadataka [86]. Projekat zašte ukljuuje proces/skup procesa usmerenih na izvršavanje zajednikih zadataka i poszanje jedinstvenog bezbednosnog cilja, ograniene resurse za realizaciju (m, vreme, sredstva) i njihove me usobne veze. Zbog kompleksnos savremenih IKTS, strateške inicijave zašte retko se implemenraju kroz jedan projekat. bino se razvoj sistema zašte razbija na manje projekte, koji se mogu izvrši za tri do šest meseci, sa
46
O Š FOJ
relavno manjim budžetom i koji se implemenraju prema prioritema utvr enim na bazi bezbednosnih zahteva i procene rizika [74].
3.3. MODELOVANJE SISTEMA ZAŠTITE 3.3.1. Strukturni modeli distribuiranog IKT sistema Model je apstrakcija realnog sistema, a koris se za pojednostavljenu prezentaciju problema kojeg treba reši. Postoje eri generika pa modela: ziki (npr. automobila), naravni (npr. pisani i tekstualni), graki (npr. arhitektura sistema) i matemaki (formalni za krine i skupe procese). U modelovanju IKTS i sistema zašte koriste se naravni (naješe funkcionalni), graki i matemaki modeli. Namena svakog modelovanja je da smanji kompleksnost sistema. U modelovanju sistema zašte preuze su i koriste se svi klasini modeli za modelovanje IKTS: linearni (životnog ciklusa, vodopada), iteravni, sa brzim odzivom itd. Zbog kompleksnos IKTS i sistema zašte, u projektovanju i razvoju sistema zašte najbolje rezultate pokazuju strukturni i objektno orijensani modeli ( M). Strukturni model zašenog (bezbednog) IKTS sadrži tri glavne komponente: (1) skup pasivnih i akvnih objekata, kojima se pristupa na kontrolisan nain, (2) skup akvnih subjekata, koji koriste i pristupaju objekma i (3) skup pravila na osnovu kojih subjek koriste i pristupaju objekma. Strukturni modeli koriste princip dekompozicije objekata IKTS na skupove, prema denisanim kriterijumima (jedinstveni bezbednosni ciljevi, jedinstvene funkcije itd.), a odbacuju nebitne komponente i tako smanjuju kompleksnost sistema. U sledeim primerima da su neki povi primene strukturnih modela [81]. Primer 1: Strukturni model visoko distribuiranih zašenih IKTS SI modela, obuhvata sledee bezbednosno relevantne grupe dekomponovanih objekata, koji se, sa svoje strane, mogu po potrebi dalje dekomponova na: lokalnu mrežu, kanale i sredstva veze, komutacione ureaje, centar za obradu informacija, udaljene pristupe, legalne i nelegalne korisnike sistema, nosioce informacija (magnetne, opke i dr.), izdvojene radne stanice i tehniku bekapovanja [21]. Primer 2: U modelovanju mehanizma logike kontrole pristupa, u odre enom vremenskom trenutku svi povi korišenja i pristupa subjekata (S) objekma sistema (O) ine bezbedno stanje sistema. Model deniše bezbedno stanje sistema matricom pristupa – (M) koju ine: (redovi – subjek (S), kolone – objek (O) i elije matrice – atribu prava pristupa (A) za korišenje O od strane S.
Dakle, elije matrice se mogu denisa sa: M ( S , O)
A,
što znai da subjekat S ima prava pristupa i korišenja pa A na objektu O.
BO FOO
47
Svakom O u sistemu pridružuje se referentni monitor, poseban kontrolni program koji kontroliše pristup do tog O na sledei nain: subjekat S zahteva pristup do objekta O na nain a, operavni sistem kreira trojku (S,O,a) i dostavlja je programu referentnog monitora za objekat O, monitor upore uje atribute pristupa A(S,O) iz matrice pristupa, primenjujui zahtev a, ako je a jedan od atributa, pristup je dozvoljen, ako ne – odbija se. Primer 3: strukturno modelovanje arhitekture sistema zašte RM smanjuje kompleksnos u eri koraka: 1. Korak: Analiza mrežnog plana i uklanjanje svake informacije, koja nije neophodna za sistem osnovne zašte, vrši se kroz procedure za pripremu i reviziju plana topologije, redukciju kompleksnos idenkovanjem grupa slinih objekata i skupljanje informacija o IKTS. Uloga modelovanja sistema osnovne zašte IKTS u procesu razvoja sistema zašte prikazana je na Sl. 3.2. [6].
Sl. 3.2. Izlaz modelovanja sistema osnovne zašte IKTS 2. Korak: Ažuriranje mrežnog plana ili delova plana, sa stvarnim stanjem topologije RM i kombinovanje idennih komponen u jednu grupu, koja se u strukturnom modelu predstavlja jednim objektom. Komponente RM mogu bi grupisane u istu grupu ako su sve istog pa i imaju idenne ili skoro idenne osnovne konguracije, povezane u mreži na is ili skorio is nain (npr. na is komutator), nalaze se u ism administravnim, infrastrukturnim i bezbednosnim uslovima, koriste iste aplikacije itd. Ako su ovi uslovi ispunjeni onda uzorak jedne grupe može bi predstavnik bezbednosnog stanja grupe u celini. Najznaajniji momenat u grupisanju objekata IKTS je grupisanje servera i klijentskih raunara. bino u organizaciji postoji veliki broj raunara, koji se može smanji na upravljiv broj grupa, ako se sledi navedena procedura. Kada se grupisanje svih komponen RM izvrši, svaka grupa je jedinstvena zona bezbednos, koja se u planu predstavlja sa po jednim objektom za zaštu.
48
O Š FOJ
3. Korak: Denisanje kategorija bezbednosnih ciljeva za svaku zonu na bazi zajednikih pretnji. Gubici koji mogu nasta, zbog gubitka CIA informacija, pino se mogu grupisa u sledee scenarije pretnji [6]: povreda zakona, regulava ili ugovora, gubljenje ili smanjenje tanos informacija, zike povrede, gubljenje ili slabljenje radnih rezultata, negavni efek na ugled organizacije i nansijske posledice. esto jedan sluaj može ukljui nekoliko kategorija gubitaka. Na primer, pad aplikacije može sprei da se izvrši bitan poslovni zadatak, izazva nansijski gubitak i gubitak ugleda. Da bi se povukle jasne granice izme u kategorija bezbednosnih ciljeva nizak, srednji, visok (ili druge sline granulacije), treba denisa gornje i donje granice za svaki individualni scenario pretnji. 4. Korak: Grupisanje ish ili slinih kategorija bezbednosnih zahteva u zajednike zone bezbednos sa ism bezbednosnim ciljem, radi smanjenja kompleksnos. Zam se jedinstveno opisuje svaki p objekta u svakoj bezbednosnoj zoni i formira matrica koja sumira tokove važnih podataka izme u zona. Glavne prednos denisanja bezbednosnih zona su smanjenje kompleksnos IKTS za sve aspekte zašte, pojednostavljenje dijaloga sa upravom i grupisanje sistema/objekata sa slinim bezbednosnim zahtevima (Prilog 3) [74].
U klasinom objektnom pristupu, strukturno modelovanje je zastarelo najmanje iz dva razloga: (1) podele na akvne (subjekte) i pasivne (objekte) i (2) što se svaki program (metod) realizuje od strane konkretnog korisnika. Realizacija objekta je složena, jer objekat ispunjavanja volju korisnika i uvek se može smatra da korisnik direktno ili indirektno na svoj rizik zahteva od nekog objekta odre eni servis. U tradicionalnom pristupu zaš važan zahtev je bezbednost ponovljenog korišenja objekata (pasivnih nosilaca informacija, kao što su dinamike memorije itd.), što je u kon!iktu sa fundamentalnim principom dekompozicije objekata. Takav objekat nije mogue sanira metodom prepisivanja (naizmeninih 0 i 1), osim ako sam ne sadrži odgovarajui metod. Ukoliko takav metod postoji, pouzdanost išenja memorije zavisi od korektnos njegove realizacije. snovni problem strukturnog pristupa je u tome što nije primenljiv u ranoj fazi analize i modelovanja, kada se do algoritma i funkcije dekompozicije još nije sglo. Zato je nužno uves model „šireg spektra” – M, koji nema takve konceptualne razlike sa realnim sistemima, a može se primenjiva u svim fazama razvoja kompleksnih sistema [21]. 3.3.2. Objektno orijentisano modelovanje sistema zaštite Znanja i iskustva iz M, na kojem se zasniva projektovanje savremenih IKTS i predstavlja isproban SE metod za smanjivanje kompleksnos sistema, slabije se koriste u oblas zašte informacija. Svaki racionalan metod za smanjenje kompleksnos primenjuje princip dekompozicije u manji broj relavno nezavisnih objekata sa minimalnim brojem njihovih veza. M koris dekompoziciju strukture IKTS na objekte, tj. ponašanje sistema opisuje se terminima me usobnih dejstava objekata, pri emu nema pasivnih,
BO FOO
49
ve su svi objek akvni, a po potrebi izazivaju naine ponašanja jedan drugoga. Detalji realizacije h ponašanja su skriveni (inkapsulirani), a povezivanje objekata dostupno je samo interfejsu. Za razumevanje pojma objekta IKTS zahteva se razumevanje klasikacije i kategorizacije objekata i uvo enje pojma klase objekata. Generiki, klasikacija bilo kojih objekata mora da ima sledee atribute [81]: meusobnu iskljuivost: spreava preklapanja ili klasikaciju u jednu kategoriju; potpunost: unija svih kategorija obuhvata sve mogue klasikacije; nedvosmislenost: svaka klasikacija mora bi jasna i precizna; ponovljivost: svaki proces klasikacije mora bi ponovljiv – da daje is rezultat; prihvatljivost: svaka klasikacija mora bi logina i intuivna; primenljivost: klasikacija mora bi primenljiva u razliim oblasma. U kontekstu sistema zašte, pod bezbednosnom kategorizacijom podrazumeva se klasikacija objekata IKTS u kategorije sa ism bezbednosnim ciljevima, na koje se mogu primeni svi navedeni atribu klasikacije. Bezbednosna klasikacija informacija se odnosi na bezbednosne nivoe informacija (npr. interne, poverljive, strogo poverljive, državna tajna) [25, 61]. Klasa je apstrakcija skupa stvarnih karakteriska realnog sveta, objedinjenih jednakom opštom strukturom i ponašanjem. Objekat je elemenat klase, tj. apstrakcija odre ene stvarnos. bjek su akvni elemen, koji imaju unutrašnju strukturu i nain ponašanja, koji se opisuje tzv. metodom objekta. Na primer, može se odredi klasa „korisnika”, koja oznaava opš pojam korisnika sa opšm korisnikim podacima i metodama ponašanja, a zam objekat – „korisnik XY” sa odgovarajuim konkretnim podacima i mogue posebnim nainom ponašanja. Znaajni pojmovi M zašte su inkapsulacija, nasleivanje, polimorzam, grane objekta, nivo dekompozicije, komponente objekta i kontejner [21]. Inkapsulacija komponen objekta, osnovni instrument smanjenja kompleksnos sistema, podrazumeva skraivanje unutrašnje strukture objekta, detalja realizacije i metoda ponašanja i smanjivanje složenos realizacije, održavajui vidljivim samo znaajne interfejse na datom nivou aproksimacije. Nasleivanje je formiranje nove klase objekata na osnovu postojee, sa mogunošu dodavanja ili ponovnog odre ivanja podataka i naina ponašanja. Dopušta razvoj komponen u ranoj fazi razvoja sistema, ne narušavajui integritet složenog objekta. Važan je faktor smanjenja mulplikavnih elemenata realnog sistema, gde se opšta informacija ne duplira, nego se samo ukazuje na postojee promene, ime klasa-potomak postaje koren nove klase-naslednika. Polimorzam je sposobnost objekta da se svrsta u više od jedne klase, što zavisi od aspekta i kriterijuma posmatranja objekta i omoguava grupisanje objekata sa slinim karakteriskama. Važno je uoi da nasle ivanje i polimorzam zajedno, omoguavaju modularnu nadogradnju M.
50
O Š FOJ
Grane objekta su relavno nezavisne karakteriske realnog objekta, koje smanjuju kompleksnost zašte i bolje od polimorzma omoguavaju raznolikost aspekata apstrakcije i posmatranja objekata. Za struktuiranje bezbednosnog cilja razvoja integrisanog sistema zašte informacija i smanjenje kompleksnos, uvode se skupovi grana objekata: grane informacionih objekata: raspoloživost, integritet i poverljivost informacija (CIA), koje možemo smatra relavno nezavisnim i, ako su sve tri obezbe ene, smatra se da je obezbe en i zašen IKTS i grane objekata sistema zašte: upravljake, organizaciono-operavne i tehnike kontrole zašte. be grane objekata razmatraju se sa razliim nivoima detalja. Zakoni, normavi i standardi odnose se na sve subjekte u informacionom okruženju, dok se administravne mere odnose na sve subjekte u predmetnoj organizaciji. Proceduralne mere se odnose na pojedince ili grupe korisnika – ljudi u okviru IKTS, a hardversko-soverske – na tehnike mehanizme i protokole zašte. Prelaskom sa jednog na drugi nivo zašte primenjuje se karakteriska nasleivanja – svaki sledei nivo se ne menja, nego dopunjuje sa prethodnim nivoom zašte, što omoguava koncept slojevitos zašte i polimorzam (npr. subjek u razliim ulogama – administratori zašte, obini korisnici...). Na ove relavno nezavisne grane deluje i princip inkapsulacije, što sušnski oznaava da je svaka grana relavno nezavisna. va dva skupa grana možemo nazva ortogonalnim, pošto za ksnu granu u jednom skupu (na primer, raspoloživost), treba razmatra sve elemente iz drugih skupova (proceduralnih i tehnikih kontrola). Dva ortogonalna skupa sa brojem elemenata od tri daje osam kombinacija ortogonalnih skupova, što je još uvek prihvatljiv nivo kompleksnos. Nivo dekompozicije je važan, ne samo za vizuelizaciju, nego i za sistemsku analizu složenih objekata, predstavljenu u hijerarhijskoj formi. Koncept dekompozicije je jednostavan: ako se tekui nivo hijerarhije razmatra sa nivoom detalja n>0, sledei se razmatra sa nivoom detalja (n–1); objekat sa nivoom detalja 0 smatra se atomizovanim (nedeljivim); nivoi detalja variraju za objekte i za grane objekta. Komponenta objekta se može denisa kao višestruko korišeni sastavni elemenat objekta, koji ima sve karakteriske M. Kontejner sadrži više komponen i formira opš kontekst me udejstava sa drugim komponentama i okruženjem. edan kontejner može ima ulogu komponente drugog kontejnera. Pojmovima komponente i kontejnera mogu se na sušnski nain predstavi istovremeno sistem zašte i objek IKTS koji se šte, posebno, pojam kontejnera može odredi granice zone zašte (perimetar ili domen zašte).
BO FOO
51
3.4. REZIME Strategija zašte obezbe uje okvir za razvoj sistema zašte za dugorone bezbednosne ciljeve. Razvoj i implementacija programa i sistema zašte ukljuuju koncepte metodologije, tehnologije, operavne prakse i odgovornos u zaš. Metodologije i okviri u oblas zašte se grupišu zajedno, naješe kao upravljake kontrole, pošto dodaju strukturu procesima zašte, a uspostavljaju se na osnovu internih i eksternih (industrijskih) standarda. ba konteksta su jednako znaajna. Svaka metodologija u potpunos je odre ena, denisanjem principa, modela, metoda upotrebe i toka razvoja procesa. pšta metodologija za razvoj sistema zašte generalno koris: poliku zašte, procenu rizika, standarde najbolje prakse zašte i njihove kombinacije. Za razvoj sistema zašte mogu se koris brojni klasini modeli za projektovanje IKTS i procenu rizika (SDLC, vodopada, sa brzim odzivom i dr.), ali bolje rezultate daju strukturni i OOM, ija je osnovna prednost smanjenje kompleksnos. Strukturni model u kojem subjek izvršavaju dozvoljene akvnos nad objekma sistema, prove se algoritamskoj dekompoziciji, kojom se sistem deli na funkcionalne objekte i prikazuje funkcionalnim modelom. snovni problem strukturnog pristupa je što nije primenljiv u ranoj fazi analize, kada se do algoritma i funkcije dekompozicije još nije sglo. Takve zahteve zadovoljava OOM, koji nema konceptualne razlike sa realnim sistemima i može se primenjiva u svim fazama razvoja kompleksnih sistema. OOM karakterišu inkapsulacija, nasleivanje i polimorzam. Za struktuiranje bezbednosnog cilja razvoja integrisanog sistema i smanjenje kompleksnos zašte informacija, uvode se grane informacionih objekata (CIA), a za struktuiranje sredstva za poszanje tog cilja – grane objekata sistema zašte (U, ,T kontrole).
3.5. KLJUNI TERMINI Metodologija: nauka o metodama; sistem organizovanja principa, modela (koncepata), metoda, tehnika i alata, toka procesa (redosleda akvnos) i kontrola razvoja procesa. Model: aproksimacija realnog sistema, koja najpribližnije predstavlja tokove procesa, funkcionisanje i/ili druge relevantne atribute realnog sistema. Objekat zašte: ziki/logiki objek informacione imovine, koji se šte implemenranim sistemom zašte.
52
O Š FOJ
Okvir: ambijent u kojem se nešto rešava (zakonski, normavni, metodološki). Pouzdanost: funkcionalno-operavna, enika mera korektnog funkcionisanja u propisanim granicama komponen, ure aja, podsistema i sistema u operavnom radu. Procedura: denisan i uspostavljen nain rada i odvijanja procesa korak po korak.
3.6. PITANJA ZA PONAVLJANJE 1. Metodologije i okviri su: a. upravljake kontrole koje dodaju strukturu procesima zašte b. grupišu se zajedno, naješe kao upravljake kontrole c. grupišu se zajedno, naješe kao operavne kontrole d. razvijaju se na bazi internih i/ili opšte prihvaenih industrijskih standarda e. uspostavljaju se u kontekstu organizacije za svaki projekat zašte 2. Strategija zašte: a. obezbe uje okvir za kratkorone bezbednosne ciljeve sistema zašte b. sadrži konsolidovanu viziju tekueg i željenog bezbednosnog stanja sistema c. ukljuuje indikatore za praenje progresa i presek stanja sistema zašte d. ukljuuje akcioni plan za izvršavanje takkih ciljeva zašte 3. Za razvoj programa i sistema zašte, generalno se koriste metodologije na bazi: a. polike zašte b. SDLC (razvoja životnog ciklusa) c. upravljanja rizikom d. najbolje prakse zašte e. ISO/IEC 21827 i ISO/IEC 27001 4. Standardne metodologije i okviri zašte odgovaraju: a. u potpunos za projektovanje savremenih IKTS sistema b. u potpunos za projektovanje sistema za e-poslovanja i Cloud Compung c. samo ako su kombinovani i prilago eni kontekstu i okruženju organizacije d. samo ako su usaglašeni sa normavima zašte 5. snovne komponente strukturnog modela bezbednog IKTS su: a. skup pasivnih i akvnih objekata, kojima se pristupa na kontrolisan nain b. skup akvnih subjekata, koji koriste i pristupaju objekma c. skup pravila na osnovu kojih subjek koriste i pristupaju objekma d. skup akvnih objekata, koji koriste i pristupaju objekma IKTS e. skup objekata ije se ponašanje opisuje njihovim me usobnim dejstvima
6. snovni koraci u procesu strukturnog modelovanja IKTS i sistema zašte su: a. analiza i ažuriranje topologije mrežnog plana i grupisanje komponen istog pa u istu grupu b. analiza plana zašte, ažuriranje topologije mrežnog plana i odre ivanje zona bezbednos, c. odre ivanje troškova zašte i grupisanje komponen istog pa u istu grupu d. grupisanje ish/slinih kategorija bezbednosnih zahteva u zajednike zone bezbednos e. denisanje kategorija bezbednosnih zahteva/ciljeva za svaku zonu 7. Grane informacionih objekata u M sistema zašte obuhvataju: a. raspoloživost, poverljivost, integritet i autenkaciju b. upravljake kontrole, raspoloživost, poverljivost, integritet i autenkacija c. upravljake, tehnike i organizaciono – operavne kontrole d. raspoloživost, poverljivost, integritet 8. Grane objekata za zaštu u M sistema zašte obuhvataju: a. raspoloživost, poverljivost, integritet i autenkacija b. upravljake kontrole, raspoloživost, poverljivost, integritet i autenkacija c. upravljake, tehnike i organizaciono – operavne kontrole d. raspoloživost, poverljivost i integritet 9. Strukturna svojstva M su:: a. inkapsulacija, nasle ivanje, polimorzam, grane objekta, nivo dekompozicije, komponente objekta i kontejner zašte b. inkapsulacija, polimorzam, grane objekta, nivo dekompozicije i kontejner zašte c. inkapsulacija, nasle ivanje, polimorzam, grane objekta, komponente d. objekta i denisanje programa zašte 10. Procesni razvoj sistema zašte zahteva: a. neformalni opis procesa zašte b. denisanje procesa zašte c. kontrolu i poboljšavanje procesa zašte d. formalni opis procesa zašte BO FOO
53
4.
KONCEPTI SISTEMA I KONTROLE ZAŠTITE
4.1. UVOD Misija sistema zašte je da održava bezbednosno stanje informacija i IKTS na prihvatljivom nivou rizika. U praksi se zahteva izbalansirana i komplementarna zašta, u kojoj se manje ekasne i efekvne kontrole zamenjuju sa ekasnijim i efekvnijim, a tehnike dopunjuju sa proceduralnim kontrolama. Primena samo tehnikih kontrola predstavlja parcijalno rešenje reakvne zašte ili “popravku” sistema od poznah ranjivos i pretnji. Prema podacima NIST–a (2008), oko 99% svih registrovanih upada u IKTS, rezultat su korišenja poznah ranjivos S ili grešaka konguracije, za koje su bile na raspolaganju kontrole zašte, ali nisu implemenrane. vo, kao i sluajni karakter ucaja dinamiki promenljivih i kombinovanih pretnji na informacionu imovinu i poslovanje, zahtevaju proakvnu zaštu od poznah i nepoznah ranjivos i pretnji. Cilj denisanja koncepta kontrola zašte je da se, na osnovu rezultata procene rizika, obezbede skupovi skalabilnih upravljakih (U), operavnih (O) i tehnikih (T) kontrola za osnovni, poboljšani i visoki nivo zašte.
4.2. KONCEPT SISTEMA REAKTIVNE ZAŠTITE 4.2.1. Sistem reaktivne zaštite Koncept reakvne zašte je zašta od poznah ranjivos i pretnji. Sistem reakvne zašte u veini sluajeva kasni, a nove soscirane tehnike napada ine nekorisnim prethodno ažurirane denicije virusa u AVP. Reakvna zašta je pina za veinu IDS sistema, ali ne i za savremene IDPS sisteme [87].
54
O Š FOJ
U praksi se naješe doga a incident koji nije planiran i za kojeg se misli da se nikada nee dogodi. Sistem zašte se vrlo esto razvija neplanirano, kao reakcija na poslednji napad ili vanredni doga aj (VD), ili neuskla eno sa procenom rizika i potrebama, ime se stvara redundantan i skup reakvni sistem zašte. Tako e, primena samo T kontrola predstavlja parcijalno rešenje reakvne zašte, gde popravljeni sistem ostaje sa ranjivosma. Ipak, u sistemu reakvne zašte brojne akvnos imaju proakvni karakter, kao što su odluka menadžmenta za uvoenje sistema zašte, primena nekog metoda za procenu rizika, izbor opmalnih kontrola, razvoj sves o potrebi zašte, podrška menadžmenta i dr. [61]. 4.2.1.1. Funkcionalni model reaktivne zaštite unkcionalni model (Sl 4.1) sistema reakvne zašte sadrži sledee glavne faze: idenkaciju stanja zašte, procenu rizika, planiranje i implementaciju poboljšanih kontrola zašte, operavno održavanje, nadzor, reviziju, obuku i obrazovanje [61].
Sl. 4.1. unkcionalni model sistema reakvne zašte pš funkcionalni modeli upravljanja sistemom reakvne zašte može se denisa na više naina i sa razliih aspekata. Sa metodološkog aspekta, upravljanje sistemom reakvne zašte najbolje se može predstavi procesom upravljanja rizikom u IKTS, koji obuhvata faze planiranja, izbora T kontrola, modela zašte, razvoja/akvizicije i selekcije kontrola i izrade uputstva za upravljanje rizikom/sistemom zašte [63]. Upravljanje sistemom reakvne zašte u RM SI (Open System Interchange) modela, mora odražava sva saopštenja polike zašte. Ente koji su obuhvaeni jedinstvenom
BO FOO
55
polikom zašte, u sistemu kojeg administrira jedan autoritet, organizuju se u jedinstveni domen zašte. Primeri procesa upravljanja sistemom zašte su distribucija kriptografskih kljueva, izveštavanje o incidentu, akviranje/dezakviranje servisa zašte, implementacija polike zašte i sl. Baza podataka zašte (BPZ) je skladište svih relevantnih informacija za upravljanje sistemom višeslojne zašte. Svaki krajnji sistem treba da sadrži lokalne informacije za primenu polike zašte. Naješe je BPZ distribuirana, u meri neophodnoj da se primeni konzistentna polika zašte u krajnjim sistemima. U praksi zašte, delovi BPZ mogu, ali ne moraju, bi integrisani u bazu podataka IKTS. BPZ se može realizova kao relaciona baza podataka i datoteka ili sa pravilima unutar sovera ili hardvera realnog SI sistema. 4.2.1.2. Ocena kvaliteta sistema reaktivne zaštite U sistemu reakvne zašte, organizacije u Internet okruženju pino primenjuju tri mogua, u sušni reakvna, rešenja i to da: (1) ne preduzimaju ništa, (2) primenjuju manuelne ili polu–automazovane metode bezbednosnih popravki (patches) ili (3) izvrše „ad hok” samozaštu sa izolovanim tehnikim rešenjima na distribuiranim takama IKTS. Metod „ne preduzima ništa“ naješe se zasniva na uverenju „da se to nee baš nama dogodi i sl“. Nažalost, pravi dokaz o postojanju pretnje obino dolazi, posle uspešno izvršenog napada sa nekim gubitkom. Slino je kada IKTS ima samo logiku mrežnu barijeru (rewall) ili neku drugu staku formu infrastrukture zašte, koja ne pruža dovoljnu zaštu za online režim rada [21]. Manuelna i improvizovana metoda bezbednosnih popravki ranjivos predstavlja stari metod reakvne zašte. Teoretski je mogue pra sve potencijalne izvore pretnji, preuze sve relevantne bezbednosne popravke ranjivos i zam tesra i instalira svaku od njih, na svakom potencijalno ugroženom RS. Me um, potrebno je znaajno vreme za idenkovanje, manuelno ksiranje i tesranje potencijalno ranjivih RS u mreži, što je krino u sluaju neposrednog rizika od napada sa Interneta. U odnosu na prvu opciju, ni ovo rešenje ne obezbe uje valjanu strategiju zašte. Vremenski prozor reakvne zone zašte, sa razliim rešenjima i manuelnim otklanjanjem ranjivos, nalazi se izme u vremena objavljivanja iskorišenja odre ene ranjivos i manuelne popravke te ranjivos (Sl. 4.2) [53]. Neusaglašena rešenja zašte na izolovanim, distribuiranim takama IKTS su relavno spora i skupa, a trenutno preovla uju u svetu. buhvataju slojevitu zaštu po dubini, na više nivoa i sa više razliih komponen zašte. Upravljanje ovakvim sistemom vremenski je zahtevno, skupo i kompleksno. Rešenje je efekvno za jednokratnu upotrebu, ali ne obezbe uje koherentnu, integralnu i uniformnu zaštu IKTS. Bez centralizovanog upravljanja ovaj sistem ne obezbe uje analizu i vremensku korelaciju velikog broja bezbednosno relevantnih podataka i njihovu razmenu u realnom vremenu, pa 56
O Š FOJ
su organizacije primorane da samostalno reaguju na bezbednosne incidente i preduzimaju skupe mere za oporavak sistema. Sve mere zašte u reakvnoj zoni usmerene su na reakvno saniranje i oporavak sistema. Manuelne popravke ostaju u reakvnoj zoni, a esto se Sl. 4.2. Vremenski prozori proakvnih i reakvnih ne apliciraju duže vreme sistema zašte [53] od objavljivanja iskorisvos. U ovoj zoni se nalaze i razliita rešenja postojeih sistema reakvne zašte, od kojih se veina fokusira na otkrivanje ranjivos sistema. Pre nego što saniraju ranjivost, moraju utroši vreme na njeno otkrivanje, analizu i objavljivanje popravke. Administratori zašte nemaju realne mogunos da izdvoje krine ranjivos od minornih, a obian IDS preduzima akvnos, tek kad je proces napada u toku. sim toga, za analizu incidenta podaci se manuelno skupljaju sa razliih taaka i u raznim formama iz log datoteka distribuiranih RS, što znatno usporava i otežava analizu. Manuelne i polu–automatske popravke ranjivos sistema, danas su standardni metodi koji obezbe uju nedovoljno jaku, ali kontrolisanu zaštu na prihvatljivom nivou rizika. Reakvni sistemi zašte troše velike resurse za planiranje, bekapovanje i oporavak sistema od, esto, samo jednog napada. Rešenje je da se implemenra rentabilna proakvna detekcija napada i IKTS š od poznah i nepoznah pretnji.
4.3. KONCEPT SISTEMA PROAKTVNE ZAŠTITE Prvi korak u razvoju sistema proakvne zašte je korišenje baza znanja (npr, ISC CBK (Internaonal Security Consorcium – Common Body of Knowladge) i drugih servisa najbolje prakse zašte, koji omoguavaju korisnicima sopstvenu implementaciju i upravljanje zaštom. U ovim bazama znanja uskladištene su, denisane i opisane U, i T kontrole najbolje prakse zašte za niske, srednje i visoke nivoe rizika. Koncept sistema proakvne zašte obezbe uje zaštu od iskorišenja poznah i nepoznah ranjivos, zaustavljanjem malicioznih napada na samom izvoru nastanka. Koris najsavremenije tehnologije zašte i proakvne mere ranog otkrivanja, predvianja i spreavanja malicioznih napada, npr. IBM Provena® Desktop Endpoint Security je dizajniran da zaustavi napad pre nego se dogodi [41].
BO FOO
57
Sistem proakvne zašte obezbe uje veu rentabilnost vremena i troškova od postojeih reakvnih sistema. Idealan zahtev je da sistem zašte reaguje maksimalno brzo i precizno na kombinovane, dinamiki promenljive pretnje (DPP). 4.3.1. Funkcionalni model proaktivne zaštite Metod proakvne zašte obuhvata mehanizme zašte na više nivoa, sa razliim brzinama reakcije i tanos, sa veom ukupnom efekvnošu, redukovanim operavnim rizikom i znatno nižim troškovima razvoja, rada i održavanja. Koncept sistema DPP zašte nudi novi proakvni pristup, u kojem se zašta realizuje kombinacijom baza znanja, vrhunske tehnologije za proakvnu zaštu, procesnog pristupa i pojednostavljenog rešenja sistema zašte [53,41]. Baze znanja vodeih obaveštajnih mreža CIRT i CERT (npr. X– TaskForce, IBM ISS – Internet Security System), prikupljaju podatke o pretnjama i ranjivosma sistema i obezbe uju ažuran bilten podataka (X–Press Updates) u kojem se objavljuje oko 45% ranjivos aktuelnih sistemskih programa u svetu ili 3 puta više od ostalih. X– Force detaljno opisuje brojne ranjivos sistema. Na Sl. 4.3. prikazan je Sl. 4.3. Procenat otkrivanja ranjivos IKTS procenat ukupno otkrivenih visoko u periodu 1998–2005. [53] rizinih ranjivos u svetu u periodu 1998–2005. godie [53]. Vrhunska tehnologija višeslojne proakvne zašte obezbe uje automazaciju ciklusa zašte sa elemenma ekspertnih sistema, a pino obuhvata [41, 53]: ureaj za zaštu (Protecon Engine), koji sadrži IDPS i Modul za reagovanje na incidente i obezbe uje nelinearnu zaštu i upravlja sa IDPS, ureaj za zaštu lokacije (Site Protector), koji obezbe uje komande i centralizovano upravljanje doga ajima i mehanizmima zašte u RM i RS, integrator sistema (Fusion System), koji vrši obradu signala, obezbe uje prepoznavanje obrazaca i analizira ucaje DPP napada, modul za ažuriranje (X–Press Updater), koji automatski ažurira bazu podataka sa podacima CERT/CIRT mova.
58
O Š FOJ
DPP Protecon Engine obezbe uje realizaciju mehanizama DPP zašte, a ugra uje se u sva rešenja IBM ISS kao što su: skeneri sistema zašte, IDPS (pa RealSecure 10/100, RealSecure Gigabit Network, RealSecure_Nokia, RealSecure_Crossbeam, ProvenaA...), soversko–hardverski sistemi za spreavanje napada (ProvenaG), višefunkcionalni ure aji za zaštu (ProvenaM), IDPS servera (Real Secure server) i IDPS radne stanice (Real Secure Desktop) [41, 53]. Procesni pristup zaš i pojednostavljeni proces zašte, bitne su komponente koncepta proakvne DPP zašte. Borba prov nepoznah pretnji zahteva brzo reagovanje na tek otkrivenu iskorisvu ranjivost, pre nego je neka pretnja iskoris. Rešenja DPP zašte koriste jedinstveni mehanizam virtuelne zakrpe (Virtual Patch) za automatsko ksiranje poznah i potencijalnih ranjivos sistema. Na primer IBM/ISS Provena, radi tako što obezbe uje privremeni zaklon ili “virtuelne bezbednosne popravke“ za zaštu u nultom danu; spreavaju iskorišenje ranjivos od poznah i nepoznah pretnji; ne oslanjaju se na denicije AVP, eliminišu potrebu hitnih popravki, otklanjaju rizik štete od popravki i omoguavaju primenu popravki u toku održavanja sistema i uobiajenih napada. vaj mehanizam omoguava organizaciji da trenutno, u realnom vremenu, zaš sistem od poznah i nepoznah napada, esto znatno ranije od zvaninog generisanja i objavljivanja popravki za nove ranjivos sistema. Na slici 4.4a. na vremenskoj osi prikazana je zona proakvne zašte [53].
a)
b) Sl. 4.4. Zona - (a) i prošireni prozor proakvne zašte – (b) [53]
BO FOO
59
Proces proakvne zašte poinje sa trenutkom otkrivanja/objavljivanja ranjivos sistema. Zam sledi generisanje napada, koji može iskoris otkrivenu ranjivost sistema, ali obavezno ne mora. Konano, generiše se i aplicira nova bezbednosna popravka za otklanjanje ove iskorisve ranjivos. Iako je vreme od otkrivanja do iskorišenja ranjivos promenljivo, popravka se esto aplicira tek kada je šteta ve naneta, zbog potrebnog vremena za manuelnu popravku distribuiranih ranjivos, raspoloživos popravki za nove ranjivos, tek kada su ranjivos iskorišene i sve kraeg vremena izmeu otkrivanja ranjivos i njenog iskorišenja. U vremenu od otkrivanja do iskorišenja ranjivos, nalazi se prozor proakvne zašte. U taki otkrivanja ranjivos sistema akvira se Virtual Patch proces, akvira sistem za proakvnu zaštu i obezbe uje zaštu i bez poznavanja informacije o iskorisvos te ranjivos, koja se može generisa znatno kasnije. Dakle, zonu proakvne zašte od DPP (Sl. 4.4a) obezbe uje Virtual Patch proces, koji š sistem od nepoznah pretnji. U stvari, proakvna zona zašte se proteže i na zonu pre otkrivanja ranjivos sistema (Sl. 4.4b), što omoguavaju stalni procesi istraživanja i dubokog razumevanje prirode ranjivos IKTS, sistem ranog upozorenja o otkrivenim ranjivosma (ISS – obino 30 dana pre javnog otkrivanja, a 24 sata ranije od drugih enteta) i sistem automatskog ažuriranja bezbednosno relevantnih informacija, dobijenih od istraživakog CERT ma. Dakle, Virtual Patch proces obezbe uje rezervno vreme do pojave dovoljno ažurne bezbednosne popravke, koja ne zahteva individualno krpljenje i manuelno restartovanje sistema; redeniše bezbednost sistema tako da se operacije zašte izvršavaju kao deo normalnog procesa upravljanja promenama IKTS, što omoguava mnogo efekvnije i ekasnije planiranje resursa i brže reagovanje na poznate i nepoznate pretnje. Primer: IBM realni sistem proakvne zašte sadrži: upravljanje ranjivosma, IDPS, upravljani servisi zašte i prevenvni anvirusni sistem (VPS), koji se instalira na mrežnoj kapiji i PC raunarima, pra realne napade, otkriva nepoznate napade (0–dana), zaustavlja trku sa napadaima i ne zahteva ažuriranje denicija AVP. VPS na mrežnoj kapiji, koji spreava nove viruse da uopšte prodru u mrežu. va višeslojna zašta obuhvata kombinovane tehnologije za spreavanje upada virusa (VPS), AVP i an–špijunske denicije, za spreavanje preplavljivanja bafera, IDPS usmerene na ranjivos, personalne barijere i kontrolu aplikacija [41].
Proakvni sistem zašte, u pore enju sa reakvnim, posže rentabilnije vreme analize i upravljanja rizikom, veu tanost i brzinu otkrivanja i bolje spreavanje napada. Kako pretnje i ranjivos rastu, sistem zašte mora bi brži, precizniji i pouzdaniji. Napadaima je za efekvan napad dovoljna margina greške od svega 1%. Centralna plaorma za DPP zaštu, obezbe uje znatno bolju zaštu cele RM i smanjuje kompleksnost, eliminiše lažne alarme, znatno smanjuje ukupne troškove zašte i približava se opmalnom sistemu zašte. Proakvni sistem zašte zadovoljava zahteve savremenih trendova zašte virtuelizovanog okruženja u distribuiranom Internet raunarstvu (CC), mreža u razvoju, mobilnih ure aja, senzorskih sistema za ziku zaštu, alternavnih puteva isporuke mehanizama zašte, upravljanja rizikom i identetom [41]. 60
O Š FOJ
4.4. KONCEPT KONTROLA ZAŠTITE 4.4.1. Osnovne karakteristike kontrola zaštite Kontrola zašte je interfejs izme u korisnika i mehanizma zašte, krajnja klasikacija mehanizma zašte, a implicira da se svaki mehanizam zašte mora kontrolisa. Tipino, to je neka funkcija dizajna sistema zašte i odnosi se na tehnike i proceduralne mehanizme. Kvalitet kontrole zašte odre uju njene funkcionalne karakteriske: robusnost (otpornost na napade), adapvnost (eksibilnost – mogunost zamenljivos i skalabilnost – mogunost proširivanja), organizacija i struktura u procesu zašte. Kvalitet kontrole zašte osnov je za evaluaciju kvaliteta procesa zašte u procesu serkacije i akreditacije i kvaliteta garantovane bezbednos IKTS [33, 61, 82, 83]. Robusnost kontrole deniše stepen jaine bezbednosne funkcije – nivo garantovane bezbednos, zavisno od efekvnos implementacije, a omoguava denisanje kontrola sa razliim intenzitetom zašte. dre ena je sa dva kljuna faktora: intenzitetom bezbednosne funkcije ili relavnom merom potrebnog rada ili troškova za proboj korektno implemenrane kontrole i nivoom osnove za scanje poverenja u efekvnost kontrole, denisane sa 3 nivoa robusnos – osnovni (o), srednji ili poboljšani (p) ) i visoki (v). Adapvnost (skalabilnost i eksibilnost) omoguava nadgradnju, poboljšanje i izbor skupa kontrola, adekvatnih za poliku zašte i potrebe organizacije. Skalabilnost implicira modularnost nadgradnje kontrola, a eksibilnost elasnu primenu poznah formi zašte (npr. bekapovanje sedmino, meseno, dnevno). Struktura kontrole zašte ima standardnu formu iz više razloga. Postoje brojni povi razliih kontrola zašte, koje se mogu iskoris u konkretnom sistemu. Kontrole se dinamiki razvijaju i menjaju u zavisnos od promena u sistemu upravljanja, operavnom okruženju, pretnjama i tehnologijama zašte. Struktura dokumentovane kontrole zašte treba da sadrži sekcije: (1) cilja za o, p i v, zaštu, (2) opisa specinih zahteva i detalja za o, p i v zaštu i (3) mapiranja sa zahtevima za zaštu, da se izbegne dupliranje kontrola. Organizacija kontrola zašte u klase i familije obezbe uje njihovu lakšu primenu. U skladu sa M postoje klase upravljakih (U), operavnih (O) i tehnikih (T) kontrola zašte, koje sadrže familije, a ove – kontrole [83]. Klasa U kontrola zašte odnosi se na upravljanje sistemom zašte i rizikom i sadrži pet familija. Klasa O kontrola sadrži devet familija, podržava U i T kontrole, a primarno ih izvršavaju ljudi. Klasa T kontrola sadrži eri familije, a ukljuuje hardversko-soverske mehanizme i protokole zašte, koje izvršava sistem. Kontrole familije Upravljanja programom – PM (Program management) mogu se smatra opšm kontrolama zašte na nivou organizacije (uvedene su u rev. 3). Tipino pokrivaju više IKTS i obino se speciciraju u planu
BO FOO
61
zašte, umesto u katalogu kontrola. U Tabeli 4.1. prikazane su klase, pripadajue familije i jedinstveni idenkatori familija za srpsku i (englesku) konvenciju kodiranja [33, 83]. Tabela 4.1. Klase, familije i idenkatori kontrola zašte Idenkator UP (PM)
Klasa
BA (CA) PS (PL)
Familija kontrola Upravljanje programom Serkacija i akreditacija sistema zašte
Upravljaka
Planiranje sistema zašte
PR (RA)
Procena rizika
AS (SA)
Akvizicija sistema i servisa zašte
S (AT)
Svest o potrebi i obuka u zaš
UK (CM)
Upravljanje konguracijom
PP (CP)
Planiranje konnuiteta poslovanja
UI (IR) IS (SI)
Upravljanje incidentom rganizaciono –operavna
Integritet sistema i informacija
S (MA)
državanje sistema zašte
ZM (MP)
Zašta medija
Z (PE)
izika i zašta okruženja
PZ (PS)
Personalna zašta
R (AU)
Revizija i odgovornos
KP (AC) IA (IA)
Tehnika
ZS (SC)
Kontrola pristupa Idenkacija i autenkacija Zašta sistema i komunikacija
edinstveno kodiranje svake kontrole, primenom standardizovane konvencije, obezbe uje jednoznanu idenkaciju: klase: numerike oznake (1, 2, 3...), familije: sa dva velika slova koja jednoznano denišu ime familije, nivoa robusnos: o–osnovna, p–poboljšana i v –visoka robusnost i broj kontrole: ispred ovog idenkatora, odre uje redosled kontrole u okviru familije prema prioritetu bezbednosnog znaaja.
Primer: PZ–4.o jedinstveno oznaava etvrtu kontrolu zašte sa osnovnim nivoom robusnos u familiji Personalna zašta.
Dimenzije kontrola zašte–životni ciklus, forma, namena, kategorija, karakteriske i parametri implementacije, odre uju njihov kvalitet (Tabela 4.2). 62
O Š FOJ
Tabela 4.2. Dimenzije kontrola zašte Dimenzija kontrole zašte Životni ciklus Forma
Opis atributa dizajn, implementacija, održavanje, odlaganje polika, procesi, tehnologija
Namena
prevencija, odvraanje, detekcija, redukcija, oporavak, korekcija, monitoring, razvoj sves
Kategorija dogaaja
kontrola gubitaka, kontrola pretnji, kontrola ranjivos
Karakteriske
robusnost, eksibilnost
Parametri implementacije
cena, bene, priorite
4.4.2. Skup kontrola za sistem osnovne zaštite Izbor adekvatnih kontrola za ispunjavanje specinih zahteva za zaštu, demonstrira stvarnu odlunost organizacije za zaštu CIA informacija [48]. Skup kontrola za sistem osnovne zašte je minimalan. Preporuuje ga najbolja praksa zašte za pian IKTS, a obezbe uje održavanje ukupnog preostalog rizika na prihvatljivom nivou. Rentabilne kontrole zašte odre uju se i biraju na bazi bezbednosne kategorizacije i klasikacije informacione imovine i procene rizika. Za efekvnu zaštu treba koris kontrole zašte denisane u bazama znanja i prilagodi ih specinosma organizacije u formi kataloga kontrola [33, 83], u kojem se idenkuju tri osnovna skupa U, O i T kontrola, koje odgovaraju niskom (N), srednjem (S) i visokom (V) nivou zašte, denisanom u procesu kategorizacije i klasikacije. Lista kontrola za osnovnu zaštu obezbe uje minimum zašte za odgovarajuu bezbednosnu kategoriju. Kontrole zašte, u svakom od tri osnovna skupa, sadrže kombinaciju akumuliranih kontrola sa tri nivoa robusnos. Na primer, za N nivo osnovne zašte katalog sadrži kontrole zašte sa osnovnim nivoom robusnos o; za S nivo osnovne zašte – kombinaciju kontrola zašte sa o i p nivoima robusnos; za V nivo osnovne zašte – kombinaciju kontrola zašte sa o, p i v nivoima robusnos. Pri tome ne postoji direktna korelacija izme u tri nivoa robusnos kontrola zašte i tri nivoa osnovnih skupova kontrola zašte. dgovarajue kontrole zašte biraju se za odgovarajue nivoe osnovne zašte. Na primer, neka kontrola zašte sa o nivoom robusnos, može se prvo pojavi na V nivou osnovne zašte ili se nikada ne pojavljuje, ve je samo na raspolaganju kao opcija organizaciji za dopunu skupa kontrola zašte. Neke kompenzujue ili univerzalne kontrole zašte, mogu se primenjiva u sva tri osnovna skupa kontrola zašte i za sve nivoe robusnos. Skup kontrola za osnovnu zaštu namenjen je za ublažavanje glavnih faktora rizika, a za N ucaj faktora rizika sadrži ukupno 198 (U= 42, O= 78 i T=78) kontrola sa N nivoom robusnos [83].
BO FOO
63
Mapiranje odgovarajuih kontrola sa specinim zahtevima za zaštu vrši se pomou matrice za praenja bezbednosnih zahteva – RTM (Requirements Traceability Matrix), koja se konstruiše idenkovanjem usaglašenih, specinih bezbednosnih zahteva i odgovarajuih kontrola zašte iz izabranih skupova kontrola za osnovnu zaštu, koje te zahteve ispunjavaju. Mapiranje može bi: 1:1, jedan zahtev rešava se sa jednom kontrolom zašte, 1:N, jedan zahtev rešava se sa više kontrola zašte, N:1, više zahteva rešava se sa jednom kontrolom zašte i N:M, više zahteva rešava se sa više kontrola zašte. U Tabeli 4.3. ilustrovan je primer dela RTM matrice za hipoteke zahteve za zaštom i standardizovan skup kontrola iz kataloga kontrola zašte. Tabela 4.3. Primer matrice praenja zahteva za zaštom Zahtevi zašte
Mapiranje
Kontrole zašte
Zahtev br. 1
1:1
PS–1o
Zahtev br. 2
1:N
PE–2o, PE–3o, PE– 6s, PE–7o
Zahtev br. 3, Zahtev br. 4
N:1
CM–2s
Zahtev br. 5, Zahtev br. 6
N:M
IA–1s, IA–2s, IA–4o
Kontrole zašte nisu stake kategorije i mogu se revidira na osnovu promena prakse, zahteva i tehnologija zašte. Modikacija kontrola zašte, mora proi rigoroznu raspravu, reviziju i konsenzus svih zainteresovanih strana u organizaciji. 4.4.3. Proces selekcije i implementacije kontrola zaštite Izbor opmalnih U, O i T kontrola zašte za ublažavanje faktora rizika na prihvatljiv nivo, važan je zadatak za svaku organizaciju. Pre izbora treba izvrši bezbednosnu kategorizaciju i klasikaciju informacione imovine i procenu rizika, ime se verikuje njihova vrednost. Prva akvnost u procesu izbora kontrola je opis faktora rizika sa liste prioritetnih rizika, koje treba ublaži na prihvatljiv nivo. Da bi se razumeli vrsta i intenzitet pokrivanja pretnji/rizika primenjenim kontrolama zašte, potrebno je odredi koji se faktori rizika i sa kojim kontrolama zašte ublažavaju, ne ublažavaju, zaobilaze ili su postali prihvatljivi preostali rizik. Za to su korisne dostupne taksonomije potencijalnih pretnji i ranjivos IKTS. edna od praknih taksonomija je podela pretnji na greške, prirodne dogaaje i namerne napade, koji se karakterišu prema pu, sposobnosma, resursima i namerama napadaa [22, 63].
64
O Š FOJ
U izboru kontrola za sistem osnovne zašte, procenjuje se pokrivanje pretnji/rizika sa kontrolama zašte na bazi mapiranja: 1:1,1:N i 0:N (nemogunost pokrivanja faktora rizika jednom ili više kontrola). Da bi se generisale adekvatne kontrole zašte za osnovnu zaštu treba izvrši analizu i procenu rizika u ranoj fazi razvoja IKTS. Ako se pokaže da su pokrivanja pretnji neadekvatna, mogu se poboljša kontrole za osnovnu zaštu, poveanjem njihove robusnos ili dodavanjem novih. Proces izbora kontrola zašte treba vodi na osnovu rezultata procene rizika. Primer metoda za procenu pokrivanja razliih pretnji osnovnim kontrolama zašte prikazan je u Prilogu 4 [25]. Bezbednosna klasikacija i kategorizacija informacione imovine, informacije o sistemu (obim, granice, dekompoziciju, krinost i izloženost sistema napadima itd.) uzima iz plana zašte, a na osnovu bezbednosnih zahteva [3,10, 65]. U sistemu zašte pojam klasikacije se odnosi na klasikaciju bezbednosnih nivoa informacija (npr. interne, poverljive, strogo poverljive, državna tajna itd.), a informacije se svrstavaju u kategorije u odnosu na p informacije (privatna, vojna, zdravstvena, nansijska, nauno–istraživaka, poslovna, diplomatska, obaveštajna itd.), koju denišu zakoni, uredbe, regulave, organizacije ili polika zašte [21]. Pod kategorizacijom se podrazumeva klasikacija svih objekata informacione imovine u bezbednosne kategorije, na koje se mogu primeni svi generiki kriterijumi klasikacije. Standardni proces kategorizacije uspostavlja bezbednosne kategorije za odre ivanje vrednos informacione imovine (A), koje se zasnivaju na kriterijumu ucaja faktora rizika na misiju organizacije, zaštu imovine, funkcionalnost, ispunjavanje obaveza i zaštu prava zaposlenih. Bezbednosne kategorije se denišu u odnosu na ranjivos sistema i pretnje u proceni rizika za ciljeve zašte CIA informacija [3]. Potencijalni ucaj na informacionu imovinu realizuje neki agent pretnje, probojem sistema zašte, tj. nekim gubitkom CIA. Prihvatljiva kvalitavna mera ucaja faktora rizika na objekte informacione imovine može bi: nizak (N), srednji (S), visok (V). Bezbednosnu kategorizaciju – BK svih pova informacione imovine, odre uje potencijalni ucaj gubitka CIA (C=P, I=I, A=R), koji ima najveu vrednost, tj. uzima se najgori sluaj [3]: BK
uticaj na P , uticaj na I , uticaj na R
uticajmax
gde se vrednost potencijalnog ucaja pretnji uobiajeno rangirana sa: N, S i V.
Primer: Neka je u odre ivanju bezbednosne kategorije procesa akvizicije IKTS opreme (BKao) ucaj pretnji na CIA procenjen sa – (P) = S, (I) = V, a (R) = N, bie: BKao=(P, S), (I, V), (R, N) = (S), (V), (N) = ucajmax = V
BO FOO
65
Izbor minimalnog skupa kontrola za osnovnu zaštu, uzima se iz skupa kontrola osnovne zašte, a kontrola iz skupa za poboljšani ili viši nivo zašte, na osnovu poveanih bezbednosnih zahteva. Na primer, ako je najvei potencijalni ucaj N, izaberu se osnovne kontrole zašte za N ucaj pretnji, ako je S – izaberu se osnovne kontrole zašte za S i N ucaj pretnji, a ako je V – biraju se osnovne kontrole za V, S i N ucaj pretnji. U gornjem primeru maksimalni ucaj je V, pa se biraju kontrole za V, S i N ucaj pretnji [25]. Prilagoavanje rezultama procene rizika izabranog minimalnog skupa kontrola osnovne zašte, zahteva opis i dokumentovanje modikovanih i novih kontrola zašte. Procena rizika igra važnu ulogu u procesu izbora kontrola zašte, pa pokrivanje procenjenih pretnji skupom kontrola osnovne zašte, treba razmatra na bazi rezultata procene rizika [25]. 4.4.4. Procena eektivnosti kontrola zaštite Kontrole zašte treba idenkova i implemenra tako da ublažavaju specine faktore rizika za poslovne procese. Svaka kontrola zašte ima svoju cenu, pa zato proces njene implementacije mora ukljuiva tržišne faktore. Za procenu efekvnos kontrola razvijeno je više metoda intervjua i tesranja (Tabela 4.4). Tabela 4.4. Metodi za procenu efekvnos kontrola zašte za razliite ucaje Metodi procene: intervju, tesranje Atribut Dubina (samo intervju i tesranje) Obim (samo metod tesranja) Pokrivanje (svi metodi)
Vrednost
Nivo ucaja na IKTS Nizak
Srednji
Visok
skraen
"
#
#
znaajan
#
"
#
sveobuhvatan
#
#
"
funkcionalnost (crna kuja)
"
"
"
proboj
#
"
"
strukturni (siv i bela kuja)
#
#
"
broj i p objekata za procenu odre en u saradnji sa evaluatorom
"
"
"
U praksi zašte treba prepozna uslove u kojima odre eni metod za procenu efekvnos kontrola zašte daje najbolje rezultate i ima najveu vrednost.
66
O Š FOJ
4.4.5. Dokumentovanje kontrola zaštite u planu zaštite Rezulta procesa specikacije i izbora skupa kontrola zašte, dokumentuju se u planu zašte, koji obuhvata planirane, implemenrane i na bazi procene rizika, korigovane kontrole zašte. Konani skup kontrola dokumentuje se sa svim obrazloženjima i glavnim razlozima za izbor, sa indikatorima koji ukazuju na prateu dokumentaciju i koji objašnjavaju zašto izabrane kontrole ispunjavaju bezbednosne zahteve organizacije. Plan zašte je osnova za serkaciju i akreditaciju sistema, iji su rezulta presudni za donošenje odluke o povezivanju IKTS sa drugim sistemima izvan domena zašte (i granica akreditacije).
4.5. REZIME Koncept reakvne zašte zasniva se na sprovo enju predenisane polike zašte i procesu upravljanja rizikom. Sam koncept reakvne zašte je po svojoj prirodi proakvan, a reakvni karakter odre uje reagovanje samo na poznate pretnje. Koncept proakvne DPP zašte š sistem od dinamiki promenljivih, kombinovanih pretnji, ekasniji je i efekvniji, obezbe uje pojednostavljen, integralan sistem zašte, reducira sve resurse, bitno poboljšava i ubrzava sveukupan proces zašte i uspešno zamenjuje postojee skupe, reakvne i spore sisteme zašte. stvaruje se kombinacijom baze znanja o novim napadima i ranjivosma sistema, vrhunske tehnologije za proakvnu zaštu, procesnog pristupa i pojednostavljenog sistema zašte i ima tri osnovne prednos u odnosu na reakvni sistem zašte: brzinu, tanost i pouzdanost - manji broj lažnih alarma i vei nivo zašte za ista nansijska ulaganja. Koncept kontrola zašte obezbe uje pomoni alat u procesu projektovanja i upravljanja sistemom zašte, osnovne elemente za plan i uputstva zašte i olakšava izbor opmalnih kontrola zašte, na osnovu procene rizika. Kontrola zašte je neka funkcija dizajna sistema koja se odnosi na tehnike i proceduralne (upravljake i operavne) mehanizme zašte i poseduju dva osnovna atributa – robusnost (otpornost na napade) i adapvnost (eksibilnost, skalabilnost). Robusnost deniše stepen jaine bezbednosne funkcije i garantovane bezbednos, u zavisnos od efekvnos implementacije, a adapvnost deniše nadgradivost i izbor kontrola koje najviše zadovoljavaju denisanu poliku zašte. rganizuju se hijerarhijski u klase (U, O i T), familije i kontrole zašte. Klasa U kontrola sadrži pet, O – devet i T – eri familije. U realizaciji programa zašte, zadatak organizacije je da deniše odgovarajui skup kontrola osnovne zašte, implemenra ga i verikuje uskla enost sa planom zašte i bezbednosnim zahtevima. Izbor adekvatnih kontrola demonstrira odluku za zaštu informacija. Sistem kontrola osnovne zašte je minimalnih skup, koji održava ukupni preostali rizik na prihvatljivom nivou. pmalne kontrole zašte odre uju se i biraju na bazi bezbednosne kategorizacije i klasikacije informacione imovine i procene rizika. Svaka BO FOO
67
modikacija kontrola osnovne zašte mora se dokumentova u planu zašte. Sistem kontrola osnovne zašte za nizak (N) ucaj pretnji sadrži ukupno 198 (U=42, O=78 i T=78) kontrola zašte sa niskim nivoom robusnos.
4.6. KLJUNI TERMINI Fleksibilnost kontrole zašte: omoguava izbor kontrola zašte koje najviše odgovaraju i zadovoljavaju denisane polike zašte i potrebe organizacije. Koncept: osnovna zamisao, ideja, idejno rešenje, model. Kontrola zašte: konana klasikacija mehanizama zašte, pino neka funkcija arhitekture sistema zašte, a odnosi se na tehnike, operavne i upravljake mehanizme. Operavne kontrole zašte: ukljuuju organizacione i tehnike kontrole zašte IKTS, kojima upravljaju ljudi. Proakvna zašta: detekcija i spreavanje napada od poznah i nepoznah pretnji/ranjivos. Robusnost kontrole zašte: omoguava denisanje kontrole sa razliitom jainom funkcije zašte u zavisnos od ekasnos implementacije.
Strategija proakvne zašte: koncept zašte od dinamiki promenljivih, kombinovanih poznah i nepoznah pretnji i napada. Strategija reakvne zašte: koncept zašte od poznah pretnji i napada. Struktura kontrola zašte: hijerarhijska organizacija u klase (upravljake, operavne, tehnike), familije i kontrole zašte. Tehnike kontrole zašte: mehanizmi i protokoli zašte, koji su implemenrani i izvršavaju se unutar hardvera, sovera ili memorijskih ipova IKTS. Upravljake kontrole zašte: dokumentovane mere zašte, koje se odnose na upravljanje sistemom zašte i procenu rizika, a izvršavaju ih uglavnom ljudi.
4.7. PITANJA ZA PONAVLJANJE 1. Koncept zašte je: a. naješe model sistema zašte b. detaljna aproksimacija realnog sistema zašte c. denisanje programa zašte d. strategija razvoja sistema zašte 2. Reakvni sistemi zašte najbolje se može predstavi: a. modelom vodopada b. modelom sazrevanja procesa zašte c. procesom upravljanja rizikom d. životnim ciklusom sistema
68
O Š FOJ
3. Kljune faze opšteg funkcionalnog modela koncepta reakvne zašte su: a. idenkacija stanja zašenos sistema b. procena rizika, planiranje i implementaciju poboljšanih kontrola zašte c. idenkacija pretnji i ranjivos IKTS d. izrada polike zašte i kontrola usaglašenos sa praksom zašte e. nadzor, revizija, obuka i obrazovanje u zaš 4. Koncept proakvne zašte presudno odre uje:
5.
6.
7.
8.
a. manja rentabilnost vremena i troškova od postojeih reakvnih sistema b. reagovanje na dinamiki promenljive, kombinovane pretnje c. vea nansijska sredstva za oporavak sistema d. detekcija i zašta od poznah i nepoznah napada Tipina rešenja reakvne zašte su: a. ne preduzima ništa b. preduzima redovnu kontrolu stanja bezbednos IKTS c. primeni manuelne ili polu–automazovane metode bezbednosnih popravki d. izvrši „ad hok” samozaštu sa izolovanim tehnikim rešenjima na distribuiranim takama IKTS Kljuni moduli koncepta proakvne zašte su: a. baze znanja vodeih obaveštajnih mreža CIRT i CERT mova b. standardi i tehnologije za zaštu c. vrhunske tehnologije za proakvnu zaštu d. procesni pristup i kompleksno rešenje sistema zašte e. procesni i pojednostavljen pristup rešenju sistema zašte U sistemu proakvne zašte Virtual Patch obezbe uje: a. rezervno vreme do pojave ažurne bezbednosne popravke (update) b. proakvnu zaštu od poznah i nepoznah napada c. slabije planiranje resursa za zaštu d. bolje planiranje resursa za zaštu Sistem proakvne zašte ima sledee prednos u odnosu na reakvni sistem: a. vea brzina reagovanja i tanost detekcije napada b. sporija reakcija na nepozna napad c. manja tanost detekcije poznah napada
d. vea pouzdanost (manji broj lažnih alarma) e. vei nivo zašte za ista nansijska ulaganja 9. snove prednos koncepta kontrola zašte su: a. konzistentan i ponovljiv izbor specikacija mehanizama zašte b. preporuke za sistem osnovne zašte (security baseline) c. zašta prema zahtevima bez mogunos proširenja d. tehnike i procedure za verikaciju ekasnos sistema zašte 10. Pokrivanje pretnji u izabranom osnovnom sistemu zašte mogu obezbedi: a. jedna kontrola zašte b. kombinacija svih kontrola zašte c. kombinacija odre enih kontrola zašte d. ni jedna kombinacija kontrola zašte 11. Kontrola zašte je izme u ostalog: a. krajnja klasikacija servisa zašte i neka funkcija dizajna sistema zašte b. mehanizam zašte koji se ne može kontrolisa c. stana i nezavisna od promena okruženja, sistema i tehnologija zašte d. organizovana hijerarhijski u familije i klase 12. amilija upravljakih kontrola zašte obuhvata sledee kontrole: a. upravljanje incidentom b. akvizicija sistema i servisa c. integritet sistema i informacija d. serkaciju i akreditaciju sistema zašte e. zika zašta i zašta od okruženja 13. amilija organizaciono–operavnih kontrola zašte obuhvata sledee kontrole: a. kontrola pristupa b. planiranje konnuiteta poslovanja c. procena rizika d. zašta sistema i komunikacija
BO FOO
69
14. amilija tehnikih kontrola zašte obuhvata sledee kontrole: a. planiranje sistema zašte b. idenkacija i autenkacija c. sves o potrebi i obuka o zaš d. revizija i odgovornost e. zašta medija 15. Sistem kontrola za visok nivo zašte sadrži kontrole sa: a. osnovnim, poveanim i visokim nivoom robusnos b. poveanim i visokim nivoom robusnos c. osnovnim i visokim nivoom robusnos d. samo visokim nivoom robusnos 16. Bezbednosna kategorizacija informacione imovine odre uje ucaj gubitka CIA koji ima: a. najmanju vrednost b. najveu vrednost c. srednju aritmeku vrednost d. opmalnu vrednost
70
O Š FOJ
5.
OPŠTI MODEL SERVISA ZAŠTITE
5.1. UVOD Implemenrani skup U, i T kontrola zašte, izvršava funkcije i mehanizme zašte, ijim se izvršavanjem realizuju servisi zašte. Neki servisi obezbe uju primarnu zaštu, dok drugi otkrivaju napad ili podržavaju primarne servise. Servisi zašte se speciciraju na osnovu zahteva i ciljeva zašte i procene rizika. Primarni kriterijum za podelu servisa zašte proise iz podele kontrola zašte na U, i T, na osnovu koje se i primarni servisi zašte mogu podeli na U, O i T. Primarne U servise zašte realizuju U kontrole preko mehanizama prinude i nametanja normava, standarda i polike zašte. peravne kontrole zašte realizuju primarne servise zašte, a tehnike kontrole realizuju primarne T servise zašte, implementacijom hardversko-soverskih mehanizama i protokola. va podela nije sasvim jednoznana, pošto su servisi zašte me uzavisni, kombinuju se i dopunjuju u izvršavanju ciljeva i funkcija zašte. Bolje rezultate daje opš model koji prikazuje primarne servise sa elemenma za podršku i njihovim me usobnim odnosima. pš model je više tehniki orijensan, a deli servise zašte na servise za podršku, spreavanje i oporavak.
BO FOO
71
5.2. SERVISI ZAŠTITE 5.2.1. Misija i ciljevi sistema zaštite
Misija sistema zašte je da održavanjem IKTS na prihvatljivom nivou rizika, obezbedi pouzdanost rada poslovnog IKTS i povea efekvnost poslovnih procesa. Primarni ciljevi sistema zašte su zašta CIA informacione imovine organizacije. vi ciljevi se naješe navode kao dovoljan skup relavno nezavisnih ciljeva zašte u relevantnim standardima zašte (IS /IEC 27001, NIST). U nekim standardima i komponentama zašte (evaluacija, PKI i dr.) navode se i ciljevi zašte kontrolisane odgovornos (Accountability), neporecivos, autenkacije i garantovane bezbednos (Security Assurance). Me um, kako su ciljevi zašte me uzavisni, ova granulacija nije neophodna. Na primer, cilj zašte integriteta obuhvata zaštu neporecivos i autenkaciju, a cilj zašte raspoloživos – kontrolisanu odgovornost, koja, pak, zavisi od mehanizma za obezbe ivanje neporecivos. Garantovanu bezbednost obezbe uju sva tri primarna bezbednosna cilja zajedno. Bezbednosni zahtev za raspoloživost informacija/servisa obezbe uje ovlašenim korisnicima pouzdan rad i raspoloživost podataka i informacija, sistema, servisa i aplikacija, po ukazanoj potrebi. vaj cilj š sistem od namernog ili sluajnog kašnjenje podataka, odbijanja izvršavanja servisa i/ili isporuke podataka (DoS/DDoS) i od neovlašene upotrebe sistema i informacija i vrlo je esto najvažniji bezbednosni cilj u mnogim organizacijama [30]. Bezbednosni zahtevi za zaštu integriteta ukljuuju zaštu integriteta podataka i informacija (skladištenih, procesiranih i prenošenih), konguracije (RS i RM) i integriteta sesije. Bezbednosni zahtev za zašta poverljivos i privatnos ima za cilj da sprei otkrivanje neovlašenim licima uskladištenih, procesiranih i prenošenih poverljivih ili privatnih informacija. U sistemima za posebne namene i za specine pove osetljivih informacija (npr. autenkacione), ova zašta je od prioritetnog znaaja. Zahtev za kontrolisanu odgovornost, enteta i pojedinca u organizaciji, ima za cilj da se akcije svakog enteta/pojedinca mogu pra po jednoznano registrovanim tragovima. Servis za ostvarivanje ovog cilja zahteva se u saopštenju polike zašte i direktno ukljuuje normavni okvir, odvraanje napadaa, izolaciju grešaka, detekciju i spreavanje upada i oporavak sistema. Zahtev za garantovanu bezbednost sistema zašte osnova je za scanje poverenja da su U, i T kontrole zašte efekvne i pouzdano rade u predvi enom režimu. vaj cilj se ostvaruje adekvatnom realizacijom ciljeva zašte integriteta, raspoloživos, poverljivos i kontrolisane odgovornos.
72
O Š FOJ
5.2.2. Meuzavisnost bezbednosnih ciljeva Navedeni bezbednosni ciljevi su me usobno zavisni i retko se može ostvari jedan bez ucaja drugih. Cilj zašte poverljivos zavisi od zašte integriteta, zato što nema smisla oekiva da informacija nije otkrivena, ako je narušen integritet sistema. Cilj zašte integriteta zavisi od zašte poverljivos, zato što je vrlo verovatno da je mehanizam zašte integriteta zaobi en i integritet informacije narušen, ako je narušena njena poverljivost (npr. lozinka administratora). Ciljevi zašte raspoloživos i kontrolisane odgovornos zavise od servisa zašte poverljivos i integriteta, zato što se mehanizmi koji implemenraju ovaj servis lako zaobilaze. Naime, ako se za odre ene informacije naruši poverljivost (npr. lozinka administratora), ili se naruši integritet sistema, narušava se i validnost mehanizama, koji realizuju cilj poverljivos, a me i raspoloživos i odgovornos (Sl. 5.1). Svako smanjivanje ovog skupa ciljeva zahteva odgovarajuu aproksimaciju i razmatranje ove me uzavisnos [92].
Sl. 5.1. Me uzavisnost bezbednosnih ciljeva Sa ciljem garantovane bezbednos u me uzavisnoj vezi su svi ciljevi zašte. Kada projektuje sistem zašte, projektant uspostavlja graninu vrednost garantovane bezbednos, kao cilj kojem se teži i koji se posže ispunjavanjem zahteva u svakom od preostala eri cilja, u skladu sa procedurama i standardima dobre prakse zašte. Tako e, ise injenicu da se za garantovanu bezbednost nekog sistema moraju ispuni projektovani funkcionalni zahtevi za tehniku pouzdanost sistema (verovatnou ili srednje vreme rada bez otkaza), ali i sprei neželjeni procesi i stei poverenje u sistem zašte.
BO FOO
73
5.3. OPŠTI MODEL SERVISA ZAŠTITE pš model tehniki orijensanih servisa zašte obuhvata primarne i sekundarne servise i njihove me usobne veze. U odnosu na primarnu namenu, model ih klasikuje na servise za podršku, koji obuhvataju najvei deo kapaciteta IKTS zašte, spreavanje proboja ili zaobilaženja mehanizama zašte, detekciju upada i oporavak sistema posle proboja. U ovom modelu, ciljevi zašte se realizuju servisima zašte, pa je i njihova me uzavisnost idenna me uzavisnos ciljeva zašte. Servisi zašte se realizuju implementacijom hardversko-soverskih mehanizama, a izvršavaju i upravljaju sa U, i T kontrolama zašte (Sl. 5.2) [61].
Sl. 5.2. pš model servisa zašte
74
O Š FOJ
Servisi za podršku su po svojoj prirodi u korelaciji su sa drugim, obezbe uju osnovu za poverenje u tehnike servise zašte i obuhvataju: jednoznanu idenkaciju enteta (korisnika, procesa IKTS), upravljanje kriptografskim kljuem, administraciju zašte (operavno upravljanje promenama), sistemsku zaštu (ponovljeno korišenje objekata, najmanje privilegija...). Servisi za spreavanje prevenvno šte od proboja sistema zašte, a generiki obuhvataju servise za: zaštu komunikacija, koji š CIA informacija u toku prenosa, autenkaciju ili verikaciju identeta korisnika i procesa u IKTS, autorizaciju prava pristupa i akvnos nad objekma IKTS, kontrolu logikog i zikog pristupa, esto distribuiranu u sistemu, neporecivost, koji spreava da korisnik porie izvršenu akvnost, poverljivost i privatnost transakcija, koji spreava gubitak poverljivos informacija i privatnos linih podataka u toku transakcije. U M neki standardi (NIST, IS /IEC 27001) navode minimalan i dovoljan sup od tri primarna servisa za zaštu CIA informacija i sistema. Na slikama 5.3.–5.5. prikazani su funkcionalni modeli primarnih servisa za poszanje ciljeva zašte CIA – raspoloživos (Sl. 5.3), integriteta (Sl. 5.4) i poverljivos (Sl. 5.5).
Sl. 5.3. Primarni servisi za zaštu raspoloživos BO FOO
75
Sl. 5.4. Primarni servisi za zaštu integriteta
Sl. 5.5. Primarni servisi za zaštu poverljivos Servisi za detekciju i oporavak neophodni su u svakom sistemu zašte, pošto ni jedan servis zašte nije savršen, a prakno nema sistema zašte koji obezbeuje apsolutnu zaštu. U servise za detekciju i oporavak spadaju procesi za: detekciju i spreavanje upada, koji naješe koriste IDPS, restauraciju bezbednog stanja ili oporavka sistema posle proboja i nadzor, kontrolu i reviziju bezbednosno relevantnih doga aja. Servisi zašte u distribuiranom IKTS mogu bi distribuirani logiki i ziki – u domenima zašte ili u okviru zikih RM. Distribuirani servisi zašte bazino zavise od tehnike pouzdanos, garantovane bezbednos i servisa zašte operavnog sistema 76
O Š FOJ
– NOSSS (Nave Operaon System Security Subsystem), koji obezbe uju osnovni sloj zašte u RS [30, 74]. Dok neki servisi ostaju na odre enom logikom nivou apstraktnih slojeva S, drugi su implemenrani kroz mehanizme distribuirane u zikom i logikim slojevima sistema: korisnikih/klijent-server aplikacija, srednjeg sloja (midlware) i nižih slojeva iznad mehanizama S. Važan aspekat efekvnos i ekasnos servisa zašte je upravljanje sistemom zašte. Garantovana bezbednost sistema zašte ukljuuje sve kapacitete zašte i osnova je za poverenje korisnika da sistem i servisi ispunjavaju ciljeve zašte. Poverenje korisnika u korektnost rada mehanizama zašte i otpornost sistema na namerne ili sluajne napade, obezbe uje kvalitetna implementacija adekvatnih kontrola zašte. Ve su razvijeni tehnološki ala za merenje garantovane bezbednos IKTS, koja se može povea primenom jednostavnijih tehnikih rešenja i poverljivih i pouzdanih komponen, smanjenjem verovatnoe proboja, implementacijom IDPS i komponen za oporavak sistema i integracijom adekvatne tehnologije. Na garantovanu bezbednost sistema ue arhitektura IKTS, tzv. zašta bezbednom arhitekturom. Najveu bezbednost imaju namenski sistemi, projektovani od poverljivih komponen tzv. poverljivi raunarski sistemi (Trusted Computer Base) [66]. izika i logika distribucija servisa zašte i njihovi odnosi sa drugim servisima sistema prikazani su na Sl. 5.6. [61].
Sl. 5.6. Distribuirani servisi zašte Model distribuiranih servisa zašte pokazuje da neki distribuirani servisi ne postoje individualno ni na jednom nivou, ve su implemenrani sa kooperavnim mehanizmima na više slojeva zašte. Tipini primeri su servisi za idenkaciju i autenkaciju, iji proces obino radi na nivou S, ali može bi na prezentacijskom, sesijskom ili ak mrežnom nivou SI modela RM. esto se informacije skupljaju na jednoj mašini i prenose kroz RM do druge (npr. mrežni autenkacioni i log serveri).
BO FOO
77
Servisi domena zašte obezbe uju mrežnu zaštu i prinudnu restrikciju toka podataka i procesa unutar i izme u poverljivih mreža u nebezbednom Internet okruženju. Domen zašte je skup akvnih enteta (lica, procesa, ureaja), njihovih objekata podataka i meusobnih veza, koje povezuje zajednika polika zašte. Tipini domeni zašte u RM sa bezbednom topologijom su intranet, periferijska mreža (DMZ) i ekstranet. Intranet je interna mreža organizacije, koja koris Internet tehnologije. Tipino, je ziki distribuiran i me usobno povezan ure ajima, koji esto nisu pod kontrolom organizacije. Interno, organizacija može podeli intranet u relavno nezavisne module sa odvojenim domenima zašte, slino vodonepropusnim vrama na pregradama broda, što pomaže da se lakše implemenra polika zašte i ogranie gubici u sluaju proboja sistema zašte. Za segmentaciju mreže koriste se mrežne kapije (gataways). Postoji više rešenja segmentacije domena intraneta, koja pino obezbe uju polubezbedni domen zašte – neutralnu tampon zonu izme u dve nepoverljive mreže, u kojoj organizacija može pruži ograniene servise spoljnim mrežama [85]. Periferijska mreža (zaklonjena podmreža, demilitarizovana zona – DMZ), je segment RM izmeu dve mrežne barijere, koji deli mrežnu infrastrukturu na odvojene domene zašte. DMZ konguracija se može koris za zaštu web servera mrežnom barijerom, koja dopušta pristup HTTP protokolu za web servise, ali ograniava sve druge protokole. Spoljna mrežna barijera š intranet od svakog pristupa sa Interneta, a unutrašnja spreava odlazak zaposlenih na zabranjene web lokacije. Koncept domena zašte je osnova za formiranje bezbedne topologije savremene RM, povezane sa Internetom – potencijalno nebezbednom mrežom. Uspostavljanje domena zašte lokalne mreže zahteva postavljanje jedne ili više mrežnih barijera (rewalls). Na Sl. 5.7. prikazana je segmentacija mreže u DMZ sa jednom (a) i dve mrežne barijere (b) [85].
Sl. 5.7. DMZ sa jednom barijerom – (a) i dve barijere – (b) [85]
78
O Š FOJ
Domen zašte pomaže da se odrede priorite zašte, izvrši klasikacija i usmeri pažnja na probleme zašte, na bazi servisa koji se zahtevaju u svakom domenu. Zašta IKTS organizacije sa DMZ i podela u domene, analogna je postavljanju zike ograde oko zgrade (npr. razlii povi barijera), kapija na ogradi (npr. gateway–mrežna kapija) i uvara za kontrolu saobraaja kroz kapije (npr. IDPS i proceduralni servisi zašte). Domeni mogu bi logiki i ziki, a denišu se na bazi jednog ili više sledeih kriterijuma: ziki (zgrade, kamp, region, itd.), poslovni procesi (personal, nansije, itd.), mehanizmi zašte ( S RS, RM itd.). Kljuni elemen za odre ivanje mehanizama, znaajnih za servise zašte u svakom domenu, su eksibilnost, projektovana zašta, meusobni odnosi domena i slojevitost zašte. Razlii domeni zašte unutar organizacije me usobno se mogu preklapa. Ekstranet je prošireni intranet i obino se koris za pristup udaljenih korisnika resursima intraneta i deljenje informacija i servisa. Realizuje se pomou bezbedne virtuelne privatne mreže – VPN (Virtal Private Network) sa šifrovanom vezom, za koju su potrebna dva VPN servera ili VPN server i klijent. Pojam eksternog okruženja intraneta organizacije nije lako odredi. Razlika se može napravi izme u transakcija koje su isnski izvan mreže i onih koje su ekvivalentne internim transakcijama, kao što je kriptozašen prenos od take-do-take. Servisi poverljivog provajdera zašte – TTPS (Trusted Third Party Services) obezbe uje trea strana od poverenja (TTP). Denisan je standardom IS CD 10181-1 kao „autoritet bezbednos i zašte ili njegov agent, u ije funkcije zašte veruju svi uesnici u IKTS. Kada je TTP autoritet za zaštu domena, može mu se verova za zaštu unutar domena” [11, 61]. Standard idenkuje zahteve, koje treba da ispune korisnici i davaoci usluga (TTP), specicira i standardizuju parametre TTPS u IKTS, u kojim, osim zašte primarnih servisa, treba š i meusobno poverenje svih uesnika. Tipini sistemi sa takvim zahtevima su zdravstveni, telemedicinski i savremeni sistemi e-poslovanja, u kojim se tradicionalno poverenje prenosi u nesigurno e-okruženje, kao i virtuelizovani sistemi distribuiranog Internet raunarstva (Cloud compung), u kojima je sve više nepoverljivih korisnika [1, 11, 61, 41]. TTP servisi zašte su obavezne komponente višeslojne arhitekture zašte, posebno u sistemu distribuiranog Internet raunarstva, gde odgovornos za zaštu servisa za isporuku sovera (SaaS) plaormi (PaaS) i infrastrukture (IaaS) dele provajderi i korisnici na bazi SLA sporazuma. Dobar primer funkcionalnog modela TTPS je infrastruktura sa javnim kljuem – PKI [11].
BO FOO
79
5.4. RAZVOJ I IMPLEMENTACIJA SERVISA ZAŠTITE U skladu sa opšm principima i najboljom praksom, servise zašte treba obezbedi za životni ciklus sistema kroz sledeih šest faza [30]: 1. priprema i odluka da implementacija servisa zašte poveava efekvnost; 2. procena stanja sistema zašte, idenkovanje zahteva i ciljeva zašte; 3. projektovanje, razvoj i evaluacija potencijalnih rešenja iz skupa izvodljivih; 4. implementacija izabranih rešenja kroz pilot projekat; 5. operavni rad sa nadzorom, revizijom i procenom rizika i 6. odlaganje kroz postupnu tranzicija/ukidanje servisa zašte.
ivotni ciklus servisa primenjuje se na svaki servis pojedinano, bez obzira u koju kategoriju spada. Implementacija servisa zašte sopstvenim kapacitema ili preko TTPS, može bi složena, ima svoju cenu i odre eni rizik. Za donošenje odluke treba razmatra brojna pitanja – ucaj na strategiju i misiju organizacije, troškove, tehnologiju rada, arhitekturu IKTS, zaposlene, poliku i procese zašte itd. 5.4.1. Isporuka servisa zaštite Servise zašte isporuuje m za upravljanje zaštom informacija. Sistem zašte informacija je provajder usluga za podršku poslovanja organizacije. Sa tog aspekta servisi zašte se sastoje od tri elementa [73]: isporuke bilo kojeg proizvoda zašte (korisniki interfejs, token, PIN, korisniki nalog, uputstvo, polika, programski kod, procena rizika itd.); procesa za održavanje konnuiteta isporuke servisa ili skup koraka, koje organizacija treba da preduzme od prijema prve isporuke servisa zašte; merenja efekvnos i poboljšanja isporuenog servisa u skladu sa pravilom: „što se ne može meri, ne može se sa njim ni upravlja“. bezbe ivanje servisa zašte razlikuje se od isporuke zikih proizvoda: nema promene vlasništva izme u provajdera i kupca/korisnika, neopipljivost – nema razmene zikih objekata, nedeljivost – ne mogu se raslani na sitnije delove, stalna promenljivost – ne postoje dve idenne realizacije istog servisa i postojanost – mogu se obezbedi samo kada njihova isporuka pone.
80
O Š FOJ
5.5. REZIME Misija sistema zašte realizuje se izvršavanjem primarnih ciljeva zašte CIA informacija. Svi ciljevi zašte su u me uzavisnoj vezi sa garantovanom bezbednos sistema zašte. Podela servisa zašte može se izvrši na osnovu više kriterijuma. Primarni kriterijum je podela na upravljake, operavne i tehnike servise. Model tehniki orijensanih servisa zašte klasikuje servise, na osnovu kriterijuma primarne funkcionalnos, na servise za podršku, spreavanje i oporavak. Servisi za podršku su generiki i obuhvataju najvei deo kapaciteta zašte u IKTS; za spreavanje šte od proboja ili zaobilaženja implemenranih kontrola, a servisi za oporavak detektuju upad i oporavljaju sistem posle proboja. Svaki sistem IKTS zašte u krajnjem zavisi od servisa postojeih podsistema zašte S (N SSS), zam od bezbednost IKTS ne može bi vea od N SSS. snova za zaštu RM je koncept domena zašte i prinudne restrikcije toka podataka i procesa unutar i izme u ovih domena. Domen je skup akvnih enteta i njihovih me usobnih veza, povezanih zajednikom polikom zašte. Tipini domeni zašte su intranet, DMZ i ekstranet. Servise zašte može obezbedi sama organizacije ili poverljivi provajder zašte (TTP), denisan u standardu IS CD 10181–1. U skladu sa opšm principima i najboljom praksom, servise zašte treba implemenra za ceo životni ciklus sistema kroz faze pripreme, procene, projektovanja, implementacije, rada i odlaganja, uz razmatranje niza pitanja o implikacijama na misiju organizacije. bezbe ivanje servisa zašte razlikuje se od isporuke zikih proizvoda: nema promene vlasništva, nisu opipljivi, nedeljivi su, stalno promenljivi i postojani u isporuci.
5.6. KLJUNI TERMINI Bezbednosni cilj: deniše se na bazi zahteva za zaštu poverljivos, integriteta i raspoloživos informacija. Bezbednosni domen: skup akvnih enteta (lica, procesa, ure aja), njihovih objekata podataka sa zajednikom polikom zašte. Bezbednosni zahtevi: zahtevi za pove i nivoe zašte, neophodni za opremu, podatke, informacije, aplikacije i objekte da bi se ispunile zakonske obaveze i polika zašte. Domen zašte: skup elemenata kojim upravlja autoritet zašte i koji dele istu poliku zašte; deniše se na osnovu jednog ili više kriterijuma na zike i logike domene.
Mehanizmi zašte: pojedinani, individualni algoritmi, metodi ili hardversko–soverski moduli za eliminisanje bezbednosnih problema u RS i mreži . Periferijska mreža ili DMZ: segment RM izme u dve mrežne barijere; demilitarizovana zona/zaklonjena podmreža, koja deli mrežnu infrastrukturu na odvojene domene. Primarni servisi zašte: dele se na osnovu primarnih kriterijuma podele kontrola zašte na upravljake, operavne i tehnike servise. Servis zašte: skup logikih i zikih aplikacija za podršku, spreavanje i oporavak, koje izvršava implemenrani sistem upravljakih, operavnih i tehnikih kontrola zašte. TTPS (Trusted Third Party Service): servis poverljivog provajdera.
BO FOO
81
5.7. PITANJE ZA PONAVLJANJE 1. Misija sistema zašte je: a. da održavanjem bezbednog stanja IKTS na prihvatljivom nivou rizika, obezbedi pouzdanost rada poslovnog IKTS i povea efekvnost poslovnih procesa b. da omogui realizaciju polike i plana zašte c. rezultat realizacije primarnih zahteva i ciljeva zašte d. održavanje sistema zašte na prihvatljivom nivou rizika. 2. Bezbednosni ciljevi neporecivos ukljuuju sledee servise zašte: a. autenkacije b. integriteta c. poverljivos d. kontrolisane odgovornos e. bezbednosnu garanciju 3. Bezbednosni ciljevi autenkacije korisnika ukljuuju sledee servise zašte: a. raspoloživos b. integriteta c. poverljivos d. kontrolisane odgovornos e. bezbednosne garancije 4. Bezbednosni ciljevi integriteta ukljuuju sledee servise zašte: a. raspoloživos b. poverljivos c. kontrolisane odgovornos d. bezbednosne garancije 5. Bezbednosni ciljevi poverljivos ukljuuju sledee servise zašte: a. raspoloživos b. integriteta c. kontrolisane odgovornos d. bezbednosne garancije 6. Bezbednosni ciljevi kontrolisane odgovornos ukljuuju sledee servise zašte: raspoloživos a. integriteta b. poverljivos c. bezbednosne garancije
82
O Š FOJ
7. Bezbednosni ciljevi raspoloživos ukljuuju sledee servise zašte: a. integriteta b. poverljivos c. kontrolisane odgovornos d. bezbednosne garancije 8. Ciljevi servisa zašte poverljivos i integriteta su: a. me uzavisni zato što, ako se naruši integritet sistema, narušen je mehanizam zašte poverljivos, a ako je poverljivost izgubljena vrlo je verovatno da e integritet bi narušen b. nezavisni zato što, ako se naruši integritet sistema, mehanizam zašte poverljivos ostaje nepromenjen c. cilj zašte integriteta ne zavisi od cilja zašte poverljivos, ali cilj zašte poverljivos zavisi od zašte integriteta 9. Servis za podršku je: a. namenjen za spreavanje proboja ili zaobilaženja mehanizama zašte b. namenjeni za detekciju upada i oporavak sistema posle proboja c. generiki i obuhvata najvei deo kapaciteta IKTS zašte 10. Servisi za spreavanje je: a. namenjen za spreavanje proboja ili zaobilaženja mehanizama zašte b. namenjen za detekciju upada i oporavak sistema posle proboja c. generiki i obuhvata najvei deo kapaciteta IKTS zašte 11. Servisi za detekciju i oporavak sistema su: a. namenjeni za spreavanje proboja ili zaobilaženja mehanizama zašte b. namenjeni za detekciju upada i oporavak sistema posle proboja c. generiki i obuhvata najvei deo kapaciteta IKTS zašte 12. Servisi za podršku obuhvataju: a. jednoznanu idenkaciju enteta, upravljanje kriptografskim kljuem, administraciju zašte, sistemsku zaštu
b. zaštu komunikacija, autenkaciju, autorizaciju, kontrolu pristupa, neporecivost, poverljivost i privatnost transakcija c. detekciju i spreavanje upada, restauraciju bezbednog stanja, nadzor, kontrolu i reviziju 13. Servisi za spreavanje obuhvataju: a. jednoznanu idenkaciju enteta, upravljanje kriptografskim kljuem, administraciju zašte, sistemsku zaštu b. zaštu komunikacija, autenkaciju, autorizaciju, kontrolu pristupa, neporecivost, poverljivost i privatnost transakcija c. detekciju i spreavanje upada, restauraciju bezbednog stanja, nadzor, kontrolu i reviziju 14. Distribuirani servisi zašte su: a. uvek implemenrani na jednom apstraktnom sloju distribuiranog IKTS b. implemenrani sa kooperavnim mehanizmima na više slojeva zašte c. implemenrani sa kooperavnim mehanizmima na jednom sloju zašte d. bazino zavisni od tehnike pouzdanos, garantovane bezbednos i N SSS e. nezavisni od tehnike pouzdanos, garantovane bezbednos i N SSS 15. Domen zašte, kao osnovni koncept mrež-ne zaštu IKTS: a. je skup akvnih enteta, podataka i njihovih veza, sa istom polikom zašte b. obezbe uje mrežnu zaštu i prinudnu restrikciju toka podataka i procesa unutar i izme u poverljivih mreža u nebezbednom Internet okruženju c. ukljuuje periferijsku mrežu, intranet i ekstranet d. ne može bi logiki i ziki i ne pomaže kod odre ivanja prioriteta zašte e. uspostavlja se primenom jedne ili više logikih barijera (rewalls)
16. Glavne faze procesa za razvoj i impleme-ntaciju životnog ciklusa servisa zašte: a. priprema, procena, projektovanje, implementacija, operavni rad i odlaganje b. planiranje, projektovanje, implementacija, operavni rad i odlaganje c. priprema, procena, implementacija, operavni rad i odlaganje d. ukljuuju isporuku servisa, plan isporuke i plan održavanja i odlaganja servisa 17. Glavni atribu isporuenih servisa zašte su: a. servise isporuuje m za upravljanje zaštom informacija b. servise isporuuje menadžer zašte informacija c. ukljuuju isporuku servisa, proces za održavanje konnuiteta isporuke, merenje i poboljšanje isporuenog servisa zašte d. ukljuuju isporuku servisa, procese za implementaciju, merenje i poboljšanje isporuenog servisa zašte
BO FOO
83
6.
METRIKI SISTEMI ZAŠTITE INFORMACIJE
6.1. UVOD U sistemu zašte informacija ni jedna akvnost ne može bi dobro upravljana ako se ne može meri. Ciljevi zašte informacija i kvalitet sistema zašte, mogu se posi na bazi bezbednosnih zahteva za proizvode zašte (IS /IEC 15408), najbolje prakse zašte (NIST SP 800–53, IS /IEC 27002), procesnog pristupa i modela progresivnog sazrevanja procesa zašte (SSE–CMM15). U standardu IS /IEC 15443 navedene su sve metode i sredstva sistema kvaliteta IKTS [46]. Razvoj metrikog sistema zašte ukljuuje izbor metodologije i poznavanje i primenu generikog procesa metrikog sistema. Pažnju zaslužuje model i metod za sazrevanja procesa zašte – SSE CMM v. 2008. Metrika daje svoju punu vrednost kada su merenja konzistentna, ponovljiva i bez subjekvnih kriterijuma. Kontekstualno specina metrika je korisna u zaš i pomaže organizaciji da razume bezbednosni rizik i ranjivos u infrastrukturi sistema zašte, fokusira pažnju na tekui problem, meri i poboljšava performanse procesa zašte i izbora najbolje tehnologije zašte.
6.2. METODOLOGIJA METRIKE SISTEMA ZAŠTITE INFORMACIJA 6.2.1. Definicije pojmova Merenje daje jednokratni uvid u specine merne parametre sistema zašte, a metrika je višekratno merenje u dužem vremenskom periodu ili sredstvo za interpretaciju agregiranih mernih podataka na višem nivou. Merenja se vrše pore enjem u odnosu na predenisani merni etalon i zavisi od razumevanja zahteva zainteresovanih strana, a metrike su proizvod analize rezultata merenja. Drugim reima, rezulta merenja su objekvni i sirovi podaci koji mogu automatski da se generišu, dok su metrike objekvne 15
84
Engl.: Security System Engeneering Capability Maturity Model, standard IS /IEC 21827 od 2003.
