Primena standarda SRPS ISO/IEC 27001:2011

March 8, 2017 | Author: misad91 | Category: N/A
Share Embed Donate


Short Description

Download Primena standarda SRPS ISO/IEC 27001:2011...

Description

Univerzitet u Beogradu Fakultet organizacionih nauka Laboratorija za elektonsko poslovanje

Primena standarda SRPS ISO/IEC 27001:2011 za upravljanje informacionom bezbednošću Seminarski rad iz Elektronskog poslovanja

Nastavnik: Zorica Bogdanović Saradnik: Aleksandar Milić Student:

Beograd, 2014.

Primena standrada za upravaljanje informacionom bezbednošću

SADRŽAJ

1. 2.

UVOD....................................................................................................................4 Sigurnost informacija.........................................................................................5 2.1. Sigurnost informacija...................................................................................................5 2.2. Ocenjivanje rizika po sigurnosti...................................................................................6 2.3. Polazna tačka u sigurnosti informacija.........................................................................7 2.4. Ktritični faktori uspeha.................................................................................................7 2.5. Izrada sopstvenih smernica i uputstava........................................................................8 2.6. Definicije..........................................................................................................................8 3. Kontrola pristupa..............................................................................................11 3.1. Upravljanje pristupom korisnika................................................................................11 3.2. Odgovornost korisnika...............................................................................................11 Korišćenje lozinke.............................................................................................................11 Nenadgledana korisnikova oprema...................................................................................12 Politika praznog stola i praznog ekrana............................................................................13 3.3. Kontrola pristupa na mreži.........................................................................................14 Politika korišćenja mrežnih usluga...................................................................................14 Provera verodostojnosti korisnika za spoljne priključke..................................................15 Indetifikovanje opreme u mrežama..................................................................................16 Zaštita priključka za daljinsku dijagnostiku i konfigurisanje...........................................16 Razdvajanje u mrežama....................................................................................................17 Kontrola povezivanja na mrežu........................................................................................18 Kontrola preusmeravanja u mreži.....................................................................................18 3.4. Kontrola pristupa operativnom sistemu.....................................................................19 Procedure za sigurno prijavljivanje..................................................................................19 Indetifikovanje i utvrđivanje verodostojnosti korisnika...................................................20 Sistem za upravljanje lozinkama......................................................................................21 Korišćenje pomoćnih funkcija sistema.............................................................................22 Vremensko ograničenje trajanja sesije..............................................................................22 Ograničenje trajanja povezivanja......................................................................................23 3.5. Kontrola pristupa aplikacijama i informacijama........................................................23 Ograničenje pristupa informacijama.................................................................................24 Izdvajanje osetljivih sistema.............................................................................................24 3.6. Mobilno računarstvo i rad na udaljenosti...................................................................25 Mobilno računarstvo i komunikacije................................................................................25 Rad na udaljenosti.............................................................................................................26 4. CASE STUDY.....................................................................................................29 4.1.Studija slučaja Fredrickson International........................................................29 4.2.Studija slučaja SVM Europe..............................................................................31 Zašto sertifikacija?............................................................................................................32 Implementacija..................................................................................................................32 Koristi...............................................................................................................................33 2

Primena standrada za upravaljanje informacionom bezbednošću

5. 6.

Zaključak............................................................................................................34 Literatura............................................................................................................35

3

Primena standrada za upravaljanje informacionom bezbednošću

1. UVOD Informacije predstavljaju jedan od najvažnijih poslovnih resursa u savremenom poslovanju. Informacija predstavlja podatak sa određenim značenjem, može biti štampana ili napisana na papiru, memorisana elektronski, prenesena poštom ili elektronskim putem, prikazana na korporacijskom web sajtu, verbalna - izgovorena u konverzaciji, ili u vidu znanja - kao veštine zaposlenih. Informacije moraju biti adekvatno zaštićene, bez obzira u kom obliku se čuvaju. Sigurnost informacija se ostvaruje uvođenjem pogodnog skupa kontrola, koje mogu biti politika, praksa, procedure, organizacione strukture i softverske funkcije. Sigurnosne mere uključuju mehanizme i procedure koje se implementiraju u cilju odvarćanja, prevencije, detekcije i opravke od uticaja od incidentnih događaja a koji deluju na poverljivost, celovitost i raspoloživost podataka i odgovarajućih servisa i resursa, uključujući izveštavanje o sigurnosnim incidentima. Sigurnost informacija je ustvari proces upavljanja rizikom. Upravljanje rizicima treba da bude stalan i kontinuiran proces pošto su rizici sami po sebi promenljivi, a sa druge strane stalno se generišu novi kao odraz promenljivog okruženja u kome organizacija ostvaruje svoju misiju. To znači da je neophodno da se periodično preispituju rizici, kao i pretnje i slabosti informacionih resursa. Ovo je upravo ono na čemu se bazira menadzment za sigurnost informacija - ISMS. ISO/IEC 27001 je deo rastuće ISO/IEC 27000 serije standarda, a nastao je na osnovu standarda BS 7799 (British Standards). Objavljen je u oktobru 2005. od strane međunarodne organizacije za standardizaciju (ISO) i međunarodne elektrotehnicke komisije (IEC). Pun naziv je ISO/IEC 27001:2005 - Informaciona tehnologija – Sigurnosne tehnike - Sistemi upravljanja informacione sigurnosti Zahtevi, ali je obično poznat kao "ISO 27001". Namenjen je da se koristi zajedno sa ISO/IEC 27002 (Kodeks prakse za informisanje uprave bezbednosti), koji izlistava listu sigurnosnih kontrolnih ciljeva i preporučuje niz specifičnih bezbednosnih kontrola. Ovaj standard propisuje zahteve za ustanovljavanje, implementaciju, kontrolu i unapređenje ISMS-a, sistema za upravljanje bezbednošću informacija. Standard je primenjiv na sve vrste organizacija (komercijalne, neprofitne, državne institucije, itd.) i sve veličine organizacija, od malih pa do velikih svetskih organizacija. Standard ISO/IEC 27001 se sastoji od 5 delova i to od: 1. Sistem za zaštitu informacija, 2. Odgovornost rukovodećih ljudi, 3. Unutrašnje provere sistema za zaštitu informacija, 4. Provera valjanosti sistema za zaštitu informacija, 5. Poboljšanja na sistemu za zaštitu informacija.

4

Primena standrada za upravaljanje informacionom bezbednošću

2. Informacije Informacije predstavljaju određenu imovinu koja je, kao i druga važna poslovna imovina, od suštinskog značaja za poslovanje neke organizacije i stoga je potrebno da se ona odgovarajuće zaštiti. Ovo je posebno važno u rastućem uzajamno povezanom poslovnom okruženju. Kao rezultat ove rastuće uzajamne povezanosti, informacije su sada izložene rastućem broju i širem mnoštvu pretnji i ranjivosti (videti takođe Smernice OECD-a za sigurnost informacionih sistema i mreža). Informacije mogu postojati u mnogo oblika. One mogu biti odštampane ili ispisane na papiru, uskladištene u elektronskom obliku, mogu se slati poštom ili primenom elektronskih sredstava, prikazati na filmovima ili izreći u razgovoru. Bilo koji oblik da informacije imaju, ili sredstva preko kojih se one zajednički koriste ili na kojima se čuvaju, one uvek treba da budu odgovarajuće zaštićene. Sigurnost informacija predstavlja zaštitu od širokog opsega pretnji kako bi se osigurao kontinuitet poslovanja, rizik u poslovanju sveo na najmanju moguću meru i uvećao prihod od investicija i povoljnih poslovnih prilika. Sigurnost informacija se postiže implementacijom pogodnog skupa i kontrola, uključujući politike, procese, procedure, organizacione strukture, kao i softverske i hardverske funkcije. Ove kontrole treba uspostaviti, implementirati, nadgledati, preispitivati i poboljšavati onda kada je to neophodno, kako bi se u organizaciji osiguralo ispunjavanje specifičnih sigurnosnih i poslovnih ciljeva. Ovo treba raditi u sprezi sa drugim procesima upravljanja poslovanjem.[5]