O Š FOJ
ili subjekvne interpretacije h podataka [20]. Metrika zašte je od posebnog znaaja za procese digitalne forenzike jer obezbe uje ponovljivost tesranja i merenja digitalnih dokaza po zahtevu pravosudnih organa, što zahteva standardni kriterijum za priznavanje posrednog digitalnog dokaza pred sudom. Razni autori i standardi razliito denišu metrike zašte [8]. Metriki sistem je skup kriterijuma, parametara, mernih ure aja, podataka i jedinica za generisanje i prikazivanje rezultata merenja, koji podrazumeva procese evaluacije i/ili monitoringa performansi servisa zašte. Metriki sistemi zašte informacija su brojni, a u praksi se naješe primenjuju: snaga kriptografskog algoritma; kvalitavna metrika (npr. ucaja: nizak, srednji, visok); kvantavna metrika (cost-benet); metrika soverskog inženjerstva (SwE), detekcija anomalija (IDS/IPS); srednje vreme napada; intervjui; metrika poslovnih procesa; revizija sistema zašte i model sazrevanja procesa zašte (SSE CMM). Objek merenja u sistemu zašte informacija mogu bi organizacija; proizvod (planiran, u razvoju, u radu); tehniki sistem (hardver, sover, komunikaciona infrastruktura, komponente sistema zašte, sistem zašte u celini) [29]. Upravljanje zaštom informacija je oblast koja nema dobro denisane metrike i još uvek ne postoji konsenzus oko kljunih indikatora, što uglavnom poe od skrivanja bezbednosnih incidenata. rganizacije koje su imale hakerski napad, nerado to objavljuju, a one koje nisu – ne hvale se, jer ne žele da movišu napade. dgovorne organizacije mere akvnos zašte i dokumentuju efekvnost metrika zašte. Procesi zašte informacija ukljuuju niz analikih ispivanja, a odluka se lakše donosi kada postoji metrika. 6.2.2. Principi, namena, program i procesi metrikog sistema Glavni principi metrikog sistema zašte su: ima obezbe ene informacije koje se mogu kvankova (procen, srednje vrednos, gradacije 1 – 3, 1 – 5, 1 – 10), uvek obezbedi dostupnost podacima koji podržavaju metriki sistem, samo ponovljive procese smatra merljivim, upotrebljiv za praenje performansi i usmeravanje resursa za zašte. Namena metrikog sistema zašte je da idenkuje uzroke slabih performansi servisa i mehanizama zašte i omogui odgovarajue korekvne akcije. U odnosu na generiki p, metrike zašte se dele na metrike za: kvantavno/kvalitavno vrednovanje (proverava mehanizama zašte) i merenje performansi (za konnualno poboljšanje procesa zašte). Prvi p metrike je rezultatski orjensana metrika, a drugi – metrika sazrevanja procesa zašte. Rezultatski orijensana metrika analiza, bazirana na izvršavanju ciljeva zašte, dostupna je i izvodljiva za merenje, ponovljiva i pogodna za praenje performansi i usmeravanje resursa zašte [40]. Rezultatski orjensana metrika koris se za BO FOO
85
smanjenje troškova, poveanje prihoda, poveanje produkvnos, smanjenje proizvodnog ciklusa i smanjenje rizika od prekida poslovanja. Metrika sazrevanja procesa zašte vrši evaluaciju efekvnos i poboljšavanje upravljakih, organizacionih i tehnikih procesa zašte i obezbe uje relevantne podatke o izvršavanju ciljeva zašte. Razvijeno je više metrika za merenje zrelos procesa zašte od kojih je samo SSE–CMM postao defacto standard. U odnosu na objekte zašte, razvijena su tri pa su metrikih sistema za merenje: (1) kvaliteta implementacije polike zašte; (2) efekvnos i ekasnos servisa zašte i (3) ucaja bezbednosno relevantnih dogaaja na poslovanje. Efekvnost svakog pa metrikog sistema zavisi od zrelos programa zašte, organizacije i kvaliteta implementacije kontrola zašte. Sva tri pa metrikih sistema mogu se koris simultano. Sa poveanjem zrelos implementacije kontrola zašte, cilj je da se primarni fokus pomera sa prvog na trei p metrikog sistem [95]. Program metrike sistema zašte treba da ukljui najmanje eri interakvne komponente. Podrška menadžmenta je krina komponenta za uspeh programa metrikog sistema zašte. Polika i procedure zašte, neophodne su za nametanje i usaglašenost. Metrika se ne može lako izves, ako nema proceduru implementacije. Uspeh implementacije programa zašte procenjuje se na bazi rezultata, pa program zašte treba da deniše uloge i odgovornos za sistem kvaliteta zašte, metrike zašte, uputstva za merenja, metod i proces za razvoj svake metrike i faktore ucaja na implementaciju. Program metrike zahteva periodinu analizu za obuku, poboljšanje efekvnos procesa zašte i planiranje kontrola zašte (Sl. 6.1a) [15].
a) b) Sl. 6.1. Struktura – (a) i proces – (b) programa metrike zašte informacija
86
O Š FOJ
Proces implementacije programa metrike zašte (Sl. 6.1.b) obuhvata sedam koraka [95]: (1) denisanje strateških i takkih ciljeva programa metrike, (2) izbor metrike, (3) razvoj strategije za primenu metrike, (4) uspostavljanje referentnih performansi i ciljeva poboljšanja, (5) odreivanje naina prezentovanja metrike, (6) denisanje akcionog plana i akcija i (7) uspostavljanje formalnog ciklusa preispivanja programa metrike. Na ovaj nain obezbe uje se kontrolisan proces uspostavljanja programa metrike zašte, konzistentnost sa ciljevima i „kako, ko i kada“ treba da koris njene rezultate. Ako postoji okvir za poboljšanje procesa, metrike zašte treba da mu se prilago avaju, a ako ne postoji – za odre ivanje metrike koriste se pristupi odozgo nadole ili odozdo nagore (Tabele 6.1 i 6.2). Pristup odozgo nadole, poinje od ciljeva programa zašte, preko idenkovanja specinih metrika za odre ivanje stepena poszanja h ciljeva i završava sa merenjima. Pristup odozdo nagore zahteva da se prvo ustanove koji su procesi, proizvodi, servisi zašte i dr., ve izmereni ili ih treba meri, a zam se razmatra metrika, koju je mogue izves iz h merenja i odre uje veza metrika sa ciljevima programa zašte. Tabela 6.1. Pristup za izbor metrike – Odozgo nadole PRISTUP ODOZGO NADOLE 1. Naves ciljeve programa zašte
Primer ciljeva: do kraja sledee godine redukova broj virusnih infekcija za 30%
2. Idenkovanje metrike za praenje progresa svih ciljeva programa zašte
Primer metrike: broj anvirusnih alarma u odnosu na presek stanja od pre dve godine
3. dabra merenja potrebna za svaku metriku
Primeri merenja: – broj anvirusnih alarma po mesecu – broj prijavljenih infekcija
Tabela 6.2. Pristup za izbor metrike – Odozdo nagore PRISTUP ODOZDO NAGORE Idenkova merenja za ovaj proces zašte
Primer merenja: prosean broj detektovanih ranjivos prvog stepena na svakom serveru po odeljenjima
dre ivanje metrike koja bi se mogla izradi na osnovu odabranih merenja dre ivanje veze izme u izvedenih metrika i uspostavljenih ciljeva programa zašte
Primer metrike: promena broja krinih ranjivos detektovanih na serverima od poslednjeg izveštaja o ranjivosma Cilj: redukova nivo detektovanih ranjivos na serverima
Pristup odozgo nadole je mnogo bolji za idenkovanje metrika, koje e bi usaglašene sa ciljevima programa zašte, dok je pristup odozdo nagore lakši za odre ivanje metrike. ba pristupa kreu od pretpostavke da su ciljevi programa zašte ve uspostavljeni, jer su oni preduslov za izradu programa metrike zašte u organizacijama, koje nemaju uspostavljen okvir za upravljanje procesima zašte.
BO FOO
87
6.2.3. Osnovne karakteristike metrika zaštite inormacija Sve metrike zašte informacija imaju denisane neke osnovne karakteriske, (Tabela 6.3), koje omoguavaju konzistentnost primene, izbor, komparaciju i analizu, ali se u praksi, uglavnom, ne odre uju. Tabela 6.3. Karakteriske metrika zašte informacija Karakteriske Naziv Namena Cena Tip Lokacija
Komentar Razumljiv naslov ili naziv koji opisuje metriku emu služi metrika? Procena stvarnih troškova prikupljanja podataka za izradu metrike Tehnika ili upravljaka, savremena ili zastarela, numerika ili tekstualna Gde mogu da se prikupe podaci za metriku zašte Gde se nalaze podaci korišeni u prethodnim metrikama Gde su primenjene prethodne metrike zašte
Frekvencija
Koliko esto treba prikuplja podatke i prezentova metriku zašte
Kategorija
Broj pojave odre enih doga aja (broj); Ponavljanje doga aja (frekvencija) Vreme utrošeno na doga aj (trajanje); Troškovi doga aja (cena)
Start/stop kriterijumi Trajanje prikupljanja Period upotrebe
Prikupljanja podataka za metriku Potrebe i prezentovanja metrike Utvr ivanje vremenskog perioda potrebnog za prikupljanje podataka Procena vremenskog perioda u kom e metrika bi korišena
Naješi primeri metrika zašte informacija su usklaenost sa zakonima i regulavama, demonstracija znaaja zašte informacija za organizaciju, odreivanje efekvnos kontrola zašte, broj incidenata u datom vremenskom periodu i performanse zašte u odnosu na budžet. Teoretski, metrike zašte informacija treba da daju kvantavne, konzistentne i ponovljive rezultate i da obezbede osnovu za analizu efekvnos programa zašte, izveštavanje, razumevanje naina održavanja zašte informacija i demonstraciju vrednos zašte informacija za poslovanje. Primeri metrika zašte prema kategorijama da su u Tabeli 6.4. Tabela 6.4. Primeri metrika zašte prema kategorijama Kategorija Broj (koliko puta se nešto dogodilo)
88
Primeri bezbednosnih doga aja; blokiranih poslovnih e–mail; izvršenih bekapovanja; nove informacione imovine; propusta osoblja odgovornih za zaštu; spreavanja korišenja osetljivih dokumenata; spreavanja korišenja zašenih aplikacija
O Š FOJ
Kategorija Frekvencija (koliko esto se nešto doga a)
Primeri incidenata; revizije dokumenata; dodele privilegija; udit–a kontrole pristupa; pristupanja web lokacijama; bekapovanja servera; zikih pristupa server sali
Trajanje (doga aja)
incidenta; bekapovanja; izloženos pretnjama; reagovanja na incidente; peovanja (bezbednosne popravke); oporavljanja; monitoringa
Cena (koliki su gubici zbog doga aja)
rešavanja doga aja ili zamene ošteene imovine; saniranja incidenta; vraanja u prethodno stanje (oporavak); kontrola zašte; administracije; sudskih procesa; edukacije
6.2.4. Procesno orijentisani metriki sistemi U procesnom pristupu, razvijeno je više modela metrika sazrevanja procesa zašte informacija [20]. SSE–CMM model sazrevanja i poboljšanja procesa i kapaciteta zašte, obezbe uje 6 nivoa zrelos/kapaciteta procesa zašte [49, 34]:
0. nivo – bez akvnos i izvršenih procesa zašte (obino se u modelu izostavlja); 1. nivo – nekompletan i neformalno izvršavan, postoji polika zašte; 2. nivo – kompleran, dokumentovan, praen, postoje detaljne procedure; 3. nivo – dobro denisan, implemenrane i dokumentovane procedure, 4. nivo – kvantavno meren, verikovan, tesrane usaglašenos sa polikom; 5. nivo – konnualno poboljšavan, potpuno implemenrane u celom IKTS.
Metrika sazrevanja procesa zahteva prikupljanje i verikaciju dokaza o izvršenim akvnosma, korišenje resursa organizacije, analizu akvnos sa snabdevaem, primenu metoda merenja, tanost, ponovljivost i nezavisnost procesa itd. Za kvalitetno merenje progresivnog sazrevanja procesa zašte treba denisa skup mernih atributa, za neprekidno poboljšavanje, kvantavno merenje i praenje standardnih procesa organizacije, obezbeenje podrške, planiranje i upravljanje procesima organizacije, izvršavanje i izveštavanje procesa organizacije[32]. SSE CMM metriki sistem obuhvata procesno orijensanu metriku, koja se deniše sa kvantavno/kvalitavnim dokazima o nivoima zrelos oblas procesa ili binarnom indikacijom prisustva/odsustva zrelog procesa i rezultatski orijensanu metriku, koja obezbe uje, kao dokaze efekvnos procesa, atribute (objekvne/subjekvne, kvalitavne/kvantavne) rezultata merenja,.
BO FOO
89
Tehniki metriki sistemi mogu se primeni za: uspostavljanje cilja zašte – merenje stepena doszanja cilja, planiranje nivoa zašte – predvi anje nivoa zašte pre implementacije, implemenrani sistem – za merenje nivoa upada (sa IDPS), usklaivanje – merenja uskla enos sa standardom i polikom zašte, nadzor – skeniranje nivoa zašte nekog objekta i za analizu – kao metod za izbacivanje grešaka. Primeri tehnikih alata za merenje nivoa zašte su IDPS, skeneri za monitoring mrežne zašte, anspam i AVP, barijere i dr., koji generišu odre ene merne podatke i smeštaju u log datoteke zašte. Trend je merenje zašte iza IDPS. Metrika proizvoda zašte, može se primeni u svim takama ranjivos, u svim fazama životnog ciklusa (razvoja, implementacije i održavanja), zavisno od zrelos primenjene tehnologije, koja evoluira i stabiliše se u fazi održavanja (Sl. 6.2) [88].
Sl. 6.2. Sazrevanje tehnologija zašte Analiza intervjua, kao metriki sistem, podrazumeva izradu kontrolnih upitnika (sa sedam do osam tema i oko dvadeset pitanja) o zaš informacija, intervjuisanje, skupljanje, analizu i interpreranje rezultata, koji pokazuju inicijalnu sliku stvarnog stanja. Broj uzoraka za intervjue, treba bi dovoljan za uopštavanje rezultata. blas za prikupljanje informacija odnose se na krine elemente sistema zašte: U, O i T kontrole, organizaciju, okruženje i ciljevi zašte, metriki sistemi (standardi i dokumentacija) i njihova implementacija, upravljanje rizikom i zaštom itd. [61].
90
O Š FOJ
6.2.5. Izbor tipa i razlozi za primenu metrika zaštite Izbor pa metrikog sistema zavisi od zrelos programa zašte. Zreo program zašte implemenra mehanizme za praenje, dokumentovanje i kvantavnu verikaciju performansi sistema zašte. to je više podataka na raspolaganju, lakše je merenje i vea mogunost automazacije skupljanja podataka za kvantavno merenje. Korisni podaci se dobiju iz automazovanih alata za nadzor i serkaciju sistema zašte, analizu baza podataka i drugih izvora. Sa aspekta zrelos programa, razlikuju se tri pa metrikih sistema zašte [15, 52, 61, 40]: 1. Tip (3. nivo zrelos): procenat sistema sa odobrenim planovima zašte, procenat sistema sa polikom lozinke i pravima pristupa, kongurisanim u skladu sa bezbednosnim zahtevima u polici zašte. Kada merenje implementacije dosgne i ostane 100%, smatra se da su kontrole zašte potpuno implemenrane i da je sistem zašte dosgao 3. nivo zrelos. 2. Tip (4. i 5. nivo zrelos): za razvijen program zašte, podaci o performansama su dostupniji, a metriki sistem se fokusira na ekasnost tj. blagovremenost isporuke servisa zašte i efekvnost performansi kontrola zašte. va metrika je alat za serkaciju efekvnos kontrola zašte, npr. proraunom procenta lozinki za koje je vreme, potrebno za krekovanje, usaglašeno sa polikom zašte lozinke. 3. Tip (5. nivo zrelos): za kontrole zašte, integrisane u procese organizacije, procesi postaju samo–regeneravni, a skupljanje mernih podataka potpuno automazovano. Analizom korelacije podataka može se meri ucaj bezbednosno relevantnih doga aja na poslove i misiju organizacije. Na primer, merenje ucaja obuke, podrazumeva kvankovanje incidenata po pu i korelaciju dobijenih podataka sa procentom obuenih korisnika i administratora sistema. Rezulta istraživanja pokazuju da su osnovni razlozi za primenu metrika zašte: upravljanje zaštom, usklaivanje sa zakonima i standardima, ekasnost i efekvnost performansi u odnosu na ciljeve zašte, demonstracija znaaja zašte za organizaciju, podrška proceni rizika i upravljanju zaštom itd. U Tabela 6.5. date su naješe metrike zašte i primeri prikupljanih podataka. Tabela 6.5. Naješe korišene metrike zašte informacija Metrika zašte
Primeri prikupljanih podataka
Inciden
broj incidenata u odre enom periodu; uporedni prikaz broja incidenata u dva vremenska perioda; broj glavnih ili poslovno–krinih incidenata; cena odre enog incidenta; broj idenkovanih ranjivos; broj saniranih ranjivos
Zašta od virusa
broj incidenata odre enog pa virusa; broj virusnih incidenata u odre enom periodu; uporedni prikaz broja virusnih incidenata u dva perioda; broj ažuriranja baze poznah virusa; procenat uspešnih ažuriranja baza virusa; broj blokiranih virusa na gateway/perimetru
BO FOO
91
Metrika zašte
Primeri prikupljanih podataka
broj izvršenih analiza rizika; broj izvršenih analiza pretnji i ranjivos; Upravljanje rizikom broj idenkovanih visokih/krinih bezbednosnih rizika; broj smanjenih visokih/krinih bezbednosnih rizika Upravljanje bezbednosnim popravkama (peevima) Usaglašenost sa polikom zašte
broj popravljenih ranjivos (u odre enom periodu) merenje procesa (npr. izvršavanje koraka u zadatom vremenu) vreme utrošeno na popravku (npr. imovine ili krinih sistema) procenat popravki sistema u odnosu na SLA ili poliku procenat otkaza sistema koji nisu radili popravke broj izvršenih obuka za zaštu informacija broj povreda polike zašte
Nalazi revizije
broj neusaglašenos otkrivenih internom kontrolom; broj neusaglašenos otkrivenih revizijom; srednje vreme rešavanja neusaglašenos; procenat preostalih neusaglašenos
Troškovi
ukupni nansijski gubici zbog bezbednosnih incidenata ukupni troškovi zbog povrede regulava ili ugovornih obaveza ukupni nansijski gubici zbog prevara (troškovi oporavka) ukupni troškovi zašte (kontrola zašte i posledica incidenata)
6.2.6. Primeri metrikih sistema operativnih kontrola zaštite Za upravljanje sistemom operavnih kontrola zašte važno je koris „dobru“ metriku, koja treba da bude S.M.A.R.T [88]: Specina – usmerena na oblast merenja, a ne sporedni proizvod ili rezultat. Merljiva – podaci moraju bi skupljani, tani i kompletni. Akciona – razumljivi merni podaci za koje je lako preduze akciju. Relevantna – merenje samo onog što je važno za podatke. Timely (Blagovremena) – podaci su dostupni kada su potrebni.
Primeri metrika koje mogu sakupi relevantne podatke su sistem AVP zašte, upravljanje korisnikih naloga, logike barijere, an-spam zašta, upravljanje web sadržaja i upravljanje polike zašte. Program metrikog sistema AVP zašte i sistema zašte su kljuni elemen polike zašte svake organizacije. Aplikacija merenja AVP je krina za spreavanje veeg ucaja na poslovanje. Centralizovano upravljanje sistemom AVP zašte, mora ima logovanje i izveštavanje za kreiranje korisne metrike. Za AVP zaštu interesantno je tri do pet metrika za skupljanje podataka za analizu svake sedmice, kao što su: broj sistema sa akvnim AVP i ukupan broj sistema na koje treba instalira AVP, broj sistema bez 92
O Š FOJ
ažuriranih AVP denicija, broj sistema koji nisu nedavno skenirani na viruse (najmanje jedan put sedmino) i dr. Metrika upravljanja korisnikih naloga je znaajna, jer veliki broj napada dolazi iz interne mreže. Monitoring i kontrola korisnikih naloga pomaže da se sprei njihovo korišenje za napade na IKTS. Metrika koja se može sakupi i analizira ukljuuje: ukupan broj naloga, broj naloga koji nikad nije korišen, broj naloga koji nije korišen 30 ili 60 dana, broj administratorskih naloga i broj naloga servisa. Metrike logike barijere su brojne i mogu se monitorisa i kontrolisa. Doga aji na barijeri mogu ukaza na indikatore napada ili zloupotrebe internih konekcija IKTS. Metrika koja se može sakupi i analizira ukljuuje: broj ovlašenih i dezakviranih konekcija (po pu), koliina informacija (u MB) procesiranih po pu konekcije i broj detektovanih obrazaca napada. Metrike spama i integriteta sadržaja e–mail-a su važne u e-poslovanju, zbog porasta spama, koji sistem kontrole održava na odre enom nivou i dopušta legiman rad e–pošte. Metrika koja se može sakupi i analizira ukljuuje: broj procesiranih poruka e–pošte, broj odbijenih poruka e–pošte zbog spama/restrikcije sadržaja, koliina odbijenih poruka e–pošte u MB (propusni opseg), broj odbaenih poruka e–pošte sa neodgovarajuim sadržajem i stopa lažnih idenkacija spama. Metrika pristupa Internetu znaajno smanjuje destrukciju rada zaposlenih i zakonske sankcije, zbog nepropisnog korišenja Interneta, posebno sa aspekta troškova Internet opsega i gubitka produkvnos zaposlenih. Metrika koja se može sakupi i analizira ukljuuje: glavni akteri zloupotrebe Interneta (vreme/MB korišenja Interneta), pokušaji pristupa zabranjenim web lokacijama, korisnika staska vremena pretraživanja Interneta, staska pretraživanja Interneta iz poseta web lokaciji, broj datoteka preuzeh/ blokiranih /zabranjenih. Metrika nadzora polike zašte je znaajna za usaglašavanje svih sistema sa standardima organizacije. Akvan program za nadzor može idenkova sisteme koji nisu usaglašeni, a metrika može pokaza koliko je efekvna organizacija u spreavanju/otklanjanju neusaglašenih sistema. Metrika koja se može sakupi i analizira ukljuuje: procenat sistema usaglašenih sa standardima za zaštu OS, lista neusaglašenih sistema i pitanja koja se moraju obuhva u sistemu, verikacija statusa popravki, procenat sistema popravljenih na zahtev. 6.2.7. Prezentovanje metrika zaštite inormacija Metrike zašte obino se prezentuju menadžeru zašte, IKT osoblju i kolegijumu direktora, upravnom odboru ili slinom telu u organizaciji, ime se obezbe uje se dodatna podrška projekma zašte informacija (Sl. 6.3).
BO FOO
93
Sl. 6.3. Uloge kojima se naješe prezentuju metrike zašte u organizaciji Uobiajene forme prezentovanja rezultata metrika zašte su tabele sa sirovim ili staskim podacima i analikim raunima, semafori ili slini indikatori statusa, instrument table, tabele rezultata, grakoni za ilustrovanje trendova ili uporedno prikazivanje rezultata i izveštaji. Naješe forme su dijagrami, instrument table i izveštaji (Sl. 6.4) [88].
Sl. 6.4. Primeri metoda za prezentovanje metrike zašte informacija 94
O Š FOJ
Grake metode prezentovanja metrike, sa kvantavnim ulazima, prenose veliku koliinu informacija na jasan i sažet nain. Instrument tabla je zgodan metod za prezentovanje rezultata menadžmentu, jer brzo i sažeto prikazuje veliku koliinu podataka. Zbog celovitos i objekvnos, grakoni, semafori i tabele naješe se prezentuju menadžerima zašte ili IKT osoblju. Grakoni se esto koriste za prezentovanje trendova i predvi anja. Primena jedne metode prezentovanja ne ue jednako na sve zainteresovane strane. 6.2.8. Prednosti i nedostaci metrikih sistema zaštite Prednos metrikog sistema zašte za organizaciju su brojne: poboljšanje odgovornos; merenje svakog aspekta sistema zašte; izolovanje problema u zaš; usklaivanje sa zakonima i angažovanje na proakvnoj zaš; merenje efekvnos implemenranih kontrola zašte itd. Nedostaci metrika zašte su generalno pozna. Glavni problem je merenje ucaja ljudskog faktora na metrike zašte, koji se delimino prevazilazi angažovanjem nezavisnih eksperata. Uzroci slabe ili neadekvatne implementacije metrikih sistema, naješe nastaju zbog nedostatka/nepostojanja jasno denisanih procesa metrike, sves o potrebi upravljanja zaštom, spremnos menadžerske strukture za angažovanje u zaš, dokumenata zašte, odgovornos itd. [40]. Primena metrika zašte u praksi, naješe je ad hoc proces. Kljuni rezulta istraživanja primene metrika zašte u praksi sumirani su u deset taaka [40]: 1. Ne postoji opšta denicija metrike zašte. 2. Metrike zašte naješe se odnose na uskla enost sa zakonima. 3. Naješe se odnose na incidente, AVP, rizike, uskla enost i troškove. 4. bino se prezentuju menadžmentu, menadžeru zašte i IKT osoblju. 5. Mali broj metrika zašte se odnosi na netehnika pitanja. 6. Naješe se ne koriste za poslovne zahteve i upravljanje poslovanjem. 7. esto je teško odredi kome i kako treba prezentova metriku zašte. 8. Kljuni koraci programa su denisanje zahteva, idenkovanje metrike, prikupljanje podataka i priprema prezentacija. 9. Dobar program treba da koris kvantavnu i kvalitavnu metriku. 10. Prezentacija metrike treba da odgovara potrebama korisnika.
Zbog nejasne namene, metrike naješe ne odgovaraju poslovnim ili ciljevima zašte. Ako je loše denisan program metrike, problemi postanu vidljivi tek u fazi prezentovanja rezultata, kada se neefekvnost ne može sakri. snovni problemi primene metrike zašte otkriveni su istraživanjem modela cilja, prikupljanja ulaznih podataka i nain prezentovanja rezultata metrike (Tabela 6.6) [88]. BO FOO
95
Tabela 6.6. Istraživanje primene metrika zašte informacija u praksi Komponente modela
Primeri iz prakse
Osnovni problemi u praksi
Zašto se koris metrika zašte (cilj)?
upravljanje zaštom informacija izveštavanje rukovodstva uskla enost sa zakonima ... podrška upravljanju rizicima
bez jasne primene teško praenje poslovanja nekompabilnost sa poslovnim metrikama
Šta metrika zašte koris i prikuplja (ulazni podaci)?
inciden, AV zašta upravljanje rizicima upravljanje popravkama uskla enost sa polikom nalazi revizije, cena
teškoe u izboru metrike malo u poslovnoj metrici nedostatak poslovnog aspekta zašte informacija
Kako se koriste i prezentovanje raznim korisnicima prezentuju metrike razni naini prezentovanja zašte (prezentacija)?
teško idenkova prave korisnike težak izbor prezentovanja neprecizan opis stanja zašte
6.3. REZIME Metriki sistemi zašte imaju brojne aplikacije. Ne postoje široko prihvaeni i korišeni standardi za merenje zašte informacija. U oblas zašte metriki sistemi daju najbolje rezultate kada se primenjuju kao proces, planiran u pripremnoj fazi razvoja sistema zašte. Za kvalitet programa zašte, od presudnog znaaja je razvi i implemenra program metrike zašte, denisa proces i model cikline evaluacije i poboljšanja procesa zašte. Proces razvoja metrikog sistema odvija se kroz sedam, a implementacije metrike kroz šest iteravnih koraka, koji kada se potpuno izvrše, obezbe uju neprekidnost primene metrike zašte za nadzor i poboljšanje performansi kontrola zašte. Metrika zašte je od posebnog znaaja za procese digitalne forenzike jer obezbe uje ponovljivost tesranja i merenja digitalnih dokaza. Koncep merenja i metrike su jasni i imaju veliku vrednost za organizaciju, jer bez merenja nema ni upravljanja zaštom. Za efekvnu metriku akvnos zašte moraju pra promene poslovanja, da bi ulazni podaci uvek bi aktuelni i objekvni. Najbolji nain razvoja programa metrike je da se u prvoj iteraciji primeni ono što je lakše, jeinije i što najbrže daje rezultate. Primenom komparavne tabele za prezentovanje rezultata metrike zašte, ukljuujui troškovi pripreme, prikupljanja i prezentacije, bie zadovoljeni zahtevi svih zainteresovanih strana.
96
O Š FOJ
6.4. KLJUNI TERMINI Merenje: jednokratni uvid u specine merne parametre komponente zašte. Metrika: višekratno merenje u dužem vremenskom periodu, ili sredstvo za interpretaciju agregiranih mernih podataka na višem nivou organizacije.
Metriki sistem: skup kriterijuma, parametara, mernih podataka i jedinica za izražavanje rezultata merenja, koji uobiajeno podrazumeva procese evaluacije i nadzora performansi servisa zašte (tehniki sistem metrike, log datoteke).
6.5. PITANJA ZA PONAVLJANJE 1. Merenje u zaš informacija je: a. jednokratni uvid u specine merne parametre sistema zašte b. ocena opšh parametara sistema zašte informacija c. vrši se pore enjem u odnosu na predenisani merni etalon d. evaluacija parametara sistema zašte informacija e. objekvan sirov podatak koji može automatski da se generiše 2. Metrika u zaš informacija je: a. višekratno merenje u dužem vremenskom periodu sa analizom rezultata merenja b. sredstvo za interpretaciju agregiranih mernih podataka na višem nivou c. proizvod analize rezultata merenja d. objekvne ili subjekvne interpretacije rezultata merenja e. beznaajna za proces digitalne forenzike istrage 3. Metriki sistem je: a. skup kriterijuma, parametara, mernih ure aja, podataka i jedinica za prikazivanje rezultata merenja b. jedinica mere snage kriptografskog algoritma c. namenjen za ekonomsko tehniku (cost – benet) analizu d. sistem za detekciju anomalija (IDS) e. SSE–CMM model sazrevanja procesa zašte f. revizija sistema zašte
4. bjek merenja u sistemu zašte informacija mogu bi: a. organizacija, informako odeljenje organizacije b. planiran proizvod, rewall u radu c. server lokalne mreže, ISP–provajder Internet usluga d. program glavne aplikacije, IDS/IPS e. mrežne komunikacije, sistem zašte u celini 5. Glavni principi metrikog sistema zašte su: a. ima informacije koje se mogu kvankova b. upotrebljiv za praenje performansi i usmeravanje polike zaštu c. obezbe ena dostupnost podacima za podršku metrikog sistema d. samo izmereni procesi se mogu smatra relevantnim e. samo ponovljivi procesi mogu se smatra merljivim 6. Namena metrikog sistema je: a. idenkova uzroke slabih performansi servisa i mehanizama zašte b. omogui izradu plana zašte c. omogui korekvne akcije d. omogui ponavljanje servisa zašte 7. U odnosu na generiki p metrike zašte se dele na metrike za: a. kvantavno vrednovanje i merenje performansi procesa b. rezultatski orijensanu i metriku sazrevanja procesa zašte
BO FOO
97
c. kvantavno i kvalitavno vrednovanje d. kvalitavno vrednovanje i merenje performansi procesa zašte 8. U odnosu na objekte zašte razvijena su tri glavna metrika sistema za merenje: a. procenta sistema sa odobrenom polikom zašte b. procenta implementacije sistema zašte c. efekvnos i ekasnos servisa zašte d. kvalitavne ocene incidenata e. kvaliteta implementacije polike zašte f. stepena integracije sistema zašte u poslovne procese organizacije g. ucaja bezbednosno relevantnih doga aja na poslovanje 9. Ako ne postoji metriki sistem, za odre ivanje metrike koris se pristup: a. životnog ciklusa i brzog odgovora b. životnog ciklusa i pristup odozgo nadole c. životnog ciklusa i pristup odozdo nagore d. odozgo nadole i odozdo nagore 10. snovne karakteriske metrika zašte informacija su: a. naziv, namena, cena, projekat, frekvencija, kategorija, start/stop kriterijumi, trajanje prikupljanja, period upotrebe b. naziv, namena, cena, p, lokacija, frekvencija, kategorija, start/stop kriterijumi, trajanje prikupljanja, period upotrebe c. naziv, namena, cena, p, lokacija, frekvencija, kategorija, start/stop kriterijumi, trajanje merenja, period upotrebe 11. Glavni primeri korišenja metrika zašte su: a. upravljanje zaštom informacija b. uskla ivanje sa zakonima, regulavama i standardima c. prikazivanje ekasnos, efekvnos i performansi u odnosu na poslovne ciljeve d. demonstracija znaaja zašte informacija za organizaciju
98
O Š FOJ
e. procena rizika f. broj incidenata u datom vremenskom periodu g. ukazivanje na prednos i nedostatke standarda zašte 12. Glavne faze generikog toka procesa uspostavljanja programa metrike zašte su: a. uspostavljanje referentnih performansi i ciljeva poboljšanja b. izbor i razvoj strategije za primenu metrike c. uspostavljanje referentnih performansi i ciljeva merenja d. razvoj i preispivanje tehnike merenja e. izbor naine prezentovanja tehnike merenja f. denisanje akcionog plana izbora metrike 13. Glavne komponente strukture programa metrike zašte su: a. praksa, polika i procedure zašte b. metrika sazrevanja procesa zašte c. podrška menadžmenta d. kvalitavna metrika performansi e. rezultatski orijensana metrika analiza f. kvantavna metrika performansi 14. Za procesno orijensani sistem sazrevanja procesa zašte treba denisa atribute za: a. neprekidno poboljšavanje, podršku, planiranje i upravljanje procesima organizacije, izvršavanje i izveštavanje b. neprekidno poboljšavanje, praenje procesa zašte, podršku, planiranje i upravljanje procesima zašte, izvršavanje i izveštavanje c. neprekidno poboljšavanje, kvantavno merenje i praenje procesa zašte, podršku, planiranje, izvršavanje i izveštavanje procesa zašte d. neprekidno poboljšavanje, kvantavno merenje i praenje procesa zašte, podršku i planiranje, izvršavanje i izveštavanje
15. Sa aspekta zrelos programa razlikuju se tri pa metrikih sistema zašte: a. procenat sistema sa odobrenom polikom lozinki, ekasnost i efekvnost performansi kontrola zašte, ucaj bezbednosnih doga aja na poslovanje i misiju b. procenat sistema sa odobrenim planom/polikom, ekasnost i efekvnost performansi kontrola zašte, ucaj bezbednosnih doga aja na poslove i misiju c. procenat sistema sa odobrenim planom zašte, ekasnost i efekvnost poslovnih procesa, ucaj bezbednosnih doga aja na poslove i misiju organizacije 16. Naješe korišene metrike zašte su za: a. praenje incidenata, zaštu od virusa, upravljanje bezbednosnim popravkama, merenje usaglašenos, reviziju i troškove zašte b. praenje incidenata, zašta od virusa, merenje usaglašenos i reviziju c. zaštu od virusa, upravljanje bezbednosnim popravkama, merenje usaglašenos d. troškove zašte, zaštu od virusa, upravljanje bezbednosnim popravkama 17. Tipine kategorije parametara za metriku zašte ukljuuju: a. veliinu, frekvenciju, trajanje i cenu b. broj, frekvenciju, trajanje i cenu c. broj, veliinu, frekvenciju, kvalitet servisa, trajanje i cenu
18. Tehniki metriki sistemi se mogu primeni za: a. uspostavljanje cilja zašte, implemenrani sistem, uskla ivanje, nadzor i analizu b. uspostavljanje cilja zašte, planiranje nivoa zašte, implemenrani sistem, uskla ivanje, nadzor i analizu c. planiranje rizika, implemenrani sistem, uskla ivanje, nadzor i analizu
BO FOO
99
7.
TAKSONOMIJE PRETNJI I MALICIOZNIH PROGRAMA
7.1. UVOD Uporedo sa razvojem Interneta, rastu i potencijalne pretnje spolja i iznutra. Intranet mreže nude brojne prednos (poveanje produkvnos, smanjenje troškova itd.), ali ine i krinu taku bezbednos za CIA informacija. Istraživanja pokazuju da mnogo veu štetu nanose interni napadi u sistemu e-poslovanja, u kojima interni korisnici nisu samo zaposleni za koje postoji odre eni stepen poverenja, ve i brojni spoljni saradnici, koji imaju vrlo slian pristup intranetu. Pored nansijske dobi, brojni su movi za razne vrste namernih napada, me u kojima su naješe izazov i potreba za samopotvr ivanjem, znaželja i maliciozne namere – kra a i ošteenja informacija, špijunaža informacija itd. Mogui naini odbrane od navedenih napada su slojevita anvirusna, šifrovanje, procedure jake autenkacije i korišenje smart karca za generisanje digitalnog potpisa i bezbedno uvanje kljueva kriptografskih parametara za jaku autenkaciju, primena tehnologije digitalnog potpisa, korišenje i esta izmena jakih kljueva, zašta IP adresa servera i dr. Najbolje rezultate daju kombinovani sistemi višeslojne zašte po dubini, na bazi analize rizika.
7.2. PRETNJE I NAPADI 7.2.1. Taksonomije pretnji i napada Mogue su brojne taksonomije16 agenata pretnji. Krajnji cilj svake taksonomije pretnji je da specijalis zašte i korisnici lakše denišu i idenkuju razliite pova promenljivih pretnji za IKTS. Taksonomija izvora pretnji deli pretnje na sluajne – Sl i namerne – Na. Sluajne su nenamerne ljudske greške, otkazi hardvera i sovera, prirodni vanredni 16
100
Taksonomija (engl. taxonomy) - principi i teorija klasikacije na bazi strogo denisanih kriterijuma.
O Š FOJ
doga aji itd., a namerne pretnje generišu ljudi. Za upravljanje rizikom od interesa je procena svih pretnji koje izazivaju bezbednosne incidente. Na osnovu ove podele, pretnje se klasikuju u 6 kategorija [32, 63, 94, 79, 97]: (1) maliciozne zloupotrebe ranjivos IKTS, (2) kompjuterski kriminal, (3) nebriga, (4) ljudska greška, (5) pad sistema i (6) ucaj okruženja. Realizovana pretnja u IKTS naziva se napad, koji može bi uspešan ili neuspešan, zavisno od jaine napada i otpornos sistema zašte. Generika taksonomija napada prikazana je na Sl. 7.1.
Sl. 7.1. Generika taksonomija napada N$p$di se esto vrše kroz progresivne kor$ke, $n$logno zikom n$p$du (Sl. 7.2). Prvi kor$k je izvi $nje i prikupljanje informacija, zam, skeniranje ranjivos sistema, što je od krinog zn$$j$ z$ uspeh n$p$d$. Drugi kor$k je dobij$nje pristup$, koji može im$ r$zliite ciljeve, k$o što su kontrol$, kr$ a ili uništenje podataka. Taksonomija kombinovanih napada prihvatljiva je za kvalitavnu analizu rizika u odnosu na sledea tri kriterijuma: (1) posledica ucaja: štetan – Št, neškodljiv – Nš; (2) izvor nastanka: iznutra – Un, spolja – Va i (3) nain izvoenja: sosciran
Sl. 7.2. Generiki tok napada na raunarske mreže i sisteme BO FOO
101
– So, nesosciran – Ns. U praksi se ovi napadi naješe realizuju u kombinaciji i proizvode ucaj na informacionu imovinu kroz osam kombinacija [91]:
Š S U t
o
n
, Št SoVa, Št N sU n , Št N sVa , N š SoU n , N š SoVa , N š N sU n , N š N sVa
Redukovana taksonomija izvora pretnji za izbor kontrola zašte, klasikuje izvore pretnji na greške, prirodne dogaaje i namerne napade, obino maliciozne sa promenljivim stepenom intenziteta, zavisno od pa, sposobnos, resursa, movacije, prilike i namere napadaa (Tabela 7.1) [91]. Tabela 7.1. Zbirne karakteriske atributa namernih napada TIP NAPADA Lokalni
zahteva se ziko prisustvo napadaa na mestu napada i razmeštaja IKTS
Mrežni
napada inicira napad sa mreže SPOSOBNOST NAPADAA
Niska
uobiajene sposobnos i ogranieno znanje o IKTS i ne koris posebne alate
Visoka
ima jednu/obe sposobnos: koris soscirane alate i/ili napredne IKT tehnike PRISTUP IS
Iznutra
napada nije korisnik, nije privilegovan korisnik ili je privilegovan korisnik IKTS
Izvana
napada je legalan ili nelegalan ili javni korisnik IKTS NAMERA NAPADAA
Nemaliciozan
nema nameru da ošte IKTS, napada iz znaželje, dosade ili izazova
Maliciozan
ima jasnu nameru da ošte IKTS, ili izazove štetu organizaciji RESURSI NAPADAA
102
Minimalni
(I) samoinicijavan i samo–movisan; (II) radi nezavisno i (III) izvršava napad sa minimalnim raunarskim resursima
Srednji
(I) deo grupe/organizacije, koje se ne bave komercijalnom špijunažom, kriminalom, ili terorizmom); (II) radi pod ucajem grupe/organizacije i (III) izvršava napad sa prosenim resursima
Znaajni
(I) deo grupe/organizacije, ukljuujui obaveštajne, informacionog ratovanja ili državno–sponzorisanog terorizma; (II) radi direktno pod upravom grupe/ organizacije i (III) napada sa znaajnim resursima
O Š FOJ
Kljuni povi napada mogu se svrsta u sledee grupe: destrukcija, izmena podataka, prekid servisa (DoS, DDoS17), špijunaža i neovlašeno korišenje [91]. Opš movi napadaa – hakera, krakera, vandala, kompjuterskih kriminalaca i dr su znaželja, novac, mo, osveta i sl. d posebnih mova presudni su intelektualni izazov, radoznalost, avanturizam, zabava, potreba za trijumfom, opijenost sopstvenim znanjem, kompenzacija oseaja manje vrednos, oseaj elizma, prisak hakerske organizacije, presž i dr. Hakeri se prema kriterijumu namere mogu podeli na kreavce, destrukvce i kriminalce. Kreavci naješe ne prave štetu, dok je destrukvci prave – uništavaju, brišu i menjaju podatke. Kriminalac je pino mlad, inteligentan, uzoran i odgovoran radnik na poslu, spreman na prekovremeni rad, visoko movisan i istraživaki orijensan. Ima razvijeno logiko mišljenje, dobro poznaje i koris RS, samo mu treba jak mov, da postane pohlepan, osvetoljubiv i sl. Sredstva za napad ine tehniki kapacite i nivo vešne koju hakeri poseduju. Prilika za napad je iskorisva ranjivost, koja se teško odre uje zbog mogunos postavljanja raznih zamki (zadnjih vrata, trojanaca,...). N$p$di mogu bi usmereni na odreene hostove (prisluškivanje, otmica sesij$, skeniranje ranjivos, probijanje lozinki, odbijanje servisa i društveni inženjering), infr$strukturu RM ili n$sumice prema hostovima. Društveni inženjering se može koris za m$sovne neselekvne n$p$de – sp m (neželjene poruke) i slanje ili ubacivanje malicioznog kod$. Vektor napada poslednjih godina pomera se sa relavno dobro zašenih servera lokalnih mreža, na web servere, baze podataka na web–u i pojedinane nezašene raunare umrežene na Internet (Tabela 7.2). Tabela 7.2. Pomeranje vektora napada sa Interneta 1996. godine
2009/2010. godine
Hakeri iz hobija
Profesionalni hakerski napadi na web servise
Prevaran na web sajtovima
rganizovani kompjuterski kriminalci
Virusi i drugi maliciozni programi
Napadi odbijanja servisa (DoS, DDoS)
Retki napadi na web servere
Kra a identeta, iznu ivanje, ucene Stalni napadi na web servere i društvene mreže
U toku 2008. godine broj malicioznih programa u opcaju [104] iznosio je preko milion, od kojih je veina i kreirana iste godine [96]. U 2008. godini preko 50% svih napada na IKTS organizacija inili su virusi i napadi iznutra koji su u opadanju, ali i dalje naješi uzrok kompjuterskog incidenta, (Sl. 7.3) [96].
17
Dinail of Services/Distributed Dinail of Services – odbijanje/distribuirano odbijanje izvršavanja servisa.
BO FOO
103
Sl. 7.3. Kljuni povi incidenata izraženi u procenma (2008.) [96] U 2008. godini Oracle je idenkovao osam sigurnih naina za hakerisanje Oracle web baza podataka. Tipian metod hakerskog napada ine faze pripreme i planiranja, izbor cilja (sakupljanje informacija), planiranje napada, izbor metoda/tehnike napada (rutkit, trojanac, brisanje podataka...) i izbor mera samozašte. Glavne tehnike za napad su rutkit tehnike koji prikrivaju prisustvo u raunarskom sistemu i postavljanje zadnjih vrata za kasniji ulazak u sistem. Samo u 2009. godini registrovano je 25 miliona novih malicioznih programa [103], od ega ak 66% novih pova trojanaca za kra u novca iz banaka, kao i lažnih, malicioznih AVP (Sl. 7.4). Troškovi zloupotrebe IKTS denišu se kao: potreban rad da se analizira, popravi i ois incirani sistem ili gubitak produkvnos i drugi troškovi otklanjanja posledica napada, koji ne ukljuuju prevenvnu zaštu (nabavku AVP, obuku, troškove osiguranja i troškove gubitka ugleda) [96]. Rezulta istraživanja nansijskih aspekata zloupotrebe IKTS (Computer Economics, 2007.), pokazuju da su za deset godina (1997 – 2007) porasli sa 3,3 mlrd$ na 13,3 mlrd$ [96]. Napadi malicioznim programima neprekidno rastu, a štetne posledice se menjaju iz godine u godinu, od jedne do druge staske analize. An– virusna kompanija Panda Security Labs je 2009. godinu objavila da je od januara – avgusta 2008. detektovala više podvrsta malicioznog sovera nego u prethodnih 17 godina [96]. ekuje se i povean Sl. 7.4. Zastupljenost malicioznih napada u 2009. [96] 104
O Š FOJ
broj malicioznih programa koji napadaju nove operavne sisteme Leopard, Windows 7 i Ubuntu [96]. U toku 2009. svakog dana na Internetu javljalo se proseno 37.000 novih pova malicioznih programa (malware) i napada, od kojih je njih 40% menjalo svoju deniciju u prva 24 asa [96]. U prvoj polovini 2010. godine, maliciozni programi na Internetu su premašili po broju svaku polugodišnju produkciju do sada. Procene su da se dnevno generiše oko 63.000 novih, od kojih preovla uju AutoRun i trojanac koji krade lozinke [96]. Istovremeno spam je dosgao najviši nivo u tree, kvartalu 2009. – 175 milijardi spam poruka. Tipovi spama variraju u razliim državama. Nokacija statusa isporuke ili prihvatanje neisporuke spama (non–delivery receipt spam) najviše se koriste u SAD, Italiji, paniji, Kini, Brazilu i Australiji. Maliciozni spam ili sve što sže sa prilogom, koji unosi virus ili trojanca, najšire su zastupljeni u Kolumbiji, Indiji, užnoj Koreji, Rusiji i Vijetnamu. U Argenni ima šesnaest pova spama, a u Italiji – samo šest. Tako e, ponovo su oživele dve najvee botnet mreže na svetu – Storm Worm i Kraken. U Prilogu 5. data je kratka istorija razvoja malicioznih programa.
7.3. PREGLED MALICIOZNIH PROGRAMA Uvo enje malicioznih programa sa Interneta smatra se konstantnom pretnjom za IKTS. Maliciozni program je kôd koji se tajno ubacuje u drugi program sa namerom da se nanese šteta, unište podaci, pokrenu destrukvni programi ili kompromituje bezbednost informacija. Pod štetom se podrazumeva svako ometanje normalnog funkcionisanja IKTS i procesa koje podržava. Malicioznost je odre ena namenom, a ne algoritmom ponašanja kôda. Na primer, crv W32.Welchia se ponaša i izgleda kao maliciozni kôd, a zapravo preuzima poslednje Microso popravke i uklanja crv W32.Blaster. Granice izme u raznih malicioznih kôdova su sve slabije. Najopasnija je sprega lažnih virusa (hoaxes) i trojanaca, jer ne incira sistem, uporna je, teško se otklanja, a distribuira viruse i trojance [96]. Virusom, crvom i trojancem, sistem se može zarazi na više naina – preko USB, CD, DVD i sl.; priloga e–pošte ili preuzetog sadržaja sa Interneta; web lokacije sa instaliranim virusom ili skriptom koji generiše viruse ili trojance; iskorišavanjem ranjivos sistema itd. 7.3.1. Osnovne vrste savremenih malicioznih programa Maliciozni kôdovi mogu uca na sve aspekte zašte. Naješe se prema vrs napada ili funkcionalnos dele na viruse, crve, trojance, mobilne kôdove i kombinovane napade. Ranije je ovakva podela bila mogua, ali su ovi programi evoluirali i esto kombinuju više funkcionalnos. U Tabeli 7.3. da su osnovni kriterijumi klasine podele malicioznih programa umnožavanje, samorazvoj i parazitnost [111]. BO FOO
105
Tabela 7.3. Uporedne karakteriske nekih malicioznih programa
7.3.2. Taksonomija virusa d brojnih denicija virusa naješe se koris prva18: „Raunarski virus je program koji incira ostale programe, modikujui ih tako da ukljuuju njegovu naprednu kopiju. Sa inciranog podruja, virus se može širi kroz RS i RM, koristei autorizaciju svakog korisnika da incira njihove programe. Svaki program koji se incira, takoe se ponaša kao virus pa se infekcija poveava“. „Raunarski virus je segment mašinskog kôda, obino od 200–4000 bajta, koji e nakon akviranja kopira svoj kôd na jedan ili više programa domaina. Izvršavanjem programa domaina, izvršava se „incirani“ kôd i virus nastavlja da se širi.“ 19. Raunarski virus je dizajniran da se replicira, pravi svoje kopije i distribuira ih u druge datoteke, programe ili raunare sa ciljem da napravi štetu. iri se uglavnom tako što se ugnezdi u drugu datoteku, a zam je briše ili menja. Virus iz inciranog raunara u RM traži drugi raunar da ga zarazi20. Viruse generišu gotovo iskljuivo tehniki virtuozi radi malicioznih namera, komercijalne dobi i hakerskog ratovanja. Generalno, svi virusi su maliciozni, pošto i tzv. benigni, iako nisu štetni, zauzimaju resurse raunara i vrše neželjene radnje. U principu, bilo koji program može prenosi viruse, ali je to naješe program namenjen za vei broj korisnika. Neki virusi napadaju samo odre ene, dok drugi napadaju više programa. Taksonomije virusa su brojne, a broj virusa u stalnom porastu. esta klasikacija je na viruse BOOT sektora, komandnog procesora, univerzalne infektore datoteka, usmerene, makro i lažne viruse21. Virusi BOOT sektora kae se uz master boot record (MBR) u boot sektoru vrstog diska (HD), jedinstvenoj lokaciji na HD, gde su smešteni osnovni ulazno/izlazni sistem (BI S) raunara i program za podizanje S. Ako je HD inciran u drajveru, virus se može 18 19 20 21
106
red Cohen, Computer Viruses: Theory and Experiments, red Cohen & Associates, 1984. Aycock ohn, Computer Viruses and Malware, Springer, 2006. akobsson Markus, Zulkar Ramzan, Crimeware: Understanding New Aacks and Defenses, Addison Wesley Professional, 2008. Mell, P., Kent, K., Nusbaum, ., Guide to Malware Incident Prevenon and Handling, Special Publicaon 800-83, Novembar 2005.
O Š FOJ
akvira pre bilo kojeg dela S, kada se raunar podiže. vi virusi se nalaze u najdubljem delu S, mogu preuze kontrolu i nadgleda svaku operaciju, a pokreu se pre AVP i na taj se nain uspešno kriju. Uklanjaju se jedino reinstalacijom S sa originalnog butabilnog CD, zašenog od snimanja, uz paralelnu upotrebu AVP. vi virusi su jednostavni za kreiranje, relavno dobro sakriveni (ako ne prikazuju poruke na ekranu), ali se lako odstranjuju. Danas su retki zbog hardverske zašte i autorizacije da bi se moglo upisiva u boot blok (Sl. 7.5). Klasini primeri ovih virusa su Michelangelo i Stoned.
Sl. 7.5. Prikaz neinciranog i inciranog boot sektora Virusi komandnog procesa slini su prethodnim, osim što se uitavaju malo kasnije u procesu podizanja S. Njihova mo nad S je samim m manja. Kada se otkriju, lako se uništavaju. Univerzalni virusi infektori datoteka su najšira kategorija virusa, pored virusa boot sektora i MBR. Naješi prenosioci su izvršne datoteke, koje ima svaki S (u Windows–u su to .com i .exe) i datoteke koje sadrže izvršni kôd (Word i Excel sadrže samoizvršavajue makroe), za koje se ovi virusi lepe i nemaju veze sa sistemskim delom S. Datoteke .com su reliktni ostaci CP/M S i jednostavne su binarne strukture; .exe su savremenije, !eksibilnije i teže ih je incira. Nakon uitavanja prvog zaraženog programa, virusi se sele u memoriju i ekaju naredni izvršni program da ga inciraju. Drugi metod ispoljavanja ovih virusa je izmena naina na koji raunar otvara neku datoteku, umesto izmene aktuelnog programa koji akvira datoteku. U ovom scenariju prvi se akvira virus, a onda program. Glavna strategija nastupa ovih virusa je, da od izvršne datoteke naprave trojanca. Najpoznaji virusi iz ove kategorije su Jerusalem i Cascade. Višedelni virusi inciraju i programske datoteke i boot sektore. Tako e, mogue je napravi viruse koji inciraju diskove. Neki od virusa imaju sposobnost premeštanja izme u boot sektora i programa, što ih ini težim za analizu, jer je nemogue napravi test datoteke bez inciranja HD. Programski virusi koriste D S-ove funkcije da bi bili rezidentni, smeštaju se na niže memorijske lokacije, dok ostali programi koriste memoriju iznad njih. Virus koji modikuje memorijski alokacioni lanac obino sebe pomera na vrh nominalne memorije, a pokaziva vrha pomera naniže. Virusi koji inciraju boot sektor obino zauzimaju vrh memorije, ali pri tom ne rezervišu taj prostor da bi se zašli. ni BO FOO
107
ne mogu bi otkriveni postupkom provere slobodne memorije, ali veina velikih programa srušie sistem, kad se prepišu preko virusa. dre eni virus traga za slobodnom memorijom u sistemskoj zoni HD, koju koriste mnogi programi i vrlo je verovatno da e sruši veinu sistema. Složeni virusi su veoma opasni jer kombinuju tehnike rasprosranja, razmnožavanja i ugrožavanja, pa su vrlo !eksibilni. Vrhunac su tehnologije programiranja virusa. Usmereni virusi su strogo namenski programi za uništenje nekog broja odre enih pova datoteka. Makrovirusi, preovla ujui povi virusa, u sušni su programi, napisani u makro jezicima, naješi za MS Word, Excel, Oce, Access baze i dr. Sami se zakae za dokument, a koriste makro programski jezik neke aplikacije za izvršavanje i propagaciju. Preuzimaju kontrolu nad sistemom kada se otvori ili zatvori virusom incirana datoteka. Imaju tendenciju brzog širenja, jer korisnici esto koriste aplikacije sa makro funkcijom. Prvo zahvataju standardne funkcije programa, a onda inciraju svaku narednu datoteku koja se otvori. Mogu ošte i sam sadržaj datoteke. Najpoznaji makrovirusi su Concept, Marker i Melissa. Lažni virusi daju lažna upozorenja virusnog napada, sa alarmantnim upozorenjem da je raunar napadnut razornim virusom i da se zahteva trenutna akcija za adekvatnu zaštu raunara. es su koliko i stvarni virusi. bino izazivaju neznatne štete, ali troše operavno vreme. Neki lažni virusi mogu prevari korisnika da izmeni konguraciju S ili izbriše datoteku. Primeri ovih virusa su Good Times i Bud Frogs. Posebno su opasni u kombinaciji sa trojancem. Šifrovani virusi sakrivaju svoj kôd ili ak inciranu datoteku – šifrovanjem. edini tekst koji se može vide unutar incirane datoteke je procedura dešifrovanja. Virusi su naješe šifrovani nekom jedinstvenom procedurom, kao što je XOR-ovanje svakog bajta sluajno izabranim kljuem, za svaku novu kopiju. Detekcija ovih virusa zasniva se na pronalaženju procedure za dešifrovanje na poetku virusnog kôda. Tipovi virusa su brojni: virusi rezidentni u memoriji, koji se ne gase kada se jednom pokrenu; retro virusi, koji zaobilaze operacije specine za AVP; stelt i tunel virusi, koji izbegavaju AVP, smeštaju se u memoriji i blokiraju normalan rad i dr. [96]. 7.3.2.1. Mehanizmi širenja virusa Savremene RM podsu širenje virusa . Pre pojave umrežavanja raunara virusi su imali mnogo manje uslova da se šire (jedino zaraženom disketom i sl.). Pojavom intranet mreža, virusi se mogu širi velikom brzinom i na mnogo sosciranije naine. Važno je uoi da apsolutne zašte od novih i nepoznah virusa nema. Najvei problem je sam S koji je uglavnom ranjiv, bez obzira na p. Preterana agresivnost virusa u nastojanju da se proširi, može izazva pažnju korisnika zbog poveane akvnos procesora. S druge strane, ako je virus isuviše diskretan, nee uspe da incira vei broj datoteka. 108
O Š FOJ
Samoumnožavanje u postojei izvršni kôd je kljuni faktor za denisanje virusa. Kada je pokrenut, virus pokušava da se ugradi u izvršni kôd i ukoliko uspe, za taj kôd se kaže da je inciran. Pokrenut incirani kôd može da incira neki drugi kôd. irenje virusa je ogranieno na prenosne medije, u koje spadaju i izvršne datoteke, koje se prenose preko Interneta. Standardne izvršne datoteke su esta meta virusa, koji se izvršavaju sami ili ih pokree korisnik raunara. Razlikuju se dve glavne klase mehanizma infekcije virusom – direktni i indirektni infektori. Sa aspekta ekasnos virusi se dele na brze i spore infektore22. Direktni infektori su virusi koji akvno tragaju za datotekama, da ih zaraze. Pri tom, mogu pretraživa tekui disk, direktorijum ili selektovani direktorijum. Zam, se uitava i izvršava incirana datoteka. Ne ostaju u memoriji i nisu univerzalni, jer mehanizam inciranja nije preterano ekasan. igledna je dodatna akvnost procesora, posebno kada su sve datoteke zaražene. Indirektni infektori pri pokretanju programa inciranog virusom, smeštaju virus u memoriju, preusmeravaju jedan ili više interaptova i potom izvršavaju originalni program. Veina ovakvih virusa incira svaku datoteku, koja je uitana radi izvršavanja, dok neki inciraju svaku izvršnu datoteku, koja je uitana, bez obzira na razlog uitavanja. Brzi infektori inciraju datoteke koje se izvršavaju i one kojima se pristupa. Koriste i AVP da zaraze datoteke koje oni otvaraju zbog provere na virus, ali ne mogu otkri njihovo prisustvo u memoriji. Spori infektori inciraju samo datoteke, koje su u fazi kreiranja ili modikovanja i tako zaobilaze AVP. Infektori izvršnih datoteka naješe koriste tehnike za prepisivanja, dopisivanje ispred i dopisivanje iza izvršne datoteke. Postoji metod gde se inciraju pratee datoteke, a ne sami izvršni programi. Tehniku prepisivanja koriste virusi, koji prepisuju sadržaj incirane datoteke. Korisnik, pri pokretanju ove datoteke, zapaža da nešto nije u redu sa programom, pošto se nikada ne izvršava, jer više ne postoji. Tada je ve kasno da se povra legimni kôd. Dopisivanje ispred izvršne datoteke koriste virusi, koji kopiraju svoj kôd na poetak incirane datoteke. vo je složenija tehnika od prepisivanja i obino ne uništava program na koji se dodaje. Pri pokretanju zaražene izvršne datoteke, pokree se maliciozni kôd, koji nakon izvršenja prebacuje kontrolu na legimni kôd. Korisnik ne mora da prime nikakvo udno ponašanje programa (Sl. 7.6).
Sl. 7.7. Dopisivanje ispred izvršne datoteke 22
Mell, P., Kent, K., Nusbaum, ., Guide to Malware Incident Prevenon and Handling, Special Publicaon 800-83, Novembar 2005.
BO FOO
109
Pošto ne menja sadržaj datoteke koju incira, velika je verovatnoa da je korisnik u mogunos da ois program od zlonamernog kôda. Tehniku dopisivanja iza izvršne datoteke koriste virusi, koji svoj kôd dodaju na ve postojei legimni kôd programa. Virusi menjaju poetak datoteke, koju su zarazili i naprave komandu za skok do sekcije, koja izvršava virusni kôd (Sl. 7.7).
Sl. 7.7. Dopisivanje na kraju izvršne datoteke Nakon što se zlonamerni kôd izvrši, kontrola se vraa na legimni program. Kao i kod tehnike dodavanja ispred programa, legimni kôd se može povra uklanjanjem virusa. Dodeljivanje virusu imena .com datoteke, tehnika za akviranje virusa u Windows S, više nije dominantna na Windows S, zbog upotrebe GUI interfejsa. Programe predstavljaju ikone i manja je verovatnoa da se pokrene pogrešan program. Me um, mnogi korisnici i dalje kucaju u Run dijalogu notepad, regedit ili .com komande, koje i dalje prvo pokreu programe sa .com ekstenzijom. Infektori datoteka – makro virusi koriste moan skript jezik VBA (Visual Basic for Applicaons) za pisanje makroa, koji se nalazi u MS *ce, WordPerfect *ce, PerfectScript, bjectPAL, AutoCAD i drugim programima. Ako se pri pokretanju ovih datoteka omogui izvršavanje makroa, šteta koju zlonamerni makroi mogu napravi može bi ogromna. 7.3.3. Karakteristike crva Crvi imaju nekoliko ish karakteriska kao i virusi – samo-umnožavaju se, ali kroz nešto drugaiji proces, zasebni su programi i ne zavise od izvršnog kôda. ire se iskljuivo preko RM (tzv. mrežni virusi). Tipian crv se pravi modularno da lakše može promeni funkcionalnost i sadrži metod za upad, metod za širenje, algoritam za biranje mete, metod za pretraživanje i metod napada (teret), a svaki modul se nalazi u strukturi velikog broja crva (Sl. 7.8).
110
O Š FOJ
Sl. 7.8. Generika struktura crva Kada u e u sistem, crv mora da kopira ostatak svog kôda u sistem. U sluaju da je preuzet kao deo datoteke ili kao zaražena datoteka, metod upada i širenja su is proces. Ako crv samo koris neku ranjivost sistema, tada još nije u potpunos kopiran na sistem. Najpopularniji metod za širenje crva su mehanizmi za transfer datoteka (TP, TTP, HTTP i drugi protokoli). ednom pokrenut u sistemu, crv poinje da traži nove žrtve za napad. Koristei resurse sistema kojeg je incirao, može da napadne e–mail adrese, umrežene raunare, mrežne diskove i ostale ure aje. Mogu da skeniraju IP adrese u potrazi za žrtvama, a oni ekasniji skeniraju lokalnu mrežu i IP adrese u blizini zaraženog sistema. Ukoliko sledea žrtva nije imuna na primenjeni metod za napad, crv se prenosi na žrtvu, izvršava svoj kôd i kopira se na sistem nove žrtve. Teret ili metod napada predstavlja najbitniji deo kôda, koji se izvršava kada crv uspešno zarazi ciljni sistem. Ako crv ne pravi nikakvu štetu, ve se samo širi sa jednog na drugi sistem, onda nema teret. Neki od napada koje crv može da izvrši su otvaranje zadnjih vrata (backdoor) za udaljenu kontrolu sistema, zombiranje raunara ili korišenje raunarskih resursa za razbijanje šifre. Mogunos za napad su brojne i ograniene su samo maštom napadaa. 7.3.4. Kombinovani napad Kombinovani napad (Blended Aack) je sluaj malicioznog kôda koji koris višestruke metode za širenje. Pozna Nimda “crv” je primer kombinovanog napada, a za širenje koris [100]: E–mail: korisnik na ranjivom hostu otvori inciran e–mail prilog, Nimda traži e–mail adrese na hostu, a zam šalje svoje kopije na te adrese; Windows zajednike datoteke: Nimda skenira hostove tražei nezašenu zajedniku datoteku, zam koris NetBIOS kao prenosni mehanizam da incira datoteke na tom hostu; kada korisnik akvira neku inciranu datoteku, ova e akvira Nimdu na tom hostu; Web serveri: Nimda skenira web servere, tražei poznate ranjivos u Windows sistemima, na koje pokušava prene svoju kopiju i incira njih i datoteke; Web klijen: Ako neki ranjivi web klijentski pretraživa pose neki web server koji je ve inciran sa Nimda, radna stanica klijenta e, tako e, bi incirana.
BO FOO
111
Tendencija korisnika je da veinu kombinovanih napada svrstavaju u crve, kao Nimdu, koja sa tehnikog aspekta ima karakteriske virusa, crva i mobilnog kôda. 7.3.5. Trojanci i ostali maliciozni programi Trojanski konj (trojanac) se predstavlja i ponaša kao benigni program, koji u pozadini izvršava maliciozne akvnos. Sastoji se od serverske komponente, koja se ubacuje u raunar korisnika i klijentske komponente, kojom upravlja napada. Klasian primer ubacivanja trojanca je program, koji postavlja login upitnik i oekuje da korisnik unese ime i lozinku. Kada korisnik unese ove podatke, program ih šalje napadau, a korisniku izbacuje grešku pri prijavljivanju na sistem. Napadai su razvili brojne tehnika da prikriju prisustvo trojanaca. Neke su jednostavne, ali dosta uspešne kod nedovoljno strunih korisnika, kao npr. promena imena izvršnih datoteka. Veina korisnika Windows S zna da ne treba pokreta izvršavanje sumnjivih .exe datoteka. Napadai, skoro bez izuzetka, pokušavaju da kamu!iraju .exe datoteke. ednostavan nain za ovo je davanje imena izvršnoj datoteci sa, npr. .txt ekstenzijom. Korisnik, koji je podesio sistem da ne prikazuje ekstenzije, videe samo .txt ekstenziju. Nešto složeniji nain je stavljanje velikog broja praznih mesta u ime datoteke, tako da i korisnik, koji ima ukljueno prikazivanje ekstenzija, može previde pravu ekstenziju. Za razliku od Windows S, UNIX i na njemu bazirani sistemi, ne pridaju veliki znaaj ekstenzijama datoteka. Mnogi povi datoteka za Windows plaorme se mogu upotrebi za skladištenje i pokretanje izvršnog i skript kôda. Pored najpoznaje .exe ekstenzije, trojanac koris i .api, .bat, .wma, .chm, .com, .cpl, .dll, .sys, .scr i druge ekstenzije23. Trojanci koriste i tehnike oponašanja legimnih imena procesa. Na Windows platformi, skoro u svakom trenutku, u lis akvnih procesa Task Manager–a mogu se vide nazivi kao iexplorer.exe, explorer.exe, smss.exe, svchost.exe, system, services.exe i drugi. Trojanci se esto kriju izme u ovih procese, ak i sa unikatnim imenima kao win.exe, anvirus.exe i slino, koje administrator oekuje da vidi u sistemu. taviše, ako napada svog trojanca nazove imenom procesa koji je vitalan za rad Windows–a, Windows nee dozvoli da ga administrator ugasi. Druge tehnike su dosta složenije i mogu se oslanja, npr. na izmenu izvornog kôda legimnih programa ve instaliranih na sistemu. edna od esto korišenih tehnika je udruživanje dva, ili više procesa, od kojih je jedan trojanac, a ostali benigni legimni programi. Za ovo se koris neki wrapper program – EliteWrap, Saran Wrap, TOPV4, Trojan Man itd. Pokretanjem ovog programa dolazi do razdvajanja na više zasebnih procesa, koji mogu da se vide u Task Manager–u.
23
112
www.sophos.com/blogs/gc/g/2008/08/08/up-to-1800-profiles-hit-by-malware-attack-says-facebook/, (Poseeno: 2.12.2009.)
O Š FOJ
Zadnja vrata (backdoor, trapdoor) predstavlja svaki mehanizam, koji zaobilazi normalnu kontrolu pristupa u sistemu, pri emu može da ostvari dovoljno privilegovan pristup sistemu. Programeri esto namerno stvaraju zadnja vrata u kôdu, radi legimnih razloga (npr. da bi izbegli ostavljanje tragova u logovima pri tesranju i razvoju programa). U samostalne backdoor programe spadaju i svi RAT (Remote Administraon Tool) programi, koji koriste brojne službe tehnike podrške proizvo aa programa i administratori za udaljeni pristup i rad na korisnikovom raunaru. Backdoor i trojanac mogu se slino ponaša, ali postoje bitne razlike. Backdoor je program koji samo omoguava zaobilazni pristup raunaru, dok trojanac omoguava to isto, ali varajui korisnika da je neki korisni program. Backdoor napadau može da obezbedi sledee vrste pristupa: 1. eskalaciju lokalne privilegije, promena svoje privilegije u administratorske, 2. udaljeno izvršavanje komandi na napadnutom raunaru, 3. udaljeni pristup komandnoj liniji i izvršavanje svih radnje na sistemu i 4. udaljena kontrola GUI napadnutog sistema i kontrola miša i tastaturu. Svi ovi metodi se zasnivaju na kontroli napadnutog raunara, uglavnom sa udaljene lokacije. Naini instaliranja backdoor na neki sistem su razlii. Napada može iskoris neku uobiajenu grešku u sistemu ili ranjivost konguracije, ui u sistem i potom sam instalira backdoor za sledei ulazak, pomou virusa, crva ili malicioznog skript kôda koji se izvršava u pretraživau. Špijunski program (Spyware) je program koji sakuplja informacije sa raunara korisnika (npr. korisnika imena i lozinke, e-mail adrese, bankovni rauni, licence, itd.) i prosle uje ih napadau. Pri denisanju pa malicioznog programa odluuju detalji. Ako se od korisnika na pasivan nain saznaje korisniko ime i lozinka, u pitanju je spyware, a ako je ukljuena obmana korisnika – u pitanju je trojanac. Logike bombe su sline trojancu po metodi napada. Uglavnom se sastoje od dva dela – tereta, koji izvršava neki maliciozni kôd i okidaa – dela kôda koji pokree izvršavanje malicioznog tereta. kida se može akvira i u sluaju odsustva nekog doga aja. Logike bombe mogu da zavise od izvršavanja nekog drugog programa, a mogu bi i napravljene kao samostalne aplikacije, od ega zavisi da li su parazitske ili ne. Maliciozni skriptovi (mobilni kôdovi) dovode do prenosa ili izvršavanja malicioznog kôda. Tipian predstavnik je Cross Site Scripng napad na web aplikacije. To je akvni program koji se prenosi sa udaljenog sistema na lokalni, a zam izvršava na lokalnom sistemu bez eksplicitne instrukcije korisnika. esto služi kao mehanizam za prenos virusa i crva ili trojanaca do radne stanice korisnika. U drugim sluajevima, koris ranjivos sistema da izvrši svoje akcije, kao što su neovlašen pristup podacima ili kompromitacija ruta. Popularni prenosioci mobilnih kôdova su Java applets, AcveX, JavaScript i VBScript.
BO FOO
113
7.3.6. Metodi skrivanja malicioznih programa Autori malicioznih programa koriste brojne anforenzike aktvinos24 da se zašte od AVP, korisnika i administratora, kao što su samozašta od detekcije na bazi potpisa, forenzike analize kôda i detekcije malicioznog kôda u sistemu i ometanje funkcionalnos AVP, barijera, IDPS i drugih programa za zaštu. Polimorzam je proces kroz koji maliciozni program modikuje svoj kôd, da bi izbegao detekciju, pri emu ne menja funkcionalnost. vim se virusni kôd može dinamiki menja, svaki put kada je virus pokrenut. U tom sluaju AVP, nauen da prepoznaje samo ranije otkrivene potpise malicioznog kôda – nee ga otkri. Najjednostavnija tehnika polimorzma sastoji se u sluajnoj izmeni imena promenljivih i imena funkcija, pre inciranja novih datoteka. Drugi metod se sastoji u dodavanju dela kôda koji nema znaajnu ulogu, npr. dodavanje broja i kasnije oduzimanje iste vrednos od neke promenljive. Naprednija tehnika je izmena redosleda, kojim se izvršavaju instrukcije u kôdu. U isto vreme, potrebno je zadrža nepromenjenu funkcionalnost programa. Polimorzam se sve re e vi a kod modernih malicioznih programa, pošto, npr. trojanci uglavnom nemaju sposobnost širenja, pa nije ni potrebno da menjaju svoj kôd. Metamorfoza je konstantno menjanje funkcionalnos virusa pri njegovom širenju, obino na jednostavne naine, a da bi se izbegla detekcija. d 1992. godine mnoge AV kompanije su ugašene, jer nisu uspele da razviju efekvne odbrambene mehanizme prov polimorfnog i metamorfnog kôda, koji je u to vreme poeo masovno da se koris. Posebna polimorfnu tehnika je šifrovanje kôda. Šifrovanje kôda virusa primarno služi za onemoguavanje ispivanja kôda. ifruje se itav kôd, osim dela instrukcije za dešifrovanje kod izvršavanja. bino se koris sluajno izabrani klju za šifrovanje, koji se zapiše u kôdu. Prvi alat za jednostavno dodavanje polimorfnog šifrovanja je MtE (Mutaon Engine, 1992). Maskiranje je tehnika koja se upotrebljava uglavnom za spreavanje analize. Kako se sve više detekcija malicioznog kôda zasniva na ponašanju programa, a ne kôdu, tehnika polimorzma i ostale više nisu od kljunog znaaja autorima virusa. Tehnike sakrivanja se odnose na prikrivanje prisustva malicioznog programa na raunarskom sistemu. Primivan metod, koji se esto koris kod jednostavnih virusa, sastoji se u postavljanju atributa hidden. Na ovaj nain, datoteka se nee prikaza u direktorijumu, ako je sistem podešen da ne prikazuje sakrivene datoteke. Napredniji metod se sastoji u presretanju zahteva AVP za sadržajem datoteke i prezentovanje iste verzije datoteke AVP skeneru. Rutkit tehnike (Rootkits) se sve više uspešno koriste za sakrivanje akvnos trojanaca, jer veina korisnika Windows S koris administratorske naloge. tkriveni su tokom 2004. godine u istraživakoj laboratoriji kompanije Kasperski. Prvi rutkit se nije mogao vide u Windows lis akvnih procesa i datoteka i predstavljao je revoluciju 24
114
Namenjene za skrivanje tragova i zaštu od otkrivanja tehnikama i alama digitalne forenzike.
O Š FOJ
u industriji virusa [110]. Sam termin rootkit poe od Unix alata, koji su omoguavali korisniku pristup administratorskim (root) komandama, bez posledica i znanja administratora sistema. Danas, termin rootkit pokriva grupu alata i tehnika koje se koriste za sakrivanje ubacivanja i prisustva trojanaca, virusa i crva u sistemu. vde se podrazumeva i sakrivanje na lis akvnih procesa, u kljuevima registara kao i u skenerima mrežnog saobraaja. Snaga rutkitova leži zapravo u slabos AVP, koji uglavnom ima privilegije kao i svi drugi programi na sistemu. Ako korisnik nema pristup nekim resursima sistema, nema ni AVP. Princip sakrivanja pomou rutkita je is kao i kod primivnih D S stelt virusa. Kompresija je najzastupljeniji i možda najstariji savremeni metod samozašte pakovanja kôda, jer je, u prvim godinama razvoja malicioznog programa kada se veliina HD merila u megabajma, veliina datoteke bila jako bitna. Kompresovan kôd je teže pregleda i istraži da li je maliciozan. Tako e, mnoge varijante crva i virusa se razlikuju u samo nekoliko linija kôda, ali nakon kompresije, potpuna struktura datoteke se menja i AVP–u je teže da otkrije modikacije. Mnogi rutkitovi modikuju lanac sistemskih poziva (Execuon Path Modicaon). Kada se nai e na proces, koji nosi informaciju o nekom akvnom procesu, rutkit ga presree i modikuje. Uobiajena rutkit tehnika je i DK M (Direct Kernel Object Modicaon), koja se najbolje opisuje kao insajder koji menja informacije ili komande još na njihovom izvoru. vi rutkitovi menjaju sistemske podatke. Mogue je sakri i itave datoteke u alternavnim tokovima podataka – ADS (Alternate Data Streams). ADS predstavljaju malo poznatu osobinu NTS sistema datoteka. Datoteke sa ADS je jako teško otkri, jer dodatne informacije zapisane u ADS–u operavni sistem ne uraunava u veliinu datoteke. taviše, kada se pokrene, npr. program koji nosi nekog trojanca u ADS, njegovo prisustvo se nee manifestova u Windows Task Manager–u [114]. Deakvacija AVP, koji je akvan na zaraženom sistemu, još je jedan nain za skrivanje malicioznog kôda. Istog trenutka kada se sistem zarazi, maliciozni kôd pokušava da ugasi procese koji pripadaju AVP programu. Na ovaj nain, AVP nee ažurira najnovije potpise virusa. Dobar primer predstavlja ProcKill trojanac, koji sadrži listu od preko 200 procesa koji pripadaju AVP i programima barijera. Kada zarazi sistem, ProcKill redom ita svoju listu i ukoliko na e pokrenut proces sa liste, pokušava da ga ugasi [112]. Složeniji metod, kojeg koriste mnogi savremeni crvi, sastoji se od blokiranja svake komunikacije izme u sistema i servera poznah AV kompanija. Kako se AVP i dalje vidi u lis procesa u sistemskoj lis poslova (system tray), korisnik i ne sumnja da je zaražen. vu tehniku je prvi koriso MTX virus/crv, 2000. [111]. Na Sl. 7.9 zbirno su prikazane naješe tehnike samozašte koju koriste maliciozni programi.
BO FOO
115
Sl. 7.9. Naješe korišene tehnike samozašte malicioznih programa [111]
7.4. DISTRIBUCIJA MALICIOZNIH PROGRAMA Veoma mali procenat malicioznih programa se ne prenosi putem Interneta. Tako e, maliciozni program retko ima za cilj da zarazi samo jedan raunar, pa je prenos putem Interneta najbrži nain da se incira što vei broj raunara. Ako je cilj kompromitacija sistema zašte, napad ne mora doi sa Interneta – maliciozni program može da se instalira putem USB–a ili Bluetooth veze sa mobilnim telefonom. Usmereni napad na jedan raunar je i najopasniji, zbog mogunos korišenja naprednih metoda napada poput socijalnog inženjeringa i drugih alata. U dužem periodu, ne postoji sistem ija se bezbednost ne može ugrozi. Iskorisve ranjivos RS omoguavaju napadau da naruši integritet sistema. Maliciozni program koji iskoris ranjivost naziva se exploits. Ranjivos ine, na primer, slaba lozinka, nedovoljna provera upita, slaba konguracija, greška u soveru ili hardveru itd., a vrlo se esto koriste kao sredstvo za distribuciju malicioznog programa. Na primer, automatskim preuzimanjem sa Interneta, korisnik može da preuzme zaraženu datoteku ili akvira buer overow ranjivost. Amerika nacionalna agencija za bezbednost (NSA) je sastavila listu (12.01.2009) od 25 uobiajenih programerskih grešaka, koje mogu doves do iskorisve ranjivos [113]. Samo dve od ovih ranjivos su tokom 2008. godine ugrozile bezbednost 1.5 milion Internet lokacija i zombirale raunare poselaca ovih lokacija. Na vrhu liste ranjivos nalaze se nepotpuna validacija podataka uneh od strane korisnika, nemogunost da se održi struktura baze podataka i web sajta i druge. Sve ove greške mogu da dovedu do širenja ili izvršavanja malicioznog kôda.
116
O Š FOJ
Cross Site Scripng (XSS) je p ranjivos, koja se obino nalazi u web aplikacijama koje greškom dozvoljavaju ubacivanje malicioznog kôda u web stranice koje mogu da vide drugi korisnici. U 2007. godini, XSS je inio oko 80% svih dokumentovanih bezbednosnih propusta [115]. XSS kôdovi su napisani u skript jezicima – JavaScript, AcveX, AconScript, RSS i drugim, a izvršavaju se na klijentskom pretraživau. SQL Injecon je tehnika za ubacivanje kôda koja iskorišava ranjivos u sloju baze podataka neke aplikacije. Do iskorišavanja ranjivos dolazi, kada napada ubaci znakove u npr. legimno polje za korisniko ime, što dovodi do nepredvi enog izvršavanja upita nad bazom. Automatsko preuzimanje (Drive By Download) predstavlja ozbiljnu ranjivost i metod širenja malicioznog programa. Pod terminom se podrazumeva svako preuzimanje programa koje korisnik nije odobrio ili je prevaren da ga odobri. va se ranjivost iskorišava posetom zaraženom web sajtu, otvaranjem e–mail poruke ili klikom na zamaskirani link, obino u web pretraživaima, e–mail klijenma ili S. Phishing (pecanje) je proces u kome napada pokušava da pribavi osetljive informacije od žrtve (broj bankovnog rauna, PIN kôd itd.), obmanjujui je lažnom e–mail porukom, lažnom web lokacijom ili lažnim popup prozorom, koji izgledaju kao legimni. Iako po deniciji ne spada u maliciozni program, korisnik vrlo esto bude žrtva phishinga zahvaljujui malicioznom dejstvu virusa ili crva koje unose. Zahvaljujui propusma u Internet pretraživaima i neznanju korisnika, jedan od dominantnih naina za distribuciju malicioznih programa su zaražene web stranice. Procena je da je od 100% web lokacija koje prenose maliciozne programe, samo 15% za tu svrhu i napravljeno. stalih 85% je napadnuto i zaraženo bez znanja administratora, uglavnom SQL injecon napadom (Sl. 7.10).
Sl. 7.10. Države koje hostuju najviše zlonamernih program [116]
BO FOO
117
U prvih 10 meseci 2010. generisana je 1/3 (34%) svih do sada malicioznih programa (malvera) na Internetu - oko 20 miliona novih (ukljuujui i modikovane stare). To su automatski otkrile baze podataka kompanija širom sveta, koje analiziraju i klasikuju 99,4% od svih detektovanih pretnji. U 134 miliona posebnih fajlova nalazi se 60 miliona malvera (virusa, crva, trojanaca i dr.). Proseno je dnevno generisano na Internet 63.000 (53.000 u 2009.). d toga je 54% malvera akvno samo 24 asa, što otežava detekciju. Ipak, godišnji porast je u opadanju u odnosu na 2003. – 100% u odnosu na 2002., a u 2010 je rast za 50% u odnosu na 2009. (Sl. 7.11).25
Sl.7.11. Razvoj malicioznih programa (malvera) u periodu 2003-2010. Spam i zaražene e-mail datoteke su najzastupljeniji metod distribucije malicioznih programa. Kompanija Sophos tvrdi da spam ini 97% svih poslovnih pisama – prodaja ilegalni proizvoda, slanje e-mail poruka za preuzimanje i instaliranje nekog malicioznog programa itd. Tokom 2008., svaki 714– e-mail je nosio zaraženu datoteku, u odnosu na 2005. godinu kada je svaki 44– bio zaražen. Za ovaj pad je najviše zaslužna medijska hajka na viruse poput I Love You i Melissa. Prosean korisnik re e otvara sumnjive datoteke, a napadai su pronašli nove naine za napad. Ipak, mogue je da e e-mail ponovo posta znaajnije sredstvo za širenja malicioznih programa, pošto u savremenom e-poslovanju šifrovan e-mail postaje znaajna alternava bezbednijem PKI sistemu. Nove ranjivos u Word .doc, ili Adobe .pdf datotekama, na raunarima koji nemaju instalirane najnovije bezbednosne popravke, mogu izazva veliku štetu. Spam se uglavnom širi pomou umreženih raunara iji korisnici nisu svesni da su im raunari korumpirani. ve mreže se nazivaju botnet – mreže robozovanih raunara. Bot raunar sadrži program koji omoguava da se sa m raunarom daljinski upravlja, esto sa centralnog servera, koji šalje komande, a bot ih izvršava bez znanja korisnika. 25
118
Luis Corrons, Technical director of PandaLabs, 24.11.2010.
O Š FOJ
Takav program koji omoguava udaljenu administraciju ne mora da bude zlonameran. Windows XP dolazi sa fabriki omoguenom podrškom za udaljenu administraciju, koju treba onemogui. Botovi ne moraju uvek bi akvni; ako samo osluškuju instrukcije sa servera, nazivaju se – zombi raunari. U praksi jedan napadaki server uvek kontroliše vei broj bot umreženih raunara. Najrasprostranjeniji nain na koji botovi komuniciraju sa serverom je preko IRC-a (Internet Relay Chat) servisa. Bot mreže se mogu iskoris za prikupljanje e-mail adresa kilogeima za slanje spama, hostovanje malicioznog programa, phishing web sajtove, razbijanje šifri, DoS/DDoS napade i dr. Brojne države šire spam poruke, a najviše spama poe iz SAD – 17,5% (Sl. 7.11).
Sl.7.12. Države iz kojih se šalje najviše spam poruka [116] Poznat je sluaj jedne ruske hosng kompanije McColo, koja je na svojim serverima hostovala komandne centre za pet velikih botnet mreža – Srizbi (Zlob), Mega–D, Rustock, Dedler i Storm. Kada su McColo i botnet mreže iskljueni sa Interneta (11. 10. 2008. u 13:23), došlo je do pada spam poruka za ak 75% (Sl. 7.12).
Sl. 7.13. Pad koliine SPAM poruka tokom 11.10.2008. [116]
BO FOO
119
Napad zastrašivanjem (Scareware) je eskalirao 2008. godine, oslanjajui se na takku zastrašivanja i navo enja potencijalne žrtve da instalira lažni AVP. rtve se mame lažnim alarmom o ugroženoj bezbednos njihovog raunara putem popup prozora na zaraženim sajtovima ili putem spam poruka. Na primer, južnokorejska AVP kompanija Lee Shin je od 2005. godine zaradila preko 9,8 miliona dolara nudei besplatni anspyware program, koji je prikazivao lažna upozorenja o ugroženos sistema i navodio korisnike da kupe naprednu verziju programa njene kompanije [102]. Socijalni inženjering je drasan primer napada na Facebook naloge, koje poseduje i akvno koris više od 200 miliona osoba i organizacija [104]. Samo u avgustu 2008. godine, Facebook je objavio da je preko 1800 korisnika napadnuto trojancem i njihovi nalozi korišeni za slanje spama i malicioznih programa. Facebook je moan alat u rukama napadaa, jer niko ne oekuje da je poruka koju je upravo dobio od najboljeg prijatelja zapravo zaraženi program. Hiljade korisnika je bilo prevareno, kada su od prijatelja dobili poruku da je on tokom puta u Nigeriji bio opljakan i moli vas da mu pošaljete novac preko Western Uniona i sl. [109]. P2P (Peer–to–peer) mreže, specijalizovane za distribuciju datoteka izme u korisnika, uglavnom se koriste za distribuciju ilegalnih datoteka i pirazovanog sovera. Neretko su ove datoteke incirane malicioznim programom, a korisnici ovih mreža se oslanjaju na preporuke drugih korisnika u vezi sa m da li je program inciran ili ne. USB ureaji i pojava U3 smart diska doneli su i nove tehnike za napad. USB Switchblade sadrži U3 USB memoriju koja je u stanju da instalira zadnja vrata i preuzme osetljive informacije sa sistema na koji je povezan. Za razliku od tradicionalnih USB 2.0 ure aja, U3 memorije se same pokreu kada se ukljue u sistem. Nakon ukljuivanja u Windows S, USB Switchblade u pozadini sakuplja informacije kao što su heševi lozinki, IP adrese, istorije i auto–ll informacije iz Internet pretraživaa, A L Instant Messenger i MSN Messenger lozinke i instalira zadnja vrata na sistemu. vaj alat koris osobinu U3 drajva da napravi virtuelni CD–R M na USB memoriji i na taj nain omoguava Windows auto–run funkciju. U 2008. godini zabeležen je interesantan sluaj distribucije malicioznog kôda na me unarodnoj svemirskoj stanici ISS, kada je jedan astronaut sluajno koriso USB memoriju koja je nosila crva W32.Gammima.AG [105]. Opki mediji i hardver sa originalnim programom koji kompanije distribuiraju (npr. CD i DVD), tako e, prenose i maliciozne programe. Mnoge svetski poznate kompanije su imale negavan publicitet na ovaj nain, a korisnici su bili primorani da iste kompjutere od virusa i crva koje su dobili od proizvo aa. Samsung je distribuirao crva W32.Sality. AE zajedno sa programom za digitalni ram za slike, a Asus je u oktobru 2008. Godine, u apanu puso u prodaju Eee Box mini PC zaražen crvom W32/Usbalex [113]. Mobilni telefoni i Wi–Fi ureaji, tako e, su ranjivi i korisnici mogu da oekuju sve vei broj napada. U 2008. godini pojavili su se Apple 3G iPhone i T–Mobile G1 – prvi telefon koji koris ranjivi Google Android S. edna od posledica napada je, npr. nemogunost da se prikaže itava URL adresa u Internet pretraživau, usled malih dimenzija ekrana, pa korisnici ne mogu da razlikuju lažne phishing stranice od legimnih. Kako savremeni 120
O Š FOJ
mobilni telefoni imaju sve vei znaaj u mobilnom poslovanju, poznavanje malicioznih programa namenjenih mobilnim telefonima ne treba zanemari. Smart telefoni imaju sve opcije raunara i ve postoji veliki broj malicioznih programa namenjenih za napade na ove telefone [106].
7.5. MERE ZAŠTITE I OPORAVAK SISTEMA OD MALICIOZNIH NAPADA Za odbranu RS/RM od dinamiki promenljivih pretnji i malicioznih napada, opmalno je primeni razliite U, i T kontrole u bezbednoj arhitekturi sistema sveobuhvatne, višeslojne zašte, kao što su [50, 83]: obuka i razvoj sves o potrebi zašte; zika i personalna zašta; višeslojna anvirusna zašta; nadzor i kontrola log tragova; logika AC i polika privilegija; blokiranje akvnog sadržaja; izolacija mrežnom barijerom; primena kriptoloških mehanizama i tehnologije digitalnog potpisa; procedura jake autenkacije korišenjem digitalnih serkata; korišenje jakih kljueva i esta izmena; zašta IP adresa servera i korišenje smart karca za generisanje digitalnog potpisa i bezbedno uvanje kljueva i drugih kriptografskih parametara. Procedura za oporavak sistema od malicioznih napada i mere zašte moraju bi deo strategije za održavanje stanja bezbednos informacija na prihvatljivom nivou rizika. Glavni zahtevi su osposobi sistem kroz procedure za izolaciju inciranih sistema, uklanjanje malicioznog programa iz sistema, restauraciju integriteta sistema nakon napada (obino iz rezervne kopije) i oporavak servisa sistema. Procedure za oporavak sistema moraju bi jasno dokumentovane, regularno tesrane i treba da sadrže proces za akcije korisnika i obavezno izveštavanje u sluaju virusne infekcije. U anvirusnu borbu treba ukljui poverljive provajdere zašte (snabdevae AVP), kao i glavne ISP koji mogu potpuno ukloni botnet i maliciozne napada sa Interneta26, zbog akumuliranja znanja o vrs napada, odbrani i proceni štete i resursa za oporavak sistema. U literaturi [32] da su kriterijumi za izbor AVP, elemen za izradu procedura za oporavak i standardni stepeni kontrole intenziteta malicioznih programa. U razvoju sistema zašte i odbrane od malicioznih napada na sisteme u mrežnom okruženju, glavni je problem idenkovanje razliih pova zloupotreba mrežne infrastrukture, da bi se projektovale adekvatne mere zašte. Tehnika rešenja ukljuuju programska (AVP) i hardverska. Grakon na slici 7.13. prikazuje najefekvniji anvirusni program u 2009. godini i njegov nivo zašte od malicioznih programa. Primer hardverskog rešenja je F–Secure Messaging Securi Gatevay, X serije koji obezbe uje potpunu zaštu od neželjene pošte, virusa i drugih malicioznih programa. F–Secure ure aji kombinuji MTA27, an–spam, anvirusni i modul za ltriranje sadržaja e–pošte. Veoma je jednostavan za instalaciju, ima visoke performanse, a dizajniran je da zaš male i srednje organizacije. 26 27
www.searchsecurity.com, Robert Westervelt, News Editor, (Poseeno 17 Marta 2010). Engl.: MTA (Mail Transfer Agent) – agent za prenos elektronske pošte.
BO FOO
121
Sl. 7.14. Pregled efekvnos anvirusnih programa u 2009. godini [32]
7.6. REZIME Sa razvojem RM i umrežavanja, rastu i potencijalne pretnje od razliih napada spolja i iz mreža intranet pa. Mogue su brojne taksonomije pretnji u odnosu na razliite kriterijume, a krajnji cilj svake je, da se specijalisma zašte i korisnicima obezbedi lakše denisanje i idenkovanje razliih pova pretnji za IKTS. Prema prirodi izvora pretnje se dele na sluajne i namerne. Kako iza svih malicioznih napada stoje ljudi, prolisanje kompjuterskih kriminalaca je znaajna akvnost u borbi prov kompjuterskog kriminala. Kljuni povi napada su destrukcija, izmena podataka, prekid servisa (DoS/DDoS napadi), špijunaža i neovlašeno korišenje. Za zloupotrebu/kompjuterski kriminal potrebni su mov, sredstvo i prilika. Opš movi hakera su znaželja, novac, mo, osveta i dr., a posebni – intelektualni izazov, radoznalost, borba za presž i dr. Sredstva su nivo vešne i tehnološki kapacite sa kojima hakeri izvršavaju kriminal, a prilika – iskorisva ranjivost, koja se esto teško odre uje zbog anforenzikih akvnos za skrivanje tragova napada. Maliciozni program je kôd koji se tajno ubacuje u drugi program sa namerom da se unište podaci, pokrenu destrukvni programi ili kompromituje bezbednost i naruši CIA informacija. Generalno, dele se na viruse, crve, trojance, mobilni kôdove, kombinovane napade i dr. Raunarski virus je program koji incira ostale programe, modikujui ih tako da ukljuuju njegovu naprednu kopiju. Virus se može širi kroz raunarski sistem i mrežu, koristei autorizaciju svakog korisnika. Inciran program se, tako e, ponaša kao virus pa se infekcija širi. Crvi su maliciozni programi koji menjaju ili uništavaju podatke i šire svoje kopije ili delove na druge raunare, obino preko mreža, pa ih nazivaju i mrežni virusi. Mobilni kôd je akvni program koji se prenosi sa udaljenog sistema na lokalni, a zam izvršava na lokalnom sistemu bez eksplicitne instrukcije korisnika; esto služi kao me-
122
O Š FOJ
hanizam za prenos virusa, crva ili trojanaca do raunara korisnika. Kombinovani napad je sluaj malicioznog kôda, koji za širenje koris višestruke metode: e–poštu, zajednike datoteke Windows, web servere, web klijente ili u peer–to–peer arhitekturi sistema. Sa tehnikog aspekta, kombinovan napad ima karakteriske virusa, crva i mobilnog kôda. Trojanac je prosta forma zlonamernog programa, naizgled interesantna korisnicima; prikazuje poruke, briše datoteke ili diskove, ali ne incira ostale izvršne datoteke, jer se ne replicira, pa zato i nije u kategoriji virusa. Mere zašte od malicioznih kodova treba da ukljuuju sveobuhvatnu, višeslojnu zaštu IKTS – obuku i razvoj sves o potrebi zašte, ziku i personalnu zaštu, AVP, skener integriteta RM/RS, nadzor i reviziju kontrolnih informacija itd.
7.7. KLJUNI TERMINI Boot virusi: inciraju sistem kada korisnik pokuša da butuje sa inciranog medija. Crv: kompletan program koji se umnožava bez inciranja ostalih programa. Haker: znaželjni mladi poznavalac raunara, koji neovlašeno upada u tu e raunare, uglavnom bez malicioznih namera, a u želji za scanjem novih znanja. Kompjuterski kriminalci: rade sa/bez raunara, kradu tu e tajne i novac, uništavaju datoteke, S ili menjaju podatke Web stranica ili baza podataka. Logika bomba: kôd ubaen u legiman program, dizajniran da se akvira u tempirano vreme i proizvede rezultate koje legimni korisnici programa ne žele.
Maliciozni kôd: program koji se tajno ubacuje u drugi program sa namerom da se unište/ izmene podaci ili na drugi nain kompromituje bezbednost raunara. Mobilni kôd: nalazi se u akvnom sadržaju (JavaScript, Java Applets i AcveX) web dokumenta namenjenom za prezentaciju; skriva se u pretraživau klijenta. Trojanac: program, atrakvan legimnom korisniku (igrica, alat), koji skriva malignu nameru (npr. kra a pasvorda); ubacuje se u sistem na brojne naine. Virus: kôd ubaen u legiman program, napisan da se sam reprodukuje kopiranjem u druge legimne programe. Zamka (trapdor): metod dobijanja kasnijeg pristupa nekim delovima IKTS izvan normalne procedure; esto ih ostavljaju programeri kao bag, koji otkrivaju hakeri.
7.8. PITANJA ZA PONAVLJANJE 1. Krajnji cilj svake taksonomije pretnji je da se: a. obezbedi lakše denisanje i idenkovanje razliih pova pretnji b. ukaže na razliitu prirodu izvora, intenziteta i verovatnoe ucaja pretnji c. omogui korisnicima lakše otkrivanje napadaa
2. Koje su od navedenih pretnji istovremeno veštaki izazvane i vanredni doga aj?: a. nepotpune rezervne (bekapovane) kopije b. nestanci elektrinog napajanja c. poplava u zgradi i raunarskom centru zbog pucanja vodovodnih cevi d. serveri zaraženi virusom e. izbio požar u zgradi
BO FOO
123
3. U IKTS sa pristupom Internetu velike brzine, zaposleni imaju instalirane modeme, ako veza velike brzine ne radi, mogu bira web pretraživae i ažurira svoje raunare. Koja mera zašte je najbolja za odbranu od potencijalnih pretnji?: a. povea broj web pretraživaa tako da bi hakeru otežali otkrivanje i iskorišavanje ranjivos aplikacija web pretraživaa b. ogranii broj web pretraživaa (1–2) da biste bolje ažurirali aplikacije c. uves pristup Internetu preko modema i zbuni hakere brojem zikih veza d. smanji broj zikih veza sa Internetom uklanjanjem svih modemskih veza 4. Virusni napad: a. vrši se uglavnom od klijenta i komunikacije sa serverom bez autenkacije b. omoguava neovlašeni pristup podacima uz pomo otkrivene lozinke c. uništava podatke d. omoguava otkrivanje podataka na bazi šifrata i otkrivenog tajnog kljua e. onemoguava funkcionisanja mrežnih servisa i resursa 5. Ukidanja servisa (DoS): a. neovlašeno pristupanje podacima u otvorenom obliku i lozinkama b. omoguava otkrivanje podataka na bazi šifrata i otkrivenog tajnog kljua c. onemoguava funkcionisanja mrežnih servisa i resursa d. omoguava neautorizovani pristup podacima prevarom legalnog korisnika 6. Ponavljanje poslah poruka: a. vrši se uglavnom od klijenta i komunikacije sa serverom bez autenkacije b. omoguava neovlašena kontrola komunikacije subjekata i ponavljanje, izmena ili spreavanje prenosa podataka c. omoguava otkrivanje podataka na bazi šifrata i otkrivenog tajnog kljua d. omoguava neautorizovani pristup podacima prevarom legalnog korisnika
124
O Š FOJ
7. Poga anje lozinke: a. vrši se uglavnom od klijenta i komunikacije sa serverom bez autenkacije b. neovlašeno pristupanje podacima u otvorenom obliku i lozinkama c. omoguava neovlašeni pristup podacima uz pomo otkrivene lozinke d. uništava podatke e. omoguava neautorizovani pristup podacima prevarom legalnog korisnika 8. Napad pa trojanskog konja: a. vrši se uglavnom od klijenta i komunikacije sa serverom bez autenkacije b. idenkuje potencijalne objekte napada i locira ranjiva mesta RM c. vrši se naješe prekoraenjem bafera i skriptovanjem preko web lokacije d. distribuira zlonamerne programe na radne stanice i krade podatke e. neovlašeno pristupanje podacima u otvorenom obliku i lozinkama 9. Lažno predstavljanje (socijalni inženjering): a. idenkuje potencijalne objekte napada i locira ranjiva mesta RM b. omoguava otkrivanje podataka na bazi šifrata i otkrivenog tajnog kljua c. onemoguava funkcionisanja mrežnih servisa i resursa d. omoguava neautorizovani pristup podacima prevarom legalnog korisnika 10. Kriptoanaliza: a. vrši se uglavnom od klijenta i komunikacije sa serverom bez autenkacije b. neovlašeno pristupanje podacima u otvorenom obliku i lozinkama c. omoguava otkrivanje podataka na bazi šifrata i otkrivenog tajnog kljua d. onemoguava funkcionisanja mrežnih servisa i resursa e. omoguava neautorizovani pristup podacima prevarom legalnog korisnika 11. Napad skeniranjem: a. vrši se uglavnom od klijenta i komunikacije sa serverom bez autenkacije b. idenkuje potencijalne objekte napada i locira ranjiva mesta RM
c. naješe prekoraenjem bafera, skriptovanjem preko web lokacije i dr. d. omoguava neautorizovani pristup podacima prevarom legalnog korisnika 12. Kombinovani napad je: a. kombinacija više pova malicioznih kodova b. sluaj malicioznog kôda koji koris višestruke metode za širenje c. kombinacija virusa i trojanaca 13. Tipian proces napada sadrži sledee korake: a. izvi anje, planiranje, dobijanje pristupa i prikrivanje prisustva b. izvi anje, dobijanje pristupa i prikrivanje prisustva c. planiranje napada, izvi anje, dobijanje i prikrivanje prisustva 14. Navedite koji su od nabrojanih napada izazvani upotrebom malicioznog kôdu: a. trojanski konj b. društveni inženjering c. virus/crv d. haker e. parazitski program 15. Troškovi zloupotrebe IKTS denišu se kao: a. potreban rad da se analizira, popravi i ois incirani sistem b. gubitak produkvnos i drugi troškovi otklanjanja posledica napada c. nabavka AVP, obuka, troškovi osiguranja i troškovi gubitka ugleda 16. Zlonamerni (maliciozni) program je: a. kôd koji se tajno ubacuje u drugi program sa namerom da se nanese šteta b. tajni kôd koji se legalno ubacuje u drugi program sa namerom da sprei napad c. kôd koji se tajno ubacuje u drugi program sa namerom da se unište podaci d. kôd koji se tajno ubacuje u legalni program sa namerom da se pokrene destrukvni program ili kompromituje bezbednost informacija 17. snovne karakteriske virusa su: a. incira druge programe, modikujui ih tako da ukljuuju njegovu naprednu kopiju
b. samoumnožavaju se, zasebni su programi i ne zavise od izvršnog kôda c. replicira se, pravi svoje kopije i distribuira ih u druge datoteke ili raunare d. sadrži metode za upad i širenje, algoritam za izbor mete i metod za pretraživanje i teret za napad e. samoumnožavanje u postojei izvršni kôd je kljuni faktor za denisanje f. pravi se modularno da lakše može promeni funkcionalnost 18. snovne karakteriske crva su: a. samoumnožavaju se, zasebni su programi i ne zavise od izvršnog kôda b. replicira se, pravi svoje kopije i distribuira ih u druge datoteke ili raunare c. sadrži metode za upad i širenje, algoritam za izbor mete i metod za pretraživanje i teret za napad d. samoumnožavanje u postojei izvršni kôd je kljuni faktor za denisanje e. pravi se modularno da lakše može promeni funkcionalnost 19. snovne karakteriske trojanca su: a. sadrži serversku i klijentsku komponentu b. svaki mehanizam, koji zaobilazi normalnu kontrolu pristupa u sistemu c. pasivno sakuplja informacije sa raunara korisnika i šalje ih napadau d. sadrži teret, koji izvršava neki maliciozni kôd i okida 20. Zadnja vrata su: a. sadrži serversku i klijentsku komponentu b. svaki mehanizam, koji zaobilazi normalnu kontrolu pristupa u sistemu c. omoguava zaobilazni pristup raunaru i eskalaciju lokalnih privilegija d. sadrži teret, koji izvršava neki maliciozni kôd i okida 21. pijunski program je: a. sadrži serversku i klijentsku komponentu b. svaki mehanizam, koji zaobilazi normalnu kontrolu pristupa u sistemu
BO FOO
125
c. pasivno sakuplja informacije sa raunara korisnika i šalje ih napadau b. sadrži teret, koji izvršava neki maliciozni kôd i okida 22. Logika bomba: a. sadrži serversku i klijentsku komponentu b. omoguava zaobilazni pristup raunaru i eskalaciju lokalnih privilegija c. sadrži teret, koji izvršava neki maliciozni kôd i okida 23. Mobilni kôdovi su: a. pasivno sakuplja informacije sa raunara korisnika i šalje ih napadau b. akvni program koji se prenosi sa udaljenog sistema na lokalni i na njemu izvršava bez instrukcije korisnika c. sadrži teret, koji izvršava neki maliciozni kôd i okida 24. Metodi skrivanja malicioznih programa su: a. anforenzike tehnike, samozašta od detekcije i ometanje funkcionisanja b. kriptozašta, samozašta od detekcije i ometanje funkcionisanja c. polimorzam, metamorfoza, šifrovanje kôda i maskiranje, d. tehnike skrivanja (rutkit) i tehnika deakvacije AVP 25. Distribuciju malicioznih programa omoguavaju: a. iskorisve ranjivos RS/RM, spam i zaražene e–mail datoteke b. programski bagovi i maliciozni skriptovi c. zastrašivanje (Scareware) i socijalni inženjering d. Peer–to–peer mreže, USB ure aji, opki mediji i hardver e. mobilni telefoni i Wi–i ure aji
126
O Š FOJ
26. Mere zašte i oporavak od malicioznih programa: a. višeslojna anvirusna zašta, nadzor i kontrola log tragova b. zika AC, polika zašte i blokiranje sadržaja c. zašta IP adresa servera i korišenje smart d. restauraciju integriteta sistema iz rezervne kopije 27. Kljuni kriterijumi za procenu napada u analizi rizika su: a. posledica ucaja, lokacija izvora i nain izvo enja b. intenzitet ucaja, izvor nastanka i nain izvo enja c. posledica ucaja, izvor nastanka i nain izvo enja d. posledica ucaja, izvor nastanka i primenjena tehnika napada
8.
TEHNOLOGIJE ZA ZAŠTITU RAUNARSKIH SISTEMA
8.1. UVOD Proceduralne i tehnike kontrole zašte mogu se smatra razliim aspekma jednog rešenja sistema zašte. bino nema smisla bira tehnike mehanizme zašte bez proceduralnih rešenja, kao i što procese zašte treba projektova prema tehnološkim mogunosma i raspoloživim alama da bi se obezbedio željeni nivo podrške tom procesu. Drugim reima, samo kombinacijom tehnika, alata i proceduralnih kontrola ostvaruje se efekvna arhitektura sistema zašte. Generika arhitektura sistema zašte obuhvata najvei skup poznah i dostupnih proceduralnih i tehnoloških komponen zašte, koje se menjaju u zavisnos od specinos IKTS, bezbednosnih zahteva i procene rizika u konkretnoj organizaciji. Denisanje arhitekture sistema zašte sugeriše se u poetnoj fazi razvoja životnog ciklusa IKTS, a u fazi projektovanja, arhitektura sistema zašte se doteruje u skladu sa rezultama procene rizika, mogunosma i potrebama organizacije. U opštem sluaju, tehnike i ala zašte mogu se podeli na host orijensane (na RS) i mrežno orijensane (na RM). Za upravljanje alama zašte RS/RM, potrebno je obezbedi odre ene kontrolne strukture – kontrole zašte.
8.2. KLASIFIKACIJA ALATA ZA ZAŠTITU Klasa host–orijensanih alata za zaštu, namenjena je za poboljšanje N SSS zašte servera, radne stanice, aplikacija i podataka. Klasa mrežno orijensanih alata odnosi se na mehanizme i protokole za zaštu RM. Klasu alata za infrastrukturnu podršku ine kompleksni, infrastrukturni ala za zaštu i veu funkcionalnu podršku IKTS. U odnosu na pove servisa zašte koje podržavaju i realizuju, unutar prve dve klase, ala zašte se dalje klasikuju na alate za: idenkaciju, autenkaciju i autorizaciju (RS/RM), zaštu integriteta (RS/RM), kontrolu pristupa (RS/RM), monitoring sistema zašte (RS/RM) i zaštu poverljivos, integriteta i raspoloživos podataka i informacija.
BO FOO
127
Sa aspekta M, prva eri servisa gledaju na RS/RM kao na kontejnere informacija i namenjeni su za zaštu h kontejnera, dok poslednji servisi direktno šte poverljivost, integritet i raspoloživost informacija u RS/RM. Važno je razume razliku izme u integriteta RS/RM i integriteta podataka. Zašta integriteta RS usmerena je na detekciju i potencijalno spreavanje i oporavak od maliciozne modikacije komponen sistema, dok je zašta integriteta RM namenjena da obezbedi celovitost konguracije RM. Na primer, mehanizmi za zaštu integriteta RM mogu otkri prisustvo neovlašene mašine povezane na RM. Mehanizmi za zaštu integriteta podataka namenjeni su za zaštu nepromenljivos podataka. Primer je protokol zašte koji detektuje promene na podacima u toku prenosa. Za klasikaciju tehnikih alata zašte, primenjuje se objektno–orijensana šema (Sl. 8.1) [74].
Sl. 8.1. Klasikacija alata za zaštu
128
O Š FOJ
8.3. MEHANIZMI ZAŠTITE RAUNARSKOG SISTEMA 8.3.1. Apstraktni bezbednosni slojevi raunarskog sistema Za denisanje slojeva zašte u RS koris se slojevita struktura apstraktnih nivoa u RS, slino SI modelu arhitekture RM. Dakle, osnovni koncept slojevite zašta poinje ve u samom RS. Uprošeni model (Sl. 8.2) se koris samo za ilustrovanje osnovnog koncepta zašte RS. Operavni sistem ( S), najznaajniji apstraktni sloj RS, uestvuje u svim zadacima koje RS obavlja. Zato, zašta OS odreuje najviši nivo zašte celog IKTS. Naime, ako se S kompromituje, samo je pitanje vremena kada e ceo RS bi kompromitovan, pre svega sloj aplikacija koji komunicira direktno sa S [74, 85]. Baze podataka i srednji sloj (middleware) su sistemski programi za podršku S, dok sloj aplikacija direktno pristupa S. Sistemski programi za podršku S obezbe uju odre ene standardne servise za brojni skup aplikacija. snovni koncept je da viši sloj programa prima neku vrstu servisa od nižeg sloja. Primeri ovih programa su relacione baze podataka i arhitektura middleware (brokera zahteva za zajednike objekte). Pošto ovi programi koriste servise, koje nudi S, njihova zašta je nužno zavisna od zašte S i ako je S probijen preko sloja apSl. 8.2. Apstraktni bezbednosni slojevi RS likacija, lako je zaobii mehanizme zašte baze podataka i middleware sloja.
Primer 1: Relacionu bazu š servis kontrole pristupa i nalog administratora. Ako se na neki nain dobije nalog superkorisnika, onda je lako dobi pristup bazi podataka. Tako e, zašta aplikavnog sloja je zavisna od zašte oba donja sloja. Primer 2: Za zaštu baze podataka koris se kriptozaštni mehanizam, koji mora ispuni stroge zahteve uvanju kriptoloških kljueva u ure aju otpornom na proboj (smart karca), da bi se spreio privilegovan korisnik da izvue kljueve, koristei uslužne alate. Dizajn arhitekture treba da sprei da se podaci nikada ne pojavljuju u otvorenom tekstu u memoriji RS ili sekundarnim memorijama (USB, CD, ..). Interfejs izme u S i ure aja za skladištenje kriptoloških kljueva treba da bude zašen sa protokolom zašte, da neovlašeni korisnik sa privilegovanim pravima, ne može prisluškiva razmenu izme u baze podataka i ure aja i posle toga preko interfejsa ui u sistem. Dakle, ko kontroliše S obino kontroliše sve što je akvno iznad S. Zato dobar sistem zašte poinje sa dobrom zaštom S.
BO FOO
129
8.3.2. Podsistem za zaštitu OS (NOSSS) edan od vrsh stereopova me u specijalisma zašte je treranje (pod)sistema zašte S – N SSS, kao dominantne komponente zašte. Na zaštu S izdvajaju se znatna sredstva na raun ostalih komponen realnog sistema zašte. Me um, u savremenim IKTS sa višeslojnom arhitekturom klijent – server pa, S ne kontroliše sve objekte sa kojima korisnici rade, kao ni akvnos samih korisnika, koji svoj pristup S-u registruju mehanizmima za kontrolu pristupa. Na taj nain, osnovna bezbednosna funkcija N SSS postaje samo zašta prava privilegovanih korisnika (administratora, supervizora i dr.) od napada regularnih korisnika (interno zaposlenih), što je znaajno, ali nedovoljno za bezbednost IKTS. Tako e, u sistemu zašte, rentabilnom i sinhronizovanom sa životnim ciklusom IKTS, jednako su znaajne proceduralne i tehnike kontrole, kao i poveanje ekasnos i efekvnos procesa upravljanja zaštom [61]. Kako je N SSS osnovni sloj zašte svih programa u RS, dobro je da drugi povi zašte budu kompabilni sa zahtevima N SSS, a ne obrnuto. U razvoju strategije zašte, treba jaa zaštu komplementarnu N SSS, dodavanjem drugih pova zašte, vodei rauna da mehanizmi ne budu u kon!iktu sa N SSS alama. Karakteriske N SSS alata za zaštu prilino su standardne i obino ukljuuju osnovne mehanizme, kao što su mehanizmi kontrole pristupa i autenkacije korisnika operavnom sistemu i mehanizmi logovanja bezbednosno relevantnih dogaaja. Naini implementacije ovih mehanizama zavise od vrste plaorme, pa je teško denisa homogene zahteve. Glavna opasnost od upotrebe univerzalnih programa za zaštu, je udaljavanje korisnika od N SSS mehanizama i korišenje za zaštu heterogenih plaormi. Administrator zašte obino iskljue N SSS zaštu, a da pri tome dodatni program za zaštu uopšte ne podržava neku funkciju zašte N SSS. Iako ni jedan S nikada nee bi potpuno zašen, neki TTP nude poverljive OS zasnovane na kriterijumima evaluacije poverljivih raunarskih sistema – TCSEC (Tusted Computer System Evaluaon Criteria). Za korišenje TCSEC treba poznava kriterijume prema kojima je sistem evaluiran i p rizika kojeg otklanja. Korišenje TCSEC programa za ekstra zaštu, esto smanjuje funkcionalnos, tako da se neke aplikacije uopšte ne mogu izvršava [84]. Microso neprekidno poboljšava bezbednost svojih S, još od Windows NT 4.0. N SSS S Windows 7, ukljuuje sistem za šifrovanje fajlova – EFS (Encrypng File System), koji podržava kriptološki algoritam – ECC (Ellipc Curve Cryptography), pogodniji mehanizam za kontrolu pristupa i poboljšani mehanizam za kontrolu aplikacija, koje se mogu instalira na korisniki raunar – AppLocker. Tako e, uvedeni su novi koncept DirectAccess, koji bezbedno spaja legimnog udaljenog korisnika na IKTS organizacije i BitLocker, koji šifruje podatke na nivou bita.
130
O Š FOJ
8.3.3. Logika kontrola pristupa raunarskom sistemu Logika kontrola pristupa – LAC (Logical Access Control) je servis za upravljanje pravilima, prema kojima korisnici mogu ostvari logiki pristup objekma IKTS. Razlikuju se soverski mehanizmi za AC RS (mainfraim pa), koje ukljuuje N SSS veine savremenih S i univerzalna rešenja za kontrolu pristupa razliim plaormama i centralizovanu administraciju više korisnika – EUA (Enterprise User Administraon), koji mogu radi sa postojeim N SSS na veini plaormi. Generiki servis LAC (Sl. 8.3) ukljuuje mehanizme za idenkaciju, autenkaciju i autorizaciju legimnih korisnika S–u raunara, koji se koriste za restrikciju pristupa objekma RS [61].
Sl. 8.3. Generiki servis logike kontrole pristupa Korisnik se idenkuje sistemu sa korisnikim imenom, a identet verikuje (autenkuje) nekim idenkatorom, koji može bi nešto što ima (karca sa PIN), zna (lozinka) ili što stvarno jeste (biometrijski parametar). Pošto veina korisnika danas pristup IKTS preko lokalne mreže ili udaljenim pristupom preko Interneta, autenkacija korisnika se smatra mrežnim procesom. Standardni mehanizmi za autenkaciju su autenkacioni protokoli i ureaji (serveri, smart karce). U savremenim RS, za autenkaciju korisnika S–u, najviše se primenjuju korisniko ime i lozinka. U praksi se vrlo esto koriste iste lozinke za razliite aplikacije, što je kršenje polika zašte, jer se poveava mogunost proboja renikim napadom. Rezulta istraživanja korisnike upotrebe i upravljanja lozinkom (Tabela 8.1) pokazali su da oko 77% ispitanih koris istu lozinku za razliite aplikacije [23]. Autorizacija je proces dodeljivanja legalnim korisnicima prava pristupa i akvnos na objekma RS. BO FOO
131
Tabela 8.1. Staska korisnike upotrebe lozinke Upotreba lozinki Ne koriste
d 1–3
d 4–10
Više od 10
10%
11%
29%
50%
Tipina dužina lozinke Zavisno od potrebe
8 i više karaktera
6–8 karaktera
1–5 karaktera
29%
44%
28%
3%
Zaboravljanje lozinke Ne koriste lozinku
Nikad (zapisuje)
ednu nedeljno
Nikad (pam)
ednom meseno
Nikad (menadžer lozinki)
ednom godišnje
2%
5%
8%
16%
17%
26%
26%
8.3.3.1. Mehanizmi logike kontrole pristupa Generiki servis LAC evoluirao je od obavezne – MAC (Mandatory Access Control), na osnovu utvr enih pravila, primarno primenjivane u državnim organizacijama (vojska, policija) i diskrecione – DAC (Descreonary Access Control), na osnovu odluke vlasnika sistema u poslovnim sistemima, do svaremenih modela kontrole pristupa na bazi sledeih mehanizama: liste kontrole pristupa (ACL), uloga (RBAC), atributa (ABAC), polike zašte (PBAC) i adapvnih na rizik (RadAC), (Sl. 8.4) [62].
Sl. 8.4. Mehanizmi logike kontrole pristupa [62]
132
O Š FOJ
Lista kontrole pristupa (ACL) je osnovna forma LAC, nastala 1970–ih zbog potrebe ograniavanja pristupa više korisnika deljenim resursima UNIX mainframe sistema. ACL je fokusirana na resurse RS/RM, gde se polika pristupa podešava za svakog korisnika i koriste je brojni S (Unix, Windows, Linux). Koncept ACL je jednostavan – svaki resurs sistema, kojem treba kontrolisa pristup, predstavlja objekat sa pridruženom listom prava pristupa i akvnos enteta na m objekma. ACL se može primeni na pojedinanu datoteku, direktorijum ili grupu procesa i esto obezbe uje dovoljno privilegija za modikaciju liste. ACL se može koris u kontekstu RM, gde se zahteva udaljeni pristup, kao i u sistemima za upravljanje relacionom bazom podataka i nekim aplikacijama. snovni nedostaci ACL su slaba ekasnost, jer se mora proverava svaki put kad korisnik pristupa resursu, teško upravljanje sa velikim brojem korisnika i prava pristupa na razliim nivoima i neprihvatljivo vremenski zahtevne i sklone greškama modikacija. Kontrola pristupa na bazi uloga u organizaciji (RBAC) je noviji metod u kojem se pristup resursima RS/RM odre uje na bazi uloga korisnika u organizaciji. RBAC otklanja neke nedostatke ACL i pruža nove mogunos LAC – odre uje pristup na bazi uloge korisnika, nezavisno od pa resursa kojem pristupa. RBAC omoguava grupisanje korisnika, pa se polika pristupa podešava samo jedan put za odre eni resurs i grupu korisnika. moguava da korisnici budu lanovi više grupa, npr. lan jedne grupe sa odre enim pravima i posebnim privilegijama druge grupe (npr. supervizor). Ako su privilegije u kon!iktu, pristup zavisi od S i prioriteta privilegija u konkretnom sluaju. Privilegovani nalog obezbe uje administratoru sistema da odre enim korisnicima daje na kontrolisan nain mogunost da koriste neke selekvne komande pod administratorskim nalogom, a da pri tome ne deli svoj nalog sa m korisnicima. Privilegovani menadžerski nalog se koris da obezbedi zaštu S, a ne rad sa programima za podršku ili sa slojem aplikacija. U poslovnim sistemima naješe se koris RBAC metod, gde se korisnici dodaju ili uklanjaju iz grupe u procesu administracije LAC servisa. Varijante RBAC metoda su implemenrane na razliim nivoima u veini savremenih S, npr. Windows 2000 i kasnije verzije uvele su grupe korisnika: administrator, privilegovani korisnici i korisnici. RBAC se sve više primenjuje na nivou aplikacija, obino kao komponenta srednjeg sloja. Na primer, IBM Tivoli Identy Manager ima RBAC komponentu koja trera ulogu korisnika kao deo njegovog identeta. snovni nedostatak RBAC metoda LAC je problem denisanja vee granulacije prava pristupa za svakog korisnika, što je esto potrebno [41]. Kontrola pristupa na bazi atributa korisnika (ABAC) je metod LAC gde se odluka o kontroli pristupa donosi na bazi seta karakteriska ili atributa enteta koji zahteva pristup sistemu direktno ili posredno. Korisnik se idenkuje sistemu setom atributa, koji se porede sa referentnim atribuma u bazi podataka, a sistem dopušta/odbija pristup zavisno od polike LAC. Kljuna prednost ABAC metoda je što nije potrebno da korisnik, koji pristupa sistemu/resursu, bude unapred poznat. Ako atribu korisnika odgovaraju kriterijumima za davanje prava pristupa, pristup e bi dodeljen. vaj metod nije dobar za velike organizacije u kojima korisnici mogu po volji pristupi/napus organizaciju i gde ima mnogo resursa, korisnika i aplikacija sa razliim atribuma, koje je potrebno
BO FOO
133
harmonizova. Veina savremenih S ne podržava podrazumevano ABAC metod kontrole pristupa. Kontrola pristupa na bazi polike zašte (PBAC) odre uje specinim izjavama, ko i pod kojim uslovima može ima pristup odre enim resursima. Tako e, navodi se mehanizam implementacije, ime se uspostavlja kontrola i odgovornost menadžerske strukture. PBAC metod je u razvoju i predstavlja harmonizaciju i standardizaciju ABAC metoda, koji ukljuuje atribute za pristup odre enom resursu na lokalnom nivou. PBAC zahteva mnogo kompleksniju logiku, jer kombinuje atribute resursa, okruženja i korisnika koji zahteva pristup, sa informacijama o uslovima pod kojim se pristup odobrava. Primer polike LAC u mašinski itljivom formatu je XACML (The eXtensible Access Control Markup Language) baziran na XML–u. Metod kontrole pristupa adapvne na rizik (RAdAC) obezbe uje LAC u realnom vremenu, koja se prilago ava dinamikoj promeni faktora rizika. vaj metod predstavlja sušnski pomak od ostalih naina LAC i, pored koncepta operavnih potreba, uvodi uslove okruženja i nivoe rizika u proces odluivanja mehanizma za LAC. RAdAC se, za kreiranje kvantavne metrike rizika, ne oslanja samo na tradicionalne atribute i polike, nego kombinuje informacije o poverljivos lica (mašina), IKT infrastrukturi i faktorima rizika okruženja. Tako e, koris situacione faktore kao ulaze u proces odluivanja mehanizma, koji mogu ukljuiva informacije o tekuem nivou pretnji, dobijene iz drugih izvora (CERT, proizvo a). 8.3.3.2. Univerzalni mehanizmi logike kontrole pristupa Univerzalni EUA so verski mehanizmi centralizuju upravljanje LAC servisom u distribuiranom okruženju. Nasuprot mainframe mehanizmu za LAC velikom broju S, baza podataka i aplikacija, sa sopstvenim modelima zašte, EUA rešava brojne probleme pregleda LAC podataka iz više mašina, kotrole promena na korisnikim nalozima i pravima pristupa na svakom RS i kretanja administratora od jednog do drugog pa RS. EUA program zahteva poznavanja svake plaorme, obezbe uje interfejs za upravljanje razliim LAC mehanizama, ali ih direktno ne implemenra u S. EUA LAC je neekasna za autorizaciju sa niskim nivoom automazacije. Naješe rešenje arhitekture EUA programa slino je onom kojeg koriste host orijensani skeneri zašte, a ukljuuje soverskog agenta, koji radi na ciljnoj plaormi, upravljaku aplikaciju, koja može komunicira sa agentom i sover korisnikog interfejsa. Upravljanje (kreiranje, modikacija ili ukidanje) naloga korisnika može se vrši direktno na ciljnoj plaormi ili preko jedne take (administracije) u EUA. Konzistentnost centralne baze podataka koju održava EUA sistem, obezbe uje se dijalogom izme u EUA agenta i upravljake aplikacije. Proces sinhronizacije ovog dijaloga razlikuje se od proizvoda do proizvoda i može ukljuiva sinhronizaciju u realnom vremenu ili pomou batch procesa, u kojem se skup programa izvršava u raunaru u isto vreme, ali u tom
134
O Š FOJ
sluaju postoji „prozor rizika” (bez sinhronizacije), što može doves do pogrešne odluke administratora. Soverski agent je aplikacija, koja radi na vrhu N SSS na ciljnoj plaormi ili kao eksterni sover za LAC, u mainframe S. Neki pake nude API (Applicaon Programming Interface), koji podržava autorske aplikacije. edna posledica primene udaljenog agenta je, da ne podržava sve funkcionalnos originalnog S, što može stvori ranjivost za obaranje sistema. Veza izme u centralno upravljanog sistema i agenta obino se šifruje, da se sprei modikacija podataka u prenosu. Alternavni pristup korišenju EUA programa je adaptacija meta–baze podataka (Data Warehous) za centralizaciju podataka LAC servisa. vo rešenje, me um, ne razmenjuje bezbednosno relevantne podatke sa drugim entema i ne obezbe uje integraciju sa postojeim sistemima, kao EUA program [74]. 8.3.4. Zaštita integriteta raunarskog sistema Denicija ranjivos ukljuuje soversku, hardversku i grešku konguracije, koju može iskoris maliciozni napada. Upravljanje ranjivosma podrazumeva upravljanje popravkama, konguracijom i zaštom informacija (Sl. 8.5).
Sl. 8.5. aze procesa upravljanja ranjivosma Postoje dve kategorije ranjivos u Windows plaormama: nepozna prozor ranjivos – od vremena otkrivanja ranjivos do popravke sistema i pozna prozor ranjivos – od vremena objavljivanja popravke do remedijacije sistema. U Tabeli 8.2. prikazan je primer prorauna prozora poznah ranjivos.
BO FOO
135
Tabela 8.2. Primer prorauna prozora poznah ranjivos Ranjivost
Vreme izveštaja snabdevau sovera
Vreme objavljivanja popravke
Delta vreme
IE, CVE*–2006–1359 (ranjivost teksta)
10.02.2006
11.04.2006
60 dana
CVE–2006–0058 (brzina slanja e–pošte)
1.01.2006
22.03.2006
9 dana
CVE–2005–11–17 (preplavljivanje QuickTime QTS)
17.11.2005
10.01.2006
54 dana
CVE–2006–0006 (preplavljivanje BMP MediaPlayer)
17.10.2005
14.02.2006
120 dana
Vreme popravke /ublažavanja rizika
* CVA (Common Vulnarability and Exposures) – uobiajene ranjivos i izlaganja
Za upravljanje ranjivosma veina organizacija je prepuštena snabdevaima, a u nekim sluajevima licima/entema (CIRT/CERT), koji objavljuju/otkrivaju nove ranjivos. Korisnici mogu brojnim alama ažurno pra bezbednosne ranjivos i popravke sistemskih programa. Na primer, veina snabdevaa nude e–mail liste ranjivos: Bugtraq (www.securityfocus.com/archive/ 1/descripon), originalnu listu bezbednosnih ranjivos; VulnWatch (www. vulnwatch.org, uporedivu sa Bugtraq, ali slabije poseivanu; MS Security Bullens (www.microso.com) listu ranjivos MS proizvoda itd. [60]. Integritet sistema kontrolišu skeneri, koji se dele na skenere RS i skenere RM. Skeneri integriteta raunarskog sistema rade na principu periodinog monitorisanja aktuelne konguracije plaorme na sve pove ranjivos. Ranjivost se skenira pore enjem tekue konguracije sa predenisanom, idealnom konguracijom za datu plaormu. Iako skeneri integriteta mogu radi na svim apstraktnim nivoima, u praksi su retki na aplikavnom nivou, pošto zahtevaju detaljno poznavanje skenirane aplikacije. U praksi glavna je upotreba skenera ranjivos samog S. Skeneri ranjivos S uglavnom se koriste u okruženju IKTS manjeg obima, pošto bezbednost ovih sistema obino zavisi od korektnos podešavanja velikog broja opcija konguracije. Zavisno od S mogue je uskladiš datoteku osnovne i druge konguracije na brojne lokacije u sistemu, pa im je teško manuelno pra trag. Nažalost male promene u veini ovih opcija mogu ima drasan ucaj na ukupan nivo zašte sistema, a te se promene mogu dogodi zbog ljudske greške (npr. rad administratora pod priskom), neznanja (npr. omoguen servis za daljinski pristup) i zbog instalacije novog programa. U IKTS srednjeg i velikog obima, nije mogue upravlja ovolikom kompleksnošu bez automazovanih alata. Tipina implementacija skenera obuhvata soverskog agenta, koji skenira niz ciljnih plaormi i verikuje aktuelnu konguraciju u odnosu na ciljnu, upravljaku stanicu,
136
O Š FOJ
koja skuplja podatke sa svih skeniranih plaormi u RM i kontrolnu stanicu, koja koris korisniki interfejs za generisanje izveštaja. Na Sl. 8.6. ilustrovana je upotreba skenera ranjivos veih IKTS.
Sl. 8.6. Primena skenera ranjivos u IKTS srednje veliine Administrator koris klijentski interfejs za pristup rezultama skeniranja. Soverski agent je obino specian za S i dolazi sa prekongurisanom bazom podataka uobiajenih ranjivos S i predenisane polike. vi predenisani parametri koriste se kao poetne vrednos za denisanje osnovne zašte i polike skeniranja za specinu lokaciju. Vendori obino nude ažuriranje sovera za skeniranje. vi ala mogu ima dodatne funkcionalnos, kao što su zašta lozinkom i mogunost monitorisanja promene sadržaja (npr. skladištenjem sažetaka datoteka – heš vrednos). Ala za skeniranje poznah ranjivos hosta mogu se nai na web-u [101]. Komercijalni skeneri zašte mogu prezentova otkrivena odstupanja od ciljne konguracije u formi izveštaja i grakog prikaza. Neki ala imaju mogunost automatske korekcije stanja, što je delikatna operacija, jer korekcija ranjivos sistema zašte može ima veliki ucaj na funkcionisanje sistema. Kljuno pitanje o efekvnos skenera ranjivos je u kojoj meri redukuju rizik, što zavisi od dva faktora – mere u kojoj osnovna konguracija zašte odražava željeni prol rizika i ekasnos procesa korekcije, koji sledi nakon otkrivanja ranjivos. Ako su ova dva faktora korektno upravljana, skeneri ranjivos mogu obezbedi više dodatnih kontrola u distribuiranom IKTS. Anvirusni programi (AVP) otkrivaju i uklanjaju kompjuterske viruse i druge maliciozne programe, koji menjaju integritet RS, pošto se instaliraju na lokalnoj plaormi, a zam je koriste za dalju propagaciju u RM. Koncept AVP je jednostavan. Svaki put kada AVP otkrije maliciozni kôd, u cilju idenkacije ispituje deo strukture osoben za taj kôd, što su naješe heš vrednost ili digitalni potpis. vaj elemenat strukture je denicija ili potpis malicioznog kôda, koja se preuzima ažuriranjem baze podataka AVP, a kasnije koris za detekciju prisustva poznah malicioznih kôdova. AVP jednostavno radi tako što BO FOO
137
skenira S, baze podataka i aplikacije, tražei potpise malicioznih kôdova uskladištenih u bazi denicija AVP. Kada otkrije maliciozni kôd sa poznatom denicijom, u AVP se akvira set instrukcija za uklanjanje te denicije. U stvarnos zadatak AVP mnogo je složeniji, pošto autori malicioznih kôdova nalaze brojne naine da poraze ovaj jednostavni odbrambeni mehanizam. Neki virusi koriste tehnike kriptozašte za skrivanje potpisa malicioznih kôdova. Zbog toga su savremeni AVP dizajnirani tako da rade i na aplikavnom sloju i sloju S i da mogu skenira veliki obim objekata, kao što su memorije, datoteke, e-pošta i dodaci i but sektori. sim toga, skeniranje AVP nije ogranieno na jednostavnu detekciju denicija malicioznih kôdova, nego može ukljuiva napredne tehnike kao što su dešifrovanje i uklanjanje u izolovan prostor (karann). Skeneri sadržaja i lteri e-pošte mogu analizira sadržaj preuzeh mobilnih kôdova ili poruka e-pošte, detektova potencijalne povrede sistema zašte i izvrši akciju odgovora na pretnje. ve funkcionalnos su korisne za zaštu integriteta S. Iste tehnike mogu se koris i za zaštu integriteta podataka. Na primer, legalni korisnik razmenjuje pornografski materijal sa serijom kontakata izvan organizacije. To radi steganografskom ugradnjom slike ili teksta u poruke e-pošte. Skeneri sadržaja mogu detektova ugra ene slike ili tekst i smes ih u karann za dalju analizu. U ovom primeru, soveri skenera sadržaja direktno se koriste za zaštu samih podataka. Skeneri sadržaja su komplementarni AVP-a. Rade na aplikavnom nivou, pošto obino ispituju informacione objekte koji su u prenosu izme u dva sistema. vaj pristup je potencijalno moniji od AVP detekcije bazirane na potpisu, zato što se mogu ugradi pravila bazirana na razliim kriterijumima i nisu ogranieni na, u sušni, staka svojstava objekata malicioznih kôdova. Programi za ltriranje sadržaja mnogo variraju po obimu i soskaciji. Kreu se od jednostavnih skenera sadržaja e-pošte, koji vrše leksiku analizu i odlažu u karann poruke koje sadrže odre ene, predenisane rei/ fraze, do sosciranih skenera sadržaja koji u realnom vremenu ispituju dolazne poruke i preuzete sadržaje sa Interneta. vo je posebno znaajno za bezbednosnu proveru prisustva mobilnih kôdova (Java, JavaSkript i AcveX). Veina skenera sadržaja obezbe uje nekoliko naina reagovanja na povredu polike zašte i omoguava administratoru da konguriše odgovarajue akcije na bazi h pravila. U sluaju e-pošte, skeneri sadržaja mogu odlaga u karann ili izbrisa dodatke sa porukama ili odbaci poruku u celini u junk direktorijum. Skeneri sadržaja mobilnih kôdova mogu blokira preuze sadržaj, prene sumnjivi sadržaj TTPS provajderu na analizu, izvrši logovanje i potencijalno posla alarm korisniku. Neki web lteri mogu prepozna i odgovori na sadržaj. ilteri e-pošte imaju ugra ene AVP, a AVP poinju ugra iva neke od funkcionalnos skenera sadržaja, što znai da ova dva mehanizma konvergiraju u jedinstven proizvod.
138
O Š FOJ
8.3.5. Mehanizmi za detekciju i spreavanje upada u sistem Sistemi za detekciju i spreavanje upada – IDPS (Intrusion Detecon and Protecon Systems) koriste se za prepoznavanje indikacija nekog pokušaja upada, upozorenje korisnika i izvršavanje korekvnih akcija za spreavanje upada u IKTS [2, 87, 89]. Savremeni koncept IDPS omoguava, pored funkcija detekcije upada (IDS), odre enu vrstu inteligentne zamke za napadaa (pa upa meda – hony pot), kojima skreu njihovu pažnju i za to vreme izuavaju osobenos u cilju prevenvne zašte i spreavanja sledeeg upada (Sl. 8.7). Postoje dve velike klase IDPS sistema – IDPS raunarskog sistema ili HIDPS i IDPS raunarske mreže ili NIDPS. ba sistema analiziraju indikatore upada, ali se razlikuju naini na koji to rade i povi podataka koje procesiraju. Prednos i nedostaci su slini onima kod skenera ranjivos. IDPS sistemi se, tako e, mogu klasikova prema principima detekcije na sisteme detekcije na bazi potpisa i složene detektore anomalija. Prvi upore uju log datoteku poznah potpisa napada sa aktuelnim, dok drugi Sl. 8.7. IDPS koncept traže anomalije prema obrascima, koje sistemi koriste. HIDPS sistemi mogu koris razliite mehanizme za detekciju i spreavanje upada, kao što su pseudorelaciona analiza kontrolnih tragova i provera integriteta datoteka. Neki proizvodi kombinuju mehanizme potpisa i detekciju anomalija i omoguavaju brzo ažuriranje baza potpisa napada. HIDPS programi su obino dizajnirani za odre ene S, koji pružaju maksimum funkcionalnos, kao što su direktna intercepcija i interpretacija pristupnih poziva sistemu. unkcionalnost HIDPS sistema zavisi od analize kontrolnih tragova u log datototeci, što je i glavna ranjivost zbog mogunos proboja i modikacije njenih podataka. HIDPS sistemi obino rade i sa šifrovanim podacima, koje ciljni host dešifruje pre procesiranja. IDPS sistemi generalno imaju dobre sisteme izveštavanja sa razliim nivoima detalja i grakim displejom. Mehanizmi za upravljanje log datotekama obezbe uju selekvan pristup log datotekama kontrolnih tragova bezbednosno-relevantnih doga aja. U okruženju sa razliim plaormama, ovi mehanizmi pomažu osetljivi proces skupljanja i kombinovanja login informacija sa razliih plaormi, što omoguava praenje napada ili sumnjivih doga aja, koji poga aju više od jednog hosta. Pošto veina S obezbe uje logovanje, mehanizmi za upravljanje log datotekama koriste se za zaštu na svim apstraktnim slojevima RS.
BO FOO
139
Izvlaenje relevantnih podataka iz log datoteka u veim IKTS, veoma je složen i vremenski zahtevan posao. Pre svega, treba razmisli koje doga aje upisiva u log datoteke za svaku datu aplikaciju. Ako je ovo uinjeno korektno, za analizu informacija u log datotekama, ostaju problemi velikog obima podataka i jasnih pravila za proakvnu i reakvnu analizu i skladištenje kontrolnih tragova u kontekstu brojnih plaormi. Mehanizmi za upravljanje log datotekama smanjuju problem obima podataka kontrolnih tragova, obezbe ujui ltriranje podataka, na osnovu implemenranog skupa pravila za selekciju. Me um, ovim se mogu odstrani važne informacije, pa mehanizmi za upravljanje log datotekama moraju bi inteligentni, da prepoznaju podatke istog pa na razliim plaormama. Tako e, nedostaje standardizacija reprezentacije kontrolnih tragova (cilj projekta COAST Audit Trail Reducon Group [16]), koja bi omoguila analizu, a ne interpretaciju sirovih podatka. U log datotekama treba oznaava tragove, koji su za proakvnu ili reakvnu analizu. U veini sistema, vreme asovnika razliih plaormi približno je sinhronizovano protokolima za automatsku sinhronizaciju (npr. NTP – Network Sinhronizaon Protocol), koji nisu uvek implemenrani u mrežama. Problem sinhronizacije asovnika može uca na procese konsolidacije hronologije napada, kao i na podatke, koje daju lteri log podataka. Veina savremenih mehanizama samo delimino rešava ove probleme. Brojni ala za analizu log datoteka web lokacija su soscirani, ali ne prate bezbednosne doga aje, nego posete klijenata. 8.3.6. Mehanizmi za zaštitu poverljivosti i integriteta podataka snovni mehanizmi za zaštu poverljivos i integriteta podataka su kriptografski hardverski ili soverski mehanizmi. Kriptograja je u sušni tehnika izmene (a ne sakrivanja) informacija pomou neke transformacije, na takav nain da samo odre ena grupa korisnika može izvui originalnu informaciju, a svi drugi ne mogu. Transformacija otvorenog teksta informacije u neitljiv šifrat, vrši se upotrebom kriptografskog algoritma i kriptografskog kljua. Kriptograja se deli na: simetrinu, asimetrinu (PKI), hash funkcije i naprednu kriptoanalizu. Za izvlaenje otvorenog teksta iz šifrata, u sluaju simetrine kriptograje, ovlašeni korisnici imaju is klju, a kod asimetrine kriptograje ili infrastrukture sa javnim kljuem – PKI, imaju matemaki par javnog i privatnog kljua. U savremenim kriptografskim sistemima bezbednost informacija je više u kljuu nego algoritmu, jer je prakno nemogue uva u tajnos algoritam u komercijalnom okruženju, dok je uvanje tajnos kljua samo problem procesa upravljanja kljuem [5]. Vrednovanje kriptografskih algoritama vrši se na osnovu kriterijuma za procenu (Tabela 8.3). Vrednos simetrinih i asimetrinih algoritama za mehanizme zašte u odnosu na relevantne kriterijume date su u Tabeli 8.4 [67].
140
O Š FOJ
Tabela 8.3. Kriterijumi procene vrednos kriptološkog algoritma Vrednost (poeni)
Prihvatljivost metode za mehanizam zašte
5
Veoma prihvatljiv
4
Prihvatljiv
3
Prosean (bez posebnih prednos)
2
Relavno loš
1
Vrlo loš
0
Bez opredelenja
Tabela 8.4. Vrednovanje kriptoloških algoritama za mehanizme zašte Kriterijum
Asimetrini algoritam
Simetrini algoritam
Idenkacija
5
3
Autenkacija
5
5
Podaci
3
3
Kašnjenje
4
2
Troškovi
1
5
Kvalitet prenosa
0
0
ptereenje kanala
1
5
Ukupno
19
23
Simetrini algoritmi su bolji metod kriptozašte, uzimajui u obzir sve kriterijume, iako su asimetrini algoritmi u prednos u odnosu na nivo zašte. Asimetrini algoritmi su bolji za autenkaciju korisnika, jer se mogu kombinova sa ure ajima za jaku autenkaciju (smart karce, tokeni), dok su ekvivalentni simetrinim algoritmima za zaštu sadržaja informacija i podataka, jer koriste odgovarajui stepen kriptozašte, bez obzira na p algoritma. Kriptografski mehanizmi koriste se u arhitekturi zašte RS za šifrovanje celog vrstog diska (npr. Windows VISTA, Windows 7), baza podataka ili datoteka (npr. Win XP S), a u RM za zaštu poverljivos podataka na prenosnom putu i za implementaciju integrisanih servisa zašte – autenkacije, poverljivos, integriteta i neporecivos informacija u PKI sistemu. Za zaštu integriteta podataka kriptografski algoritam od originalnih podataka pravi sažetak (hash) ili digitalni potpis, koji se zam šifruju i skladište na bezbednom mestu. Ako neovlašeni korisnik izmeni podatke, ne može se rekonstruisa originalna hash funkcija ili potpis, što vlasnik može dokaza verikacijom, jer poseduje klju.
BO FOO
141
8.3.6.1. Osnovi kriptografije – simetrini šiarski sistemi Kriptografski mehanizmi i protokoli zašte imaju najznaajniju primenu za zaštu informacija na prenosnom putu kroz potencijalno ne-prijateljske mreže. Za zaštu se koriste specino dizajnirani protokoli, koji implemenraju i izvršavaju jedan ili više mrežnih servisa zašte: autenkaciju, zaštu poverljivos, zaštu integriteta i neporecivos. Kriptografske transformacije su matemake funkcije, odnosno, algoritmi sa kojim se nizovi bitova otvorenog teksta ( T) prevode u nizove bitova šifrovanog teksta ili šifrata (T) i obratno. Šifrovanje je postupak prevo enja podatka T u neitljiv oblik – T, a formalno se može zapisa u sledeem obliku: C = E(P, KE ), gde su: P – T; C – T; E-funkcija šifrovanja; KE-klju za šifrovanje.
brnu postupak prevo enja T u T naziva se dešifrovanje: P=D(C, KD ), gde su: P – T; C – T; D - funkcija dešifrovanja; KD - klju za dešifrovanje.
unkcije šifrovanja i dešifrovanja zajedno ine šifarski sistem. Komunikacioni kanal sa šifrovanjem podataka izme u dva korisnika prikazan je na Sl. 8.8.
Sl. 8.8. Komunikacija sa šifrovanjem podataka Alice šalje poruku Bobu, šifrovanu kljuem KE, a Bob je dešifruje kljuem KD, a Eve je napada, koji može prisluškiva nezašen kanal. Komunikacija izme u izvora i odredišta predstavlja siguran kanal zahvaljujui šifrovanju poruka. 142
O Š FOJ
snovna podela šifarskih sistema je na simetrinu i asimetrinu kriptograju. Kod simetrine kriptograje kljuevi za šifrovanje i dešifrovanje su jednaki: KE = KD = K, pa je: C = E(P, K); P = D(C, K); P = D[E(P, K), K]. Za proces šifrovanja u simetrinoj kriptograji potrebno je zna kriptološki algoritam i tajni klju. Svi savremeni simetrini algoritmi su javno dostupni pa skrivanje algoritma ne doprinosi bezbednos. Zbog toga ih je u potpunos mogue tesra metodima kriptoanalize i proveri njihovu otpornost na napade. Bezbednost simetrinih algoritama zavisi od snage samog algoritma, ali pre svega od tajnos i dužine kljua. Najpoznaji simetrini algoritam je DES (Data Encrypon Standard) sa K= 56 bita, razvijen u IBM (1977). stao je standardni simetrini algoritam sve do 2000. godine, kad ga je zamenio AES (Advanced Encrypon Standard), koji koris kljueve dužine 128, 192 i 256 bita. DES su probili hakeri sredinom 90–h godina, udružujui procesorsku snagu svojih raunara u virtuelni super raunar. snovni nedostatak simetrine kriptograje je upravljanje, odnosno, distribucija kljua. Sigurna razmena kljua je ozbiljan problem, posebno za komunikacije na veim udaljenosma i sa više uesnika. Za n korisnika u komunikaciji potrebno je n(n – 1)/2 kljueva, ije je generisanje i upravljanje neprakno, a razmena nesigurna. vo je dovelo do pojave asimetrine kriptograje. Kriptografski kljuevi se treraju kao resursi IKTS koje treba izuzetno š. uvanje i upravljanje kriptografskim kljuevima uvek se stepenuje najveim stepenom tajnos. unkcija upravljanja kljuevima obuhvata sledee akvnos: generisanje, prenos (razmenu), uništavanje, obezbe enje integriteta i nain korišenja kriptografskih kljueva. Kriptografski klju se generiše kao sluajni ili pseudosluajni niz (simetrini) ili kao proizvodi prosh brojeva velikog broja (PKI). Prenos simetrinih kljueva mora bi tajni (sauva tajnim sadržaj kljua). Kod prenosa javnih kljueva ne postoji problem razmene, ali ostaju problemi integriteta kljueva, koji se rešavaju u kontekstu zaštne mrežne arhitekture. Razmena kljueva korisnika u mreži može se vrši direktno ili indirektno. 8.3.6.2. Osnovi kriptografije – asimetrini šiarski sistemi Asimetrina kriptograja ili Infrastruktura sa javnim kljuem (PKI), jedna je od najbitnijih infrastrukturnih komponen zašte RM iz više razloga [5, 37, 58, 74]: obuhvata vei broj korisnika od simetrine kriptograje, svaki korisnik zahteva samo par kljueva za komunikaciju sa svim ostalim, delimino rešava problem distribucije kljua kod simetrine kriptograje, obezbe uje okvir za protokole zašte transakcija i integriše servise digitalnog potpisa, zašte CIA i jake autenkacije. U PKI svaki korisnik u vezi ima jedinstven matemaki par javnog (Pk) i privatnog kljua (Tk). avni klju se razmenjuje sa svim korisnicima u mreži, a privatni strogo uva. Glavni nedostatak PKI sistema je poverenje korisnika u povezanost Pk i nominalnog vlasnika. Iako se Pk ne mora uva u tajnos kao simetrini, teško je u on line režimu rada poveza javni klju sa njegovim vlasnikom. BO FOO
143
Uobiajen nain za povezivanje Pk sa vlasnikom je pomou digitalnog serkata (DS) – elektronskog dokumenta, koji povezuje Pk sa imenom vlasnika na poverljiv i bezbedan nain. DS je neka vrsta digitalnog pasoša, uspostavlja identet, neophodan za autenkaciju korisnika i poruka i pouzdano pridružuje da par kljueva (Pk, Tk) identetu korisnika. Može se primenjiva za verikaciju digitalnog potpisa, kontrolu pristupa web aplikacijama i za proceduru jake autenkacije. DS mora bi usaglašen i lak za lociranje i autenkaciju. Može ima standardni format (npr. X.509), a i ne mora. Deli se prema nameni na: DS identeta – kodira identet principala, DS atributa – kodira grupni kredibilitet, DS ovlašenja – kodira delegiranje i restrikcije ovlašenja, DS uslova korišenja – kodira npr. troškove, atribute uloga, line karakteriske i sl. Generalno, DS je struktuiran u tri promenljiva dela i sadrži Pk vlasnika. Prvi deo – tbsCercate su podaci znaajni za idenkaciju DS, drugi deo – signature Algorithm je idenkator algoritma za potpisivanje, a tre i deo – Signature je sam digitalni potpis [37]. Prvi deo ukljuuje: Validnost DS – poetak i kraj važnos DS; Vlasnika DS – ime vlasnika DS, kojem se pridružuje Pk, odeljenje i uloga u organizaciji, e-mail, region u državi, oznaka države; Verzija (1,2 i 3); Serijski broj – jedinstven redni broj izdatog DS; Ime izdavaa DS (Issuer) – idenkuje serkaciono telo – CA (Cercaon Authority); Javni klju – Pk vlasnika DS i idenkator algoritma za koji je namenjen (RSA, DSA, ECDSA); Dodatne informacije – krine i nekrine (idenkatore Pk za proveru DS, namenu Pk, uslove kreiranja i korišenja DS, alternavna imena CA i vlasnika DS). Ako aplikacija koja koris DS prona e CRITICAL i ne prepozna ga, mora odbaci DS kao neispravan; Drugi deo je idenkator algoritma za digitalno potpisivanje (RSA, DSA...) i heš funkcije (MD5, SHA1, SHA2...) za generisanje digitalnog potpisa CA. Tre i deo je digitalni potpis (DP) sa Tk CA. DP je analogan runom potpisu i osigurava autennost. Tipian proces DP – generisanje heš vrednos dokumenta/ potpisa i šifrovanje te heš vrednos sa Tk autora, što osigurava integritet dokumenta/potpisa. DP ne obezbe uje zaštu poverljivos sadržaja dokumenata. bino se dodaje istom tekstu dokumenta i omoguava verikaciju integriteta sadržaja (Sl. 8.9).
Sl. 8.9. Sadržaj standardnog ITU X.509 DS–3–0 144
O Š FOJ
Izbor mehanizama zašte generalno zavisi od vrednos imovine, koja se š i stepena izloženos napadima. Na Sl. 8.10. prikazan je zahtevani nivo mehanizama zašte za aplikacije ili procese, u odnosu na poslovnu vrednost i izloženost [8].
Sl. 8.10. Zavisnost mehanizama zašte od vrednos imovine i izloženos
8.4. REZIME Za klasikaciju tehnikih alata za zaštu koris se objektno-orijensana šema, koja obuhvata tri klase alata: mehanizme zašte RS (host-orijensane), namenjene za poboljšanje podsistema zašte prirodnog S – N SSS hosta (servera ili radne stanice), aplikacija i podataka; mrežno orijensane alate (mehanizme i protokole) za zaštu RM i mehanizme za infrastrukturnu podršku (PKI, smart karce i autenkacioni ure aji). Unutar prve dve klase, ala zašte dalje se klasikuju na mehanizme za autenkaciju i autorizaciju (RS/RM), zaštu integriteta (RS/RM), kontrolu pristupa (RS/RM), monitoring (RS/RM) i zaštu poverljivos, integriteta i raspoloživos podataka i informacija. U ovoj klasikaciji važno je razume razlike izme u integriteta RS/RM i informacija. Model troslojne strukture apstraktnih nivoa u RS koris se za denisanje slojeva zašte u RS. Operavni sistem ( S) je najznaajniji apstraktni sloj sistemskih programa, zato što uestvuje u svim zadacima koje RS obavlja. Zašta OS odreuje najviši nivo zašte celog IKTS. snovni koncept modela je da viši sloj prima neku vrstu servisa od nižeg sloja sovera. Pošto ovi soveri koriste servise koje nudi S, njihova zašta je nužno zavisna od zašte S i, ako je S probijen direktno preko sloja aplikacija, lako je zaobii mehanizme zašte baza podataka i srednjeg sloja. Zato je N SSS osnovni sloj BO FOO
145
zašte RS, koji treba komplementarno jaa dodavanjem drugih pova kompabilnih sovera zašte. Generiki servis logike kontrole pristupa ukljuuje komponente za i idenkaciju, verikacije identeta ili autenkaciju korisnika sistemu/aplikaciji i za autorizaciju, legalnim korisnicima, prava pristupa i akvnos na objekma IKTS. Servis kontrole pristupa može se zasniva na bazi mehanizama mainframe pa – liste kontrole pristupa (ACL), uloga (RBAC), atributa (ABAC), polike zašte (PBAC) i adapvnog praenja rizika (RAdAC). Mehanizmi LAC se još mogu klasikova u LAC na osnovu obaveze (MAC) i diskrecionog prava vlasnika (DAC). Savremeni soverski mehanizmi za LAC razliim plaormama, tzv. mehanizmi za administraciju korisnika organizacije – EUA (Enterprise User Administraon), rade sa N SSS na veini plaormi i centralizuju upravljanje LAC u distribuiranom okruženju IKTS. Monitoring zašte RS vrše sistemi za detekciju i spreavanje upada u RS – IDPS, koji prepoznaju pokušaje upada, upozoravaju korisnike i vrše korekvne akcije. IDPS sistemi (HIDPS-za RS i NIDPS-za RM) dele se, prema principima detekcije, na sisteme koji koriste tehniku detekcije na bazi potpisa i složene detektore anomalija. Savremeni koncept IDPS koris odre ene vrste inteligentnih zamki za napadaa (hony pot), kojima skreu njihovu pažnju i izuavaju osobenos u cilju prevenvne zašte od sledeeg napada. Mehanizmi za upravljanje log datotekama obezbe uju selekvan pristup log datotekama kontrolnih tragova bezbednosno relevantnih doga aja i smanjuju problem obima podataka, ltriranjem na osnovu implemenranog skupa pravila. Cilj je standardizacija reprezentacije kontrolnih tragova, tako da administratori mogu analizira, a ne samo interprera podatke. Integritet RS kontrolišu skeneri ranjivos (zašte) sistema, koji se obino dele na skenere ranjivos (zašte) RS i skenere ranjivos (zašte) RM. Skeneri zašte RS rade na principu periodinog monitorisanja aktuelne konguracije i njenim pore enjem sa predenisanom. Skeneri sadržaja i lteri e–pošte mogu analizira sadržaj preuzeh mobilnih kodova ili poruka e–pošte radi detekcije potencijalne povrede sistema zašte i izvršavanje akcije odgovora na pretnje; mogu detektova steganografski ugra ene slike i tekst u poruke e-pošte i smes ih u karann za dalju analizu. U ovom sluaju skeneri sadržaja direktno se koriste za zaštu samih podataka. Skeneri sadržaja su komplementarni sa AVP – analiziraju sadržaje poruka i evaluiraju ih u odnosu na predenisanu poliku, a zam izvršavaju neke akcije, kada sadržaj ne ispunjava zahteve polika zašte. Raunarski virusi i drugi maliciozni programi narušavaju integritet RS. AVP ispituje otkriveni maliciozni program i ako idenkuje potpis malicioznog programa akvira set instrukcija za uklanjanje. Za servis zašte poverljivos koriste se simetrini i asimetrini kriptografski mehanizmi – tehnike izmene informacija pomou neke transformacije, na takav nain da je samo odre ena grupa korisnika može izvui u originalnom tekstu. Kriptografski mehanizmi koriste se u arhitekturi mrežne zašte za implementaciju integrisanih servisa zašte – autenkacije, poverljivos, integriteta i neporecivos informacija. 146
O Š FOJ
8.5. KLJUNI TERMINI Ala zašte: hardversko–soverski mehanizmi i protokoli zašte (tehnike kontrole zašte); u širem smislu ukljuuju proceduralne kontrole zašte. Anvirusni programi: programi koji sadrže potpise poznah malicioznih kôdova, sa kojim porede tekue, detektovane kôdove, uklanjaju ih ili stavljaju u karann. Autenkacija: proces sa kojim korisnik (lice ili program) dokazuje svoj identet sistemu ili aplikaciji koji nude neki servis; verikacija identeta. Autorizacija: proces dodeljivanja legalnom korisnicima prava pristupa objekma IKTS. Autorizacioni serveri: pridružuju skup prava pristupa autenkovanim entema. Host–orijensani ala: mehanizmi zašte namenjeni za poboljšanje zašte N SSS hosta (servera, radne stanice), aplikacija i podataka. Kriptografski mehanizam: tehnika izmene informacija pomou neke transformacije na takav nain da je samo odre ena grupa korisnika može izvui u originalnom tekstu. Mehanizmi zašte: pojedinani, individualni algoritmi ili metodi ili hardversko–soverski moduli za eliminisanje bezbednosnih problema u mreži.
Podsistem zašte prirodnog OS: N SSS (Nave Operaon System Security Subsystem) osnovni sloj zašte S u RS; ukljuuje osnovne mehanizme zašte za kontrolu pristupa, autenkaciju korisnika, logovanje bezbednosnih dogaaja, AVP, šifrovanje fajla i dr. Program za administraciju korisnika organizacije – EUA (Enterprise User Administraon): univerzalno rešenje AC za složene sisteme, razliite plaorme i interakvni rad sa postojeim N SSS na veini plaormi; centralizuje upravljanje kontrolom pristupa. Sistemi za detekciju i spreavanje upada u sistem – IDPS: detektuju pokušaja upada, upozorenje korisnika i korekvne akcije na bazi tehnika detekcije potpisa i anomalija; dele se na HIDPS (za RS) i NIDPS (za RM). Skeneri sadržaja i lteri e-pošte: analiziraju sadržaj preuzeh mobilnih kodova ili poruka e–pošte, na potencijalne povrede sistema zašte i reaguju na pretnje. Skeneri ranjivos (zašte) RS: rade na principu periodinog monitorisanja aktuelne konguracije RS i pore enjem ove konguracije sa predenisanom. Web lteri: mehanizmi mrežne zašte za AC internih korisnika web lokacijama i selekvno blokiranje pristupa zabranjenim web lokacijama, na bazi lokalne polike zašte.
8.6. PITANJA ZA PONAVLJANJE 1. Dobra klasikacija tehnikih alata je na bazi: a. modela životnog ciklusa b. klasikacione objektno–orijensane šeme za sovere zašte IKTS c. strukturnog objektnog pristupa 2. Ala se, u odnosu na pove servisa zašte koje podržavaju, dele na alate za: a. idenkaciju, autenkaciju i autorizaciju (RS/RM) b. ziku zaštu (RS/RM) c. kontrolu pristupa (RS/RM)
d. skeniranje sistema zašte (RS/RM) e. zaštu poverljivos, integriteta i raspoloživos podataka i informacija 3. Koncept slojevite zašte zasniva se na modelu: a. slojevite strukture apstraktnih nivoa raunarskog sistema b. hijerarhijske strukture raunarske mreže c. životnog ciklusa sistema d. vodopada
BO FOO
147
4. U servisu RBAC autorizacije prava pristupa objekma IKTS: a. korisnik može bi lan samo jedne grupe b. efekvne dozvole korisnika mogu se nasledi samo iz jedne grupe c. pravljenjem grupa, administratori prave manje korisnikih naloga d. grupe ne mogu ima privilegije, koje se sukobljavaju 5. Centralizovano upravljanje smanjuje posao mrežnom administratoru: a. smanjivanjem broja resursa za koje treba korisnicima da privilegije b. smanjivanjem broja grupa koje je potrebno napravi c. smanjivanjem broja korisnikih naloga koje treba napravi d. smanjivanjem broja privilegija koje treba da svakom korisniku e. dodeljivanjem korisniku najmanje prava pristupa 6. Proveru identeta (autenkaciju) pomou tokena najbolje opisuje: a. nešto što korisnik jeste b. nešto što korisnik ima c. nešto što korisnik zna 7. Proveru identeta (autenkaciju) pomou lozinke najbolje opisuje: a. nešto što korisnik ima b. nešto što korisnik zna c. nešto što korisnik jeste 8. Proveru identeta (autenkaciju) pomou biometrike najbolje opisuje: a. nešto što korisnik ima b. nešto što korisnik zna c. nešto što korisnik jeste 9. Privilegovani menadžerski nalog se koris da obezbedi: a. zaštu S b. rad sa programima za podršku ili sa slojem aplikacija c. kontrolu sistema zašte d. kontrolu korisnikih naloga 10. U savremenim kriptografskim sistemima bezbednost je više u:
148
O Š FOJ
a. kljuu i procesu upravljanja kriptografskim kljuem b. algoritmu jer je prakno mogue uva u tajnos algoritam u komercijalnom okruženju c. protokolima zašte 11. Generiki servis logike kontrole pristupa (LAC) ukljuuje mehanizme za: a. idenkaciju, verikaciju, autenkaciju i autorizaciju b. idenkaciju, autenkaciju i autorizaciju c. idenkaciju, autorizaciju, verikaciju i autenkaciju d. idenkaciju, verikaciju i autenkaciju 12. Diskreciona kontrola (DAC) pristupa se zasniva na: a. utvr enim pravilima b. odluci vlasnika sistema c. polici zašte d. proceni rizika 13. bavezna kontrola pristupa (MAC) se zasniva na: a. odluci vlasnika sistema b. utvr enim pravilima c. lis kontrole pristupa (ACL) d. ulogama u organizaciji 14. Kontrola na bazi polike zašte (PBAC) zasniva se na: a. lis kontrole pristupa (ACL) b. ulogama u organizaciji c. polici zašte d. proceni rizika 15. Univerzalni EUA mehanizmi za centralizovanu AC: a. upravlja sa LAC u distribuiranom okruženju b. ukljuuje hardverski modul, upravljakog agenta i korisniki interfejs c. ukljuuje soverskog agenta, upravljaku aplikaciju i korisniki interfejs 16. Denicija ranjivos IKTS ukljuuje: a. greške plana zašte, greške hardvera, greške konguracije RS/RM
b. greške sovera, greške hardvera, greške topologije RM c. greške sovera, greške hardvera, greške konguracije RS/RM 17. Proces upravljanja ranjivosma sadrži sledee faze: a. idenkaciju, procenu, remedijaciju, izveštavanje, poboljšanje i monitoring b. idenkaciju, planiranje, remedijaciju, izveštavanje i monitoring c. idenkaciju, procenu, remedijaciju, poboljšanje i monitoring 18. Za zaštu integriteta RS koriste se sledei mehanizmi zašte: a. kriptografski hardversko soverski mehanizmi, skeneri i IDPS b. skeneri ranjivos RS, AVP, skeneri sadržaja, lteri e–pošte, IDPS c. skeneri ranjivos RS, AVP, skeneri sadržaja, lteri e–pošte, IDPS, kriptografski mehanizmi 19. Kriptograja se deli na: a. simetrinu, asimetrinu, heš funkcije i naprednu kriptoanalizu b. simetrinu, PKI, heš funkcije i naprednu kriptoanalizu c. PKI, asimetrinu, kriptozaštu i kriptoanalizu 20. Simetrina kriptograja je bolji metod zašte od asimetrine za: a. zaštu tajnos informacija na komunikacionim linijama b. integraciju mehanizama autenkacije, poverljivos, integriteta i neporecivos informacija c. anvirusnu zaštu i digitalni potpis d. distribuciju kriptoloških kljueva 21. Asimetrina kriptograja je bolji metod zašte od asimetrine za: a. zaštu tajnos informacija na komunikacionim linijama b. integraciju mehanizama autenkacije, poverljivos, integriteta i neporecivos informacija c. anvirusnu zaštu i digitalni potpis d. distribuciju kriptoloških kljueva
22. Asimetrini kriptološki sistem: a. ima samo jedan klju za šifrovanje i dešifrovanje b. ima algoritam i matemaki povezan par kljueva – javni i tajni c. sadrži glavne module – CA, RA i direktorijum d. ukljuuje kriptološki algoritam, jedinstven klju i upravljanje kljuem 23. Simetrini kriptološki sistem: a. ima samo jedan klju za šifrovanje i dešifrovanje b. ima algoritam i matemaki povezan par kljueva – javni i tajni c. sadrži glavne module – CA, RA i direktorijum d. ukljuuje kriptološki algoritam, jedinstven klju i upravljanje kljuem 24. Glavni nedostatak simetrinog kriptološkog sistema je: a. obuhvata manji broj korisnika b. svaki korisnik zahteva samo par kljueva za komunikaciju sa ostalim c. distribucija kljua d. integriše vei broj mehanizama zašte e. ne integriše više mehanizama zašte informacija 25. Glavne prednos asimetrinog kriptološkog sistema su: a. obuhvata manji broj korisnika b. svaki korisnik zahteva samo par kljueva za komunikaciju sa ostalim c. distribucija kljua d. integriše vei broj mehanizama zašte e. ne integriše mehanizme zašte
BO FOO
149
9.
TEHNOLOGIJE ZA ZAŠTITU RAUNARSKIH MREŽA
9.1. UVOD Mrežna infrastruktura obuhvata komunikacionu mrežu, ure aje za povezivanje, mane raunare i take povezivanja sa mrežom. Uspešan napad na mrežnu infrastrukturu može onesposobi RM ili je izloži raznim zloupotrebama. Za efekvnu zaštu mrežne infrastrukture i RM treba poznava pove potencijalnih napada. d veine potencijalnih napada na RM osnovna zašta je kontrola pristupa krinim resursima, protokolima i pristupnim takama, ukljuujui ziku zaštu i zaštu konguracija ure aja, neprekidni nadzor mrežnog saobraaja, zaštu servera, mobilnih ure aja, radnih stanica i ure aja za umrežavanje, NIDPS, zaštu udaljenog pristupa (RADIUS, TACAS protokoli) i zaštu bežinih RM. Najbitnija komponenta zašte RM je PKI, koja obezbe uje brojne prednos u odnosu na simetrine sisteme, ukljuujui ure aje za zaštu kriptografskih tajni autenkacioni i autorizacioni serveri, kripto-moduli, smart karce, tokeni itd. Svi povi bežinih mreža inherentno su nebezbedni, jer koriste radio frekvencije za prenos informacija. Bežina lokalna mreža (WLAN), klasian Ethernet LAN bez kablovske infrastrukture, ima najveu praknu primenu. WEP protokol (Wireless Equivalent Protocol) za zaštu WLAN, dizajniran da zaš CIA informacija kao i kod zikog LAN-a, pokazao je brojne slabos. Trea generacija (3–G) tehnologije bežinih sistema koriguje uoene bezbednosne ranjivos WEP.
9.2. SERVIS LOGIKE KONTROLE PRISTUPA RAUNARSKOJ MREŽI 9.2.1. Mehanizmi logike kontrole pristupa raunarskoj mreži Koncept LAC, kako se primenjuje u RS, u toj formi ne postoji u RM. Za LAC izme u dve RM mogu se koris tehnike kao što su barijere za ltriranje paketa u TCP/IP okruženju i uspostavljanje zatvorenih grupa korisnika (DMZ), ali ni jedna od ove dve tehnike ne može se koris za zaštu podataka koji putuju zikim vezama. 9.2.1.1. Logike mrežne barijere 150
O Š FOJ
Logike mrežne barijere (Firewalls) su ure aji ili konstrukcije ure aja koje nameu poliku LAC izme u dve RM ili segmenata RM. Barijere blokiraju konekcije na bazi polike i rade na nivoima 3 – 7 SI modela. U TCP/IP modelu slojevi 5, 6 i 7 su deo aplikacija, tako da se polika barijere za blokiranje/dopuštanje pristupa bazira na mrežnom, transportnom i aplikavnom sloju. Barijere generalno kontrolišu saobraaj na mrežnom nivou, ne prepoznaju protokole koji nisu TCP/IP, pa moraju bi specino kongurisane da prepoznaju druge pove protokola. igledno, barijere imaju vrlo ogranieni skup podataka sa kojima mogu radi, što ograniava i njihove realne rezultate [19]. Veina savremenih rešenja ukljuuje autenkaciju korisnika, što je glavni napredak u razvoju barijera, pošto omoguava da se mrežna konekcija povezuje sa entetom (korisnikom, procesom), a ne sa mrežnom adresom (IP). Postoje dve glavne klase komercijalnih, programskih rešenja barijera, koje rade na razliim principima, ali posžu sline rezultate. Barijere sa uspostavljanjem veze, kontrolom stanja veze i tehnikom ltriranja ruranih IP paketa od jednog mrežnog interfejsa do drugog, presreu ve rurane pakete na mrežnom sloju i analiziraju informacije o protokolu od slojeva 3 – 7. Tako e, analiziraju informacije o stanju veze, da bi odredile da li pakete treba blokira ili propus. Za protokole bez uspostavljanja veze (npr. UDP), koris se virtuelna sesija, u kojoj barijera skladiš informaciju o stanju veze, ak, iako je sam protokol bez te informacije (Sl. 9.1). Barijere na aplikavnom sloju poznate kao aplikavna mrežna kapija (gateway), ili proksi, ne ruraju direktno pakete. Dolazne pakete procesiraju komunikacioSl. 9.1. Tok procesa ltriranja paketa ni programi i prenose ih aplikaciji, koja može da ita odre eni protokol na visokom nivou apstrakcije. Pošto nameu kontrole na aplikavnom sloju, proksi barijere su specine za aplikacije, što znai da svaki put kada se razvija novi protokol za neku aplikaciju, zahteva se novi proksi za zaštu. U stvarnos, veina savremenih
BO FOO
151
protokola nemaju proksi barijere, koje ih prate, a proksi serveri se uglavnom koriste za kontrolu standardnih Internet protokola, kao što su TP ili HTTP. Naini rada lterskih i aplikavnih – gateway barijera prikazani su na Sl. 9.2. Sve eše proizvo ai kombinuju karakteriske obe barijere.
Sl. 9.2. Principi rada lterskih i aplikavnih barijera [19] Primer upotrebe barijere za zaštu perimetra (DMZ) RM prikazan je na Sl. 9.3.
Sl. 9.3. Zašta perimetra raunarske mreže sa dve barijere
152
O Š FOJ
9.2.1.2. Proksi serveri Proksi serveri funkcionišu slino aplikavnim gateway barijerama. Dok su barijere namenjene za kontrolu mrežnog pristupa dolaznog i odlaznog saobraaja, proksi serveri su usmereni na kontrolu konekcija koje dolaze iz interne RM. Proksi serveri zahtevaju autenkaciju krajnjeg korisnika, vrše restrikciju komunikacija na denisani skup protokola, primenjuju restrikciju kontrola pristupa i loguju kontrolne tragove. Naješi p proksi servera u praksi su web proksi serveri, koji se ne koriste samo za zaštu. Na primer, jedna od najvažnijih funkcija web proksi servera je skladištenje u keš memoriju podataka za poboljšanje performansi. Striktno govorei, proksi serveri nisu mehanizmi za zaštu RM i korektnije ih je smatra višefunkcionalnim mrežnim ure ajima, koji implemenraju važnu bezbednosnu funkcionalnost. Na Sl. 9.4. prikazana je konguracija servera na aplikavnom nivou.
Sl. 9.4. Konguracija aplikavnog proksija [19] 9.2.1.3. Web filteri Web lteri se koriste za kontrolu pristupa internih korisnika web lokacijama, omoguavajui administratoru da selekvno blokira pristup odre enim povima web lokacija, na bazi lokalne polike zašte. Koriste se i za kontrolu produkvnos zaposlenih i spreavanje pristupa zabranjenim web lokacijama. dluka o blokiranju/dopuštanju pristupa, web lter donosi na bazi konsultovanja instalirane baze podataka o potencijalno problemanim web lokacijama, koje održavaju i regularno ažuriraju proizvo ai, slino ažuriranju AVP. Neki proizvodi poseduju inteligentne agente, koji analiziraju sve poseivane web lokacije i ažuriraju baze podataka. vi mehanizmi pino ukljuuju mogunost blokiranja odreenih kategorija sadržaja sa web lokacija, restrikcije za odreeni period dana, denisanje naina monitorisanja pokušaja pristupa, izdavanje standardnih i kastomizovanih izveštaja i praenje ponašanja korisnika i poseta lokacijama.
BO FOO
153
9.2.1.4. Autentifikacioni protokoli Glavni bezbednosni problem postojeih TCP/IP mreža je lakoa, sa kojom se podaci mogu presres i analizira. Zato, svaki mehanizam autenkacije koji se oslanja na lozinke u otvorenom tekstu ( T) ili bilo koja predvidljiva razmena podataka, nije bezbedna u mrežnom okruženju. Standardni mrežni protokoli obezbe uju dobru funkcionalnost, ali pokazuju i odre ene ranjivos (Tabela 9.1). Zašta mrežne infrastrukture deo je rešenja ovog problema, ali ne obuhvata mogunost da neovlašeni korisnik može koris svoju opremu za pristup mreži i akvira snifer (skener prisluškiva) ili slian alat za kontrolu saobraaja u RM. Tako e, ne možemo, u WLAN mrežama ili na Internetu, verova u mehanizme zašte drugih korisnika. Zato je neophodno ugradi mehanizme zašte u sam proces razmene podataka. Uobiajen nain, da se ovo uradi, je korišenje standardnih autenkacionih protokola [35, 36, 74]. Tabela 9.1. Mrežni protokoli sa poznam ranjivosma Protokol TP TELNET HTTP
Osnovne ranjivos Nema kriptozaštu, izlaže korisniko ime, lozinke i podatke u T. Ranjiv na preplavljivanje bafera, povratni odgovor i spoong za dobijanje privilegija i otkrivanje lozinke. Više ranjivos u raznim implementacijama; slaba konguracija HTTP servera omoguava eskalaciju privilegija.
LDAP i MS Directory Services
Neke implementacije su podložne preplavljivanju bafera i DoS napadima sa mogunošu izmene privilegija.
SNMP
Mogui DoS napadi i preplavljivanje bafera, ako ostane ime organizacije i dr. podaci u predenisanoj konguraciji; može omogui eskalaciju privilegija i kompromitaciju.
SSH (Secure Shell)
Kada protokol radi pod nalogom ruta, mogui su DoS napadi, eskalacija privilegija i kompromitacija.
DNS
Više bezbednosnih ranjivos u raznim implementacijama.
Autenkacioni protokoli su posebna oblast. Primer autenkacionih protokola je NeedhamSchroeder protokol, upotrebljen u Kerberos sistemu u Windows NT 4.0 i kasnijim OS, koji ima ranjivost – omoguava napadau pristup, upotrebom starog kljua. Autenkacioni ure aji (smart karca, biometrijski ureaj, token) obezbe uju korisniku neki ziki idenkator, koji se zahteva za kompleranje autenkacije. Autenkacioni protokoli se, uglavnom, zasnivaju na konceptu upita – odgovora ili razmene digitalnih serkata. snovna ideja je da sistem zahteva dokaz o identetu, a korisnici inicijalno koriste neki drugi mehanizam za razmenu kriptografskih kljueva. Kada korisnik zahteva pristup, idenkuje se sistemu, koji odgovara sa sluajnim upitom
154
O Š FOJ
(chalange). Korisnik šifruje ovaj upit, koristei svoj tajni klju i šalje nazad sistemu, koji koris matemaki par istog kljua (javni klju korisnika) za dešifrovanje originalne informacije. Ako je korisnik jedina osoba, koja poseduje tajni klju, neophodan za šifrovanje sluajnog upita sistema, ovo je verikacija identeta. Ako upit nije sluajna vrednost, zlonamerni korisnik ga može presres, lažno se predstavi i izda novu vrednost upita korisniku, primi transformisani odgovor i obezbedi pristup ciljnom sistemu. Treba uoi da autenkacija nije isto što i uspostavljanje bezbedne sesije i da svaka konekcija, koja ne koris dodatne mere zašte, kao što su mehanizmi za šifrovanje ili zaštu integriteta, može bi kompromitovana. U jednostavnom sluaju, autenkacija korisnika ukljuuje unošenje lozinke preko uspostavljene bezbedne sesije, kao što je SSL (Secure Socket Layer) protokol. Položaj SSL protokola u višeslojnoj arhitekturi RM prikazan je na Sl. 9.5
Sl. 9.5. Lokacija SSL protokola u višeslojnoj arhitekturi RM vaj metod autenkacije korisnika esto se koris za pristup web aplikacijama na Internetu. SSL je osnovni protokol za zašen prenos lozinke. SSL protokol obezbe uje autenkaciju servera klijentu, klijenta serveru i uspostavu bezbedne, kriptološki zašene, komunikacije izme u klijenta i servera. snovni element za dokazivanje autennos kod SSL protokola je digitalni serkat, koji izdaje serkaciono telo – CA (Cercaon Authority). Digitalni serka, izme u ostalog, sadrže javne kljueve enteta, koji ih razmenjuju. Programska podrška za upravljanje SSL protokolom na raunaru klijenta/ servera proverava valjanost digitalnog serkata datog servera/klijenta. Svi podaci koji se razmenjuju izme u klijenta i servera se šifruju na raunaru pošiljaoca, a dešifruju na raunaru primaoca, ime se vrši zašta poverljivos sesije. Podaci se pre slanja digitalno potpisuju i na taj nain se posže zašta integriteta podataka sesije [5]. SSL protokol koris dva podprotokola: (1) SSL protokol zapisa poruka (SSL record protocol), koji deniše formate poruka za prenos podataka i (2) SSL protokol dogovaranja parametara sesije (SSL handshake protocol), koji se koris za razmenu poruka, sastavljenih prema SSL protokolu zapisa poruka, izme u SSL klijenta i SSL servera kada se me u njima po prvi put uspostavlja SSL veza.
BO FOO
155
SSL protokol podržava više razliih kriptografskih algoritama za me usobne autenkacije klijenta i servera, razmene digitalnih serkata i uspostavu tajnih simetrinih kljueva (tj. kljueva sesije). Kriptografski algoritmi korišeni kod komunikacije SSL protokolom prikazani su u Tabeli 9.2. Tabela 9.2. Kriptografski algoritmi za komunikaciju SSL protokolom Algoritam
Opis i primena kriptografskog algoritma
DES
Data Encrypon Standard – standardni algoritam za šifrovanje podataka
DSA
Digital Signature Algorithm
KEA
Key Echange Algorithm za razmenu simetrinih kljueva
MD5
Message Digest v. 5, hash funkcija i algoritam za digitalno potpisivanje
RC2 i RC4 RSA RSA key exchange
Rivest Ciphers simetrini kriptografski algoritmi koje je razvio Ron Riverst Asimetrini algoritam za šifrovanje i autenkaciju Algoritam za razmenu simetrinih kljueva kod SSL protokola zasnovan na RSA algoritmu
SHA–512
Secure Hash Algorithm, hash funkcija dužine 512 bita
Triple–DES
DES algoritam primenjen tri puta nad ism podacima
Algoritmi za razmenu kljueva, KEA i RSA key exchange, odre uju nain na koji klijent i server dogovaraju simetrini klju, koji e koris u SSL sesiji. U najveem broju sluajeva koris se RSA key exchange algoritam. Tokom uspostavljanja SSL sesije, odnosno u fazi dogovaranja kriptografskih parametara, klijent i server biraju najjai skup kriptografskih algoritama, koji oba istovremeno podržavaju i koriste tokom SSL sesije. SSL sesija izme u klijenta i servera uvek zapoinje razmenom poruka SSL protokola dogovaranja parametara sesije, koji omoguava korisniku da izvrši autenkaciju servera, primenom PKI metoda, a klijentu i serveru da zajedno uestvuju u generisanju i izboru simetrinog tajnog kljua sesije, koji se koris za šifrovanje, dešifrovanje i digitalno potpisivanje poruka tokom SSL sesije. Ako server to zahteva, SSL protokol dogovara parametre sesije i omoguava da i server izvrši autenkaciju klijenta. Autenkacioni SSL protokoli dopuštaju napad ubacivanjem oveka u sredinu i ucaj na veinu servera na Internetu. Ranjivost omoguava da se napada ubaci u SSL protokol na komunikacionom putu. Pri tome ni veb server ni veb pretraživa ne mogu otkri da je sesija oteta. Ranjivost dolazi u standardu protokola (formalno poznat kao TLS – Transport Layer Security). Veina SSL implementacija je ranjiva na neki nain. Scenario napada ukljuuje korisnika koji plaa online raune, banku koja koris protokole zasnovane na veb servisima i druge aplikacije kao što su mail serveri, serveri baza podataka itd. Sve biblioteke SSL treba bezbednosno popravi28. 28
156
The Help Net Security News, 05.11.2009.
O Š FOJ
9.2.1.5. Serveri za autentifikaciju i autorizaciju Autenkacioni i autorizacioni (A&A) serveri obezbe uju centralizaciju upravljanja procesom autenkacije – verikacije identeta i autorizacije – pridruživanja skup privilegija autenkovanim entema. Iako A&A serveri nisu obavezni u sistemima za kontrolu udaljenog pristupa, uobiajeno se koriste za ovaj servis. Na primer, u Windows S primarni kontroler domena (PDC) efekvno radi kao autenkacioni server za Windows klijente u lokalnoj mreži. Serveri za A&A obezbe uju odgovarajue servise za više klijenata u klijent-server arhitekturi. Mogu obezbedi zaštu za sve apstraktne slojeve sistema, sve dok su klijen opremljeni sa odgovarajuim interfejsom i korektno kongurisani. Neki serveri mogu dodeljiva uloge korisnicima (npr. CISCO A&A serveri) [23]. Tipian primer kako A&A serveri rade, ukljuuje udaljenog korisnika, koji bira broj servera organizacije preko javne telefonske (PSTN) mreže. Ure aj poznat kao server mrežnog pristupa – NAS (Network Access Server) prima vezu od PSTN i nakon autenkacije korisnika i primene neke restrikcije, dopušta konekciju na zahtevani interni host. Za ove funkcije NAS može koris lokalnu bazu podataka ili, što je eše – servise A&A servera. U serverskoj konguraciji NAS je posrednik izme u korisnika i servera, prenosei svaki zahtev za informacijama od servera prema klijentu i vraajui odgovor serveru. Kada server ima dovoljno informacija da prihva/odbije zahtev klijenta, tada šalje odgovor NAS-u, koji izvršava odluku prihvatanjem/odbijanjem konekcije prema predenisanoj polici. Metod autenkacije i upravljanje pravima pristupa kontroliše lokalna organizacija, koja može koris razne tehnologije, kao što su lozinke, tokeni ili smart karce. leksibilnost podrške razliih metoda A&A posže se implementacijom standardnog protokola na nivou aplikacija izme u NAS i bezbednosnog servera. vi se protokoli dizajnirani da podrže generiku razmenu izme u NAS i servera koji ne zavisi od procesa A&A. Postoje dva glavna protokola koji se danas koriste – RADIUS (Remote Authencaon Dial In User Service) protokol i TACACS + (Terminal Access Controller Access Control Service) protokol (Tabela 9.3) [80, 9]. Tabela 9.3. Autenkacioni i autorizacioni protokoli RADUUS
TACACS+
izvršava se preko UDP
Izvršava se preko TCP protokola
sadrži korisniki prol za autenkaciju sa svim parametrima korisnika
razdvaja autenkaciju i autorizaciju
koriste ga raunari i mrežni ure aji
koriste ga mrežni ure aji (ruteri, svieri)
BO FOO
157
unkcionalni model RADIUS protokola, kojeg koris neki NAS za udaljeni pristup korisnika ima sledee sekvence akvnos (Sl. 9.6): korisnik inicira dial-up vezu sa NAS serverom; NAS traži korisniko ime i lozinku, koje korisnik dostavlja NAS-u sa zahtevom; NAS radi kao RADIUS klijent i šalje zahtev za pristup RADIUS serveru; RADIUS server prenosi autenkacione podatke na A&A server, što može ukljuiva i korišenje sopstvenog (autorskog) protokola; server za A&A dopušta/odbija zahtev; RADIUS server odgovara NAS–u sa porukom da prihvata/odbija pristup, zavisno od rezultata autenkacije; ako je autenkacija uspešna, NAS server dopušta pristup ciljnom hostu.
Sl. 9.6. unkcionalni model RADIUS protokola Korišenje servera za A&A znaajno poveava bezbednost pristupa udaljenih korisnika, ali stvarni nivo bezbednos dosže se u zavisnos od primenjenog metoda A&A. Tako lozinka ne obezbe uje visoku bezbednost, dok kriptografski mehanizam upit – odgovor pa predstavlja znaajnu barijeru za napadaa. Izbor zavisi od procene rizika. Me um, ak i sa visoko bezbednom implementacijom, tehnike A&A ne šte podatke, koji se izmenjuju izme u korisnika i internog RS, kada se veza jednom uspostavi. Zato treba ii korak dalje i implemenra zaštni protokol izme u krajnjeg korisnika i odgovarajueg terminala iza NAS. vo rešenje š poverljivost podataka i integritet same sesije. 158
O Š FOJ
Za web aplikacije, sa zahtevom za visoki stepen skalabilnos, razvijen je EAM (Extranet Access Management) programski paket koji obezbe uje servise A&A u ekstranet okruženju (što je suprotno udaljenom pristupu). 9.2.1.6. Smart kartice i kriptograski moduli Autenkacioni ureaji obezbe uju korisniku neki ziki idenkator, koji se zahteva za uspešan proces autenkacije. Veina poznah ure aja za autenkaciju spada u kategorije smart karca i biometrijskih ureaja i tokena. Za visoku bezbednost RM, u prvom redu, koriste se smart karce i kriptografski moduli za zaštu kriptografskih tajni. Sa aspekta zikih karakteriska, postoje tri glavne klase smart karca: kontaktne – zahtevaju ziki kontakt sa itaem karca, beskontaktne – kapacivno ili indukvno spregnute sa itaem karca i kombinovane karce – obezbe uju oba naina rada [24]. Iako su objavljene bezbednosne ranjivos smart karce (napadi diferencijalnom analizom i opkom indukcijom greške), smart karce se generalno smatraju bezbednim okruženjem za skladištenje kriptografskih kljueva i drugih poverljivih informacija korisnika. Na raspolaganju je veliki broj ure aja sa smart karcama pa bankarskih karca. U stvari, smart karna tehnologija u velikoj meri je doprinela razvoju koncepta elektronskog plaanja. Smart karce za skladištenje kriptografskih tajni korisnika, š pristup podacima sa zahtevom za unošenje personalnog idenkacionog broja – PIN (Personal Idencaon Number) ili nekog biometrijskog parametra (osak prsta, rene oka, šake itd.) za otkljuavanje interfejsa, ime se implemenra dvoslojna ili troslojna, jaka autenkacija, koja od korisnika zahteva višekratnu idenkaciju i verikaciju identeta. Korisnik nema pristup samom kljuu u smart karci i ne može ga otkri drugom licu, optužujui pri tome da je to uradio neko drugi. Postoje dva glavna pa smart karca – memorijske i mikroprocesorske (kriptokarce). Memorijske smart karce se koriste za skladištenje kljua, dok se kriptografske operacije izvršavaju izvan karce, u aplikaciji na host plaormi. Mikroprocesorske ili kriptokarce, bezbedno skladište klju i omoguavaju kriptografske operacije na samoj karci. Aplikacije interakvno rade sa kriptokarcom preko API (Applicaon Programming Interface). Denisano je i standardizovano nekoliko razliih interfejsa (PKCS#11, PCI, PC/ SC, OCF i CDSA), a izbor zavisi od izvora razvojnog modela. Za zaštu aplikacija bolje su kriptokarce, jer kljuevi nikada ne napuštaju bezbedno okruženje, ali pažnju treba obra kod implementacije rešenja – PIN ne sme prolazi kroz S, što zahteva postojanje eksternog PIN itaa (interfejsa). vaj princip ilustrovan je na Sl. 9.7. [74].