Slika 1. Informacije u organizaciji

5

Primena standrada za upravaljanje informacionom bezbednošću

2.1. Sigurnost informacija Informacije i procesi podrške, sistemi i mreže predstavljaju važnu poslovnu imovinu. Definisanje, ostvarivanje, održavanje i poboljšavanje sigurnosti informacija mogu imati presudni značaj za održanje na granici konkurentnosti, gotovinskih tokova, isplativosti, pravne usklađenosti i poslovnog ugleda. Organizacije i njihovi informacioni sistemi i mreže suočavaju se sa pretnjama po sigurnost iz širokog opsega izvora, uključujući prevare uz korišćenje računara, špijuniranje, sabotaže, vandalizme, požare ili poplave. Uzroci štete, kao što su maliciozni kod, provaljivanje u računare i otkaz usluga, postali su češći, ambiciozniji i usavršeniji. Sigurnost informacija podjednako je važna za poslovanje u javnom i u privatnom sektoru, kao i za zaštitu kritičnih infrastruktura. U oba sektora, sigurnost informacija funkcioniše kao mehanizam koji omogućuje npr. da se ostvari elektronska uprava ili elektronsko poslovanje, a da se izbegnu ili umanje odgovarajući rizici. Međusobno povezivanje javnih i privatnih mreža i zajedničko korišćenje informacionih resursa otežava ostvarivanje kontrole pristupa. Trend ka distribuiranom radu računara oslabio je i efikasnost centralne, specijalizovane kontrole. Mnogi informacioni sistemi nisu projektovani tako da budu sigurni. Sigurnost koja se može ostvariti tehničkim sredstvima je ograničena i treba da bude podržana odgovarajućim upravljanjem i procedurama. Identifikovanje kontrola koje treba postaviti zahteva pažljivo planiranje i obraćanje pažnje na detalje. Za upravljanje sigurnošću informacija kao minimum se zahteva učešće svih zaposlenih u organizaciji. To može takođe zahtevati učešće deoničara, isporučilaca, trećih strana, korisnika ili drugih spoljnih strana. Takođe mogu biti potrebni saveti specijalista eksternih strana. [2]

Slika 2. Sigurnost informacija

6

Primena standrada za upravaljanje informacionom bezbednošću

Uspostavljanje zahteva za sigurnost Suštinsko je da organizacija identifikuje svoje zahteve za sigurnost. Postoje tri glavna izvora zahteva za sigurnost. 1.Prvi izvor se dobija na osnovu ocenjivanja rizika po organizaciju, uzimajući u obzir ukupnu poslovnu strategiju i ciljeve organizacije. Kroz ocenjivanje rizika identifikuju se pretnje po imovinu, vrednuju se ranjivost i verovatnoća njihovog pojavljivanja i predviđaju se moguće posledice. 2.Drugi izvor čine zakonski, statutarni, propisani i ugovorni zahtevi koje neka organizacija, njeni trgovinski partneri, ugovarači i davaoci usluga moraju da zadovolje, kao i njihovo socijalno-kulturno okruženje. 3.Sledeći izvor čini poseban skup principa, ciljeva i poslovnih zahteva za obradu informacija koje je neka organizacija razvila za podršku svom radu.

2.2. Ocenjivanje rizika po sigurnosti Zahtevi za sigurnost identifikuju se metodičkim ocenjivanjem rizika po sigurnost. Troškovi kontrola treba da su u ravnoteži sa štetom u poslovanju koja bi mogla nastati kao rezultat otkaza sigurnosti. [2] Rezultati ocenjivanja rizika pomoći će u vođenju i utvrđivanju odgovarajuće akcije menadžmenta i prioritete kod upravljanja rizicima po sigurnost informacija, kao i za implementaciju kontrola izabranih da bi štitile od tih rizika. Ocenjivanje rizika potrebno je ponavljati periodično kako bi se obuhvatile izmene koje bi mogle uticati na rezultate ocenjivanja rizika. Kada su zahtevi za sigurnost i rizici identifikovani, kao i kada su donete odluke o postupanju sa rizicima, treba odabrati i implementirati odgovarajuće kontrole kako bi se osiguralo da se rizici smanje na prihvatljiv nivo. Kontrole se mogu odabrati na osnovu ovog standarda ili iz drugih skupova kontrola, ili se mogu projektovati nove kontrole kao odgovarajuće da bi se zadovoljile specifične potrebe. Izbor sigurnosnih kontrola zavisi od odluka same organizacije zasnovanim na kriterijumima za prihvatljivost rizika, opcijama postupanja sa rizicima, kao i na opštem pristupu upravljanju rizicima koji organizacija primenjuje, a treba takođe da podleže svim odgovarajućim nacionalnim i međunarodnim zakonima ili propisima. Neke od kontrola iz ovog standarda mogu se kod upravljanja zaštitom informacija smatrati za vodeće principe upravljanja sigurnošću i kao primenljive u većini organizacija. One su detaljnije objašnjene u daljem tekstu pod naslovom "Polazna tačka u sigurnositi informacija".

2.3. Polazna tačka u sigurnosti informacija Mnoge od kontrola mogu se smatrati dobrom polaznom tačkom za implementaciju sigurnosti informacija. One se zasnivaju ili na suštinskim pravnim zahtevima ili se smatraju za ustaljenu praksu u sigurnosti informacija. 7

Primena standrada za upravaljanje informacionom bezbednošću

Kontrole koje se smatraju suštinskim za neku organizaciju sa zakonske tačke gledišta obuhvataju, u zavisnosti od primenljivih zakona: [2] a) zaštitu podataka i tajnost informacija o ličnosti; b) zaštitu zapisa organizacije; c) zaštitu prava intelektualne svojine; Kontrole koje se smatraju uobičajenom praksom u sigurnosti informacija obuhvataju: a) dokument o politici sigurnosti informacija; b) raspodelu odgovornosti za sigurnost informacija; c) upoznavanje, obrazovanje i obuku o sigurnosti informacija; d) ispravnu obradu u aplikacijama; e) menadžment tehničkom ranjivošću; f) upravljanje kontinuitetom poslovanja; g) upravljanje pri incidentima narušavanja sigurnosti i poboljšanjima. Ove kontrole se odnose na većinu organizacija i na većinu okruženja. Treba napomenuti da, iako su sve kontrole iz ovog standarda važne i treba ih uzeti u obzir, relevantnost svake kontrole treba utvrditi u svetlu specifičnih rizika sa kojima se neka organizacija suočava. Otuda, iako se navedeni pristup smatra za dobru polaznu tačku, on ne može zameniti izbor kontrola zasnovanih na ocenjivanju rizika.

2.4. Kritični faktori uspeha Iskustvo je pokazalo da su za uspešnu implementaciju sigurnosti informacija unutar neke organizacije često kritični sledeći činioci: a) politika sigurnosti informacija, ciljevi i aktivnosti koje odražavaju poslovne ciljeve; b) pristup i okvir implementacije, održavanja, nadgledanja i unapređivanja sigurnosti koji je dosledan sa kulturom u organizaciji; c) vidljiva podrška i obavezivanje na svim nivoima rukovođenja; d) dobro razumevanje zahteva za sigurnost informacija, ocenjivanje rizika i upravljanje rizicima; e) efikasna promocija sigurnosti informacija kod svih rukovodilaca, zaposlenih i ostalih učesnika radi adekvatne informisanosti; f) distribucija smernica politike sigurnosti informacija i standarda svim rukovodiocima, zaposlenima i ostalim učesnicima; g) obezbeđenje sredstava za aktivnosti upravljanja sigurnošću informacija; h) obezbeđivanje odgovarajućih poznavanja, školovanja i obuke; i) uspostavljanje efikasnog procesa upravljanja pri incidentima narušavanja sigurnosti informacija; j) implementacija sistema merenja1) koji se koristi za vrednovanje učinka u upravljanju sigurnošću informacija i povratni predlozi za poboljšanje.

8

Primena standrada za upravaljanje informacionom bezbednošću

2.5. Izrada sopstvenih smernica i uputstava Ova pravila prakse mogu se smatrati polaznom tačkom za izradu specifičnih uputstava za neku organizaciju. Ne moraju sve smernice i kontrole iz ovih pravila prakse biti primenljive. Pored toga, mogu biti potrebne dodatne kontrole koje nisu obuhvaćene ovim standardom. Prilikom izrade dokumenata koji sadrže dodatne smernice ili kontrole, može biti korisno da se, onda kada je to potrebno, uključe uporedne liste tačaka iz ovog standarda kako bi se olakšala provera usklađenosti koju sprovode proveravači i poslovni partneri.

2.6. Definicije [3] Za potrebe ovog dokumenta koriste se određeni pojmovi i njihove defincije. Ovde su date neke od njih: Imovina (sredstvo) Sve ono što za određenu organizaciju ima neku vrednost [ISO / IEC 13335-1:2004] Raspoloživost (availability) Svojstvo dostupnosti upotrebljivosti na zahtev ovlašćenog entiteta [ISО/IEC 13335-1:2004] Poverljivost (confidentiality) Svojstvo da informacija ne може biti dostupna ili obelodanjena neovlašćenim osobama, entitetima ili procesima [ISО/IEC 13335-1:2004] Bezbednost informacija (information security) Očuvanje poverljivosti integriteta i raspoloživosti informacija; osim toga, mogu biti obuhvaćena I druga svojstva kao što su verodostojnost, nadležnost, neporecivost i pouzdanost [ISО/IEC 17799:2005] Događaj u vezi sa bezbednošću informacija (information security event) Identifikovana pojava u sistemu, usluzi ili stanju na mrezi koja ukazuje na moguće narušavanja politike bezbednosti informacija ili na otkaz zaštite ili situacije koja predhodno nije bila poznata I koja se može odnositi na bezbednost [ISО/IEC TR 18044:2004] Incident narušavanja bezbednosti informacija (information security incident) Jedan ili niz neželjenih ili neočekivanih događaja u vezi sad bezbednošću informacija za koje postoje znatni izgledi da će kompromitovati poslovne aktivnosti i zapretiti bezbednosti informacija [ISО/IEC TR 18044:2004] System menadžmenta management system) ISMS

bezbednošću

informacija

(information

security

9

Primena standrada za upravaljanje informacionom bezbednošću

Deo ukupnog sistema menadžmenta, koji se zasniva na pristup poslovnom riziku, za uspostavljanje,implementiranje, primenjivanje, praćenje, preispitivanje, održavanje i poboljšavanje bezbednosti informacija. Integritet (integrity) Celokupnost svojstvo zaštite i kompletnosti imovine. [ISО/IEC 13335-1:2004] Preostali rizici (residual risk) Rizik koje ostaje nakon postupanja sa rizikom [ISО/IEC Guide 73:2002] Prihvatanje rizika (risk acceptance) Odluka da se prihvati rizik [ISО/IEC Guide 73:2002] Analiza rizika (risk analysis) Sistemsko korišćenje informacija da bi se identifikovali izvori I procenio rizik [ISО/IEC Guide 73:2002] Ocenjivanje rizika (risk assessment) Sveobuhvatni process analize I vrednovanje rizika [ISО/IEC Guide 73:2002] Vrednovanje rizika (risk evaluation) Process upoređivanja procenjenog rizika u odnosu na kriterijume rizika kako bi se odradio značaj tog rizika [ISО/IEC Guide 73:2002] Menadžment rizikom (risk management) Koordisanje aktivnosti usmeravanja I kontrolisanje u nekoj organizaciji u vezi sa rizicima [ISО/IEC Guide 73:2002] Postupanje sa rizikom (risk treatment) Process izbora I implementacije mera kako bi se rizik modifikovao [ISО/IEC Guide 73:2002] Izjava o primenljivosti (statement of applicability) Dokumentovana izjava koja opisuje ciljeve kontrola I kontrole koje su relevantne I primenjive na ISMS organizacije.

10

Primena standrada za upravaljanje informacionom bezbednošću

3. Kontrola pristupa 3.1. Upravljanje pristupom korisnika Cilj je osiguranje pristupa ovlašćenim korisnicima i sprečavanje neovlašćenog pristupa informacionim sistemima. [3] Treba da postoje formalne procedure za kontrolu dodele prava za pristup informacionim sistemima i uslugama. Ove procedure treba da obuhvate sve faze životnog ciklusa pristupa korisnika, od polaznog registrovanja novih korisnika do završnog brisanja iz registra onih korisnika kojima više nije potreban pristup informacionim sistemima i uslugama. Posebnu pažnju treba pokloniti, onda kada to odgovara, potrebi za kontrolisanjem dodele prava na privilegovani (povlašćeni) pristup, koja korisnicima omogućuju prevladavanje sistemskih kontrola

3.2. Odgovornost korisnika Cilj je sprečiti pristup neovlašćenih korisnika i kompromitovanje ili krađu informacija i sredstava za obradu informacija. [3] Za efektivnu sigurnost osnovna je saradnja iz među ovlašćenih korisnika. Korisnici treba da budu svesni svojih odgovornosti za održavanje efektivnosti kontrola pristupa, posebno u pogledu korišćenja lozinki i sigurnosti korisnikovih uređaja. Da bi se smanjio rizik od neovlašćenog pristupa, gubljenja ili oštećenja papira, medijuma i sredstava za obradu informacija, treba implementirati politiku praznog stola i praznog ekrana.