BO FOO
159
Sl. 9.7. Upotreba kriptokarce sa eksternim itaem karca Smart karce su dobar izbor za zaštu kriptografskih tajni korisnika, ali nisu pravi izbor za operacije na serverskoj strani, iako se esto koriste za skladištenje kljueva administratora za pristup zašenom serveru (gde je administrator u ulozi klijenta). Na serverskoj strani bolja opcija je skladištenje kljueva na tzv. HSM (Hardware Security/ Storage Module). U ovoj oblas važan standard je NIST IPS 140–1 i 2 koji pokriva ukupno jedanaest oblas dizajna i implementacije kriptografskih modula. Standard se koris za rangiranje bezbednosnih ure aja na eri bezbednosna nivoa zašte (1 – najmanji, 4 – najvei). Kriptografski moduli se rangiraju na osnovu serije zahteva za derivirane testove (DTR) [67]. Elektronsko poslovanje donosi prakno neogranien broj klijenata, što zahteva veu skalabilnost aplikacija i kriptografskih rešenja zašte. Za bolje performanse kriptografskih aplikacija koriste se kriptografski akceleratori – specijalizovani HSM, koji kombinuju bezbedno skladištenje kljueva sa jakom kriptozaštom. 9.2.1.7. Ostali autentifikacioni ureaji i protokoli Biometrika obuhvata tehnike provere oska prsta, geometrije ruke, mrežnjae i DNK, prepoznavanja govora, lica i facijalne termograje. Svi mehanizmi zašte pristupa RM/ RS uvek su kompromis izme u potrebe za zaštom i potrebe za komfornim pristupom regularnih korisnika. Biometrijski ure aji verikuju identet korisnika na bazi jednog ili više zikih atributa, jedinstvenih biometrijskih parametara. Kriterijumi za izbor biometrijskih tehnika mogu bi razlii, kao što su: performanse i pouzdanost, pogodnost za primenu, kompleksnost korisnike upotrebe, sposobnos korisnika, korisnika prihvatljivost, troškovi nabavke i dr. Iako se preporuuje biometrijska autenkacija korisnika, ovu primenu prate brojni problemi: visoka cena, korisnika neprihvatljivost, 160
O Š FOJ
visok stepen grešaka, nemogua autenkacija ureaja, neotpornost na napade (npr. osak prsta) i dr. Tokeni se dele na: ureaje za bezbedno skladištenje kriptografskih informacija i prirune ureaje za autenkaciju. Prvi su alternava smart karcama. Drugi su opremljeni sa malim displejom i tastaturom i generalno se ne moraju poveziva na radnu stanicu. Ure aj se konguriše sa autenkacionim serverom pre izdavanja prava pristupa korisniku, kada server i token razmene kriptografske tajne. Korisnik unosi lozinku ili PIN za pristup tokenu, koji na displeju prikaže autenkacione podatke potrebne za pristup autenkacionom serveru. ve podatke korisnik unosi u svoju radnu stanicu i komplera proces autenkacije. „Metod generisanja kljueva za komunikacionu sesiju šifrovanja i sistem autenkacije“, (patent US Br. 7.577.987, 2009), opisuje novi sistem upravljanja šifarskim kljuem, integrisan sa dvoslojnim autenkacionim protokolom. vaj sistem obezbe uje autenkaciju strana u vezi, u klijent–server arhitekturi, što omoguava bezbednu distribuciju tajne sesije – simetrinih, sluajnih šifarskih kljueva, generisanih u serveru i distribuiranih klijenma. Velika proliferacija B2B i B2C mreža e–trgovine, koje omoguavaju konekcije korisnika mobilnim ure ajima, laptop/desktop raunarima, ATM, P S terminalima, V IP, GPS i drugim ure ajima za procesiranje, zahteva poboljšanje infrastrukture zašte korisnika, posebno u oblas autenkacije i zašte podataka u prenosu. Upotreba PKI infrastrukture ima izvesna ogranienja za veliki broj korisnika, zbog složenos uvo enja tehnologije, troškova i administracije kljueva/serkata. va ogranienja, prevazilazi MEDIA protokol (US patent), korišenjem mehanizama za dvoslojnu uzajamnu autenkaciju i bezbednu sesiju za distribuciju sluajnog simetrinog kljua. Zaštu razmene kljueva u MEDIA protokolu obezbe uju algoritmi, zasnovani na sledee tri tehnologije, ugra ene u proizvod AuthGard: arhitektura za generisanje kljua koja koris algoritam TILSA – (Time Interplay Limited Session Random Key) – (US Patent No. 7.577.987), protokol za razmenu kljua koji koris TILSA algoritam i autenkacione parametre strana u komunikaciji sa iteravnim algoritmom za klju za šifrovanje/dešifrovanje – KEDIA (Key Encrypon/Decrypon Iterave Algorithm) – (US Patent No. 7.506.161) i tehnologija za konverziju kljua – KCA (Key Conversion Array), koja obezbe uje visok nivo zašte poruka preko nepoverljivih linija, korišenjem jednog od patenranih algoritama – Bit–Veil–Unveil (BitVU), Byte–Veil–Unveil (ByteVU) i Bit–Byte–Veil–Unveil (BBVU) – (US Patent No. 7.299.356).
BO FOO
161
9.2.2. Zaštita integriteta raunarske mreže 9.2.2.1. Skeneri ranjivosti raunarske mreže Skeneri zašte integriteta RM po konceptu su slini skenerima zašte RS, s m da se otkrivaju ranjivos RM. Na Sl. 9.8. prikazana je arhitektura pinog skenera za procenu ranjivos RS u mrežnom okruženju i RM.
a) b) Sl. 9.8. Tipian skener za procenu ranjivos RS – (a) i implementacija u RM – (b) [109] Najjednostavniji skener ranjivos RM samo mapira ure aje povezane u RM, koristei jednostavni probni ICMP (Internet Control Message Protocol) eho signal, poznat kao ping. Na Sl. 9.9. prikazan je rezultat pingovanja mrežnih ure aja u Nmap alatu (PingSweep).
Sl. 9.9. Rezultat pingovanja mrežnih ureaja u Nmap alatu (PingSweep) 162
O Š FOJ
Na višem nivou su jednostavni ala koji mogu mapira portove, pingujui individualne TCP ili UDP portove na detektovanim hostovima. vi ala mogu mapira mrežu i idenkova koji su mrežni servisi operavni. Komercijalni ala, iako koriste manje više iste tehnike, znatno su moniji, jer sadrže baze podataka sa poznam ranjivosma. Mrežni skeneri su bazirani na slinim principima, kao i host orijensani (Sl. 9.10), tj. upore uju aktuelnu konguraciju RM i hostova sa predenisanom referentnom konguracijom i izveštavaju o otkrivenim razlikama. Generalno, skeneri RM obezbe uju više vrsta informacija, ali sa manje detalja od skenera RS. Arhitektura skenera ranjivos RM ukljuuje modul za skeniranje, bazu podataka sa denicijama poznah ranjivos, modul za generisanje i prezentaciju izveštaja i korisniki interfejs. Modul za skeniranje implemenra poliku zašte, koja omoguava prilago avanje procesa skeniranja zahtevima okruženja, skenira RM, otkriva i poredi tekue ranjivos sa poznam iz baze podataka i daje podatke na izlazu. Rezulta se prikazuju preko korisnikog interfejsa za izveštavanje.
Sl. 9.10. Skeneri ranjivos raunarskih mreža Efekvnost skenera RM zavisi od slinih faktora kao i skeneri RS: ažurnos baza podataka poznah ranjivos; lokacije skenera u topologiji RM u odnosu na ure aje, koji mogu blokira mrežni saobraaj (barijere, rutere...), što se mora pažljivo planira; adekvatnos polike skeniranja i ekasnos procesa korekcije, koji sledi po otkrivanju ranjivos. Poslednji faktor je najvažniji, jer bez otklanjanja uzroka ranjivos RM proces skeniranja nije završen. Za procenu ranjivos RM koriste se brojni ala. Na Sl. 9.11a i b prikazani su primer izveštaja o analizi ranjivos u lokalnoj mreži primenom alata Rena– Network Security Scanner (eEye Digital Security, www.eEye.com). BO FOO
163
a)
b) Sl. 9.11. Rezulta analize ranjivos – (a) i povi izveštaja – (b) u Rena alatu
Analiar zašte ili menadžer, na osnovu ovih rezultata, mogu brzo proceni podložnost poznam bezbednosnim ranjivosma. Na Sl. 9.11a prikazano je 334 ranjivos na 28 mašina, od kojih se 194 smatra visoko rizinim. Na Sl. 9.11b ranjivos su prikazane prema stepenu rizika, procentu zastupljenos i srednjoj matemakoj vrednos broja ranjivos po kategoriji rizika i hostu. Na Sl. 9.12 prikazane su glavne ranjivos RM u 2006. godini, otkrivene alatom Rena–Network Security Scanner [60].
Sl. 9.12. Glavne ranjivos RM (2006) [60]
164
O Š FOJ
d 1995. do 1999. godine, javno je objavljeno samo 1.506 ranjivos, a samo u 2000. – 1.090. Koristei podatak iz 2000. godine kao osnovu od kojih su mereni relavni nivoi porasta ranjivos, od 2005. godine zabeležen je porast od preko 500 ranjivos godišnje (Sl. 9.13).
Sl. 9.13. Linearna aproksimacija rasta ranjivos od 2000–2006 [60] Na Sl. 9.13. prikazane su otkrivene ranjivos u periodu od 2000. do 2006. godine, sa linearnom aproksimacijom rasta prema jednaini: y=805,6x + 716,6 gde je: y– procenjeni broj ranjivos za datu godinu, x– procenjeni vremenski period (npr. 2000=1, 2001=2, 2006=7), 805,6 – nagib i 716,6 – y–intercept.
Na bazi ovog trenda procenjen je rast ranjivos za 2006. i 2007. godini na 6.353 i 7.158, respekvno. 9.2.2.2. Skeneri teleonskih veza Skeneri telefonskih veza su komercijalni razvoj hakerskih alata tzv. war dialing programa, koji se koriste za idenkovanje potencijalnih ranjivos sistema preko telefonske linije. Konceptualno su sasvim slini skenerima ranjivos RM; biraju seriju telefonskih brojeva, vrše odre eni broj bezbednosnih provera, izveštavaju o rezultama i na taj nain prave bezbednosnu mapu telefonskog sistema organizacije, dok skeneri ranjivos RM mapiranjem IP adresa prave mapu ure aja lokalne mreže. Detektuju ranjive puteve BO FOO
165
u RM, koji su pristupani sa javne telefonske mreže i nepoznate modeme u LAN-u. Kombinuju tehnike pingovanja i prompts za izveštavanje o ranjivosma S (npr. slaba lozinka) i na nivou aplikacija (npr. udaljeni pristup bez lozinke). U veini sluajeva poseduju jednostavan GUI i proizvode nekoliko razliih pova kastomizovanih izveštaja. 9.2.3. Mehanizmi za detekciju i spreavanje upada u mrežu Mrežni sistemi za detekciju (NIDS) i spreavanje upada (NIPS) – NIDPS, u veini sluajeva rade na 2. sloju SI modela. Programska rešenja u NIDPS stavljaju mrežnu karcu (NIC) u promiskuitetni režim rada, privilegovanu operaciju na veini NIDPS sistema, koja daje pristup mrežnom saobraaju u realnom vremenu. Na slian nain rade i analizatori mreže i sniferski programi. NIDPS sistemi su komplementarni HIDPS sistemima po mogunos prijema i analize informacija, ali ne i po protokolima koji nisu na raspolaganju HIDPS sistemu. Pošto rade na mrežnom sloju, NIDPS detektuju sisteme nezavisno od S i omoguavaju zaštu velikog opsega krajnjih plaormi. Mogunos aplikacije NIDPS sistema u RM prikazana je na Sl. 9.14., a prednos instalacije NIDPS na razliim lokacijama u RM date su u Tabeli 9.4. [2, 87].
Sl. 9.14. Mogunos primene NIDPS sistema u RM [87] Tabela 9.4. Zbirne prednos instalacija NIDS na razliim lokacijama u RM Lokacija
Prednost Vidi napade sa Interneta koji probijaju odbranu spoljnog perimetra RM.
1. DMZ
Isu probleme sa polikom, ili funkcionisanjem mrežne barijere. Vidi napade na web, ili FTP server, koji su obino smešteni u DMZ.
2. Izvan barijere
166
Dokumentuje broj napada koji pou sa Interneta, a poga aju RM. Dokumentuje pove napada koji pou sa Interneta, a poga aju RM.
O Š FOJ
Lokacija
Prednost
3. Na RM sabirnici
Monitoriše mrežni saobraaj i poveava mogunost detekcije napada.
4. Na krinoj submreži
Detektuje napade usmerene na krine IKTS i krine objekte IKTS.
Detektuje neovlašene akvnos legalnih korisnika iz RM organizacije.
Usmerava ogranien resurs zašte na najvrednije mrežne objekte.
Na Sl. 9.15. prikazane su blok šeme centralizovanog (a) i distribuiranog (b) upravljanja NIDPS sistemom.
a) b) Sl. 9.15. Upravljanje NIDPS sistemima: centralizovano – (a) i distribuirano – (b) [87] Zbog slinos naina rada sa barijerom, NIDPS imaju i nekoliko slinih ogranienja. Barijera treba da razume i prepozna protokol da bi donela odluku o pristupu na bazi informacija koje sadrži, a NIDPS program ne može detektova anomalije protokola bez takvog razumevanje. igledno, ni barijere ni NIDPS sistemi ne mogu interprera podatke. Svaka arhitektura sistema zašte koja kombinuje barijere, kriptozaštu i NIDPS, treba da uzme u obzir ovo ogranienje [89]. NIDPS program može igra važnu ulogu u upravljanju malicioznim kodovima, tako što se može kongurisa da prepozna odre ene potpise i preduzme neke predenisane akcije, posebno u periodu izme u inicijalnog napada i raspoloživos prve denicije malicioznog kôda. NIDPS program, tako e, može bi kongurisan da spreava prolaz inciranih objekata izvan organizacije, što je koristan mehanizam za spreavanje širenja malicioznih programa na druge hostove izvan organizacije. dgovor NIDPS sistema može bi idenkacija i logovanje doga aja, neka akvna provmera ili kombinacija ove dve. Pasivna tehnika upozoravanja ukljuuje izveštavanje o problemu na ekranu monitora, generisanje SNMP (Simple Network Management Protocol) alarma, akviranje mobilnog telefona i sl. Akvne mere zašte treba pažljivo implemenra, pošto mogu izazva prekid servisa posebno u sluaju lažnih poziva, jer ukidaju konekcije u interakciji sa barijerom.
BO FOO
167
9.2.4. Inrastrukturni mehanizmi za zaštitu raunarske mreže 9.2.4.1. Inrastruktura sa javnim kljuem (PKI) PKI je koherentna implementacija T, i U kontrola zašte, koja omoguava stranama u transakciji poverenje u povezanost Pk i njegovog vlasnika, što garantuje CA. Mera u kojoj se korisnik može osloni na ovu povezanost zavisi od kvaliteta procesa sa kojim CA izdaje DS i verikuje identet korisnika serkata. Generalno, PKI ništa ne govori o poverenju korisnika u DS. Iako se bezbednosnom proverom, pre izdavanja serkata, može obezbedi neki nivo poverenja izme u korisnika, ova praksa nije obavezna za CA. Da bi korisnici imali poverenje u DS, CA opisuje praksu i procese, koje koris za izvršavanje dnevnih poslova u Izjavi o praksi serkacije – CPS (Cercate Pracce Statement). Pravila i ogranienja korišenja svakog posebnog pa DS denisana su u dokumentu Polika serkacije – CP (Cercate Policy). U ovoj oblas postoji dosta zrelih standarda i uputstava, ali nažalost svi nisu koherentni [5, 58, 74]. Osnovni moduli PKI sistema za veinu implementacija ukljuuje CA, Telo za registraciju – RA (Registraon Authority) i Imenik (Directory). Termin CA se koris istovremeno za opis enteta, koji upravlja i administrira PKI sistem i komponente zašte za izdavanje i upravljanje DS. Korektna interpretacija je obino evidentna iz konteksta. PKI sistem može implemenra i dodatne module, kao što su hardversko soverski modul (HSM), smart karce i tokeni, kriptografski akceleratori za ubrzavanje performansi, OCSP (Online Cercaon Status Protocol) responder za verikaciju statusnih informacija o DS u realnom vremenu, programi za validaciju transakcija i drugi programi za podršku. Glavni PKI moduli u interakvnom radu prikazani su na Sl. 9.16.
Sl. 9.16. Kljuni moduli PKI sistema
168
O Š FOJ
U imeniku, pa X500 ili LDAP (Lighweight Directory Access Protocol) servera, uvaju se statusne informacije o akvnim i opozvanim DS. Aplikacije razvijene za PKI sistem koriste jednostavan LDAP protokol, za pristup Imeniku i izvlaenje informacija o DS. Detaljniji opis funkcionalnos CA i RA dat je u Tabeli 9.5. Tabela 9.5. unkcionalnos CA i RA Prihvata potvr ene zahteve za generisanje i povlaenje DS od RA i operatera CA – CA (Cercaon Authority Operator) i isporuuje DS i potvrdne poruke. U skladu sa polikom, dostavlja krajnjim korisnicima par javnih i privatnih kljueva za šifrovanje/ dešifrovanje koji su oznaeni da se arhiviraju u bazi kljueva. Digitalno potpisuje serkate krajnjih korisnika i serkate podre enih CA, kao i drugih CA, u sluaju unakrsne serkacije (cross–cercaon). Digitalno potpisuje sve informacije objavljene u lis za opoziv serkata – CRL (Cercate Revocaon List) i opoziv drugih CA – ARL (Authority Revocaon List.).
CA
Digitalno Potpisuje sve poruke koje CA šalje i koje se razmenjuju preko CA u PKCS#7 formatu. Verikuje sve poruke koje dobije u cilju provere autennos i zašte integriteta. Digitalno potpisuje sve relevantne podatke, informacije i log datoteke, arhivirane u bazi podataka CA; svaki ulazak u bazu poseduje odgovarajui jedinstveni broj. pciono publikuje DS, CRL i ARL na LDAP ili X.500 direktorijumu, kao i na HD. pciono može publikova CRL i na CSP (Online Cercaon Status) serveru. Generiše svoj par kljueva za asimetrini kriptografski algoritam i za CA . pciono proverava da li svi izda serka imaju jedinstveni Dname i javni klju. Zahteve za izdavanjem ili povlaenjem DS, koje RA potvrdi, prosle uje do CA; prima DS i potvrdne poruke od CA i prosle uje do RA . Prosle uje web zahteve za izdavanjem ili povlaenjem DS (preko gateway–a) do RA i dostavlja serkate i informacione poruke nazad gateway–u. Digitaln Potpisuje sve poruke koje šalje RA. Procesira sve dobijene, digitalno potpisane poruke – verikuje DP, autennos potpisnika i integritet sadržaja poruke. Sve poruke koje se razmenjuju preko RA šifruje u PKCS#7 formatu. Sve podatke i log datoteke digitalno potpisuje i arhivira u bazi podataka RA; svaki ulazni slog ima jedinstveni broj procesiranja.
RA
Autenkuje mreže krajnjih korisnika u sluaju udaljene registracije preko web–a. Vrši inicijalizaciju i distribuciju hardverskih ure aja (smart karca, tokena, HSM). Generiše i upravlja kljuevima, kontroliše registrovane izmene. Izveštava o akvnosma registrovanja i opoziva serkata. d RA ili preko web–a prihvata zahteve za registraciju, izdavanje i/ili opoziv DS. Verikuje ove informacije i dodatno proverava identet – posedovanje Pk. Prihvata ili odbija zahteve; DS ili informacije o opozivu DS prosle uje CA–u na potpisi; ako je zahtev odbijen obaveštava korisnika. Registruje u repozitorijumu izda serkat i prosle uje korisniku kopiju, koju potpiše CA; objavljuje informacije o opozivu serkata po planu.
BO FOO
169
Generalno, arhitektura složenog PKI sistema može ima hijerarhijsku, rešetkastu i tranzicionu (bridge) strukturu organizacije CA. Hijerarhijska struktura PKI podrazumeva razvoj i implementaciju rut CA, koje je stub poverenja ove infrastrukture. bino je na nacionalnom nivou, ima samo-potpisani DS, strogo uva Tk, a Pk objavljuje u više raspoloživih baza, da bi obezbedio nekoliko referentnih i redundantnih izvora. Izdaje i potpisuje DS, uslovljava tehnologiju, metode rada i poliku drugih CA, koji u svojim domenima zašte potpisuju DS korisnika ili nižih CA, u višeslojnoj hijerarhijskoj strukturi. Podre eni CA ne izdaje DS rut serkacionom telu. Rut CA ograniava dubinu hijerarhije, što je i osnovni nedostatak ove arhitekture. Dubina hijerarhije deniše koliko nižih CA može bi formirano ispod rut CA, što postaje suviše kompleksno za velike PKI sisteme. Bezbednost hijerarhijske strukture u celini zavisi od tajnos Tk rut CA. Rut CA ne mora nužno bi na vrhu hijerarhijske arhitekture PKI, ali mu svi korisnici veruju. Serkacioni put je jednosmeran i poinje sa Pk rut CA nadole. Glavne prednos su jednostavna struktura, jednosmeran put poverenja i centralno upravljanje. DS je manji i jednostavniji, a struktura skalabilna – rut CA iz PKI1 može se poveza sa rut CA iz PKI2 ili podre enim CA iz PKI2. Serkacioni put se lako se razvija i relavno je kratak – najduži put = dubini stabla + 1. Korisnici iz sadržaja DS implicitno znaju za koje se aplikacije DS može koris. Glavni nedostatak je oslanjanje na jednu taku poverljivos – Tk rut CA i ako do e do kompromitacije ugrožena je cela PKI struktura. Ne postoji neposredna procedura tehnikog oporavka. Tako e, sporazum nekih korisnika samo sa jednim rut CA može bi poliki onemoguen, tranzicija od seta izolovanih CA logiski neprakna i teže upravljanje za vee PKI sisteme. Rešetkasta struktura direktno povezuje pojedinana CA i sva CA su poverljive take. CA razmenjuju serkate jedni sa drugima (unakrsna serkacija), pa je put poverljivos dvosmeran. ve serkate izdaje jedno CA koje poseduje privatni klju (Tk), a Pk se prosle uje svim CA u mreži. Unakrsnim DS veruju svi CA u mreži. Glavne prednos su uzajamna distribucija poverenja na sve CA, direktna povezanost pojedinanih CA i dvosmeran put poverenja. Glavni nedostaci su visoki troškovi uspostavljanja i uslovljenost poverenja, gde neko CA može ogranii poverenje, specikacijom u DS. Zato je izgradnja puta poverenja neodre ena, a serkacioni put kompleksniji. Maksimalna dužina serkacionog puta je broj CA u mreži. U sluaju kompromitacije, oporavak je teži i kompleksniji, jer postoji mogunost stvaranja beskonane petlje DS. Aplikacija DS se odre uje na bazi sadržaja, a ne lokacije CA u PKI strukturi. va arhitektura zahteva vee i kompleksnije serkate i kompleksnije procesiranje serkacionog puta. Generalno, glavni kriterijumi za uspostavljanje PKI sistema na nacionalnom nivou su integrisanje postojeih arhitektura bez bitnih modikacija ish, uspostavljanje najlakšeg puta za scanje poverenja u digitalno potpisane poruke i zahtev za globalnom interoperabilnos nacionalnih PKI sistema. Za globalnu konguraciju PKI sistema prva dva modela ne odgovaraju, zbog relavne izolovanos, kompleksnos i teškoe denisanja rut CA u hijerarhijskoj arhitekturi i visoke kompleksnos mrežne arhitekture za složene PKI sisteme na nacionalnom nivou.
170
O Š FOJ
Tranzicione arhitektura – BCA (Brige CA) je krian faktor uspeha za inter-operabilnost nacionalnih PKI na globalnom nivou. U sušni BCA je, za druge PKI arhitekture, rešetkasta arhitektura sa habom ili hijerarhijska arhitektura sa spoljnom vezom. BCA ne izdaje DS direktno korisnicima i u tom smislu nije poverljivi entet za korisnike PKI. BCA je !eksibilan mehanizam, koji povezuje razliite PKI arhitekture. Poverenje se prenosi prema modelu zvezde gde je nacionalni BCA centar poverenja. Korisnici koriste svoje vlaste i samopotpisane CA kao osnovne take poverenja, umesto manje poznatog rut CA. Dakle, poverenje se gradi sa vlasm CA kroz BCA, koje može da izdaje DS (“a la rut CA”) glavnim CA (principalima) ili listu poverljivih CA, umesto DS.
Primer 1: EU BridgeCA, Nemaka banka, Telekom i TeleTrust BCA izdaju DS glavnim CA, koji su potpisani sa Pk BCA, objavljenim na sajtu BCA. Korisnici pino znaju put do BCA i treba da odrede put od BCA do drugih korisnika DS. Dužina serkacionog puta duplo je vea od hijerarhijskog, ali decentralizovana struktura BCA mnogo preciznije modeluje realne odnose organizacija. Primer 2: BCA ne izdaje DS nego listu poverljivih CA (TL), potpisanu sa Pk BCA, sa informacijama o njihovom statusu (objavljen je italijanski standard ETSI TS102 231 za harmonizaciju statusnih informacija o CA). U tom sluaju korisnici mogu sami odlui kojem e CA sa liste ukaza poverenje.
Glavne prednos BCA arhitekture su lakši oporavak puta poverenja nego u mrežnoj, a teži nego u hijerarhijskoj arhitekturi i što krajnji korisnici mogu koris postojee DS (do opoziva) i nemaju promena konguracije sistema. Glavni nedostaci su što korisnici BCA serkata sami moraju uspostavi hardversko-soversku infrastrukturu za BCA serkate i poslovne procese, uves u upotrebu DS i obui korisnike. BCA koji izdaje CA, ne daje detaljnije informacije o statusu CA, što rešava modikovani BCA sa listom poverljivih CA. Na Sl. 9.17. prikazan je funkcionalni model globalne arhitekture interoperabilnih, nacionalnih PKI sistema.
Sl. 9.17. Model globalne arhitekture PKI sistema BO FOO
171
Zašta integriteta u mrežnom okruženju ukljuuje zaštu integriteta podataka i sesije komunikacije. Koncept integriteta podataka je razumljiv – obezbedi da podaci sgnu na odredište neizmenjeni. Integritet podataka šte protokoli, tehnikom uzimanja sažetka podataka (heša ili message digest –MD). Heš je jednosmerna matemaka funkcija, koja se lako rauna u jednom, a teško ili prakno nikako u inverznom smeru. Heš algoritam od jedinice podataka promenljive veliine stvara sažetak podataka, ija je vrednost ksne veliine; daje istu heš vrednost na osnovu ish ulaznih podataka, odnosno, dve razliite ulazne veliine nikada nemaju istu heš vrednost. Heš podaci se mogu poredi sa oskom prsta neke osobe. sak prsta je jedinstven za tu osobu i relavno ksne veliine, ali ni približno nije velik kao ta osoba. Heš je jedinstven idenkator, koji je prakno nemogue dobi sa drugaijim ulaznim podacima, a deo je svih podataka koje predstavlja. Uobiajeni heš algoritmi koji se najviše koriste su: MD4 – izraunava 128-bitni heš, vrlo je brz i srednje snage [5]; MD5 – 128-bitni heš, brz, bezbedniji od MD4, široko primenjen; SHA–1 (Secure Hash Algorithm)–160–bitni heš, sporiji od MD5, standardan u federalnom IKTS vlade SAD i SHA–256, SHA–384, SHA–512, SHA–1024 i SHA 2048 (u razvoju) [25]. Pošiljalac poruke pravi heš poruke sa odre enim kljuem, koji se naziva kôd za proveru autennos poruke – MAC (Massage Authencaon Code), a primalac verikuje heš vrednost sa ism kljuem. Ako se dobije ista vrednost heša, poruka je nepromenjena. Integritet sesije obezbe uje zaštu komunikacione sesije od bilo koje izmene. Tehnike zašte su obino zasnovane na ukljuivanju brojeva sekvenci ili vremenskog peata u zašenoj poruci. Koriste se asimetrini algoritmi u kombinaciji sa heš funkcijama i digitalnim potpisom. Digitalni potpis pošiljalac pravi hešovanjem teksta poruke i šifrovanjem te vrednos sa Pk primaoca. Primalac dešifruje šifrovanu heš vrednost poruke sa svojim Tk i verikuje heš vrednost sa MAC. Ako se dobije ista vrednost heša, sesija je nepromenjena. Servis neporicanja spreava uesnike u transakciji da kasnije poriu izvršene akcije. Mnogo je teže sprei primaoca poruke da porekne prijem poruke, nego pošiljaoca da porekne da je poruku poslao. Da bi dokazao da je pošiljalac poslao odre enu poruku, primalac mora zahteva da pošiljalac sistematski digitalno potpisuje poruke pre slanja. Ako pošiljalac kasnije pokuša da porekne slanje poruke, primalac jednostavno proizvede i verikuje digitalno potpisanu poruku kao neporeciv dokaz da je pošiljalac zaista poslao odre enu poruku. Ako pošiljalac želi dokaz da je primalac primio odre enu poruku, mora zahteva da primalac sistematski generiše potvrde o prijemu za svaku poslatu poruku i da je digitalno potpisuje. Ako primalac kasnije pokuša porei da je primio poruku, pošiljalac proizvede i verikuje digitalno potpisanu potvrdu o prijemu. Treba zapazi da je ovde bitno razlikova itanje poruke od prijema poruke. Zašta poverljivos mrežnih podataka i informacija posže se korišenjem PKI sistema za razmenu simetrinog kljua za šifrovanje, koji se esto naziva sesijski klju. Postoje dve osnovne tehnike za sporazumevanje o sesijskom kljuu: korišenje pro-
172
O Š FOJ
tokola za uspostavljanje kljua (npr. Die –Hellman) i generisanje simetrinog kljua, šifrovanje sa Pk udaljenog korisnika i transfer asimetrinim PKI sistemom [5]. Kombinuju se prednos asimetrinih i simetrinih algoritama. Asimetrini algoritmi se koriste za distribuciju simetrinog kljua, a simetrini - za šifrovanje. Za zaštu komunikacije dve poverljive RM kroz nepoverljivi Internet, koriste se virtuelne privatne mreže – VPN (Virtual Private Networks). VPN veze su šifrovane upotrebom IPsec protokola zašte i mogu se koris na privatnim i javnim mrežama. VPN vezu prave dva VPN servera ili VPN klijent i VPN server. Da bi realizovali šifrovanu vezu, dva ure aja koriste dogovoreni metod šifrovanja. Ako VPN implemenraju dva servera, omda se šifruje komunikacija izme u dve take [26]. 9.2.4.2. IPSec protokol Distribuirani IKTS se š od spoljnih napada, upotrebom mehanizama zašte komunikacione opreme, mrežnih barijera, NOSSS zašte na mrežnom nivou i zike zašte pristupa ruterima i serverima. Zaštu na mrežnom nivou obezbe uju mehanizmi za autenkaciju i zaštu integriteta i tajnos IP paketa izme u mrežnih vorova. Autenkacija i zašta integriteta IP paketa, naješe se realizuje primenom kriptografskih kompresionih funkcija, upotrebom tajnog kljua – MAC, heš funkcija i DS, dok se zašta tajnos ostvaruje primenom simetrinih algoritama. Najpoznaji protokol zašte na mrežnom nivou je IPSec protokol (Internet Protocol Security) [26]. Veina RM, ukljuujui i Internet, za komunikaciju koris TCP/IP skup protokola. TCP protokol je zadužen za prenos podataka, a IP – za usmeravanje paketa podataka kroz mrežu, od izvorišta do odredišta. IP skup protokola pokazuje dobra komunikacijska svojstva, skalabilnost, prilagodljivost i otvorenost prema razliim arhitekturama i mrežnoj opremi, ali ne obezbe uje CIA prenošenih podataka. Prenos osetljivih podataka u IP mrežama potrebno je obezbedi na transportnom i aplikavnom nivou. Primer bezbednosnog mehanizma, koji deluje izme u aplikavnog i transportnog sloja je SSL protokol. Problem je, što postoji veliki broj razliih protokola sa aplikavnog nivoa, za koje je potrebno posebno razvija mehanizme zašte. IPSec protokol je nastao kao rezultat inicijave da se razvije jedinstveni bezbednosni mehanizam za zašeni prenos podataka u IP mrežama. Razvila ga je grupa IET (Internet Engineering Task Force), kao proširenje osnovnog IP protokola. IPSec protokol je deo mrežnog sloja, iji je zadatak prikupljanje podataka o stanju mreže i usmeravanje paketa podataka izme u mrežnih vorova. Mrežni sloj koris funkcionalnos zikog i sloja veze podataka, dok za usmeravanje paketa koris vlastu logiku. U IP mrežama ovaj sloj se naziva IP sloj, a usmeravanje paketa kroz mrežu se obavlja prema IP protokolu. Znaajno svojstvo IP mreža je potpuna homogenost mrežnog, odnosno IP sloja, dok u ostalim slojevima postoji odre en stepen raznovrsnos. IP sloj koris jedinstveni IP protokol. Svojstvo homogenos IP sloja bitno pojednostavljuje uvo enje jedinstvenog bezbednosnog
BO FOO
173
mehanizma u IP mreži. Zaštom komunikacije na nivou IP protokola š se celokupna mrežna komunikacija. Protokol za zaštu komunikacije u mrežnom, odnosno IP sloju, naziva se IPSec protokol. IPSec protokol zadržava kompabilnost s postojeim IP protokolom, što omoguava transparentnost mrežne opreme, zasnovane na IP protokolu, odnosno, samo dva krajnja uesnika u komunikaciji, moraju ima podršku za komunikaciju IPSec protokolom, dok mrežna vorišta i ruteri ne moraju ima ovu podršku. iziki sloj i sloj veze podataka koriste Ethernet zaglavlje i Ethernet zaštu. Za pravilan rad mrežnog sloja i IP protokola bitno je IP zaglavlje, u kojem su, izme u ostalog, upisane izvorišna i odredišna adresa IP paketa, koje su potrebne za usmeravanje paketa kroz mrežu. stali delovi TCP/IP paketa, pripadaju višim slojevima i za IP sloj predstavljaju obine podatke koje je potrebno prene kroz mrežu. Da bi se zadržala kompabilnost IPSec sa IP protokolom, potrebno je, da u strukturi IPSec paketa podataka, ostane ouvano IP zaglavlje. IPSec protokol stoga obavlja kriptografske akcije nad zaglavljima i podacima viših slojeva. Polje sa IPSec zaglavljem i podacima ukljuuje, u šifrovanom obliku, TCP zaglavlje, kao i sva ostala zaglavlja i podatke viših slojeva. Na Sl. 9.18. prikazana je kompabilnost IP i IPSec protokola za komunikaciju preko Ethernet mreža.
a)
b) Sl. 9.18. Struktura paketa podataka za prenos putem Ethernet mreža: IP – (a) i IPSec – (b) Za zaštu poverljivos, integriteta, autennos i neporecivos prenošenih podataka, IPSec koris tri potprotokola, koja se razlikuju po vrs IPSec zaglavlja i podataka i to: zaglavlje za autenkaciju, enkapsulirani šifrovani podaci i zaglavlje za razmenu kljueva. Zaglavlje za autenkaciju – AH (Authencaon Header) koris se za proveru identeta pošiljaoca podataka i otkrivanje narušavanja integriteta podataka tokom prenosa kroz mrežu (Sl. 9.19).
Sl. 9.19. Struktura IPSec paketa podataka uz korišenje AH potprotokola u Ethernet mreži
174
O Š FOJ
Izvodi se metodom digitalnog potpisivanja podataka. vo zaglavlje ne uva tajnost podataka i koris se samo u sluajevima kada je bitna autennost i integritet podataka. Potprotokol za autenkaciju može bi primenjen kao samostalni potprotokol IPSec protokola ili u sprezi sa ESP potprotokolom. Samostalni AH potprotokol osigurava autennost i integritet prenošenih podataka, dok sprega AH i ESP potprotokola osigurava autennost, integritet i tajnost prenošenih podataka. Razlika izme u AH potprotokola i polja podataka za autenkaciju kod ESP potprotokola je u tome što AH potprotokol, osim ESP polja ili TCP paketa, ako se ne koris ESP, digitalno potpisuje i IP zaglavlje. Da bi se uvek osigurao minimalni nivo autenkacije, predloženo je da sve verzije AH potprotokola za digitalno potpisivanje podataka koriste MD5, SHA1, SHA2 i druge algoritme. Enkapsulirani šifrovani podaci – ESP (Encapsulang Security Payload) IPSec paketa, koriste se kada je bitnije ouva tajnost prenošenih podataka (Sl. 9.20).
Sl. 9.20. Struktura IPSec paketa uz korišenje ESP potprotokola u Ethernet mrežama Za stvaranje ESP polja podataka koriste se simetrina kriptograja, u sprezi s metodom digitalnog potpisa podataka. ESP potprotokol uva tajnost podataka, primenom nekog simetrinog kriptografskog algoritma na sadržaj IP paketa. Za minimalni nivo zašte predložen je standardni 56–bitni DES algoritam. Sastavni delovi ESP polja su indeks bezbednosnih parametara – SPI (Security Parameter Index), redni broj paketa, korisni podaci, dopuna do punog bloka, veliina dopune do punog bloka i oznaka protokola, koji sledi nakon ESP polja. SPI je 32–bitni jednoznani broj, kojim su odre eni kriptografski algoritmi, kljuevi, trajanje kljueva i ostali bezbednosni parametri, korišeni u komunikaciji. Primalac ga koris da dešifruje podatke sa ism parametrima, kojim su i šifrovani. Redni broj paketa, uveava broja paketa za jedan, prilikom svakog slanja paketa na istu odredištu adresu, uz korišenje istog SPI. Koris se da bi se pake na odredištu mogli pravilno pore a, kao i za spreavanje napada ponavljanjem ish paketa. Korisni podaci su stvarna korisna informacija, koja se prenosi mrežom. Dopuna do punog bloka (Padding) je koliina od 0 – 255 bajtova, koji se dodaju, da bi se blok korisnih podataka dopunio do veliine punog bloka, koju koris kriptografski algoritam. Veliina dopune do punog bloka (Pad Length) sadrži podatak o broju bajtova, koji su doda za dopunjavanje korisnih podataka do punog bloka. znakom protokola, koji sledi nakon ESP polja (Next Header), naznaava se prisustvo podataka za autenkaciju na kraju ESP polja. Podaci za autenkaciju nisu obavezni deo ESP polja i mogu se izostavi. znaka protokola oznaava da li su podaci za autenkaciju sastavni deo ESP polja. Prva dva dela u ESP polju, SPI i redni broj paketa,
BO FOO
175
kroz mrežu se prenose u otvorenom obliku, jer su potrebni primaocu, pre nego što obavi dešifrovanje, a ostali delovi se šifruju. Nakon oznake protokola, može se nalazi polje sa podacima za autenkaciju, odnosno, digitalni potpis korisnih podataka, ija dužina zavisi od korišenog algoritma. Digitalno se potpisuju svi prethodno navedeni delovi ESP polja, ukljuujui i SPI i redni broj paketa. ESP polje se digitalno potpisuje sa MD5, SHA–1 ili SHA–2 algoritmom, nakon što se korisni podaci šifruju. Zaglavlje za razmenu kljueva – IKE (Internet Key Exchange) koris se u potprotokolu za razmenu kljueva, a služi za dogovaranje bezbedonosnih parametara IPSec komunikacije i razmenu simetrinih kljueva. IKE se prilago ava uspostavljanju metoda autenkacije, kriptografskih algoritama i dužine kljueva, kao i nainu razmenu kljueva izme u uesnika komunikacije. Za dogovaranje parametara bezbedne komunikacije, IKE potprotokol uvodi koncept bezbednosne asocijacije – SA (Security Associaon), predstavljene SPI indeksom. SA objedinjuje sve podatke, potrebne uesnicima za komunikaciju IPSec protokolom; deniše vrstu i nain rada algoritma za digitalno potpisivanje podataka i korišenih kljueva; deniše vrstu i nain rada kriptografskog algoritma za šifrovanje podataka ESP potprotokola; deniše sprovo enje ili izostavljanje postupka sinhronizacije kod kriptografskih algoritama, parametre sinhronizacije, protokol za utvr ivanje autennos podataka (AH ili ESP), životni vek i uestalost promene kljueva, životni vek i izvorišne adrese SA i stepen osetljivos prenošenih podataka. SA se može smatra vrstom sigurnog komunikacijskog kanala kroz rizino mrežno okruženje, izme u uesnika koji komuniciraju IPSec protokolom. Servisi i mehanizmi mrežne zašte zbirno su prikazani u Tabeli 9.6. Tabela 9.6. Servisi i mehanizmi mrežne zašte Mehanizam Kz
DS
Aut. enteta
x
x
Aut. izvora podataka
x
x
AC
Servis
AC
Integritet podataka
Aut.
Pading saobraaja
Kontrola saobraaja
Notorizacija
x
x
Pov. podataka
x
Pov. toka saobraaja
x
Integritet podataka
x
Neporecivost Raspoloživost
x x x
x
x
x x
x
x x
Legenda: Aut. – autenkacija; AC – kontrola pristupa; Pov. – poverljivost; Kz – šifrovanje; DS – digitalni potpis; Pading saobra aja – ubacivanje bita u prazne prostore niza podataka radi otežavanja prisluškivanja; Notorizacija – korišenje poverljivog provajdera – TTP (Trusted Third Party) za obezbe ivanje odre enih svojstava razmene podataka.
176
O Š FOJ
9.2.5. Bezbednost bežinih lokalnih mreža Svi povi bežinih lokalnih mreža – WLAN (Wireless LAN) sa razliim brzinama prenosa imaju iste osnovne bezbednosne probleme – koriste radio frekvencije za prenos informacija, koje se lako mogu kompromitova (Tabela 9.7). Tabela 9.7. Standardni povi bežinih mreža Standard
rekvencija
snovna/Realna propusna mo
Kompatabilnost sa 802.11b
Godina primene
Domet In/ ut (m)
802.11a
5Ghz
54 /25 Mbps
Ne
2002
35/120
802.11b
2.4Ghz
11/5 Mbps
Da
1999
38/140
802.11g
2.4Ghz
54/1 Mbps
Da
2003
75/400
802.11i
2.4Ghz
54/1 Mbps
Da
2004
100/400
802.11e
2.4Ghz
144/35 Mbps (mobilni pristup)
Ne
2005
100/400
802.16n
5Ghz
600/288,9 Mbps (mobilni pristup)
Ne
2010
70/250
Bežini LAN (WLAN) je Ethernet LAN bez kablovske infrastrukture. Lako se implemenra, štedi mrežnu infrastrukturu i ima najveu praknu primenu od svih bežinih mreža. Bežina tehnologija je izgra ena na bazi IEEE 802.11b standarda u SAD [7, 14, 36, 57] i GSM (Groupe Spécial Mobile) standarda u EU. Prema WLAN standardu IEEE 802.11b, informacije se prenose sa WEP protokolom (Wireless Equivalent Protocol) za zaštu CIA informacija, slino prenosu zikim putevima. WEP protokol radi na zikom i sloju veze podataka SI modela, a zasniva se na šifrovanju podataka izme u krajnjih taaka. Me um, od 2001. godine hakeri uspešno krekuju i modikuju WEP poruke na WLAN mrežama na više naina, zbog ranjivos RC4 algoritma, koji se može probi i omogui pristup mreži. Standard zašte 802.11 obezbe uje šifrovanje i autenkaciju. Prvi cilj zašte 802.11 je otklanjanje detektovanih slabos WEP protokola (Sl. 9.21).
Sl. 9.21. unkcionalni model WEP protokola
BO FOO
177
Autenkacija se vrši potprotokolom ap4.0. Host raunar zahteva autenkaciju od pristupne take (AP), koja šalje 128 bitni SN zahtev (R). Host šifruje R primenom simetrinog kljua, a AP dešifruje R i autenkuje host. Dakle, ne postoji mehanizam za distribuciju kljua, a za autenkaciju je dovoljno poznava simetrini klju. Za šifrovanje podataka WEP protokolom, host/AP dele 40-bitni simetrini, polutrajni klju. Zam host dodaje 24-bitni inicijalizujui vektor (IV) za kreiranje 64-bitnog kljua, koji se koris za generisanje niza kljueva–kiIV, a ovi se koriste za šifrovanje i-tog bajta - di, u frejmu: ci = di XOR – kiIV, u kojem se IV i šifrovani bajtovi - ci, šalju zajedno. Glavni bezbednosni propust WEP protokola je otvoreno i ponovljeno slanje 24–bitnog IV (jedan po frejmu). Ponovljeno korišenje IV, napada može detektova i izazva stanicu A da šifruje poznatu poruku d1 d2 d3 d4 …. Napada vidi šifrat: ci = diX RkiIV, a kako poznaje cidi, može izrauna kiIV. Napada zna sekvence kljueva za šifrovanje k1IVk2IVk3IV i, ako se sledei put upotrebi pozna IV, može uspešno da dešifruje poruku. Napadai koji su pristupili WLAN mreži mogu veoma efekvno izves napade preko DNS servera, prov svakog korisnika u mreži, jer mogu da vide DNS zahtev i lažno odgovore, pre nego sto DNS server sgne da odgovori na njega. zbiljan problem sa WLAN nije samo WEP protokol, nego i pristup mreži (prijem signala). Mnoge poslovne mreže instaliraju AP bez ukljuene zašte, da bi se besplatno korisle. Za veinu AP, kongurisanih bez šifrovanja, mogu se kongurisa S, kao što su Windows XP SP2 i MAC S X, tako da se automatski prikljue na svaku dostupnu bežinu mrežu. Korisnik koji pokrene laptop u blizini AP, može da ustanovi da se raunar povezao na mrežu bez ikakvog vidljivog nagoveštaja. Tako e, korisnik koji namerava da se poveže na jednu mrežu, može završi u drugoj, ako ima jai signal. U kombinaciji sa automatskim nalaženjem ure aja druge mreže (npr. DHCP i Zeroconf), ovo bi moglo da navede bežinog korisnika da pošalje osetljive idenkacione podatke pogrešnom provajderu i uloguje na web sajt kroz nesigurnu mrežu. WLAN mreže 802.11 u 85% sluajeva ne koriste mehanizme šifrovanja i autenkacije pa su pretnje za WLAN brojne. Podložne su packet–sning, DoS i drugim vrstama napada. Na primer, mikrotalasna penica sa premošenim mehanizmom za zatvaranje vrata, kada radi sa otvorenim vrama, stvara smetnju od 1000 W na istoj frekvenciji kao i ure aji standarda 802.11b. Znaajnije bezbednosne pretnje WLAN su da maliciozni korisnici mogu: dobi nedozvoljen pristup internoj mreži kroz bežinu mrežu, presres osetljive ne-šifrovane informacije, koje se šalju kroz WLAN, ukras na mreži identet legimnog korisnika i zloupotrebi ga, izvrši DoS napad na bežinu mrežu ili ure aj, kroz WLAN anonimno izves napad na druge mreže i postavi lažnu AC i namami legimne korisnike na lažnu AP. Faktori rizika WLAN 802.11 se mogu svrsta u sedam osnovnih kategorija: ubacivanje u tok saobraaja (Inseron Aacks), ometanje (Jamming), kriptoanaliki napad
178
O Š FOJ
(Encrypon Aacs), izvianje i intercepcija saobraaja (War Driving), kolaboravni rad mobilnih ureaja (prenos malicioznog kôda), rekonguracija sistema i napadi brutalnom silom. Svaki od navedenih faktora rizika WLAN sistema mogu se redukova ili izbei sa propisnim korišenjem polike i najbolje prakse zašte. Mere zašte od neovlaštenog pristupa ukljuuju WEP zaštni protokol i poskivanje emitovanja SSID pristupne take, ime se dopušta pristup samo raunarima sa poznam MAC adresama. Poskivanje SSID i ltriranje MAC adresa su neekasne metode zašte, jer se SSID emituje otvoreno, kao odgovor na klijentski SSID upit, tako da MAC adresa lako može da se zloupotrebi. Ako napada može da promeni svoju MAC adresu, može i da se spoji na mrežu zloupotrebom ovlašenih adresa. WEP šifrovanje pruža zaštu od povremenih upada, ali zbog ranjivos RC4 algoritma, neki dostupni ala, kao što su AirSnort ili AirCrack–ptw, mogu otkri WEP šifrovane kljueve. AirSnort može da otvori šifru za manje od sekunde, jer vidi oko 5–10 miliona šifrovanih paketa. Noviji alat, AirCrack–ptw, koris Klajnov napad za razbijanje WEP kljua, sa uspehom od 50%, upotrebom samo 40.000 paketa. WPA (WiFi Protected Access) sistem zašenog pristupa WLAN mreži je poboljšan protokol zašte, dizajniran je da zameni manje bezbedan WEP protokol u 802.11i mreži. Ukljuuje mogunost šifrovanja podataka i autenkacije korisnika. Podaci se šifruju RC4 algoritmom sa 128–bitnim kljuem i 48–bitnim inicijalizacijskim vektorom. Prednost nad WEP protokolom je u korišenju TKIP protokola (Temporal Key Integrity Protocol), koji dinamiki menja kljueve u toku rada sistema. Kombinacijom dugakog IV i TKIP protokola sistem postaje otporniji na napade, koji su rizini za WEP protokol, ali ve ima poznat vektor napada. WPA 2 (WiFi Protected Access 2), slian WPA protokolu, koris napredni AES–CCMP algoritam (Advanced Encrypon Standard – Counter Mode with Cipher Block Chaining Message Authencaon Code Protocol) i obezbe uje znatno vei nivo zašte u 802.11i mreži. Princip rada standarda 802.11i prikazan je na Sl. 9.22.
Sl. 9.22. Princip rada 802.11i u eri faze BO FOO
179
WPA 2 rešava veinu ozbiljnih ranjivos WEP šifarskog sistema, obezbe uje distribuciju kljueva i koris autenkacioni server, nezavisno od AP [71]. WEPplus ima veu ekasnost, onemoguavanjem korišenja loše oblikovanih IV. Uporedne vrednos bezbednosnih funkcija glavnih protokola zašte u WLAN sistemima date su u Tabeli 9.8. Tabela 9.8. Uporedne vrednos funkcija protokola zašte WLAN sistema
LEAP (Lightweight Extensible Authencaon Protocol) protokol za autenkaciju, baziran na 802.1x standardu, dizajniran je da smanji ranjivost WEP–a primenom sosciranog vo enja sistema kljueva. LEAP ili Dynamic WEP dinamiki menja WEP kljueve. Dinamiki generisani kljuevi i me usobna autenkacija izme u klijenta i RADIUS servera, omoguavaju da se klijen esto ponovo autenkuju, a tokom uspešne autenkacije dobijaju novi WEP klju. Stalnim generisanjem novih kljueva i kratkim trajanjem svakog pojedinano, poveava se zašta kljua od otkrivanja hakerskim napadom. Ipak, dostupni ala pa THC–LeapCracker-a omoguavaju probijanje LEAP zašte i napad renikom na klijenta. PEAP (Protected Extensible Authencaon Protocol) protokol su razvili Cisco, Microso i RSA Security. PEAP (ita se “pip”) nije kriptološki protokol i služi samo za autenkaciju klijenta u mreži. Koris DS na serverskoj strani za autenkaciju klijenta, kreiranjem SSL/TLS tunela izme u klijenta i autenkacijskog servera i na taj nain š podatke, koji se prenose mrežom. RADIUS (Remote Authencaon Dial In User Service) servis predstavlja odlinu zaštu od napada hakera. Spada u AAA (Authencaon, Authorizaon & Accounng) protokole, što znai da obezbeuje autenkaciju, autorizaciju i upravljanje korisnikim nalogom. Ideja korišenje servera unutar sistema, koji verikuje korisnike preko korisnikog imena i korisniki izabrane lozinke. Pomou RADIUS servera korisnicima se mogu dodeljiva razne dozvole i ogranienja, npr. za potrebe naplaivanja usluge korišenja. Negavna strana ovakvog sistema je u invesranju u server koji e obavlja RADIUS funkciju. GSM – Evropski sistemi mobilne telefonije ima brojne ranjivos – SIM karce, SMS servisa, GPRS servisa i WAP protokola [57]. Trea generacija (3–G) tehnologije bežinih sistema, usmerena na poboljšanje komunikacije podataka i glasa bežinim putem, koriguje sve uoene bezbednosne ranjivos
180
O Š FOJ
navedenih standarda. Neposredni cilj je poveanje brzine prenosa na 2 Mb/s i frekvencije prenosa na 5,1 GHz. Cilj je razvi skalabilan sistem, koji se može nadogradi sa poboljšanim kontrolama zašte, kada je potrebno. Idenkovani pove napada na WLAN mreže, na frekvencijama od 2 GHz i 2,5 GHz, u 3–G WLAN mreži su eliminisani. Sistem zašte 3–G WLAN zasniva se na zaš GSM standarda sa sledeim važnim izmenama: onemoguen napad na baznu stanicu sa lažnim predstavljanjem, vea dužina WEP kljua i dopušta implementaciju jaeg algoritma (AES), ukljueni mehanizmi zašte unutar i izme u WLAN mreža, mehanizmi zašte su u svierima i šte vezu do bazne stanice, integrišu se mehanizmi za zaštu integriteta i autenkaciju terminala, dato je uputstvo za izbor drugog autenkacionog algoritma i u roming vezi izme u mreža, aplicirana je zašta smart karcom. Sistem zašte 3–G WLAN je znatno bolji od zašte GSM, ali se mogui napadi ne mogu potceni. Potencijalne slabos 3–G WLAN mreža mogu bi logovanje na lažnoj baznoj stanici i forsiranje komunikacije bez kriptozašte. Na osnovu kriterijuma za vrednovanje kriptoloških algoritama, mogu se izvui sledei zakljuci za praknu primenu kriptoloških mehanizama u zaš RM: 1. simetrini kriptografski algoritam sa tajnim kljuem treba koris za zaštu informacija u bežinim i mobilnim mrežama i na komunikacijama, 2. za generisanje i razmenu kljueva treba koris asimetrini algoritam, 3. za integrisane kriptološke mehanizme najbolji metod je kombinovana simetrina i asimetrina kriptograja, 4. asimetrinu kriptograju koris za idenkaciju i autenkaciju, 5. podatke od korisnika do bazne stanice š simetrinim algoritmom, 6. mehanizam zašte je bolje realizova u baznim stanicama, jer je lakše održava njihov integritet, nego š protokol pristupa m stanicama, 7. za svaku logiku vezu koja traži zaštu podataka, treba generisa novi kriptografski klju, 8. kontrolne parametre treba š prema zahtevima 4 i 5.
9.3. REZIME Servis kontrole pristupa RM–i vrše mrežne barijere, koje nameu poliku kontrole pristupa izme u dve ili više segmenata RM i obezbe uju mrežnu zaštu po dubini. Postoje dve znaajne klase barijera, koje rade na principu kontrole stanja veze i ltriranja ruranih IP paketa, a mogu se implemenra na mrežnom sloju sa ruranjem paketa i aplikavnom sloju ili kao proksi barijere, koje ne ruraju direktno pakete. Proksi serveri posreduju izme u nepoverljive i poverljive RM i kontrolišu konekcije koje dolaze iz RM.
BO FOO
181
Naješi su u praksi web proksi serveri. Autenkacioni ureaji – smart karca, biometrijski ureaj, token za bezbedno skladištenje kriptografskih informacija ili token kao priruni ure aj, koriste se za autenkaciju. Za visoku bezbednost IKTS i zaštu kriptografskih tajni, koriste se smart karce na korisnikoj i HSM kriptografski moduli na serverskoj strani. Kriptografski akceleratori kombinuju sigurno skladištenje kljueva, kriptograju visokih performansi i veu skalabilnost kriptografskih aplikacija. U RM, podaci se prenose u otvorenoj formi preko TCP/IP protokola i mogu se lako prisluškiva. Za zaštu pristupa koriste se autenkacioni protokoli pa SSL – za zašen prenos lozinke i Kerberos pa, koji rade na principu upita – odgovora. Za centralizaciju procesa autenkacije i autorizacije prava pristupa autenkovanih enteta u RM, koriste se A&A serveri. RADIUS ili TACACS + protokoli uobiajeno se koriste za kontrolu udaljenog pristupa. Monitoring i integritet intraneta obezbe uju NIDPS, skeneri saobraaja i kapacite za upravljanje incidentom i oporavak sistema. Zašta integriteta u mrežnom okruženju zahteva zaštu integriteta podataka i komunikacione sesije. NIDPS, u veini sluajeva, rade na mrežnom sloju, detektuju sisteme nezavisno od S i omoguavaju zaštu brojnih plaormi. NIDPS i mrežni skeneri rade na ism principima kao HIDPS i skeneri RS, s m da otkrivaju ranjivos RM. Skeneri telefonskih veza, koriste se za idenkovanje potencijalnih ranjivos sistema preko telefonske linije. Kriptografski mehanizmi i protokoli zašte izvršavaju i integrišu mrežne servise zašte poverljivos, integriteta i neporecivost, digitalnog potpisa i jake autenkacije kroz PKI sistem. snovni moduli PKI sistema su CA, RA i Imenik. Postoje hijerarhijska, rešetkasta, hibridna i tranzivna organizaciona struktura arhitekture PKI sistema. Zašta poverljivos mrežnih podataka vrši se šifrovanjem – asimetrinom PKI kriptograjom za razmenu simetrinog kljua i simetrinom – za šifrovanje podataka na prenosnom putu. Asimetrina PKI kriptograja otvoreno distribuira javni klju (Pk), matemaki uparen sa jedinstvenim privatnim kljuem (Tk). PKI obezbe uje okvir za protokole zašte transakcija. Primeri su SSL, TLS i IPsec protokol, koji je najpoželjniji za implementaciju VPN. Bežina lokalna mreža (WLAN) se lako implemenra i obezbe uje veliku uštedu komunikacione infrastrukture. Tehnologija WLAN je izgra ena na bazi IEEE 802.11b standarda u SAD i GSM standarda u EU. WEP (Wireless Equivalent Protocol) protokol za zaštu prenosa, dizajniran za zaštu CIA informacija na prenosnom putu, pokazao je brojne slabos RC4 algoritma. Poboljšanu zaštu obezbe uju WPA i WPA(2), WEPplus i Dynamic WEP (tekui standard 802.11i). Trea generacija tehnologije WLAN koriguje sve uoene bezbednosne ranjivos WEP protokola i poboljšava komunikaciju podataka i glasa bežinim putem, koristei bilo koji od raspoloživih standarda.
182
O Š FOJ
9.4. KLJUNI TERMINI Autenkacioni protokoli: standardno su ugra eni u sam proces razmene podataka; koriste dodatne mere zašte poverljivos, integriteta i neporecivos. Autenkacioni serveri: centralizuju procese autenkacije u RM. Autenkacioni ureaji: obezbe uju korisniku neki ziki idenkator za kompleranje autenkacije (smart karcu, biometrijski ure aj i token). Autorizacioni serveri: pridružuju skup privilegija pristupa autenkovanim entema. Biometrijski ureaji: verikuju identet korisnika na bazi jedinstvenih, zikih atributa (osak prsta, dlana, mrežnjae oka itd.). Hardversko–so verski modul – HSM (Hardware Storage Module/H Soware M): koris se na serverskoj strani za skladištenje kriptografskih tajni. Infrastruktura sa javnim kljuem–PKI (Public Key Infrastructure): asimetrina kriptograja sa parom javnog i privatnog kljua; glavni moduli su CA, RA Imenik.
Kriptografski akceleratori: Specijalizovani HSM, koji kombinuju bezbedno skladištenje kljueva, kriptograju visokih performansi i skalabilnost aplikacija. Kriptografski protokoli: šte podatke na prenosnom putu, implemenraju i izvršavaju servisa zašte autenkacije, poverljivos, integriteta i neporecivos. Proksi server: slino gateway barijeri kontroliše i posreduje veze koje dolaze izvan i iz RM. Server mrežnog pristupa – NAS (Network Access Server): dopušta konekciju sa PSTN na zahtevani interni host, nakon autenkacije i primene neke restrikcije. Skeneri telefonskih veza: idenkuju ranjivos sistema preko telefonske linije. Skeneri zašte RM: slini su skenerima zašte RS, s m da otkrivaju ranjivos RM. Smart karce: autenkacioni ure aj sa itaem; memorijske za skladištenje ili mikroprocesorske za skladištenje kljueva i kriptografske operacije na samoj karci. Tokeni: autenkacioni ure aji za bezbedno skladištenje kriptografskih informacija.
9.5. PITANJA ZA PONAVLJANJE 1. Metod sistema jake autenkacije za pristup administravnim nalozima RM je: a. korisniki nalog i lozinka b. kriptografska smart karca sa PIN–om c. biometrijski ure aj ili token 2. Koji se bezbednosni kvalitet dobija upotrebom NIDS sistema: a. detektuju upade nezavisno od S i omoguavaju zaštu više plaormi b. vidi napade sa Interneta koji probijaju odbranu spoljnog perimetra RM
c. ne isu probleme sa polikom ili funkcionisanjem mrežne barijere d. ne vidi napade na web ili FTP server, koji su obino smešteni u DMZ e. dokumentuje pove i broj napada koji pou sa Interneta, a poga aju RM f. monitoriše mrežni saobraaj i poveava mogunost detekcije napada g. detektuje ovlašene akvnos legalnih korisnika iz RM organizacije
BO FOO
183
3. Neki problemi vezani za upotrebu NIDPS sistema su: a. ne mogu detektova anomalije bez prepoznavanja protokola b. ne mogu interprera podatke c. mogu igra važnu ulogu u upravljanju malicioznim kodovima d. ne mogu igra važnu ulogu u upravljanju malicioznim kodovima e. mogu bi kongurisani da spreavaju prolaz inciranih objekata izvan intraneta 4. Autenkacioni i autorizacioni serveri u sistemu mrežne zašte: a. koriste se za decentralizovano upravljanje procesom autenkacije u RM b. obuhvataju skup privilegija ili prava pristupa enteta korisnika c. obavezni su u sistemima za kontrolu pristupa sa udaljenih mrežnih lokacija d. obezbe uju servise za više klijenata u klijent–server arhitekturi e. mogu dodeljiva uloge korisnicima f. ne poveavaju znaajno bezbednost pristupa udaljenih korisnika g. ne šte podatke koji se izmenjuju izme u korisnika i internog sistema 5. Kljuni moduli pinih skenera ranjivos RM su: a. modul za skeniranje, b. baza podataka sa poznam ranjivosma (denicijama mrežnih napada) c. modul za generisanje i prezentaciju izveštaja d. modul korisnikih interfejsa e. modul za idenkaciju malicioznih programa 6. Glavni alat za kontrolu pristupa RM je: a. korisniki nalog i lozinka b. logika barijera (rewall) c. NIDPS, d. web lteri i proksi serveri 7. Proksi serveri su: a. namenjeni uglavnom za kontrolu konekcija koje dolaze iz interne RM b. namenjeni uglavnom za kontrolu konekcija koje dolaze sa Interneta
184
O Š FOJ
c. ne zahtevaju autenkaciju krajnjeg korisnika d. ograniavaju dopuštene komunikacije na denisani skup protokola e. primenjuju restrikciju kontrola pristupa i loguju kontrolne tragove f. naješi p u praksi su web proksi serveri, koji se koriste samo za zaštu g. višefunkcionalni ala koji ne implemenraju znaajnu zaštu 8. Servis zašta integriteta u mrežnom okruženju obuhvata: a. integritet podataka b. integritet sesije komunikacije c. integritet sinhronizacije protokola D. ni jedan gore naveden 9. Glavni nedostatak PKI sistema je: a. poverenje korisnika u povezanost javnog kljua i nominalnog vlasnika b. poverenje u digitalni serkat, koji izdaje CA c. ne garantuje povezanost javnog kljua (Pk) sa imenom vlasnika na poverljiv i bezbedan nain d. ni jedan gore naveden 10. snovni standard za bežine mreže WLAN (IEEE 802.11b) ima implemenran: a. WEP (Wireless Equivalent Protocol) protokol za zaštu b. WAP (Wireless Applicaon Protocol) protokol c. WAP (2) d. ICMP protokol 11. Višeslojna anvirusna zašta vrši se: a. za proveru autennos, zaštu integriteta i neporecivos b. za generisanje digitalnog potpisa i bezbedno uvanje kriptografskih tajni c. za otežavanje primene metoda kriptoanalize d. na kapiji, ruteru, serveru mreže i radnim stanicama 12. Izolacija RM vrši se: a. obezbe ivanjem jednoznanih idenkacionih parametara b. radi zašte od DoS/DDoS napada
c. sa mrežnim kapijama za ltriranje paketa d. radi spreavanja unošenja akvnih malicioznih programa 13. Kriptološki mehanizmi zašte u RM koriste se za: a. proveru autennos, zaštu integriteta, poverljivos i neporecivos b. generisanje digitalnog potpisa i bezbedno uvanje kriptografskih parametara c. za otežavanje primene metoda kriptoanalize d. za zaštu tajnos podataka i lozinki 14. Tehnologija digitalnog potpisa se koris za: a. proveru autennos, zaštu integriteta i neporecivos b. generisanje digitalnog potpisa i bezbedno uvanje kriptografskih parametara c. otežavanje primene metoda kriptoanalize d. bezbednu autenkaciju strana u komunikaciji 15. Za zaštu poverljivos informacija u RM koriste se dve osnovne tehnika: a. obezbe ivanje jednoznanih idenkatora i razmena sesijskog kljua b. upotreba protokola za uspostavljanje kljua i generisanje simetrinog kljua c. generisanjesimetrinogkljua,šifrovanje sa javnim kljuem (Pk) udaljenog korisnika i transfer sa asimetrinim PKI sistemom d. bezbedna autenkaciju strana u komunikaciji i razmena simetrinog kljua 16. Digitalni serkat se koris za: a. proveru autennos, zaštu integriteta i neporecivos b. generisanje digitalnog potpisa i bezbedno uvanje kriptografskih tajni c. spreavanje primene metoda kriptoanalize d. višeslojnu zaštu na kapiji, ruteru, serveru mreže i radnim stanicama 17. Smart karca se koris za: a. proveru autennos, zaštu integriteta i neporecivos
b. generisanje digitalnog potpisa i bezbedno uvanje kriptografskih tajni c. za otežavanje primene metoda kriptoanalize d. zaštu na kapiji, ruteru, serveru mreže i radnim stanicama 18. Kriterijumi za izbor biometrijskih parametara mogu bi: a. performanse, pouzdanost i pogodnost za primenu b. kompleksnost sistema zašte i troškovi nabavke c. sposobnos korisnika i korisnika prihvatljivost d. troškovi obuke korisnika 19. granienja PKI za veliki broj korisnika prevazilazi: a. AutoGuard ure aj i SNTP protokol (US patent) b. ProGurad ure aj i MEDIA protokol (US patent) c. AutoGuard ure aj i MEDIA protokol (US patent) d. AutoGuard ure aj i MSNG protokol (US patent) 20. Za šifrovanje VPN veze naješe se koris: a. SSL protokol b. HTTPS protokol c. IPSec protokol d. TTPS protokol
BO FOO
185
9.6. LITERATURA [1]
American Bar Associaon, Secon of Science &Technology Law, Privacy & Computer Crime Commi@ee, Internaonal Strategy for Cyberspace Security, www. abanet.org/abapubs/books/cybercrime/, 2003. [2] Bace, R., Mell, P., Intrusion Detecon Systems, NIST SP 800–31, h@p://www. csrc.nist.gov/publicaons, 2006. [3] Barker, W. C., Guide for Mapping Types of Informaon and Informaon Systems to Security Categories, NIST SP800–60 –1 i 2, h@p://www.csrc.nist.gov/publicaons, juni 2004. [4] Bjork, redrik, Security Scandinavian Style–Interpreng the pracce of managing informaon security in organisaons, Stockholm University, Rozal Instute of Technology, 2001. [5] Bruce, S., Applied Cryptography: Protocols Algorithms and Source Code in Cryptography, 2nd edion, New York, ohn Wiley and Sons, 1996. [6] BSI (ederalni IS Nemake), IT Baseline Protecon Manual, hp://www.bsi. bund. de/gshb, juli 2005. [7] Burns, . Evoluon of WLAN Security, h@p://www.mtghouse.com/MDC_ Evolving_Standards.pdf, 2004. [8] Cambra, R., Metrics for Operaonal Security Control, Sans Instute, 2004 [9] Carrel, D., i Grant, L., The TACAS+ Protocol, h@p://casl.csa.iisc.ernet.in/ Standards/ internet–dras/dra–grant– tacas–02.txt, 2003. [10] Carrol, M.., Computer Security, Bu@erworth–Heinemann, 1997. [11] Castell, B. S., Gray G., Muller P., User Requirements for Trusted Third Party Services, IN SEC Project Report S2101/01, Commission of the European Communies, DG XIII, B–6, ct 1993. [12] CCIMB–99–031, Common Criteria for Informaon Technology Security Evaluaon, Part 1: Introducon and general model, Version 2.1, h@p://www.commoncriteria. org, 1999.
186
O Š FOJ
[13] CERT, hp://www.cert.org/advisories, 2003. [14] Christopher, W.K.s, Wireless LAN Security FAQ, h@p://www.iss.net/ wireless/ WLAN_AQ.php, 2003. [15] Chew, E., Swanson, M., Sne, K., Bartol, N., Brown, A., i Gra\o, L., Performance Measurement Guide for Informaon Security, NIST Special Publicaon SP800– 55–rev1, uly 2008. h@p://csrc.nist.gov/ publicaons/PubsSPs.html [16] C AST (Computer Operaons, Audit, and Security Technology), Pardu univerzitet, SAD, h@p://www.cs.purdue.edu/ coast/#archive, 2003. [17] C BIT (Control Objecves for Informaon and Related Technologies), h@p:// www.isaca.org, 2009. [18] CRAMM, h@p://www.crammusergroup. org.uk, 2008. [19] Curn, M., Ranum, M.., Internet Firewalls: FAQ, h@p://www.interhack.net/ pubs/fwfaq., 2003. [20] Debra, S. Herrmann, Complete guide to security and privacy metrics: Measuring Regulatory Compliance, Operaonal Resilience and ROI, Auerbach Publicaons Taylor & rancis Group, LLC, 2007. [21] Domarev, V.,
!"$
, h@p://www.security.ukrnet. net/, 1997. [22] Drake, D. L. i Morse K. L., The Security – Specic Eight Stage Risk Assessment Methodology, Proceedings of the 17th NCSC, Balmore, ctober 1994. [23] ElcomSo, istraživanje, 2009. [24] errari, . i dr., Smart Cards: A Case Study, h@p://www.redbooks.ibm.com/ redbooks/pdfs/sg245239.pdf, avgust 2003. [25] IPS Publicaon 200, Minimum Security Requirements for Federal Informaon and Informaon Systems, h@p://www.itl. nist.gov/l/pspubs, juni 2005. [26] rankel, S., An Introducon to IPsec, h@p://www.csrc.nist.gov/ buliten, 2001. [27] GAISP, Generally Accepted Informaon Security Principles, h@p://www.gaisp. org, 2009.
[29] Gerencser M., Aguirre, D., Security Concerns Prominent on CEO Agenda, Strategy+Business Press, h@p://www. strategy–business.com/press/ enewsarcle/22197, 2002. [30] Kovacich, G. L., i Halibozek, E. P., Security metrics management: how to measure the costs and benets of security, 2006. [31] Grance, T., Hash, ., Stevens, M., ’Neal, K., Bartol, N., Guide to Informaon Technology Security Services, NIST SP 800–35, h@p://csrc.nist.gov/publicaons/ nistpubs/800–35/sp800–35.pdf, 2003. [32] Grance, T., Hash ., Stevens M., Security Consideraons in the Informaon System Development Life Cycle, NIST SP 800–64, h@p://csrc.nist.gov/publicaons/ nistpubs/800–64/sp800–64.pdf, juni 2004. [33] Grance, T., Kent K., Kim B., Computer Security Incident Handling Guide, NIST SP 800–61, h@p://www.nist.gov/publicaons, anuary 2004. [34] Grubor, Gojko, Katalog kontrola sistema osnovne zašte za nizak ucaj pretnji, skripta, Univerzitet SINGIDUNUM, PI, maj 2006. [35] Grubor, Gojko, Razvoj i upravljanje programom zašte zasnovanim na modelu sazrevanja procesa, doktorska disertacija, Univerzitet Singidunum, 2007. [36] Harold, . T., Micki K., The informaon security handbook, h@p://csrc.nist.gov/ policies/ombencrypon–guidance.pdf, 2003. [37] Heyer, ., WLAN Security: Wide Open, h@p:// www.tomsnetworking.com/network/ 20020719/index.html, 2004. [38] Housley, R. i dr., Internet X509 Public Key Infrastructure: Cercate and CRLProle (RFC 2459), h@p://www.ie.org/rfc/ rfc2459.txt., 2007. [39] Howard, D. ., An analizis of Security Incedent 1989/1995, Doctor’s Thesis, Carnegie Mellon University. 1997. [40] IET, Policy Framework, h@p://www.ie. org, 2005. [41] Informaon Security orum (IS), Informaon Security Metrics – Report, May 2006, h@p://www.securityforum.org/ [42] IBM, Provena Desktop Endpoint Secu-
[43] [44] [45] [46] [47] [48] [49]
[50] [51] [52] [53]
[54] [55]
[56]
rity, h@p://www.ibm.com/services/iss, 2010. ISACA, Informaon Systems Audit and Control Associaon, h@p://www.isaca. org, 2003. IS, The Standard for Good Pracce for Informaon Security, h@p://www.isf.org, V.4.0., 2007. IS /IEC 13335, Gudelines for the management of IT Security, h@p://www. iso.13335.org, 2003. IS /IEC 15408, Common Criteria/ITSEC, h@p://www.iso.15408.org, 2003. IS /IEC15443, Informaon Technology– Security Techniques, h@p://www.iso. 15443.org, 2000. IS /IEC 15504 (CMM), h@p://www. iso.15504.org, 2008. IS /IEC 17799:2000, Informaon Technology – Code of pracce for informaon security management, h@p://www.iso. org, 2003. IS /IEC 21827 (SSE CMM), System Security Engeneering Capability Maturity Model, h@p://www.iso.21827.org., 2003. IS /IEC 27001, Informaon Security Management System, h@p://www. iso.27001.org, 2008. IS /IEC 27005, hp://www. iso.27005. org, 2008. IS /IEC 27004, Informaon technology — Security techniques % Informaon security management — Measurement (dra). h@p://www.iso.org/iso/ ISS, Dynamic Threat Protecon™: A New Denion for Informaon Security, h@p://www.iss.org, 2005. ITU–T, Informaon Technology – Open system Interconnecon – The directory: Public key and aribute cercate frameworks, Recommendaon X.509, 2007. ITU–T, Informaon Technology – Open system Interconnecon – The directory: overview of concepts, models and services, Recommendaon X.500, 2007.
[57] aquith, A., Security Metrics: Replacing
BO FOO
187
[58]
[59] [60]
[61] [62] [63] [64]
[65]
[66]
[67] [68]
[69] [70]
188
Fear, Uncertainty, and Doubt, Pearson Educaon, Inc., h@p://www.securitymetrics.org/content/Wiki.jsp, March 2007. Karygiannis, T., wens, L., Wireless Network Security 802.11, Bluetooth and Handheld Devices, NIST SP 800–48, h@p://www.csrc.nist.gov/publicaons, 2008. Kelm, S., The PKI page, h@p://www.pki– page.org, 2008. Lee, A., Brewer, T., Informaon security within the system development life cycle, ones Computer Security Division Informaon Technology Laboratory NIST, hp://www.itl.nist.gov/, 2006. Manzuik S., Pfeil K., Network Security Assessment–from vunerability to patch, Syngress, 2007 Milosavljevi, Milan, Grubor Gojko, Osnovi bezbednos i zašte informacionih sistema, Univerzitet Singidunum, 2006. NIST – NSA Informal Note, A Survey of Access Control Methods, 2009. NIST SP 800–12, An introducon to computer Security, h@p://csrc.nist.gov/ publicaons/nistpubs/800–12/sp800–12.pdf, avgust 2003. NIST SP 800–14, Genaerally Accepted Principles and Pracces for Security, h@p://csrc.nist.gov/publicaons/nistpubs/800–14/sp800–14.pdf, 2002. NIST SP 800–18, Guide for developing Security Plans for IT Systems, h@p://csrc. nist. gov/publicaons/nistpubs/800–18/ sp800–18.pdf, 2003. NIST, Trusted Security Evaluaon Criteria, h@p://www.radium.ncsc.mil/tpep, 1999. NIST SP 800–140–2, Security Requirements for Cryptographic Modules, 25.05 2001., h@p://csrc.nist.gov/publicaons/ ps/ps140–2/ps1402.pdf. OCTAVE® methods and criteria, h@p:// www.cert.org/octave, 2005. OCTAVE®method Implementaon Guide, h@p://www.cert.org/octave/osig.html, 2005.
O Š FOJ
[71] packi, D.,CISSP, Security Metrics: Building Business Unit Scorecards, dopacki@ covesc.com, December 2005. [72] u G., Understanding the updated WAP and WAP2 standards, h@p://blogs.zdnet. com/ u/?p=67, 2002 [73] zier, W., Risk Analysis and Assessment, Handbook of Informaton Security Management, CRC Press, Boca Raton, lorida, 1999. [74] Parda, A., Andina, D., IT Security Management: IT Securiteers – Se'ng up an IT Security Funcon, Springer Science+Business Media, www.springer. com/ series/ 7818, 2010. [75] Purser, S., A praccal guide to managing informaon security, Artech House, Boston, London, 2005. [76] Republika Srbija, Predlog krivinog zakona, Glava 27. „Krivina dela prov bezbednos raunarskih podataka”, lan 298–304, 2004. [77] Republika Srbija, Zakon o borbi prov visoko tehnološkog (kompjuterskog) kriminala, Beograd, 2005. [78] Republika Srbija, Zakon o elektronskom potpisu, revizija, Beograd, 2008. [79] RC 1320 i RC 1321, h@p://www.icann. rfceditorc.org, 1997. [80] RC 2196, Site Security Handbook, h@p://www.ie.org/rfc/rfc2196.txt, 1997 [81] Rigney, C., i dr., Remote Authencaon Dial In User Service (RADIUS), RC2138, h@p://www.faqs.org/rfc/rfc2138.html, 2003. [82] Rodi, Boško, or evi, Goran, Da li ste sigurni da ste bezbedni, Produkvnost AD, Beograd, 2004. [83] Ross, R., Swanson, M., &all, Guide for the Security Cercaon and Accreditaon of Federal Informaon Systems, NIST SP 800–37, h@p://www.csrc.nist.gov/ publicaons, 2004. [84] Ross, R., Katzke, S., Recommended Security Controles for Federal IS, NIST SP 800– 53, A, B, C, h@p://www.csrc.nist. gov/publicaons, 2009.
[85] Russel, D., Gangemi, G.T. sr, Computer Security Basics, ’Reilly and Ass., 1995. [86] Ruth, A., Hudson, K., Sercat Security +, MicrosoCo., CET Beograd, 2004. [87] SEI Instut, CMMI, www.sei.com. 2007. [88] Scarfone, K., Mell, P., Guide to Intrusion Detecon and Prevenon Systems (IDPS), NIST SP – 94, h@p://csrc.nist.gov/publicaons, 2007. [89] Shirley, C. Payne, A Guide to Security Metrics, SANS Instute, InfoSec Reading Room, une 19, 2006. h@p://www.sans. org/reading_room/whitepapers/auditing/ [90] Snyder, ., IDS and IPS, Informaon Security magazine, maj 2009. [91] Spears, ., Barton, R., Hery, W., An Analysis of How ISO 17799 and SSE–CMM Relate to the S–vector Methodology, h@p://www.ebrc.psu.edu, August 2004. [92] Stoneburner, G., & all, Risk Management Guide for Informaon Technology Systems, SP 800–30, h@p://csrc.nist.gov/ publicaons, 2002. [93] Stoneburner, G., Underlying Technical Models for Informaon Technology Security, NIST SP 800–33, h@p://csrc.nist. gov/publicaons/nistpubs/800–33/sp 800–33.pdf, decembar 2006. [94] Stremus, P., ISS IDC Security, IDC simpozijum,
[email protected], Beograd 2006. [95] Stallings W., Network Security Essenals_ Applicaons and Standards, 3rd Edion, Prence Hall, USA, 2007. [96] Swanson, M., Bartol, N., Sabato, ., Hash, ., i Gra\o, L.., Security Metrics Guide for Informaon Technology Systems, NIST Special Publicaon 800–55, uly 2009. [97] The Help Net Security News, McAfee report, 12.08.2010. [98] Vaughn, R. B., r, A praccal approach to sucient INFOSEC, Mississippi State University, Department of Computer Science,
[email protected], 2002.
INTERNET IZV RI: h@p://www.isecom.org/projects/osstmm.htm, h@p://www.atstake.com, 2006. h@p://www.cert.org/incident_notes/index. html. h@p://www.cert.org/tech_ps/security_tools. html#D. www.sophos.com/presso*ce/news/arcles/2008/03/lee–shin–ja.html (Poseeno: 20.04.2009.). h@p://www.helpnet.securitynews.com, Panda lab izveštaj 2009. (Poseeno: 10.06.2010.). h@p://www.helpnet.securitynews.com, McAfee, Symantec godišnji izveštaj za 2008, (Poseeno: 20.04.2010.). h@p://cyberinsecure.com/computer–worm– infects–internaonal–space–staon–laptops/ (Poseeno: 20.04.2009.). h@p://www.crn.com/security/56700144 (Poseeno: 20.04.2009.). h@p://www.itl.nist.gov/pspubs/p180–1. htm. h@p://www.physorg.com/news150486206. html ‘Cybergeddon’ fear stalks US: FBI, (Poseeno: 20.04.2009.) h@p://www.helpnet.securitynews.com, (Poseeno: 20.04.2009.). h@p://www.kaspersky.com, (Poseeno: 20.04.2009.) h@p://www.computereconomics.com/arcle. cfm?id=1225 (Poseeno: 20.04.2009) h@p://vil.nai.com/vil/content/v_100119.htm (Poseeno: 20.04.2009.) h@p://www.reghardware.co.uk/2008/10/08/ asus_eee_box_virus/ (Poseeno: 20.04.2009). h@p://www.symantec.com/, Symantec Internet Security Threat Report, 2008. h@p://www.sophos.com, Security threat report: 2009, (Poseeno: 20.04.2010).
BO FOO
189
Glava II
UPRAVLJANJE SISTEMOM ZAŠTITE INFORMACIJA
1.
UPRAVLJANJE ZAŠTITOM INFORMACIJA
1.1. UVOD Sa porastom obima e-poslovanja i integracije sistema, rastu i znaaj upravljanja zaštom, krinost procesa zašte i legalna odgovornost menadžera za zaštu. Proces upravljanja zaštom obuhvata proceduralne i tehnike kontrole zašte u kojima je ovek faktor odluivanja. Sistem upravljanja zaštom informacija – ISMS (Informaon Security Managament Systemt) je denisan standardom IS /IEC 27001. snovni upravljaki mehanizam ISMS je polika zašte. Klase upravljakih kontrola zašte opisane su u standardima najbolje prakse zašte (IS /IEC 27001: Anex A; NIST SP 800–53 A, B, C rev.). U procesima ISMS od posebnog znaaja je odre ivanje uloga i odgovornos za izvršavanje i kontrolu procesa zašte. Da je upravljanje zaštom informacija sušnski idenno upravljanju rizikom u IKTS, prilino je oigledno i intuivno prihvatljivo, ali nije sasvim tano. Naime, razvijene su brojne metode za upravljanje rizikom, dok se komparavno slabija pažnja posveuje upravljanju procesima zašte u IKTS. Posledica je, da menadžeri, i proseni korisnici vide zaštu kao tešku i komplikovanu oblast, sa nerazumljivom terminologijom. Upravljanje zaštom RS/RM obezbe eno je procedurama zašte, ugra enim u runske raunarske i mrežne operacije za održavanje CIA informacija i servisa. Tehnike upravljanja sistemom zašte su brojne i obuhvataju sve kategorije upravljanja: manuelnog, poluautomatskog i automatskog. U oblas upravljanja zaštom, brojni su otvoreni problemi i oekuje se dalji razvoj.
U` {JJ O Š FOJ
193
1.2. METODOLOŠKI OKVIR ZA UPRAVLJANJE ZAŠTITOM 1.2.1. Principi upravljanja zaštitom pšte prihvaeni principi zašte (GAISP) ine bazu razvoja procesa za upravljanje zaštom. Kako je proces za upravljanje rizikom najbliža aproksimacija procesa za upravljanje zaštom, mogu se koris i generiki principi za upravljanje rizikom, koji se implemenraju sa ukupno 16 osnovnih akvnos (Tabela 1.1). Tabela 1.1. Glavni principi upravljanja rizikom Principi UR
Osnovne akvnos Idenkovanje vrednos informacione imovine
Procena rizika i odre ivanje potreba
Razvoj procedure za procenu rizika za poslovne procese dre ivanje odgovornos Neprekidno upravljanje rizikom
Uspostavljanje organizacije za centralno upravljanje rizikom
dre ivanje radnog ma za upravljanje zaštom bezbe ivanje brzog pristupa ma glavnim izvršiocima odluka bezbe ivanje potrebnog osoblja i drugih resursa Unapre ivanje tehnike obuke i profesionalnos ma
Implementacija polike i rentabilnih kontrola zašte
Povezivanje polike zašte sa faktorima rizika
Razvoj sves i obuka o zaš
Neprekidna obuka korisnika o ucaju rizika i polike zašte
Nadzor, kontrola i revizija efekvnos sistema zašte i evaluacija uskla enos polike i prakse zašte
Denisanje razlika izme u polike i smernica (guidelines) Podržavanje polike kroz rad ma za upravljanje rizikom
Upotreba tehnika zašte prikladnih za korisnike Nadzor, kontrola i revizija faktora smanjenja rizika i indikacije efekvnos sistema zašte Korišenje rezultata evaluacije za usmeravanje akvnos i uspostavljanje odgovornos menadžmenta državanje spremnos za uvo enje novih tehnika i alata za nadzor, kontrolu i reviziju sistema zašte
1.2.2. Uloge i odgovornosti U organizaciji procesa za upravljanje zaštom, uloge i odgovornos se denišu i dodeljuju svim uesnicima u zaš, od glavnog menadžera do zaposlenih [1]. Za ISMS se imenuje menadžer za upravljanje informacijama – CIO (Corporate Informaon Ocer),
194
O Š FOJ
ali je u velikim organizacijama trend da se ovom poslu posve puno radno vreme, kao što je menadžer za sistem zašte informacija – CISSO (Corporate Informaon System Security Ocer), koji je odgovoran za zaštu informacija u celoj organizaciji. Tendencija je podizanja odgovornos za upravljanje zaštom na viši nivo, u vidu profesionalnog menadžera za bezbednost informacija – CIAO (Corporate Informaon Assurance Ocer), ovlašenog i za serkaciju sistema zašte [18]. Najznaajniji resurs za upravljanje zaštom, na raspolaganju svakom menadžeru zašte, svakako je m dobro obuenih specijalista zašte (CIRT), sa razliim i specinim znanjima, vešnama i iskustvima, relevantnim za lokalnu sredinu. Najbolja praksa zašte zahteva da svaki lan ma neprekidno usavršava znanja i vešne, u skladu sa zahtevima organizacije i linim potrebama. U ovoj oblas apsolutno je potrebno proakvno delovanje, pošto je veoma teško denisa i izvrši strateški plan zašte, ako su este promene zaposlenih u IKTS i CIRT. Samo jedinstven i dobro obuen m garantuje poszanje strateških bezbednosnih ciljeva. Pri tome je važno pravi razliku izme u znanja i vešna, raspoloživih na tržištu i specinih vešna i iskustava potrebnih za datu organizaciju i okruženje. Prvi p se odnosi na opštu praksu zašte, poznavanje principa, metodologija, koncepata, modela, tehnologija i alata zašte, a su se, uglavnom, u obrazovnom sistemu i na brojnim kursevima zašte (CISSP – Cered Informaon System Security Professionals, SANS i dr.). Drugi p znanja i vešna poseduje mali broj ljudi i naješe su nedokumentovana i nedostupna širem krugu profesionalaca u zaš. be kategorije znanja i vešna u zaš podjednako su znaajne, s m da je specino obuene i iskusne specijaliste zašte teže pronai, zaposli i zadrža. 1.2.3. Generiki proces upravljanja zaštitom inormacija Generiki proces upravljanja zaštom informacija (IKTS) je cikliki ponovljiv i sadrži brojne potprocese, od kojih su glavni: upravljanje rizikom, upravljanje promenama i upravljanje konguracijom. Proces upravljanje rizikom i njegovi potprocesi analize i procene rizika su sušnski procesi upravljanja reakvnim sistemom zašte. Upravljanje promenama je proces koji pomaže da se idenkuju bezbednosni zahtevi kada se dogode promene u IKTS i okruženju. Upravljanje konguracijom je proces koji održava trag promena u IKTS, a može se izvrši formalno i neformalno. Primarni cilj je da obezbedi da promene u sistemu ne smanjuju efekvnost sistema zašte i ukupne bezbednos organizacije. Generiki proces upravljanja zaštom informacija dobro je denisan klasom upravljakih kontrola zašte u standardima IS /IEC 27001: Anex A i NIST SP 800–53 A, B, C rev., koja obuhvata sledee familije kontrola zašte: upravljanje programom, bezbednosnu procenu i autorizaciju, planiranje sistema zašte, analizu i procenu rizika, akviziciju sistema i servisa zašte. U IKTS gde ne postoje implemenran ISMS, moraju se ukljui najmanje sledee upravljake kontrole: razvoj polike zašte, obuka i razvoj
U` {JJ O Š FOJ
195
sves o potrebi zašte, upravljanje korisnikim nalozima, izveštavanje o incidenma i denisanje odgovornos i saradnje u oblas zašte [21]. Generalno, mogua su dva struktuirana pristupa upravljanju zaštom informacija. Prvi obuhvata upravljanje odre enim brojem infrastrukturnih servisa, koji obezbe uju normalan rad sistema zašte. snovni nedostatak je što kompleksnost savremenih IKTS dovodi do postepene degradacije efekvnos servisa IKTS i sistema zašte, ako procesi upravljanja zaštom i IKTS nisu dobro organizovani i sinhronizovani. Drugi pristup, pogodan za manje organizacije, je integrisano upravljanje sa IKTS i sistemom zašte, gde mehanizmi zašte obezbe uju visoku raspoloživost IKTS servisa, a integrisano upravljanje – uskla eno funkcionisanje pod kontrolom administratora sistema. Generiki proces ISMS u osnovi sadrži eri koraka: idenkovanje pretnji, procena rizika, uspostavljanje polike zašte i implementacija kontrola zašte za ublažavanje rizika (Sl. 1.1a). Druga opcija, za razvoj sistema za upravljanje zaštom na strateškom nivou, na bazi konzistentne primene polike zašte, je korišenje standardnog sistema idenkatora zašte informacija – ISBS (Informaon Security Benchmark System), koji predstavlja preporueni nivo izvršavanja polike zašte u normalnom okruženju i garantuje implementaciju dobrog sistema zašte. Tako e, ISBS usaglašenost garantuje da je organizacija imala dobru procenu rizika i da je implemenrala adekvatne kontrole zašte za ublažavanje rizika (Sl. 1.1b) [5].
Sl. 1.1. Generiki proces ISMS – (a) i usaglašenos sa BS – (b)
196
O Š FOJ
Struktuirani integrisani proces upravljanja zaštom informacija, prema standardu ITU X.700, obuhvata pet funkcionalnih oblas upravljanja IKTS [10]: (1) upravljanje konguracijom, (2) upravljanje otkazima, (3) upravljanje funkcionisanjem, (4) upravljanje zaštom i (5) upravljanje kontrolnim informacijama. U OOM upravljanja uvodi se pojmovi objekta upravljanja, atribu objekta, dopuštene operacije, izveštavanje i veza sa drugim objekma upravljanja. U skladu sa preporukama (ITU X701), podsistem upravljanja sa distribuiranim IKTS uspostavlja se prema klijent-server modelu. Klijent je agent upravljanja koji vrši akvnos i dostavlja izveštaje o izmenama u procesu upravljanja. Server je menadžer koji daje agentu naredbe za upravljanje i prima izveštaje. Generiki proces M upravljanja IKTS i sistemom zašte informacija, obuhvata sledee oblas upravljanja: informacionu: atribu, operacije i izveštaji o objekma upravljanja, funkcionalnu: upravljanje akvnosma i neophodnim informacijama, komunikacionu: komunikacioni aspek upravljanja i obim informacija i organizacionu: dekompozicija na oblas upravljanja. Kljunu ulogu u ovom modelu upravljanja igra OOM upravljakih informacija (ITU X720) koji podržava inkapsulciju i nasleivanje. Dodatno se uvodi pojam paketa kao skup atributa, operacija, izveštaja i odgovarajueg ponašanja [10]. 1.2.4. Sistem upravljanja zaštitom inormacija Sistem upravljanja zaštom informacija – ISMS je fokusiran na 12 komponen zašte i primenljiv na brojne industrijske oblas, ukljuujui nansije, zdravstvo, vladu i komercijalni sektor. Iako se ISMS široko primenjuje, esto nije jedini standard, koji organizacije primenjuju. Na primer, kompanije ga mogu koris za platne kreditne karce, ali kako procesiraju, skladište ili prenose podatke sa platne karce, mogu koris i implemenra industrijski fokusiran PCI–DSS (Payment Card Industry Data Security Standard) ili BITS (Shared Assessment Program), SAD fondacija za nansijske servise, kao deo upravljakog okvira [4, 5]. Standard ISMS, implemenran u skladu sa GAISP principima, predstavlja skup polika, procedura i uputstava za upravljanje zaštom informacija ili upravljaki okvir na bazi polike zašte. ISMS je kompleksan sistem koji predstavlja sinergiju tehnikih i proceduralnih kontrola zašte. Implementacija ISMS podrazumeva i uspostavljanje razliih tela u organizaciji (npr. CIRT, forum, m ili odeljenje za zaštu informacija) odgovornih za upravljanje procesima zašte. Kljuni koncept uvo enja ISMS je dizajn, implementacija i dosledno sprovo enje procesa za ekasno upravljanje zaštom CIA informacija i ublažavanja rizika na prihvatljiv novo. ISMS ure uje ponašanje zaposlenih, procese i tehnologije u zaš. Svaka organizacija uspostavlja svoj jedinstveni ISMS, koji e na opmalan nain funkcionisa
U` {JJ O Š FOJ
197
i obezbedi realizaciju poslovnih ciljeva. ISMS postavlja razliita pravila, u zavisnos od vrednos informacione imovine i kulture rada. leksibilan je i može se ekasno implemenra u organizacijama razliih veliina, sa razliim potrebama i informacijama. Iako je fokusiran na upravljanje zaštom informacija, nezavisno od pa i formata informacija, ISMS podleže svim zakonima države i na taj nain posredno obuhvata sve oblas zašte informacione imovine. 1.2.4.1. Uspostavljanje ISMS Prvi korak u uspostavljanju ISMS–a je odre ivanje obima i konteksta u organizaciji, pri emu nije uvek neophodno integrisa ISMS u sve segmente poslovanja. Mogue je u jednom projektu uspostavi ISMS samo za odre eni deo organizacije, što znatno smanjuje resurse. Za kontekst ISMS–a minimimalno se moraju uze karakteriske i nain organizacije poslovanja, kako bi se obuhvali svi neophodni procesi i delovi organizacije. Saopštenje o obimu ISMS može izgleda kao: ISMS pokriva sve poslovne procese i resurse povezane sa IKTS i servisima koji se koriste za pružanje usluga u (naziv i lokacija organizacije). Pod m se podrazumeva i funkcionisanje komunikacije do radne stanice klijenta. vo je u saglasnos sa saopštenjem iz Izjave o primenljivos (S A), obaveznog dokumenta za serkaciju ISMS–a, gde se jasno vidi obim uspostavljanja ISMS–a. S A obino nije javni dokument, da se organizacija ne bi izložila riziku, zbog informacija koje sadrži [23]. Iako gotovo svaka organizacija uspostavlja jedinstven ISMS u specinom kontekstu, upravljanje zaštom informacija ima nekoliko zajednikih elemenata, zasnivanih na konceptu ciklusa neprekidnog poboljšavanja procesa zašte, odnosno, modelu planiraj, implemenraj, proveri, deluj – PDCA29 (Plan, Do, Check, Act) ciklusa, kojeg ine faze planiranja – odre uje kontekst, obim i granice ISMS i analizira i procenjuje rizik u odnosu na vrednos informacione imovine; implementacije – realizuje odluke za uspostavljanje i implementaciju dizajna ISMS; provere – pra akvnos u praksu ISMS, otkriva propuste i slabos i deniše neophodne promene i faza delovanja, koja realizuje promene na osnovu utvr enih propusta (Sl. 1.2). Unutar faza PDCA Deming je predvideo cikluse (tzv. toak unutar toka), koji povezuju strategijski menadžment i menadžment na nižem nivou u velikim kompanijama. Nakon završetka PDCA ciklusa, otpoinje novi i na taj nain se upravljanje sistemom konstantno prilago ava potrebama organizacije (Sl. 1.3). Sl. 1.2. PDCA (Plan, Do, Check Act) model [23] 29
198
Dr Edwards Deming, Out of the crisis, gde preporuuje PDCA model Walter A. Shewart-u, osnivau staske kontrole kvaliteta.