Korišćenje lozinke Kontrola Prilikom izbora i korišćenja lozinki, od korisnika treba zahtevati da se pridržavaju dobrih praksi sigurnosti. Smernice za implementaciju Svim korisnicima treba savetovati da: a) lozinke drže u tajnosti; b) izbegavaju čuvanje lozinki u pisanom obliku (npr. na papiru, u softverskoj datoteci ili na uređajima koji se nose u ruci), osim ako se ovi mogu skladištiti na siguran način, a metoda skladištenja je odobrena;

11

Primena standrada za upravaljanje informacionom bezbednošću

c) zamenjuju lozinke uvek kada postoji kompromitovanja sistema ili lozinke;

bilo kakav nagoveštaj

mogućeg

d) odaberu pouzdane lozinke dovoljne najmanje dužine, koje se: 1) lako pamte; 2) nisu zasnovane na bilo čemu što bi neko drugi mogao lako da pogodi ili da dobije korišćenjem ličnih podataka osobe, npr. imena, telefonskih brojeva, datuma rođenja itd.; 3) koje nisu ranjive prema napadima pomoću rečnika (tj. ne sastoje se od reči koje su sadržane u rečnicima); 4) da u sebi ne sadrže uzastopne identične isključivo brojčane ili slovne znakove; e) zamenjuju lozinke u pravilnim razmacima ili na osnovu broja pristupa (lozinke za povlašćene račune treba menjati češće od normalnih lozinki), kao i da izbegavaju ponovno korišćenje ili ponavljanje starih lozinki; f) zamenjuju privremene lozinke pri prvom prijavljivanju; g) da lozinke ne stavljaju u bilo koji automatizovani postupak prijavljivanja, npr. ubacivanjem pod makro ili funkcionu tipku; h) da ne koriste zajednički istu lozinku pojedinačnog korisnika; i) da ne koriste istu lozinku za poslovne i neposlovne namene. Ako je korisnicima potrebno da pristupaju većem broju usluga, sistema ili platformi, pa se od njih zahteva da imaju višestruke zasebne lozinke, treba ih savetovati da mogu da koriste jedinstvenu, pouzdanu lozinku [videti prethodno pod d] za sve usluge za koje je korisnik siguran da je unutar svake usluge, sistema ili platforme uspostavljen razuman nivo zaštite za skladištenje lozinke. Ostale informacije Upravljanje sistemom za pomoć u pogledu izgubljenih ili zaboravljenih lozinki zahteva posebnu pažnju, jer to takođe može da bude sredstvo za napad na sistem sa lozinkama.

Nenadgledana korisnikova oprema Kontrola Korisnici treba da osiguraju da oprema koja je bez nadzora ima odgovarajuću zaštitu. Smernice za implementaciju Svi korisnici treba da budu upoznati sa zahtevima za sigurnost i procedurama za zaštitu uređaja koji su bez nadzora, kao i sa svojim odgovornostima za implementaciju takve zaštite. Korisnicima treba savetovati: a) da po završetku okončaju aktivne sesije (poslove), osim ako se one mogu osigurati odgovarajućim mehanizmom zaključavanja, npr. automatsko gašenje ekrana zaštićeno lozinkom; 12

Primena standrada za upravaljanje informacionom bezbednošću

b) da se po završetku sesije (posla) odjave sa glavnih računara, servera i kancelarijskih ličnih (PC) računara (tj. da nije dovoljno da samo isključe napajanje ekrana na PC ili terminalskom uređaju); c) da lične računare (PC) ili terminalske uređaje, onda kada nisu u upotrebi, osiguraju od neovlašćenog korišćenja primenom bravice sa ključem ili nekom ekvivalentnom kontrolom, npr. pristupom pomoću lozinke. Ostale informacije Kada se uređaji instalisani kod korisnika ostavljaju duže vreme bez nadzora, npr. radne stanice ili serveri sa datotekama, za njih se može zahtevati posebna zaštita od neovlašćenog pristupa.

Politika praznog stola i praznog ekrana Kontrola Za pokretne medijume za skladištenje i za papire treba usvojiti politiku praznog stola, a za sredstava za obradu informacija politiku praznog ekrana. Smernice za implementaciju Politika praznog stola i praznog ekrana treba da uzme u obzir klasifikovanje informacija, zakonske i ugovorne zahteve, kao i odgovarajuće rizike i kulturne aspekte u organizaciji. Treba uzeti u obzir sledeće smernice: a) osetljive ili kritične poslovne informacije, npr. na papiru ili na elektronskim medijumima za skladištenje, onda kada se ne koriste treba zaključavati (idealno u sefu ili ormanu ili u drugim oblicima pouzdanog nameštaja), posebno kada se kancelarije isprazne; b) računare i terminalske uređaje, onda kada su bez nadzora treba ostavljati odjavljene sa sistema i zaštićene pomoću mehanizma za zaključavanja ekrana i tastature koji se pokreće pomoću lozinke, žetona (tokena) ili sličnim mehanizmom za proveru verodostojnosti korisnika, a onda kada nisu u upotrebi treba ih zaštititi pomoću bravica sa ključem, lozinki ili drugih kontrola; c) treba zaštititi mesta dolazne i odlazne pošte i uređaje za faksimil koji se ne nadgledaju; d) treba sprečiti neovlašćeno korišćenje aparata za fotokopiranje i drugih sredstava za reprodukovanje (npr. skenera, digitalnih kamera); e) dokumente koji sadrže osetljive ili klasifikovane informacije, posle štampanja treba odmah ukloniti iz štampača. Ostale informacije Politika praznog stola i praznog ekrana umanjuje rizike od neovlašćenog pristupa, gubljenja i oštećenja informacija u toku i izvan normalnog radnog vremena. Sefovi ili drugi oblici sigurnih sredstava za skladištenje mogu takođe da zaštite sadržane informacije od katastrofa, kao što su požar, zemljotres, poplava ili eksplozija. Treba predvideti korišćenje štampača sa funkcijom igličastog kodovanja, tako da izvorni autori budu jedini koji mogu da dobiju odštampane stvari, pritom samo onda kada stoje neposredno uz štampač 13

Primena standrada za upravaljanje informacionom bezbednošću

3.3. Kontrola pristupa na mreži Cilj je sprečiti neovlašćeni pristup mrežnim uslugama. Pristup uslugama treba kontrolisati i na internim i na eksternim mrežama. Da pristup korisnika na mrežu i mrežnim uslugama ne bi narušio sigurnost ovih usluga, neophodno je obezbediti sledeće: a) odgovarajuće interfejse (prelazne spojeve) između sopstvene mreže u organizaciji i mreža čiji su vlasnici druge organizacije, ili javnih mreža; b) odgovarajuće mehanizme za utvrđivanje verodostojnosti korisnika i uređaja; c) sprovođenje kontrole pristupa korisnika informacionim uslugama.

Politika korišćenja mrežnih usluga Kontrola Korisnicima treba obezbediti direktan pristup samo onim uslugama za koje imaju specifično ovlašćenje za korišćenje. Smernice za implementaciju Treba formulisati politiku u pogledu korišćenja mreža i mrežnih usluga. Ovom politikom treba da bude obuhvaćeno sledeće: a) mreže i mrežne usluge kojima je pristup dozvoljen; b) procedure autorizacije radi utvrđivanja kome je odobren pristup, kojoj mreži i kojim uslugama; c) postupci i procedure upravljanja za zaštitu pristupa mrežnim priključcima i uslugama; d) sredstva koja se koriste za pristup mrežama i mrežnim uslugama (npr. uslovi za dozvolu pristupa sa biranjem broja ka davaocu usluga na mreži Internet ili ka udaljenom sistemu). Ova politika korišćenja mrežnih usluga treba da bude dosledna sa politikom kontrole poslovnog pristupa. Ostale informacije Neovlašćeni i nezaštićeni priključci na mrežne usluge mogu imati posledice na celu organizaciju. Ova kontrola je posebno važna kod mrežnih priključaka na osetljive ili kritične poslovne aplikacije ili za korisnike na mestima velikog rizika, npr. na javnim ili spoljnim oblastima koje su izvan kontrole i upravljanja sigurnošću u organizaciji.

Provera verodostojnosti korisnika za spoljne priključke Kontrola

14

Primena standrada za upravaljanje informacionom bezbednošću

U slučaju pristupa udaljenih korisnika treba odabrati odgovarajuće metode za utvrđivanje verodostojnosti korisnika. Smernice za implementaciju Provera verodostojnosti udaljenih korisnika može se ostvariti primenom, na primer postupka na kriptografskoj osnovi, hardverskim žetonima (tokenima), ili protokolom sa upitom/odgovorom. Moguće implementacije takvih tehnika mogu se naći u raznim rešenjima za virtuelne privatne mreže (VPN). Da bi se obezbedila sigurnost izvora priključaka, mogu se takođe koristiti posebno dodeljeni privatni vodovi. Zaštita od neovlašćenog i neželjenog priključivanja na sredstva za obradu informacija u organizaciji može da se obezbedi procedurama i kontrolama sa povratnim pozivanjem, npr. korišćenjem modema sa povratnim biranjem. Ovim tipom kontrole utvrđuje se verodostojnost korisnika koji pokušavaju da sa udaljenih lokacija uspostave vezu sa mrežom neke organizacije. Kada koristi ovu kontrolu, organizacija ne bi trebalo da koristi usluge na mreži koje uključuju prosleđivanje poziva ili, ako to čine, treba da onemoguće primenu takvih funkcija kako bi se izbegla slabljenja zaštite koja se vezuju uz prosleđivanje poziva. Proces povratnog pozivanja treba da osigura da se sprovede stvarno raskidanje veze na strani organizacije. U suprotnom, udaljeni korisnik bi mogao da zadrži vôd otvoren, praveći se da je verifikovanje povratnim pozivanjem uspelo. Procedure i kontrole u slučaju povratnog pozivanja treba detaljno proveriti u pogledu ove mogućnosti. Kao alternativno sredstvo za proveru verodostojnosti grupa udaljenih korisnika, onda kada su oni priključeni na sigurna zajednička računarska sredstva, može služiti provera verodostojnosti u čvorištima. Za proveru verodostojnosti u čvorištima mogu se koristiti kriptografske tehnike zasnovane, npr. na mašinskim sertifikatima. Ovo je deo nekoliko rešenja koja se zasnivaju na virtuelnim privatnim mrežama VPN. Za kontrolu pristupa u bežičnim mrežama treba ugraditi dopunske kontrole za proveru verodostojnosti. Posebno, specijalna pažnja je potrebna prilikom izbora kontrola za bežične mreže zbog većih mogućnosti za neprimetno prisluškivanje i ubacivanje u saobraćaj na mreži. Ostale informacije Spoljni priključci pružaju mogućnost neovlašćenog pristupa poslovnim informacijama, npr. pristup metodom biranja broja. Postoje razni tipovi provere verodostojnosti, pri čemu neki od njih daju veći nivo zaštite od drugih, npr. metode zasnovane na primeni kriptografskih postupaka mogu da obezbede strogu proveru verodostojnosti. Važno je da se nivo potrebne zaštite odredi na osnovu ocenjivanja rizika. To je potrebno radi odgovarajućeg izbora metode za proveru verodostojnosti. Sredstva za automatsko povezivanje sa udaljenim računarom mogu da otvore put za dobijanje neovlašćenog pristupa nekoj poslovnoj aplikaciji. Ovo ima poseban značaj ako se za povezivanje koristi mreža koja je izvan kontrole upravljanja sigurnošću u organizaciji.

15

Primena standrada za upravaljanje informacionom bezbednošću

Indetifikovanje opreme u mrežama Kontrola Automatizovano identifikovanje opreme treba razmotriti kao dodatno sredstvo za utvrđivanje verodostojnosti priključaka sa posebnih lokacija i opreme. Smernice za implementaciju Identifikovanje opreme može se primenjivati onda kada je važno da se komunikacije mogu započeti samo sa neke posebne lokacije ili opreme. Da bi se identifikovalo da li je nekoj opremi dozvoljeno da se priključi na mrežu, može se koristiti identifikator unutar same opreme ili onaj pridodat toj opremi. Ovi identifikatori treba jasno da ukazuju na koju mrežu oprema može da se spoji, ukoliko postoji više mreža, a posebno ako je osetljivost tih mreža različita. Da bi se sačuvala tajnost identifikatora opreme, može biti neophodno uzeti u obzir fizičku zaštitu te opreme. Ostale informacije Da bi se utvrdila verodostojnost korisnika uređaja, ova kontrola se može dopuniti i drugim tehnikama. Pored utvrđivanja verodostojnosti korisnika, može se primeniti i identifikovanje opreme.

Zaštita priključka za daljinsku dijagnostiku i konfigurisanje Kontrola Fizički i logički pristup priključcima za daljinsku dijagnostiku i konfigurisanje treba da budu kontrolisani. Smernice za implementaciju Moguće kontrole pristupa priključcima za daljinsku dijagnostiku i konfigurisanje uključuju primenu bravice sa ključem i procedure za podršku kontrole fizičkog pristupa priključcima. Jedan primer takve procedure za podršku je da se osigura da su dijagnostički i konfiguracijski priključci dostupni samo u dogovoru između rukovodioca računarskih usluga i osoblja za podršku hardvera/softvera kojem je potreban pristup. Priključke, usluge i slična sredstva koji su instalisana na neki računar ili sredstva na mreži, koja se ne zahtevaju posebno za funkcije poslovanja, treba onemogućiti ili ukloniti. Ostale informacije Mnogi računarski sistemi, mrežni i komunikacioni sistemi opremljeni su sredstvima za daljinsku dijagnostiku ili konfigurisanje, a koriste ih stručnjaci za održavanje. Ako su nezaštićeni, ovi dijagnostički priključci pružaju sredstvo za neovlašćeni pristup.

Razdvajanje u mrežama Kontrola U mrežama, grupe informacionih usluga, korisnika i informacionih sistema treba da budu međusobno razdvojene.

16

Primena standrada za upravaljanje informacionom bezbednošću

Smernice za implementaciju Jedna od metoda za kontrolu sigurnosti u velikim mrežama jeste da se one podele u odvojene logičke mrežne domene, npr. na domen interne mreže organizacije i na domen eksterne mreže, pri čemu je svaki domen zaštićen u definisanoj sigurnoj oblasti. Da bi se u raznim logičkim mrežnim domenima izvršilo dalje razdvajanje sigurnosnih okruženja mreže, može se ugraditi stepenasti skup kontrola, npr. sistemi sa javnim pristupom, unutrašnje mreže i kritična dobra. Domene treba definisati na osnovu ocenjivanja rizika i različitih zahteva za zaštitu unutar svakog domena. Takva oblast u mreži može se uvesti instalisanjem sigurnosnog prolaza između dve mreže koje međusobno treba povezati, kako bi se kontrolisao pristup i protok informacija između ova dva domena. Ovaj prolaz treba konfigurisati tako da filtrira saobraćaj između tih domena , kao i da zaustavlja neovlašćeni pristup u skladu sa politikom organizacije za kontrolu pristupa. Primer ovakvog tipa prolaza za pristup se obično navodi kao "protivpožarna pregrada". Druga metoda razdvajanja logičkih domena je da se ograniči pristup mreži korišćenjem virtuelnih privatnih mreža za grupe korisnika unutar organizacije. Mreže je takođe moguće razdvojiti korišćenjem funkcija mrežnih uređaja, npr. IP prespajanje. Razdvojeni domeni se zatim mogu implementirati preko upravljanja tokovima podataka primenom funkcija usmeravanja/prespajanja, kao što su spiskovi za kontrolu pristupa. Kriterijumi za razdvajanje mreža u domene treba da se zasnivaju na politici kontrole pristupa i zahtevima za pristup, a u obzir treba uzeti i relativne troškove i posledice ugradnje pogodnog mrežnog usmeravanja ili samu tehniku prolaza. . Pored toga, razdvajanje u mrežama treba da se zasniva na vrednosti i klasifikovanosti informacija koje su uskladištene ili se obrađuju u mreži, nivoima poverenja, ili vrstama poslovanja, kako bi se smanjile ukupne posledice od nekog poremećaja na uslugama. Treba razmotriti odvajanje bežičnih mreža od unutrašnjih i privatnih mreža. Pošto oblasti bežičnih mreža nisu potpuno definisane, u takvim slučajevima treba sprovesti ocenjivanje rizika da bi se identifikovale kontrole (npr. stroga provera verodostojnosti, kriptografske metode i izbor frekvencija) kako bi se razdvajanje mreža održalo. Ostale informacije Mreže se sve više proširuju izvan tradicionalnih granica organizacije, jer se formiraju poslovna partnerstva kojima će biti potrebno međusobno povezivanje ili zajedničko korišćenje sredstava za obradu informacija i povezivanje u mreže. Takva proširenja mogu povećati rizik neovlašćenog pristupa u već postojećim informacionim sistemima koji koriste mrežu, od kojih nekima može biti potrebna zaštita od drugih korisnika te mreže zbog sopstvene osetljivosti ili kritičnosti.