O Š FOJ
Sl. 1.3. Primena PDCA modela na ISMS prema IS /IEC 27001 Uspostavljanje ISMS nužno dovodi do promena i ue na sve aspekte organizacije. Menadžment organizacije obezbe uje sve neophodne resurse za implementaciju, funkcionisanje i održavanje ISMS, a da pri tom ne ue na osnovno poslovanje. Zaposleni/ korisnici naješe se moraju dodatno obuava za primenu zahteva ISMS, da bi prihvali promene u odnosu na stari nain rada. Klijen/korisnici moraju prihva drugaiji nain isporuke raunarskih servisa zbog promena nastalih implementacijom ISMS. Kultura rada se menja, što posebno ue na najstarije zaposlene, koji imaju izgra ene radne navike, a suoeni sa novim pravilima ponašanja, mogu ispolji pad morala tokom implementacije i primene ISMS. Obavezno vlasništvo nad objekma informacione imovine, može izazva stres kod odgovornih zaposlenih. Normavi mogu zahteva dodatno angažovanje zaposlenih za pisanje polike zašte, koja mora bi uskla ena sa nekim od zakona u državi. Krini faktori za ekasno uvo enje ISMS–a u organizaciju mogu bi: uskla enost polike, ciljeva i prakse zašte sa zahtevima poslovanja, konzistentnost sa kulturom rada i korisnika prihvatljivost ISMS, integrisanje svih uloga u ISMS u redovno poslovanje organizacije, menadžerska podrška, tako da zaposleni ozbiljno shvate procese ISMS, razumevanje svih zaposlenih o znaaju zašte i ucaju na poslovanje, razvoj sves svih zaposlenih o potrebi zašte, riziku i kako ga ublažava, potpuna komunikacija izme u ma za uvo enje ISMS i ostalih zaposlenih, neprekidna obuka i edukacija zaposlenih u oblas zašte i procesni pristup, upravljanje i poboljšavanje procesa PDCA modela i ISMS.
U` {JJ O Š FOJ
199
1.2.4.2. Administracija sistema zaštite Administracija sistema zašte u distribuiranom IKTS, ukljuuje prikupljanje, analizu i raspodelu informacija, neophodnih za rad servisa i mehanizama zašte. Primeri su distribucija kriptografskih kljueva, analiza parametara zašte, kongurisanje log datoteka itd. Konceptualna osnova administracije zašte je baza informacija za upravljanje zaštom, koja može da postoji kao jedinstveni ili distribuirani repozitorijum. Svaki od implemenranih sistema treba da raspolaže informacijama, neophodnim za implementaciju izabrane polike zašte. U skladu sa preporukama ITU X.800 zadaci se dele na administraciju sistema, servisa i mehanizama zašte [10]. Administracija sistema zašte u IKTS ukljuuje implementaciju aktuelne polike zašte, saradnju sa drugim administratorima (sistema, mreže itd.), reagovanje na incidente, internu i eksternu reviziju, uspostavljanje i održavanje bezbednosnog stanja IKTS. Administracija servisa zašte obuhvata bezbednosnu klasikaciju i kategorizaciju informacione imovine, denisanje kriterijuma za izbor mehanizama za realizaciju servisa zašte i saradnju sa drugim administratorima za usaglašavanje servisa zašte. Administracija mehanizama zašte odre uje se na bazi skupa implemenranih mehanizama zašte, a pino obuhvata akvnos, kao što su upravljanje kljuem (generisanje i distribucija), upravljanje kriptozaštom (uvo enje, sinhronizacija i administracija kriptografskih parametara i mehanizama itd.), upravljanje identetom i pristupom (distribucija lozinki, kljueva, smart karca, ACL itd.), upravljanje dopunom saobraaja (razrada i podrška pravila, izdavanje karakteriska dopune saobraaja – frekvencije, obima itd.), upravljanje ruranjem saobraaja (dodeljivanje poverljivih kanala veze) i upravljanje registrima (distribucija informacija i administriranje servisa). 1.2.4.3. Metrika za evaluaciju upravljanja sistemom zaštite Za odre ivanje efekvnos i ekasnos ISMS procesa, uvodi se metrika performansi procesa upravljanja. Kriterijumi za izbor metrike ISMS procesa mogu bi brojni parametri kao što su: broj veih incidenata; broj implementacija, koje kasne iz bezbednosnih razloga; broj krinih poslova zavisnih od IKTS sa planom za konnuitet poslovanja; broj krinih objekata infrastrukture IKTS sa automatskim nadzorom; procenat poboljšanja sves o ekim i principima zašte; potpuna usaglašenost ili dopuštena odstupanja od bezbednosnih zahteva; procenat razvoja i dokumentovanja plana i polike zašte itd. Kako ISMS standard ne nudi nikakvu metriku za merenje performansi ISMS procesa, može se koris model progresivnog sazrevanja procesa zašte – SSE CMM (IS /IEC 21827), specino primenjen na procese upravljanja zaštom [22]. Skala nivoa sazrevanja prikazana je na Sl. 1.4, gde je:
200
O Š FOJ
Sl. 1.4. Skala sazrevanja procesa upravljanja 0. NIVO: ne postoji — proces upravljanja zaštom nije implemenran. 1. NIVO: inicijalni proces — procesi upravljanja su ad hoc i neregularni. 2. NIVO: ponovljiv — procesi upravljanja slede regularni obrazac i ponovljivi su. 3. NIVO: denisan — procesi upravljanja su ponovljivi, denisani i dokumentovani. 4. NIVO: upravljan — procesi upravljanja su nadzirani i kvantavno mereni. 5. NIVO: opmizovan —primenjuje se najbolja praksa upravljanja zaštom.
Izlazni rezulta procesa upravljanja zaštom informacija mogu se grupisa u eri osnovne oblas: 1. strategijsko usklaivanje bezbednosnih i poslovnih zahteva, 2. novu poslovnu vrednost obezbe uje set najboljih praksi zašte, 3. upravljanje rizikom obezbe uje prihvaen i usaglašen prol rizika, 4. merenje performansi procesa upravljanja zaštom denisanom metrikom.
1.2.5. Otvoreni problemi upravljanja zaštitom inormacija Osnovni problemi upravljanja zaštom spadaju u dve glavne kategorije: dobijanje neophodne podrške menadžerske strukture za izvršavanje strateškog plana implementacije ISMS i dobijanje neophodne podrške zaposlenih organizacije za implementaciju polike zašte [1, 10, 23, 25, 55]. U teoriji i praksi zašte evidenrani su otvoreni problemi u proceni ranjivos i to: razumevanje stvarnog ucaja ranjivos i rizika za IKTS u realnom okruženju; otežan rad administratora u analizi obimnih izveštaja o ranjivos sistema; znaajno kašnjenje razvoja bezbednosnih popravki i korekcije ranjivos i; potrebno je više istraživanja rešenja proakvne zašte, kao što su: a. standardizacija alata za procenu ranjivos sistema (Nmap, Nessus Security, Scanner, ISS Internet Security Scanner, Symantec – NetRecon itd), b. uskla enost standardizacionih tela za procenu ranjivos (CIDF – Common Intrusion Detecon Framework, IETF – Internaonal Engineering Task Force, IDWG – Intrusion Detecon Working Group, CVE – Common Vulnerabilies and Exposures...), c. izvo enje važnih projekata za procenu ranjivos: CVE lista standardnih imena za javno poznate ranjivos i druge izloženos sistema [32] i d. usvajanje standardnog formata izveštaja o analizi ranjivos – AR (Vulnerability Assesment Report Format) [61].
U` {JJ O Š FOJ
201
U oblas monitoringa zašte i IDPS nedostaju: standardizacija interoperabilnos i usaglašavanje tela za standardizaciju; idenkovanje ogranienja i tekuih problema IDPS; otvorena pitanja ltriranja linih i podataka o organizaciji iz sirovih podataka u procesima zašte privatnos, analize ranjivos i monitoringa IDPS; kompromis izme u zahteva za privatnost i kapaciteta IDPS; deljenje podataka izvan domena zašte, sa održavanjem privatnos; uvo enje analize ranjivos/privatnost (SPVA) slino analizi ranjivos/pretnje i dr. 1.2.6. Preporuke za upravljanje zaštitom inormacija Standard ISMS sugeriše da svaka organizacija treba da deniše, implemenra, dokumentuje i održava najmanje sledee [23]:
obim i granice ISMS (4.2.1a) i bezbednosne ciljeve (4.3.1a); ISMS Poliku, kao okvir za set pravila komponen zašte (4.2.1b); opis pristupa (4.2.1c) ili metodologije (4.3.1d); izveštaj o proceni rizika, koji idenkuje informacionu imovinu u opsegu ISMS, pretnje, iskorisvos i ucaje koji mogu doves do gubitka CIA (4.2.1c,d,e,f,g i 4.3.1e); plan ublažavanja rizika, koji idenkuje evaluirane opcije za tretman faktora rizika (4.2.1f i 4.2.2b); prihvatanje preostalog rizika i akreditaciju ISMS, ime menadžment prihvata preostali rizik i odobrava primenu ISMS (4.2.1h i 4.2.1i); izjavu o primenljivos (SOA), koja deniše ciljeve izabranih kontrola i kontrole sa razlozima njihovog izbora, idenkuje ciljeve tekuih i implemenranih kontrola i dokumentuje razloge za iskljuivanje bilo kojeg cilja kontrola zašte (4.2.1g, Aneks A, koji sumira kontrole iz IS /IEC 27002); dokumentovanje procedura za efekvno planiranje, operavno upravljanje i kontrolu procesa zašte i opis metrika efekvnos kontrola zašte (4.3.1g); evidencije operavne primene ISMS, kao što su odluke menadžera, rezulta sistema nadzora i procedura revizije (audit–a), procene rizika, izveštaja interne kontrole i revizije – ISMS, plana itd. (4.2.3, 4.3.1 i 4.3.3).
Standard IS /IEC 27001 sugeriše izradu najmanje sledeeg skupa polika/pravila zašte (lista nije zakljuena): 1. 2. 3. 4. 5. 6.
sveobuhvatna ISMS Polika (ISMS Policy); polika kontrole pristupa (Access Control Policy) ; polika istog stola i ekrana raunara (Clear Desk and Clear Screen Policy) ; polika arhiviranja i zadržavanja podataka (Data Archive And Retenon Policy); polika klasikacije informacija (Informaon Classicaon Policy); polika odlaganja informacija / medija / opreme (Disposal of Informaon / Media / Equipment Policy); 7. polika zašte elektronske trgovine (eCommerce Security Policy); 8. polika prihvatljive upotrebe e–pošte (E–mail Security/Acceptable Use Policy); 9. polika procene rizika bezbednos informacija (Informaon Security Risk Assessment Policy);
202
O Š FOJ
10. polika zašte laptop raunara (Laptop Security Policy); 11. polika mobilnog raunarstva i telerada (Mobile Compung and Teleworking Policy); 12. polika zašte iznajmljenih resursa (Outsourcing Security Policy); 13. polika upravljanja lozinkom (Password Policy); 14. polika tesranja na proboj (Penetraon Tesng Policy); 15. polika personalne zašte (Personnel Security Policy); 16. polika zike zašte (Physical Security Policy); 17. polika zašte privatnos (Privacy Policy); 18. polika zašte autorskih prava na sover (Soware Copyright Policy); 19. polika zašte od spama (Spam Policy); 20. polika oporavka i bekapovanja sistema/podataka (System/data Backup and Recovery Policy); 21. polika nadzora korišenja sistema (System Usage Monitoring Policy); 22. polika udaljenog pristupa tree strane (Third Party Access Policy); 23. polika zašte od virusa/malicioznih programa (Virus/malware Policy).
Preporuene procedure zašte informacija daju smernice za procese ukljuene u implementaciju kontrola zašte informacija: 1. procedura bekapovanja; 2. procedure revizije i procene usaglašenos; 3. procedura izveštavanja o incidentu; 4. procedura revizije logike kontrole pristupa; 5. procedura upravljanja bezbednosnim zakrpama; 6. procedura administracije zašte; 7. procedura ojaavanja sistema (System Hardening Procedure); 8. procedura tesranja sistema zašte; 9. procedura za korisniko održavanje.
Procedure za upravljanje ISMS, koje obezbe uju smernice za ukljuene procese: 1. 2. 3. 4. 5. 6. 7.
procedure za korekvne/prevenvne akcije; procedura za kontrolu i reviziju evidencija i dokumenata; procedura interne kontrole ISMS; materijali za razvoj sves o potrebi zašte informacija; uputstvo za reviziju ISMS; radna tabela za analizu rizika bezbednos informacija; radna tabela za MEA analizu rizika (koris modele grešaka i analizu efekata, sa fokusom na potencijalne posledice) itd.
U` {JJ O Š FOJ
203
Preporueni proli profesija u oblas zašte informacija (uloge, odgovornos, kompetencije itd.) za poslove u ISMS: 1. uloge za planiranje konnuiteta poslovanja i oporavak sistema; 2. vlasnik informacione imovine (Informaon Asset Owner); 3. analiar zašte informacija (Informaon Security Analyst); 4. projektant sistema zašte (Informaon Security Architect); 5. menadžer zašte informacija (Informaon Security Manager); 6. referent (specijalista) zašte informacija (Informaon Security Ocer); 7. verikator (tester) zašte informacija (Informaon Security Tester); 8. revizor IKTS (ICT Auditor); 9. administrator zašte (Security Administrator).
Preporuene formalne evidencije u primeni ISMS): 1. planovi za konnuitet poslovanja i izveštaji o tesranju/vežbama; 2. izveštaji i liste provera za procenu ucaja na poslovanje; 3. planovi za oporavak IKTS od vanrednih doga aja i izveštaji o tesranju/vežbama; 4. obrasci za izveštavanje i izveštaji o kompjuterskom incidentu; 5. revizija lista za proveru arhitekture i dizajna tehnikog rešenja zašte; 6. liste za provere/upitnici za pretnje i ranjivos.
ISMS radna dokumenta: 1. registar bekapovanja/arhiviranja (detalji o mediju, podacima, povima i obimu); 2. registar plana za konnuitet poslovanja (detalji o svim BCP – status, vlasništvo, obim, datum poslednjeg tesranja itd.); 3. baza podataka/registar inventara informacione imovine; 4. registar faktora rizika bezbednos informacija (naziv, vlasnik i priroda rizika, odluka menadžmenta za redukciju/transfer/izbegavanje/rizika itd.); 5. registar kompjuterskih incidenata (može se derivira iz log datoteka); 6. lista privilegovanih/administratorskih pristupa i ovlašenja; 7. registar licenciranih programa (snabdeva, p i uslovi licence/restrikcije, vlasnik/ menadžer odnosa sa snabdevaem); 8. lista standardnih programa desktop raunara (katalog dozvoljenih sistemskih i aplikavnih programa za desktop raunare); 9. registar sistemskih zakrpa i statusa AVP (verovatno automazovan); 10. registar kontakata i pristupa TTP (ugovorne, kontaktne i druge informacije o TTP).
204
O Š FOJ
1.3. REZIME U procesu upravljanja, GAISP ini osnovni skup konzistentnih principa za upravljanje sistemom zašte informacija ili za integralno upravljanje IKTS sa implemenranim (pod)sistemom zašte. Upravljanje sistemom zašte odnosi se na odre eni broj infrastrukturnih servisa koji obezbe uju normalni rad komponen zašte i IKTS u celini. Najznaajniji resurs menadžera za upravljanje zaštom je m specijalista zašte (CIRT). Integralno upravljanje sa IKTS i sistemom zašte (ITU X.700) integriše skupove informacionih servisa i servisa zašte, gde mehanizmi zašte obezbe uju visoku raspoloživost informacionih servisa, a upravljanje pouzdan rad i uskla eno funkcionisanje oba skupa pod kontrolom administratora sistema. Proces obuhvata monitoring, reviziju i koordinaciju komponen podsistema upravljanja. U skladu sa ITU X.800 zadaci administracije zašte dele se na tri oblas – administraciju IKTS, servisa i mehanizama zašte. Dobru metodologiju za uspostavljanje procesa za upravljanje zaštom informacija obezbe uje standard IEC/IS 27001 (ISMS). Glavni cilj upravljanja zaštom informacija je uspostavljanje održivog programa, selekcija i izbor potrebnih resursa i revizija sistema zašte za održavanje rizika na prihvatljivom nivou. snovna komponenta programa zašte je polika zašte zasnovana na proceni rizika, koja odražava spremnost organizacije da š svoje informacije. Za merenje performansi procesa upravljanja uspešno se koris metrika modela sazrevanja procesa zašte (SSE – CMM): 0 – ne postoji, 1 – inicijalni proces, 2 – ponovljiv, 3 – denisan, 4 – kvantavno upravljan, 5 – opmizovan). Osnovni problemi upravljanja zaštom su obezbe ivanje podrške menadžerske strukture za izvršavanje strateškog plana i korisnike prihvatljivos za realizaciju polike zašte. Preporuke za efekvno upravljanje sistemom zašte informacija (ISMS) obezbe uje standard IS /IEC 27001. tvoreni su brojni problemi u oblas uskla ivanja i standardizacije tehnika upravljanja i izveštavanja rezultata procesa zašte (evaluacije, procene ranjivos, validacije izlaza IDPS sistema i dr.).
1.4. KLJUNI TERMINI Administracija zašte: ukljuuje realizaciju polike zašte, saradnju sa drugim administratorima, reagovanje na incidente, nadzor i kontrolu sistema zašte. Administracija mehanizama zašte: odre uje se na bazi skupa implemenranih mehanizama zašte i obuhvata brojne akvnos, koje opisuju procedure.
Administracija servisa zašte: obuhvata klasikaciju i odre ivanje objekata zašte, izradu pravila za izbor mehanizama zašte i saradnju sa drugim administratorima. Administracija zašte u distribuiranom sistemu: dodatno ukljuuje prikupljanje i raspodelu informacija neophodnih za rad servisa i mehanizama zašte.
U` {JJ O Š FOJ
205
Izjava o primenljivos – SOA (Statement Of Applicability): dokument kojim menadžment potvr uje i prihvata primenljivost ili neprimenljivost kontrola za tretman rizika. Upravljanje sistemom zašte: odre eni broj infrastrukturnih servisa koji obezbe uju normalni rad komponen, ure aja i sistema zašte informacija.
Zapis (Record): evidencija objekvnog dokaza koji pokazuje da je akvnost preduzeta.
1.5. PITANJA ZA PONAVLJANJE 1. Za upravljanje zaštom mogu se primeni sledei principi upravljanja rizikom: a. procena rizika i odre ivanje bezbednosnih potreba b. uspostavljanje organizacije za centralno upravljanje c. GAISP principi zašte d. implementacija polike i rentabilnih kontrola zašte e. razvoj sves o potrebi zašte i obuka korisnika u zaš f. nadzor i revizija efekvnos sistema zašte i evaluacija uskla enos g. serkacija i akreditacija sistema zašte 2. Ako u IKTS nije implemenran sistem zašte, treba ukljui najmanje sledee upravljake kontrole: a. razvoj polike zašte b. zika zašta c. obuka i razvoj sves o potrebi zašte d. nametanje obaveza i elementarna prakna obuka u oblas zašte e. personalna zašta f. obavezna razmena informacija o incidenma g. denisanje i saradnja nosioca odgovornos u oblas zašte 3. Prvi pristup upravljanja zaštom informacija ukljuuje: a. trera upravljanje zaštom kao integralni proces IKTS i sistema zašte
206
O Š FOJ
b. odre eni broj infrastrukturnih servisa koji obezbe uju normalni rad IKTS i sistema zašte c. mehanizmi zašte obezbe uju visoku raspoloživost informacionih servisa d. kompleksnost IKTS i sistema zašte dovodi do postepene degradacije servisa IKTS i sistema zašte, ako procesi nisu sinhronizovani e. integrisano upravljanje obezbe uje normalno i uskla eno funkcionisanje pod kontrolom sistem administratora f. zahteva dobru organizaciju i sinhronizaciju upravljanja zaštom i IKTS 4. Drugi pristup upravljanja zaštom: a. trera upravljanje sistemom zašte kao integralni faktor IKTS i sistema zašte b. obuhvata odre eni broj infrastrukturnih servisa koji obezbe uju normalni rad IKTS i sistema zašte c. mehanizmi zašte obezbe uju visoku raspoloživost informacionih servisa d. kompleksnost IKTS i sistema zašte dovodi do postepene degradacije servisa IKTS i sistema zašte, ako procesi nisu sinhronizovani e. integrisano upravljanje obezbe uje normalno i uskla eno funkcionisanje pod kontrolom sistem administratora f. zahteva dobru organizaciju i sinhronizaciju upravljanja zaštom i IS
5. Klasa upravljakih kontrola najbolje prakse zašte sadrži sledee familije kontrola: a. upravljanje konguracijom, upravljanje otkazima, upravljanje funkcionisanjem, upravljanje vanrednim doga ajem i incidentom b. upravljanje programom, bezbednosnu procenu i autorizaciju, planiranje sistema zašte, analizu i procenu rizika, akviziciju sistema i servisa zašte c. upravljanje zaštom, upravljanje kontrolnim informacijama, planiranje sistema zašte, analizu i procenu rizika, akviziciju sistema i servisa zašte 6. U skladu sa standardom IS /IEC 27001 za upravljanje sistemom zašte informacija kljuni koraci su: a. idenkovanje pretnji i procena rizika b. planiranje i delovanje c. provera i korekcije ranjivos d. implementacija kontrola zašte i uspostavljanje polike zašte 7. Sistem idenkatora (benchmark) za razvoj upravljanja zaštom informacija sadrži tri faze: a. Benmark sistem, uspostavljanje polike zašte, implementacija kontrola zašte b. idenkovanje pretnji, procena rizika, uspostavljanje polike zašte, implementacija kontrola zašte c. Benmark sistem, procena rizika, implementacija kontrola zašte 8. Generiki proces M upravljanja IKTS i zaštom informacija obuhvata sledee oblas upravljanja: a. informacionu, programsku, komunikacionu i organizacionu b. informacionu, funkcionalnu, komunikacionu i organizacionu c. programsku, funkcionalnu, komunikacionu i organizacionu d. informacionu, strukturnu, komunikacionu i organizacionu
9. U skladu sa preporukama ITU X.700 struktuirani integrisani proces upravljanja obuhvata upravljanje: a. programom zašte, konguracijom, otkazima, funkcionisanjem, topologijom mreže b. vanrednim doga ajem, kompjuterskim incidentom, konguracijom, otkazima, funkcionisanjem c. konguracijom, otkazima, funkcionisanjem, zaštom i kontrolnim informacijama d. polikom zašte, administracijom zašte, otkazima, funkcionisanjem, zikom zaštom i kontrolnim informacijama 10. U M upravljanja uvode se sledei pojmovi: a. objek upravljanja kljuem (generisanje i distribucija), atribu objekta, dopuštene operacije, izveštavanje i veza sa drugim objekma upravljanja b. objek upravljanja, atribu objekta, dopuštene operacije, izveštavanje i veza sa drugim objekma upravljanja c. objek upravljanja ruranjem saobraaja, atribu objekta, dopuštene operacije, izveštavanje i veza sa drugim objekma upravljanja 11. Zajedniki elemen sistema upravljanja zaštom informacija (ISMS) su: a. pripremi, izaberi m, uskladi sa polikom i implemenraj b. izbor ma za upravljanje zaštom c. planiraj, implemenraj, proveri i deluj d. kontrola i revizija sistema zašte e. planiraj, proceni rizik, izaberi kontrole, implemenraj i proveri 12. snovne kategorije preporuka i problema upravljanja zaštom su: a. obezbe ivanje neophodne podrške menadžerske strukture b. obezbe ivanje tehnikih kontrola zašte
U` {JJ O Š FOJ
207
c. obezbe ivanje potrebnog nivoa sves o potrebi zašte d. obezbe ivanje potrebne podrške zaposlenih e. obezbe ivanje ma za zaštu 13. U skladu sa preporukama ITU X.800 zadaci administratora zašte IKTS u celini su: a. saradnju sa drugim administratorima za usaglašavanje servisa zašte b. izrada aktuelne polike zašte c. upravljanje kriptozaštom d. planiranje vanrednih doga aja e. reagovanje na incidente 14. U M i procesnom pristupu, metrika za evaluaciju ISMS zasniva se na: a. metrici ISMS standarda b. metrici standarda IS /IEC 13335–3 c. metrici standarda IS /IEC 21827 d. metrici standarda IS /IEC 15405 15. Izlazni rezulta procesa upravljanja zaštom informacija mogu se grupisa u sledee osnovne oblas: a. zakonsko uskla ivanje, novi kvalitet sistema zašte, upravljanje rizikom, merenje performansi b. uskla ivanje sa praksom zašte, nova vrednost procesa zašte, merenje performansi, upravljanje rizikom c. strategijsko uskla ivanje, nova poslovna vrednost, upravljanje rizikom, merenje performansi 16. Povežite nivoe procesa upravljanja sa odgovarajuim karakteriskama: Nivo zrelos
208
Glavne karakteriske
0. nivo
a. ponovljiv — procesi upravljanja slede regularni obrazac i ponovljivi su
1. nivo
b. denisan — procesi upravljanja su dokumentovani, upoznata organizacija
2. nivo
c. ne postoji — proces upravljanja zaštom nije uopšte primenjen
3. nivo
d. inicijalni proces — procesi upravljanja su ad hoc i neregularni
4. nivo
e. opmizovan —primenjuje se najbolja praksa upravljanja zaštom
5. nivo
f. upravljan — procesi upravljanja su nadzirani i mereni
O Š FOJ
2.
UPRAVLJANJE BEZBEDNOSNIM RIZIKOM
2.1. UVOD Upravljanje bezbednosnim rizikom u IKTS, u sušni, obuhvata sveukupan proces uspostavljanja i održavanja reakvnog sistema zašte. Procena rizika, kljuna komponenta upravljanja rizikom, je proces kojim se rizik idenkuje, analizira, evaluira i procenjuje, da bi se obezbedio adekvatan i rentabilan sistem zašte. Rizik je funkcija verovatnoe da e da agent pretnje iskoris odre enu ranjivost IKTS i izazva negavne posledice za sistem i organizaciju u celini, a može bi inherentni, tekui i preostali. Nivo prihvatljivog rizika je specian za svaku organizaciju, zavisi od misije, internih standarda, vrednos imovine, kulture rada i odluke menadžmenta. to je opis rizika detaljniji, to ga je lakše razume i proceni. Misija sistema zašte je održavanje zašte na prihvatljivom nivou rizika. Procena rizika može se vrši u svim fazama razvoja životnog ciklusa IKTS. Zavisno od namene, mere i metodi ublažavanja rizika mogu se svrsta u osam grupa: izbegavanje rizika, transfer rizika, redukcija pretnji, redukcija ranjivos sistema, redukcija ucaja pretnji, detekcija i spreavanje pretnji, prihvatanje rizika i oporavak sistema. Neke mere je lakše i jeinije uves u ranoj fazi životnog ciklusa sistema. Metod za procenu rizika, razvijen na bazi generike metodologije za analizu rizika – IS /IEC TR 13335 – 3 i standarda IS /IEC 27005, NIST SP 800 – 30, zahteva akviziciju informacija o vrednos informacione imovine (A), pretnjama (T), ranjivosma (V), ucaju (U) ili proceni da e pretnje iskoris ranjivos i potencijalno uca na poslovne procese u vidu materijalne i/ili nematerijalne štete i o proceni i proraunu faktora rizika – kombinovanjem atributa A, T, V i U.
U` {JJ O Š FOJ
209
Za ublažavanje rizika biraju se i implemenraju kontrole zašte, tako da obezbede izbalansiranu i komplementarnu zaštu, tj. sistem zašte u kojem su manje ekasne mere i metode zašte dopunjene sa ekasnijim merama i metodama, a tehnike kontrole zašte sa proceduralnim.
2.2. OPŠTA METODOLOGIJA ZA UPRAVLJANJE RIZIKOM 2.2.1. Glavni principi upravljanja rizikom U modelu strateškog rizika organizacije („kue rizika“) (Sl. 2.1a)30, iz perspekve izvršnog menadžmenta, uloga bezbednos IKTS je minorna i od ma za zaštu zahteva se da IKTS bude dobro zašen, a informacije dostupne, poverljive i neizmenjene. U isto vreme, informaari znaju da je uloga IKTS odluujua, jer se veina, ako ne i sve informacije organizacije nalaze u sistemu. Drugim reima, bez bezbednos IKTS, informacioni blok strateškog rizika nije stabilan, kao ni itav sistem. Gotovo svi poslovni IKTS u Internet okruženju, izloženi su slinim bezbednosnim rizicima, koriste sline tehnologije za ublažavanje rizika i imaju sline ciljeve – zaštu CIA informacija. Preporuuje se hijerarhijski pristup upravljanju rizikom, koji podrazumeva !eksibilnu i agilnu implementaciju, vrsto povezanu sa arhitekturom i fokusiranu na ceo životni ciklus sistema. (Sl. 2.1b).
a)
b) Sl. 2.1. Model – (a) i hijerarhijski pristup upravljanju strateškim rizikom – (b)
30
210
Bartol, N., & all, Measuring Cyber Security and Informaon Assurance, IATAC, 8. 05. 2009.
O Š FOJ
unkcionalni model generikog okvira za upravljanje rizikom prikazan je na Sl. 2.2a. Za efekvno upravljanje rizikom, treba implemenra šesnaest akvnos (vide Tabelu 1.1) glavnih principa upravljanja rizikom (UR). Važan faktor za efekvnu implementaciju principa UR je njihovo ciklino ponavljanje, koje obezbe uje da polika zašte uvek ukljuuje tekue faktore rizika, približno u realnom vremenu. Ciklino upravljanje rizikom (Sl. 2.2b) obezbe uje održavanje polike zašte, nadzor, kontrolu, reviziju i upravljanje sistemom zašte [67]. U M, IKTS i okruženje se razmatraju kao jedna celina, sa sledeim objekma: ciljevi, okruženje, resursi, komponente i upravljanje [10, 66]. dnosi sistema i okruženja i stepen kontrole, koju neka organizacija može uspostavi nad okruženjem sistema, zavise u najveoj meri od obima i intenziteta skupljanja informacija, potrebnih za analizu i procenu faktora rizika. pš model za analizu i procenu bezbednosnog rizika sadrži tri konceptualne oblas – upravljanje rizikom, analizu i procenu rizika i stepen neodreenos rizika (pretnje, iskorišenja ranjivos i ucaja), koja interakvno deluje na procenu faktora rizika (Sl. 2.3).
a)
b) Sl. 2.2. Generiki okvir – (a) i ciklus – (b) upravljanja rizikom
U` {JJ O Š FOJ
211
Sl. 2.3. Generiki model za analizu i procenu rizika [67] U prvom koraku deniše se obim procene rizika. Zam se analiziraju komponente rizika – vrednost imovine (A), pretnje (T), ranjivos (V), verovatnoa ucaja (U) i zašta, kvankuju se njihovi atribu i speciciraju me usobni odnosi. Iz rezultata analize procenjuju se faktori rizika i tesra njihova prihvatljivost. U analizi ucaja faktora rizika razvija se scenario „šta ako“, u sluaju da se dogodi svaki razmatrani faktor rizika. Procenjuju se verovatnoa pojave, uestanost i intenzitet ucaja svakog faktora rizika, kao i ucaja kombinacije faktora rizika. Procena faktora rizika je valjana za odre eno vreme, iako se temeljito uradi, jer se scenario pretnji brzo menja pa se i procena rizika mora eše ažurira. Ako su faktori rizika realni, proces ulazi u okvir upravljanja rizikom, gde se mogu specicira promene zahteva za sistem ili okruženje sistema, uvo enjem razliih kontrola zašte. Procedura se ponavlja sve dok svi analizirani faktori rizika ne budu trerani ili na prihvatljivom nivou. Tok procesa upravljanja rizikom najbolje generiše kriterijume za izbor kontrola zašte, rentabilnih za ublažavanje rizika, i to ako [55]: napad postoji: implemenra pouzdane tehnike kontrole za smanjenje verovatnoe neželjenog napada; postoji iskorisva ranjivost: primeni slojevitu zaštu i projektova bezbednu arhitekturu IKTS da se sprei iskorišenje ranjivos; troškovi napada su manji od dobi: primeni takve kontrole zašte da se poveaju troškovi napada ili znaajno smanji potencijalna dobit napadaa; gubitak je suviše velik: primeni principe projektovanja i arhitekture sistema višeslojne zašte sa proceduralnim i tehnikim kontrolama zašte.
212
O Š FOJ
Primer toka procesa za uspešno održavanja rizika na prihvatljivom nivou za namerni, ali ne i maliciozni napad hakera sa Intraneta prikazan je na Sl. 2.4. [26].
Sl. 2.4. Tok procesa UR od namernog, nemalicioznog eksternog napada 2.2.2. Generiki metod kvalitativne procene rizika U procesu analize i procene bezbednosnog rizika, procenjuju se sledei atribu: vrednost informacione imovine – A, pretnje – T, ranjivos – V i ucaj – U (verovatnoa da e pretnje iskoris ranjivos i nane štetu). Procene su uvek unutar obima i granica bezbednosnog rizika i smatra se da izvan njih nema rizika [49]. Atribuma se pridružuju kvalitavni težinski faktori (numeriki: 1 – 5; 1 – 10 itd. ili tekstualni: nizak, srednji, visok; nizak, srednje nizak, srednji, srednje visok, visok itd.) koji se, zam, kombinuju, proizvodei meru relavnog rizika – Rr za specinu ranjivost. Vrednost rizika se uvek smatra relavnom, zato što se relacija zasniva na subjekvnom vrednovanju i rangiranju vrednos atributa A,T,V,U bez formalnog prorauna faktora neodreenos ovih atributa. Stohaska dimenzija rizika se u velikoj meri odnosi na to, koliko je za agenta pretnje atrakvno da iskoris ranjivost sistema. va atrakvnost odre uje prioritet akcije i direktno je proporcionalna odnosu ucaja i rizika ili verovatnoi neuspeha akcije, koju agent pretnje preduzima (Sl. 2.5).
U` {JJ O Š FOJ
213
Sl. 2.5. Dijagram odnosa „ucaj–verovatnoa neuspeha“ napada Koristan nain za pore enje faktora rizika je, tako e, odnos koris za napadaa i rizika kojem se izlaže. to je korist za napadaa vea u odnosu na rizik, kojem se izlaže, iskorišavanjem ranjivos za napad na sistem, može se oekiva eša materijalizacija tog faktora rizika. Napada nastoji da ostvari što veu korist uz što manji rizik i takav napad e bi prioritetan. Za razumevanja procesa procene rizika korisno je razume prirodu i doprinos svakog pojedinanog atributa ukupnom riziku, kroz primer intuivne kvalitavne procene atributa Rr (Tabeli 2.1). Tabela 2.1. Primer intuivne procene atributa A,V,T i relavnog rizika (Rr) Primer scenarija
Procena A
Procena V
Procena T
Procena Rr
Korpa sa mesom i vukovima u šumi
visoka
visoka
visoka
visoka
Prazna korpa sa vukovima u šumi
niska
visoka
visoka
niska
Meso u hermeki zatvorenom kontejneru sa vukovima u šumi
visoka
niska
visoka
niska
Korpa sa mesom na kuhinjskom stolu
visoka
visoka
niska
niska
2.2.3. Formalna metodologija za procenu rizika Dva, svetski, najpoznaja enteta za standardizaciju i najbolju praksu zašte informacija (IS /IEC 27005 i NIST SP 800-30), razvili su metodologiju za upravljanje rizikom kroz eri razliite akvnos: procena rizika, ublažavanje rizika, prihvatanje rizika i ko-
214
O Š FOJ
munikaciju rizika. IS /IEC 27005 metodologija procene rizika sadrži tri glavne akvnos: idenkaciju, analizu i evaluaciju rizika. NIST standard predlaže sveobuhvatnu procenu rizika, koja ukljuuje devet primarnih koraka, koji se danas smatraju najboljom industrijskom praksom za procenu rizika: (1) karakterizacija sistema, (2) idenkacija pretnji, (3) idenkacija ranjivos, (4) analiza kontrola, (5) odreivanje verovatnoe, (6) analiza ucaja, (7) odreivanje rizika, (8) preporuke kontrola zašte i (9) dokumentacija procene rizika. Me um, zbog faktora neodre enos, sistemi zašte bazirani na bilo kojoj metodologiji za procenu rizika, daju organizaciji samo privid da je zašena, jer se ne zasniva na stvarnom stanju rizika. Zato svaki m za UR mora idenkova razlike izme u privida i stvarnog stanja rizika IKTS i što ekasnije ih otklanja [67, 24]. U poslednjim decenijama evolucije psihologije i neurologije, obezbe eni su dokazi o ljudskoj percepciji rizika. Ljudi koriste razliite mentalne kalkulatore koji ih, zavisno od toga na emu se zasnivaju, ine dobrim ili lošim proceniteljima rizika. Ipak, ovek je, esto, daleko od toga da sam izvrši realnu procenu rizika. Na primer, percepcija znaaja rizika se poveava, itajui o najgorim scenarijima u medijima, pri emu se gubi iz vida verovatnoa tog doga aja. Pareto princip, poznat kao i pravilo 80:20, odnosno, da 80% efekata dolazi od 20% uzroka, u potpunos se može primeni na procenu rizika: 80% posledica od realizacije rizika, dolazi od iskorišenja 20% postojeih ranjivos. Problem je u tome, kako idenkova h 20% postojeih ranjivos. Grakoni ucaj-verovatnoa i korist-rizik, mogu pomoi da se primeni Pareto princip. U odnosu na hronian nedostatak sredstava za ublažavanje svih faktora rizika, koje m za upravljanje rizikom predloži, mogu se idenkova dva skupa faktora rizika: rizik sa najveim ucajem, tj. koji ozbiljno poga a organizaciju i rizik sa najveim odnosom korist-rizik za napadaa, tj. onaj koji je ekstremno privlaan za napadaa (gotovo bez rizika, a sa velikom dobi). Dakle, potrebno je doda stohasku dimenziju u oba seta. Baze podataka koje skupljaju informacije o kompjuterskim incidenma u svetu, mogu pomoi da se doga aj rizika u organizaciji proceni sa veom verovatnoom i da m za UR bolje razlikuje verovatan rizik od mogueg. Dobar pristup proceni rizika je odre ivanje prioriteta za akciju tretmana rizika i troškove na bazi Parteo principa 80:20. U prvom koraki treba idenkova i implemenra, kontrole za ublažavanje krinih faktora rizika, sa – (1) najveim ucajem, (2) najveom verovatnoom i (3) najveim odnosom korist/rizik za napadaa, a, zam, za one faktore rizika, koji imaju procenu visok, barem u dve od ove tri dimenzije. Taksonomija rizika mogua je u odnosu na više kriterijuma. U odnosu na oblast izlaganja, riziku su izloženi: ljudski faktor, tehnologija, okruženje i poslovni procesi. U odnosu na izvor rizik može bi operavni – dolazi od funkcionisanja organizacije i strateški – dolazi od poslovnih, socijalnih, polikih, ekonomskih i tehnoloških faktora. Specijalni p strateškog rizika je rizik za ugled organizacije, koji nastaje posle realizacije rizika
U` {JJ O Š FOJ
215
bilo kojeg pa i prirode (primer je kompromitacija web servera banke). Alternavno, u odnosu na izvor, rizik se može podeli na hazardni – od zikog okruženja i nansijski – od kredita, in!acije, tržišnih cena itd. U odnosu na ucaj rizik se može, sa dovoljnom tanošu, rangira u kvalitavnom pristupu sa: visok, srednji, nizak, a u kvantavnom – izrazi u novanim jedinicama oekivanih godišnjih gubitaka ( GG), koji bi nastali da nema kontrola za ublažavanje rizika. 2.2.3.1. Uspostavljanje konteksta za procenu rizika U standardu IS /IEC 27005 proces uspostavljanja konteksta za procenu i analizu rizika odvija se kroz eri faze: 1. denisanje osnovnih parametara za upravljanje rizikom; 2. denisanje obima i granica analize i procene rizika; 3. uspostavljanje i organizacija ma za upravljanje rizikom; 4. uspostavljanje strukture i procesa za procenu rizika. 1. Denisanje osnovnih parametara za upravljanje rizikom ukljuuje odre ivanje potencijalno raspoloživih resursa za analizu i procenu rizika: a. izabra odgovarajui pristup/metodologiju za procenu rizika – IS /IEC TR 13335-3, IS /IEC 27005, NIST SP 800-30, CRAMM, CTAVE, BAR itd., pomone alat za proraun faktora rizika (RA2, C BRA, HESTIA i dr.), uzorke radnih tabela i standardne taksonomije pretnji i ranjivos; b. denisa kriterijume za evaluaciju rizika – legalne zahteve, ugovorne obaveze, operavne i poslovne gubitke i dr; c. uspostavi kriterijume za procenu ucaja rizika – operavne, tehnike, nansijske, legalne, normavne, socijalne i dr; d. uspostavi kriterijume za prihvatanje rizika – mogui su razlii nivoi praga prihvatanja rizika u istoj organizaciji; e. denisa potencijalno raspoložive resurse – za uspostavljanje ma za UR u organizaciji, izbor i implementaciju kontrola zašte za tretman rizika. 2. Denisanje obima i granica analize i procene rizika može da ukljui strateške i kratkorone poslovne ciljeve, poslovne procese i strategiju razvoja, poliku zašte organizacije, legalne i normavne zahteve, oblast primene i razloge za iskljuivanje nekog objekta iz procesa UR. Granice procesa UR pino ukljuuju: poslovne ciljeve i poliku, istu informacionu imovinu, ljude, ziko i socijalno–kulturološko okruženje i poslovne procese i akvnos. 3. Uspostavljanje i organizacija ma za upravljanje rizikom ukljuuje idenkaciju i analizu relevantnih uesnika, izbor lidera i lanova ma, denisanje uloga i odgovornos svih uesnika i uspostavljanje zahtevanih odnosa i potpune komunikacije izme u ma i ostalih uesnika.
216
O Š FOJ
4. Uspostavljanje strukture procesa procene rizika ukljuuje uspostavljanje konteksta za upravljanje rizikom, idenkovanje, analizu, evaluaciju i procenu rizika, tretman i prihvatanje preostalog rizika (Sl. 2.6).
Sl. 2.6. unkcionalni model procesa procene rizika U procesu procene rizika zahteva se potpuna komunikacija, koja ukljuuju sakupljanje informacija za idenkaciju faktora rizika, analizu toka informacija za izbegavanje/ redukciju rizika, konsultacije za relevantne uesnike, radi boljeg razumevanja procesa UR itd. Plan komunikacije treba razvi u ranoj fazi procesa. Kvalitet procesa UR, skupljanje informacija o riziku i otpornost sistema zašte na proboj, obezbe uju se izradom procedure za UR. Glavni cilj izrade procedure za UR je da demonstrira generalni stav organizacije prema zaš i smanji ucaj proboja sistema zašte na poslovne procese. Nadzor, kontrola i revizija procesa UR idenkuju promene faktora rizika u ranoj fazi. Glavni cilj je odredi relevantnost tekue procene rizika i po potrebi preduzima korekvne akcije, ukljuujui redenisanje: konteksta, kriterijuma za evaluaciju rizika, pristupa i metodologije za procenu rizika, opcija tretmana rizika, metoda komunikacije itd. Predmet kontrole i revizije u procesu UR, mogu bi zakonski okvir, okruženje, konkurencija, kriterijumi za evaluaciju rizika, itd.
U` {JJ O Š FOJ
217
2.2.3.2. Proces analize i evaluacije rizika Proces za procenu rizika obuhvata faze analize (idenkacije i esmacije) i evaluacije rizika. Analiza rizika podrazumeva analizu svakog faktora rizika, u odnosu na to zašto i kako može nasta. aktore rizika treba idenkova, a zam izvrši esmaciju. Idenkacija faktora rizika mora bi sveobuhvatna, struktuirana i argumentovana. Korisno je idenkova faktore rizike koje treba trera pod kontrolom organizacije, ali i izvan te kontrole. aktori rizika se mogu nalazi u oblas imovine (A), kombinovanih pretnji ( T) i ranjivos (V), a idenkuju se u odnosu na verovatnou ucaja ili da e pretnja/e iskoris ranjivost/i i nane štetu. U ovoj fazi se denišu i neprihvatljive posledice ucaja faktora rizika, kao i primenljivi metodi za idenkaciju faktora rizika – ek liste, intervjui, sistemska analiza i sistem inženjerske tehnike. Oekivani izlazi iz ove faze procesa analize rizika su dokumen: inventar informacione imovine, taksonomija relevantnih pretnji i taksonomija relevantnih ranjivos. Esmacije parametara rizika može bi kvantavna ili kvalitavna stasko – numerika aproksimacija. va faza analize rizika ukljuuje sve faktore neodre enos u proceni rizika (NIST SP 800-30). aktori neodre enos u proceni rizika mogu se smanji primenom formalnih modela i složenog matemakog aparata, što je nerentabilno i prakno se retko koris. Sasvim prihvatljiv metod redukcije faktora neodre enos u proceni rizika je izbor najnepovoljnije esmacije, koja daje najvei rizik, ime se proakvno ue na izbor robustnijih kontrola zašte za efekvniji tretman rizika. Na primer, parametri rizika (A, T, V), relavno nezavisnih objekata mogu se u esmaciji Rr množi ili sabira: Rr= A • V • |T, ili Rr=A + V + |T (3.1) Množenjem parametara rizika umanjuju se posledice ucaja faktora neodre enos na tanos procene rizika, pa je bolja aproksimacija od sabiranja parametara rizika. Idenkacija i esmacija informacione imovine (A) obuhvata dve kljune kategorije – listu inventara i bezbednosnu kategorizaciju i klasikaciju imovine. Pod inventarom informacione imovine u standardu se podrazumevaju svi materijalni i nematerijalni objek koji imaju neposredan i posredan znaaj za bezbednost informacija. Klasikacija informacione imovine, prema standardu IS /IEC 27001, prepoznaje šest kategorija grupisanih u istu informacionu imovinu, ziku imovinu i humanu imovinu, ali ostavlja i mogunost da organizacija uvede i nove kategorije ukoliko postoji potreba. U skladu sa obimom i nivoom procenjenog rizika, inventar imovine organizacije, treba srazmerno, ali ne previše detaljno, grupisa u bezbednosne kategorije, da bi se smanjila kompleksnost analize i procene rizika. vo je veoma znaajna faza, jer predstavlja ulaz u proces analize rizika. Propus u izradi ove liste mogu ima velike posledice, jer se nee trera kroz proces analize, procene i ublažavanja rizika. 218
O Š FOJ
Svi objek A treba da imaju svoje vlasnike (staraoce), odnosno da za njih budu zaduženi neki ente organizacije. Vlasništvo nad informacijama mogu ima poslovni procesi, denisani skup akvnos, aplikacije, denisane grupe podataka i zaposleni. Runski poslovi sa vlasnikim informacijama ili objekma imovine mogu bi delegirani, ali odgovornost ostaje na vlasniku. Vlasnici koji su zaduženi za objekte A, odgovorni su za klasikaciju informacija i bezbednosnu kategorizaciju imovine, odre ivanje i periodinu proveru prava pristupa (ovlašenja i privilegija). Informacije mogu ima razliite stepene osetljivos i krinos za poslovanje. Cilj klasikovanja informacija je održavanje odgovarajueg nivoa zašte. Informacije treba klasikova po potrebi, prioritema i oekivanoj poverljivos prilikom upotrebe. Neke od njih zahtevaju posebne tretmane i stepene specijalne zašte. ema za klasikovanje informacija treba da sadrži stepene osetljivos i uputstva za upotrebu u zavisnos od stepena osetljivos. dgovornost za klasikaciju informacija snosi vlasnik. U praksi se naješe uspostavlja nekoliko stepena klasikacije informacija, na primer: javne, interne, poverljive, strogo poverljive itd. Klasikacionu šemu i mere u odnosu na klasikaciju svaka organizacija kreira prema svojim potrebama i mogunosma. Bitno je napomenu da je u praksi gotovo nemogue nai organizaciju koja ima savršen sistem klasikacije informacija, iz nekoliko razloga. Informacije se esto ne klasikuju, zaposleni se ne pridržavaju instrukcija i mera iz klasikacione šeme ili se zahteva višekratna primena klasikacije nad istom informacijom (što je najteže izvodljivo). Zam, informacije tokom korišenja uestvuju u procesima, mogu bi podložne promeni klasikacije u odnosu na vremenski period (neke strogo poverljive, to više nisu posle odre enog vremena), a esto se ukazuje i potreba za promenom vlasnika informacije u procesu. Taj komplikovani proces nije uvek jednostavno ispra, pa sistem klasikacije informacija uvek treba poboljšava. Na ovaj proces se tako e može primeni PDCA model, kao nain poboljšanja sistema klasikacije, što je sa aspekta ISMS Demingov toak u toku. Pravila upotrebe informacija i drugih objekata informacione imovine, treba da budu denisana, dokumentovana (kroz poliku komponen sistema zašte31) i implemenrana. Svaku razvijenu poliku, u kontekstu ISMS, odobrava glavni menadžer, a odgovornost za sprovo enje snose izvršni menadžeri i zaposleni. Za esmaciju vrednos imovine (A) mogu se izabra kvantavne ili kvalitavne skale gradacije. Kvantavna skala gradacije izražava se u novanim jedinicama troškova nabavke, oporavka ili popravke posle nanete štete, što uvek nije dovoljno za sve objekte imovine. Kvantavni metodi se uglavnom koriste u okruženjima sa rigoroznim zahtevima za procenu rizika (vojska, policija itd.). Kvalitavna skala gradacije imovine može se kreta u razliim opsezima, npr. zanemarljiv (Z), vrlo nizak (VN), nizak (N), srednji (S), visok (V), vrlo visok(VV), krian (K). Kako se za bezbednosnu kategorizaciju imovine uzima najnepovoljniji sluaj, u praksi je dovoljna skala gradacije: N, S, V. Za pripisivanje vrednos objekma A, mogu se koris brojni, nedvosmisleni i dokumentovani kriterijumi, što je i najteža faza ovog koraka, 31
NIST deniše poliku zašte: organizacije, IKTS, sistema zašte (ISMS) i komponen zašte.
U` {JJ O Š FOJ
219
kao što su: originalna nabavna cena, troškovi zamene i/ili re-kreiranja u sluaju kvara/ destrukcije, troškovi nastali gubitkom CIA, gubitak ugleda, klijenata, konkurentske prednos na tržištu i sl. Tako e, mogu se koris i generiki kriterijumi za esmaciju, kao što su: povreda zakona i/ili normava, neusaglašenost performansi poslovnih procesa, ugrožavanje privatnos linih informacija i line sigurnos, negavan ucaj na primenu zakona, narušavanje javnog reda, ugrožavanje životne sredine itd. Neki objek A mogu ima više kriterijuma za pripisivanje vrednos, na primer, plan poslovanja se može vrednova na bazi vrednos razvoja i izrade plana (Ap), vrednos unosa podataka u plan (Ad) i vrednos plana za konkurenciju (Ak). Kvantavna procena vrednos imovine ukljuuje cenu nabavke, implementacije i održavanja. Sve vrednos višestruke i kombinovane procene se maksimiziraju (prema kriterijumu bezbednosne kategorizacije – Bk). Konana vrednost koja se dokumentuje mora bi pažljivo odre ena. Na kraju, sve esmacije vrednos objekata A treba redukova na zajednikoj osnovi. Vrednost A generalno se procenjuje na bazi znaaja objekta informacione imovine za poslovanje organizacije, tako da najznaajniji (najkriniji) objek imaju najveu vrednost A. U objektnom pristupu, vrednost A se može odredi sabiranjem relavno nezavisnih atributa kvaliteta imovine, koji adivno doprinose njihovoj vrednos za organizaciju: A = P + R+ I
(3.2)
gde je: P – poverljivost, R – raspoloživost, I – integritet objekta A.
Primer izbora kriterijuma za esmaciju težinskih faktora i proraun vrednos A, koji se primenjuju na sve tri grane objekata za zaštu (P, R, I), dat je u Tabela 2.2. Tabela 2.2. Kriterijumi za odre ivanje težinskih faktora vrednos A
220
Nivo vrednos
Težinski faktor
Denicija – kriterijumi
Najve i
1
va imovina (A) ima najvišu vrednost za organizaciju i može se vrednova i više od oekivane tržišne vrednos. Gubitak može ima ozbiljan ucaj na ukupno poslovanje.
Srednje visok
2
va imovina ima vrlo visoku vrednost za procese rada, a gubitak može ima ozbiljan ucaj na neke poslove.
Srednji
3
va imovina je znaajna i može bi zamenljiva, a gubitak može ima trenutne, ozbiljne posledice za poslovanje.
Srednje nizak
4
va imovina je zamenljiva, ali je cena zamene relavno visoka, pa može ima samo umeren ucaj na ukupno poslovanje.
Nizak
5
va imovina nema stvarnu ekonomsku vrednost unutar procesa rada i može se lako i jeino zameni.
O Š FOJ
Idenkacija i esmacija ranjivos sistema (V) ukljuuje ranjivos organizacije, procesa i procedura, upravljanja, personala, zikog okruženja, arhitekture i konguracije IKTS, hardversko-soverske i komunikacione opreme, odnosno, sve ono što napada može iskoris za dobijanje odre ene prednos u odnosu na A. Ranjivost IKTS je interno svojstvo, a odnosi se na greške sovera, hardvera i konguracije. Idenkuju se ranjivos, koje procenjeni izvori pretnji mogu iskoris i nane štetu imovini A i poslovnim procesima organizacije. Postojanje ranjivos samo po sebi ne nanosi štetu; potrebno je da postoji pretnja koja je može iskoris. Ranjivost koja nema odgovarajuu pretnju i ne može se iskoris ne zahteva implementaciju kontrola zašte, ali se mora prepozna i monitorisa na promene. Ranjivost može bi i pogrešno implemenrana ili nekorektno korišena kontrola zašte, ali i vezana za atribut objekta imovine, koji nije inherentno namenjen za korisniku upotrebu. Prema IS /IEC 27005 uobiajena taksonomija ranjivos IKTS je na okruženje i infrastrukturu, hardver, sover, komunikacije, dokumentaciju, personal, procedure i opšte primenljive ranjivos. Ranjivost informacione imovine (V) može se odredi esmacijom više faktora koji uu posredno ili neposredno na vrednost ovog parametra. Kako ucaj ovih relavno nezavisnih pojedinanih faktora na vrednost V ima znaajan stepen neodre enos, ovi se faktori množe, što daje bolju aproksimaciju vrednos V: V = D • K • Tr • Is • Za
(3.3)
gde su: D – detekbilnost, K – korisnost, Tr – trajnost, Is – iskorisvost, Za – zašenost.
Relevantni težinski faktori ranjivos objekata A procenjuju se, sa aspekta agenta pretnje, u odnosu na atribute D, K, Tr, Is i Za. Težinske faktore treba procenjiva i rauna za svaku poznatu taku ranjivos u odnosu na ove atribute. Primer esmacije V na osnovu pet navedenih atributa, pore anih po prioritema od najznaajnijeg (1) do najmanje znaajnog (5), dat je u Tabeli 2.3 [67, 35]. Tabela 2.3. Primer procene relevantnih faktora ranjivos (V) Atribu V
Procena ranjivos (V)
(1) Vidljivost (D)
Verovatnoa da kompetentan agent pretnje postane svestan vrednos informacije i da može pristupi ovim informacijama.
(2) Korisnost (Ko)
Verovatnoa da agent pretnje uvidi korisnost informacije, da e informacija zadovolji neku zainteresovanu (konkurenciju).
(3) Trajnost (Tr)
Datum iza koga informacija više nee bi korisna napadau i mogunost korišenja informacije pre toga datuma.
upotrebe informacije u vreme i na nain koji su krini za (4) Iskorisvost (Is) Mogunost vlasnika informacije. polika zašte i ogranien pristup informacijama, koris(5) Zaš enost (Za) Dokumentovana nici su potpisali NDA sporazum o neotkrivanju informacija.
U` {JJ O Š FOJ
221
Svakom odgovoru u Tabeli 2.3. pripisuje se jedan od ponu enih težinskih faktora primenjene metrike (1–5; 1–10; nizak, srednji, visok itd.) onako kako ih procenjuju vlasnici objekata. Ranjivost objekata IKTS, esto je teško procenjiva pre incidenta, jer, u sušni, naješe napad potvr uje da li postoji ranjivost. U ovom procesu pored liste pitanja za glavne atribute parametra ranjivos u Tabeli 2.3, obavezno treba ispita ranjivos (nedostatak/neadekvatnost) polike, standarda i procedura, obuke, denisanja uloga, odgovornos, naloga i ovlašenja, veliki broj pristupnih taaka RM, mogunost zikog pristupa serverima i dr. U procesu esmacije, treba procenjiva ranjivos po svim glavnim atribuma za svaku taku ranjivos. snovni proakvni metod za procenu ranjivos IKTS podrazumeva tesranje i ukljuuje automazovani alat za skeniranje ranjivos (RS/RM), bezbednosno tesranje i evaluaciju – STE (Security Tesng and Evaluaon) i tesranje na proboj. Metod skeniranja je pouzdan za kontrolu ranjivos, ali može proizves lažne pozive. Proces STE efekvnos kontrola zašte u operavnom okruženju, vrši se u procesu serkacije i akreditacije sistema. Tesranje na proboj proverava mogunost zaobilaženja kontrola zašte, sa aspekta izvora pretnji (tzv. eki haking). Idenkacija i esmacija pretnji (T) za imovinu A koriste neku od taksonomija pretnji. Pretnja implicira neku akciju, koja dolazi iz okruženja sistema, koji je predmet analize, tj. neki akvni subjekt koji izvršava akciju prema IKTS. Standard IS /IEC 27005 deli pretnje na prirodne (E), humane (H), namerne (D) i sluajne (A). Realna pretnja je naješe kombinacija ovih izvora i dinamiki se menja u vremenu. U kontekstu i obimu analize i procene rizika, treba idenkova sve relevantne T. Za svaku individualnu pretnju treba idenkova izvor i proceni verovatnou realizacije – frekvenciju pojave i intenzitet, a dovoljno je koris skalu gradacije N, S, V. Ulazne veliine za procenu pretnji treba obezbedi od vlasnika/korisnika imovine, odeljenja za upravljanje ljudskim resursima, izvršnih menadžera, IKT i specijalista, zašte i dr. kao i iz staskih podataka i taksonomija pretnji. Upotreba taksonomije pretnji je korisna, ali treba uzima u obzir dinamiku promena kombinovanih pretnji, zbog promena poslovanja, tehnologija, okruženja, malicioznih kodova itd. Primeri taksonomije bezbednosnih pretnji – stabla pretnji i skala gradacije za procenu pretnji, mogu se nai u standardima IS /IEC 27005 i NIST SP 800-35. Esmacija vrednos parametra T u fazi analize rizika, daje najbolju aproksimaciju za procenu rizika, kao kombinacija dinamiki promenljivih pretnji – T: T=T1+T2+...+T8= | T (3.4) Za analizu rizika prihvatljiva je taksonomija kombinovanih pretnji ( T ) u odnosu na: (1) posledice ucaja (štetne – Št, neškodljive – Nš), (2) izvore nastanka (iznutra – Un, spolja – Va) i (3) nain napada (soscirane – So, nesoscirane – Ns), koja daje ukupno 23=8 razliih kombinacija pretnji. Primeri za svaku od osam kombinovanih pova pretnje da su u Tabeli 2.4.
222
O Š FOJ
Tabela 2.4. Primeri pova kombinovanih pretnji Pretnja –T
Opis / primer
ŠtSoUn
Akvnos nezadovoljnog sistem administratora
ŠtNsUn,
Akvnos nezadovoljnog zaposlenog (ne-administratora)
NšSoUn
Akvnos znaželjnog administratora (STE izveštaj poslednjih ranjivos) Sluajno ošteenje od strane administratora (brisanje datoteke korisnika)
NšNsUn
Akvnos znaželjnog korisnika (poga anje lozinke) Sluajno ošteenje od strane znaželjnog korisnika (brisanje datoteke)
ŠtSoVa
Industrijska špijunaža; akvnos veštog osvetoljubivog napadaa
ŠtNsVa
Akvnos napadaa ogranienih sposobnos, ali jako zainteresovanih za specine objekte (e-mail spam ili trial-and-error napadi)
NšSoVa
Akvnos veštog, odlunog i znaželjnog korisnika (ovek vs. mašina )
NšNsVa
Akvnos znaželjnog korisnika (“šta/kako ovo radi?”) Nenamerna akvnost koja se može interprera kao maliciozna
Proraun težinskih faktora za verovatnou pojave bezbednosnog incidenta potrebno je izvrši za svaki objekat A. Iako svaka organizacija bira sama svoj sistem težinskih faktora (ponderisanja), mogua je primena sledeih kriterijuma (Tabela 2.5). Tabela 2.5. Proraun težinskih faktora za verovatnou pojave incidenta Nivo
Težinski faktor
Vrlo visok
1
Vrlo visoka verovatnoa doga aja T, ako nema korekvne akcije
Visok
2
Visoka verovatnoa doga aja T, ako nema korekvne akcije
Srednji
3
Pretnja ima umerenu verovatnou doga anja
Nizak
4
Smatra se da je rizik od doga anja ove pretnje vrlo nizak
Vrlo nizak
5
Vrlo niska verovatnoa da e se ovaj incident dogodi
Denicija
Proraun težinskih faktora intenziteta potencijalnih pretnji potrebno je izvrši za svaki objekat A. Iako svaka organizacija bira sama sistem ponderisanja, za ponderisanje intenziteta potencijalnih T korisni su sledei kriterijumi (Tabela 2.6).
U` {JJ O Š FOJ
223
Tabela 2.6. Kriterijumi za ponderisanje intenziteta potencijalnih pretnji Nivo ucaja
Težinski faktor
Denicija/posledice
Eliminiše
1
Incident potpuno uništava objekat A i organizacija se teško može oporavi; inciden su teški za kontrolu i zaštu.
Razoran
2
Krian
3
Kontrolisan
4
Ucaj incidenta je kratkoroan i može se kontrolisa; ucaj mogu bit minorna neprijatnost i minimalni troškovi.
Iriraju i
5
Inciden su obino beznaajni i izazivaju samo lokalnu iritaciju; merama zašte treba ih izbei ili kontrolisa.
Inciden mogu bi razorni i bez neposrednog i adekvatnog odgovora potpuno uniš objekte A; dovode do znaajnih nansijskih gubitaka i gubitka javnog ugleda. Inciden od kojih se organizacija može oporavi dobrim upravljanjem incidentom i implementacijom odgovarajuih kontrola zašte; dovode do srednjih gubitaka i neprijatnos.
Generalno, težinske faktore izvora T treba kategorisa od najveih do najmanjih, npr. pretnje od ljudi su teže od prirodnih doga aja. Proraun težinskih faktora frekvencije pojave T, potrebno je izvrši za svaki objekat A. Iako svaka organizacija bira sistem ponderisanja, korisni su sledei kriterijumi (Tabela 2.7): Tabela 2.7. Kriterijumi za odre ivanje težinskih faktora frekvencije incidenta Nivo
Težinski faktor
Vrlo visok
1
rekvencija incidenta je vrlo visoka i može bi razoran.
Visok
2
rekvencija incidenta je visoka i može se ponovi.
Srednji
3
Incident se može esto dogodi, ali normalno nije predvidiv.
Nizak
4
Incident ima nisku frekvenciju i nije ponovljiv, ne bi trebalo bi više od jednog incidenta u jednom radnom ciklusu.
Vrlo nizak
5
vaj incident se smatra vrlo retkim i periodinim.
Denicija
Za proraun se mogu koris i staski elemen za alternavnu procenu verovatnoe incidenta za najvei broj pova poznah potencijalnih T, mereni verovatnoom od 0 – 1 ili numerikim, kvalitavnim težinskim faktorima od 0 – 5. Esmacija ucaja (Ut) je mera efekata i negavnih posledica, koje na imovinu A/ poslovanje, može izazva neki napad. Ucaj je posledica verovatnoe da e neka pretnja/e iskoris neku/e ranjivost/i i nane štetu imovini A, a može se ostvari samo ako postoji [49]:
224
O Š FOJ
izvor sluajne pretnje: doga aj/incident unutar perimetra bezbednosnog rizika i ranjivos, koju ta pretnja može iskoris i/ili izvor namerne pretnje: smulacija napadaa (movacija, odlunost, resursi, sposobnost, prilika), atrakvnost A i V koju T može iskoris. Standard IS /IEC 27005 razmatra samo operavne, a ne i potencijalne posledice ucaja. Operavni ucaj može bi direktan ili indirektan. Primer direktnog ucaja su trošakovi za zamenu izgubljene imovine. Indirektan ucaj su troškovi prekida operacija, potencijalne zloupotrebe informacija, zbog proboja sistema zašte, povrede normava i ekog kodeksa poslovanja itd. Za kvantavnu ili kvalitavnu esmaciju ucaja odre uje se težinski faktor intenziteta Ut na pojedinane objekte A. Glavna prednost kvalitavne analize Ut je u odre ivanju prioritetnih faktora rizika i zona ranjivos, koje neposredno treba otklanja. Nedostatak kvalitavne analize Ut rizika je u tome što ne obezbe uje specine kvantavne mere i procenu odnosa troškovi-korist (cost-benet) preporuenih kontrola zašte. Glavna prednost kvantavnih metoda analize Ut rizika je, što obezbe uje merenje Ut i cost– benet analizu preporuenih kontrola zašte. Nedostatak oba metoda je neodreenost i esta potreba kvalitavne interpretacije rezultata, što zavisi od izbora opsega faktora ponderisanja. Primer kvalitavne procene i odre ivanja težinskih faktora ucaja rizika, koji ukljuuje komponente vrednos objekata – A, intenziteta pretnje – Ti, frekvenciju pretnje – Tf i verovatnou pretnje – Tv prikazan je u Tabeli 2.8. Tabela 2.8. Komponente za odre ivanje težinskih faktora ucaja rizika Komponente ucaja rizika (Ut)
Težinski faktori
Vrednost objekta – A
1 – 5 (1 je najvei)
Intenzitet potencijalne pretnje – Ti
1 – 5 (1 je najvei)
rekvencija potencijalne pretnje – Tf
1 – 5 (1 je najvei)
Verovatnoa pretnje – Tv
1 – 5 (1 je najvei)
Za proraun ukupnog težinskog faktora Ut rizika, potrebno je množi komponente Ut jednu sa drugom, da bi se smanjio efekat neodre enos na tanost rezultata. Ako se uzme u obzir da frekvencija i intenzitet pretnji nisu relevantni, ako se pretnja ne dogodi, ucaj se približno odre uje kao faktor množenja vrednos imovine – A i verovatnoe dogaaja pretnji – Tv: Ut = A • Ti • Tf • Tv } A • Tv
(3.5)
U` {JJ O Š FOJ
225
Na slian nain se preostali relavni rizik može odredi pojednostavljenom relacijom: Rrp = A • Put
(3.6)
gde je A – vrednost imovine, a Put – verovatnoa ucaja ili da e T iskoris V.
U ovoj esmaciji, što je manji rezultat, to je vei ucaj faktora rizika. Najvei ucaj faktora rizika u primeru iz T. 2.9 je 1, a najmanji – 625. Glavni menadžer odre uje kriterijume prihvatljivos rizika i prioritete ublažavanja, npr. svaki R< 50 - zahteva trenutno ispivanje, 1 < R < 200 = V, 200 < R < 400 = S i 400 < R < 625 = N rizik. Faza evaluacije faktora rizika je procena rizika na bazi strogo utvr enih kriterijuma, predenisanih u fazi denisanja parametara za upravljanje rizikom. buhvata akvnos kao što su: priprema za izradu plana tretmana; razmatranje predenisanih kriterijuma za evaluaciju, ukljuujui bezbednosne kriterijume; znaaj poslovnog procesa kojeg podržava A; zahtevi menadžmenta za tretman; zahtevi za preduzimanje hitnih akcija; poreenje nivoa esmacije faktora rizika sa predenisanim kriterijumima za evaluaciju (npr. rezultama prethodne procene rizika) i rangiranje faktora rizika po prioritetu za tretman (ublažavanje). U ovoj fazi faktore rizika procenjene kao N, treba smatra prihvatljivim i mogue je da menadžment/vlasnik sistema ne zahteva tretman ovih faktora rizika. aktore rizika procenjene kao S i V treba trera, pri emu faktore sa V – prioritetno. Ukupan relavni rizik – Rr za imovinu A, odre uje se na bazi evaluacije faktora rizika, kojih za neku prosenu organizaciju, zavisno od dubine procene faktora rizika, kojih može bi i na hiljade. Grupišu se na prihvatljive (P) i neprihvatljive (N) faktore rizika. Kriterijume za P i N faktore rizika, predenisane u fazi denisanja konteksta za procenu rizika, odre uje menadžment, koji potpisivanjem SOA dokumenta denivno prihvata predložene kontrole zašte za tretman rizika i preostali relavni rizik (Rpr). ekivani izlazi iz faze evaluacije faktora rizika su priorite za tretman rizika: lista prioriteta faktora neprihvatljivog rizika i lista prihvatljivih faktora rizika. Esmacija faktora preostalog rizika (Rrp), koji ostaje posle implementacije novih ili poboljšanih kontrola zašte, znai da ni jedan IKTS nije sasvim oslobo en rizika i da sve implemenrane kontrole ne eliminišu u potpunos odnosne faktore rizika. Implementacija novih i poboljšanih kontrola može smanji rizik eliminisanjem nekih ranjivos i smanjenjem negavnog ucaja. Kako je rizik idenkovan prema pu specinih objekata i ranjivos, sistem e ima jednu vrednost rizika po jednoj taki ranjivos, koju pretnja iskoris, a svaka ranjivost e ima jednu vrednost rizika po objektu na koji ue. Ne postoji egzaktna matemaka relacija za kvantavan proraun Rrp za A u sluaju da T iskoriste V, sa implemenranim kontrolama zašte (KZ) za ublažavanje rizika. Tako proces procene rizika daje dva rezultata – preostali relavni rizik bez ueša kontrola zašte (Rrp) i prihvaeni preostali rizik sa kontrolama zašte (Rpp). Nivo Rpp se približno rauna iz jednaine [35, 67]:
226
O Š FOJ
Rpp= (Rrp/Kz) = (A • Put)/Kz
(3.7)
Ucaj pretnje na sistem raste sa porastom vrednos A, T i V i direktno poveava Rpp, dok KZ smanjuju nivo Rpp. Model prorauna Rpp dat je na Sl. 2.7.
Sl. 2.7. Implemenrane kontrole zašte i preostali rizik – Rrp Posle implementacije kontrola zašte za ublažavanje rizika, efekvnost uvo enja kontrola zašte (Ekz) može se prorauna formulom: Ekz= (Rpr–Rpp)/Rpr
(3.8)
Detaljna procena faktora rizika je kamen temeljac razvoja rentabilnog programa i plana zašte. U plan zašte korisno je ubaci kvantavne parametre – ukupne troškove zašte, koji na preostalom nivou rizika (Rpr) treba da budu opmalni, odnosno, jednaki ili manji od procene ukupno oekivanih godišnjih gubitaka – OGG, koji mogu nasta ako se ne primene predvi ene mere zašte (KZ). OGG treba da budu manji od Rpr, izraženog u novanoj vrednos. vakva vrednost Rpr, naješe se predlaže menadžmentu, kao vrednost Rpp kod potpisivanja S A dokumenta. Kako je vrednost OGG jednaka vrednos Put izraženog u novanim jedinicama, OGG se mogu proceni relacijom [67]: OGG = Put x Ar
(3.9)
gde je Put – verovatnoa da e se neka pretnja materijalizova u datoj godini i uca na imovinu A, a Ar – relavna vrednost imovine A na koju se pretnja odnosi.
U` {JJ O Š FOJ
227
Primer: LAN ima 20 PC po ceni od 540 Eu po komadu. Oekuju se po jedan potpuni prekid rada, upad u sistem i kraa podataka godišnje (Pt=1). Primenom formule (3.9) bie: OGG= 1x (20 x 540) = 10.800 Eu, pa su sve primenjene kontrole zašte za spreavanje ove procenjene štete rentabilne, ako im cena ne prelazi OGG.
U praksi zašte retko se koris kompletna formalna metodologija za analizu i procenu rizika. Razvijeni su i skraeni metodi za analizi rizika ( CTAVE, BAR), koji su prakniji i brže dovode do prihvatljivih rezultata [9, 46,55]. 2.2.3.3. Metodi procena ukupnog bezbednosnog rizika Rezulta procene rizika koriste se za izbor kontrola za tretman rizika i dokumentuju u polici zašte i planu tretmana rizika. Generalno, za idenkaciju rizika, u fazi procene, mogu se koris razliite tehnike: brainstorming ili brza analiza rizika (BAR); upitnik ili izjava o osetljivos (IoO); idenkovanje poslovnih procesa i opis internih/eksternih faktora koji mogu uca na ove procese; industrijski benchmarking; analiza scenarija napada (incidenata); generika procena rizika; ispivanje incidenata; revizija (audit) sistema zašte, studija HAZOP (hazard & operavnost) itd. Za generiku procenu opšteg operavnog rizika razvijene se tri kljune metodologije: (1) procene rizika odozdo nagore, (2) sveobuhvatne analize i procene rizika i (3) procene rizika odozgo nadole. Procena rizika odozdo nagore ukljuuje istraživanje tržišta, predvi anje trenda, istraživanje i razvoj i analizu ucaja na poslovanje. Sveobuhvatna analiza rizika ukljuuje brojne faze i akvnos kao što su: modelovanje zavisnos, SW T analiza (snage, slabos, prilike, pretnje), analiza drveta pretnji, planiranje konnuiteta poslovanja (BCP), BPEST (biznis, polika, ekonomska, socijalna, tehnološka) analiza, modelovanje realnih opcija, odluivanje na bazi stanja rizika i faktora neodre enos, staske implikacije, merenja glavnog trenda i faktora neodre enos, PESTLE (Poliko ekonomsko socijalno, tehniko i legalno) okruženje i dr. Procena rizika odozgo nadole ukljuuje tri glavne tehnike: analizu pretnji, analizu drveta grešaka i MEA (ailure Mode&E\ect Analysis) analizu [24]. Standard IS /IEC 27005 diferencira i opisuje eri osnovna metoda za esmaciju ukupnog rizika, koja se u osnovi zasnivaju na generikoj metodologiji, ali imaju razliite fokuse na parametre rizika i primenjuju razliite vrste esmacije [24]: 1. metod matrice rizika sa predenisanim vrednosma (ISO/IEC 13335-3); 2. metod merenja rizika rangiranjem T prema rezultama procene rizika; 3. metod procene verovatnoe ucaja i moguih posledica i 4. metod disnkcije izmeu prihvatljivog i neprihvatljivog rizika.
228
O Š FOJ
Izlaz procene rizika je Izjava o primenljivos kontrola zašte (SOA) za ublažavanje rizika do prihvatljivog nivoa. Komercijalno su dostupne brojni interakvni metodi i ala za procenu bezbednosnog rizika za informacionu imovinu. CRAMM metod je razvila engleska vladina agencija i koris ga više od 40 država na najvišem nivou. Metod je skup, kompleksan za primenu, ali detaljan i pouzdan [9]. CTAVE metod procenjuje faktore rizika za krine objekte A i poslovanje organizacije. Metod je samonavodei, sveobuhvatan, sistemaan i adapvan i ne zahteva specijaliska znanja [46]. Za inicijalnu procenu rizika, dok organizacija nema kompleran inventar A, koristan je metod brze analize rizika (BAR), koji zahteva akvno angažovanje menadžmenta i prakara poslovnih procesa [55].
2.3. REZIME Upravljanje rizikom je proakvno upravljanje sistemom zašte. Procena rizika je metod za planiranje zašte. Stohaska priroda pretnji, ranjivos i ucaja otežava korišenje analikih metoda u procesu analize i procene rizika. Drugi problem su kvalitavna i kvantavna idenkacija i vrednovanje objekata imovine A, gde su podaci i informacije najznaajnije vrednos. „Vrednost“ imovine A može se dobi samo indirektnim putem korišenjem faktora „ucaja“ pretnji na ranjive take sistema. Nemogue je proceni ove efekte bez specinog scenarija, a još teže napravi evaluaciju materijalnih troškova gubitaka. Dinamika „dimenzija“ analize rizika je važna, jer se pretnje i iskorisve ranjivos uvek menjaju. vo znai da se i nivoi zašte moraju menja tako da kompenzuju ove promene. aktor promenljivos se unosi u unutrašnje i spoljno okruženje, pa je za upravljanje promenama potrebno neprekidno skeniranje specinih doga aja u okruženju. Promene u sistemu mogu izazva interni doga aji (nove aplikacije, novi zaposleni i sl.) ili promene u životnom ciklusu sistema (revizija zahteva i dizajna, implementacija sistema, monitoring i periodina kontrola itd.). Brojni metodi kvantavne analize rizika imaju prednos, jer svode svaku analizu na novanu vrednost. Kvantavna analiza rizika ima problem memorisanja i akvizicije podataka. Za zaštu nacionalnih interesa ili konkurentnos na tržištu, eše se primenjuju kvalitavni metodi procene gubitaka umesto novanih vrednos. Generika metodologija procene rizika ukljuuje parametre vrednos imovine (A), ranjivos (V), pretnji (T), ucaja (Ut) ili da e pretnje iskoris ranjivos i nane štetu imovini i poslovnim procesima. aktori neodre enos koje u procenu rizika unosi stohaska priroda T i V, kompenzuju se množenjem parametara rizika, ime se dobije vei procenjeni rizik i implemenra bolja zašta. Procenu rizika mogu pomoi brojne taksonomije T i V uz obavezno prilago avanje kontekstu i okruženju. Na principima generike metodologije, razvijena su eri metoda sa razliim težišma u proceni ukupnog rizika (IS /IEC 27005): metod matrice rizika sa
U` {JJ O Š FOJ
229
predenisanim vrednosma (ISO/IEC 13335-3), metod merenja rizika rangiranjem pretnji prema rezultama procene rizika, metod procene verovatnoe ucaja i moguih posledica i metod disnkcije izmeu prihvatljivog i neprihvatljivog rizika. Tako e, na raspolaganju su brojni pomoni, interakvni ala za procenu bezbednosnog rizika, kao što su aplikacije pa C BRA, HESTIA, RA2 itd. Dobar interakvni, kvalitavni metod za analizu rizika je CRAMM, kojeg koris više od 40 zemalja u svetu za državne potrebe. Primena metoda nije jednostavna i zahteva dobru obuku analiara. Metod CTAVE je evaluacija faktora rizika za krine objekte imovine organizacije. Metod je samonavodei, sveobuhvatan, sistemaan i prilago ava se promenama realne situacije. moguava svim zaposlenim na svim nivoima organizacije da rade zajedno na idenkaciji i razumevanju faktora rizika i da donesu pravilne odluke za smanjenje rizika. Metod brze analize rizika (BAR) omoguava brzu i efekvnu analizu glavnih faktora rizika, sa ukljuivanjem kapaciteta organizacije i bez potrebe posebnog angažovanja specijalista za analizu rizika.
2.4. KLJUNI TERMINI Agent pretnje: ente (lice, organizacija, program) sposobni da namerno ili nenamerno pokrenu neki doga aj, iskoriste ranjivos sistema i nanesu štetu. Analiza rizika: analiza vrednos imovine, ranjivos sistema, potencijalnih pretnji, i verovatnoe ucaja na objekte sistema i poslove organizacije. Napad: realizovana pretnja koja ima potencijal da kompromituje sistem zašte. OGG: oekivani godišnji gubici koji mogu nasta, ako se sistem zašte ne primeni. Posledica: rezultat realizacije ucaja agenta pretnje, koji se izražava uglavnom u neželjenim promenama stanja sistema IKTS zašte; sinonimi: ucaj i šteta. Procena pretnje: analiza, idenkacija, esmacija i evaluacija kapaciteta agenta pretnje (resursa, movacije, namere, sposobnos i prilike). Procena rizika: analiza verovatnoe da e ranjivos sistema bi iskorišene od potencijalnih pretnji i da e nastale posledice nane štetu Ranjivost: karakteriska sistema (kvar, ljudski faktori…) koja dopušta da se pretnja realizuje. Resursi agenta pretnje: oprema, novac, znanje, vešne, movacija itd. koji su na raspolaganju agentu pretnje da inicira napad.
230
O Š FOJ
Rizik: mera verovatnoe da e posledice nekog doga aja kompromitova objekte IKTS i nane štetu organizaciji. Scenario pretnje: specian agent pretnje koji preduzima specian p napada u pokušaju da kompromituje (na jedan ili više naina) jedan ili više objekata IKTS. Sredstva napada: mehanizam/medijum kojeg koris agent pretnje za napad. Ucaj: mera stepena ošteenja/promene uzrokovane nekom posledicom napada. Vrednost objekata informacione imovine: mera ili izjava o znaaju (osetljivos) nekih objekata IKTS (ili alternavno cene), ako su is kompromitovani; može se meri kvantavnim/kvalitavnim metodama; znaaj ili cena su zavisni od potreba organizacije pa vrednost nije nužno objekvan pojam.
2.5. PITANJA ZA PONAVLJANJE 1. Generiki okvir upravljanja rizikom sadrži sledee korake: a. kategorizacija IKTS, planiranje, implementacija i procena kontrola zašte, akreditacija IKTS, nadzor i revizija b. kategorizacija IKTS, izbor, implementacija, evaluacija, serkacija i revizija kontrola zašte c. bezbednosna kategorizacija IKTS, izbor, implementacija i procena kontrola zašte, akreditacija IKTS, nadzor i kontrola 2. pš model za procenu rizika sadrži sledee konceptualne oblas: a. plan upravljanja rizikom b. idenkacija ranjivos c. analiza i procena rizika d. neodre enost koja interakvno deluje sa faktorima procene rizika e. izbor i implementacijU kontrola zašte
3. Hijerarhijski pristup upravljanju rizikom ukljuuje sledee nivoe: a. uprave, poslovnih procesa, IKTS b. organizacije, poslovnih procesa, IKTS c. organizacije, IKTS, sistema zašte d. organizacije, poslovnih procesa, IKTS, sistema zašte 4. Generiki metod kvalitavne procene bezbednosnog rizika procenjuje vrednos: a. informacione imovine (A), napada (N), konguracije (K) i ucaja (U) b. informacione imovine (A), pretnji (T), ranjivos (V) i ucaj (U) c. imovine IKTS (A), pretnji (T), ranjivos sovera (V), rizika (R) i efekvnos kontrola zašte (Ekz) d. informacione imovine (A), pretnji (T), ranjivos (V), ucaj (U) i rizika (R)
5. Taksonomija rizika je mogua u odnosu na više kriterijuma. Povežite kriterijume sa povima (atributa, faktora rizika, gubitaka): Kriterijum 1. oblast izlaganja 2. izvor rizika 3. ucaj
Tip (atribut rizika, gubitaka) a. b. c. d. e. f. g. h.
kvantavni (OGG) okruženje tehnologija kvalitavni (nizak, srednji, visok; 1,2,3,4,5) operavni (hazardni, nansijski) strateški (rizik za ugled) poslovni procesi ljudski faktor
6. Ublažavanje rizika od napada pomou tehnikih sredstava može bi ekasno u odre enim uslovima. Povežite te uslove sa merama zašte: Uslovi napada 1. Napad postoji 2. Iskorisv Napad (postoji V) 3. Troškovi napada manji od dobi 4. Gubitak je suviše velik
Mera zašte a. primeni principe projektovanja, arhitekture, ne–tehnike i tehnike zašte za ogranienje nivoa napada, a me i smanjenje gubitaka, npr. izborom netehnikih mera kao što je ograniavanje obima osetljivih procesiranih informacija b. primeni zaštu da se poveaju troškovi napada ili znaajno smanji potencijalnu dobit napadaa, npr. izborom ne-tehnikih mera kao što je ograniavanje obima osetljivih procesiranih informacija c. primeni slojevitu zaštu i projektova arhitekturu sistema da se sprei iskorišenje ranjivos d. implemenra pouzdane tehnike za smanjenje verovatnoe neželjenog napada
U` {JJ O Š FOJ
231
7.
Navedite osnovne korake formalne metodologije za uspostavljanje konteksta za procenu i analizu rizika: a. denisanje osnovnih parametara za upravljanje rizikom b. denisanje obima i granica analize i procene rizika c. denisanje programa zašte d. uspostavljanje i organizacija ma za procenu rizika e. izrada plana i polike zašte f. uspostavljanje strukture i procesa za analizu i procenu rizika 8. Kriterijumi za prihvatanje rizika se denišu u fazi: a. denisanja obima i granica analize i procene rizika b. denisanja osnovnih parametara za upravljanje rizikom c. izrade polike zašte d. uspostavljanja i organizacija ma za procenu rizika e. uspostavljanja strukture i procesa za analizu i procenu rizika 9. Navedite opšte metode primene procesa tretmana rizika: a. metod matrice rizika sa predenisanim vrednosma (IS /IEC 13335–3) b. metod procene rizika odozgo nadole c. metod procene verovatnoe ucaja i moguih posledica d. metod procene verovatnoe doga aja pretnje e. metod disnkcije izme u prihvatljivog i neprihvatljivog rizika 10. Navedite redosled izvršavanja glavnih koraka procesa analize i procene rizika: a. procena V, procena A, procena T, procena Rr, implementacija k/z, izbor k/z za ublažavanje rizika, prihvatanje Rrp b. procena A, procena V, procena T, procena Rr, izbor k/z za ublažavanje rizika, implementacija k/z, prihvatanje Rrp
232
O Š FOJ
c. procena T, procena V, procena A, izbor k/z za ublažavanje rizika, implementacija k/z, prihvatanje Rrp 11. Pareto princip u procesu upravljanja rizikom je poznat kao: a. pravilo 60:40 b. pravilo 50:50 c. pravilo 80:20 d. pravilo 70:30 12. ormula za proraun preostalog prihvatljivog rizika–Rpp, približno glasi: a. Rpp= ((AxVx |T)/Kz) x Ut b. Rpp= (AxVx |T) x Ut c. Rpp= ((AxVx |T)/Kz) 13. U proceni rizika za odre ivanje vrednos A obino je odgovoran i mora uestvova: a. glavni menadžer organizacije b. specijalista zašte c. pravnik organizacije d. digitalni forenziar 14. Inventar imovine i taksonomije relevantnih pretnji i ranjivos su izlazi iz procesa: a. uspostavljanja okvira za ISMS b. idenkovanja rizika c. esmacije rizika d. analize rizika e. evaluacije rizika f. ublažavanja (delovanja na) rizika g. prihvatanja rizika 15. aktori neodre enos rizika se ukljuuju u fazi: a. uspostavljanja okvira za ISMS b. idenkovanja rizika c. esmacije rizika d. analize rizika e. evaluacije rizika f. ublažavanja (tretmana) rizika g. prihvatanja rizika 16. U fazi procene ranjivos (V), tesranje na proboj: a. proverava ranjivost mrežnih programa
b. proverava mogunost zaobilaženja kontrola zašte sa aspekta izvora napada c. proverava ranjivost TCP/IP protokola d. naziva se hakerski napad e. naziva se eki haking 17. Standard IS /IEC 27005 deli pretnje na: a. vanredne doga aje (VD), ljudske greške (HG), kompjuterske incidente (KI) i hakerske napade (HN) b. prirodne (E), humane (H), namerne (D), sluajne (A) i kombinovane (K) c. prirodne (P), greške (G) sluajne (S) i namerne (N) 18. aza evaluacije faktora rizika obuhvata sledee akvnos: a. priprema za izradu plana tretmana rizika b. razmatranje kriterijuma za evaluaciju c. rangiranje kontrola zašte za tretman rizika d. znaaj poslovnog procesa kojeg podržava imovina A e. rangiranje faktora rizika po prioritetu za tretman rizika f. znaaj procesa zašte imovine A g. pore enje nivoa esmacije faktora rizika sa predenisanim kriterijumima za evaluaciju 19. Standard IS /IEC 27001 klasikuje informacionu imovinu u: a. informacije, podatke, hardver, sover, mrežna infrastruktura b. informacije, raunarske sisteme, raunarske mreže, korisnike (ljude) c. istu informacionu imovinu, ziku imovinu, humanu imovinu 20. Najznaajniji izlaz iz procene rizika je dokument: a. plan tretmana rizika b. lista prioriteta prihvatljivog rizika c. lista prioriteta neprihvatljivog rizika d. izjava o primenljivos kontrola zašte (S A)
U` {JJ O Š FOJ
233
3.
UPRAVLJANJE PROGRAMOM ZAŠTITE INFORMACIJA
3.1. UVOD Program zašte organizacije obuhvata sve što neka organizacija ini da proizvede, primeni, održava i unapredi bezbednost IKTS. Metodološka osnova za razvoj i uspostavljanje programa zašte obino je u formi dokumentacije (zakoni, standardi, plan, polika itd.). Uspeh programa zašte zavisi od tri krina faktora uspeha – procene rizika, dokumentacije i korisnike prihvatljivos. Program zašte treba da sadrži najmanje poliku, procedure, plan i uputstva za zaštu, kao i izjavu kojom se obavezuju odgovorna lica na izradu svih internih dokumenata zašte. Polika zašte uspostavlja smernice, obezbe uje resurse za zaštu i treba da ima standardnu strukturu. Kljuni je dokument programa zašte i sadrži bezbednosne ciljeve, izražene kroz skup izjava o tome ŠTA treba radi u oblas zašte. Procedure zašte detaljno opisuju i dokumentuju procese zašte i denišu KAKO nešto treba uradi u skladu sa polikom. Plan zašte detaljno specicira tehniko rešenje i proceduralne kontrole sistema zašte, a uputstva objašnjavaju specine akvnos u procesima zašte. Najbitniji zahtevi za izradu, korisniku prihvatljivost i nametanje polike i procedura zašte su: jasno razumevanje vizije i ciljeva zašte od strane menadžera; ukljuivanje specijalista zašte, informaara i što je mogue više predstavnika organizacionih jedinica; jasna arkulacija polike i procedura na koncizan i prakan nain i da reektuju potrebe organizacije. Menadžment obezbe uje implementaciju i podse sprovo enje polike zašte, koja se može izradi u okviru jedinstvenog dokumenta ili kao skup samostalnih dokumenta (polika) na razliim nivoima.