Kontrola povezivanja na mrežu Kontrola

17

Primena standrada za upravaljanje informacionom bezbednošću

U slučaju mreža sa zajedničkim korišćenjem, posebno onih koje se protežu izvan granica organizacija, mogućnost korisnika za povezivanje na takvu mrežu treba da bude ograničena, u skladu sa politikom kontrole pristupa i zahtevima poslovnih aplikacija. Smernice za implementaciju Prava korisnika na pristup treba održavati i ažurirati prema zahtevima politike kontrole pristupa. Mogućnosti povezivanja korisnika mogu se ograničiti preko prolaza za pristup na mrežu u kojima se saobraćaj filtrira pomoću prethodno definisanih tabela ili pravila. Primeri aplikacija prema kojima treba primeniti ograničenja su: a) prenošenje poruka, npr. elektronska pošta; b) prenošenje datoteka; c) interaktivni pristup (sa uzajamnim delovanjem); d) pristup aplikacijama. Treba uzeti u obzir vezivanje prava na pristup mreži za određena vremena u toku dana ili za datume. Ostale informacije U slučaju mreža sa zajedničkim korišćenjem, politikom kontrole pristupa može se zahtevati ugradnja kontrola radi ograničavanja mogućnosti povezivanja korisnika na mrežu, posebno u slučaju onih mreža koje se protežu izvan granica organizacije.

Kontrola preusmeravanja u mreži Kontrola Da bi se osiguralo da povezivanje računara i tokovi informacija u poslovnim aplikacijama ne krše politiku kontrole pristupa, za mreže je potrebno implementirati kontrole preusmeravanja. Smernice za implementaciju Kontrole preusmeravanja treba da se zasnivaju na mehanizmima za pouzdanu proveru adresa izvorišta i odredišta. Za validaciju adresa izvorišta i odredišta mogu se koristiti sigurnosni prolazi za pristup na unutrašnjim ili spoljnim kontrolnim tačkama, ukoliko se primenjuju tehnike prevođenja proksi i/ili mrežnih adresa. Oni koji implementiraju treba da poznaju snagu i nedostatke svakog od mehanizama koji se postavljaju. Zahtevi za kontrolu preusmeravanja u mreži treba da se zasnivaju na politici kontrole pristupa. Ostale informacije U slučaju mreža sa zajedničkim korišćenjem, posebno onih koje se protežu izvan granica organizacije, možda će se zahtevati dodatne kontrole za preusmeravanje.

18

Primena standrada za upravaljanje informacionom bezbednošću

Ovo posebno važi za mreže koje se koriste zajedno sa korisnicima trećih strana (koji ne pripadaju organizaciji).

3.4. Kontrola pristupa operativnom sistemu Cilj je sprečiti neovlašćeni pristup operativnim sistemima.[3] Za ograničavanje pristupa sistemu na ovlašćene korisnike treba da se koriste sredstva za sigurnost. Ova sredstva treba da imaju sposobnosti za: a) utvrđivanje verodostojnosti ovlašćenih korisnika, u skladu sa definisanom politikom kontrole pristupa; b) zapisivanje uspešnih i neuspešnih pokušaja utvrđivanja verodostojnosti u sistemu; c) zapisivanje korišćenja specijalnih sistemskih privilegija; d) davanje alarma onda kada se prekrši politika sigurnosti u sistemu; e) pružanje odgovarajućih sredstava za utvrđivanje verodostojnosti; f) onda kada to odgovara, ograničavanje trajanja povezivanja korisnika

Procedure za sigurno prijavljivanje Kontrola Pristup operativnim sistemima treba da se kontroliše preko procedure za sigurnosno prijavljivanje. Smernice za implementaciju Proceduru za prijavljivanje na operativni sistem treba projektovati tako da se na minimum svede mogućnost neovlašćenog pristupa. Procedura za prijavljivanje zbog toga treba da otkriva samo minimum informacija o sistemu, kako bi se izbeglo da se neovlašćenom korisniku nepotrebno pruži pomoć. Dobra procedura za prijavljivanje treba: a) da ne prikazuje identifikatore sistema ili aplikacije sve dok se prijavljivanje ne dovrši uspešno; b) da prikaže opštu poruku upozorenja da računaru treba da pristupaju samo ovlašćeni korisnici; c) da u toku procedure za prijavljivanje ne daje poruke za pomoć koje bi pomogle neovlašćenim korisnicima; d) da validaciju informacija dobijenih radi prijavljivanja izvrši tek po završetku unošenja svih podataka. Ukoliko nastane stanje greške, sistem ne treba da ukaže na to koji je deo podataka tačan ili netačan;

19

Primena standrada za upravaljanje informacionom bezbednošću

e) da ograniči dozvoljeni broj neuspešnih pokušaja prijavljivanja, npr. na tri pokušaja i još da predvidi: 1) zapisivanje neuspešnih i uspešnih pokušaja; 2) sprovođenje vremenskog odlaganja pre nego što se dozvole dalji pokušaji prijavljivanja ili odbacivanje svakog daljeg pokušaja bez posebnog odobrenja; 3) raskidanje veza u linku za podatke; 4) slanje poruke upozorenja na sistemsku konzolu ako je dostignut najveći dozvoljen broj pokušaja prijavljivanja; 5) postavljanje broja ponovnih pokušaja unosa lozinke, u vezi sa najmanjom dužinom lozinke i vrednosti sistema koji se štiti; f) da ograniči maksimalno i minimalno dozvoljeno vreme trajanja procedure prijavljivanja. Ako se ona prekorače, sistem treba da obustavi prijavljivanje; g) da po završetku uspešnog prijavljivanja prikaže sledeće informacije: 1) datum i vreme prethodnog uspešnog prijavljivanja; 2) detalje svakog od neuspelih pokušaja prijavljivanja, u periodu posle zadnjeg uspešnog prijavljivanja. h) da ne prikazuje lozinku koja se unosi ili da znakove lozinke sakriva pomoću drugih simbola; i) da kroz mrežu ne šalje lozinke u otvorenom tekstu. Ostale informacije Ako se lozinke u toku sesije prijavljivanja na mrežu prenose u otvorenom tekstu, one na mreži mogu biti uhvaćene pomoću nekog mrežnog programa za praćenje.