234
O Š FOJ
3.2. RAZVOJ I STRUKTURA PROGRAMA, PLANA I POLITIKE ZAŠTITE 3.2.1. Struktura programske politike zaštite Program zašte se obino dokumentuje kroz kratku Programsku poliku zašte IKTS, koja uspostavlja smernice za zaštu, obezbe uje resurse za implementaciju i treba da obuhva najmanje sledee komponente [55, 35, 41, 44, 55, 51]: smernice menadžmenta, koje ukazuju na pravac poslovanja, ciljeve zašte i razloge uspostavljanja programa za zaštu CIA informacija; eksplicitnu podršku menadžmenta za sve ciljeve zašte informacija sa jasno odre enim objekma i granicama zašte informacione imovine; odgovornost menadžmenta, kojom se eksplicitno ise strateška odluka za upravljanje programom zašte; odobrenje glavnog menadžera sa zahtevom za opštu usaglašenost programa zašte sa normavima i specinu – prakse sa polikom zašte; obavezu nametanja polike i sankcionisanja za svaku neusaglašenost; potpunu komunikaciju svih zaposlenih sa menadžmentom. Program zašta treba da sadrži izjavu kojom se obavezuju odgovorna lica na izradu dokumenata zašte (plan, poliku, procedure i uputstva zašte [1, 6, 63]. 3.2.2. Razvoj i struktura plana zaštite Neki standardi (npr. NIST) plan zašte, koji implemenra polike i procedure, smatraju kljunim dokumentom programa zašte. Generiki proces razvoja plana zašte obuhvata pet osnovnih faza [44]: iniciranje projekta, razvoj polike zašte, konsultacije i odobrenja, razvoj sves i obuka i distribucija polike zašte (Sl. 3.1). Tako e, neki autori mešaju programsku poliku i plan zašte. Da bi se to izbeglo, pod planom zašte treba podrazumeva plan projekta
Sl. 3.1. Generiki proces razvoja plana zašte U` {JJ O Š FOJ
235
za razvoj i implementaciju polike i procedura zašte. Plan zašte mora bi usaglašen sa zakonskim propisima, poslovnim ciljevima, planom poslovanja i razvoja organizacije, polikom i procedurama zašte i sa arhitekturom IKTS. snovna struktura plana zašte može ima generiku formu pinog poslovnog plana, ali svaki mora bi specian za poslovne procese, kulturu rada, životni ciklus informacija, zakonske i ugovorne obaveze i raspoloživu tehnologiju za zaštu. Uzorci za izradu plana zašte su brojni (Internet, standardi zašte), ali se konkretan plan zašte smatra autorskim delom, predstavlja poverljiv dokument i retko se može nai objavljen. Generika struktura svakog plana zašte treba da sadrži dve kljune komponente: uloge i odgovornos i upravljanje promenama - plan kontrola ili plan tehnikog rešenja zašte [1, 44]. 3.2.2.1. Uloge i odgovornosti Uloge i odgovornos u sistemu zašte, denišu se na bazi GAISP principa zašte i pripisuju glavnom menadžeru, izvršnim menadžerima i svim zaposlenim [41, 44, 1]. Uloga glavnog menadžera je da obezbedi superviziju, deniše i upravlja glavnim smernicama programske i ISMS polike zašte, nadzire i kontroliše realizaciju plana zašte. U skladu sa zakonima za zašte informacija u veini država, dve glavne odgovornos su uvo enje standarda najbolje prakse zašte i angažovanje odgovornih, strunih i iskusnih lica na poslovima zašte. va odgovornost mora bi eksplicitno izražena u programskoj polici zašte. Uloga glavnog menadžera ukljuuje sprovo enje GAISP principa i najbolje prakse zašte i može se denisa kroz deset preporuka, i to za: 1. program zašte, gde eksplicitno ispoljava liderstvo, nansijski obezbe uje, kreira, namee i regularno kontroliše sve akvnos; 2. poliku zašte, gde obezbe uje razvoj, implementaciju, kontrolu i primenu polike u skladu sa standardima, principima i najboljom praksom zašte; 3. upravljanje rizikom, kroz redovnu reviziju procene, sa ciljem da idenkuje krine objekte, pretnje i ranjivos sistema i odobri plan ublažavanja rizika; 4. projektovanje arhitekture sistema zašte tako što obezbedi, da arhitektura sistema zašte podržava poslovne ciljeve organizacije; 5. korisnike sistema, gde su odgovorni za obuku i sve akcije legalnih uesnika i implementaciju polike i procedura zašte; 6. funkcionalnu pouzdanost IKTS, kroz uspostavljanje niza kontrola pristupa objekma IKTS i regularnu verikaciju integriteta programa; 7. autenkaciju i autorizaciju, sa resursima za implementaciju i održavanje mehanizama za autenkaciju i autorizaciju pristupa objekma IKTS; 8. nadzor, kontrolu i reviziju gde uspostavlja kapacitete za nadzor, kontrolu i reviziju i alate za merenje uskla enos sa polikom zašte; 236
O Š FOJ
9. ziku i personalnu zaštu, gde obezbe uje kontrolu zikog pristupa objekma IKTS i bezbednosnu proveru zaposlenih u zaš; 10. planiranje konnuiteta poslovanja i oporavka sistema, gde obezbe uje razvoj i verikaciju plana, periodino i regularno tesranje i ekasnu primenu. 3.2.2.2. Upravljanje promenama Upravljanje promenama deniše se kao sistemsko uvo enje promena u operavnom okruženju, tehnologijama, programima, hardveru, konguraciji RS/RM, radnom prostoru, zaposlenom personalu, runskim poslovima, tehnikim operacijama itd. Za upravljanje promenama primenjuje se opšta procedura sa sledeom strukturom: uvoenje promena, kataloška registracija, planiranje redosleda, implementacija i izveštavanje o izvedenim promenama. Za svaku komponentu plana zašte, treba zaduži po jedno lice da upravlja promenama u skladu sa polikom zašte [41]. Detaljan plan zašte može se razvi za implementaciju polike zašte, kada menadžment organizacije prihva skup kontrola zašte za ublažavanje rizika (S A). Me u kljunim faktorima uspeha implementacije plana zašte su: potpuna podrška menadžmenta; upoznavanje svih zaposlenih sa ciljevima zašte; prepoznavanje jedinstvenih kulturoloških, ekih i drugih zahteva organizacije; ukljuivanje kompetentnih i strunih mova organizacije; imenovanje odgovornog ma ili pojedinaca za poslove zašte; ugradnja mehanizama za detekciju, korekciju i do–obuku i ponovnu edukaciju u sluaju proboja sistema zašte. 3.2.3. Razvoj i struktura politike i procedura zaštite Polika zašte, kljuni dokument programa i plana zašte, sadrži bezbednosne ciljeve, koji podržavaju poslovne ciljeve organizacije i izjave na visokom nivou apstrakcije, koje govore šta treba radi u oblas zašte; obezbe uje okvir oekivanog i obaveznog ponašanja menadžera, zaposlenih, tehnologija i procesa; utvr uje ciljeve, oekivanja i verikovane korisnike zahteve, a koris principe, instrukcije, procedure i smernice, koje su obavezne za organizaciju. Sistem upravljanja zaštom informacija (ISMS) zahteva arkulaciju u dokumentovanoj ISMS polici, koja ima nekoliko funkcija [23]: obezbe uje okvir za upravljanje i odluivanje u oblas zašte, prilago ava se specinim situacijama kroz procedure i uputstva, obezbe uje i integriše principe, standarde i najbolju praksu zašte, obezbe uje osnovu za evaluaciju usaglašenos prakse i programa zašte, obezbe uje dokaz da su mere zašte implemenrane, usaglašene i akvne, u sluaju spora zbog zloupotreba IKTS ili kompjuterskog kriminala.
U` {JJ O Š FOJ
237
Razvoj polike zašte podrazumeva i razvoj odgovarajuih procedura, koje denišu kako nešto treba uradi u oblas zašte i opisuju metod kojim se posžu bezbednosni ciljevi, navedeni u polici zašte, ukljuujui redosled izvršavanja akvnos u procesima zašte. Kroz procedure se dokumentuju procesi zašte [35]. 3.2.3.1. Struktura i taksonomija politike zaštite Polika zašte se može formira na bazi zakona, standarda i iskustva. Generika struktura polike zašte obuhvata sledee komponente [5,63,41]: namena i bezbednosni cilj: svrha i cilj polike zašte, na bazi zahteva; obim i granice: oblast i granica na koju se sistema zašte odnosi; saopštenja: zahtevi za poszanje funkcionalnih ciljeva i odgovornos; zahteve za usaglašenost: sa zakonom, standardima i praksom zašte; nametanje i sankcije: obaveza sprovo enja, disciplinske i druge mere. U cilju vee korisnike prihvatljivos i smanjenja kompleksnos, polika zašte se može uradi kao jedinstveni dokument ili na više nivoa: organizacije – programska polika zašte, IKTS – ISMS polika i komponen sistema zašte – polika upotrebe komponente sistema zašte (npr. polika udaljenog pristupa). Programska polika obuhvata generike komponente strukture polike zašte – eksplicitnu izjavu o odlunos organizacije da zaš informacionu imovinu i o odgovornos i usaglašenos i treba da bude koncizna i razumljiva za sve zaposlene, da namee obavezu izvršavanja i da je relavno nepromenljiva u periodu strateškog plana poslovanja. ISMS polika uspostavlja standard za sistem upravljanja zaštom informacija u organizaciji i navodi specine bezbednosne ciljeve (npr. obezbedi raspoloživost mrežnih servisa, bezbednost i pouzdanost mrežne infrastrukture, namenu programa zašte, standarde kriptozašte itd.). ISMS polika eksplicitno navodi za koje komponente sistema zašte organizacija mora razvi poliku i koji entet je odgovoran za razvoj i implementaciju. Polika upotrebe komponente sistema zašte obezbe uje osnovni skup elemenata za denisanje bezbednosnih zahteva za dnevno operavno upravljanje odre enom komponentom sistema zašte, kao što su udaljeni pristup, upravljanje lozinkom, logika kontrola pristupa, administracija sistema zašte itd. Glavni principi za razvoj i implementaciju polike zašte opisani su u Tabeli 3.1 [55]:
238
O Š FOJ
Tabela 3.1. Glavni principi za razvoj polike zašte Princip
Opis
bezbedi „bezbednost“ greške
bolje je izgubi funkcionalnost nego bezbednost
Evidencija bezbednosnih doga aja ednostavno rešenje mehanizama zašte
idenkacija napadaa i naina iskorišenja ranjivos u logo datoteci bezbednosnih doga aja
ednostavnost upravljanja
lakša provera usaglašenos i centralno upravljanje
Minimizacija privilegija
davanje prava pristupa, potrebnih za izvršavanje posla
Spreavanje prelaska sistema u nebezbedno stanje Nemogunost zaobilaženja mehanizama zašte
sistem zašte vrši svoje funkcije ili blokira pristup
Sveopšta podrška zaš
kroz teoretsku i praknu obuku i praksu zašte
Razdvajanje dužnos i odgovornos tvoreni dizajn arhitekture sistema zašte aanje zašte samo slabih komponen Potpuna posrednost informacijama Primena raznovrsnih mehanizama zašte Korisnika prihvatljivost zašte
raspodela uloga tako da niko ne može ugrozi krine procese sistem zašte ne sme da zavisi od skrivenih implementacija komponen zašte bezbednost svakog sistema odre ena je stepenom zašte najslabije komponente koris gde god je mogue kontrolu pristupa, proxy, A&A sever itd. primena upravljakih, operavnih, tehnikih kontrola, da bi napadai morali ovlada razliim vešnama može se obezbedi kroz obuku, poveanje stepena razumevanja i smanjenje kompleksnos sistema zašte
Slojevitost mehanizama zašte
kompromitacija jednog sloja ne ugrožava RS ili RM
kompleksnost je uzrok brojnih bezbednosnih problema
sve tokove informacija u/iz zašene RM kontroliše sistem zašte
Polika zašte obezbeuje nekoliko funkcija: okvir za odluivanje i upravljanje zaštom, skalabilnost sistema zašte, integraciju standarda i najbolje prakse i preporuka u program i arhitekturu sistema zašte, osnova za evaluaciju usaglašenos prakse i polike zašte, sistem kontrolnih idenkatora za zaštu od legalne odgovornos u sluaju kriminala i dokaz pred sudom da su mere najbolje prakse zašte bile implemenrane, akvne i usaglašene sa standardima i principima zašte (ISO/IEC 27001, ISO/IEC 13335, CobiT, GAISP, NIST, ...) [23, 25, 27, 42, 44]. pš funkcionalni model za razvoj polike zašte, koji povezuje sve elemente sistema zašte, prikazan je na Sl. 3.2. [41, 36].
U` {JJ O Š FOJ
239
Sl. 3.2. unkcionalni model za razvoj polike zašte Zaposleni moraju poliku zašte uze veoma ozbiljno, a svaki pojedinac prihva odgovornost kao osnov za disciplinske mere, ukljuujui udaljavanje sa posla i zakonsko gonjenje. Polika zašte treba da ima podršku menadžmenta i da bude: razumljiva, racionalna i što je mogue kraa, uskla ena sa kulturom rada, poslovnim procesima i okruženjem, uverljiva korisnicima za poszanje poslovnih ciljeva, obavezna i armavna (treba, mora ... umesto nikada, zabranjeno i sl. ), sveobuhvatna i kompabilna sa polikom organizacije, skup saopštenja (šta treba zaš i u kom obimu), informacija (od kada važi, na koga se odnosi i ko je autor) i metoda (za nadzor usaglašenos), instrukcija za obaveznu primenu (ko je odgovoran, sankcije u sluaju neusaglašenos prakse sa polikom i dopuštena odstupanja), skup informacija (kada e se polika preispiva, koji autoritet vrši reviziju, datum poslednje revizije i da li postoji arhiva polike zašte), baza kontaktnih informacija za izveštavanje o incidentu, sumnjivom ponašanju, anomalijama i indikatorima incidenta i uravnoteženi skup efekvnih kontrola zašte. U praksi zašte pogrešno je oekiva da e svi korisnici sprovodi usvojenu poliku, ak i posle adekvatne obuke. Brzina sa kojom se menjaju faktori rizika, zahteva konnualan pristup i ažuriranje polike zašte procesom “ispitaj i popravljaj”. vo implicira neprekidan nadzora i kontrolu sistema zašte i okruženja, ispivanje ranjivos, primenu 240
O Š FOJ
bezbednosnih popravki, poboljšanje procesa i kontrola zašte i ažuriranje polike zašte (Sl. 3.3) [41]. 3.2.3.2. Razvoj politike zaštite Polika zašte se može odnosi na one aspekte zašte za koje menadžment smatra da treba da budu trerani, a u opštoj formi navodi šta je dopušteno, a šta nije u toku rada IKTS i sugeriše šta je od najveeg znaaja i šta treba uradi, a ne kako to treba uradi. snovni atribu Sl. 3.3. Ciklus procesa održavanja strukture polike zašte mogu se polike zašte denisa na brojne naine, a prihvatljiv skup je: sadržaj, potreba, namena, pristup u praksi i pogodnost za primenu u specinoj situaciji. Kljuni kriterijumi za razvoj i generisanje polike zašte su [10]: funkcija dopunjavanja internih standarda, uputstava i procedura zašte; vidljivost za sve ciljne grupe zaposlenih; menadžerska podrška, koja garantuje implementaciju polike zašte; konzistentnost sa kulturom rada, poslovnim ciljevima i misijom organizacije; eksplicitnost saopštenja, napisanih opšm, uobiajenim i razumljivim izrazima (prihvatljivost, neprihvatljivost, neadekvatnost, mora, treba itd.). U polici zašte treba nedvosmisleno izrazi znaaj, što obezbe uje smernice, osnovu za upravljaki okvir, uloge i odgovornos i dokumentova stav organizacije u odnosu na zaštu. Smernice ukazuju koje akvnos treba ili ne treba izvrši. Upravljaki okviri na bazi polike zašte je stabilan u vremenu nepromenljivos polike. Uloge i odgovornos, za sprovo enje polike u praksi, mora da deniše svaka polika zašte. Dokument polike zašte eksplicitni izražava stav organizacije prema zaš informacija. Ulazne veliine u proces razvoja polike treba da budu rezulta analiza i procena rizika, koji se kasnije mogu koris za reviziju adekvatnos polike u posebnim okolnosma [24, 55]. Saopštenja (statements) polike zašte posebno su ekasan metod za denisanje specinih funkcionalnih zahteva, uloga i odgovornos u zaš. Koncept ne zavisi od organizacione strukture, a omoguava da se funkcionalni zahtevi i uloge mapiraju sa upravljakim pozicijama na !eksibilan nain. Preklapanja i me uzavisnos saopštenja
U` {JJ O Š FOJ
241
su krini faktori, koji se moraju korektno kontrolisa, a zahtevi, uloge i odgovornos koherentno poveziva. Polika zašte dokumentuje i naine rešavanja posebnih pitanja. Iako nema vrsh i brzo primenjivih pravila za denisanje forme, obima i sadržaja polike zašte, brojni uzorci saopštenja dostupni su na Internetu (SANS Instut, NIST, Informaon Shield Policy, ReSecure itd) [63, 41, 36]. Do konkretnih polika zašte nije lako doi, jer su poverljivi autorski radovi. Dobar pristup za izradu konkretne polike zašte obezbe uje se denisanjem standardne strukture zajednikih i specinih elemenata. Denisanje standardne strukture polike zašte bitno je za standardizaciju dokumenata zašte. ednostavna polika odgovara manjim organizacijama, a za vee su potrebna mnogo preciznija saopštenja i sa više restrikcija. Generalno, bolje je ima posebnu poliku zašte na razliim nivoima, nego jedinstvenu, ali je teško izbei preklapanja i ponavljanja. Tako e, jedinstvena polika zašte za veliku organizaciju može bi neprihvatljivo velik dokument. Polika zašte može da ima sledeu opštu strukturu [35, 41]: Naslov: Autor: Verzija: Datum: Amandmani: kontrolni podaci dokumenta, poetak primene, datum revizije Namena: predmet polike i ciljna grupa za koju je dokument namenjen. 1. Uvod: denicija zašte informacija, objašnjenje konteksta sistema zašte. 2. Struktura, obim i granice: kratak opis strukture, obima, granica polike. 3. Bezbednosni ciljevi: svi bezbednosni ciljevi po prioritema. 4. Saopštenja: specini funkcionalni zahtevi, uloge i odgovornos, usaglašenost, odnosne polike, sankcije za nespovo enje, vlasnik polike. 5. Renik termina: kljune rei korišene u dokumentu. 6. Odobrava: poslednja stranica koju potpisuje akreditacioni autoritet
Struktura konkretnog dokumenata polike zašte na razliim nivoima i za razliite komponente zašte, jednaka je za deo opšte strukture (1 - 3), a razlikuju se za specini deo od take 4. - 6. Na primer: I. Struktura Programske polike zašte: 1– 3. (Tipini deo opšte strukture polike zašte). 4. Saopštenja polike eksplicitna podrška i kratke smernice za obim i granice polike
242
O Š FOJ
4.1. Saopštenje o zahtevima: za zaštu informacija i IKTS organizacije 4.2. Saopštenje o odgovornos: obavezu odre ivanja uloga (vlasnika) i odgovornos svih zaposlenih 4.3. Usaglašenost i obaveza primene: obavezuje usaglašenos polike sa standardima i praksom zašte deniše sankcije za nesprovo enje i neusaglašenost polike zašte 5. Denicije termina: renik kljunih termina u odnosnoj polici zašte 6. Odobrava: potpisuje glavni menadžer II. Struktura polike zašte IKTS (System–Specic Policy): 1– 3. (Tipini deo opšte strukture polike zašte) 4. Saopštenja polike eksplicitna podrška i smernice za obim i granice polike; 4.1 Saopštenje o zahtevima: za zaštu specinog objekata imovine, komponente, sistema; 4.2 Saopštenje o ulogama i odgovornosma: glavnog menadžmenta, izvršnih menadžera, svih zaposlenih, spoljnih saradnika i TTPS provajdera i opštoj odgovornos za razvoj sves o potrebi zašte svih uesnika; 4.3. Usaglašenost i obaveza primene: objašnjava hijerarhiju odnosnih dokumenata zašte i znaaj usaglašenos polike sa standardima i praksom zašte, deniše sankcije za nesprovo enje i neusaglašenost polike zašte i odre uje vlasnika polike i listu važnih kontakata (funkcije, ne imena); 5. Denicije termina: renik kljunih termina u odnosnoj polici zašte; 6. Odobrava i autorska prava: potpisuje akreditator i obino potvr uje dobrovoljno ustupanje autorskih prava. III. Struktura ISMS polike zašte: 1. – 3. (Tipini deo opšte strukture polike zašte) 4. Saopštenja polike: denicija bezbednos informacija, preporuena lista komponen zašte za koje treba razvi poliku, npr: fizika zašta, personalna zašta, upotreba kriptograje, upravljanje kompjuterskim incidentom, logovanje i kontrolni tragovi, udaljeni pristup, zašta CIA informacija itd., U` {JJ O Š FOJ
243
uloge i odgovornos: detaljne uloge i odgovornos za ISMS, usaglašenost i obaveza primene i vlasništvo i kontak; 5. Denicije termina 6. dobrava i autorska prava ISMS polika (IS /IEC 27001), izme u ostalog, treba da sadrži: deniciju zašte CIA informacija; bezbednosne ciljeve menadžmenta u oblas zašte; uloge i odgovornos zaposlenih u ISMS; smernice, standarde, procedure i uputstva koji podržavaju poliku ISMS; kratko objašnjenje principa i polike komponen zašte; reference o malicioznim programima i napadima; plan konnuiteta poslovanja; posledice u sluaju kršenja ISMS polike.
Primer 1: Namena ISMS polike: da zaš informacionu imovinu organizacije XY od svih vidova pretnji. Ovom polikom se denišu funkcionalnost i organizaciona struktura bezbednos informacija u XY, što se obezbeuje denisanjem funkcija procesa zašte kroz saopštenja, uloge i odgovornos. Primer 2: Ciljevi ISMS polike: da obezbedi zaštu od neovlašenog pristupa informacijama; zaštu poverljivos, integriteta i raspoloživos informacija; poslovanje u skladu sa regulavom, zakonima i poslovnim ciljevima; izradu, implementaciju i tesranje planova za konnuitet poslovanja; dostupnost obuke o zaš za sve zaposlene; evidenciju svih sumnjivih dogaaja u vezi sa bezbednos informacija i istragu od strane menadžera zašte informacija.
Uobiajeno je da ISMS polika upuuje na druga dokumenta zašte, a pino se menja svake 2 – 3 godine, sa nekom glavnom promenom. IV. Struktura Polike komponente zašte (Issue–Specic Policy): dnosi se na poliku funkcionalne komponente sistema zašte. Primer strukture: 1. – 3. (Tipini deo opšte strukture polike zašte) 4. Saopštenja: specini zahtevi za, npr. uskladištene informacije, metod skupljanja informacija, upravljanje kolaiima, pristup linim podacima, ažuriranje linih podataka, iskljuivanje informacija, dostupnost za treu stranu i sl. i uloge i odgovornos svih relevantnih uesnika na koje se polika odnosi; 5 i 6. Kao u standardnoj strukturi, ali specino za konkretnu komponentu zašte. Polika komponente zašte može da se generiše u okviru Polike zašte IKTS kroz specina saopštenja ili kao samostalni dokument. U prvom sluaju problem je slaba korisnika prihvatljivost obimnog dokumenta, a u drugom – mogunost ponavljanja i preklapanja.
244
O Š FOJ
3.2.3.3. Razvoj procedura zaštite Procedura je precizno denisan skup, korak po korak, akvnos procesa za implementaciju polike zašte. Sadrži detaljne liste i opšte forme koraka i instrukcija za izvršavanje speciciranih procesa [23, 35]. Znaaj procedura zašte ne sme se nikako potcenjiva, jer su ljudske greške, još uvek, primarni uzrok proboja sistema zašte. Procedure dokumentuju procese zašte i opisuju naine implementacije, operavnog korišenja i odlaganja mehanizama i protokola zašte. Na primer, procedura za upravljanje kompjuterskim incidentom, treba da deniše ko i kako upravlja incidentom, kako se skupljaju i istražuju napadi i anomalije u sistemu, kako i kada se interni ili eksterni napad dogodio, ko može objavi informacije o incidentu i kome ih dostavlja i ko i kako može da izvrši forenziku istragu, akviziciju i analizu digitalnih dokaza u sluaju kriminala. Procedura zašte spušta poliku na operavni nivo i objašnjava prakne korake „kako“ se ona implemenra u dnevnom radu. Usaglašenost prakse i polike zašte, u velikoj meri zavisi od toga koliko su kompletne procedure i koliko dobro denišu i opisuju zadatke, koje treba preduze, da bi se ispunili bezbednosni ciljevi polike zašte. Procedure su pine za upravljake i organizaciono-operavne kontrole, koje izvršavaju ljudi i koje se esto nazivaju proceduralne kontrole zašte. Za tehnike alate zašte procedure se uobiajeno daju uz tehniku dokumentaciju [35]. U procesnom pristupu, procedura zašte je sastavna komponenta procesa zašte, koja opisuje sekvencijalno izvršavanje bazinih akvnos i zadataka, povezuje akvnos i odre uje redosled izvršavanja zadataka. Procesi zašte se mogu dekomponova u tri kljuna skupa akvnos ili procedura za [35]: 1. upravljanje procesom, koje koordiniraju koherentan rad procesa zašte, 2. izvršavanje procesa, sa prioritetom izvršavanja i me usobnim vezama i za 3. dokumentovanje kontrola i izlaza procesa zašte. Uobiajeno se procesi zašte normalno dokumentuju kroz procedure, koje se, zam, što detaljnije opisuju u dokumentaciji procesa zašte. esto treba koris zdravu logiku, apriorna i opšta znanja da bi se smanjila kompleksnost, izbeglo nepotrebno ponavljanje i odredio racionalan nivo detalja u svakoj proceduri i dokumentu zašte. Na taj nain pojednostavljuje se proces održavanja sistema zašte i poveava verovatnoa da e procedure bi stvarno korišene. pis procesa zašte kroz detaljne procedure generiše se u dokumentu Procedure zašte na razliim nivoima (npr. procedura za administratora zašte). Primeri uzoraka procedura zašte mogu se nai u literaturi [63, 55]. Uputstvo za zaštu je celovit dokument o zaš namenjen administratorima i glavnim menadžerima zašte, kao pomo u projektovanju sistema zašte, upravljanju programom zašte od inicijalnog koncepta do implementacije i u održavanju sistema zašte, obuci i procesu nadzora, kontrole i revizije. Uputstvo može da sadrži i instrukcije za korišenje kataloga kontrola zašte za osnovni i poveani nivo zašte krinih objekata IKTS. Uputstva za zaštu, namenjena korisnicima IKTS, orijensana su na odre ene
U` {JJ O Š FOJ
245
grupe korisnika i obra uju odre ene komponente zašte u delokrugu odgovornos te grupe [55].
3.3. PREPORUENA DOKUMENTACIJA ZA IMPLEMENTACIJU ISMS Projektna dokumentacija za implementaciju ISMS obuhvata [23]:
tok procesa implementacije i serkacije ISMS; denicija obima ISMS; IS /IEC 27002 upitnik/Izveštaj o analizi razlika (Gap Analysis Report) predlog za implementaciju ISMS; plan implementacije ISMS; plan tretmana rizika (kako e bi ublažen preveliki rizik); saopštenje o primenljivos – S A (Statement of Applicability); inicijave, dnevni red, odobrenja odeljenja za zaštu informacija; strategija upravljanja rizikom, pristup, metodologija; organizacija ISMS (dijagram organizacione strukture i izveštavanja); renik termina zašte informacija (hiperlinkovani online dokument); smernice i metrika za implementaciju ISMS (sa idejama i savema); metrika zašte informacija (skup uzoraka).
ISMS polika, zavisno od konteksta i pa organizacija, preporuuje izradu: 1. Polika pristupa 2. Polika razvoja sves o potrebi zašte i obuka o zaš 3. Polika upravljanja rizikom 4. Polika upravljanja životnim ciklusom sistema zašte 5. Polika prihvatljivog ponašanja 6. Polika zašte informacija i podataka na komunikacijama 7. Polika upravljanja vanrednim doga ajem 8. Polika upravljanja kompjuterskim incidentom 9. Polika sakupljanje i održavanje kontrolnih tragova (Audit trails) 10. Polika usaglašenos i odgovornos 11. Polika serkacije i akreditacije 12. Polika istog stola i ekrana 13. Polika arhiviranja i zadržavanja podataka 14. Polika klasikacije informacija 15. Polika odlaganje informacija/medija/opreme 16. Polika zašte e-poslovanja
246
O Š FOJ
17. Polika prihvatljive upotrebe e–pošte 18. Polika procene rizika bezbednos informacija 19. Polika zašte laptop (mobilnih) raunara 20. Polika mobilnog i rada sa daljine 21. Polika upotrebe iznajmljenih resursa (outsourcing) 22. Polika upravljanja lozinkom 23. Polika tesranja sistema na proboj 24. Polika personalne zašte 25. Polika zike zašte 26. Polika zašte privatnos 27. Polika upotrebe licencnog sovera 28. Polika anspam zašte 29. Polika bekapovanja i oporavka sistema/podataka 30. Polika monitoringa upotrebe sistema 31. Polika pristupa tree strane 32. Polika zašte od malicioznih programa
snovni tehniki standardi zašte (Baseline Technical Security Standards) speciciraju bezbednosne konguracije i parametre za razliite plaorme i vrste raunara, aplikavne i druge servere, baze podataka, razvojne sisteme, DMZ ure aje, logike barijere, razliite S, mrežne ure aje, žine i bežine mreže itd. Procedure za zaštu informacija pino ukljuuju procedure za: bekapovanje, procenu i reviziju usaglašenos, izveštavanje o incidentu, reviziju logike kontrole pristupa, upravljanje bezbednosnim popravkama, administraciju zašte RS/RM, poboljšanje, tesranje, korisniko održavanje sistema zašte itd. Procedure za upravljanje sistemom zašte pino ukljuuju procedure za: korekvne/ prevenvne akcije, registrovanje i dokumentovanje kontrolnih tragova, internu kontrolu i reviziju ISMS, upravljanje rizikom, razvoj sves o potrebi zašte, reviziju ISMS, analizu bezbednosnog rizika, programske alate za procenu rizika itd. Uloge, odgovornos i kompetencije za ISMS pino obuhvataju: lica za planiranje vanrednog dogaaja i oporavak sistema, vlasnike informacione imovine, analiare i projektante sistema zašte, menadžera zašte informacija – GISO (General Informaon Security Ocer), specijalistu zašte informacija – ISO (Informaon Security Ocer), specijalistu za tesranje sistema zašte na proboj, kontrolora sistema zašte i administratora zašte RS/RM. Operavni artefak su formalne evidencije, koje se generišu kao rezultat ISMS prakse, a ine ih: plan konnuiteta poslovanja (BCP); kontrolna lista za procenu ucaja na poslovanje i sistem izveštavanja; plan za oporavak IKTS; templej za izveštavanje o bezbednosnom incidentu; izveštaji o znaajnijim incidenma; lista za proveru i reviziju U` {JJ O Š FOJ
247
dizajna i arhitekture rešenja za razvoj sovera; taksonomije pretnji i ranjivos, liste za proveru, upitnici i izveštaji. Evidencija ISMS obuhvata: liste baze podataka informacione imovine; registar medija za bekapovanje; registar BCP; registar faktora bezbednosnog rizika; registar kompjuterskih incidenata; lista administratorskih, privilegovanih i korisnikih prava pristupa; registar licenciranih programa; lista standardnih programa RS; registar popravki OS i statusa AVP; registar pristupa TTPS.
3.4. USPOSTAVLJANJE UPRAVLJAKOG OKVIRA SISTEMA ZAŠTITE Upravljaki okvir ine saopštenja polike zašte, standardi zašte, procedure, radna dokumenta i tehnike kontrole, implemenrane da obezbede dnevno operavni rad IKTS. Na slici Sl. 3.5. prikazani su odnosi polike zašte, procene rizika i upravljakog okvira sistema zašte.
Sl. 3.5. Sazrevanje procesa upravljakog okvira zašte Upravljaki okvir evoluira sazrevanjem procesa zašte od upravljanja na bazi polike do implementacije rezultata procene rizika. Upravljanje na bazi polike zašte, rezultat je strategijskih inicijava i predstavlja sporo promenljivu komponentu programa zašte. Upravljanje rizikom je dinamiki promenljiva komponenta, a mera u kojoj odgovora
248
O Š FOJ
dnevnim potrebama, dobar je pokazatelj zrelos organizacije. Kako procesi organizacije sazrevaju, oekuje se postepena zamena upravljakog okvira na bazi polike zašte, sa upravljanjem na bazi procene rizika, što ukazuje na sposobnost organizacije da brže reaguje na promene u okruženju [55]. Za veinu organizacija upravljaki okvir u velikoj meri zavisi od spoljnih partnera i TTPS. Vei je problem za organizacije koje same implemenraju tehnologije zašte. Na primer, u AVP zaš, koja je ekasna u slojevitoj arhitekturi sistema zašte, incident se može dogodi, ako se na vreme ne sprovode procedure zašte. vako strog režim zahteva veliku disciplinu, pa rigidna polika zašte može prežive uglavnom u vojnoj, policijskoj i državnoj strukturi, a teže u poslovnom okruženju. Savremeni koncept upravljakog okvira sistema zašte, uspostavljen na osnovu konsultacija više standarda zašte (ISO/IEC 27001 i drugi, PCI–DSS, HIPAA, Gramm–Leach Bliley i NIST), programa za kontrolu i reviziju i prakse zašte u više javnih, privatnih i državnih organizacija, obuhvata trinaest bezbednosnih kategorija komponen zašte na strateškom, takkom i operavnom nivo (Tabela 3.2). Cilj je razvi okvir, koji se može integrisa u program zašte informacija i zadovolji strateške potrebe organizacije. Upravljaki okvir daje mogunost organizaciji da modikuje ili doda kontrole i ciljeve zašte, da dosgne nivo prihvatljivog rizika, kao i smernice za razvoj, procenu i poboljšanje zašte informacija. Tabela 3.2. Bezbednosne kategroije upravljakog okvira sistema zašte Bezbednosne kategorije (1) organizacija i menadžment
Nivo bezbednosne kategorije STRATEKI
(2) polika zašte (3) kontrola, revizija i usaglašenost (4) upravljanje rizikom i prikupljanje informacija (5) zašta privatnos
TAKTIKI
(6) upravljanje incidentom (7) svest, obuka i obrazovanje u zaš (8) operavno upravljanje zaštom (9) tehnike kontrole zašte i kontrola pristupa (10) monitoring, merenja i izveštavanje (11) zika i zašta okruženja IKTS
PERATIVNI
(12) idenkacija i klasikacija imovine (13) upravljanje nalozima i spoljnim korisnicima
Nivoi zrelos i kapacite procesa upravljakog okvira zašte informacija sa osnovnim karakteriskama da su u Tabeli 3.3 [22].
U` {JJ O Š FOJ
249
Tabela 3.3. Kapacite procesa upravljakog okvira po nivoima zrelos Nivo zrelos
Osnovne karakteriske
Nivo 1
Najbolje prakse se ne izvršavaju, a neformalni procesi nisu planirani.
Nivo 2
rganizacija ima neku poliku i procedure zašte, najbolje prakse se izvršavaju, procesi su planirani, ali nisu ponovljivi u celoj organizaciji.
Nivo 3
Polika i procedure zašte su planirane, izvršavane, dobro denisane i implemenrane u celoj organizaciji.
Nivo 4
Prakse i procesi zašte su planirani, izvršavani, dobro denisani, implemenrani, kvantavno upravljani i kontrolisani u celoj organizaciji.
Nivo 5
Prakse i procesi zašte su planirani, izvršavani, dobro denisani, implemenrani, kvantavno upravljani, kontrolisani u celoj organizaciji, neprekidno poboljšavani i integrisani u strateške poslovne odluke.
3.5. REZIME Program zašte ukljuuje programsku poliku zašte, plan zašte, ISMS poliku, poliku komponen sistema zašte, procedure i uputstva zašte. snovni zahtevi programa zašte su sprovo enje nacionalnih i EU zakona i standarda za zaštu IKTS, kao i obezbe ivanje digitalnih tragova za forenziku istragu i veštaenje digitalnih dokaza za pravosudne potrebe u sluaju kompjuterskog kriminala. Razvoj sves o potrebi i obuka u oblas zašte, kljune su komponente za implementaciju i održavanje efekvnog programa zašte. Program zašte zahteva dokumentovanje svih akvnos. Plan zašte je sveobuhvatan strategijski set dokumenata projekta za zaštu informacione imovine. Polika zašte je kljuna komponenta plana zašte, izjava na visokom nivou, koja obezbe uje okvir oekivanog i obaveznog ponašanja menadžera, zaposlenih, tehnologije i procesa u sistemu zašte, a realizuje se kroz principe, instrukcije, procedure i smernice, koje su obavezne za celu organizaciju. Nametanje obaveze sprovo enja polike zašte je krina komponenta programa zašte, jer ako nema posledica za povrede polike zašte, zaposleni je nee dosledno sprovodi. Polika zašte treba da se prezenra zaposlenima u istom formatu i kroz iste kanale, distribucione liste, uputstva i sl. u organizaciji, kao i poslovna polika organizacije. Polika, standardi, procedure i uputstava zašte moraju bi realni u pogledu ucaja okruženja, ekih i kulturoloških principa; moraju bi predstavljeni na takav nain da zaposleni shvate da je menadžment odluan u pogledu njihovog znaaja, implementacije i prakse. Standardi, polika, procedure i uputstava zašte su mehanizmi pomou kojih menadžment izražava i podržava svoj stav prema zaš informacija, kao dragocenoj imovini organizacije. Dok se standardna struktura polike zašte relavno sporo menja, sadržaj polike, a posebno procedura zašte, treba da ažurno pra razvoj otvorenih, visoko distribuiranih IKTS i sistema zašte. Za sistem zašte potrebna su brojna saopštenja polike zašte, kao i 250
O Š FOJ
procedure zašte, koji esto nisu pod kontrolom centralnog enteta za upravljanje sistemom zašte. Polika zašte treba da obaveže organizaciju na centralizovano upravljanje zaštom. Procedure zašte su precizno denisani naini izvršavanja akvnos u primeni polike; propisuju naine implementacije i operavnog korišenja mehanizama i protokola zašte i dokumentuju procese zašte. Uputstvo za zaštu je dokument o zaš namenjen administratorima, menadžerima i korisnicima, kao pomo u radu. Implementaciju polike i procedura zašte treba pažljivo planira u planu zašte, da bi se obezbedila maksimalna ekasnost, sa minimalnim odstupanjem radnih procesa i funkcija. Akvna podrška menadžera izuzetno je krina za implementaciju polike. Upravljaki okvir ine saopštenja polike, standardi, procedure, radna dokumenta i tehnike kontrole zašte. Upravljaki okvir na bazi polike je sporo promenljiva komponenta programa zašte, a na bazi upravljanja rizikom – dinamiki promenljiva. Kako procesi organizacije postaju zreliji, oekuje se postepena zamena upravljakog okvira na bazi polike zašte, sa procesom upravljanja na bazi procene rizika, što ukazuje na sposobnost organizacije da brže reaguje na promene u okruženju.
3.6. KLJUNI TERMINI Plan zašte: sveobuhvatan dovoljno detaljan, jasan i precizan dokument za planiranje zašte informacione imovine. Polika zašte: izjava na visokom nivou, koja obezbe uje okvir oekivanog i obaveznog ponašanja menadžera, zaposlenih, tehnologije i procesa zašte. Procedure zašte: precizno denisani naini primene elemenata polike zašte sa listom detalja i opšh formi koraka speciciranih procesa. Program zašte: sve što neka organizacija ini da proizvede, primeni, podrži i unapredi bezbednost IKTS; esto se naziva programska polika zašte. Struktura polike zašte: standardizovana, metodološka forma izlaganja sadržaja dokumenta polike zašte, koja obuhvata jedinstven opš deo za sve pove polika zašte i specini deo za odre enu poliku zašte.
Saopštenje polike zašte: eksplicitna izjava koju polika zašte sadrži o odre enim pitanjima zašte; daje se u razumljivoj formi, sa jasnim i jednostavnim terminima. Upravljaki okvir: ine ga polika, standardi i procedure zašte, radna dokumenta i tehnike kontrole zašte; sporo promenljiva komponenta programa zašte. Upravljaka dokumentacija: ugovori, planovi, izveštaji, budžetska dokumenta, NDA i dr.
U` {JJ O Š FOJ
251
3.7. PITANJA ZA PONAVLJANJE 1. Dokument Programska polika zašte treba da obuhva najmanje: a. namenu, bezbednosne ciljeve, obim i usaglašenost b. namenu, bezbednosne ciljeve i granice akreditacije c. smernice, podršku, odgovornost i odobrenje menadžmenta, komunikaciju, obavezu nametanja polike i sankcije d. namenu, bezbednosne ciljeve, usaglašenost (opštu i specinu) i odgovornost 2. Generiki proces razvoja Plana zašte obuhvata sledee osnovne faze: a. iniciranje projekta i nabavka resursa za zaštu b. uloge i odgovornos i upravljanje promenama c. razvoj polike zašte, konsultacije i odobravanje d. razvoj sves, obuka i distribucija polika zašte 3. Uloga glavne menadžerske strukture u izradi Plana zašte je: a. obezbedi superviziju i deniše i upravlja glavnim smernicama polike zašte, nadzire i kontroliše realizaciju plana zašte b. pripremi i planira razvoj sistema zašte i obezbedi projekat implementacije c. klasikuje imovinu, izvrši analizu rizika i preuzme vodeu ulogu i odgovornost u kreiranju programa, plana i polika zašte d. nametne praksu obaveznog uvo enja standarda u oblast zašte i angažovanja odgovornih, strunih i iskusnih lica na poslovima zašte e. izvrši internu kontrolu i nadzor sistema zašte, nametne praksu primene internih standarda i obezbedi uskla enost prakse i programa zašte f. obezbedi eksplicitno izraženu odgovornost menadžmenta, izabere telo za superviziju i kontrolu procesa upravljanja rizikom i sistemom zašte u celini
252
O Š FOJ
4. pšta procedura za upravljanje promenama treba da ima sledeu osnovnu strukturu: a. planiranje, odre ivanje prioriteta, uvo enje i kataloška registracija promena b. uvo enje, kataloška registracija, planiranje redosleda, implementacija i izveštavanje o izvedenim promenama c. planski raspored, implementacija i kontrola promena d. lista kontrola zašte za upravljanje promenama i izveštavanje upravne strukture o izvedenim promenama 5. Vrste polika zašte su: a. programska, polika zašte IKTS, ISMS polika i polika upotrebe komponente sistema zašte b. polika zašte IKTS, ISMS, polika udaljenog pristupa i polika upotrebe komponente sistema zašte c. programska, polika zašte IKTS, ISMS polika i polika elektronskog poslovanja 6. Princip za implementaciju polike Obezbedi bezbednost greške objašnjava izraz: a. preporuuje se primena razliih mehanizama zašte, da bi maliciozni napadai morali ovlada razliim i po mogunos me usobno nespojivim vešnama b. ako se greška dogodi, IKTS treba da padne na bezbedan nain; sistem zašte treba da ostane u funkciji; bolje izgubi funkcionalnost nego bezbednost c. podrazumeva da svi informacioni tokovi u zašenoj mreži i iz nje, moraju prolazi kroz sistem zašte informacija i mrežnu barijeru 7. Princip za razvoj i implementaciju polike Minimizacije privilegija objašnjava izraz: a. samo se u jednostavno i lako upravljanom sistemu može ekasno proveri usaglašenost konguracije komponen i ostvari centralno upravljanje.
b. dodeljivanje samo onih korisnikih i adminstravnih prava pristupa koja su neophodna za izvršavanje dužnos c. pod oekivanim okolnosma sistem zašte ili potpuno izvršava svoje funkcije ili potpuno blokira pristup. d. preporuuje se primena razliih mehanizama zašte, da bi maliciozni napadai morali ovlada razliim i nespojivim vešnama za proboj sistema zašte 8. Princip za razvoj i implementaciju polike zašte Odvajanje dužnos objašnjava izraz: a. mehanizmi zašte i IKTS generalno treba da bude što je mogue jednostavniji, jer je kompleksnost uzrok brojnih bezbednosnih problema b. raspodela uloga i odgovornos u sistemu zašte i IKTS u kojoj jedan ovek ne može naruši krine procese organizacije c. garantovana bezbednost svakog sistema zašte odre ena je stepenom zašenos najslabije komponente, što esto nije ni raunar, nego ovek 9. Princip za razvoj i implementaciju polike zašte Jaanje zašte samo slabih komponen objašnjava sledei izraz: a. garantovana bezbednost svakog sistema zašte odre ena je stepenom zašenos najslabije komponente, što esto nije ni raunar, nego ovek b. funkcije u zaš do najveeg mogueg stepena treba da budu odvojene; koncept treba primeni i na sisteme i operatere/korisnike. c. treba koris svuda indirektan pristup informacijama, preko posrednih elemenata koji nameu poliku zašte (AC, proxy i A&A server, e-mail gateway) 10. Princip za razvoj i implementaciju polike zašte Slojevita zašta objašnjava izraz: a. korisnici treba da razumeju potrebu zašte, što se može obezbedi kroz obuku, a implemenrani mehanizmi treba da pruže oseaj korisnos
b. pojedinani mehanizam zašte generalno je nedovoljan, mehanizmi zašte treba da budu slojevito raspore eni u arhitekturi sistema zašte, tako da kompromitacija jednog ne ugrožava host sistem/mrežu c. kada su sistem i mreža kompromitovani, to treba registrova ili evidenra u log datoteci, a ove kontrolne informacije mogu pomoi kod idenkacije naina iskorišenja ranjivos, idenkacije napadaa i proboja slojevite zašte 11. Kljune funkcije polika zašte su: a. opisuje šta treba radi u oblas zašte i obezbe uje okvir oekivanog i obaveznog ponašanja menadžera, zaposlenih, tehnologije i procesa b. obezbe uje potrebnu dokumentaciju zašte i skup kontrola za osnovnu zaštu c. utvr uje ciljeve, oekivanja i verikovane korisnike zahteve za poslovne procese d. koris principe, instrukcije, procedure i smernice, obavezne za organizaciju 12. Kljuni kriterijumi za razvoj i generisanje polike zašte su: a. jasno razumevanje vizije i ciljeva zašte od strane menadžera, ukljuivanje specijalista zašte, informaara i što više predstavnika organizacionih jedinica b funkcija dopunjavanja, vidljivost, menadžerska podrška, konzistentnost i eksplicitnost saopštenja c. idenkovani glavni rizici za informacionu imovinu i razvijen projekat sistema zašte, koji re!ektuje potrebe organizacije 13. Navedite obavezne sastavne komponente pine strukture polike zašte: a. namena, cilj, vrsta, obim, odgovornost, usaglašenost, saopštenja b. namena, cilj, vrsta, obim, odgovornost, usaglašenost
U` {JJ O Š FOJ
253
c. namena, cilj, obim, specina saopštenja, odgovornost, usaglašenost, sankcije d. namena, obim, specina saopštenja, odgovornost, usaglašenost, sankcije 14. Navedite saopštenja/zahteve koja se mogu nai u Polici lozinke: a. ne menja lozinku najmanje tri meseca b. menja lozinku najmanje jedanput meseno c. uzima što krau i jednostavniju lozinku zbog lakšeg pamenja d. zapisiva lozinku da bude na dohvat ruke, da se lakše koris e. uva lozinku na bezbednom mestu f. koris lozinku sa najmanje 8 karaktera kombinovanih interpunkcijskih znakova slova i brojeva 15. Koja vrsta polike uobiajeno zabranjuje igranje raunarskih igrica na poslu: a. polika kontrole pristupa b. polika udaljenog pristupa c. polika ispravnog ponašanja u IKTS d. polika minimuma privilegija 16. Procedura zašte je: a. precizno denisan skup, korak po korak, akvnos procesa zašte b. komponenta procesa zašte koja opisuje akvnos i odre uje tok procesa c. skup povezanih akvnos zašte, koje ini proces upravljanja zaštom d. nain implementacije i operavnog korišenja mehanizama i protokola zašte
254
O Š FOJ
17. ISMS standard (IS /IEC 27001) obezbe uje: a. uputstvo za upravljanje i izbor kontrola zašte b. odgovore kako treba upravlja zaštom c. instrukcije šta treba radi u praksi zašte d. upravljake, operavne i tehnike kontrola zašte e. tehniki standard za specine tehnologije i metriku za evaluaciju zašte f. sistem za upravljanje zaštom informacija g. kompabilnost sa SSE CMM modelom sazrevanja procesa zašte 18. Kontrolni okvir je: a. skup polika, standarda, procedura, radnih dokumenata i kontrola zašte b. rezultat strategijskih inicijava i dugoronih bezbednosnih ciljeva c. rezultat kratkoronih takkih bezbednosnih zahteva d. sporo promenljiva komponenta programa zašte e. pokazatelj zrelos procesa zašte organizacije f. upravljan polikom zašte i procesom procene rizika g. uvek zavisi od spoljnih partnera (poverljivih provajdera servisa zašte – TTPS).
4.
NADZOR, KONTROLA I REVIZIJA SISTEMA ZAŠTITE
4.1. UVOD Savremeni poslovni IKTS sve više zavise od sistema zašte. Da bi se izbegli ili spreili brojni rizici, nužno je obezbedi neprekidan nadzor, kontrolu i reviziju32 (auding) sistema zašte. Kontrolori i revizori zašte moraju bi osposobljeni za evaluaciju sistema zašte i da ponude preporuke za smanjenje bezbednosnog rizika na prihvatljivi nivo. Praksa nadzora, kontrole i revizije sistema zašte ukazuje na brojne ranjivos IKTS, kao što su: nedostatak formalnog plana i polike zašte; neadekvatnost kontrola zašte; nepotpuno korišenje NOSSS kapaciteta zašte; instalacija/modikacija programa bez kontrole i izmene pretpostavljene konguracije ili lozinke; neažuriranje denicija AVP; neadekvatnost planova za vanredne dogaaje i konnuitet poslovanja; neadekvatnost odgovornos u zaš; sporo objavljivanje otkrivenih ranjivos; nedovoljna svest o potrebi zašte; velika ovlašenja i slabo razdvajanje dužnos u IKTS; nedostatak osnovnih kontrola za upravljanja programom zašte itd. Posebnu pažnju kontrolori i revizori sistema zašte treba da usmere na implementaciju kontrola zašte i upravljanje zaštom.
4.2. PROCESI NADZORA, KONTROLE I REVIZIJE SISTEMA ZAŠTITE Interni nadzor i kontrola sistema zašte treba da budu stalne, povremene i regularne akvnos, koje se vrše u skladu sa denisanom procedurom. Kontrolni tragovi su zapisi bezbednosno relevantnih doga aja u bezbednosnoj log datoteci, a koriste se za otkrivanje proboja, neovlašenog korišenja i eventualne zloupotrebe informacija i objekata u RS/RM. Zavisno od konguracije, mogu bi ogranieni na specine bezbednosne doga aje ili da obuhvataju sve akvnos u sistemu. 32
Termin revizija podrazumeva tehniku reviziju sistema zašte, za razliku od nansijske revizije.
U` {JJ O Š FOJ
255
Funkcija revizije sistema zašte obezbe uje internu i nezavisnu (eksternu) evaluaciju polike, procedura, standarda, kontrola i prakse zašte IKTS od gubitaka informacija, ošteenja, nenamernog otkrivanja ili pada sistema. Mehanizmi za reviziju sistema zašte treba da obezbe uju reviziju svakog pristupa sistemu i osetljivim informacijama [38]. Bezbednosni ciljevi nadzora, kontrole i revizije zašte su obezbe enje dodatnog faktora poverenja korisnika u zaštu i provera ispravnos rada i korišenja razliih mehanizama višeslojne zašte, obrazaca pristupa objekma IKTS, istorije pristupa specinih procesa i korisnika, ponovljenih pokušaja ovlašenih i neovlašenih korisnika da zaobi u mehanizme zašte, korišenja privilegija i dr. Korisnici mehanizma za nadzor, kontrolu i reviziju mogu se podeli u grupe kontrolora, revizora i korisnika. Kontrolori i revizori su korisnici sa serkovanim pravima – administratori sistema (za niže nivoe kontrole i revizije) ili administratori zašte, koji biraju doga aje, koje sistem treba da registruje, postavljaju kontrolne markere za registrovanje doga aja i analiziraju kontrolne tragove. Korisnici su administratori, operateri, programeri i drugi korisnici IKTS, koji generišu kontrolne doga aje i moraju razume da postoje mehanizmi za nadzor, kontrolu i reviziju i koji ucaj oni imaju na njih, što je presudno za faktore odvraanja i poszanja bezbednosnih ciljeva. 4.2.1. Glavni aspekti procesa kontrole i revizije sistema zaštite Standarde i uputstva za nadzor, kontrolu i reviziju zašte IKTS donosi nekoliko me unarodnih organizacija, od kojih su najznaajnije ISACA (The Informaon Systems Audit and Control Associaon) i ISACF (The Informaon Systems Audit and Control Foundaon), koja je izdala set uputstava za kontrolu sistema zašte – COBIT (Control Objecves for Informaon and Related Technology) [19, 27]. Ente za nadzor, kontrolu i reviziju treba da razviju kapacitete, adekvatne veliini, strukturi i potrebama organizacije. bavezu nadzora, kontrole i revizije sistema zašte, treba obuhva u normavno regulisa nacionalnim Zakonom o zaš informacija. Na bazi normavnog okvira i usvojenih standarda, svaka organizacija može izradi Uputstvo za nadzor, kontrolu i reviziju sistema zašte, koje treba da ukljui planiranje, razvoj, implementaciju, merenje funkcionalnos i poboljšanje kapaciteta za nadzor, kontrolu i reviziju sistema zašte IKTS [38]. Glavni mehanizmi za nadzor, kontrolu i reviziju sistema zašte IKTS su: Idenkacija i autenkacija, koja obezbe uje logovanje na sistem i normalno zahteva da korisnik unese korisniko ime i neki idenkator za autenkaciju. Bez obzira da li su ove informacije validne ili ne, izvršavanje procedure logovanja je kontrolni doga aj, a unesena informacija u log datoteku smatra se kontrolnom informacijom. U sluaju da unesena informacija nije prepoznata kao validna, sistem ne treba da je evidenra u log datoteku. Razlog za to je, što korisnik može greškom une lozinku, kada sistem traži korisniko ime za logovanje. Ako se informacija upiše u kontrolni trag, 256
O Š FOJ
kompromitovae lozinku i bezbednost sistema. Savremeni S spreavaju upisivanje lozinke u log datoteku kontrolnih tragova, pa je ovaj rizik izbegnut. Prednost registrovanja idenkacionih parametara (credenals) je, što olakšava otkrivanje pokušaja proboja sistema zašte i identeta napadaa u fazi digitalne forenzike istrage kompjuterskog incidenta. Administracija ukljuuje odgovorna lica, koja operavno upravljaju kapacitema i sprovode procedure za nadzor, kontrolu i reviziju sistema zašte [38]. Projekat rešenja treba da sadrži mehanizam, koji poziva funkciju evidencije kontrolnih tragova, na zahtev administratora zašte i koji odre uje da li doga aj treba da bude unesen u log datoteku kao kontrolni trag. Kontrolori i revizori moraju izabra bezbednosno relevantne doga aje za registrovanje u log datoteku kontrolnih tragova i rekongurisa log datoteku, na bazi identeta korisnika, bezbednosne klasikacije objekata IKTS ili procene rizika. Zašta kontrolnih mehanizama i osetljivih podataka kontrolnih tragova u log datoteci, od neovlašenog pristupa je obavezna. Uklonjeni mediji, koji sadrže kontrolne tragove, moraju se ziki zaš i odlaga u skladu sa propisanom procedurom zike zašte i saniranja osetljivih elektronskih medija za ponovnu upotrebu. Glavni bezbednosni zahtevi za kontrolni mehanizam i kontrolne tragove su zašta od neovlašenog pristupa, modikacije ili zaobilaženja i akviranje/ dezakviranje kontrolnih mehanizma i zašta kontrolnih tragova sa NOSSS mehanizmima zašte, nepristupanim za neovlašene korisnike [55]. 4.2.2. Planiranje nadzora, kontrole i revizije sistema zaštite Plan ili poboljšanje procesa nadzora, kontrole i revizije sistema zašte treba da sadrži sledee korake: a. denisanje misije, ciljeva, obima i granica razvoja kapaciteta, b. procena tekuih kapaciteta za nadzor, kontrolu i reviziju sistema zašte, c. planiranje procesa nadzora, kontrole i revizije i d. planiranje sistema za merenje i monitoring rezultata kontrole i revizije. a. Denisanje misije, ciljeva, obima i granica za razvoj kapaciteta za nadzor, kontrolu i reviziju sistema zašte, treba planira najmanje za tri godine sa eksplicitnim navo enjem odgovornos menadžera i izvršioca, idenkovanjem pova alata, potrebnih znanja, vešna i obuke kontrolora i revizora. Najznaajniji ciljevi su: obezbedi podršku za poboljšanje procesa, dopuni proces sa procenom efekvnos sistema zašte, obezbedi nezavisnu reviziju zašte za procenu rizika, podrža zahteve za korporacijsku digitalnu forenziku istragu, obezbedi podršku za analizu i ekstrakciju podataka i obezbedi mišljenje revizora zašte u procesu razvoja sistema zašte. U izgradnji kapaciteta za nadzor, kontrolu i reviziju zašte treba: proceni kapacitete i
U` {JJ O Š FOJ
257
rentabilnost implementacije sa dam resursima, konsultova zakon za kompjuterski kriminal, denisa potencijalne odgovornos, izvrši bezbednosnu proveru (posebno TTPS) i razmotri zakon za obavezan pristup informacijama [35]. Denisanje obima i granica nadzora, kontrole i revizije zašte ukljuuje relevantne uesnike i kapacitete za izvršavanje zadataka. Kontrolor i revizor prikupljaju informacije o infrastrukturi IKTS na osnovu upitnika [63]. U praksi zašte, organizacije vlasm kapacitema, uglavnom, planiraju samo proces nadzora, interne kontrole i revizije, dok regularnu godišnju reviziju (audit) vrše spoljni, nezavisni i akreditovani revizori ili revizorski movi. b. Procena postoje ih kapaciteta za nadzor, kontrolu i reviziju sistema zašte ukljuuje idenkaciju objekata IKTS i bezbednosnog rizika procesa revizije, kao prvi korak. Teško je oekiva da jedan revizor ima sva potrebna znanja i sposobnos, pa se preporuuje formiranje ma. Sakupljanje i dokumentovanje informacija o sistemu, podacima i aplikacijama može da obuhva brojna pitanja, kao što su: znaaj i prirodu programa i servisa sistema zašte, osetljivost (CIA) procesiranih informacija, pove raunara za procesiranje, specine plaorme, uslužne programe, alate za restrikciju pristupa programima i podacima, nivo umrežavanja, barijere i druge mrežne ureaje, pove i obim važnijih komercijalnih i programa razvijenih u organizaciji, nain i mesto unosa podataka i izveštavanja, približan broj transakcija i vrednos koje procesira svaki sistem, organizacione promene i kljuni personal zaposlen u IKTS, oslanjanje na druge organizacije u procesiranju, rezultate poslednje revizije i usaglašenost. Formiranje ma za reviziju, procena znanja, sposobnos i vešna internih i iznajmljenih lanova, kljune su komponente planiranja, izgradnje ili unapre enja kapaciteta za reviziju zašte. Znanja i vešne revizora zašte, rangiraju se kao: strunjak (ekspert) – ima veliko iskustvo, može instruisa druge revizore, profesionalac – može izvrši zadatke revizije bez posebnih priprema, sposoban – veruje da može izvrši zadatke, ali zahteva pomo i movisan – ima jaku želju i interes za scanje znanja i vešna za reviziju. Prol strunjaka naješe se odre uje parametrom znanja, vešna i sposobnos – KSA (Knowledge, Skills, Abilies), koji se pino koris za opisivanje radnih mesta i oglašavanje za slobodna radna mesta, ukazujui na zahtevane atribute [18]. Znanje je organizovan i usvojen korpus informacija, injenica, principa/procedura, ija primena omoguava izvršavanje posla i predstavlja osnovu za izgra uju vešna i sposobnos. Vešna je sposobnost manuelnog, verbalnog ili mentalnog manipulisanja ljudima, idejama i stvarima, koja se može demonstrira. Sposobnost je mogunost za izvršavanje nekih poslovnih funkcija, koristei bitna znanja, a dokazuje se kroz akvnos, koje se zahtevaju za obavljanje nekog posla [18]. I denkacija i izbor automazovanih alata za reviziju zašte, kao i serkovanih revizora, koji poseduju znanje i vešnu za njihovu upotrebu, krini su faktori za idenkovanje ranjivos sistema. 258
O Š FOJ
Primer: ala za ekstrakciju podataka u programu za logiku kontrolu pristupa, mogu idenkova kršenje principa razdvajanja dužnos privilegovanih korisnika; krekeri lozinki mogu idenkova pretpostavljene/slabe lozinke; sniferi mogu idenkova otvoren prenos lozinki ili osetljivih informacija; skeneri idenkuju zaštni prol RS/RM itd.
Veina organizacija koris usluge specijalizovanih revizora/revizorskih organizacija u procesu izbora adekvatnih automazovanih alata za reviziju sistema zašte, kao i u procesu obuke i izbora revizora za njihovo korišenje. Bilo da formira ili modernizuje kapacitete za reviziju sistema zašte, organizacija treba da razvije proces selekcije, evaluacije i revizije programskih alata za reviziju zašte, kroz: istraživanje raspoloživih alata i izbor iz svake kategorije, razmenu iskustava sa partnerima o pogodnos alata, odreivanje procesa za kontrolu rentabiliteta alata, potrebe za alama za specine plaorme, metodologije za evaluaciju, izbor i razvoj procedure za obuku korisnika. Razvoj metodologije za izbor i implementaciju programskih alata za reviziju sistema zašte ima višestruke prednos: izabrani alat je koristan za m i proces revizije, ne gubi se vreme na neadekvatne alate, minimiziraju se organizacioni ucaj i troškovi obuke, obezbeuju se efekvnije preporuke revizora i obuka i su neophodna znanja revizora/ma. Izbor alata je krian faktor za razvoj kapaciteta za reviziju zašte. Procena troškova procesa revizije nezaobilazno je pitanje, pošto obuka, iznajmljivanje konsultanata i održavanje kapaciteta za reviziju zašte zahtevaju znaajne troškove. c. Planiranje procesa revizije sistema zašte može ukljui sopstvene ili iznajmljene kapacitete. rganizacija koja ima razvijene kapacitete za reviziju sistema zašte, treba da deniše kriterijume za planiranje i izbor projekata za reviziju, koji mogu ukljuiva krinost i procenu rizika sistema za reviziju, saradnju vlasnika sistema za redukciju rizika u toku tesranja, nivo kompleksnos sistema za reviziju, godišnji i kratkoroni plan revizije itd. Generalno, kod planiranja revizije, treba koris rotacioni metod za izbor sistema za regularnu godišnju reviziju. Metod je posebno znaajan za planiranje revizije zašte u visoko distribuiranim sistemima. Za izgradnju ili dogradnju kapaciteta za reviziju sistema zašte, zahteva se veliki broj akvnos, koje variraju u zavisnos od ciljeva revizije. Mogu se razvi radni dokumen, koji pomažu da se uspostave i povežu ciljevi i akvnos i idenkuju potrebni resursi. Resursi za planiranje, razvoj i održavanje kapaciteta za reviziju mogu se nai na brojnim web lokacijama (www.isaca.org, www.itaudit.org, www.auditnet. org,www.cert.org, www.sans.org). d. Planiranje procesa merenja i monitoringa rezultata revizije obavezno je za revizorske organizacije, radi procene i poboljšanja performansi sistema za reviziju. Treba jasno denisa misiju i ciljeve revizije i uspostavi dugoroni/kratkoroni plan rada. Rezultate merenja performansi sistema za reviziju treba poredi sa uspostavljenim ciljevima i izveštava o progresu.
U` {JJ O Š FOJ
259
Primeri ciljeva revizije zašte: regularna revizija, evaluacija rezultata i preporuke; evaluacija usaglašenos rezultata revizije i standarda/zakona; atrakvnost kapaciteta za reviziju za visoko kvalikovane, movisane i posveene strunjake; poverenje, otvorenost komunikacije i profesionalni rezulta u radnom okruženju itd. [35].
U procesu revizije treba denisa sistem indikatora performansi (benmarking sistem) internih i eksternih kapaciteta za reviziju. Primer: benmarking kompetentnos ma za reviziju, zahteva da svako IKT odeljenje ima 65% revizora sa serkatom CISA (Cered Informaon Systems Auditor) ili diplomom informaara ili menadžera IKTS.
Evaluaciju procesa revizije treba vrši periodino da bi se procenio stvarni progres u poszanju dugoronih ciljeva revizije. Procenu korisnike prihvatljivos procesa i servisa revizije, treba vrši u regularnim intervalima, da bi se idenkovale slabos i postavili ciljevi za poboljšanje kapaciteta za reviziju. U entetu gde se vrši revizija treba izvrši anketu za procenu profesionalizma ma za reviziju, tehnikog razumevanja oblas revizije, komunikacionih sposobnos revizora, efekvnos korišenja raspoloživih resursa, sposobnos održavanja pozivnih i produkvnih odnosa i profesionalizma u izveštavanju o nalazima revizije. Izveštaje o progresu procesa revizije, dostavlja menadžmentu kontrolisane organizacije i, zavisno od nalaza, inicira odgovarajue akcije. Primeri ciljeva i metrike revizije sistema zašte prikazani su u Tabeli 4.1. Tabela 4.1. Ciljevi i metrike kontrole i revizije sistema zašte Cilj revizije sistema zašte
260
Metrika
Vreme revizije ne premašuje budžet više od 10%
Akumulira sva realna vremena, uporedi sa nansiranim vremenom revizije i odredi kumulavni premašaj/ podbaaj za sve izvršene procese revizije
90% procesa revizije završi u datom roku (npr. 6 meseci)
dredi % procesa revizije završenih u speciciranom roku (na bazi izveštaja)
80 % izveštaja izradi 30 dana od završetka revizije
dredi % izveštaja dostavljenih u planiranom roku (od završetka revizije do dostavljanja izveštaja)
90 % preporuka iz izveštaja treba da prihva menadžment
dredi % preporuka iz izveštaja prihvaenih u formalnom odgovoru menadžmenta
Implemenra 60 % preporuka iz izveštaja u nekom periodu
dredi procenat preporuka iz izveštaja, implemenranih u odre enom periodu
O Š FOJ
Glavni kriterijumi za ocenu rezultata revizije, za denisane strateške ciljeve su poboljšanje sistema, procesa i metodologije zašte. Izveštaj o rezultama revizije, koji revizor dostavlja u planiranom roku menadžmentu kontrolisane organizacije, treba da sadrži: ciljeve, period rada, prirodu i obim izvršenih akvnos, primenjene standarde, organizaciju i lica kojima se dostavlja, eventualne restrikcije o cirkulisanju, nalaze, zakljuke i preporuke, sve rezerve ili kvalikacije koje revizor ima u odnosu na proces revizije i iskaz da li su u procesu revizije i izveštavanja otkrivene informacije, koje mogu kompromitova kontrolisani sistem. Za merenje akvnos posle procesa revizije zahteva se uspostavljanje procedure za preduzimanje akcija.
4.3. REZIME Glavni principi, koji obezbe uju uspostavljanje ekasnih i efekvnih kapaciteta (revizora/ma, tehnika i alata, resursa za podršku) za kontrolu/reviziju zašte IKTS, obuhvataju: planiranje i denisanje funkcija i ciljeva, mehanizama, korisnika mehanizama i drugih aspekata procesa za kontrolu/reviziju zašte. Na bazi normava i standarda treba denisa, vlaste ili iznajmljene, kapacitete za reviziju zašte – planira proces revizije i izradi Uputstvo za nadzor, kontrolu i reviziju zašte IKTS, koje mora obuhva, najmanje, procese planiranja, razvoja kapaciteta, implementacije mehanizama i nadzora funkcionisanja i evaluacije kvaliteta procesa i rezultata kontrole/revizije. Za izradu plana, modikaciju ili poboljšavanje procesa kontrole/ revizije, treba denisa misiju i ciljeve razvoja kapaciteta, proceni postojee kapacitete, planira dinamiku procesa, poveza ciljeve sa akvnosma procesa i obezbedi istraživanje i obuku za kontrolu/reviziju. Kljuna komponenta kapaciteta je m za kontrolu/reviziju, ukljuujui procenu znanja, sposobnos i vešna – KSA kontrolora/revizora prema skali: profesionalac, strunjak, osposobljen i jako zainteresovan. Za poslove kontrole/revizije potrebni su veliko iskustvo i specine vešne. Razvoj metodologije za izbor i implementaciju soverskih alata za reviziju sistema zašte ima višestruke prednos za formiranje ili modernizuju kapaciteta za reviziju. Revizorske organizacije, treba da monitorišu funkcionisanje procesa revizije, mere performanse i rezultate svakog procesa i izaberu indikatore progresa procesa revizije. Revizor/ m dostavlja izveštaj o reviziji, poverljivim kanalima, uz garanciju da proces revizije nije kompromitovao kontrolisani IKTS, a rezulta i komentari ostaju u vlasništvu kontrolisanog enteta. Posle dostavljanja izveštaja treba uspostavi proceduru, koja obavezuje menadžment kontrolisanog enteta da preduzme odgovarajue akcije u predvi enom roku, a na bazi nalaza i preporuka revizora.
U` {JJ O Š FOJ
261
4.4. KLJUNI TERMINI Bezbednosno–relevantni dogaaj (Security– Relevant Event): doga aj koji pokušava da izmeni bezbednosno stanje sistema ili naruši poliku zašte sistema. Kontrolni dogaaj (Auditable Event): doga aj koji se može izabra i logova u datoteku kontrolnih tragova, kao bezbednosno relevantan za oporavak sistema. Mehanizam za reviziju (Audit Mechanism): hardversko soverski modul koji se koris za skupljanje, pregled i/ili ispivanje akvnos sistema. Kontrola sistema zašte (Security System Control): povremena analiza rezultata nadzora sistema zašte.
Kontrolni trag (Audit Trail): skup registrovanih podataka koji obezbe uju dokumentovane dokaze o procesima za praenje traga od originalne transakcije do odnosne snimljene informacije i izveštaja, ili unazad od snimljene informacije i izveštaja do izvora transakcije. Nadzor sistema zašte (Security System Monitoring): neprekidna akvnost opservacije funkcionisanja mehanizama i servisa zašte. Revizor (Auditor): ovlašeno lice sa pravima izbora doga aja za reviziju, podešavanja sistema za registrovanje h doga aja i analize kontrolnih tragova. Revizija (Audit): proces interne ili eksterne (nezavisne) tehnike revizije i ispivanja servisa, mehanizama, prakse, procesa upravljanja i dokumentacije sistema zašte.
4.5. PITANJA ZA PONAVLJANJE 1. Kljuni bezbednosni ciljevi nadzora, kontrole i revizije sistema zašte su da: a. proveri ispravnost rada i korišenja razliih mehanizama višeslojne zašte b. omogui podizanje sves o potrebi zašte i odvraanje napadaa c. obezbedi dodatni faktor poverenja korisnika u sistem zašte d. obezbedi kontrolu i reviziju obrazaca i istorije pristupa objekma IKTS specinih procesa i korisnika e. obezbedi kontrolu i reviziju obrazaca ponovljenih pokušaja ovlašenih i neovlašenih korisnika da zaobi u mehanizme zašte i korišenja privilegija 2. Glavni bezbednosni zahtevi za mehanizam za kontrolu i reviziju sistema zašte: a. mehanizam za registrovanje kontrolnih tragova mora bi zašen od neovlašenog pristupa, modikacije ili zaobilaženja
262
O Š FOJ
b. kontrolni trag zašen sa N SSS mehanizmom od neovlašenog pristupa i izmene c. akviranje/dezakviranje mehanizma za reviziju treba da bude deo N SSS mehanizama zašte i nepristupaan za neovlašene korisnike d. kontrolni trag transparentan i na raspolaganju svim korisnicima IKTS 3. Za izradu plana ili poboljšavanje procesa nadzora, kontrole i revizije zašte treba: a. denisa misiju, ciljeve, obim i granice razvoja kapaciteta za kontrolu/reviziju b. denisa preostali, prihvatljivi rizik c. proceni vlaste kapacitete za kontrolu/reviziju sistema zašte d. planira proces kontrole/revizije sopstvenim ili iznajmljenim kapacitema e. planira proces za serkaciju sistema zašte i
4.
5.
6.
7.
f. planira sistem merenja procesa kontrole/revizije i monitoringa rezultata Strunjak (ekspert) u zaš ima sledea znanja, sposobnos i vešna: a. ima jaku želju i interes za scanje znanja, vešna i sposobnos b. može izvrši zadatke kontrole sistema zašte bez posebnih priprema c. ima veliko iskustvo, može instruisa druge za izvršavanje zadataka d. veruje da može izvrši zadatke kontrole, ali zahteva pomo ili vreme za pripremu Profesionalac u zaš ima sledea znanja, sposobnos i vešna: a. ima jaku želju i interes za scanje znanja, vešna i sposobnos b. može izvrši zadatke kontrole sistema zašte bez posebnih priprema c. ima veliko iskustvo, može instruisa druge za izvršavanje zadataka d. veruje da može izvrši zadatke kontrole, ali zahteva pomo ili vreme za pripremu Sposoban u zaš ima sledea znanja, sposobnos i vešna: a. ima jaku želju i interes za scanje znanja, vešna i sposobnos b. može izvrši zadatke kontrole sistema zašte bez posebnih priprema c. ima veliko iskustvo, može instruisa druge za izvršavanje zadataka d. veruje da može izvrši zadatke kontrole, ali zahteva pomo ili vreme za pripremu Movisan u zaš ima sledea znanja, sposobnos i vešna: a. ima jaku želju i interes za scanje znanja, vešna i sposobnos b. može izvrši zadatke kontrole sistema zašte bez posebnih priprema c. ima veliko iskustvo, može instruisa druge za izvršavanje zadataka
d. veruje da može izvrši zadatke kontrole, ali zahteva pomo ili vreme za pripremu 8. Tipini ciljevi uspostavljanja kapaciteta za kontrolu i reviziju zašte IKTS su: a. obezbedi podršku za poboljšanje procesa planiranja zašte b. podrža performanse procesa serkacije i akreditacije sistema zašte c. dopuni proces kontrole i revizije sa procenom efekvnos sistema zašte d. obezbedi nezavisnu kontrolu i reviziju za izradu polike zašte e. podrža zahteve za korporacijsku digitalnu forenziku istragu i analizu f. obezbedi podršku za sosciranu analizu i ekstrakciju podataka g. obezbedi mišljenje revizora zašte u procesu razvoja sistema zašte 9. Izveštaj o rezultama revizije treba da sadrži: a. ciljeve, period rada, prirodu i obim izvršenih akvnos b. primenjene standarde, restrikcije, nalaze, zakljuke i preporuke c. izmene plana i polike zašte d. otkrivene informacije, koje mogu kompromitova kontrolisani sistem 10. Glavni kriterijumi za ocenu rezultata revizije zašte IKTS, za denisane strateške ciljeve, su: a. nansijska dobit b. poboljšanje sistema zašte c. poboljšanje procesa zašte d. poboljšanje metodologije zašte
U` {JJ O Š FOJ
263
5.
UPRAVLJANJE KOMPJUTERSKIM INCIDENTOM I VANREDNIM DOGAAJEM
5.1. UVOD Kompjuterski incident (KI), nastao zbog namernih malicioznih, tehnikih akvnos iznutra ili spolja, može ima nepredvidljive posledice i potrebno ga je kontrolisa. Denicija bezbednosnog KI je !eksibilna kod veine autora i varira, u zavisnos od organizacije i IKTS okruženja. Za reakvne sisteme zašte rentabilno je razvi stacionarne kapacitete za brzo otkrivanje i reagovanje na KI. U proakvnom sistemu zašte znatno je vea verovatnoa spreavanja štetnog ucaja KI. Veina bezbednosnih KI ue na poslovanje organizacije. Naješe, ucaj KI je relavno mali, a trajanje relavno kratko. Sa porastom zavisnos poslovanja od IKTS, ucaj KI raste, a tolerancija na bilo kakve smetnje se smanjuje. Ucaj ili posledice KI, mogu se smanji na više naina. Upravljanjem kompjuterskim incidentom tesno je povezano sa planiranjem vanrednih doga aja (VD), ali ga treba odvojeno planira, da bi se smanjila kompleksnost upravljanja. Proces upravljanja KI obuhvata uspostavljanje kapaciteta i upravljanje specinim povima KI. Planiranje VD ukljuuje više od samog planiranja evakuacije izvan zone u kojoj je uništen IKTS centar ili drugi kapacite organizacije. Plan obuhvata i kako neka organizacija održava krine funkcije IKTS u operavnom stanju u vanrednim uslovima i nastavlja poslovanje. U veini krinih situacija za pine poslovne IKTS, potrebno je uspostavi lanac upravljanja i obezbedi svest menadžmenta o potrebi izgradnje kapaciteta organizacije za ekasno reagovanje na KI i VD. U kategoriju VD u IKTS, mogu se svrsta sve prirodne katastrofe, nestanak elektrinog napajanja, štrajkovi i odsustvo zaposlenih sa posla, kvarovi sistema za grejanje/hla enje, opš kvarovi opreme i dr. vi su doga aji sluajni po svojoj prirodi i štetne posledice njihovog ucaja, mogu se smanji samo planiranjem, uspostavljanjem kapaciteta za upravljanje VD, uvežbavanjem scenarija VD i oporavkom sistema. Neke od brojnim napada, zloupotreba IKTS i posledica prirodnih doga aja, mogu se ksira kroz standardne procedure administracije.
264
O Š FOJ
5.2. KOMPJUTERSKI DOGAAJ I KOMPJUTERSKI INCIDENT Kompjuterski dogaaj je bilo koje uoljivo dešavanje i sistemski doga aj, registrovan u log datoteci u RS/RM. Kompjuterski incident (KI) je doga aj sa negavnim posledicama (pad RS, zagušenje saobraaja RM, eskalacija privilegija i sl.). Upravljanje KI obuhvata sve doga aje štetne za bezbednost IKTS. Denicija KI je evoluirala od „bezbednosno relevantnog dogaaja koji dovodi do gubitka CIA informacija“, do denicije u Internet okruženju – „povreda ili imanentna pretnja za povredu i/ili primenu polike zašte“ [45]. Kako su KI neizbežni i predstavljaju nepoznatu pretnju, zahteva se struktuirana procedura za kontrolu i upravljanje. Brojne tehnike specikacije KI dostupne su na web lokacijama [29]. Svi KI nisu bezbednosno relevantni, pa je važno sa sigurnošu idenkova izvor i prirodu KI. Generika podela incidenta je na one koji ne predstavljaju glavnu pretnju i one koji mogu izazva zaustavljanje poslova organizacije. Važno je izvrši pažljivu trijažu KI, po znaaju za funkcionisanje poslovnog sistema. U procesu inicijalne istrage KI, treba pretpostavi da je sistem zašte probijen i utvrdi štetu. Program za upravljanje KI treba da ukljuuje denisanje adekvatnih mera zašte, prioritete reagovanja i oporavka sistema. U praksi zašte KI se retko na vreme prijavljuje, jer ga organizacije pokušavaju rešava interno, sakri od javnos i sl. U odre enim sluajevima, gde postoji oigledna šteta, kompromitacija ili zakonska odgovornost, izveštavanje o KI mora bi izuzetno brzo. 5.2.1. Politika i procedure za upravljanje incidentom Polika za upravljanje KI, internim ili iznajmljenim kapacitema, u veini organizacija obuhvata iste kljune elemente: izjavu menadžera o angažovanju; namenu i ciljeve; obim i granice; idenkaciju prirode KI i posledica u kontekstu organizacije; strukturu, uloge i odgovornos interventnog ma; nain i formu izveštavanja; prioritete saniranja i metriku performansi kapaciteta za upravljanje KI. Procedure za upravljanje KI detaljno objašnjavaju specine akvnos procesa, tehnike, ek liste i formulare, koje koris interventni m. Pre distribucije, proceduru treba tesra i verikova, izvrši obuku i pripremi instrukciju za primenu. Kako se KI može dogodi na bezbroj naina, nije prakno razvija preciznu korak–po–korak proceduru [35, 45]. 5.2.2. Kategorije bezbednosnog kompjuterskog incidenta Generalno, organizacija se može pripremi za upravljanje sa bilo kojim pom KI, a specino – sa poznam povima. U praksi zašte još uvek nema konsenzusa o najboljoj taksonomiji KI. Naješa podela (nije konana) je, na bazi primarnih kategorija
U` {JJ O Š FOJ
265
napada, na posledice: odbijanja izvršavanja servisa, napada malicioznih programa, neovlašenog pristupa, nepropisnog korišenja IKTS i kombinovanih napada. Neki KI mogu se svrsta u više od jedne kategorije. va podela je pre osnovno uputstvo za upravljanje KI [45, 72]. 5.2.3. Nagoveštaji kompjuterskog incidenta Glavni problem upravljanja KI je donošenje odluke da se incident dogodio, kojeg je pa i intenziteta i kolika je šteta? Problem je m teži, što KI pino ini kombinacija raznih faktora (KI mogu detektova razna tehnika sredstva sa razliim nivoima tanost/pouzdanos, brojni su potencijalni znaci da se KI dogodio itd.) i potrebno je specino tehniko znanje i veliko iskustvo za analizu nagoveštaja - predznaka i indikatora KI [35]. Predznak KI je nagoveštaj da se neki incident može dogodi u bliskoj budunos, na primer: log datoteka u web serveru pokazuje korišenje skenera ranjivos Web servera itd. Svaki napad se ne može detektova kroz predznake, neki napadi nemaju predznake, dok drugi – generišu predznake, koje organizacija ne uspeva detektova. Ako se predznaci detektuju, organizacija ima priliku da izmeni sistem zašte i sprei napad. Indikator KI je znak da se neki incident vrlo verovatno dogodio ili se upravo doga a, na primer: mrežni IDPS alarmira da je neki bafer preplavljen pokušajima napada na web server, AVP alarmira prisustvo virusa/crva, pad web servera itd. Predznaci i indikatori KI idenkuju se iz više razliih izvora, od kojih su naješi alarmi soverskih mehanizama zašte RS/RM, log datoteke, javno raspoložive informacije i ljudi. Naješi izvori indikatora i predznaka za svaku kategoriju KI, kontrolne liste za odre ivanje kategorije KI i analizu predznaka i indikatora, kao i generika procedura za upravljanje KI, da su u literaturi [35, 45]. 5.2.4. Upravljanje kompjuterskim incidentom Cilj upravljanja KI je, da se ogranii mogunost upada u sistem kroz prevenvnu zaštu, tesranje otpornos sistema na proboj, skeniranje ranjivos sistema i IDPS, kao i da se obezbedi lakši istražni postupak kada se incident dogodi. ivotni ciklus upravljanja KI pino ima eri faze [35, 45, 72]: (1) priprema, (2) detekcija, prijava i analiza, (3) saniranje posledica i oporavak sistema i (4) analiza iskustava (Sl. 5.1a). Proces uptravljanja bezbednosnim KI prikazan je na slici 5.1.b. U pripremnoj fazi uspostavljeni sistem zašte i interventni m – CIRT (Computer Incident Response Team) prevenvno spreavaju KI [7]. Primarni ciljevi razvoja kapaciteta za upravljanje KI su: (1) reagovanje na KI, (2) saniranje štete i (3) oporavak sistema. Kapacite za upravljanje KI, moraju bi prevenvno implemenrani i spremni da po potrebi obezbede: brzo reagovanje, koordinaciju akvnos ma, izveštavanje o KI, opo266
O Š FOJ
ravak sistema i spreavanje ili minimizaciju potencijalne štete. Podaci o KI i korekvnim akcijama se skupljaju i skladište u bazu podataka i analiziraju za formiranje obrazaca ponašanja – prol KI, npr. naješeg pa virusa i napadanog sistema, najbolje korekvne akcije.
a)
b) Sl. 5.1. ivotni ciklus - (a) i proces upravljanja bezbednosnim incidentom – (b) Iako nije odgovoran za spreavanje KI, CIRT ini glavnu komponentu kapaciteta za upravljanje incidentom. Ekspertska znanja lanova ma dragocena su za poboljšanje sistema zašte i dokazivanje zloupotrebe ili kompjuterskog kriminala. lanovi ma su pino specijalis za mrežnu tehniku, plaorme i komunikacije i treba da su na raspolaganju 7x24 sata i ziki dostupni što je mogue brže; da imaju specina znanja, vešne i sposobnos za upotrebu neke tehnologije za upravljanje incidentom, digitalnu forenziku istragu, akviziciju i analizu digitalnih podataka, mski rad i dobru komunikaciju sa razliim uesnicima. Modeli struktura CIRT za upravljanje KI mogu se svrsta u tri kategorije [57, 61]:
U` {JJ O Š FOJ
267
centralni CIRT, koji upravlja KI u celoj organizaciji, ekasan je za male i vee organizacije sa malom distribucijom objekata IKTS; distribuirani CIRT, koji upravlja KI u loginim ili zikim segmenma organizacije, kao deo jednog enteta i procesa upravljanja; koordinacioni CIRT, koji savetodavno vodi rad drugog ma.
Tipian model popune CIRT ukljuuje interno zaposlene sa ogranienom pomoi spolja, delimino iznajmljene usluge ili potpuno iznajmljen m spoljnih saradnika. Dobri kapacite za upravljanje KI treba da poseduju nekoliko kljunih karakteriska: razumevanje obima i granica procesa upravljanja i upotrebe kapaciteta, obrazovnu komponentu, sredstva za centralizovano upravljanje (komunikaciju i izveštavanje), specijaliste za primenjene tehnologije i dobre veze sa entema koji mogu pomoi u upravljanju KI. Obim i granice upotrebe kapaciteta za upravljanje KI ne obuhvataju uvek celu organizaciju. Kapacite za upravljanje KI obuhvataju tehnologiju, korisnike IKTS i menadžere. Obuka korisnika ima za cilj da se smanji kompleksnost, povea korisnika prihvatljivost i obezbedi izveštavanje po prioritema. Centralizovano upravljanje obezbe uje ekasno i efekvno upravljanje KI, a uspeh zavisi od blagovremenog izveštavanja. Ako je KI hakerski napad, treba koris kriptozašen sistem za izveštavanje, analizu i uvanje informacija o incidentu. Tehnologija za upravljanje KI treba da ukljuuje i specine forenzike alate. Veina CIRT formira prenosivi komplet za istragu kompjuterskog incidenta, u kojem se nalaze osnovni forenziki ala - laptop raunar sa brojnim programima, ure aji za bekapovanje, is e-mediji, bazina oprema i kablovi za umrežavanje, mediji sa S i aplikacijama [35]. U fazi detekcije i analize incidenta, kao osnovni ala, koriste se IDPS sistemi za detekciju i spreavanje povrede sistema zašte. Detektorski i prevenvni ala obezbe uju kontrolu neregularnih promena stanja u sistemu i obavljaju inicijalnu evaluaciju konguracije sistema. Prikupljaju informacije o napadu i napadau, koje su korisne za forenziku istragu i analizu. Dobro upravljanje upadom u IKTS, prevenva je svih potencijalnih problema i omoguava pokretanje istrage o KI. Me um, IDPS sistemi proizvode veliki broj lažnih poziva, pa ne znai da se KI dogodio, ak i kada je neki indikator taan. Pametno je sumnja u svaki KI i smatra da se doga a, sve dok se ne pojave indikatori da se ne doga a. Za efekvno upravljanje KI preporuuje se proces korporacijske digitalne forenzike istrage KI, koji obuhvata faze pripreme i podnošenja zahteva za istragu, akviziciju digitalnih dokaza, idenkaciju incidenta i napadaa i forenziko uvanje i rukovanje digitalnim dokazima [35]. Saniranje posledica KI i oporavak sistema ukljuuje razvoj metoda za saniranje posledica, najmanje od svih pova glavnih kategorija KI. Za brže odluivanje treba dokumentova kriterijume za odre ivanje metoda za saniranje KI, koji ukljuuju: potencijalna ošteenja i krau objekata informacione imovine, obavezu uvanja dokaza za forenziku analizu i veštaenje, raspoloživost servisa, vreme i resurse potrebne za implementaciju
268
O Š FOJ
metoda, efekvnost metoda (npr. sanira delimino ili potpuno) i vreme trajanja rešenja (npr. hitno – mora se ukloni za eri sata; privremeno – uklanja se za dve sedmice; permanentno) i dr. U fazi oporavka, treba eliminisa preostale komponente KI, izbrisa maliciozne kôdove i dezakvira probijene korisnike naloge. aza oporavka može ukljui: restauraciju sistema iz bekapa, zamenu kompromitovanih datoteka, instalaciju popravki, izmenu lozinki i poveanje zašte perimetra RM, rekongurisanje sistema logovanja ili monitoringa RM i forenziku analizu digitalnih podataka za otklanjanje pravog uzroka KI. Analiza iskustava, iako je najvažnija faza procesa upravljanja KI, esto se zanemaruje, a ukljuuje: p i vreme KI, ponašanje menadžmenta i zaposlenih, dokumentaciju i adekvatnost procedura, potrebne informacije po izbijanju KI, preduzete akcije za spreavanje i oporavak, iskustva za rad i korekvne akcije za spreavanje budueg, slinog KI i potrebne resurse za detekciju, analizu i saniranje novog KI. Mali inciden ne zahtevaju posebnu analizu u ovoj fazi, osim ako ne otkrivaju nepozna metod napada. Ako se dogodi ozbiljan napad, uvek je korisno izvrši detaljnu muldisciplinarnu analizu [35]. Kompleran izveštaj o analizi KI treba koris za obuku, ažuriranje polike i dokumenata, popravku procedura, izradu pojedinanih analikih izveštaja, izradu hronologije dogaaja iz log datoteka za dokazni postupak itd. Na bazi normavnih zahteva, prethodnih izveštaja i oekivanja od sakupljenih podataka, organizacija odluuje, koji se podaci o KI uvaju. Treba sakuplja podatke, relevantne za upravljanje KI i dokazivanje pred sudom. Podatke, koji se odnose na KI mogue je meri na više naina: broj saniranih KI, utrošeno vreme po KI, objekvna procena svakog KI, subjekvna procena svakog KI, periodina revizija programa za upravljanje KI i troškovi uvanja i zadržavanje dokaza, koji prema nacionalnom zakonu mogu bi: pino – od jednog meseca do jedne godine, u sluaj sudskog procesa – do kraja procesa, podataka e-pošte – do sto osamdeset dana, a podataka o glavnom incidentu – do tri godine.
5.3. PLANIRANJE VANREDNIH DOGAAJA U IKTS Planiranje VD i konnuiteta poslovanja najsloženiji je deo posla. Kada organizacija odlui kako e nastavi poslovanje, primena plana je tada relavno lak zadatak. Proces planiranja VD obuhvata sledee faze: (1) idenkovanje funkcija IKTS, krinih za konnuitet poslovanja, (2) idenkovanje resursa, koji podržavaju krine IKTS servise, (3) procenu potencijalnih VD, (4) izbor strategije i (5) implementacija plana za upravljanja VD u IKTS [15, 45]. (1) Idenkovanje funkcija IKTS krinih za misiju organizacije osnovni je preduslov za planiranje konnuiteta poslovanja. Kriterijumi za odre ivanje krinos misije/ U` {JJ O Š FOJ
269
poslovanja mogu bi bazirani na vremenu oporavka servisa IKTS, akumuliranom ucaju ili kombinaciji ovih faktora. Posebno je važno idenkova i proceni promene, koje VD može izazva u vanradno vreme. Za veinu funkcija IKTS za podršku poslovanja dosže se taka u kojoj ucaj VD postaje toliko velik da su bespredmetni pokušaji održavanja konnuiteta funkcija IKTS. igledno, krine funkcije IKTS treba oporavi, pre nego što se ova taka dosgne. U procesu upravljanja VD, vreme je krian faktor i važno je što ranije idenkova implikacije vremena na proces, kao i odre ivanje prioriteta saniranja posledica. Potpuna redundantnost za svaku krinu funkciju, skupa je za veinu organizacija. U sluaju katastrofe, odre ene IKTS funkcije nee se izvrši. Ako se odrede priorite, poveava se sposobnost organizacije da preživi VD [45]. (2) Idenkovanje resursa, koji podržavaju krine IKTS servise, ukljuujui i potrebno vreme za resurse – stalno ili povremeno – i ucaj neraspoloživos resursa na misiju/ poslovanje. Planiranje VD u IKTS treba da obuhva sve resurse, koji su neophodni da se poslovni proces izvrši. Kada se dogodi VD u organizaciji neki ucaj se ispolji odmah i veoma je skupo sprei ga, ako ne i nemogue. Vei broj ucaja doga a se posle izvesnog vremena. Neki od ovih ucaja mogu se odloži, preduzimanjem odgovarajuih akcija, neki sasvim otkloni, a neki se ne mogu sprei. Denisanje neophodnih resursa za suzbijanje posledica VD treba da vrše ona lica koja znaju kako se izvršavaju servisi IKTS i kako objek IKTS zavise od drugih resursa, kao i druge krine zavisnos, pošto svi resursi nisu krini za izvršavanje najbitnijih poslovnih procesa. esto je neophodno formira m za planiranje VD, da bi se odredili potrebni resursi i razumeli krini servisi IKTS, koje oni podržavaju. Tipian m ukljuuje izvršne, IKTS i glavne menadžere organizacije, a drugi lanovi se pozivaju se po potrebi. Timom naješe rukovodi koordinator za upravljanje VD, koga imenuje menadžment organizacije. Problem je što menadžeri razliito vide i idenkuju IKTS resurse ili previ aju interakciju svih resursa, koji podržavaju krine poslovne procese, od kojih svi nisu is IKTS resursi. Potrebni resursi za podršku krinih servisa IKTS za planiranje VD mogu se svrsta u šest glavnih kategorija: ljudi, kapacite za procesiranje, servisi, podaci i aplikacije, zika infrastruktura i dokumentacija [64, 35]: 1. Ljudski resursi, najvažniji za svaku organizaciju, obuhvataju administratore, specijaliste zašte, operatere i korisnike. 2. Kapacite IKTS za procesiranje tradicionalno su prioritetni za planiranje VD. Iako je bekapovanje IKTS glavna akvnost, važna su i alternavna rešenja. 3. Aplikacije i podaci IKTS su najkrinija imovina, jer neposredno podržavaju misiju i tekue poslovne procese organizacije. 4. Servisi IKTS podržavaju brojne poslovne procese, a najvažniji su komunikacioni (za prenos podataka) i informacioni servisi (on-line web servisi, e-trgovina, baze podataka, e-bilteni itd.). 5. Fizika infrastruktura IKTS obezbe uje radno okruženje, odgovarajuu opremu i alate, neophodne za efekvan rad zaposlenih.