Indetifikovanje i utvrđivanje verodostojnosti korisnika Svi korisnici treba da imaju jedinstveni identifikator (korisnički ID) samo za sopstveno i jedinstveno korišćenje, a za dokazivanje najavljenog identiteta nekog korisnika treba odabrati pogodan postupak za utvrđivanje verodostojnosti. Smernice za implementaciju Ovu kontrolu treba primenjivati na sve tipove korisnika (uključujući osoblje za tehničku podršku, operatere, administratore mreža, sistemske programere i administratore baza podataka). Korisničke identifikatore (ID) treba primenjivati da bi se aktivnosti mogle ispratiti do odgovornog pojedinca. Redovne korisničke aktivnosti ne treba obavljati sa privilegovanih računa. U izuzetnim okolnostima, onda kada postoji jasna poslovna korist, može se primeniti i zajednički identifikator grupe korisnika ili specifičnog posla. Za takve slučajeve treba dobiti dokumentovano odobrenje menadžmenta. Za održanje odgovornosti mogu biti potrebne dopunske kontrole.

20

Primena standrada za upravaljanje informacionom bezbednošću

Generičke identifikatore (ID) za individualno korišćenje treba odobravati samo kada dostupne funkcije ili aktivnosti koje se sprovode nema potrebe pratiti (npr. pristup samo sa čitanjem), ili kada postoje postavljene druge kontrole (npr. lozinka za generički ID koja se samo izdaje jednom po jednom zaposlenom i zapisivanje takvog slučaja). Kada se zahteva stroga provera verodostojnosti i verifikovanje identiteta, treba koristiti metode alternativne lozinkama, kao što su kriptografska sredstva, kartice sa čipom, žetoni ili biometrijska sredstva. Ostale informacije Lozinke su vrlo uobičajen način da se obezbedi identifikovanje i utvrdi verodostojnost zasnovano na tajni koju zna samo korisnik. Isto se može ostvariti i pomoću kriptografskih sredstava i protokola za utvrđivanje verodostojnosti. Strogost identifikovanja korisnika i utvrđivanja verodostojnosti treba da odgovara osetljivosti informacija kojima se pristupa. Za identifikovanje i utvrđivanje verodostojnosti takođe se mogu koristiti objekti koje poseduju korisnici, kao što su memorijski tokeni (žetoni) ili kartice sa čipom. Za utvrđivanje ličnog identiteta osobe mogu se koristiti i jedinstvene karakteristike ili biometrijski atributi pojedinca. Kombinacija tehnika i čvrsto povezanih mehanizama pruža pouzdanije utvrđivanje verodostojnosti.

Sistem za upravljanje lozinkama Kontrola Sistemi za upravljanje lozinkama treba da budu interaktivni i treba da osiguraju kvalitetne lozinke. Smernice za implementaciju Sistem za upravljanje lozinkama treba da: a) sprovodi korišćenje pojedinačnih korisničkih identifikatora (ID) i lozinki kako bi se održala odgovornost; b) omogući korisnicima, onda kada to odgovara, da odabiraju i menjaju sopstvene lozinke, kao i da uključe proceduru potvrđivanja kako bi se u obzir uzele greške prilikom unošenja; c) sprovodi odabiranje pouzdanih lozinki; d) sprovodi promene lozinki; e) sprovodi da korisnici privremenu lozinku zamene prilikom svog prvog prijavljivanja; f) da održava zapis sa prethodnim korisničkim lozinkama, kao i da spreči njihovo ponovno korišćenje; g) da prilikom unošenja, lozinke ne prikazuje na ekranu; h) datoteke sa lozinkama skladišti zasebno od sistemskih podataka aplikacije; i) skladišti lozinke i šalje ih u zaštićenom obliku (npr. šifrovane ili sa primenom "haš"postupka).

21

Primena standrada za upravaljanje informacionom bezbednošću

Ostale informacije Lozinke su jedno od glavnih sredstava validacije ovlašćenja korisnika za pristup nekoj računarskoj usluzi. Neke aplikacije zahtevaju da lozinke korisnicima dodeljuje neko nezavisno ovlašćeno telo; u takvim slučajevima ne primenjuju se prethodno navedene tačke b), d) i e). U najvećem broju slučajeva lozinke odabiraju i čuvaju sami korisnici.

Korišćenje pomoćnih funkcija sistema Kontrola Korišćenje pomoćnih funkcija kojima se mogu prevladati postojeće kontrole u sistemu ili aplikaciji mora se ograničiti i čvrsto držati pod kontrolom. Smernice za implementaciju Prilikom korišćenja pomoćnih funkcija sistema treba uzeti u obzir sledeće smernice: a) primenu procedura za identifikovanje, utvrđivanje verodostojnosti i izdavanje odobrenja za korišćenje sistemskih pomoćnih funkcija; b) razdvajanje pomoćnih programa sistema od aplikacijskih softvera; c) ograničenje korišćenja pomoćnih funkcija sistema na minimalno ostvarljiv broj poverljivih, ovlašćenih korisnika; d) izdavanje ovlašćenja za jednokratno korišćenje pomoćnih funkcija sistema; e) ograničavanje raspoloživosti pomoćnih funkcija sistema, npr. samo u toku trajanja unošenja neke autorizovane promene; f) zapisivanje svih korišćenja pomoćnih funkcija sistema; g) definisanje i dokumentovanje nivoa autorizacije za pomoćne programe sistema; h) uklanjanje ili onemogućenje svih nepotrebnih pomoćnih funkcija zasnovanih na softveru, kao i sistemskih softvera; i) nestavljanje na raspolaganje pomoćnih funkcija sistema korisnicima koji imaju pristup aplikacijama u sistemima u kojima se zahteva razdvajanje zaduženja. Ostale informacije Najveći broj instalisanih računara sadrži po jednu ili više pomoćnih funkcija sistema koje mogu imati sposobnost prevladavanja sistemskih ili aplikacijskih kontrola

Vremensko ograničenje trajanja sesije Kontrola Neaktivne (započete) sesije treba posle definisanog perioda neaktivnosti okončati. Smernice za implementaciju Sredstvo za vremensko ograničenje treba da sa ekrana izbriše sve sadržaje započete sesije, a naknadno, posle definisanog perioda neaktivnosti, može takođe 22

Primena standrada za upravaljanje informacionom bezbednošću

da prekine sesije sa aplikacijom i mrežom. Odlaganje prekida po isteku vremenskog ograničenja treba da odrazi rizike po sigurnost u određenoj oblasti, klasifikovanosti informacija sa kojima se radi i aplikacija koje se koriste, kao i rizike u odnosu na korisnike opreme. U nekim sistemima se mogu primeniti uprošćena sredstva za vremenska ograničenja kojima se briše sadržaj ekrana i sprečava neovlašćeni pristup, ali koja ne prekidaju sesiju sa aplikacijom ili sa mrežom. Ostale informacije Ova kontrola je posebno važna na lokacijama visokog rizika koje uključuju javna mesta ili mesta izvan domašaja upravljanja sigurnošću u organizaciji. Sesije treba prekidati kako bi se sprečio pristup neovlašćenim osobama i uskraćivanje usluge.