270
O Š FOJ
6. Dokumentacija i e-evidencije, koje podržavaju veinu servisa IKTS, mogu bi znaajni i za legalne potrebe istrage kompjuterskog kriminala. (3) Procena potencijalnih VD u IKTS i njihovih posledica prethodi razvoju scenarija šireg spektra VD. Scenario treba da ukljui male i velike VD i važno je izbei razvoj planova za svaki pojedinani scenario VD. Tipian scenario treba da ukljui odgovore na pitanja za sve relevantne resurse [7, 35]: 1. Ljudski resursi: Mogu li zaposleni doi na posao? Koji zaposleni ima krina znanja i vešne? Mogu li se zaposleni lako evakuisa na rezervnu lokaciju? 2. Kapacitet za procesiranje: Da li je IKTS ugrožen? ta se doga a ako neki od sistema nije u upotrebi? Postoji li lista prioritetnih akcija? Koje veze postoje? 3. Aplikacije i podaci IKTS: Da li je ugrožen integritet podataka? Da li je neka aplikacija IKTS saborana? Može li neka aplikacija radi na drugoj plaormi? 4. Servisi IKTS: Može li IKTS komunicira sa drugima i kojim sistemima? Mogu li ljudi komunicira? Koliko dugo/esto su IKTS servisi u prekidu? Mogu li se koris usluge iznajmljenih udaljenih transakcija? 5. Fizika infrastruktura IKTS: Imaju li zaposleni mesta, alate i opremu za rad? Mogu li zaposleni zaposes zgradu za rad i da li postoji infrastruktura (voda, kanalizacija, venlacija, grejanje, hla enje)? 6. Dokumentacija: Mogu li bi prona ena potrebna elektronska dokumenta i da li su itljiva? (4) Izbor strategije za upravljanje VD: u evaluaciji rezervnih lokacija, potrebno je razmotri koje su kontrole zašte instalirane za spreavanje i smanjenje ucaje VD na IKTS. Pošto ni jedan skup kontrola zašte ne može rentabilno sprei sve potencijalne VD, u sistemu zašte treba koordinira prevenvne mere za oporavak sistema. Glavna strategija svakog plana za upravljanje VD u IKTS treba da sadrži [3]: 1. hitne intervencije – inicijalne akcije za zaštu ljudskih života i smanjenja štete; 2. oporavak sistema – akcije za obezbe ivanje konnuiteta krinih funkcija i 3. konnuitet poslovanja –povratak IKTS u normalni režim rada. dnos izme u oporavka i konnuiteta rada IKTS je veoma važan. to je duže potreban konnuitet rada sistema, to e duže organizacija mora da radi u modu oporavljenog sistema. poravak sistema nije cilj sam po sebi, a konnuitet normalnog rada sistema, ukljuujui povratak u rekonstruisanu ili novu lokaciju, uvek se mora dogodi. Povratak i premeštanje operacija IKTS uvek izazivaju neke prekide. aza povratka u normalni režim rada treba da bude ukljuena u sveobuhvatni plan za VD. Neke organizacije proces upravljanja VD dele na hitne intervencije, operacije bekapovanja i oporavak sistem, što nije presudno za uspešno upravljanje VD. Važno je da ove faze sadrže ozbiljan plan. Izbor strategije zasniva se na praknoj analizi IKTS, ukljuujui izvodljivost i troškove. Za donošenje odluke o opmalnoj strategiji treba analizira svaku od kategorija
U` {JJ O Š FOJ
271
resursa IKTS, opcije oporavka, rentabilnos i rizika. Težište analize je na oblasma gde nije jasno koja je strategija najbolja [3]: 1. Ljudski resursi, u glavnom VD mogu bi pod znaajnim stresom ili u panici. Ako je doga aj regionalna nesrea, zaposleni prvo brinu za porodice i imovinu, neki ne mogu, a neki nee doi na posao, što znai da treba privremeno zaposli nova lica. vo može uves rizik i treba ga ukljui u plan za VD. 2. Kapacite za procesiranje IKTS se grupišu u šest osnovnih kategorija [64]: primarna lokacija: postojea zgrada opremljena sa IKTS kapacitema; hladna lokacija: prazna rezervna zgrada sa osnovnom infrastrukturom za smeštaj opreme IKTS, koja se lako može adapra u sluaju VD; vrua lokacija: zgrada na rezervnoj lokaciji opremljena sa hardverom, soverom i mrežnom instalacijom, kompabilnom sa primarnom; redundantna lokacija: zgrada opremljena i kongurisana potpuno jednako kao primarna; uzajamno bekapovanje: reciproni ugovori za pomo u sluaju VD; zahtevaju esta ažuriranja i održavanje kompabilnos konguracija IKTS; udaljena iznajmljena transakcija: iznajmljena organizacija, koja po ugovoru vrši online periodino bekapovanje i oporavak u sluaju VD; hibridni sistemi: bilo koja kombinacija gornjih kategorija. Na Sl. 5.2. prikazani su troškovi oporavka sistema u funkciji rezervne lokacije. igledno je da troškovi rastu, ako se želi smanji vreme oporavka [45, 74].
Sl. 5.2. Dijagram troškova bekapovanja i vremena oporavka u funkciji rezervne lokacije
272
O Š FOJ
3.
4.
5.
6.
Sistem treba oporavlja prema redosledu zahteva za raspoloživost IKTS kapaciteta za procesiranje. snovni kapacitet za oporavak IKTS od VD je bekapovanje podataka i programa izvan primarne lokacije i korišenje za oporavak IKTS. Za aplikacije i podatke primarna strategija planiranja VD je regularno bekapovanje i skladištenje na alternavnu lokaciju. Važno je odredi koliko esto se vrši bekapovanje zavisi od ažurnos, upotrebne vrednos i usklaenos podataka. U VD ostaje potreba za zaštom IKTS, a u nekim sluajevima je i vea, na primer, zbog deljenja IKTS resursa, koncentracije više resursa u manjem prostoru ili angažovanja zaposlenih po ugovoru, koji nisu dovoljno bezbednosno provereni. U fazi oporavka sistema, oporavljeni podaci zastarevaju za vreme od poslednjeg bekapovanja do pojave VD. Da bi podaci bili korisni, moraju se eše bekapova. Tako e, da bi oporavljeni IKTS funkcionisao, bitne su uskla enost i ažurnost bekapovanih podataka i sinhronizacija bekapovanih datoteka, uzeh sa razliih delova IKTS u razliim vremenima. U provnom, mogu nasta problemi i sa restartovanjem raunara sa poznatom konguracijom. Strategija bekapovanja IKTS treba da obezbedi oporavak sistema na najekasniji nain. Bekapovanje podataka, datoteka i aplikacija krian je deo svakog plana za VD [5]. Servise IKTS za VD mogu obezbedi i TTPS (telekomunikacioni, Internet) provajderi. Primarna lokacija je obino opremljena za prijem mulmedija. Ako je jedan ISP izbaen iz rada, može se koris drugi. Znaajno je idenkova, koji je p izgubljene komunikacije i da li je u pitanju lokalna ili udaljena veza. Lokalna telefonska veza se može prebaci na mobilnu, ali je znatno teže prebaci prenos velike koliine podataka sa žine na bežinu vezu. Tako e, nastavak normalnog rada sistema može zahteva ponovno preusmeravanje komunikacionih servisa. Mehanizmi i servisi koji obezbe uju visoku raspoloživost i otpornos IKTS na otkaze predstavljaju prevenvnu meru za konnuitet poslovanja u sluaju VD. Primer tehnologije za visoku raspoloživost podataka su RAID (Redundant Array of Independent Discs) vrs diskovi, koji omoguavaju nastavak rada servera u sluaju kvara jednog diska, bez gubitaka podataka. Druga tehnologija je klaster servera koji deli klijentsko optereenje i još bolje toleriše otkaze od RAID sistema. Ako otkaže jedan server, drugi preuzima i nastavlja rad. Naravno, ovi sistemi su od male koris, ako su smešteni na istoj lokaciji. Redundantne servere treba razmes na alternavne lokacije i poveza u WAN mrežu. U sluaju prekida elektrinog napajanja, raspoloživost podataka, zavisno od kapaciteta, obezbe uju i izvori neprekidnog napajanja – UPS (Uninteruptable Power Suply). Redundantna zika infrastruktura za VD, treba da bude planirana i ugovorena. Za premeštanje na rezervnu lokaciju, treba izradi procedure za evakuaciju i povratak na primarnu ili novu lokaciju. Zašta zike infrastrukture normalni je deo plana za hitne intervencije. Dokumentacija, elektronska i papirna ukljuujui i arhivu, u primarnoj strategiji upravljanja VD obino se bekapuje na magnetske, opke i druge medije i skladiš
U` {JJ O Š FOJ
273
na rezervnoj lokaciji. Papirnu dokumentaciju treba skladiš na pristupanoj alternavnoj lokaciji. Kada se izabere strategija za upravljanje VD u IKTS, treba je dokumentova i izvrši pripremu i obuku. (5) Implementacija plana za upravljanja VD u IKTS može zahteva duge pripreme: uspostavljanje procedura za bekapovanje, sklapanje novih i obnavljanje postojeih ugovora za servise, nabavka IKTS opreme, ažuriranje servisa i opreme za bekapovanje, formiranje redundantnih kapaciteta, zamena dotrajale ili zastarele opreme, formalno pripisivanje odgovornos itd. Važno je održava pripremu ažurnom, ukljuujui i dokumentaciju. Za implementaciju plana je najznaajnije: koliko scenarija i verzija plana treba razvi i ko priprema svaku verziju plana pojedinano? Za male IKTS, plan za VD može bi deo plana zašte. Za velike i kompleksne IKTS, plan zašte može da sadrži kratak pregled plana za upravljanje VD, koji može bi poseban dokument. U centralizovanom upravljanju, najbolje je odredi koordinatora za upravljanje VD, koji priprema plan sa ostalim menadžerima. Dokumentovan plan za VD mora bi ažurno održavan u skladu sa promenama i uskladišten na bezbedno mesto. Pisani dokument plana je krian faktor u VD i mora bi jasno napisan, razumljiv i na raspolaganju svim zaposlenim. Korisno je uskladiš ažurne kopije na nekoliko lokacija, ukljuujui sve rezervne. Obuka zaposlenih za VD obavezna je za sve zaposlene i novo-zaposlene. Povremeno treba izvodi vežbe na kojima zaposleni prakno uvežbavaju svoje uloge u VD. Najvažnije su simulacije razliih scenarija prirodnih katastrofa i uvežbavanje ponašanja i postupaka zaposlenih. buka je posebno važna za efekvno reagovanje u hitnom sluaju. Tesranje plana za VD u IKTS treba vrši periodino, jer plan vremenom zastareva, pa se moraju specino dodeli odgovornos zaposlenim za održavanje ažurnos plana. Tesranje ukljuuje reviziju, analizu i simulaciju. Revizija može bi jednostavan test za proveru tanos dokumentacije plana, dostupnos datoteka iz sistema za bekapovanje i poznavanja procedura za VD. Analiza se može izvrši na celom ili delu plana, kao što su procedure za hitne resursa za podršku. Analiari traže logine ili procesne slabos i intervjuišu menadžere i druge zaposlene, da bi popravili plan. Simulacija krizne situacije i kako se transportuje na alternavnu lokaciju, što obezbe uje informacije o greškama u planu za VD, krine informacije za konnuitet poslovanja i uvežbane procedure za realnu kriznu situaciju. to je krinost funkcije za koju se simulira VD vea, m je simulacija rentabilnija. Simulacija se može izvrši sa rezervnom IKTS opremom za oporavak sistema (tzv. vrui test) ili na papiru (tzv. papirološki test) za proveru ljudi i plana. va komponenta zašte je prakno me uzavisna sa svim kontrolama zašte, koje zajedno proakvno spreavaju VD u IKTS, a posebno sa procenom rizika, zikom i personalnom zaštom, upravljanjem kompujterskim incidentom i polikom zašte. Troškovi razvoja i implementacije plana za VD u IKTS mogu bi znaajni, zavisno od izbora strategije [45, 35].
274
O Š FOJ
5.4. REZIME Kompjuterski incident je povreda ili imanentna pretnja za primenu polike zašte. Na bazi primarnih kategorija napada, uobiajena je podela KI na odbijanje izvršavanja servisa (DoS), napad malicioznih programa, neovlašeni pristup i nepropisno korišenje. Generalno, postoji mnogo naina da organizacija redukuje ucaj ili ublaži posledice KI, preduzimanjem prevenvnih mera za spreavanje posledica KI. Kapacite za upravljanje KI obuhvataju organizaciju i upravljanje specinim povima KI. Interventni m za upravljanje incidentom – centralni, distribuirani ili koordinirani, može se popuni sa zaposlenim, zaposlenim i spoljnim saradnicima i potpuno iznajmljenim lanovima ma. Primarni ciljevi razvoja kapaciteta za upravljanje KI su saniranje štete i oporavak sistema, ali i za prevenvno spreavanja potencijalne štete, analizu rizika i obuku o zaš. Nagoveštaji KI mogu bi predznaci da se neki incident može dogodi i indikator i– da se incident vrlo verovatno dogodio ili se upravo doga a. Nagoveštaji i indikatori se idenkuju iz više razliih izvora. Proces upravljanja KI sadrži faze pripreme, detekcije i analize, saniranja posledica i oporavak i analize iskustava. Log datoteke IDPS su osnovni ala za prikupljanje informacija o napadu i napadau za forenziku istragu i analizu, saniranje KI i oporavak sistema. Nagoveštajima KI, ne može se uvek verova zbog velikog broja netanih indikacija. Metod saniranja posledica KI varira u zavisnos od kategorije i pa. Preporuljivo je da se razvije poseban metod saniranja posledica za sve glavne pove KI i da se kriterijumi za izbor odgovarajueg metoda dokumentuju. vi kriterijumi mogu da ukljue potencijalna ošteenja i kra u objekata, obavezu uvanja dokaza za forenziku analizu, raspoloživost servisa, vreme, resurse i efekvnost implementacije metoda i trajnost rešenja (hitno, privremeno, trajno). U toku analize iskustava iz upravljanja KI treba razmatra brojna pitanja o prirodi incidenta, posledicama, nainu reakcije itd. Plan za VD ukljuuje evakuaciju IKTS kapaciteta izvan ugrožene zone, nain održavanja krinih servisa IKTS u operavnom stanju i oporavak sistema posle VD. Proces planiranja VD odvija se u šest faza. Za veinu servisa IKTS postoji taka u kojoj ucaj VD postaje toliki, da su bespredmetni pokušaji održavanja konnuiteta rada. U procesu upravljanja VD vreme je krian faktor, pa treba što ranije utvrdi ucaj vremena na proces i odredi prioritet saniranja posledica. Razvoj scenarija potencijalnih VD pomaže u razviju plana i treba da obuhva ljudske resurse, kapacitete za procesiranja, aplikacije i podatke, IKTS, infrastrukturu i dokumentaciju. Neophodno je razmotri koje su mere zašte instalirane da spree i smanje ucaj VD na IKTS i poslovanje. Potrebno je koordinira prevenvne mere i akvnos za oporavak sistema. Strategija planiranja i upravljanja VD u IKTS normalno sadrži hitne intervencije, oporavak sistema i konnuitet poslovanja.
U` {JJ O Š FOJ
275
Plan za upravljanje VD mora bi napisan, ažurno održavan i uskladišten na bezbedno mesto. Svi zaposleni treba da pro u obuku za svoje uloge u VD. Implementacija strategije zašte krinih IKTS servisa i resursa za podršku zahteva detaljnu pripremu ma za planiranje i upravljanje VD. Najznaajnije su izbor i broj scenarija, verzija planova i odgovornost lica za pripremu svakog plana. Plan vremenom postaje zastareo i treba ga periodino tesra i uvežbava kroz reviziju, analizu i simulaciju. Pošto sve kontrole zašte proakvno spreavaju VD u IKTS, prakno postoje me uzavisnos sa svim kontrolama, posebno analizom rizika, zikom i personalnom zaštom, upravljanjem incidentom i polikom zašte.
5.5. KLJUNI TERMINI Distribuiran DoS (DDoS): DoS tehnika koja koris brojne hostove za izvršavanje napada. Digitalna forenzika raunara: sakupljanje, akvizicija i analiza kompjuterskih generisanih i uskladištenih digitalnih dokaza za potrebe forenzike istrage; zahteva uvanje integriteta digitalnih podataka u celom lancu istrage. Incident: povreda ili imanentna pretnja promeni polike i standarda zašte. Interventni m: ljudski kapacite uspostavljeni za upravljanje kompjuterskim incidentom. Kapacite za upravljanje incidentom: Ljudi, tehnike i ala, metodi, vreme i drugi resursi na raspolaganju za upravljanje kompjuterskim incidentom. Nagoveštaj: znak (predznak, indikator) da se neki incident može dogodi ili se doga a. Odbijanje izvršavanja servisa (DoS): neki napad koji spreava ili ometa ovlašeno korišenje servisa i informacija RM/RS iscrpljivanjem resursa. Operacija bekapovanja: stvaranje rezervnih kopija za izvršavanje bitnih zadataka posle prekida rada IKTS i nastavljanje rada dok se objek sistema ne oporave u dovoljnoj meri. Oporavak (Recovery): restauracija objekata IKTS i druge infrastrukture posle glavnog kompjuterskog incidenta. Predznak: neki nagoveštaj da se napada možda priprema da izazove incident. Sistem za detekciju i spreavanje upada u IKTS (IDPS): soverski (ili hardverski) alat koji
276
O Š FOJ
otkriva sumnjive akvnos, alarmira administratora i potencijalno spreava upad u IKTS. Hitna intervencija: odgovor na hitni sluaj kao što su požar, poplava, prirodna katastrofa, teroriski napad i sl., da bi se zašli živo, ograniila šteta i smanjio ucaj na rad IKTS. Hladna lokacija: prazan, rezervni objekat izvan lokacije organizacije, opremljen potrebnom infrastrukturom, pripremljenom za instalaciju IKTS opreme. Konnuitet poslovanja: akvnos održavanja krinih poslova u toku i posle VD. Redundantna lokacija: lokacija opremljena sa IKTS, idennim primarnom, sa bekapovanjem u rezervni sistem u realnom vremenu i transparentnim oporavkom. Operacija bekapovanja: stvaranje rezervnih kopija programa i podataka za izvršavanje bitnih zadataka posle prekida rada, nastavljanje rada i potpun oporavak IKTS. Oporavak: restauracija objekata IKTS posle glavnog ošteenja. Plan konnuiteta poslovanja: procedure i informacije razvijene, povezane i održavane u gotovos za upotrebu u sluaju vanrednog doga aja. Uzajamno bekapovanje: dve organizacije sa slinim konguracijama sistema obezbe uju rezervne kopije jedna drugoj, za sluaj VD. Vru a lokacija: lokacija sa hardverom, soverom i mrežnom instalacijom, koja je kompatibilna primarnoj instalaciji IKTS organizacije.
5.6. PITANJA ZA PONAVLJANJE 1. Koja mera je najpogodnija, kada NIDS sistem otkrije napadaa na RM: a. pokuša idenkova napadaa b. sauva evidenciju u log datoteci bezbednosno relevantnih doga aja c. izbrisa log datoteku i pokuša uhva odre ene podatke ako se ponovi napad d. odštampa dnevnik rada i ostavi kod porra za forenziara 2. Kompjuterski doga aj je: a. bilo koje uoljivo dešavanje u RS ili RM b. doga aj sa negavnim posledicama c. sistemski doga aj registrovan u log datoteci d. povreda ili pretnja za povredu i/ili primenu polike zašte 3. Kompjuterski incident je: a. bilo koje uoljivo dešavanje u RS ili RM b. doga aj sa negavnim posledicama c. sistemski doga aj registrovan u log datoteci d. povreda ili pretnja za povredu i/ili primenu polike zašte 4. Generika podela incidenta je na incidente koji: a. ne predstavljaju glavnu pretnju sistemu i organizaciji b. mogu izazva zaustavljanje poslova organizacije c. mogu izazva pad raunarskog sistema i raunarske mreže 5. Polika upravljanja kompjuterskim incidentom treba da sadrži sledee elemente: a. izjavu menadžera o angažovanju, namenu, ciljeve, obim i granice b. idenkaciju incidenta i njegove posledice u kontekstu organizacije c. strukturu, uloge i odgovornos menadžmenta organizacije d. zahtev za izveštavanje o svim/ odre enim povima incidenata e. prioritete saniranja incidenta i nain i formu izveštavanja f. merenje performansi kapaciteta za upravljanje rizikom
6. Podela incidenta na bazi primarnih kategorija napada je na: a. odbijanje izvršavanja servisa (DoS/ DDoS), b. kra a identeta i prisluškivanje c. napad malicioznim programom d. neovlašeni pristup i nepropisno korišenje IKTS e. kombinovani napad 7. Predznaci incidenta mogu bi: a. log datoteka u Web serveru pokazuje korišenje skenera ranjivos b. veliki broj povezanih e–mail–ova sa sumnjivim sadržajem c. neobina odstupanja od pinog mrežnog toka d. najavljena nova iskorisvost koja poga a ranjivost servera e–pošte e. neovlašen pristup web servisima na Internetu i pretee e–mail poruke f. pretnja grupe hakera da e napas organizaciju g. mrežni IDPS alarmira da je neki bafer web servera preplavljen h. anvirusni program alarmira prisustvo virusa/crva u raunaru e. pad web servera i promena auding konguracije u log datoteci hosta f. više neuspelih pokušaja udaljenog pristupa nepoznatog korisnika u log datoteci 8. Indikatori incidenta su: a. log datoteka u Web serveru pokazuje korišenje skenera ranjivos b. veliki broj povezanih e–mail–ova sa sumnjivim sadržajem c. neobina odstupanja od pinog mrežnog toka d. najavljena nova iskorisvost koja poga a ranjivost servera e-pošte e. neovlašen pristup web servisima na Internetu i pretee e-mail poruke f. pretnja grupe hakera da e napas organizaciju
U` {JJ O Š FOJ
277
g. mrežni IDPS alarmira da je neki bafer web servera preplavljen h. anvirusni program alarmira prisustvo virusa/crva u raunaru i. pad web servera i promena auding konguracije u log datoteci hosta j. više neuspelih pokušaja udaljenog pristupa nepoznatog korisnika u log datoteci 9. lanovi ma za upravljanje KI (CIRT) treba da poseduju: a. ekspertska znanja i sposobnost za mski rad b. specine vešne za upravljanje nekom tehnologijom zašte c. specine vešne za digitalnu forenziku istragu d. dobre komunikacione sposobnos e. da su povremeno na raspolaganju 10. Proces korporacijske digitalne forenzike istrage KI ukljuuje: a. pripremu i podnošenje zahteva za istragu kompjuterskog incidenta b. akviziciju i rukovanje sa digitalnim dokazima c. idenkaciju incidenta i napadaa d. ulazak u trag napadau i hapšenje e. forenziko rukovanje sa digitalnim dokazima kao da e bi preda sudu 11. Podatke koji se odnose na incidente mogue je meri na bazi: a. broja saniranih incidenata u odre enom vremenskom periodu b. utrošenog vremena za planiranje otklanjanja posledica incidenta c. utrošenog vremena za otklanjanje uzroka i posledica incidenta d. subjekvne procene rizika i revizije programa za upravljanje rizikom e. objekvne analize i procene uzroka i prirode svakog incidenta f. zadržavanje dokaza o incidentu u proizvoljnom vremenskom periodu g. nansijskog gubitka i druge štete koju je incident izazvao 12. Glavne faze procesa upravljanja kompjuterskim incidentom (KI) su:
278
O Š FOJ
a. priprema, detekcija, prijavljivanje, analiza predznaka b. detekcija, prijavljivanje, analiza incidenta i saniranje posledica c. formiranje ma za upravljanje incidentom d. saniranje posledica i oporavak sistema, analiza iskustava e. analiza i prolisanje napadaa 13. Proces planiranja vanrednih doga aja (VD) obuhvata sledee faze: a. idenkaciju funkcija IKTS krinih za konnuitet poslovanja b. idenkovanje resursa koji podržavaju krine IKTS servise c. procenu potencijalnih vanrednih doga aja d. izbor strategije za upravljanje rizikom e. implementacija plana za upravljanje rizikom f. implementacija plana za upravljanja VD u IKTS 14. Glavni resursi potrebni za upravljanje VD su: a. ljudski resursi b. kapacite IKTS za procesiranje c. serveri d. aplikacije i podaci IKTS e. servisi IKTS f. zika infrastruktura IKTS g. dokumentacija poslovnih procesa h. dokumentacija IKTS 15. Sredstva za podršku rada IKTS, kao što je elektrino napajanje, obino nisu uneta u plan za VD i konnuitet poslovanja, zato što su: a. veoma pouzdana b. skupa za održavanje c. teška za upravljanje d. nije tano ni jedno od navedenih 16. Upravljanje vanrednim doga ajem i konnuitetom poslovanja je: a. proces, koji se obavlja u organizaciji i koji obuhva sve odseke i nivoe b. proces odseka za IKTS, odgovornog za rad IKTS
c. u sluaju VD svaki rukovodilac odseka mora da napravi zaseban plan za VD d. projekat vlade, koja organizacijama dikra pripremne zahteve za VD 18. Glavna (primarna) lokacija je: a. zgrada na rezervnoj lokaciji opremljena sa hardverom, soverom i mrežnom instalacijom, kompabilnom primarnoj mrežnoj instalaciji IKTS b. iznajmljena organizacija po ugovoru, koja vrši online transmisiju podataka radi periodinog bekapovanja i oporavka sistema c. postojea zgrada opremljena sa IKTS kapacitema d. prazna rezervna zgrada sa osnovnom infrastrukturom za smeštaj IKTS opreme, koja se lako može adapra u sluaju vanrednog doga aja e. bilo koja kombinacija gornjih kategorija f. miror lokacija opremljena i kongurisana potpuno jednako kao primarna g. sporazum, plan i održavanje kompabilnos konguracija IKTS i aplikacija 19. Hladna lokacija je: a. zgrada na rezervnoj lokaciji opremljena sa hardverom, soverom i mrežnom instalacijom, kompabilnom primarnoj mrežnoj instalaciji IKTS b. iznajmljena organizacija po ugovoru, koja vrši online transmisiju podataka radi periodinog bekapovanja i oporavka sistema c. postojea zgrada opremljena sa IKTS kapacitema d. prazna rezervna zgrada sa osnovnom infrastrukturom za smeštaj IKTS opreme, koja se lako može adapra u sluaju vanrednog doga aja e. bilo koja kombinacija gornjih kategorija f. miror lokacija opremljena i kongurisana potpuno jednako kao primarna g. sporazum, plan i održavanje kompabilnos konguracija IKTS i aplikacija
20. Vrua lokacija je: a. zgrada na rezervnoj lokaciji opremljena sa hardverom, soverom i mrežnom instalacijom, kompabilnom primarnoj mrežnoj instalaciji IKTS b. iznajmljena organizacija po ugovoru, koja vrši online transmisiju podataka radi periodinog bekapovanja i oporavka sistema c. postojea zgrada opremljena sa IKT kapacitema d. prazna rezervna zgrada sa osnovnom infrastrukturom za smeštaj IKTS opreme, koja se lako može adapra u sluaju vanrednog doga aja e. bilo koja kombinacija gornjih kategorija f. miror lokacija opremljena i kongurisana potpuno jednako kao primarna g. sporazum, plan i održavanje kompabilnos konguracija IKTS i aplikacija 21. Redundantna lokacija je: a. zgrada na rezervnoj lokaciji opremljena sa hardverom, soverom i mrežnom instalacijom, kompabilnom primarnoj mrežnoj instalaciji IKTS b. iznajmljena organizacija po ugovoru, koja vrši online transmisiju podataka radi periodinog bekapovanja i oporavka sistema c. postojea zgrada opremljena sa IKTS kapacitema d. prazna rezervna zgrada sa osnovnom infrastrukturom za smeštaj IKTS opreme, koja se lako može adapra u sluaju vanrednog doga aja e. bilo koja kombinacija gornjih kategorija f. miror lokacija opremljena i kongurisana potpuno jednako kao primarna g. sporazum, plan i održavanje kompabilnos konguracija IKTS i aplikacija 22. Uzajamno bekapovanje je: a. zgrada na rezervnoj lokaciji opremljena sa hardverom, soverom i mrežnom instalacijom, kompabilnom primarnoj mrežnoj instalaciji IKTS b. iznajmljena organizacija po ugovoru, koja vrši online transmisiju podataka
U` {JJ O Š FOJ
279
radi periodinog bekapovanja i oporavka sistema c. postojea zgrada opremljena sa IKT kapacitema d. prazna rezervna zgrada sa osnovnom infrastrukturom za smeštaj IKTS opreme, koja se lako može adapra u sluaju vanrednog doga aja e. bilo koja kombinacija gornjih kategorija f. miror lokacija opremljena i kongurisana potpuno jednako kao primarna g. sporazum, plan i održavanje kompabilnos konguracija IKTS i aplikacija h. reciproni ugovori koji dopuštaju da se IKTS organizacija me usobno pomognu u sluaju VD i koji zahtevaju esto ažuriranje 23. Udaljena iznajmljena transakcija je: a. zgrada na rezervnoj lokaciji opremljena sa hardverom, soverom i mrežnom instalacijom, kompabilnom primarnoj mrežnoj instalaciji IKTS b. iznajmljena organizacija po ugovoru, koja vrši online transmisiju podataka radi periodinog bekapovanja i oporavka sistema c. postojea zgrada opremljena sa IKTS kapacitema d. prazna rezervna zgrada sa osnovnom infrastrukturom za smeštaj IKTS opreme, koja se lako može adapra u sluaju vanrednog doga aja e. bilo koja kombinacija gornjih kategorija f. miror lokacija opremljena i kongurisana potpuno jednako kao primarna g. sporazum, plan i održavanje kompabilnos konguracija IKTS i aplikacija 24. Hibridni sistemi bekapovanja su: a. zgrada na rezervnoj lokaciji opremljena sa hardverom, soverom i mrežnom instalacijom, kompabilnom primarnoj mrežnoj instalaciji IKTS b. iznajmljena organizacija po ugovoru, koja vrši online transmisiju podataka radi periodinog bekapovanja i oporavka sistema c. postojea zgrada opremljena sa IKTS kapacitema
280
O Š FOJ
d. prazna rezervna zgrada sa osnovnom infrastrukturom za smeštaj IKTS opreme, koja se lako može adapra u sluaju VD e. sporazum, plan i održavanje kompabilnos konguracija IKTS i aplikacija f. miror lokacija opremljena i kongurisana potpuno jednako kao primarna g. bilo koja kombinacija gornjih kategorija 25. Kljune vrste tesranja plana za vanredni doga aj su: a. analiza, sinteza i simulacija b. revizija, analiza i simulacija c. revizija, obuka i simulacija
6.
UPRAVLJANJE FIZIKO-TEHNIKOM ZAŠTITOM
6.1. UVOD izika zašta i zašta okruženja IKTS treba da se zasnivaju na standardima i principima dobre prakse zike zašte znaajnih objekata, koja ukljuuje ziko obezbe enje i tehniku zaštu - video nadzor, PPZ i prov-provalnu zaštu (3PZ). U pristupu zikoj zaš IKTS, treba primenjiva standardne principe zike zašte kao što su zašta po dubini, planiranje lokacije, akomodacija, redovan nadzor i revizija zašte, zašta zaposlenih i klijenata, upravljanje VD, zika zašta klasikovanih informacija i zikih objekata IKTS, konzistentnost i specinost zike zašte RS/RM i zašte papirnih informacija i medija za masivno skladištenje.
6.2. STANDARDI FIZIKE ZAŠTITE 6.2.1. Standardi fizike zaštite za raunarsku sobu i radne stanice U procesu upravljanja zikom zaštom IKTS treba koris raspoložive nacionalne standarde za ziku zaštu znaajnih objekata, ziku zaštu raunarske sobe i radne stanice, koje izdaje nacionalno telo za standardizaciju. vi standardi obuhvataju ziku zaštu klasikovanih i neklasikovanih objekata. Klasikovani objek sadrže restrikvne zone i standardi nisu dostupni, a za neklasikovane su javno dostupni. Klasikovani standardi ukljuuju video nadzor i znaajniju 3PZ. Standardi za ziku zaštu radnih stanica su ukljueni u standarde raunarske sobe, a mera zike zašte se rangira obino na 4 nivoa - od najvišeg (4) do najnižeg (1) [2]. Zašta zike infrastrukture je od presudnog znaaja za zaštu RM i IKTS u celini i ini osnovu na kojoj se izgra uje sistem zašte RM SI modela [69].
U` {JJ O Š FOJ
281
6.3. FIZIKA ZAŠTITA I ZAŠTITA OKRUŽENJA IKTS 6.3.1. Rizici proboja fizike zaštite i zaštite okruženja IKTS Termin zika zašta i zašta okruženja IKTS odnosi se na mere i metode zike zašte objekata IKTS, zgrada i infrastrukture okruženja za podršku rada IKTS, od sluajnih ili namernih pretnji, a obuhvata sledee tri kljune oblas [35, 34, 41]: 1. zike objekte: zgrade, gra evinske strukture, vozila sa RS i dr. 2. operavnu lokaciju: odre enu na bazi prostornih karakteriska prirodnih i humanih pretnji i sekundarnih ošteenja (eksplozija, vatra itd.). 3. okruženje IKTS: servisi za podršku rada IKTS (napajanje, grejanje, hla enje i telekomunikacije), iji nestandardan rad može izazva prekid rada IKTS. izika zašta IKTS i okruženja obezbe uje i zaštu zaposlenih, a težišno je usmerena na zaštu IKTS od sledeih pretnji: prekida izvršavanja servisa (DoS): veliina štete zavisi od trajanja prekida servisa i karakteriske operacije i korisnika akcija; zikih ošteenja hardvera i sovera IKTS: mogu se popravi ili zameni; veliina štete zavisi od cene popravke/zamene i troškova prekida servisa; neovlašenog otkrivanje informacija: zika ranjivost prostorija za smeštaj IKTS; posebno opasno u visoko distribuiranom mrežnom okruženju; gubitka kontrole integriteta IKTS: može izazva napada koji dobije ziki pristup serveru/raunaru; posledice mogu bi kra a/prekid servisa, otkrivanje i izmena informacija, pronevera itd; teško je odredi šta je modikovano, izbrisano ili korumpirano; znaajni su troškovi zamene ukradenog hardvera i restauracije podataka, a troškovi nastali zbog otkrivanja osetljivih informacija mogu bi nepredvidljivo veliki. 6.3.2. Fizika zaštita IKTS i okruženja izika zašta IKTS i okruženja obuhvata kontrolu zikog pristupa perimetru i ulazu u zgradu i u restrikvne prostore u zgradi, proces zike idenkacije zaposlenih (bedževi, karce), podsisteme za grejanje, hla enje i venlaciju, 3PZ, video nadzor, zaštu EM i opkih medija i komunikacija. Mere zike zašte IKTS i okruženja grupišu se u osam oblas [41]: barijere za ziki pristup, PPZ zašta, sistemi za grejanje, hlaenje i venlaciju, kolaps zike strukture, vodovodne instalacije, prisluškivanje podataka, ucaj EM smetnji i mobilne sisteme. Barijera za ziki pristup ograniava ulaz/izlaz personala, opreme i medija u/iz zone zašte, a ukljuuje restrikvni prostor, barijeru za opštu izolaciju, ulaznu taku u bari-
282
O Š FOJ
jeri i mere zašte ulazne take. Zaposleni u restrikvnim prostorima IKTS igraju važnu ulogu u zikoj zaš, jer kontrolišu sva nepoznata lica. Barijere za ziki pristup šte restrikvne zone sa objekma IKTS, lokacije kabliranja i elektrinog napajanja, sisteme za hla enje i grejanje, telefonske i linije za prenos podataka, kao i druge elemente potrebne za rad IKTS. U sluaju životne opasnos u VD, prednost treba da izlazima za sluaj opasnos, ali je mogue izbalansira oba zahteva (npr. bravom sa vremenskim kašnjenjem). Postoji više vrsta barijera za ziki pristup, ukljuujui ziko obezbe enje, bedževe, memorijske karce, kljueve, pokretna vrata, ograde i vrata sa šifrovanom bravom. Treba analizira efekvnost barijera za ziki pristup u radno i vanradno vreme, kao i izvodljivost tajnog ulaska. Dodavanjem višeslojnih barijera, može se smanji rizik neovlašenog ulaska u zonu zašte. Video nadzor i 3PZ detektori kretanja i drugi senzori mogu detektova i alarmira ulaske u restrikvne prostore i ziki pristup objekma IKTS. Prov-požarna zašta (PPZ) u zgradi posebno je znaajna za bezbednost IKTS, zbog rizika za ljudske živote, potencijalnog uništenja hardvera, sovera i podataka i druge štete od požara. aktori rizika od požara za objekte IKTS su [35]: izvori požara, materije koje emituju dovoljnu toplotu koja može izazva paljenje drugih materijala; izvori goriva i kiseonik moraju postoja za održavanje i širenje požara; više sagorivog materijala po kvadratnom metru, znai vei požar i veu štetu; ispravno održavanja zgrade, posebno PPZ sistema, minimizira akumulaciju sagorivog materijala, a me i rizik od izbijanja požara; sadržaj zgrade sa iznad-prosenim brojem potencijalnih izvora požara (npr. skladište lako zapaljivih meterijala) inherentno je opasniji od drugih; detektori požara, što su brži, lakše e se i brže ugasi požar i smanji ukupna šteta; vrlo je važno precizno odredi mesto izbijanja požara; PPZ apara za gašenje vatre mogu bi automatski (npr. raspršivai vode) ili poluautomatski (npr. klasini pokretni PPZ apara), namenjeni za gašenje elektrinih instalacija i elektronske opreme i propisno održavani. Kvarovi tehnikih ureaja za obezbeenje radnog okruženja IKTS smanjuju tehniku pouzdanost sistema. Kvarovi sistema za grejanje/hla enje, obino izazivaju prekid servisa IKTS i mogu ošte hardver. Tehnika pouzdanost h sistema odre uje se na osnovu faktora MTBF (srednje vreme izme u otkaza) i MTBR (srednje vreme izme u popravki–remonta) za elektrinu centralu, toplanu, pumpnu stanicu za snabdevanje vodom, sistem za venlaciju i kanalizaciju i druge pomone sisteme za rad IKTS i konfor radnog osoblja. Rizik se može smanji zamenom ure aja sa nižim MTB ili instalacijom redundantnih sistema, skladištenjem rezervnih delova i obukom osoblja za održavanje sistema [35]. Kolaps zgrade zbog zemljotresa, snežne lavine, klizišta, oluje, eksplozije ili požara, odnosi se, pre svega, na visoke, prostrane zgrade bez noseih stubova. U` {JJ O Š FOJ
283
Kvarovi vodovodnih instalacija mogu bi veoma razorni. Plan zgrade pomaže da se lociraju vodovodne instalacije, rizine za hardver IKTS. Lokacija sigurnosnih venla i korisnike procedure moraju bi precizne i trenutno dostupne. Prisluškivanje podataka, zavisno od pa podataka i procesa IKTS, može nosi znaajan rizik. Postoje tri naina presretanja (intercepcije) podataka u IKTS: direktno osmatranje monitora radnih stanica od strane neovlašenih lica, što je u veini sluajeva lako je sprei premeštanjem monitora. intercepcija transmisije podataka na zikim linijama lokalne mreže, omoguava prisluškivanje, itanje/snimanje paketa podataka, u akvnom ili pasivnom režimu. Kod bežinih mreža mogunost intercepcije se poveava. elektromagnetska intercepcija koris parazitno ili kompromitujue zraenje EM energije (KEMZ), koje emituju, kondukcijom i radijacijom, svi akvni ure aji i mrežne instalacije IKTS. vo zraenje može se detektova sa specijalnim prijemnicima i antenama, a uspeh zavisi od snage signala, osetljivos i lokacije prijemnika i antenskog sistema. Tehnologija za EM intercepciju KEMZ signala naziva se TEMPEST (Transient Elektro–Magnec Pulse Surveillance Technology), kao i standard za zaštu od KEMZ-a – TEMPEST (Transient Elektro Magnec Pulse Emanang Standard), koji deniše oklapanje ure aja, raunarske sobi ili cele zgrade i druge naine smanjenja širenja KEMZ signala [74, 77, 34]. TEMPEST otporne raunare i perifernu oprema uglavnom koriste državne organizacije [35]. EM interferencija, tako e, može predstavlja rizik za sistem zašte i IKTS. Postoji nekoliko pova spoljnih EM interferencija. EM indukcija od munje može na energetskoj ili komunikacionoj liniji izazva potencijalno opasnu indukciju EM energije i kvar ure aja. Stako pražnjenje može izazva energetsko preoptereenje, ošte ipove i štampana kola i uspori kretanja mehanikih delova, ak i ispod nivoa detekcije. EM interferencije (EMI) sa spoljnim izvorima elektrine emisije, mogu izazva brisanje podataka, korupciju datoteka i prekid rada lokalne opreme. Radio–frekvencijska interferencija (RFI) može izazva korupciju i brisanje podataka i ošteenja opreme, koja ne može prepozna komande iz legimnog izvora. Mobilni i prenosni sistemi, instalirani u vozilu ili prenosni (Lap Top, Noutbook), obino zahtevaju modikaciju analize i procene rizika. Raunarski sistem u vozilu deli iste rizike kao i samo vozilo, ukljuujui udese i kra u, kao i regionalne i lokalne faktore rizika. Portabl sistemi imaju vei rizik od kra e i zikog ošteenja, a osetljive ili važne podatke treba uskladiš na pokretni medij ili šifrova. Dodatnu zaštu obezbe uju hardverski i/ili soverski ure aji za kontrolu pristupa. 6.3.3. Zaštita EM i optikih medija Generalno, postoji oprema koja može kompletno ukloni sve magnetske tragove sa odloženih EM medija, ukljuujui RAM memorije. Pri tome treba razlikova procese 284
O Š FOJ
saniranja i deklasikacije medija. Saniranje je proces brisanja, što je mogue više podataka sa medija ili raunarske opreme, koji ne uništava i ne menja automatski klasikaciju medija/opreme. Deklasikacija je uklanjanje ili redukcija nivoa klasikacije medija/opreme na bazi procene rizika, odluke o otkrivanju preostalih podataka, procene ugovornih obaveza i eventualne prodaje, odlaganja i popravke opreme. Mediji/ oprema koji nose klasikovane podatke, moraju ima oznaku najveeg stepena klasikacije podataka, dok se ne izvrši propisano saniranje ili deklasikacija. Magnetni mediji se deklasikuju demagnezacijom i višestrukim presnimavanjem [2]. Demagnezacija smanjuje gusnu magnetnog !uksa primenom reverznog magnetnog polja i obezbe uje neitljivost prethodno snimljenih podataka i informacija. Višekratno presnimavanje magnetnih medija uzastopnim binarnim 1 i 0, standardno se koris za ekasno brisanje podataka. Ciklus se ponavlja više puta, zavisno od procenjenog rizika ili zahteva za deklasikaciju, a preporuuju se sledei koraci: (1) presnimi sve lokacije bita podataka sa binarnom 0 i proveri uspeh, (2) presnimi sve lokacije bita podataka sa binarnom 1 i (3) proveri uspeh i ponovi 1. i 2. korak više puta prema zahtevu za deklasikaciju ili proceni rizika. Nepotpuno izbrisani i neispravno klasikovani mediji/ ure aji koji se ne mogu sanira demagnezacijom i višestrukim presnimavanjem, moraju se ziki uniš. Laserski štampai i kopir apara mogu se sanira i deklasikova štampanjem praznih kopija, nakon poslednjeg štampanja klasikovanih informacija. Proces saniranja i odlaganja dokumenata i medija prikazan je na Sl. 6.1.
Sl. 6.1. Tok procesa saniranja i odlaganja dokumenata i medija
U` {JJ O Š FOJ
285
Procedura zašte EM i opkih medija treba da specino obuhva mere zašte od otkrivanja poverljivih informacija sa odloženih, neispravnih ili zastarelih medija/opreme i ziku zaštu korišenih arhiviranih medija. Memorijski ipovi i drugi elemen za skladištenje saniraju se ili deklasikuju na bazi procene rizika, uklanjanjem izvora napajanja i uzemljivanjem memorijskih elemenata. Me um, u razvoju su holografske tehnologije za skladištenje informacija i molekularna memorija, za koje tek predstoji razvoj adekvatnih mehanizama za saniranje. Hologramska memorija skladiš podatke na hologramsku 3D sliku, propuštanjem svetlos kroz svetlosno osetljivi kristal, koji zadržava opki obrazac. Ima nekoliko hiljada puta vei kapacitet i nema mehanike delove. Velika koliina podataka ita se i upisuje jednostavnim komandama itaj ili piši, nasuprot današnjim 2D memorijama, koje itaju i upisuju podatke bit po bit. Sistem za hologramsko skladištenje može uskladiš na hiljade stranica (blokova) podataka, sa preko milion bita svaka. Zauzima prostor veliine kocke šeera, npr. 10 GB podataka staje u 1 cm3. Brzina pristupa podacima dosže 1 Gbps, pošto memorija nema mehanikih delova, a podacima (stranicama) se pristupa paralelno. Molekularna memorija skladiš podatke koristei protein bakteriorodopsin (bacteriorhodopsin). Neki laser može izmeni protein iz stanja R (binarna 0) u stanje Q (binarna 1), što ga ini idealnim ILI ili ip–op kolom za skladištenje binarnih podataka. Memorija je jeina za proizvodnju i može radi u veem temperaturnom opsegu nego poluprovodnika. Promena molekularnog stanja odvija se za nekoliko mikrosekundi, a kombinovani koraci za operacije itanja ili upisivanja traju oko deset milisekundi, što se ini sporim, ali se podacima pristupa paralelno pa je mogua brzina pristupa od 10MBps [77]. 6.3.4. Metodi uništavanja medija Destrukcija vrsh diskova i memorija vrši se topljenjem, lomljenjem ili mlevenjem po odobrenom metodu. Svi mediji za skladištenje klasikovanih podataka i informacija moraju se ziki uva prema standardima i uputstvu za zaštu organizacije. Gradacija stepena saniranja medija nije konana, nego više uputstvo za rad. Generalno, naješa podela medija je u tri kategorije: EM, laserski štampai/kopir mašine i osetljive memorije (npr. RAM), ali ne ukljuuje elemente koji ne gube podatke (npr. EEPR M). Standard preporuuje eri nivoa saniranja (Tabela 6.1), gde 0. nivo oznaava da ni jedna kategorija medija nije sanirana [2]:
286
O Š FOJ
Tabela 6.1. Standard stepena saniranja kljunih kategorija medija Nivo
Stepen saniranja medija
1.
EM mediji su sanirani propisanom demagnezacijom ili presnimavanjem. Laserski štampa/kopir nije saniran. setljiva memorija nije sanirana.
2.
EM mediji su propisno sanirani demagnezacijom ili dvo – tro-strukim presnimavanjem u skladu sa procenom rizika, cenom medija ili prodaje, koliinom podataka i informacija i mogunos popravke. Nivo deklasikacije mora bi barem dva nivoa niži od originalne. Laserski štampa/kopir i osetljiva memorija su propisno sanirani.
3.
Svi EM mediji su uništeni. Laserski štampa/kopir je propisno saniran. setljiva memorija je sanirana prema propisanom metodu na osnovu procene rizika, uzimajui u obzir cenu medija ili prodaje, koliinu podataka i informacija i mogunost popravke
4.
Svi magnetni mediji, laserski štampai/kopiri i osetljive memorije uništene.
6.3.5. Kriterijumi za izbor i implementaciju fizike zaštite Sistem zike zašte kontroliše pravo, vremenski period i uslove pristupa objekma i zgradama organizacije. izike i mere zašte okruženja su efekvne i rentabilne, a implemenraju se na bazi eri opšta kriterijuma za izbor [2]: 1. mere zašte se zahtevaju prema zakonu (npr. izlazna vrata za VD); 2. beznaajni troškovi, znaajna korist (npr. objek IKTS u restrikvnom prostoru sa vrama kroz koja se retko prolazi); 3. zašta IKTS spreava fatalne proboje sistema, ali ima ozbiljne troškove (npr. bekapovanje programa i podataka); 4. procenjuje se da je mera IKTS zašte rentabilna (npr. zašta od prekida elektrinog napajanja). Dva sistema mogu ima istu pretnju (npr. prekid napajanja) i iste ranjivos, ali i potpuno razliite gubitke. Na raspolaganju je vei broj mera zašte, razliih po ceni i performansama. Nabavka UPS jedinice zavisi od optereenja, broja minuta rada i brzine reagovanja na prekid napajanja, a može se instalira i neki generator za krae prekide napajanja ili kao rezervni izvor napajanja za UPS sistem. 6.3.6. Sistemi zaštite okruženja IKTS Savremeno rešenje sistema zike zašte okruženja IKTS ini integrisana zika infrastruktura, koja obuhvata sledee komponente [74]: (1) UPS sistem sa distribucijom,
U` {JJ O Š FOJ
287
(2) sistem klimazacije sa distribucijom hladnog vazduha, (3) sistem senzora za nadzor okruženja i (4) centralnu plaormu za upravljanje i monitoring. UPS sistem sa distribucijom mora bi modularan, skalabilan, visoko raspoloživ, tehniki pouzdan i upravljiv, sa standardnim dimenzijama za IKTS opremu i napajanjem, zašenim od KEMZ. Sistem klimazacije sa distribucijom hladnog vazduha namenjen je da hladi samo objekte i mesta gde se emituje toplota, a ne prostor. Prilago en je rekovima sa opremom, koja ima veliku gusnu disipacije toplote. Integrisan je u IKTS i ima jedinstveno upravljanje. Sistem senzora za nadzor okruženja IKTS kontroliše ziki pristup, temperaturu, vlažnost i strujanje vazduha, taku kondenzacije, opasne gasove, curenje vode, pojavu dima i buku. Tako e, vrši rano upozoravanje putem e–pošte, mobilnog telefona i pejdžera. Jedinstvena plaorma za upravljanje i monitoring ukljuuje pretraživa, koji analizira trendove stanja u više rekova i ima !eksibilnu graku prezentaciju izlaznih rezultata u razliim formama pogodnim za brzo odluivanje i reagovanje.
6.4. KONVERGENCIJA FIZIKE I LOGIKE KONTROLE PRISTUPA U veini organizacija, sistemi logike i zike kontrole pristupa funkcionišu kao dve odvojene, decentralizovano upravljane celine. Logikom kontrolom pristupa upravlja informako odeljenje, a zikom – služba ziko-tehnikog obezbe enja. Servisi zike zašte deluju interakvno sa logikim servisima u brojnim primerima, što ukazuje na potrebu integracije kontrola zikog i logikog pristupa. Konvergenciju logike i zike zašte u integrisani sistem za logiko-ziku kontrolu pristup omoguava tehnološka integracija, kao što su: karna kontakno-beskontaktna kontrola pristupa – zgradi, liu, restrikvnom prostoru, raunaru i bazi podataka; bluetooth tehologija integracije video nadzora, piko RM i 3PZ sistema; ita zikog pristupa povezan sa PPZ sistemom, koji ga deblokira u sluaju požara; nadzor i upravljanje protokom ljudi i opreme kroz zike objekte; upravljanje metodama pristupa, kontrole proboja i zauzetos prostorija itd. [35]. Na bazi ove integracije uspostavljen je koncept upravljanja identetom, koji se može denisa kao skup procesa, alata i servisa koji omoguavaju bezbedan pristup velikom skupu sistema, servisa i aplikacija sistema [35]. Sistem za upravljanje identetom, primarni je gradivni blok zašte integrisanog sistema i sadrži sledee interakvne elemente: jedinicu za skladištenje podataka ili logiki repozitorij podataka, koji sadrži informacije iz polike zašte i podatke o pravima pristupa korisnika; jedinicu za autenkaciju korisnika, koja ukljuuje lozinku, biometrijski sistem autenkacije ili standardne X.509 PKI serkate za digitalni potpis; poliku zašte, koja deniše ko ima pristup, kojim informacijama i pod kojim uslovima i
288
O Š FOJ
jedinicu za kontrolu, koja pra i snima tragove toka informacija, kada se podaci registruju, koriste i menjaju. Sve ove komponente interakvno deluju u sistemu za upravljanje identetom i obezbe uju: jednokratnu idenkaciju korisnika za primarnu autenkaciju; personalizaciju, koja pridružuje neku aplikaciju ili informaciju nekom identetu i upravljanja pravima pristupa, koje omoguava aplikacijama da izvrše autorizaciju na bazi informacija iz polike zašte i dah privilegija. Konvergenciju ova dva sistema u najveoj meri obezbe uje PKI tehnologija i sistem smart karca/tokena. Kombinacija logike i zike zašte obezbe uje kompletniju zaštu od pretnji iz okruženja, sa elemenma terorizma, koje zahtevaju celovit pristup problemaci zašte – od zike do zašte kibernekog prostora. Kljuni faktor konvergencije sistema zike i logike kontrole pristupa postaje tehnologija, jer omoguava integraciju svih procesa u kojima može redukova pretnje za specine ranjivos. Razlozi za konvergenciju ova dva sistema su brojni: smanjenje ukupnih troškova zašte; ekasnija kontrola pristupa i centralizovana evidencija povreda sistema zašte; nadzor i kontrola u realnom vremenu; jedinstveni proces i lokacije za izdavanje zikih i logikih idenkatora i dr. Da bi do ove konvergencije došlo, upravljanje integrisanim sistemom zaštom mora integrisa postojee procese upravljanja logikom i zikom AC i personalom zaštom IKTS organizacije. vakav pristup zahteva jasno denisanje vlasništva nad informacionim objekma i odgovornos u brojnim procesima upravljanja zaštom. izika zašta podržava propisno funkcionisanje veeg broja servisa zašte (logike AC, planiranja VD i konnuiteta poslovanja i idenkacije i autenkacije). Kontrole zike zašte obino su tesno povezane sa akvnosma lokalne policije, stanica za PPZ, stanica hitne pomoi i medicinskih ustanova, koje treba konsultova u fazi planiranja. Model odnosa zike i logike AC sa procesima upravljanja sistemom zašte organizacije prikazan je na Sl. 6.2. [35].
U` {JJ O Š FOJ
289
Sl. 6.2. Model odnosa logike i zike kontrole pristupa [35]
6.5. REZIME izika zašta i zašta okruženja IKTS treba da se zasnivaju na standardima i principima dobre prakse zike zašte znaajnih objekata. U veini zemalja u svetu denisani su standardi za raunarsku sobu i radne stanice. izika zašta lokacija IKTS obuhvata zaštu od prirodnih i humanih pretnji i sekundarnih akvnos. Zaštu okruženja IKTS, obezbe uju tehniki i ljudski servisi kao što su elektrino napajanje, grejanje, hla enje i telekomunikacije. Nestandardan rad ovih sistema može prekinu rad servisa IKTS, doves do zikih ošteenja hardvera ili uskladištenih podataka. Mere zike zašte IKTS obuhvataju osam glavnih oblas. Specina zika zašta odlaganja ili ponovnog korišenja (reuse) EM i opkih medija obuhvata procese saniranja – brisanja što više podataka i informacija sa medija/opreme i deklasikacije – uklanjanja ili redukcije nivoa klasikacije medija/opreme. Saniranje ne menja automatski klasikaciju, ni ukljuuje uništavanje medija/opreme. Proces obuhvata eri nivoa (0. – nema saniranja, 4. – uništavanje). Deklasikacija se vrši na bazi procene rizika od otkrivanja preostalih podataka u medijima/opremi. Savremeno rešenje sistema zike zašte ini integrisana zika infrastruktura okruženja IKTS, koja obuhvata UPS sistem sa distribucijom, sistem klimazacije sa distribucijom hladnog vazduha, sistem senzora za nadzor okruženja IKTS, jedinstvenu plaormu za upravljanje i monitoring. Tehnološka integracija sistema zašte u mnogim oblasma zike i logike AC, dovodi do konvergencije logike i zike AC u integrisani sistem za upravljanje zaštom, kojeg najbolje reprezentuje tehnologija smart karca i proces upravljanja identetom. 290
O Š FOJ
6.6. KLJUNI TERMINI Deklasikacija medija: uklanjanje/redukcija nivoa klasikacije medija ili opreme. Demagnezacija medija: smanjuje gusnu magnetnog !uksa primenom reverznog magnetnog polja i ini neitljivim prethodno snimljene podatke. Fizika zašta IKTS i okruženja: zasniva se na standardima i principima dobre prakse zašte znaajnih objekata i obuhvata mere ziko– tehnike zašte zgrada i okruženja IKTS. Fiziki objek: zgrade, druge gra evinske strukture ili vozila u kojima su smešteni IKTS i/ili komponente raunarske mreže. Operavna lokacija: odre uje se karakteriskama prirodnih i humanih pretnji i sekundarne štete od drugih faktora rizika. Intercepcija podataka: presretanje informacija na prenosnom putu i prisluškivanje bez znanja legalnih korisnika: direktna opservacija, intercepcija podataka u prenosu i TEMPEST intercepcija elektronskih signala putem KEMZ.
Saniranje medija: proces brisanja što je mogue više podataka i informacija sa medija ili kompjuterske opreme. TEMPEST (Transient Elektro–Magnec Pulse Surveillance Technology): tehnologija za EM intercepciju KEMZ signala ili (Transient Elektro Magnec Pulse Emanang Standard) standard za zaštu od KEMZ–a, koji deniše naine redukcije KEMZ signala. Višekratno presnimavanje megnetnih medija: metod ekasnog brisanja podataka uzastopnim binarnim „1“, i „0“ i ponavljanjem ciklusa više puta. Zašta okruženja IKTS: obezbe uje zaštu tehnikih objekata, tehnikih i ljudskih servisa koji pomažu i podržavaju rad IKTS (napajanje, grejanje, hla enje i telekomunikacije).
6.7. PITANJA ZA PONAVLJANJE 1. iziki objek u sistemu zašte su: a. zgrade, druge ksne gra evinske strukture ili vozila u kojima su smešteni IKTS i/ili komponente RM b. prostorne karakteriske prirodnih pretnji (zemljotres, poplava i dr.) c. humane pretnje (provale, neredi, intercepcija signala, snimanje KEMZ signala d. sekundarna ošteenja (izlivanje toksinih kemikalija, eksplozija, vatra, EM interferencije) e. servisi za podršku rada IKTS (napajanje, grejanje, hla enje i telekomunikacije) f. ziki pristup
2. peravna lokacija je odre ena na bazi: a. zgrade, druge ksne gra evinske strukture ili vozila u kojima su smešteni IKTS i/ili komponente RM b. prostornih karakteriska prirodnih pretnji (zemljotres, poplava i dr.) c. humanih pretnji (provale, neredi, intercepcija signala, snimanje KEMZ signala d. sekundarnih ošteenja, (izlivanje toksinih kemikalija, eksplozija, vatra, EM interferencije) e. servisa za podršku rada IKTS (napajanje, grejanje, hla enje i telekomunikacije) f. zikog pristupa 3. kruženje IKT sistema su: a. zgrade, druge ksne gra evinske strukture ili vozila u kojima su smešteni IKTS i/ili komponente RM
U` {JJ O Š FOJ
291
4.
5.
6.
7.
292
b. prostorne karakteriske prirodnih pretnji (zemljotres, poplava i dr.) c. humane pretnje (provale, neredi, intercepcija signala, snimanje KEMZ signala d. sekundarna ošteenja, (izlivanje toksinih kemikalija, eksplozija, vatra, EM interferencije) e. servisi za podršku rada IKTS (napajanje, grejanje, hla enje i telekomunikacije) f. ziki pristup izika zašta IKTS i okruženja obezbe uje i zaštu zaposlenih, a težišno je usmerena na zaštu IKTS od: a. prekida davanja servisa (DoS) b. kra e raunarske opreme c. zikog ošteenja d. napada malicioznih programa e. neovlašenog otkrivanja informacija f. gubitka kontrole integriteta IKTS g. narušavanja privatnos legalnih korisnika Mere zike zašte se grupišu u sledee glavne oblas: a. barijere za ziki pristup b. zašta od snežne lavine c. sistemi za grejanje, hla enje i venlacija d. zašta od vlage e. kolaps zike strukture, vodovodne instalacije f. prisluškivanje podataka i ucaj EM smetnji g. mobilni ili prenosni IKTS snovni naini prisluškivanja podataka su: a. intercepcija transmisije podataka b. bežino prisluškivanje c. direktno osmatranje d. elektromagnetska intercepcija kompromitujueg zraenja (KEMZ) e. žino indukvno prisluškivanje f. elektromagnetska interferencija Procese saniranja prenosnih medija i kompjuterske opreme je: a. brisanja što je mogue više podataka sa medija ili raunarske opreme, koje
O Š FOJ
b. ne uništava i ne menja automatski klasikaciju medija/opreme c. uklanjanje ili redukcija nivoa klasikacije medija/opreme na bazi procene rizika, d. odluke o otkrivanju preostalih podataka, procene ugovornih obaveza i eventualne prodaje, odlaganja i popravke opreme e. smanjenje gusne magnetnog !uksa, primenom reverznog magnetnog polja 8. Procese deklasikacije prenosnih medija i kompjuterske opreme je: a. brisanje što je mogue više podataka sa medija ili raunarske opreme, koje b. ne uništava i ne menja automatski klasikaciju medija/opreme c. uklanjanje ili redukcija nivoa klasikacije medija/opreme na bazi procene rizika, odluke o otkrivanju preostalih podataka, procene ugovornih obaveza i eventualne prodaje, odlaganja i popravke opreme d. smanjenje gusne magnetnog !uksa, primenom reverznog magnetnog polja 9. Proces demagnezacije prenosnih medija i kompjuterske opreme je: a. brisanje što je mogue više podataka sa medija ili raunarske opreme, koje b. ne uništava i ne menja automatski klasikaciju medija/opreme c. uklanjanje ili redukcija nivoa klasikacije medija/opreme na bazi procene rizika, odluke o otkrivanju preostalih podataka, procene ugovornih obaveza i eventualne prodaje, odlaganja i popravke opreme d. smanjenje gusne magnetnog !uksa, primenom reverznog magnetnog polja 10. Prvi standardni nivo saniranja medija obuhvata: a. svi magnetski mediji uništeni b. svi magnetski mediji su uništeni c. laserski printer/kopir je saniran prema propisanom metodu d. osetljiva memorija nije sanirana e. laserski printer/kopir nije saniran
11. Drugi standardni nivo saniranja medija obuhvata: a. osetljiva memorija je sanirana prema propisanom metodu b. magnetski mediji su sanirani propisanom demagnezacijom ili presnimavanjem c. magnetski mediji su sanirani propisanom demagnezacijom ili 2–3– strukim presnimavanjem u skladu sa procenom rizika (uzimajui u obzir cenu medija ili cenu prodaje, koliinu podataka i informacija i mogunost popravke) d. nivo deklasikacije mora bi barem dva nivoa niži od originalne 12. Trei standardni nivo saniranja medija obuhvata: a. laserski printer/kopir nije propisno saniran b. osetljiva memorija je sanirana prema propisanom metodu na osnovu procene rizika, uzimajui u obzir cenu medija ili prodaje, koliinu podataka i informacija i mogunost popravke c. svi magnetski mediji su uništeni d. osetljiva memorija nije sanirana prema propisanom metodu 13. etvr standardni nivo saniranja medija obuhvata: a. magnetski mediji su sanirani propisanom demagnezacijom ili 2–3– strukim presnimavanjem u skladu sa procenom rizika b. nivo deklasikacije mora bi barem dva nivoa niži od originalne c. svi laserski printeri/kopiri uništeni d. sve osetljive memorije uništene e. laserski printer/kopir je saniran prema propisanom metodu 14. pš kriterijumi za izbora i implementaciju mera zike zašte su: a. mere zašte se zahtevaju prema zakonu i regulavi b. mere zašte zahteva menadžer organizacije c. troškovi su beznaajni, ali je korist znaajna
d. troškovi su veliki, ali je korist znaajna e. zašta IKTS spreava potencijalno fatalne napade, ali su troškovi veliki f. procenjuje se da je mera IKTS zašte rentabilna g. procenjuje se da je mera IKTS zašte nerentabilna 15. Integrisanu ziku infrastrukturu sistema zike zašte okruženja IKTS ine: a. UPS sistem sa distribucijom, sistem za kontrolu vlažnos vazduha, sistem za video nadzor, centralnu plaormu za upravljanje i monitoring b. UPS sistem sa distribucijom, sistem klimazacije sa distribucijom hladnog vazduha, sistem senzora za nadzor okruženja, centralnu plaormu za upravljanje i monitoring c. UPS sistem sa distribucijom, sistem klimazacije, službu obezbe enja, sistem senzora za kontrolu perimetra, centralnu plaormu za upravljanje i monitoring 16. Konvergenciju logike i zike kontrole pristupa omoguavaju sledee tehnološke integracije: a. ita zikog pristupa povezan sa PPZ sistemom b. ita zikog pristupa povezan sa sistemom za video nadzor c. mrežna barijera sa IDPS sistemom d. AVP instaliran u mrežnoj kapiji e. nadzor i upravljanje protokom ljudi i opreme kroz zike objekte f. upravljanje pristupom, kontrola proboja perimetra i zauzetos prostorija 17. Razlozi koji opravdavaju konvergenciju logike i zike kontrole pristupa su: a. smanjenje ukupnih troškova zašte i ekasnija kontrola pristupa b. centralizovana evidencija povreda sistema zašte c. nadzor i kontrola u realnom vremenu d. nadzor i kontrola u o*ine režimu e. jedinstveni proces i lokacije za izdavanje zikih/logikih idenkatora f. smanjenje obima rada na planiranju zašte
U` {JJ O Š FOJ
293
7.
UPRAVLJANJE PERSONALNOM ZAŠTITOM
7.1. UVOD Veina važnijih pitanja zašte ukljuuje ljudski faktor – korisnike, projektante, specijaliste za implementaciju i menadžere zašte. irok spektar pitanja personalne zašte odnosi se na interakciju ovih lica sa objekma informacione imovine, u procesu pristupa i autorizacije. Personalna zašta obuhvata i popunu kadrova za rad u IKTS i šire u organizaciji, administraciju korisnika, koji rade sa objekma sistema, ukljuujui zabranu pristupa zaposlenih odre enim objekma IKTS, kao i administraciju pristupa javnim servisima i pristupa zaposlenih po ugovoru. Personalna zašta usko je vezana sa servisima logike i zike kontrole pristupa.
7.2. PROCES POPUNE RADNIH MESTA U IKTS Proces popune radnih mesta u IKTS (Sl. 7.1), primenljiv na korisnike i menadžere aplikacija, menadžere IKTS i specijaliste zašte, ukljuuje eri faze: (1) denisanje radnog mesta, (2) odreivanje najvišeg nivoa osetljivos objekata IKTS, (3) popunu radnih mesta i (4) obuku [43].
Sl. 7.1. Proces popune zaposlenih u IKT sistemu
294
O Š FOJ
U fazi denisanja i opisa radnih mesta, moraju se razmatra sva pitanja zašte. Kada se radno mesto deniše u opšm crtama, odgovorni menadžer treba da odredi p pristupa IKTS–u za to radno mesto. Kod odre ivanja prava pristupa treba primenjiva opšte principe razdvajanja dužnos, davanje minimalnih privilegija i pristupa samo informacijama koje treba zna (engl., need to know) za obavljanje posla. Razdvajanje dužnos odnosi se na deljenje uloga i odgovornos, tako da ni jedan pojedinac nije nezamenljiv i da ne može sabora krine procese. Denisanje radnih mesta i dužnos zaposlenih, obaveza je menadžera. Minimum privilegija znai da se korisniku daje samo pristup neophodan za rad, a ne da ima ekstremno malo prava pristupa. U opštem sluaju za smanjenje rizika, efekvnije je primenjiva principe za osetljiva radna mesta, nego bezbednosnu zaštu zaposlenih. Primena ovih principa može ogranii štete od sluajnog incidenta, grešaka ili neovlašenog korišenja IKTS. Primena minimuma privilegija ne sme uca na zamenljivost zaposlenih na odre enim radnim mesma. Kod odre ivanja privilegija, treba konsultova zahteve iz plana upravljanja VD i kompjuterskim incidentom. 7.2.1. Odreivanje osetljivosti radnog mesta Za odre ivanje osetljivos radnog mesta potrebno je poznava opis radnog mesta i nivoe pristupa, koje zahteva. dgovorni menadžeri treba da korektno idenkuju nivoe osetljivos radnog mesta, tako da se može komplera odgovarajua i rentabilna personalna zašta. U opštem sluaju, razlii nivoi osetljivos pripisuju se razliim radnim mesma, na bazi stepena štete, koju korisnici mogu izazva pristupom osetljivim informacijama, procesiranim na radnom mestu. Broj osetljivih radnih mesta treba da bude racionalan, pošto zašta veeg broja osetljivih radnih mesta zahteva više resursa, a suviše mali broj može izazva veliki rizik [35]. 7.2.2. Popuna radnih mesta i izbor zaposlenih aza popune radnih mesta, poinje sa objavljivanjem javnog konkursa u kojem se navodi, koji prol kandidata se zahteva i za koje radno mesto. Radna mesta se svrstavaju u kategorije prema osetljivos materijala i informacija kojima se rukuje na tom radnom mestu, a menadžeri proveravaju poverljivost i pouzdanost lica za konkretno radno mesto. Bezbednosna provera kandidata pomaže da se odredi podobnost nekog lica za odre eno radno mesto i može bi jedan od uslova za zapošljavanje. Dok se bezbednosna provera ne završi, zaposleni se ne može zvanino rasporedi na osetljivo radno mesto, ni ima pristup osetljivim informacijama i objekma IKTS. U javnom sektoru bezbednosna provera pino obuhvata proveru krivinog dosijea u policiji, a detaljna – obuhvata radnu istoriju, obrazovanje, spisak pokretne i nepokretne imovine u vlasništvu, upotrebu zabranjenih supstanci, intervjue i razgovore sa kolegama, U` {JJ O Š FOJ
295
prijateljima itd. bim i intenzitet provere zavise od osetljivos radnog mesta. Ako bezbednosna provera utvrdi kompromitaciju, ne znai da lice automatski nije podobno za neko drugo radno mesto. U civilnom sektoru bezbednosna provera lica je promenljiva i neujednaena i uglavnom se svodi na proveru linih kvalikacija, radnog iskustva i hobija, koje kandida dostavljaju uz zahtev za radno mesto. bino se novo lice postavlja na manje osetljivo radno mesto. Zaposleni u civilnom sektoru, koji rade za državnu upravu, mogu bi podvrgnu kompletnoj bezbednosnoj proveri. dluku treba done u odnosu na vrstu posla, rezultate provere i druge relevantne faktore [35]. 7.2.3. Obuka zaposlenih Popuna radnog mesta nije završena prijemom lica na neko radno mesto. Zaposleni moraju završi pripravniki staž i obui se za poslove na radnom mestu, ukljuujui i za rad na raunaru i odgovornos u procesu zašte. U okviru ove obuke treba promovisa svest o potrebi zašte i opšte principe zašte IKTS. Na bazi analize rizika, daje im se pristup samo linim raunarima, sve dok se bezbednosna provera i obuka ne završe. Adekvatno obueni zaposleni od presudnog su znaaja za efekvno funkcionisanje IKTS i aplikacija, pa je obuka novih korisnika krian faktor personalne zašte. buka i obrazovanje u zaš su neprekidni procesi, koji se moraju izvršava sve dok zaposleni koriste IKTS [35].
7.3. UPRAVLJANJE KORISNIKIM NALOZIMA Efekvno administriranje pristupa korisnika IKTS-u bitno je za održavanje sistema zašte i upravljanje korisnikim nalozima, koje obuhvata servise idenkacije, autenkacije i autorizacije, nadzora, kontrole i revizije i verikacije legimiteta naloga i ovlašenja pristupa. Proces upravljanja korisnikim nalozima ukljuuje tri faze: (1) podnošenje zahteva, otvaranje, izdavanje i zatvaranje korisnikih naloga, (2) praenje korisnika i njihovih odnosnih prava za pristup i (3) upravljanje ovim funkcijama [2]. Proces pino poinje sa upuivanjem, menadžeru/administratoru IKTS, zahteva prvog menadžera za otvaranje korisnikog naloga zaposlenog. Za pristup nekoj aplikaciji, zahtev podnosi vlasnik aplikacije menadžeru IKTS. Zahtev sadrži nivo pristupa, kojeg treba dodeli na osnovu radne funkcije ili specikacije korisnikog prola grupe zaposlenih, koji obavljaju iste poslove. Nivo pristupa po ovom nalogu mora bi konzistentan sa zahtevom menadžera, a pridružena ovlašenja selekvna. Za pristup aplikaciji korisnici se mogu naknadno “dodava”.
296
O Š FOJ
Zaposlene je potrebno informisa o njihovim nalozima. Povezivanje korisnikog imena sa položajem na radnom mestu (RBAC model LAC) može pojednostavi administravni rad, ali otežava reviziju i eventualnu forenziku istragu. Povezivanja korisnikog imena sa individualnim korisnikom ima vee prednos. Za svaki pristup moraju se uspostavi procedure za upravljanje promenama posla (ostavka, penzionisanje i dr.). Korisno je obezbedi dodatnu obuku zaposlenih, kada dobiju svoje naloge, kao što je revizija polike za pristup objekma IKTS. Eventualno, treba zahteva potpisivanje Izjave o prihvatanju korisnikog naloga i pridružene lozinke pa: „Ja (dole potpisani) priznajem da sam lino primio lozinke za pristup IKTS, pridružene dole navedenim korisnikim nalozima. Shvatam i prihvatam svoju odgovornost za zaštu lozinke i obavezujem se da sprovodim sve primenljive standarde zašte IKTS i da nikome ne otkrivam lozinke. Dalje, shvatam i prihvatam da moram izves menadžera IKTS zašte o svakom problemu kojeg uoim u korišenju lozinke ili kada imam razloge da verujem da je poverljivost mojih lozinki kompromitovana“. Pre potpisivanja korisnika i poetka perioda važnos, sva dokumenta zašte treba da pregleda pravnik [55]. Kada se korisniki nalozi više ne koriste, supervizor treba da obaves menadžera aplikacija i administratora sistema, tako da se is blagovremeno ukinu. vlašenja za pristup mogu bi trajna, ili privremena. Administriranje pristupa i ovlašenja je konnualan proces – novi korisniki nalozi se dodaju, a stari brišu. Praenje i ažuriranje tragova promena aplikacija nije lako, ali je važno dopus korisnicima pristup samo aplikacijama neophodnim za izvršavanje poslova. Tako e, treba uravnoteži zahteve za ekasnost servisa i evidenciju relevantnih doga aja, koja je neophodna za upravljanja i istragu kompjuterskog incidenta. Centralizovano upravljanje procesom korisnikog pristupa daje najbolje rezultate, ali je esto decentralizovano, posebno za vee IKTS, gde se administratorima regionalnih i lokalnih RM dodeljuju ovlašenja da kreiraju naloge i menjaju korisnika ovlašenja ili zahtevaju neophodne promene na centralnoj lokaciji. 7.3.1. Revizija prakse upravljanja korisnikim nalozima Praksu upravljanja korisnikim nalozima potrebno je povremeno kontrolisa na nivou aplikacija i IKTS. Treba proverava nivoe pristupa, korišenje privilegija, akvnost naloga, ažurnost upravljakih ovlašenja, kompletnost obuke korisnika itd. Kontrolu i reviziju mogu vrši: interni i spoljni revizori ili administratori zašte. Dobra praksa je da menadžer aplikacija (vlasnik podataka) meseno kontroliše sve nivoe pristupa, svih korisnika aplikacija i formalno odobrava listu pristupa. Menadžer aplikacija esto jedini zna tekue zahteve za pristupe. Nezavisni revizor sistema zašte može detaljnije ispita ovlašenja za logiki i ziki pristup.
U` {JJ O Š FOJ
297
7.3.2. Detekcija nelegalnih aktivnosti zaposlenih Pored kontrole i revizije zašte IKTS i analize kontrolnih tragova postoji nekoliko mehanizama za detekciju nelegalnih akvnos. Na primer, prevare koje zahtevaju ziko prisustvo poinioca, mogu se otkri na osnovu odsustva zaposlenog. Treba izbegava stvaranje prekomerne zavisnos od pojedinaca, posebno u državnim organizacijama i periodino obnavlja bezbednosnu proveru zaposlenih, koja može da indikacije o moguim ilegalnim akvnosma i pretnjama za IKTS. Takva lica treba iskljui, kao nepouzdana za rad u IKTS. 7.3.3. Privremena zamena i interni transeri zaposlenih Ažurno održavanje korisnikih ovlašenja za pristup je znaajan aspekt upravljanja IKTS. Korisnika ovlašenja pino se menjaju u sluaju privremene ili stalne promene posla i otkaz sa posla iz bilo kojeg razloga [2]. esto se od korisnika zahteva da izvršavaju poslove izvan njihovog delokruga rada, u toku odsustva drugih zaposlenih. vo zahteva dodatna ovlašenja pristupa, koja se moraju izdava propisno, pažljivo nadzira i bi konzistentna sa principom zajednikog obavljanja posla. va se ovlašenja moraju brzo ukloni kada više nisu potrebna. Stalne promene su neophodne kada zaposleni menjaju radno mesto u organizaciji, pa se zbog mogue zloupotrebe, obnavljaju procesi davanja ovlašenja po nalogu i ukidanja ovlašenja prethodnog korisnika [35]. 7.3.4. Ukidanje naloga U opštem sluaju, ukidanja naloga korisnika mogu bi prijateljska ili ne–prijateljska. Prijateljsko je kada se zaposleni dobrovoljno premešta, odbije da prihva drugi položaj ili ode u penziju. Ne–prijateljsko ukidanje je kada se zaposleni otpušta sa posla zbog viška ili mimo njegove volje. Prva vrsta ukidanja naloga i prava pristupa mnogo je eša, ali se obe moraju razmatra. Prijateljsko ukidanje naloga odnosi se na regularno, uzajamno saglasno udaljavanje zaposlenog iz organizacije i primenu standardnih procedura za otpuštanje/transfer zaposlenih. vo zahteva blagovremeno ukidanje naloga u IKTS, potpisivanje dokumenta o otkazu, vraanje kljueva, knjiga iz biblioteke, regulisanje drugih ne-informakih pitanja, kontrolu stanja dokumenata na vrstom disku, skladištenja i bekapovanja. Zaposlenom treba da instrukciju o išenju raunara pre odlaska. Ako je korišena kriptozašta, od zaposlenog se moraju uze i izmeni kriptografski kljuevi, oduze smart karce ili drugi autenkacioni tokeni. Mora se razmatra i obaveza uvanja poverljivos podataka i informacija i proveri da li je zaposlenom potpuno jasno, koje podatke i informacije može,
298
O Š FOJ
a koje ne može otkri na novom radnom mestu. Ne-prijateljsko ukidanje naloga je prov volje i bez pristanka zaposlenog. Ukljuuje otkaz zbog ne-prijateljskog ponašanja zaposlenog, smanjenja radnih mesta, transfer prov volje, otkaz zbog „sukoba linos“ ili iz bezbednosnih razloga i sl. Procedura ukljuuje sve akvnos kod dobrovoljnog otpuštanja sa posla, s m da je neka pitanja znatno teže rešava zbog potencijalne nesaradnje ili opstrukcije otpuštenog. Najvea pretnja od ovakve vrste otpuštanja zaposlenog dolazi od informaara koji mogu da izmene programski kôd, modikuju konguraciju sistema ili aplikacije ili na drugi nain zloupotrebe IKTS. Korekcija ovih akcija može bi zahtevna, skupa i dugotrajna. 7.3.5. Personalna zaštita spoljnih saradnika po ugovoru Saradnici pod ugovorom koji obavljaju poslove u IKTS, obino se angažuju na krai vremenski period od regularno zaposlenih, što može uca na rentabilnost zašte. Angažovanje ovih lica podrazumeva odgovarajuu bezbednosnu proveru, u zavisnos od osetljivos mesta na koje se lice angažuje. 7.3.6. Personalna zaštita u IKTS sa javnim pristupom U sistemima sa javnim pristupom (e-uprava, akademska mreža itd.), glavni zadatak IKTS je nesmetan, ekasan i efekvan javni pristup korisnika. U nekim sluajevima razmena podataka i informacija je interakvna izme u IKTS i drugih uesnika. U opštem sluaju, kada su IKTS namenjeni za javni pristup, javljaju su dodatni bezbednosni problemi zbog porasta pretnji, teže administracije i održavanja zahtevanog nivoa zašte informacija [55]. Generalno, može se tvrdi da su za sistem za javni pristup, faktori rizika vei, a esto su vea i ogranienja za korišenje objekata i servisa h sistema. Pored poveanog rizika od napada spolja, IKTS sa javnim pristupom može bi predmet malicioznih akvnos iznutra (npr. nezadovoljni zaposleni može une grešku, virus i sl. u datoteke sistema) sa ciljem nanošenja štete. Napadi na sisteme sa javnim pristupom mogu ima znaajan ucaj na reputaciju organizacije i poverenje klijenata/partnera/korisnika. Drugi bezbednosni problemi mogu nasta zbog nenamernih grešaka neobuenih korisnika. U IKTS koji nemaju javni pristup, postoje procedure za ukljuivanje korisnika u obuku, a esto se zahteva i potpisivanje izjava o odgovornos korisnika u sistemu zašte. Pored toga, mogu se formira proli korisnika, a sa sosciranim mehanizmima kontrole, mogu se otkri neuobiajene akvnos korisnika. U sistemima sa javnim pristupom korisnici su obino anonimni, što znaajno komplikuje administraciju zašte [35].
U` {JJ O Š FOJ
299
7.3.7. Uspostavljanje tima za zaštitu inormacija Tim za zaštu treba da bude sastavljen od strunjaka i profesionalaca, movisanih za rad u zaš informacija. Broj profesionalaca za zaštu informacija u svetu se procenjuje na oko 1,66 miliona (2010.), sa tendencijom rasta na 2,7 miliona (2012.). Pokazalo se da ova profesija dobro opstaje u kriznim vremenima, sa trendom rasta zarada (SANS Instute, 2008.: test grupa od 2100, od njih 4,38% imali godišnju zaradu 100.000 USD i više; 75% ima diplomu inženjera i veu). snovna podela rada u oblas zašte informacija je na – tehnike i upravljake akvnos, na bazi koje se grupišu i zadaci lanova ma za zaštu (Tabela 1). Tabela 7.1. snovna podela zadataka u mu za upravljanje zaštom informacija Tehniki
Upravljaki
Raunarske mreže
Polika zašte
Sistemski programi ( S ...)
Procedure zašte
Aplikavni programi
Uputstva zašte
Tehniki zadaci zahtevaju komandnu liniju ili graki korisniki interfejs, a akvnos zahtevaju dobro razumevanje principa zašte i tehnike implementacije i integracije. Upravljake akvnos u zaš informacija ukljuuju generisanje polike zašte, što zahteva lice, koje razume poslovne procese, podršku IKTS poslovanju, bezbednosne zahteve i osnovne principe zašte informacija. vi zadaci zahtevaju, uglavnom, procesor teksta. Iako su tehnike i upravljake akvnos razliite, potrebna je razmena informacija i me usobno razumevanje obima poslova. Na bazi osnovne podele zadataka, dele se uloge i odgovornos u zaš, a u praksi zašte, na bazi svakodnevnih akvnos, mogu se diferencira sledee proširene uloge u oblas zašte informacija (Tabela 7.2). Tabela 7.2. Proširene uloge u mu za zaštu u praksi zašte Tehnike uloge
Upravljake uloge
Tester sistema zašte (security tester)
Autor i pisac polike zašte (policy writer)
Rukovaoc incidenta (incident handler)
Portparol zašte (security communicator): markeng u zaš (svest o potrebi, obuka..) vo enje nove polike zašte
Administrator zašte: ure aja zašte (IDPS, barijera, skener) Administrator zašte: korisnikih naloga i kontrole pristupa perator nadzora sistema zašte
Koordinator zašte (security coordinator) Rukovodilac ma za zaštu (security team facilitator) Pripravnik zašte (security trainee)
Tim za UR/zaštu treba da isporui najbolje mogue servise zašte i ostvari najveu vrednost za poslovni sistem. Standardi najbolje prakse preporuuju da: 300
O Š FOJ
1. Tim za UR treba da: obezbedi scenario, na bazi procene rizika, sa predlogom akcionog plana; razumljivim jezikom upozna menadžment sa stvarnim faktorima rizika i prihva odluku o daljem postupku; evidenra sve date informacije o riziku i odluke menadžmenta; skuplja informacije o poslovnim planovima i strategiji razvoja, ak i na neformalan nain; izvrši akcije prema planu i strategiji razvoja na što bezbedniji nain i izveštava o progresu. 2. Menadžment treba da: obezbedi potrebne ljudske, nansijske i materijalne resurse i organizacionu nezavisnost ma u radu; obezbedi kriterijume, zasnovane na injenicama, potrebne za procenu prihvatljivog rizika; regularno komunicira sa Timom za UR; koris rezultate Tima za UR za razvoj strategije poslovanja i markeng, u i izvan organizacije; menja onu stranu koja ne izvršava svoje obaveze i ne sledi ova uputstva.
7.4. REZIME Personalna zašta obuhvata popunu kadrova za rad u IKTS organizacije, administraciju korisnika koji rade sa objekma IKTS, ukljuujui zabranu pristupa zaposlenih odre enim objekma IKTS, kao i posebnu administraciju pristupa javnim servisima i pristupa zaposlenih po ugovoru. Proces popune radnih mesta u IKTS generalno ukljuuje najmanje eri koraka i može se primeni, na is nain, na opšte korisnike, menadžere i specijaliste zašte: denisanje radnog mesta, odre ivanje najvišeg nivoa osetljivos informacija, popunu radnih mesta i izbor i obuku zaposlenih. Efekvno administriranje pristupa korisnika sistemu bitno je za održavanje bezbednos IKTS. Upravljanje korisnikim nalozima obuhvata idenkaciju, autenkaciju, autorizaciju, kontrolu i reviziju pristupa. Uvek postoji realna potreba kontrole i povremene modikacije naloga ili ukidanja prava pristupa i razmatranja drugih pitanja vezanih za lica koja daju ostavke, da budu unapre ena na više radno mesto, dobiju otkaz ili se penzionišu. Uloge lanova ma za zaštu biraju se na bazi osnovne podele akvnos zašte na tehnike i upravljake, kao i na bazi prakse zašte.
U` {JJ O Š FOJ
301
7.5. KLJUNI TERMINI Bezbednosna provera: utvr ivanje da li je neko lice podobno za osetljivo radno mesto. Minimum privilegija: bezbednosni zahtev da se korisniku daje samo ona vrsta pristupa koja mu treba za obavljanje posla. Osetljivost radnog mesta: nivo krinos radnog mesta za poslovanje. Personalna zašta: ukljuuje bezbednosno pokrivanje svih uesnika u IKTS.
Razdvajanje dužnos: deljenje uloga i odgovornos tako da niko nije nezamenljiv. Ukidanje naloga: može bi prijateljsko sa i neprijateljsko, bez pristanka korisnika. Upravljanje korisnikim nalozima: podnošenje zahteva, izdavanje i zatvaranje korisnikih naloga, praenje i upravljanje pravima za pristup korisnika.
7.6. PITANJA ZA PONAVLJANJE 1. Glavne faze u procesu popune radnih mesta u IKTS su: aq. denisanje, odre ivanje prola, popuna i obuka za radno mesto b. denisanje, odre ivanje osetljivos i popuna radnog mesta c. denisanje, odre ivanje osetljivos, popuna zahteva i obuka za radno mesto d. denisanje, odre ivanje osetljivos i obuka za radno mesto 2. Sistemski princip razdvajanja dužnos ukljuuje: a. bezbednosni zahtev koji oznaava da se korisnicima daju samo pristupi neophodni za obavljanje poslova b. odnosi se na deljenje uloga i odgovornos tako da ni jedan pojedinac nije nezamenljiv i da ne može sabora krine procese c. denisanje dužnos zaposlenih na više radnih mesta d. oznaava da korisnici imaju ekstremno malo prava pristupa objekma sistema 3. Sistemski princip davanje minimuma privilegija ukljuuje: a. bezbednosni zahtev koji oznaava da se korisnicima daju samo pristupi neophodni za obavljanje poslova
302
O Š FOJ
b. odnosi se na deljenje uloga i odgovornos tako da ni jedan pojedinac nije nezamenljiv i da ne može sabora krine procese c. denisanje radnih mesta i dužnos zaposlenih d. oznaava da korisnici imaju ekstremno malo prava pristupa objekma sistema 4. Krini faktor personalne zašte za organizaciju ukljuuje: a. obuku zaposlenih b . upravljanje korisnikim zahtevima c. upravljanje personalnom zaštom d. popunu radnih mesta 5. Proces upravljanja korisnikim nalogom obuhvata sledee kljune faze: a. podnošenje zahteva, otvaranje, izdavanje i zatvaranje korisnikih naloga, praenje korisnika i njihovih autorizacija, upravljanje ovim funkcijama b. podnošenje zahteva, otvaranje, izdavanje i zatvaranje korisnikih naloga, c. upravljanje zahtevima, otvaranje i zatvaranje naloga i praenje autorizacija 6. Koju meru najpre treba preduze kada je otpušten radnik koji ima RS i pristup LAN– u?:
a. ukidanje korisnikog naloga b. izmena korisnike lozinke i zabrana pristupa raunaru c. oduzimanje kljueva od kancelarije 7. Ukidanje korisnikih naloga u opštem sluaju se može okarakterisa kao: a. službeno i neslužbeno, b. prijateljsko i ne-prijateljsko c. pravedno i nepravedno 8. Angažovanje spoljnih saradnika u zaš IKTS: a. zahteva obavezno bezbednosnu proveru b. ne zahteva bezbednosnu proveru c. zahteva bezbednosnu proveru u zavisnos od osetljivos radnog mesta 9. Proli lanova ma za upravljanje rizikom/zaštom informacija, dele se na bazi osnovne podele rada u oblas zašte informacija: a. sovera i hardvera b. tehnike i upravljake c. raunarskog sistema i raunarske mreže d. kontrola zašte i polika zašte 10. Povežite odgovarajue tehnike i upravljake zadatke lanova ma za zaštu: 1. 2. 3.
Tehniki Raunarske mreže Sistemski programi ( S ...) Aplikavni programi
Upravljaki a. Procedure zašte b. Uputstva zašte c. Polika zašte
11. Povežite uloge u organizaciji sa zadacima u zaš informacija: Uloga
Tim za zaštu/ UR
Menadžment organizacije
Zadaci a. b. c. d. e. f. g. h. i. j.
obezbedi scenario, na bazi procene rizika, sa predlogom akcija obezbedi vrste kriterijume potrebne za procenu prihvatljivog rizika obezbedi potrebne resurse i organizacionu nezavisnost ma u radu koris rezultate ma za UR za razvoj strategije poslovanja i markeng vrši akcije prema planu razvoja na što bezbedniji nain i izveštava evidenra sve date informacije o riziku i odluke menadžmenta razumljivim jezikom upozna menadžment sa rizikom i prihva odluku da regularno komunicira sa mom za UR skuplja informacije o poslovnim planovima i strategiji razvoja stranu koja ne slede ova uputstva, treba menja
U` {JJ O Š FOJ
303
8.
UPRAVLJANJE OBUKOM I OBRAZOVANJEM U ZAŠTITI
8.1. UVOD „acioni paket obino sadrži pregledan i po potrebi dopunjen plan zašte, izveštaj ST&E razvojnog i/ili operavnog sistema, završni izveštaj o proceni rizika i izjavu serkatora. Plan zašte ima centralnu ulogu u oblas upravljanja rizikom, S/A procesima i u dokumentovanju zašte IKTS. rganizacija koja ima kompleran plan zašte pre poetka S/A procesa, može ga koris u pre-serkacionim akvnosma, a koja nema, može uze potrebne informacije iz plana za pre-serkacione akvnos za odre eni S/A proces. Ukoliko je plan zašte izra en pre procene rizika, treba ga dopuni rezultama procene rizika. DAA ima diskreciono pravo da u plan zašte ukljui dodatne informacije [62]. Izveštaj ST&E je osnovna komponenta S/A procesa. ST&E odre uje uskla enost IKTS sa bezbednosnim zahtevima iz plana zašte i verikuje da li su, u planu idenkovane kontrole zašte, korektno i ekasno primenjene. U` {JJ O Š FOJ
321
ST&E se može primeni za sisteme u procesu razvoja i u procesu rada IKTS. Proces ST&E sistema u razvoju primenjuje se za nove sisteme u fazi razvoja i akvizicije ili reinženjeringa sistema. Izveštaji pino sadrže rezultate ispivanja i procene hardvera, sovera i rmware, analize arhitekture i funkcionalnog tesranja, a koriste se za verikaciju korektnos implementacije, ekasnos i efekvnos tehnikih kontrola zašte, u skladu sa primenjenim standardima. Više se oslanja na detaljnu projektnu dokumentaciju sistema, a primenjuje se za pske akreditacije, kao me ukorak pre izvršavanja akreditacije na radnoj lokaciji. Proces ST&E sistema u radu primenjuje se za nove ili modikovane sisteme, po isporuci i završetku instalacije u fazi implementacije ili na postojeim sistemima u fazi rada/održavanja. Izveštaj pino sadrži rezultate tesranja i evaluacije lokalnog IKTS, koji se odnose na verikaciju korektnos implementacije, efekvnos U, i T kontrola zašte i uskla enos sa bezbednosnim zahtevima. Može da ukljui i funkcionalno tesranje, tesranje na promene i analizu ranjivos. Za reinženjering sistema u postupku S/A koriste se izveštaji ST&E sistema u razvoju i u radu. Izveštaj o proceni rizika dokumentuje rezultate procene rizika, koji su osnova za procenu efekvnos kontrola zašte i donošenje odluke o prihvatljivos preostalog rizika. Za svaki preostali rizik, obrazlažu se razlozi za prihvatanje ili odbijanje rizika, kao i za implementaciju novih kontrola zašte za smanjenje rizika. Serkator procenjuje izveštaj procene rizika i odre uje pouzdanost podataka. Izveštaj serkatora za DAA zasniva se na informacijama iz izveštaja o proceni rizika i drugim dokumenma. DAA koris izveštaj o proceni rizika i druga dokumenta serkacionog paketa, da bi doneo akreditacionu odluku. Izveštaj serkatora daje pregled statusa bezbednos sistema i dovodi u vezu sve potrebne informacije za DAA, koji donosi odluku, zasnovanu na informacijama i proceni rizika. Izveštaj dokumentuje korektnost implementacije i efekvnost kontrola zašte, kontrole koje nisu implemenrane ili primenjivane i predlaže korekvne postupke. 9.3.2. Tipovi i proces akreditacije U odnosu na p IKTS za S/A, uobiajeno se izdvajaju tri pa procesa akreditacije: (1) akreditacija sistema, (2) pska i (3) lokacijska akreditacija (Sl. 9.3a). rganizacija bira p akreditacije, koji najviše odgovara njenim potrebama [62].
322
O Š FOJ
a)
b)
Sl. 9.3. Akreditacija sistema – (a) i pska akreditacija – (b) [1] Akreditacija sistema je naješi oblik akreditacije IKTS za glavnu aplikaciju ili sistem za opštu podršku, na odre enoj lokaciji, sa specinim ogranienjima okruženja. Serkacioni proces verikuje sve bitne elemente U, i T kontrola, a rezultat je akreditacija rada na prihvatljivom nivou preostalog rizika. Tipska akreditacija (Sl. 9.3b) izdaje se za IKTS za glavnu aplikaciju ili opštu podršku, koji sadrže uobiajeni skup hardvera, sovera i rmware, a distribuirani su na više lokacija u pinom radnom okruženju. DAA mora da izjavu o preostalom riziku i jasnu deniciju radnog okruženje, idenkova specino korišenje sistema, ogranienja i procedure pod kojim sistem može da radi. Znaajno se smanjuje vreme trajanja procene, jer je lokalnoj organizaciji dostavljena poetna dokumentacija potrebna za akreditaciju, ukljuujui i posebne procedure za bezbednost rada. Proces ST&E treba uradi u centru za tesranje i integraciju ili samo na jednoj od predvi enih radnih lokacija. Instalaciju i konguraciju sistema zašte treba tesra na svakoj radnoj lokaciji. Lokalno zaposleni su odgovorni za nadzor usaglašenos radnog okruženja sa odobrenom konguracijom, koja je opisana u dokumentaciji o akreditaciji. Lokacijska akreditacija (Sl. 9.4) može se izda za sisteme za glavnu aplikaciju i/ili za opštu podršku, koji se nalaze na istoj lokaciji, u istom okruženju i sa ism faktorima rizika, a dele zajedniku strategiju i imaju uporedive ranjivos.
U` {JJ O Š FOJ
323
Slika 9.4. Lokacijska akreditacija [1] U fazi akreditacije dovršava se konana procena rizika za da IKTS, ažurira plan zašte, sumiraju rezulta serkacije i donosi odluka o akreditaciji. Konana procena rizika zasniva se na rezultama ST&E iz faze serkacije. Serkacioni paket sadrži sve informacije, koje DAA koris za odluku o akreditaciji. aza akreditacije sadrži eri koraka: (1) konanu procenu rizika, (2) ažuriranje plana zašte, (3) zakljuci iz faze serkacije i (4) donošenje odluke o akreditaciji. Na osnovu informacija iz serkacionog paketa, DAA razmatra preostali rizik za sistem i odluuje da li da autorizuje rad sistema i prihva preostali rizik. Kada donosi konanu odluku, DAA može izda: (1) potpunu, (2) deliminu (privremenu, uslovnu) i (3) odbijenu (ne prihvaenu) akreditaciju [62]. Potpuna akreditacija potvr uje da su bezbednosni zahtevi zadovoljavajui, kontrole zašte korektno implemenrane, primenjivane i efekvno rade. Sistem je ovlašen za rad u okruženju, navedenom u planu zašte, sa nekoliko restrikcija u procesiranju (ako ih ima). DAA izdaje akreditaciono pismo sa dokumentacijom u prilogu, koja potvr uje akreditacionu odluku. va informacija je deo nalnog akreditacionog paketa. Akreditaciona odluka koju daje DAA opisana je u završnom akreditacionom paketu, koji obino sadrži: (1) akreditaciono pismo, (2) plan zašte i (3) izveštaje, koji dokumentuju osnovu za akreditacionu odluku. U veini sluajeva akreditacioni paket se izvodi iz serkacionog, a mogu se izostavi i osetljive informacije iz plana zašte, ST&E izveštaja i izveštaja o proceni rizika. Delimina akreditacija potvr uje da nema usaglašenos sa svim bezbednosnim zahtevima iz plana zašte i svim kontrolama zašte – nisu primenjene ili ne rade efekvno. Potreba za sistemom je krina, pa se pušta u rad, jer ne postoje druge mogunos. Da bi se smanjio poveani rizik, ova akreditacija odobrava privremeni rad sistema, u odre enom periodu i pod odre enim uslovima, do potpune akreditacije sistema, što se specicira u odluci DAA. Sve se restrikcije pažljivo kontrolišu, a akreditacioni akcioni plan je razvijen, tako da omoguava: akviranje kapaciteta za brzi oporavak i uspostavljanje rada IKTS, deliminu akreditaciju samo za krine funkcije sistema, dostupnost resursa za kompleranje akcionog plana i S/A zadataka, završetak akcionog plana u 324
O Š FOJ
okviru vremena koje specicira DAA, smanjenje rizika do najnižeg mogueg nivoa i prihvatljivost preostalog rizika. DAA izdaje odgovarajue akreditaciono pismo prema utvr enim uslovima i restrikcijama i po potrebi podnosi dodatnu dokumentaciju. Tipske akreditacije mogu se smatra deliminim, sve dok se ne izvrši operavna ST&E, ne zadovolje odgovarajui lokalni bezbednosni zahtevi i dok se lokalne kontrole zašte pravilno ne implemenraju i efekvno ne primenjuju. Kada se izda ova akreditacija, DAA na operavnoj lokaciji prihvata odgovornos za bezbednost sistema i informacija. Odbijena akreditacija potvr uje da sistem ne odgovara bezbednosnim zahtevima i kontrolama, navedenim u planu zašte; preostali rizik je neprihvatljivo visok, a akvnos sistema nisu krine za trenutne potrebe organizacije. Sistem u razvoju nije ovlašen za dalji razvoj, a sistem u radu se zaustavlja. DAA izdaje akreditaciono pismo o neprihvatanju rezultata serkacije, ukljuujui dodatnu dokumentaciju, koja potvr uje odluku o odbijanju akreditacije. Primeri uzoraka teksta odluka o potpunoj, deliminoj i odbijenoj akreditaciji i izveštaja serkatora da su u literaturi [62]. Problem akreditacija velikih i kompleksnih sistema rešava se denisanjem granica i obima S/A, dekomponovanjem složenog sistema i izvršavanjem procesa S/A h komponen. Akreditacija složenog sistema može da sadrži jednu ili više komponen podsistema, serkovanih na odgovarajuem nivou, na bazi dokumentovanog nivoa kontrola zašte. Serkacioni paket je modikovan tako da ukljuuje po jedan ST&E izveštaj za svaku komponentu podsistema, zajedno sa nalnim izveštajem o proceni rizika složenog sistema. 9.3.3. Faza post–akreditacije U ovoj fazi se monitoriše status IKTS, kako bi se utvrdilo da li ima znaajnih izmena u konguraciji sistema ili u okruženju, koje mogu ima ucaje na CIA informacija. Nadzor sistema je neophodan, da bi se održao prihvatljiv nivo preostalog rizika. Kada su promene sistema ili okruženja znaajne, u odnosu na zaštu sistema, poinju akvnos za re-akreditaciju. aza postakreditacije ima tri koraka: (1) ažuriranje procene rizika, (2) ažuriranje opisa sistema i okruženja i (3) re-akreditacija i odlaganje sistema. aza post-akreditacije je konnualan proces, kojim se ukazuje na dinamine promene tehnologije za podršku poslovnih ciljeva i misije organizacije. Uputstvo za izradu procedure za planiranje procesa S/A dato je literaturi [35].
U` {JJ O Š FOJ
325
9.4. REZIME Serkacija je postupak tehnike i ne-tehnike evaluacije kontrola zašte IKTS, koji obezbe uje neophodne informacije za proces akreditacije, kroz kvalitavnu verikaciju U, i T kontrola zašte. Akreditacija je proces autorizacije sistema za rad na prihvatljivom nivou rizika, posle glavne modikacije ili razvoja novog IKTS, a obavlja je ovlašeni entet. Akreditacijom menadžment prihvata preostali rizik. Metodologija razvoja procesa S/A obuhvata denisanje uloga i odgovornos, idenkovanje IKTS za S/A, izbor pa akreditacije, upravljanje procesom S/A i izradu S/A dokumentacije. snovna namena serkacije je denisanje korektnos implementacije i efekvnos kontrola zašte. Denisana su tri bezbednosna nivoa: nizak (SLC1), srednji (SLC2) i visok (SLC3). Ser>acioni paket je konani skup dokumenata, koje priprema serkator/m za akreditatora, a obino sadrži plan zašte, ST&E izveštaj za sistem u razvoju ili u radu, završni izveštaj o proceni rizika i izjavu serkatora. Na osnovu ovih dokumenata, akreditator donosi odluku o potpunoj, deliminoj ili odbijenoj akreditaciji. Akreditacioni paket potpune akreditacije obino sadrži akreditaciono pismo, plan zašte i serkacione izveštaje, koji su osnova za akreditacionu odluku. Delimina akreditacija za osnovnu primenu sistema, privremena je potvrda za rad sistema u odre enom periodu i pod odre enim uslovima, do potpune akreditacije, što se specicira u odluci akreditatora. Ako sistem ne odgovara bezbednosnim zahtevima i kontrolama zašte, navedenim u planu zašte, preostali rizik je neprihvatljivo visok, a akvnos sistema nisu krine za trenutne potrebe organizacije, akreditacioni entet odbija akreditaciju. Proces S/A sadrži faze: predserkacije – sadrži šest zadataka; serkacije – verikuje korektnost implementacije i efekvnost kontrola zašte i obuhvata procenu rizika, reviziju polike, projektne dokumentacije, plana i procedura zašte; akreditacije – sadrži eri zadatka: konanu procenu rizika, ažuriranje plana zašte, zakljuke serkacije i odluku o akreditaciji i postakreditacije – monitoriše status datog IKTS i promena, koje mogu uca na CIA informacija, a sadrži ažuriranje procene rizika i stanja sistema i okruženja, re-akreditaciju i odlaganje sistema. Akreditacija velikih i kompleksnih sistema rešava se denisanjem granica procesa S/A, dekomponovanjem složenog sistema i sa S/A h komponen.
326
O Š FOJ
9.5. KLJUNI TERMINI Akreditacija: zvanina odluka menadžera da ovlašuje rad nekog zašenog IKTS i da eksplicitno prihvata preostali rizik za poslove i imovinu organizacije. Akreditacioni paket: skup dokaza za akreditatora (plan zašte, rezulta procene rizika i serkacije i plan akcije), koji se koriste u procesu donošenja akreditacione odluke. Akreditator: entet/zvanino lice sa ovlašenjem da formalno preuzme odgovornost za rad zašenog IKTS, na prihvatljivom nivou rizika za poslove i imovinu organizacije. Glavna aplikacija: aplikacija koja zahteva specijalnu zaštu zbog rizika i veliine štete od gubitka, zloupotrebe, neovlašenog pristupa ili modikacije informacija i aplikacije.
Granice akreditacije: sve komponente IKTS koje treba akreditova, iskljuujui povezane, posebno akreditovane sisteme. Serkacija: sveobuhvatna procena U, i T kontrola u IKTS, koja se izvršava kao podrška procesa akreditacije i daju željene rezultate u odnosu na bezbednosne zahteve. Sistem za opštu podršku (General Support System): skup me usobno povezanih RS pod ism sistemom upravljanja, koji imaju zajednike funkcionalnos.
9.6. PITANJA ZA PONAVLJANJE 1. Kljune uloge u programu serkacije i akreditacije su: a. imenovani entet za akreditaciju ili akreditator b. serkator c. administrator sistema d. rukovodilac programa ili vlasnik sistema e. specijalista za zaštu f. administrator mreže 2. snovni povi akreditacije IKTS su: a. akreditacija sistema b. akreditacija mreže c. pska akreditacija d. lokacijska akreditacija e. lokalna akreditacija 3. Procese serkacije je: a. formalna autorizacija ili odobrenje za rad IKTS i (pod)sistema zašte. b. procena kontrola zašte IKTS, koja obezbe uje neophodne informacije za ovlašenog menadžera da donese odluku za puštanje sistema u rad
c. procena rizika i kontrola sprovo enja polike zašte 4. Proces akreditacije je: a, formalna autorizacija ili odobrenje IKTS za rad posle integracije (pod)sistema zašte b. procena kontrola zašte IKTS koja obezbe uje neophodne informacije za ovlašenog menadžera da donese odluku za puštanje sistema u rad c. procena rizika i kontrola sprovo enja polike zašte 5. Glavne faze procesa serkacije i akreditacije: a. faza pripreme b. faza pred–serkacije c. planiranje serkacije d. faza serkacije e. faza akreditacije f. planiranje akreditacije g. faza post–akreditacije
U` {JJ O Š FOJ
327
6. Revizija procene rizika u fazi serkacije obuhvata: a. formulisanje kontrole pristupa (AC), kontrole zašte, upravljanje vanrednim doga ajem i upravljanja incidentom, na bazi rezultata procene rizika b. zadatke administracije zašte, kontrolne zadatke tesranja proakvne zašte i plana vanrednih doga aja c. kontrolu uskla enos procena rizika sa zahtevima, što nije neophodno, jer je primarni rezultat procene rizika da obezbedi listu prioritetnih mera zašte d. dokumenta koja se zahtevaju za serkaciju ukljuuju dijagrame mrežne kapije, logiki dijagram i dijagram infrastrukture sistema, koncept rada, listu obaveznih i zahteva na bazi procene rizika i listu krinih konguracija e. proveru krinih komponen konguracije, kojom se verikuje da li korišeni ala ispunjavaju zahteve i da li su iskorisvi 7. Revizija dokumentacije polike zašte u faza serkacije obuhvata: a. formulisanje kontrole pristupa (AC), kontrole zašte, upravljanje vanrednim doga ajem i upravljanja incidentom, na bazi rezultata procene rizika b. zadatke administracije zašte, kontrolne zadatke tesranja proakvne zašte i plana vanrednih doga aja c. kontrolu uskla enos procena rizika sa zahtevima, što nije neophodno, jer je primarni rezultat procene rizika da obezbedi listu prioritetnih mera zašte d. dokumenta koja se zahtevaju za serkaciju – dijagrame mrežne kapije, logiki dijagram i dijagram infrastrukture sistema, koncept rada, listu obaveznih i zahteva na bazi procene rizika i listu krinih konguracija e. proveru krinih komponen konguracije, kojom se verikuje da li korišeni ala ispunjavaju zahteve i da li su iskorisvi 8. Revizija tekue konguracije u faza serkacije obuhvata:
328
O Š FOJ
a. formulisanje kontrole pristupa (AC), kontrole zašte, upravljanje vanrednim doga ajem i upravljanja incidentom, na bazi rezultata procene rizika b. zadatke administracije zašte, kontrolne zadatke tesranja proakvne zašte i plana vanrednih doga aja c. preporuuje se da procena rizika bude u skladu sa zahtevima, što nije neophodno. Primarni rezultat procene rizika je da obezbedi listu prioritetnih mera zašte. d. dokumenta koja se zahtevaju za serkaciju – dijagrame mrežne kapije, logiki dijagram i dijagram infrastrukture sistema, koncept rada, listu obaveznih i zahteva na bazi procene rizika i listu krinih konguracija e. proveru krinih komponen konguracije, kojom se verikuje da li korišeni ala ispunjavaju zahteve i da li su iskorisvi 9. Revizija projektne dokumentacije u faza serkacije obuhvata: a. formulisanje kontrole pristupa (AC), kontrole zašte, upravljanje vanrednim doga ajem i upravljanja incidentom, na bazi rezultata procene rizika b. zadatke administracije zašte, kontrolne zadatke tesranja proakvne zašte i plana vanrednih doga aja c. kontrolu uskla enos procena rizika sa zahtevima, što nije neophodno, jer je primarni rezultat procene rizika da obezbedi listu prioritetnih mera zašte. d. dokumenta koja se zahtevaju za serkaciju – dijagrame mrežne kapije, logiki dijagram i dijagram infrastrukture sistema, koncept rada, listu obaveznih i zahteva na bazi procene rizika i listu krinih konguracija e. proveru krinih komponen konguracije 10. Revizija planova i procedura u faza serkacije obuhvata: a. formulisanje kontrole pristupa (AC), kontrole zašte, upravljanje vanrednim doga ajem i upravljanja incidentom, na bazi rezultata procene rizika
b. zadatke administracije zašte, kontrolne zadatke tesranja proakvne zašte i plana vanrednih doga aja c. kontrolu uskla enos procena rizika sa zahtevima, što nije neophodno, jer je primarni rezultat procene rizika da obezbedi listu prioritetnih mera zašte d. dokumenta koja se zahtevaju za serkaciju – dijagrame mrežne kapije, logiki dijagram i dijagram infrastrukture sistema, koncept rada, listu obaveznih i zahteva na bazi procene rizika i listu krinih konguracija e. proveru krinih komponen konguracije 11. Kljuni koraci faze akreditacije su: a. implementacija plana akreditacije b. konana procena rizika c. tretman rizika d. ažuriranje plana zašte e. izrada programa zašte f. izvlaenje zakljuaka iz faze serkacije g. donošenje odluke o akreditaciji 12. Akreditacija može bi: a. potpun, delimina, odbijena b. otvorena, zatvorena i kodirana c. javna, tajna i interna 13. Akreditacija sistema je: a. naješi oblik akreditacije IKTS za glavnu aplikaciju ili za opštu podršku na nekoj lokaciji sa specinim okruženjem b. za IKTS za glavnu aplikaciju ili opštu podršku, koji sadrže uobiajen skup hardvera, sovera i rmware, a distribuirani su na više lokacija u pinom okruženju c. za IKTS za glavnu aplikaciju ili opštu podršku, koji se nalaze na istoj lokaciji, u istom okruženju i sa ism faktorima rizika i uporedivim ranjivosma 14. Tipska akreditacija je: a. naješi oblik akreditacije IKTS za glavnu aplikaciju ili za opštu podršku na nekoj lokaciji sa specinim okruženjem b. za IKTS za glavnu aplikaciju ili opštu podršku, koji sadrže uobiajen skup hardvera, sovera i rmware, a distribuirani su na više lokacija u pinom okruženju
c. za IKTS za glavnu aplikaciju ili opštu podršku, koji se nalaze na istoj lokaciji, u istom okruženju i sa ism faktorima rizika i uporedivim ranjivosma 15. Lokacijska akreditacija je: a. naješi oblik akreditacije IKTS za glavnu aplikaciju ili opštu podršku na lokaciji sa specinim okruženjem b. za IKTS za glavnu aplikaciju ili opštu podršku, koji sadrže uobiajen skup hardvera, sovera i rmware, a distribuirani su na više lokacija u pinom okruženju c. za IKTS za glavnu aplikaciju ili opštu podršku, koji se nalaze na istoj lokaciji, u istom okruženju i sa ism faktorima rizika i uporedivim ranjivosma 16. Akreditacioni paket obino sadrži: a. akreditaciono pismo, plan zašte i izveštaj b. akreditaciono pismo, serkacioni paket i izveštaj c. akreditaciono pismo, verikacioni paket i izveštaj 17. Glavni zadaci faze post–akreditacije su: a. ažuriranje procene rizika b. ažuriranje plana tretman rizika c. ažuriranje opisa sistema i okruženja d. re-akreditacija i odlaganje sistema
U` {JJ O Š FOJ
329
9.7. LITERATURA [1]
American Bar Associaon, Secon of Science &Technology Law, Privacy & Computer Crime Commi@ee, Internaonal Strategy for Cyberspace Security, www.abanet.org/abapubs/books/cybercrime/, 2003. [2] Australian Communicaons–Electronic Security Instrucon 33, Security Handbook, h@p://www.acsi.com, 2002 [3] Bahan, C, The Disaster Recovery Plan, h@p://www.sans.org, 2003. [4] BITS & Shared Assessments, An Integrated Approach: ISO 27001 and BITS Shared Assessments Program, A Perspecve of BSI Management Systems and the Shared Assessments Program, BITS, www.bsiamerica.com, www. bitsinfo.org/sap, 2008. [5] BSI (ederalni IS Nemake), IT Baseline Protecon Manual, hp://www.bsi. bund. de/gshb, juli 2005. [6] Canada, A Guide to Business Connuity Planning, Last modied 2/3/2005, h@p://www.ocipep.gc.ca/info_pro/ self_help_ad/general/busi_cont_e.asp, 2005. [7] Computer Security Incident Response Team (CSIRT), Frequently Asked Quesons (FAQ), h@p://www..cert.org/csirts/ csirt_faq.html, 2006. [8] CERT Coordinang Center, Security of the Internet, “Firewalls,” Carnegie Mellon University, SEI, h@p://www.cert.org/ rewalls_notes/index.hatml, 2003. [9] CRAMM, www.crammusergroup.org.uk, 2008. [10] Domarev, V.,
!"$
, hp://www.security.ukrnet. net/, 1997. [11] Drake, D. L., Morse K. L., The Security – Specic Eight Stage Risk Assessment Methodology, Proceedings of the 17th Naonal Computer Security Conference, Balmore, Maryland, 1994.
330
O Š FOJ
[12] Ewell, V., C., A methodology to the madness, The Informaon Security, str 21–31, juni 2009. [13] Ewell, V., C., A methodology to the madness, The Informaon Security, str 21–31, juni 2009. [14] ord, W., Baum M.S., Secure Electronic Commerce, Prence Hall PTR, 2001. [15] reeman, W., Business Resumpon Planning: A Progressive Approach, Version 1.2f, SANS Instute, www.sans.org, 2002. [16] Humphrey A., Beyond Buy–In: The Case for Execuve Level Involvement in Developing a Business Connuity Plan, GIAC Security Essenals Cercaon (GSEC), h@p://www.gsec.org, 2005. [17] SANS Instute, Informaon Security Policy & Best Pracces, h@p://www. sans. org/policies, 2009. [18] ISACA, Standards for Informaon Systems Control Professionals, h@p://www. isaca.org, 1999. [19] ISACA, IS Auding Guideline: Applicaon Systems Review, Document no. 060.020.020, h@p://www.isaca.org, 2003. [20] ISACA, IS Auding Procedure: Security Assessment Penetraon Tesng and Vulnerability Analysis, Document no.8, h@p://www.isaca.org, 2004. [21] IS, The Standard for Good Pracce for Informaon Security, h@p://www.isf. org, Ver.4, 2007. [22] IS /IEC 21827 (SSE CMM), System Security Engeneering Capability Maturity Model, h@p://www.iso.21827.org., 2008. [23] IS /IEC 27001, Informaon Security Management System, h@p://www. iso.27001.org, 2008. [24] IS /IEC 27005, hp://www. iso.27005. org, 2008. [25] IS /IEC 13335, Gudelines for the management of IT Security, h@p://www. iso.13335.org, 2003.
[26] IS /IEC 15408, Common Criteria/ITSEC, h@p://www.iso.15408.org, 2003. [27] IT Governance Instute, COBIT: Control Objecves for Informaon and related Technology, 3rd Edion, www.ITgovernance.org,www.isaca.org, 2000. [28] e\rey, R. W., Karen, M. ., P3I – Protecon Prole Process Improvement, Arca Systems, Inc.,
[email protected],
[email protected], 2004. [29] Kossakowski K., DFN CERT: Bibliography of Computer Security Incident Handling Documents, h@p://www.cert.dfn.de/ eng/pre99papers/certbib.html, avgust 2003. [30] Kissel R., Scholl M. i dr., Guidelines for Media Sanizaon, NIST SP 800–88, 2006. [31] Laliberte, B., Re–architecng Disater recovery Soluons Leveraging WAN Opmizaon Technology, ESG – Enterprise strategy group, white paper, 2009. [32] Manzuik S., Pfeil K., Network Security Assessment–from vunerability to patch, Syngress, 2007 [33] Markus G. K., Compromising emanaons: eavesdropping risks of computer displays, December 2003. [34] Mehdizadeh Y. Convergence of Logical and Physical Security, SANS Instute, h@p://www.sans.org, 2004. [35] Milosavljevi M., Grubor G, Osnovi bezbednos i zašte informacionih sistema, Univerzitet Singidunum, 2006. [36] Milosavljevi M., Grubor G, Istraga kompjuterskog kriminala - metodoloko tehnološke osnove, Univerzitet Singidunum, 2009 [37] Naonal Computer Security Center, Cercaon and Accreditaon Process Handbook for Cerers, NCSC–TG–031, Version 1, 1996. [38] Naonal State Auditors Associaon&US General Accounng *ce, Management Planning Guide for Informaon Systems Security Auding, h@p://www. isaca.org, 2001.
[39] Naval Research Laboratory, USA, Handbook for the Computer Security Cercaon of Trusted Systems, h@p://www. itd.nrl.navy.mil/ITD/5540/ publicaons/ handbook, 1995. [40] NIST SP 800–3, Establishing a Computer Incident Response Capability, h@p:// www.nist.gov/publicaons, 1999. [41] NIST SP 800–12, An Introducon to Computer Security: The NIST Handbook, h@p://www.nist.gov/publicaons, verzija 2004. [42] NIST SP 800–14, Genaerally Accepted Principles and Pracces for Security, h@p://www.nist.gov/publicaons, 2002. [43] NIST SP 800–16, Informaon Technology Security Training Requirements: A Role– and Performance–Based Model, h@p:// www.nist.gov/publicaons,1998. [44] NIST SP 800–18, Guide for Developing Security Plans for IT Systems, h@p:// www.nist.gov/publicaons,1998/2005. [45] NIST SP 800–61, Computer Security Incident Handling Guide, h@p://csrc.nist. gov/ publicaons/nistpubs/index.html, 2004. [46] CTAVE®Method Implementaon Guide, hp://www.cert.org/octave/osig.html, 2008. [47] ppliger R., Security Technologies for the World Wide Web, Artech House, ISBN 1–58053–045–1, 2000. [48] rlandi, E., The Cost of Security, The Carnahan Conference on Security Technology, IEEE Press, New York, New York, 1991. [49] zier, W., Risk Analysis and Assessment, Handbook of Informaton Security Management, CRC Press, Boca Raton, lorida, 1999. [50] Pankaj, G., CS497 – Security engineering and soware engineering, Indian Instute of technology, Kanpur, India, e–mail: [pankajgo]@cse.iitk.ac.in, 2005. [51] Patrick, ., Organizaonal Informaon Security From Scratch – A Guarantee For Doing It Right, SANS Instute, h@p:// www.sans.org, 2000.
BO FOO
331
[52] Persson, E., Digital Identy Service in Sweden, Proc. of Informaon Security Soluon Europe Conference, ISSE 2002, Paris, ctober 2–4, 2002. [53] Petrovi, R. Slobodan, Kompjuterski kriminal, II Izdanje, MUP R. Srbije, 2004. [54] Petrovi, R.S., ekerevac, Z., Grubor, G., Security System Engineering Capability Maturity Model in The ICT Security, 10. me unarodna nauna konferencija “Rešavanje kriznih situacija u specinim prostorima”, akultet specijalnog inženjerstva, U, ilina, Slovaka, 2006. [55] Purser, S., A praccal guide to managing informaon security, Artech House, Boston, London, hp://www.artechhouse.com, 2005. [56] RealSecure, h@p://www.realsecure.org/ security/policies, 2003. [57] RC 2196, Site Security handbook, h@p://www.faqs.org/rfc/rfc2196.html, 1997. [58] RC 792, RC 1256, RC 950, hp:// www.icann.rfcwditor.org, 2006. [59] Richardson, R., CSI 2008 Security Survey, strana 15. h@p://www.gocsi.com/, 2008. [60] Ridgway, L. E., Disaster Recovery: Survivability & Security. Version 1.4b GIAC Praccal Assignment, 2003. [61] Ross, R., Katzke, S., NIST SP 800–53, A, B, C, Recommended Security Controls for Federal IS, h@p://csrc.nist.gov/publicaons/nistpubs/800–53/sp800–53.pdf, 2005. [62] Ross, R., Swanson, M., Guidelines for the Security Cercaon and Accreditaon of Federal Informaon Technology Systems, NIST SP 800–37, h@p://csrc. nist. gov/publicaons /dras/sp800– 37–Draver2.pdf, 2004. [63] SANS Instute, Informaon Security Policies & Best Pracces, www.sans.org, 2009. [64] SANS Instute, Introducon to business connuity planning, www.sans.org, 2009.
332
O Š FOJ
[65] Savola, R., Measurement of Security in Processes & Products,
[email protected], 2005. [66] Schell, P.G., McLeod, r. R., Management Informaon Systems, 9.izdanje, Pearson Prence Hall, SAD, 2004. [67] Stoneburner, G., & all, Risk Management Guide for Informaon Technology Systems, SP 800–30, h@p://csrc.nist. gov/ publicaons, 2002. [68] Stoneburner, G., Hayden, C. i eringa, A., Engineering Principles for Informaon Technology Security (A Baseline for Achieving Security), NIST SP 800–27, h@p://csrc.nist.gov/publicaons/nistpubs/800–27/sp800–27.pdf,, 2004. [69] Tanasijevi, P., Physical Infrastructure – Base for IT Centre Security, Tehnicom Computers, THNK Group, IDC konferencija, Beograd, 2006. [70] UK Department of Industry, A Taxonomic Model of Trusted Third Party Services, Gamma Secure Systems, Diamond House, rimley Road, Camberley, 2002. [71] UK IT Security Evaluaon & Cercaon Scheme Cercaon Body, UK IT Security Evaluaon and Cercaon Scheme, www.uk.it.secscb.com, V. 3.0, 1996. [72] US Department of Homeland Security, Federal Computer Incident Response Center: Incident Handling Checklists, h@p://www.fedcirc.gov/incident Response/IHchecklists.html, 2003. [73] USA CERT, h@p://www.uscert.org, 2005. [74] Vellique@e, D., Computer Security Consideraons in Disaster Recovery Planning, GIAC Security Essenals Cercaon (GSEC) V1.4b pon1, www.gsec. org, 2004. [75] Wilson Mark and Hash oan, Building an Informaon Technology Security Awareness and Training Program, NIST SP 800–50, h@p://www.nist.gov/publicaons, 2003 [76] Zadjura, ., An Introducon to Cercaon and Accreditaon, SANS Instute, V. 1.4, 2003.
INTERNET IZVORI: h@p://www.fas.org/irp/eprint/tempest.htm, (Pristupljeno 23.03.2010). .h@p://www.phrack.org/show.php, (Pristupljeno 27.04.2010). h@p://www.helpnet.securitynews.com, (Pristupljeno 21.05.2010).. h@p://www. csrc.nist.gov/publicaons, (Pristupljeno 13.04.2010). h@p://www..cert.org, 2006, (Pristupljeno 23.05.2010). h@p://www.cert.org/incident_notes/index. html,(Pristupljeno 21.04.2010). hp://www.ciac.org/ciac, (Pristupljeno 23.04.2010). h@p://www.fas.org/irp/eprint/tempest.htm, (Pristupljeno 3.07.2010). h@p://www.rst.org/team–info, (Pristupljeno 3.06.2010). h@p://www.phrack.org/show.php, (Pristupljeno 7.08.2010). h@p://www.sans.org/polics.html, (Pristupljeno 13.08.2010).. www.cs.dartmouth.edu/~farid/publicaons/ tr01.pdf, (Pristupljeno 20.08.2010). www.isa.com, (Pristupljeno 23.07.2010). www.isaca.com, (Pristupljeno 16.05.2010).
P{O
333
PRILOZI
PRILOG 1. ISO 27K STANDARDI – OBJAVLJENI ILI U TOKU IZRADE IS /IEC 27000:2009 – provides an overview or introducon to the IS 27k standards and denes the specialist vocabulary used throughout the IS 27k series. IS /IEC 27001:2005 is the Informaon Security Management System (ISMS) requirements standard, a specicaon for an ISMS against which thousands of organizaons have been cered compliant. IS /IEC 27002:2005 is the code of pracce for informaon security management describing a comprehensive set of informaon security control objecves and a set of generally accepted good pracce security controls. IS /IEC 27003 will provide implementaon guidance for IS /IEC 27001. Due for publicaon in 2009. IS /IEC 27004 will be an informaon security management measurement standard suggesng metrics to improve the e\ecveness of an ISMS. Publicaon due 2009. IS /IEC 27005:2008 is an informaon security risk management standard with advice on selecng appropriate risk analysis and management tools and methods. IS /IEC 27006:2007 is a guide to the cercaon or registraon process for accredited ISMS cercaon/registraon bodies who award IS /IEC 27001 cercates. IS /IEC 27007 will be a guideline for auding Informaon Security Management Systems. It is expected to focus on auding the management system elements. IS /IEC TR 27008 will provide guidance on auding informaon security controls. It is expected to focus on auding the informaon security controls. IS /IEC 27010 will provide guidance on informaon security management for sector–to–sector communicaons. IS /IEC 27011:2008 is the informaon security management guideline for telecommunicaons organizaons (also known as ITU X.1051). IS /IEC 27013 will provide guidance on the integrated implementaon of ISO/IEC 20000–1 (IT Service Management) and ISO/IEC 27001 (ISMS). IS /IEC 27014 will cover informaon security governance. IS /IEC 27015 will provide informaon security management systems guidance for nancial services organizaons. IS /IEC 27031 will be an ICT–focused standard on business connuity. IS /IEC 27032 will provide guidelines for cybersecurity. IS /IEC 27033 will replace the mul–part IS /IEC 18028 standard on IT network security. IS /IEC 27034 will provide guidelines for applicaon security. IS /IEC 27035 will replace IS TR 18044 on security incident management. IS /IEC 27036 guideline for security of outsourcing (new project). IS /IEC 27037 guideline for digital evidence (new project).
P{O
337
PRILOG 2. RELEVANTNI STANDARDI ZAŠTITE Tabela P2.1. Relevantni standardi zašte Standard
Opis
ISO 10007: 2003
Quality management systems – Guidelines for conguraon managam.
ISO 12207: 2004
IT – Soware (sw) Life Cycle Processes
ISO 11770–1: 1996
IT – Security techniques – Key management – Part 1: Framework
ISO 13335–1: 2004
IT – Management of Informaon and Communicaons Technology Security – Part 1: Concepts and Models for ICT Security Management
ISO 13335–2
338
ISO 13888–1: 1997
IT – Security techniques – Non–repudiaon – Part 1: General
ISO 14143–1: 1998
IT – Soware Measurement (SM) – Funconal Size Measurement (FSM)
ISO 14143–2: 2002
IT – SM – FSM
ISO 14143–6: 2006
IT – Soware Funconal Size Measurement –FSM
ISO/IEC 14516:2002
IT – Security techniques – Guidelines for the use and management of TTPS
ISO 14598–1: 1999
IT – Soware Product Evaluaon – Part 1: General Overview
ISO 14598–2: 2000
Soware Engineering – Product Evaluaon – Part 2: Planning and Manag.
ISO 14598–3: 2000
Soware Engineering – Product Evaluaon – Part 3: Developer’s Guide
ISO 14598–4: 1999
Soware Engineering – Product Evaluaon – Part 4: Process for Acquirers
ISO 14598–5: 1998
IT – Soware Product Evaluaon – Part 5: Process for Evaluators
ISO 14598–6: 2001
SE – Product Evaluaon – Part 6: Documentaon of Evaluaon Modules
ISO 14756: 1999
IT – Measurement and Rang of Performance of Computer–based Sw.
ISO 15026: 1998
IT – System and Soware Integrity Levels
ISO 15288: 2002
Systems Engineering (SE) – System Life Cycle Processes (SLCP)
ISO 15408:1999
Common Criteria (CC)
ISO 15489–1:2001
Informaon and documentaon – Records management – Part 1: General
ISO 15504–1: 2004
IT – Process Assessment – Part 1: Concepts and Vocabulary
O Š FOJ
Standard ISO 15504–2: 2003
Opis IT – Process Assessment – Part 2: Performing An Assessment
ISO 15504–5: 2006
IT – Process Assessment – Part 3: Guidance on Performing an Assessment IT – Process Assessment – Part 4: Guidance on Use for Process Improvement and Process Capability Determinaon IT – Process Assessment – Part 5: An Exemplar Process Assessment Model
ISO 15910: 1999
IT – Soware User Documentaon Process
ISO 15939: 2002
IT – Soware Measurement Process Framework
ISO 15940: 2006
IT – SE – Environment Services
ISO 16085: 2004
IT – SLCP – Risk Management
ISO/IEC 27001
IT – Code of Pracce for Informaon Security Management
ISO 15504–3: 2004 ISO 15504–4: 2004
ISO 18043: 2006
Soware and SE – Guidelines for the Design and Preparaon of User Documentaon for Applicaon sw IT – Security techniques – IT network security – Part 1: Network security management IT – Security techniques – IT Network security – Part 4: Securing remote access Selecon, Deployment and Operaons of Intrusion Detecon Systems (IDS)
ISO 19770–1: 2006
Soware Asset Management
ISO 19796–1: 2005
IT – Learning, Educaon, and Training – Quality Management, Assurance, and Metrics – Part 1: General Approach
ISO 20000–1: 2005
IT – Service Management – Part 1: Specicaon
ISO 20000–2: 2005
IT – Service Management – Part 2: Code of Pracce
ISO 21827 – 2007
SSE CMM – Systems Security Engineering Capability Maturity Model
ISO 25000: 2005
ISO 27001: 2005
SE – Soware Product Quality Guide Requirements and Evaluaon SE – Soware Product Quality Requirements and Evaluaon– Requirements for Quality of COTS Soware Product and Instrucons for Tesng IT – Security Techniques – ISMS – Requirements
ISO 9126–1: 2001
Soware Engineering – Product Quality – Part 1: Quality Model
ISO 18019: 2004 ISO 18028–1 2006 ISO 18028–4
ISO 25051: 2006
ISO 9796–3: 2000
„IT – Security techniques – Digital signature schemes giving message recovery – Part 2: Integer factorizaon based mechanisms” 2000 “ IT – Security techniques – Digital signature schemes giving message recovery – Part 3: Discrete logarithm based mechanisms”
ISO/AWI 14143–1: 200x
Informaon Technology – Soware Measurement – FSM
ISO/DTR 25021: 200x
Soware and SE – Soware Product Quality Requirements and Evaluaon (SQuaRE) – Measurement Primives
ISO 9796–2: 2002
P{O
339
Standard ISO/FCD 25020: 200x
Opis Soware and SE – Soware Quality Requirements and Evaluaon (SQuaRE) – Measurement Reference Model and Guide
ISO/FCD 25030: 200x
SE – Soware Quality Requirements and Evaluaon (SQuaRE)
ISO/NP 15504–6: 200x
IT – Process Assessment – Part 6: An Exemplar System Life Cycle Process Assessment Model
ISO/NP 27004: 2010
IT – Informaon Security Management Measurements
ISO/NP 27005: 2000
IT – Informaon Security Risk Management
ISO/TR 13335–5: 2001
IT – Guidelines for the Management of IT Security – Part 3: Techniques for the Management of IT Security IT – Guidelines for the Management of IT Security – Part 4: Selecon of Safeguards IT – Guidelines for the Management of IT Security – Part 5: Management Guidance on Network Security
ISO/TR 14143–3: 2003
IT – Sw measurement– Funconal Size Measurement (FSM)
ISO/TR 14143–4: 2002
IT – Soware Funconal Size Measurement
ISO/TR 14143–5: 2004
IT – Soware Measurement – Funconal Size Measurement (FDM)
ISO/TR 14516: 2002
IT – Security Techniques –– Guidelines for the Use and Management of TTPS
ISO/TR 15846: 1998
IT – Soware Life Cycle Processes: Conguraon Management
ISO/TR 16326: 1999
SE – Guide for the Applicaon of ISO 12207 to Project Management
ISO/TR 18044: 2004
Incident Management
ISO/TR 19759: 2005
Soware Engineering – Guide to the Soware Enginering Body of Knowledge
ISO/TR 9126–2: 2003
Soware Engineering – Product Quality – Part 2: External Metrics
ISO/TR 9126–3: 2003
Soware Engineering – Product Quality – Part 3: Quality in Use Metrics
ISO/TR 9126–4: 2004
Soware Engineering – Product Quality – Part 4: Internal Metrics
ISO/TR 9294: 2005
IT – Guidelines for the Management of Soware Documentaon
SP 800–12 (Oct 1995)
An Introducon to Computer Security: The NIST Handbook.
ISO/TR 13335–3: 1998 ISO/TR 13335–4: 2000
SP 800–23 (Aug 2000)
Guide for Developing Security Plans for ITS guides the design and documentaon of IT security controls. Guideline to Federal Organizaons on Security Assurance and Acquision/Use of Tested/Evaluated Products
SP 800–26 (dra r. 1)
Security Self–Assessment Guide for Informaon Technology Systems
SP 800–27 (Jun 2004 r. A)
Engineering Principles for Informaon Technology Security (a baseline).
SP 800–28 (Oct 2001)
Guidelines on Acve Content and Mobile Code.
SP 800–18 (Dec 1998)
340
O Š FOJ
Standard
Opis
SP 800–30 (July 2002)
Risk Management Guide for and assessment and control of IT risks.
SP 800–34 (June 2002)
Conngency Planning Guide for Informaon Technology Systems.
SP 800–35 (Oct 2003)
Guide to Informaon Technology Security Services.
SP 800–36 (Oct 2003)
Guide to Selecng Informaon Security Products.
SP 800–37 (May 2004)
Guide for the Security Cercaon and Accreditaon of Federal IS.
SP 800–40 (version 2)
Creang a Patch and Vulnerability Management Program.
SP 800–42 (2003)
Guideline on Network Security Tesng.
SP 800–45 (2002)
Guidelines on Electronic Mail Security.
SP 800–46 (Aug 2002)
Security for Telecommung and Broadband Communicaons.
SP 800–47 (Aug 2002)
Security Guide for Interconnecng Informaon Technology Systems.
SP 800–48 (Nov 2002)
Wireless Network Security: 802.11, Bluetooth, and Handheld Devices.
SP 800–50 (Oct 2003)
Building an IT Security Awareness and Training and Educaon Program.
SP 800–53 (A,B,C): 2008
Recommended Security Controls for US Federal Informaon Systems.
SP 800–55 (2003)
Security Metrics Guide for IKTS.
SP 800–56 (latest dra Jul 2005) SP 800–57 Part 1 i 2 (Aug 2005)
Recommendaon for Pair–Wise Key Establishment Schemes Using Discrete Logarithm Cryptography.
SP 800–58 (Jan 2005)
Security Consideraons for Voice Over IP Systems.
SP 800–59 (Aug 2003)
Guideline for Idenfying an IS as a Naonal Security System provides guidance on idenfying an IS as a (US) naonal security system.
SP 800–60 (Jun 2004)
Guide for Mapping Types of Informaon and IS to Security Categories.
SP 800–61 (Jan 2004)
Computer Security Incident Handling Guide.
SP 800–63 (2004)
Electronic Authencaon Guideline.
SP 800–64 (Jun 2004)
Security Consideraons in the IS Development Life Cycle.
SP 800–65 (Jan 2005)
SP 800–83 (Nov 2005)
Integrang Security into the Planning and Investment Control Process. Security Conguraon Checklists Program for IT Products: comprises a set of baseline conguraons for a wide variety of operang system plaorms. Guide to Malware Incident Prevenon and Handling
SP 800–92 (April 2006)
Guide to Computer Security Log Management
SP 800–70 (May 2005)
Recommendaon on Key Management
P{O
341
Standard FIPS 199 (Feb 2004)
Standards for Security Categorizaon of Federal Informaon and IS
FIPS 200 (Mar 2006)
Minimum Security Requirements for Federal Informaon and IS
FIPS 201 (Feb 2005)
Personal Identy Vericaon for Federal Employees and Contractors.
ACSI33 SS507 Singapore Standards
342
Opis
O Š FOJ
The Australian Government Informaon and Communicaons Technology Security Manual (unclassied version). Covers “Business Connuity/Disaster Recovery (BC/DR) Service Providers”. It is being used as the base/donor document for ISO 27006.
PRILOG 3. PRIMER BEZBEDNOSNE KATEGORIZACIJE OBJEKATA VELIKOG IKTS 1. korak: struktura banke deli se u deset bezbednosnih zona prema kriterijumu u opisu zone:
Sl. P3.1. Bezbednosne kategorije velike banke P{O
343
Bezb. zona
Kriterijum klasikacije
1 i 2.
Uprava i odeljenje za zaštu imaju sopstvene interne servere. Koriste zajedniki segment LAN, ali rade nezavisno i dele malo podataka. Zahtevaju uvid u podatke drugih odeljenja, kroz organizovani proces. Uprava podatke iz odeljenja za zaštu dobija u vidu izveštaja. Zato se modeluju kao dve odvojene zone.
3.
deljenja se grupišu na bazi podataka koje procesiraju. Svi ovi departmani zahtevaju obiman pristup podacima klijenata iz razliih razloga.
4.
Proizvodni sistem sadrži sve zajednike resurse, proizvodne aplikacije i podatke, uzima podatke sa servera smeštenih u departmanima kroz transfer podataka u realnom vremenu ili kroz batch–orijensan proces. Pošto sadrži glavne kopije svih proizvedenih podataka, zašta ove zone je krina za uspeh banke.
5.
Departman za razvoj LANa ne sadrži proizvodne podatke, ali za tesranja u IS može zahteva neke proizvodne podatke, što komplikuje proces zašte te zone.
6.
buhvata svu infrastrukturu za povezivanje, koja nije spojena na Internet.
7.
Ukljuuje sve ure aje za pristup Internetu. Disnkcija izme u ove dve zone napravljena je iz razloga nasle a razliih IKTS.
8.
Izdvojena podružnica banke, ima lokalni server, koji uva podatke lokalnih klijenata i radnih stanica, ažurira centralnu banku i prima ažurne podatke iz nje kroz nonu razmenu formaranih datoteka.
9.
Pokriva spoljnu mrežnu infrastrukturu, koju obezbe uje TTPS provajder.
10.
Pokriva mrežnu infrastrukturu koja obezbe uje vezu sa Internetom.
2. korak: idenkacija razliih pova sistema u svakoj zoni i klasikacija sistema na bazi bezbednosnih zahteva; klase se tabelarno prikažu, a zam se ispitaju postojei tokovi podataka izme u zona, koncentrišui se na najvažnije tokove; najvažniji tokovi se sumiraju i tabelarno prikažu; na prethodnom modelu vrši se analiza rizika. 3. korak: izbor i implementacija adekvatnih kontrola zašte. Prednos strukturnog modela bezbednosnih zona: bezbednosne zone omoguavaju da se o specinim problemima diskutuje sa odgovarajuim osobljem; klasikovanjem sistema u zone redukovan je broj sistema koje treba analizira i broj radnih stanica i servera sa oko 2150 na svega 25 pova sistema i stanica; kljuni tokovi informacija izme u klasikovanih grupa sistema korisni su za donošenje odluke za implementaciju kontrola zašte i odre ivanje vrste poverljivih odnosa koje treba uspostavi u organizaciji.
344
O Š FOJ
PRILOG 4. METOD POKRIVANJA PRETNJI KONTROLAMA ZAŠTITE Procena pokrivanja pretnji vrši se za tri osnovna efekta, indicirana sa jednim od simbola: 1. „ “ – kontrola zašte obezbe uju adekvatnu zaštu i pokrivanje dah pretnji; 2. „ -„ – kombinacija kontrola zašte u datom sistemu osnovne zašte i kontekstu u kojem se kontrole koriste, ukljuujui sve opšte faktore smanjenja rizika, obezbe uje adekvatnu zaštu i pokrivanje navedenih pretnji i 3. „X“ – kontrola zašte u izabranom osnovnom sistemu zašte ne obezbe uju adekvatno pokrivanje navedenih pretnji. Tabela P4.1. Procena pokrivanja grešaka i prirodnih doga aja osnovnim kontrolama zašte Procenjeno pokrivanje osnovnih kontrola zašte Karakteriske pretnje
NISKO
SREDNJE
VISOKO
"–
"–
TBD
metanje
"–
"
TBD
Lokalna nesrea
X
"
TBD
Regionalna katastrofa
X
X
TBD
Greške (mašinske ili ljudske) Prirodni doga aji
X
Kontrole zašte u izabranoj osnovnoj zaš koje obezbe uju adekvatno bezbednosno pokrivanje za idenkovane pretnje Kombinacija kontrola zašte u izabranoj osnovnoj zaš i kontekstu u kojem se koriste, ukljuujui sve faktore smanjenja rizika, koje obezbe uju adekvatno pokrivanje za idenkovane pretnje Kontrole zašte u izabranoj osnovnoj zaš, koje ne obezbe uju adekvatno bezbednosno pokrivanje za idenkovane pretnje
TBD
Treba da bude denisan
" "–
Legenda
P{O
345
Tabela P4.2. Procenjeno pokrivanje osnovne zašte za lokalne napade Karakteriske pretnje
Procenjeno pokrivanje osnovnih kontrola zašte NISKO SREDNJE VISOKO
Namerni napad: L KALNI Soskacija napada: NISKA " " Soskacija napada: VIS KA Namera napadaa: NEMALICI ZNA Resursi napadaa: SVI NIV I (MINIMALNI; PR SENI; VIS KI) Pristup napadaa: AUTSADER " " Pristup napadaa: INSADER "– "– Namera napadaa: MALICI ZNA Resursi napadaa: MINIMALNI Pristup napadaa: AUTSADER " " Pristup napadaa: INSADER "– "– Resursi napadaa: PR SENI Pristup napadaa: AUTSADER " " Pristup napadaa: INSADER "– X Resursi napadaa: ZNAANI Pristup napadaa: AUTSADER " " Pristup napadaa: INSADER "– X
TBD
TBD TBD
TBD TBD TBD TBD TBD TBD
Tabela P4.3. Procenjeno pokrivanje osnovne zašte za mrežne napade Karakteriske pretnje
Procenjeno pokrivanje osnovnih kontrola zašte NISKO SREDNJE VISOKO
Namerni napad: MRENI Soskacija napada: NISKA " " TBD Soskacija napada: VIS KA Namera napadaa: NEMALICI ZNA Resursi napadaa: SVI NIV I (MINIMALNI; PR SENI; VIS KI) Pristup napadaa: AUTSADER "– "– TBD Pristup napadaa: INSADER "– "– TBD Namera napadaa: MALICI ZNA Resursi napadaa: MINIMALNI Pristup napadaa: AUTSADER "– X TBD Pristup napadaa: INSADER "– X TBD Resursi napadaa: PR SENI Pristup napadaa: AUTSADER "– X TBD Pristup napadaa: INSADER X X TBD Resursi napadaa: ZNAANI Pristup napadaa: AUTSADER X X TBD Pristup napadaa: INSADER X X TBD
346
O Š FOJ
PRILOG 5. KRATKA ISTORIJA MALICIOZNIH PROGRAMA Tabela P5.1. Kratka istorija malicioznih programa Godina
Podaci o kompjuterskim virusima
1962.
U Bel–u Robert Moris, stariji, razvio igru Darwin, koja se ponašala kao virus; zam su se pojavili PERVADE [20], Elk Cloner [21], Core War [22] itd. Prvi dokumentovani virusi, u igrama za Apple II otkrivena su najmanje tri virusa, ukljuujui i Elk Cloner–a; re virus još se nije korisla za ovakav maliciozni kôd ormalna denicija virusa, red Cohen: “Program koji može da zarazi druge programe tako što ih menja da sadrže izmenjenu verziju samog sebe.” [9] Prvi PC virus – Brain, incirao Microso DOS sisteme; širio se preko boot sektora diskete i menjao ime diskete. Robert Moris je oslobodio primivnog crva i stopirao rad 10% Interneta. Prvi polimorfni virusi koji izbegavaju AVP; menjaju se svaki put kod pokretanja. Virus Construcon Set (VCS), preko BBS–a i omoguio lako pravljenje virusa. Globe virus, akviran u Windows S; dodeljuje .exe ekstenziju .com datoteci. Good Times lažni virus, izazvao veliku paniku; poznata štete od virusa. Prvi makro virusi; pojava netcat–a za UNIX S, danas se koris kao backdoor. StrangeBrew, prvi ava virus, incirao druge ava programe, ugrozio Internet aplikacije. Pojava netcat–a za Windows operavne sisteme. Back Orice, backdoor za udaljenu administraciju Windows S. Melissa makro virus/crv, napada Word dokumente; širi se putem e.maila; funkcioniše u MS Word 97, 2000 i MS utlook 97 ili 98 e.mail klijentu Back Orice 2000 (B 2K), GUI interfejs, API za kontrolu miša/tastature/ekrana. Knark Kernel–Level RootKit, za skrivanja fajlova i procesa RM u kernelu Linux S. Love Bug, VBScript širi se preko ranjivos Microso utlook–a. Code Red crv, koris buer overow ranjivost IIS Web servera; preko 250.000 mašina su postale žrtve za manje od osam sa. Kernel Intrusion System, revoluciju u rutkit manipulaciji kernelom Linux S uvo enjem GUI–a i jako efekvnih mehanizama za sakrivanje. Nimda crv koris ranjivos u MS proizvodima, kompromitovao preko 86.000 raunara, naneo više od 635 miliona dolara štete; stvara Guest nalog sa administratorskim privilegijama i kompromituje raunar. SQL Slammer UDP crv; zarazio 75.000 raunara za manje od 10 minuta. Santy crv, koji je prvi koriso Google za pronalaženje novih žrtava. 16. februar, otkriven je prvi maliciozni sover za Mac S X, trojanac OSX/Lear. Storm crv, pravi bot mrežu; za šest meseci incirao oko 1.7 miliona raunara. Koobface crv, širi se preko Facebook i MySpace–a. Concker crv zarazio preko 20 miliona MS servera; MS ponudio 250.000 US$ za hapšenje autora crva; do masovnog DoS napada nije došlo do 31. 05.2009.
1981/2. 1983. 1986. 1988. 1990. 1991. 1992. 1994. 1995/6. 1998. 1998. 1998. 1999. 1999. 1999. 2000. 2001. 2001. 2001. 2003. 2004. 2006. 2007. 2008. 2009.
P{O
347
PRILOG 6. PRIMERI KONFIGURACIJE LOGIKE BARIJERE U RAUNARSKOJ MREŽI
Sl. P6.1. ilter paketa korišen kao granini ruter
Sl. P6.2. Tipini proksi agen
Sl. P6.3. Konguracija aplikavnog proksija
348
O Š FOJ
Sl. P6.4. ednostavna rurana mreža sa logikom barijerom
Sl. P6.5. Logika barijera sa DMZ
Sl. P6.6. Mreža sa drugom vezom spolja
P{O
349
PRILOG 7.
Sl. P7.1. Graki funkcionalni model implementacije ISMS
GRAFIKI MODEL IMPLEMENTACIJE ISMS
350
O Š FOJ
PRILOG 8. TIPINI PAROVI RANJIVOST/PRETNJA (V/T) Tabela P8.1. Tipini parovi ranjivost/pretnja Ranjivost – V Pretnja – T koja je može iskoris Okruženja i infrastrukture Nedostatak zike zašte zgrade, vrata i prozora Kra a Neadekvatne upotreba AC zgradama i sobama Kra a, namerno ošteenje Nestabilna elektrina mreža luktuacija napona napajanja Lokacija u oblas podložnoj poplavi Poplava Hardver Nedostatak šeme periodine zamene (zanavljanja) Kvar medija za skladištenje setljivost na varijacije napona napajanja luktuacija napona setljivost na varijacije temperature Eksterne temperature setljivost na vlagu, prašinu, prljavšnu Prašina setljivost na EM zraenje Izvori EM zraenja Loše održavanje/pogrešna instalacija medija za skladištenje Greška održavanja Nedovoljno ekasna kontrola upravljanja konguracijom Greška operatera So ver Nedovoljan/nekompletan prol korisnika Pad sovera Bez ili nedovoljno tesranje sovera Neovlašena upotreba sovera Komplikovan korisniki interfejs Greška operatera Nedostatak mehanizama I&A Kra a identeta legimnih korisnika Nedostatak kontrolnih tragova (audit trail) Neovlašena upotreba sovera Poznata greška (bag) u soveru Neovlašena upotreba sovera Nezašena lista pasvorda Kra a identeta korisnika Loše upravljanje lozinkom Kra a identeta korisnika Pogrešna alokacija prava pristupa Neovlašena upotreba sovera Nekontrolisano preuzimanje i upotreba sw Maliciozni kôdovi Ulogovan posle napuštanja radne stanice Neovlašena upotreba sovera Nedostatak efekvne kontrole promena Pad sovera Nedostatak dokumentacije Greške operatera Nedostatak rezervnih kopija (bekapa) Maliciozni programi ili požar dlaganje/upotreba medija bez saniranja Zloupotreba podataka i informacija moguen nepotreban servis Upotreba neovlašenog sovera Nezreo ili novi sover Nekompetentno tesranje iroko distribuirani sover Gubitak integriteta u procesu distribucije
P{O
351
Ranjivost – V
Pretnja – T koja je može iskoris
Komunikacije Nezašene komunikacione linije Prisluškivanje –ocanje informacija Loše spajanje kablova Inltracija u komunikacione linije Nedostatak I&A pošiljaoca i primaoca Kra a identeta korisnika tvoren prenos pasvorda Mrežni pristup ilegalnog korisnika Nedostatak dokaza o slanju i prijemu poruka Poricanje transakcije Dial–up linije Mrežni pristup ilegalnog korisnika Nezašen prenos osetljivih informacija Prisluškivanje Neadekvatno upravljanje mrežom Preoptereenje saobraaja Nezašene konekcija javne mreže Neovlašeno korišenje sovera Nebezbedna mrežna arhitektura Upad u mrežu Dokumentacija Nezašeno skladište Kra a Nebriga kod odlaganja Kra a Nekontrolisano kopiranje Kra a Personal dsustvo zaposlenih Nedostatak radnika Nekontrolisanje rada od strane obezbe enja Kra a Nedovoljna bezbednosna obuka Greška operavnog osoblja Nedostatak sves o potrebi zašte Greške korisnika Nekorektno korišenje sovera i hardvera Greška operavnog osoblja Nedostatak mehanizama za monitorisanje Neovlašeno korišenje sovera Nedostatak polike za zaštu prenosa podataka Neovlašeno korišenje RM Neadekvatna procedura za prijem radnika Namerna šteta Proceduralne Nedostatak ovlašenja za procesiranje informacija Namerno ošteenje Nedostatak procesa za ovlašenje pristupa javnim inform. Korupcija podataka Nedostatak procesa za reviziju (superviziju) prava pristupa Neovlašeni pristup Nedostatak procedure za kontrolu ISMS dokumentacije Korupcija podataka Nedostatak formalne procedure za registraciju korisnika Neovlašeni pristup Nedostatak kontrole inventara imovine Kra a Nedostatak polike upotrebe mobilnog raunara Kra a Nedostatak formalne procedure supervizije ISMS zapisa Korupcija podataka Nedostatak polike „ist sto i ist ekran“ Kra a informacija Nedostatak/nedovoljna zašta od kupaca i/ili TTP Neovlašeni pristup Nedostatak/nedovoljna zašta od zaposlenih Kra a i prevara Nedostatak planova za konnuitet poslovanja Tehniki kvarovi
352
O Š FOJ
Ranjivost – V Pretnja – T koja je može iskoris Nedostatak propisne alokacije odgovornos u zaš Poricanje transakcija Nedostatak procedure za idenkaciju i procenu rizika Neovlašeni pristup IKTS Nedostatak polike upotrebe e–pošte Pogrešno ruranje poruka Nedostatak procedura za rukovanje klasikovanih inform. Greške korisnika Nedostatak procedure za zaštu intelektualne svojine Kra a informacija Nedostatak procedure za izveštaje o slabosma zašte Ilegalna upotreba RM Nedostatak procedure za uvo enje sovera u S Greška operatera Nedostatak procedure za kontrolu promena Greška u održavanju Nedostatak regularnog auding–a Neovlašeni pristup Nedostatak regularne revizije upravljanja Zloupotreba resursa Nedostatak mehanizama za nadzor proboja sistema Namerna ošteenja Nedostatak odgovornos u zaš u opisu posla Greška korisnika Neovlašena upotreba soNedostatak evidencija grešaka u log datotekama vera Nedostatak evidencija grešaka u log datotekama Greške operatera Nedostatak denisanih procesa za upravljanje incidentom Kra a informacija Opšte ranjivos poslovnih aplikacija za procesiranje Nekorektno podešavanje parametara Korisnika greška Primena aplikavnih programa na pogrešne podatke Neraspoloživost podataka Nemogunost izrade izveštaja o upravljanju Neovlašeni pristup Netani podaci Korisnika greška Opšte primenljive ranjivos Greška u jednoj taki Pad komunikacionog servisa Neadekvatan servis za održavanje Kvar hardvera Nepropisno projektovan i loš rad sa sistemom zašte Intercepcija i prisluškivanje veza
Primer esmacije ranjivos informacione imovine Prisustvo ranjivos samo po sebi ne izaziva štetu sistemu. Ranjivost je stanje ili skup stanja, koji dopušta da je neki napad iskoris i nanese štetu informacionoj imovini. Kao rezultat doga aja jedne ili više pretnji (T), ranjivost (V) se rangira u odnosu na: intenzitet ucaja – Ti i potencijalnu izloženost gubicima – verovatnou da e pretnje iskoris ranjivos i uca na imovinu – Pu, (NIST IPS 800–30).
P{O
353
Tabela P8.2. Primer skale rangiranja ukupnih ranjivos IKTS Opis
354
Skala
Proboj može rezulra u neznatnim gubicima i povredama sistema.
1
Proboj može rezulra u malim gubicima ili povredama sistema.
2
Proboj može rezulra u ozbiljnim gubicama i povredama sistema, a poslovi mogu bi ugroženi.
3
Proboj može rezulra u vrlo ozbiljnim gubicima i povredama sistema, a poslovi mogu propas.
4
Proboj može rezulra u vrlo visokim novanim gubicima, ili u izuzetno ozbiljne povrede pojedinaca ili organizacije (reputacije, privatnos, konkurentske pozicije), a poslovi mogu propas.
5
O Š FOJ
PRILOG 9. TAKSONOMIJA BEZBEDNOSNIH PRETNJI – STABLO PRETNJI
P{O
355
I. TIPOVI UOBIAJENIH PRETNJI (ISO/IEC 27005) Sledea lista, pore ane u alfabetskom redosledu ne prema prioritema, daje primer pinih relevantnih pretnji, gde agen pretnje mogu bi: D – namerna akcija prema informacionoj imovini, A – sluajna ljudska akcija, koja može ošte informacionu imovinu, E – prirodni dogaaj bez ucaja oveka Tabela P9.1. Tipovi uobiajenih pretnji (IS /IEC 27005)
356
O Š FOJ
Tabela P9.2. Humani izvori pretnji (H) Izvor pretnje [H]
Movacija
Akcija agenta pretnje
Haker, kraker
Izazov, ego, frustracija, pobuna
Hakovanje, društveni inženjering upad u sistem, proboj, neovlašeni pristup sistemu
Kompjuterski kriminalac
Destrukcija i ilegalno otkrivanje informacija, kra a novca, ilegalna izmena podataka
Kompjuterski kriminal, prevara (intercepcija, kra a identeta itd) spoong (skeniranje i njuškanje po sistemu), upad u sistem
Terorista
Ucena, destrukcija eksploatacija, osveta
Industrijska špijunaža
Konkurentska prednost, ekonomska špijunaža
Napad insajdera (slabo obuen, nezadovoljan, maliciozan, otpušten zaposleni)
Znaželja, ego, obaveštajni rad, novana korist, osveta, nenamerna greška ili omaška
Bombaški napad, informaciono ratovanje, napad na sistem (DDoS) proboj u sistem, prisluškivanje sistema Ekonomska eksploatacija, kra a informacija, upad u linu privatnost društveni inženjering, upad u sistem neovlašeni pristup sistemu (kra a...) Napad ne zaposlenog, ucena, pretraživanje vlasnikih informacija, zloupotreba raunara, prevare i kra e, korupcija informacija, unos korumpiranih ili falsikovanih podataka, maliciozni kod, prodaja personalnih informacija, sistemski bagovi, upad u sistem, sabotaža, neovlašeni pristup
Dodatne reference za taksonomije pretnji (IS /IEC TR 15446 i Sekcija 4, NIST SP800–30).
II. PRIMERI TAKSONOMIJA ZA ESTIMACIJU PRETNJI Tabela P9.3. rekvencija pojave pretnje (Tf) (NIST SP 800–30) Skala rangiranja Vrlo visok (VV) Visok (V) Srednji (S) Nizak (N) Vrlo nizak (VN)
Opis > 100 puta godišnje izme u 10 i 100 puta godišnje izme u 1 i 10 puta godišnje izme u 0,1 i 1 put godišnje < 0,1 put godišnje (manje od 1 put na svakih 10godina)
Tabela 6.3. Kapacitet izvora pretnje Skala rangiranja Vrlo visok (VV) Visok (V) Srednji (S) Nizak (N) Vrlo nizak (VN)
Opis > 2% od svih izvora pretnji u glavnih 16% od svih izvora pretnji prosena vešna i resursi (izme u donjih 16% i glavnih 16%) u donjih 16% od svih izvora pretnji poslednji 2% od svih izvora pretnji
P{O
357
Rangiranje agenata pretnji (NIST IPS SP 800–30) Agen pretnji su ente koji mogu namerno ili nenamerno iskoris ranjivos sistema i nane štetu informacionoj imovini. Agente pretnje rangiramo u odnosu na: Movaciju – mera koja kombinuje potencijalnu korist agenta pretnje i resurse koji su mu na raspolaganju za izvršenje (nije faktor za prirodne fenomene): Tabela P9.4. Rangiranje pretnji u odnosu na movaciju Rangiranje sposobnos 1 2 3
Rangiranje movacije 1 1 2 3
2 2 3 4
3 3 4 5
Kapacitet – mera sposobnos i zahtevanog napora agenta pretnje da uspešno napadne IKTS koristei njihove ranjivos, a obuhvata: tehniku, znanje, resurse, priliku. Tabela P9.5. Rangiranje kapaciteta i movacije napadaa Kapacitet
Skala
Movacija
Malo ili bez sposobnos za preduzimanje napada.
1 (N)
Mala ili bez movacije.
Umerene sposobnos. Ima znanje i vešnu da preduzme napad ili mu nedostaje neko znanje, ali ima dovoljno resursa da preduzme napad.
2 (S)
Umeren nivo movacije. Mogao bi delova ako se pokrene/ provocira.
Vrlo sposoban. Ima znanje, vešnu i resurse da preduzme napad.
3 (V)
Visoko movisan. Gotovo odre en da preduzme napad.
Tabela P9.6. Rangiranje ukupnih agenata pretnji Rang
358
Opis
1
Malo ili bez sposobnos ili movacije
2
Malo ili bez sposobnos, umeren nivo movacije; malo ili bez sposobnos, visoko movisan; umereno sposoban, umeren nivo movacije
3
Veoma sposoban, umereno movisan; umereno sposoban,umereno movisan
4
Vrlo sposoban, umereno movisan; umereno sposoban, vrlo movisan
5
Vrlo sposoban, vrlo movisan
O Š FOJ
Tabela P9.7. Proraun frekvencije pojave bezbednosnog incidenta–pretnje (Tf) Skala rangiranja
Opis
Vrlo visok (VV)
> 100 puta godišnje
Visok (V)
izme u 10 i 100 puta godišnje
Srednji (S)
izme u 1 i 10 puta godišnje
Nizak (N)
izme u 0,1 i 1 put godišnje
Vrlo nizak (VN)
< 0,1 put godišnje (manje od 1 put na svakih 10godina)
Tabela P9.8. Kapacitet izvora pretnje Skala rangiranja
Opis
Vrlo visok (VV)
> 2% od svih izvora pretnji
Visok (V)
u glavnih 16% od svih izvora pretnji
Srednji (S)
prosena vešna i resursi (izme u donjih 16% i najviših 16%)
Nizak (N)
u donjih 16% od svih izvora pretnji
Vrlo nizak (VN)
najnižih 2% od svih izvora pretnji
Preporuka za esmaciju faktora rizika za proraun verovatnoe bezbednosnog incidenta (Pt) u sledeoj tabeli može se korigova po zahtevu vlasnika sistema: Tabela P9.9. Proraun verovatnoe pojave incidenta – napada (realizacije pretnje) (Pt) Nivo
Esmacija
Denicija
Vrlo visok
1
Visok
2
Srednji
3
Vrlo visoka verovatnoa napada sve dok se ne primeni zašta. Smatra se da postoji visoka verovatnoa napada ako zašta nije primenjena. Smatra se da postoji razumna verovatnoa napada.
Nizak
4
Smatra se da je rizik od napada nizak.
Vrlo nizak
5
Smatra se da postoji vrlo niska verovatnoa napada.
P{O
359
PRILOG 10. PRIMERI ODREIVANJA VEROVATNOE I NEODREENOSTI PRETNJI Tabela P10.1. Verovatno a realizacije pretnje (P) Klasa
360
Vrsta
Aero zaga enje
Prašina, padavine, gasovi, smog, dim
Modikacija inf. imovine
Aplikavnog sovera, datoteka podataka, hardvera, sistemskog sovera, zaštnog sovera
Komunikacijske greške
Prekid veze, greške u radu/šum
Kompromitacija sistema
Pristup agenta pretnje i bivših zaposlenih, nepropisno izdavanje i oznaavanje informacija, gubljenje dokumenata i medija, KEMZ, otvorena vrata/kontejner
Kompromitacija lozinke
iziki ulazak u prostor IKT sistema, tehniki prodor (prisluškivanje), neovlašeni upad (haker)
Tehnika greška
Unesena, operavnog rada, programiranja, prenosa
Vatra
Lokalni požar, katastrofa/viša sila, eksplozija, spolja
Upad/ošteenje
Provala, nelojalno osoblje, sabotaža, terorizam,
Prevara/pronevera
Lažni izveštaj, pronevera, lažno predstavljanje/ulaz
Geološki potresi Greške hw u okruženju šteenja vodom
Zemljotres, klizište zemlje, vulkanska erupcija
Zabrane
kupacija, evakuacija, epidemija, pobuna, obustava rada..
Interferencija
EM, EMINE (EM impuls nuklearne eksplozije), radio opseg
Gubitak inf/pod
Spolja, iznutra, neregularno
Prekid napajanja
Spolja, iznutra, neregularno
Zloupotreba IKT
Spolja, iznutra, neregularno
Povrede/smrt
Nevreme/poledica, oluja/orkanski vetar, ciklon/tornado
Stako pražnjenje
Nevreme/poledica, oluja/orkanski vetar, ciklon/tornado
šteenja
Nevreme/poledica, oluja/orkanski vetar, ciklon/tornado
Pad sistema
Hardvera, sovera
Kra a
Hardvera, sovera
O Š FOJ
Hla enje, grejanje, venlacija Prskanje cevi, curenje esmi, kiša–(krov, prozor), poplava
P (0–1) ili (0–5)
Tabela P10.2. Stepen neodreenos pretnje (N) Denicija
Mera verovatno e pojave (V) i intenziteta manifestacije pretnje (I)
Niska N: V/I
Postoje pouzdani staski podaci o pretnjama (vatra i sl.)
Niska N: I Visoka N: V
Nije poznato kada e se pretnja dogodi, ali je sigurno da e bi visokog intenziteta (neprijateljski napad i sl.)
Niska N: V Visoka N: I
Može se tano predvide pojava T, ali može bi beznaajna i/ili vrlo ozbiljna (npr. operaterska greška)
Srednja N: V/I
Staski podaci su dosta retki, ali su srazmerno tani (npr. kra a)
Visoka N: V/I
Informacije su vrlo zanimljive za širok krug ljudi (npr. poverljivi podaci)
I. sluaj esmacije (E) verovatnoe pojave pretnje (V): najpoznaji, baziran na V za staski praene prirodne i veštake doga aje, obuhvata poplavu, oluju, kišu, sneg, ekstremnu temperaturu, požar i lokalni kriminal. Tabela P10.3. I. sluaj esmacije–(E) verovatno e pojave pretnji Ako je: A – gornja granica (1), B – donja granica (0), E – opsega verovatnoe (0,1) bie: a. arimeka sredina A i B, ako se ceni da su vrednos simetrino distribuirane u opsegu: E=(A+B)/2; b. geometrijska sredina A i B, za vrednos od dva i više redova veliine: E=(AxB)1/2 c. harmonijska sredina A i B, ako se veruje da je verovatnoa bliže B: E=2(1/A+1/B) d. Hurvicova sredina, ako se želi izrazi vlasta pesimiska procena o tome kakva e verovatna pretnja bi; uvodi se Hurvicov procenat – H (od 1 do 100), (na primer: ako mislite da je verovatnoa niska stavi H=10 ili 20, a visoka – H=80 ili 90): E=(HxA+(100–H)xB)/100 e. PERT esmacija, ako su granice A i B istog reda veliine i ako se može proceni najverovatnija vrednost M, koja može bi u skladu sa nekom poznatom situacijom i izrazi uverenje – D u M na skali od 1 – 10: E=(A+DxM+B)/(D+2) f. logaritamska PERT esmacija se koris, ako su opsezi A i B 2 reda veliine
II. sluaj esmacije (E) verovatnoe pojave pretnje (V): koris se tamo gde postoji nizak stepen neodre enos pretnji po intenzitetu (I), (npr. neprijateljski napad, jak zemljotres, i sl.) i visok stepen neodre enos V, za esmaciju V koris se vei broj sluajeva, procenjuje se verovatno vreme – t izme u pojava pretnje, a E verovatnoe je reciprona vrednost tog t, model je pogodan za E doga aje koji se javljaju sa stepenom progresije od 10x3, tj. jedan put svakih 3 000 godina, 300 godina, 30 godina, 3 godine, sedmino, dnevno, na 10 minuta u toku dana, itd.
P{O
361
Tabela P10.4. Primer II. sluaja esmacije (E) verovatno e pojave pretnji (V) Vreme
Verovatno a
Komparavni dogaaj
dnevno
300
instalacija inicijalnog programa
sedmino
30
potpuno bekapovanje
sezonski
3
up–grade S
na 3 god.
0,33
zamena IKTS (PC)
30 god.
0,033
rat
300 god.
0,0033
pad imperije
3000 god
0,00033
religiozno udo
30 000 g.
0,000033
ljudska rasa
300000 g
0,0000033
geološko vreme
III. sluaj esmacije (E) verovatnoe pojave pretnji (V): koris se gde je N stepen neodre enos V, a visok stepen neodre enos I (npr. operavna greška), za esmaciju intenziteta pretnji koris se numeriki sistem, za meru se uzima procenjeno vreme u ovek/sek. koje e verovatno bi izgubljeno zbog pada sistema i oporavka, a rauna se od trenutka ucaja pretnje, za faktor progresije se moe uze, tako e, faktor 10x3. Tabela P10.5. Primer III. sluaja esmacije (E) verovatno e pojave pretnje (V) vreme
intenzitet
komparavni doga aj
3 sec
3
korekcija štamparske greške
30 sec
30
korekcija reenice
5 min
300
restauracija datoteke
50 min
3 000
restauracija sistema aplikacija
9h
30 000
restauracija S
4 dana
300 000
restauracija baze podataka iz back–up sistema
40 dana
3 000000
restauracija baze podataka iz vrste kopije
IV. sluaj esmacije (E) verovatnoe pojave pretnje (V): koris se gde postoji umeren stepen neodre enos V i I i gde postoje neki razbacani i nesre eni staski podaci (npr. kra a), konstruiše se pretpostavljena staska distribucija V i I pretnji,
362
O Š FOJ
na uzorcima distribucije izvrši esmaciju srednje vrednos i standardne devijacije, 1. nain simulacije: procene se maksimalne i minimalne mogue vrednos V i I (A,B), prevede distribucija simuliranih podataka u ova dva opsega i izvuku uzorci iz distribucija, esmacija V i I može uze u obzir staske podatke o procenjivanim pretnjama, kao baza simulacije koris se ? (Beta) distribucija i može se napravi da strmina (odstupanje od srednje vrednos najfrekventnije pojave) i tok (stepen glatkoe) simuliranih staskih distribucija odgovaraju impresiji korisnika, 2. nain simulacije je upotreba Fuzzy skupova: konstruišu se distribucije V doga aja iz kojih se pomou distribucije u opsegu (0,1) sa parametrima oblikovanja (a,b) uzimaju sluajni uzorci, za prevo enje distribucije u distribuciju simuliranih V ili I, treba mapira prirodna stanja na linearnu decimalnu skalu, opseg simuliranih varijabli treba da bude dva reda veliine ili manji, da bi se generisala i oblikovala distribucija, generišu se dve (gama) distribucije sluajnih varijabli–X1 i X2, X1 – adivna konvolucija “a” negavne eksponencijalne sluajne promenljive sa srednjom vrednos jednakom 0,1, X2 – adivna konvolucija “b” eksponencijalne promenljive, (konvolucija – u ovom sluaju sabiranje i delenje u odre enom trenutku), beta distribuirana sluajna varijabla X=X1/(X1+X2) je koecijent konvolucije X1 i adivne konvolucije X1 i X2. Tabela P10.6. IV. sluaj esmacije (E) verovatno e pojave pretnji (V) Beta distribucija je približno zvonastog oblika koji se precizno formira izborom „a“ i „b“ parametara: a – visok, b – nizak pomera srednju vrednost prema 1; b – visok, a – nizak pomera srednju vrednost prema 0; a i b – jednaki, pomeraju srednju vrednost prema 0.5; a i b – visoki proizvode vršnu distribuciju; a i b – niski proizvode ravnu (glatku) distribuciju. Parametarski par >a,b@ bira se tako da re!ektuje procenu menadžera o prirodi pretnje. Skala: H – visok, M – srednji, L – nizak, ima tri kvaliteta: M (veliina): visoka/niska V ili I pomera srednju vrednost desno/levo; H (obezbe uje E): pomera srednju vrednost neznatno desno ili levo; C (poverenje u E): može bi visoko ili nisko, (vršna ili ravna kriva). Može se generisa svih sto moguih kombinacija a i b pošto svaki parametar oblikovanja varira od 1 – 10. Crtanjem rezulrajue distribucije i izborom 27 kombinacija a i b koje daju dijagrame najbolje kombinacije M, H i C, može se generisa oblik distribucije po želji.
P{O
363
V. sluaj esmacije (E) verovatnoe pojave pretnji (V): koris se gde postoji visoka neodre enost V i I i gde su informacije veoma zanimljive širokom krugu ljudi (npr. otkrivanje osetljivih informacija), u ovom modelu analiar treba da poga a korišenjem „skale rangiranja“ ili sa „premošavanjem i podešavanjem“. Tabela P10.7. V. sluaj esmacije (E) verovatno e pojave pretnji (V) Skala rangiranja. kada kvalitavna E, koju naprave konsultan ili menadžment, u e u procenu V ili I pretnje, oni koji daju informacije moraju izabra za procenjenu vrednost najbliži mogui broj na skali od 1 do 5. Zam se ova skala prevede u prirodniju logaritamsku od 0 – 1 vremena i veliine, da bi se došlo do iskorisvih parametara: 0=0; 1=0,1586; 2=0,5000; 3=0,7126; 4=0,8747; 5=1 Napomena: ovo nije stvarna logaritamska skala zbog uvo enja vrednos „0“ za 0 sluajeva, umesto vrednos nešto malo iznad „0“. Prenošenje i podešavanje: analiar upore uje T prema doga ajima ije su verovatnoe i intenzite dobro pozna (npr. fatalnost motornih vozila) i podešavaju odre ivanjem faktora koliko puta je više ili manje verovatna pojava razmatrane T.
Tabela P10.8. Procena štete (cost-benet – ekonomsko tehnika analiza rizika) 1.
bezbe uje komparaciju godišnjih troškova zašte IS prema ceni oekivanih godišnjih gubitaka – ( GG) i svodi svaku analizu rizika na novanu vrednost.
2.
Ne prihvata se sistem zašte ako su troškovi zašte vei od OGG = T x A; T – verovatnoa pojave pretnje/godini, a A – vrednost objekta na koji se pretnja odnosi.
3.
Treba vodi stasku i uradi kompjutersku evaluaciju na realnim pokazateljima.
4.
bavezno analizira prednost provnika, dobijenu nanošenjem nastale štete.
5.
Proceni troškove projektovanja i nadgradnje ošteenog procesa/proizvoda IKTS.
6.
Proceni cenu rada na uklanjanju negavnih posledica napada.
Za automatsku obradu, baza podataka stabla pretnji pohranjuju se u bazu podataka zajedno sa ocenom mere intenziteta I svakog faktora rizika sa nijom gradacijom. Tabela P10.9. Finija gradacija verovatno e pojave pretnji Zanemarljiva Nije verovatno da e se dogodi. Vrlo niska Verovatno e se dogodi 2 – 3 puta svake pete godine. Niska Verovatno e se dogodi jedan put svake godine ili manje. Srednja Verovatno e se dogodi svakih šest meseci ili manje. Visoka Verovatno e se dogodi jedan put svakog meseca ili manje. Vrlo visoka Verovatno e se dogodi više puta svakog meseca ili manje. Ekstremna Verovatno e se dogodi više puta svakog dana.
364
O Š FOJ
PRILOG 11. METODI PROCENE UKUPNOG RIZIKA Metod matrice rizika sa predenisanim vrednosma (IS /IEC 13335–3) Vrednost zike imovine – A se procenjuje u odnosu na troškove zamene ili rekonstrukcije resursa (kvantavna mera). Vrednost programske A se procenjuje isto kao zika A. Vrednost iste A se odre uje intervjuisanjem vlasnika informacija (IoS – izjava o osetljivos), koja pokriva linu bezbednost i podatke, normavne, pravosudne i dr. obaveze, komercijalni i ekonomski interes, nansijske i nematerijalne gubitke poslovnu poliku i operacije. Sve kvantavne vrednos A se konvertuju u kvalitavne (N, S, V). Primenjuju se kriterijumi za odre ivanje vrednos informacija. Za procenu rizika koriste se tri parametra vrednos: A, T i V. Svaka vrednost parametra se procenjuje u odnosu na mogue posledice (gubitke, štetu) – ucaj. Ucaj T se posmatra u odnosu na mogunost iskorišenja neke ranjivos V. Svi parametri se kvankuju proizvoljnom gradacijom (PREPORUKA: N=1, S=2, V=3). Taksonomija pretnji: namerni napad, ucaj okruženja, greške ljudi i kvar opreme. Kompleranje parova pretnje -– ranjivos (T/V) za svaku grupu imovine (A) koji se upore uju sa opsezima predenisanih vrednos. Za kompleranje matrice podaci se skupljaju intervjuom tehnikog osoblja, zikom kontrolom lokacije i revizijom dokumenata. Za svaku A, razmatra se V i korespondirajua kombinovana T. Ako ima V bez korespondirajue T nema tekueg rizika (mora se pra). dgovarajui red u matrici idenkuje se sa vrednos A. dgovarajua kolona se idenkuje sa vrednos ucaja U – posledicom T/V para. Veliina matrice rizika u pogledu broja kategorija (nivoa rangiranja) intenziteta T, V i A mogu se menja po volji organizacije. Primer u dodatku standarda ISO/IEC 13335-3): A: 0 (niska), 1 (znaajna), 2 (srednja),3 (visoka), 4 (vrlo visoka), V: 0 (niska), 1 (srednja), 2 (visoka) T: 0 (niska), 1 (srednja), 2 (visoka R = A +V +T; Rmin=0; Rmax=8 (R – sve celobrojne vrednos Rmin Rmax, ukljuujui i njih. Matrica predenisanih vrednos za procenu idenkuje za svaku kombinaciju relevantne mere nivoa rizika na skali od 1 – 8. Vrednost faktora rizika stavlja se u matricu rizika na struktuiran nain, (Tabela 1.1): Neka je: A=3, T=V, a V=N, faktor rizika R= R = A +( T/ V)= 5. Neka je: A=2, T=N, a V=H, faktor rizika R= R = A +( T/ V)= 4
P{O
365
Tabela P11.1 Matrica predenisanih vrednos za procenu rizika T
A
0
1
2
V
0
1
2
V
0
1
2
V
0
0
0
1
2
0
0
1
2
0
0
1
1
2
3
1
1
2
3
1
1
2
2
3
4
2
2
3
4
2
2
3
3
4
5
3
3
4
5
3
3
4
4
5
6
4
4
5
6
4
4
Metod rangiranja pretnji prema proceni rizika – merenjem rizika ormalno se koriste samo dva parametra: A – ucaj na informacionu imovinu (= vrednos A) i Pu – verovatnoa ucaja ostvarenja pretnje (iskorišenja ranjivos). Implicitno se podrazumeva da je ucaj na informacionu imovinu (A) ekvivalentan njenoj vrednos. Prijetnje – T se procenjuju u odnosu na odgovarajue ranjivos–V (izloženost) i meri verovatnoom ucaja (na A) – Pu. Mogue vrijednos su u rasponu: 1 (mala) – 5 (vrlo velika). Nivo rizika odre uje proizvod h dvaju parametra: R= AxPu
Tabela P11.2. Matrica za rangiranje pretnji (kolona a) prema proceni rizika Opis T (a)
Ucaj (A) (b)
Verovatno a (Pu) (c)
Nivo rizika (R) (d)
Rang pretnje (e)
Pretnja A
5
2
10
2
Pretnja B
2
4
8
3
Pretnja C
3
5
15
1
Pretnja D
1
3
3
5
Pretnja E
4
1
4
4
Pretnja
2
4
8
3
Tok procesa: Evaluira vrednos A prema predenisanoj skali: 1 – 5 za svaku izloženost imovine A (kolona b u Tabeli), gde je 1 – najniža veliina Evaluira verovatnou doga aja pretnje Pu prema predenisanoj skali: 1 – 5 za svaku T (kolona c u Tabeli), gde je 1 – najniža veliina Prorauna nivo rizika R=bxc (kolona d u tabeli) Rangira pretnje (faktore rizika) prema visini nivoa faktora rizika (kolona e u Tabeli)
366
O Š FOJ
Minimalna i maksimalna vrijednost procenjenog rizika iznose: Rmin = Amin x Pumin = 1, Rmax = Amax x Pumax = 25 . Procenjeni rizik može poprimi celobrojne vrednos izme u Rmin i Rmax, ukljuujui i njih, ali iskljuujui proste brojeve izvan raspona vrijednos i njihove višekratnike. PREDNOSTI: metod omoguava: pore enje razliih T sa razliim ucajima na A i verovatnoama doga anja, rangiranje prema prioritema ublažavanja, mogu se pridruži i nansijske (kvantavne) vrednos ako je potrebno. Tabela P11.3. Matrica nivoa rizika u ovom metodu sa preporuenom skalom rangiranja Ucaj
Verovatno a ucaja pretnje (Pu)
Nizak (N) (10)
Srednji (S) (50)
Visok (V)(100)
V (1,0)
N(10x1,0=10)
S(50x1,0=50)
V(100x1,0=100)
S (0,5)
N(10x0,5=5)
S(50x0,5=25)
V(100x0,5=50)
N (0.1)
N(10x0,1=1)
S(50x0,1=5)
V(100x0,1=10)
Rangiranje rizika: V (>50–100); S (>10–50); N (1–10) Metod procene verovatnoe ostvarenja i moguih posledica vaj metod odre uje posledice incidenata i prioritet pojedinih resursa. Tok procesa metoda se sastoji od tri koraka:
Dodeljuje se vrednost (A) svakoj informacionoj imovini, na bazi potencijalnog ucaja u sluaju realizacije neke prijetnje – incidenta (Tp). Za svaku A na koju je primenljiva neka T, pripisuje se vrednost A. Procenjuje se verovatnoa ostvarenja pretnje za neku ranjivost – ucaj (U). Ta verovatnoa predstavlja kombinaciju (zbir/proizvod) mogunos pojave pretnje (Tp) i lakoe iskorištavanja ranjivos (V): U = f(V,T)=V + Tp ili U= VxTp Tabela P11.4. Procene verovatnoe ucaja (ostvarenja pretnje) – U Tp (pretnja)
0
1
2
V (ranjiv)
0
1
2
0
1
2
0
1
2
U (incid.)
0
1
2
0
1
2
0
1
2
P{O
367
Težište je na ucaju incidenta – U i donošenju odluke kojom sistemu treba da prioritet zašte. Procenjuju se dve vrednos za svaku A i R (rizik), ija kombinacija daje vrednost za svaku A. Rizik se procjenjuje kao kombinacija vrednos A i verovatnoe (pretnje) ucaja U: R = f (A ,U) = A +(V + Tp)= A+U Rangiranje vrednos za esmaciju rizika (ISO/IEC 13335–3): A: 0 (niska), 1 (znaajna), 2 (srednja), 3 (visoka), 4 (vrlo velika) Tp: 0 (niska), 1 (srednja), 2 (visoka) V: 0 (niska), 1 (srednja), 2 (visoka) Tabela P11.5. Matrica za procenu rizika A U 0 1 2 3 4
0
1
2
3
4
0 1 2 3 4
1 2 3 4 5
2 3 4 5 6
3 4 5 6 7
4 5 6 7 8
Vrednost u elijama matrice (A/U) se može koris za diferenciranje izme u delova imovine A koji ine sistem. Kada se sumiraju svi rezulta za pojedinanu imovinu sistema, dobije se A sistema. vo se može iskoris za diferenciranje izme u sistema i donošenje odluke kojem sistemu da prioritet zašte. Primer: (sve vrednos su sluajne, koriste se Tabele 1.1 i 1.2): neka sistem S ima: tri imovine A1, A2 i A3 i dve pretnje T1 i T2 primenljive na sistem S; neka je A1=3, A2=2, A3=4; neka je verovatnoa ucaja za A1, T1 = N (0), a verovatnoa iskorišenja ranjivos (V)=S (1), tada je vrednost verovatnoe ucaja – U=1 (Tabela 1.1). Rezultat kombinacije A1/T1 može se derivira iz Tabele 1.2, kao presek vrednos imovine A1=3 i vrednos verovatnoe ucaja U=1, tj. vrednost nivoa rizika = 4. Za A1/T2 neka je verovatnoa pretnje T2= S (1), a mogunost iskorišenja ranjivos (V) = V (2) , bie (Tabela 1.1) U=3, iz Tabele 7.2 vrednost nivoa rizika je 6. Sada se može rauna totalni skor imovine A1/T, tj. T=T1+T2, koji iznosi 10. vaj totalni skor imovine rauna se za svaku posebnu imovinu i primenljivu pretnju. Totalni skor sistema (ST) rauna se sumiranjem A1T+A2T+A3T=ST. Sada se razlii sistemi mogu uporedi i uspostavi prioritet zašte, kao i zašte razliite A u jednom sistemu. va analiza je primenjena za IKT sistem, ali može i za poslovne procese.
368
O Š FOJ
Metod disnkcije izme u prihvatljivog i neprihvatljivog rizika (HESTIA) dre uje se u kojem je sluaju hitno potrebno reagova na rizik, a kada se treranje rizika ne mora obavi odmah. Prema ovoj metodi rizik može bi: prihvatljiv (P) ili neprihvatljiv (N). Metoda odvajanja prihvatljivih i neprihvatljivih rizika predstavlja u stvari varijaciju metode tri – procena verovatnos pretnji – moguih posljedica (ucaja) ili metode 1 (matrica predenisanih vrednos). U ovom pristupu faktor rizika – Ri je: Ri=A x Pu (vrednost imovine x verovatnoa ucaja) Matrica prihvatljivih i neprihvatljivih rizika za esmaciju faktora rizika prema matrici 5x5 (1 do 5) sa rangiranjem A i Pu: 1 - nizak, 2 - znaajan, 3 - srednji, 4 - srednje visok i 5 visok, prikazana je u Tabeli P11.6. Tabela P11.6 Matrica prihvatljivih i neprihvatljivih rizika A Pu 1 2 3 4 5
1
2
3
4
5
1 2 3 4 5
2 4 6 8 10
3 6 9 12 15
4 8 12 16 20
5 10 15 20 25
Procena rizika koris se samo za rangiranje faktora rizika prema nivou štetnog ucaja, tako da se može odlui za koje se faktore rizika moraju primeni hitne akcije, koji se mogu ublaži sa manje rada i troškova, a koji se moraju samo pra (monitorisa). Liniju izme u prihvatljivog i neprihvatljivog rizika povlai vlasnik/menadžer sistema. U navedenom primeru prihvatljivi rizici (grupe rizika) su do nivoa 4; moraju se monitorisa i sukscesivno trera, svi rizici u opsegu 4 – 15; rizici u opsegu 15 – 16 su znaajni i treba ih planski trera, a rizici u opsegu 20 – 25 su krini i treba ih hitno trera.
P{O
369
PRILOG 12. KONTROLNA LISTA PROCESA IMPLEMENTACIJE POLITIKE I PROCEDURA ZAŠTITE Tabela P12.1. Kontrolna (ek) lista procesa implementacije polike i procedura zašte Kontrolna lista pitanja Da li je od celokupne upravne strukture dobijena potpuna podrška za razvoj polike, standarda, uputstava i procedura zašte? Da li je upravna struktura pokazala da je zaista ozbiljna u pogledu znaaja podataka i informacija kao dragocenih objekata imovine organizacije i da potpuno veruje u program zašte, kojeg je autorizovala, na odgovarajui nain prezenrala svim zaposlenim i odobrila (naredila) implementaciju? Da li je obezbe eno da sve kompetentne org. jedinice organizacije uestvuju u razvoju i realizaciji polike zašte, svesno i sa oseanjem vlaste odgovornos, da bi se reducirale prepreke i nerazumevanja? (IS, nadzor i kontrola, upravljanje rizikom, pravna i kadrovska pitanja, kljune korisnike organizacije su grupe koje treba ukljui). Da li su razmatrani faktori realne kulture i ekih principa organizacije kao i drugi jedinstveni zahtevi u razvoju polike, standarda, uputstava i procedura zašte? Da li su obezbe eni uslovi za propisnu implementaciju rezultata procesa analize rizika paralelno sa razvojem polike, standarda, uputstava i procedura zašte? Da li je upravna struktura preduzela korake da svi zaposleni budu svesni aktuelne promocije i implementacije polike, standarda, uputstava i procedura zašte? Da li je u svakoj org. jedinica postavljen (imenovan, zadužen) predstavnik ili koordinator zašte podataka i informacija? Da li je planirana obuka za sve kategorije zaposlenih radi podizanje sves o potrebi i upoznavanja sa elemenma polike, standarda, uputstava i procedura zašte, posebno sa specinim dužnosma i odgovornosma u oblas zašte? Postoji li konnualno ažuriranje polike, standarda, uputstava i procedura zašte, da bi se obezbedila implementacija novih revidiranih zahteva organizacije? Da li se u cilju održavanja i ažuriranja sves o potrebi zašte redovno održavaju odgovarajui sastanci, publikuju brošure, posteri, objavljuju radovi u internim asopisima? Da li su specian pojedinac ili grupa zaduženi za implementaciju Programa zašte organizacije?
370
O Š FOJ
DA
NE
Odlukom Senata Univerziteta “Singidunum”, Beogrаd, broj 636/08 od 12.06.2008, ovaj udžbenik je odobren kao osnovno nastavno sredstvo na studijskim programima koji se realizuju na integrisanim studijama Univerziteta “Singidunum”.
CIP - Каталогизација у публикацији Народна библиотека Србије, Београд 007:004.056(075.8) МИЛОСАВЉЕВИЋ, Милан, 1952Osnove zaštite informacija : metodološko-tehnološke osnove / Milan Milosavljević, Gojko Grubor. - Beograd : #Univerzitet #Singidunum, 2010 (Loznica : Mladost grup). - XIX, 370 str. : ilustr. ; 24 cm Tiraž 300. - Bibliografija: str. 330-333. ISBN 978-86-7912-313-8 1. Грубор, Гојко, 1949- [аутор] a) Информациона технологија - Безбедност COBISS.SR-ID 180526604
© 2010. Sva prava zadržana. Ni jedan deo ove publikacije ne može biti reprodukovan u bilo kom vidu i putem bilo kog medija, u delovima ili celini bez prethodne pismene saglasnosti izdavača.