Ograničenje trajanja povezivanja Kontrola Ograničenje trajanja povezivanja treba primeniti da bi se pružila dodatna sigurnost u radu sa aplikacijama visokog rizika. Smernice za implementaciju Kontrole vremenskog trajanja povezivanja treba predvideti za rad sa osetljivim računarskim aplikacijama, posebno sa onima na lokacijama visokog rizika, npr. u javnim i udaljenim oblastima koje su izvan domašaja upravljanja sigurnošću u organizaciji. Primeri takvih ograničenja obuhvataju: a) korišćenje unapred utvrđenih vremenskih perioda, npr. prilikom prenošenja datoteka u paketima ili prilikom normalnih uzajamno interaktivnih sesija kratkog trajanja; b) ograničavanje trajanja povezivanja na normalno radno vreme ustanove, ukoliko ne postoje potrebe za prekovremenim ili produženim radom; c) ponovno utvrđivanje verodostojnosti u određenim vremenskim intervalima. Ostale informacije Ograničavanje perioda u toku kojeg su dozvoljena povezivanja na računarske usluge smanjuje prostor (okvir) povoljnim prilikama za neovlašćeni pristup. Ograničenje trajanja aktivnosti sesija sprečava korisnike da vezu drže otvorenu kako bi izbegli ponovnu proveru verodostojnosti.

3.5. Kontrola pristupa aplikacijama i informacijama Cilje je sprečiti neovlašćeni pristup informacijama koje su sadržane u aplikacijskim sistemima. [3] Sredstva sigurnosti treba koristiti za ograničavanje pristupa aplikacijskim sistemima, kao i unutar njih. 23

Primena standrada za upravaljanje informacionom bezbednošću

Logički pristup aplikacijskom softveru i informacijama treba ograničiti na ovlašćene korisnike. Aplikacijski sistemi treba: a) da kontolišu pristup korisnika informacijama i funkcijama aplikacijskih sistema, u skladu sa definisanom politikom kontrole pristupa; b) da pružaju zaštitu od neovlašćenog pristupa pomoću bilo kojeg pomoćnog programa, operativnog sistemskog softvera i malicioznih softvera koji su sposobni da prevladaju ili zaobiđu sistemske ili aplikacijske kontrole; c) da ne kompromituju druge sisteme sa kojima se informacioni resursi zajednički koriste.

Ograničenje pristupa informacijama Kontrola Pristup informacijama i funkcijama aplikacijskog sistema, uključujući korisnike i osoblje za podršku, treba ograničiti u skladu sa definisanom politikom kontrole pristupa. Smernice za implementaciju Ograničenja pristupa treba da se zasnivaju na pojedinačnim zahtevima poslovnih aplikacija. Politika kontrole pristupa treba takođe da bude dosledna sa politikom organizacije prema pristupu. Da bi se podržali zahtevi za ograničenje pristupa, treba uzeti u obzir sledeće smernice: a) obezbeđenje menija (opcija) za kontrolu pristupa funkcijama aplikacijskog sistema; b) kontrolu prava korisnika na pristup, npr. na čitanje, upisivanje, brisanje ili izvršavanje; c) kontrolu prava drugih aplikacija na pristup; d) osiguravanje da podaci na izlazu iz aplikatcijskih sistema u kojima se postupa sa osetljivim informacijama sadrže samo informacije koje se odnose na korišćenje tih izlaznih podataka i da se oni šalju samo prema ovlašćenim terminalskim uređajima i lokacijama; ovo treba da uključi periodično preispitivanje takvih izlaznih podataka kako bi se osiguralo da se suvišne informacije uklanjaju.

Izdvajanje osetljivih sistema Kontrola Osetljivi sistemi treba da budu smešteni u posebnom (izdvojenom) računarskom okruženju. Smernice za implementaciju Prilikom izdvajanja osetljivih sistema treba uzeti u obzir sledeće:

24

Primena standrada za upravaljanje informacionom bezbednošću

a) osetljivost aplikacijskog sistema treba da eksplicitno utvrdi i dokumentuje vlasnik određene aplikacije; b) kada neku osetljivu aplikaciju treba izvršavati u zajedničkom okruženju, vlasnik te osetljive aplikacije treba da identifikuje i prihvati aplikacijske sisteme sa kojima će se resursi zajednički koristiti i snositi odgovarajući rizici. Ostale informacije Neki aplikacijski sistemi su osetljivi na moguće gubitke dovoljno da zahtevaju posebno postupanje. Ova osetljivost može ukazivati na to da takav aplikacijski sistem zahteva: a) izvršavanje na nekom određenom računaru; b) da resurse zajednički koristi samo sa proverenim aplikacijskim sistemima.

3.6. Mobilno računarstvo i rad na udaljenosti Cilj je osigurati zaštitu informacija prilikom korišćenja mobilnih računara i sredstava za rad sa udaljenosti. [3] Zaštita koja se zahteva treba da bude primerena rizicima do kojih dovodi ovakav način rada. Kada se koristi mobilni računar, u obzir treba uzeti rizike od rada u nezaštićenom okruženju i treba primeniti odgovarajuću zaštitu. U slučaju rada sa udaljenosti, organizacija treba da primeni zaštitu na udaljenom mestu i da osigura da se uspostave odgovarajući uslovi za ovakav način rada.

Mobilno računarstvo i komunikacije Kontrola Treba uspostaviti formalnu politiku i usvojiti odgovarajuće mere sigurnosti za zaštitu od rizika pri radu sa mobilnim računarima i komunikacionim sredstvima. Smernice za implementaciju Kada se koriste mobilna računarska i komunikaciona sredstva, npr. beležnice, organizatori, računari koji se drže na krilu, kartice sa čipom i mobilni telefoni, treba preduzeti posebne mere kako bi se osiguralo da se poslovne informacije ne kompromituju. Politika rada na mobilnim računarima treba da uzme u obzir rizike pri radu na mobilnoj računarskoj opremi u nezaštićenim okruženjima. Politika mobilnog računarstva treba da obuhvati zahteve za fizičku zaštitu, kontrole pristupa, kriptografske postupke, izradu rezervnih kopija i zaštitu od virusa. Ova politika takođe treba da sadrži pravila i savete za povezivanje mobilnih sredstava na mreže i uputstva za korišćenje ovih sredstava na javnim mestima. Treba obratiti pažnju prilikom korišćenja sredstava mobilnog računarstva na javnim mestima, u salama za sastanke i u drugim nezašćtićenim oblastima izvan prostorija 25

Primena standrada za upravaljanje informacionom bezbednošću

organizacije. Zaštita treba da bude postavljena tako da se izbegne neovlašćeni pristup ili razotkrivanje informacija koje se čuvaju i obrađuju u tim sredstvima, npr. primenom kriptografskih postupaka. Kada takva sredstva koriste na javnim mestima, korisnici treba da obrate pažnju na to da se izbegne rizik od posmatranja neovlašćenih osoba. Treba da su ugrađene procedure protiv malicioznih softvera koje treba redovno ažurirati. Treba redovno praviti rezervne kopije kritičnih poslovnih informacija. Na raspolaganju treba da bude oprema za brzu i laku izradu rezervnih kopija informacija. Za ove rezervne kopije treba da postoji odgovarajuća zaštita, npr. od krađe ili gubitka informacija. Pogodna zaštita treba da se pruži prilikom korišćenja mobilnih sredstava onda kada se ona povezuju na mreže. Daljinski pristup poslovnim informacijama preko javnih mreža korišćenjem mobilnih sredstava treba da se odvija tek posle uspešnog identifikovanja i provere njihove verodostojnosti, pomoću ugrađenih odgovarajućih mehanizama za kontrolu pristupa. Sredstva mobilnog računarstva treba i fizički zaštititi protiv krađe, posebno onda kada se ona ostavljaju, na primer u automobilu i drugim oblicima transporta, hotelskim sobama, konferencijskim centrima i mestima sastanaka. Treba uspostaviti specifičnu proceduru kojom se uzimaju u obzir pravni i zahtevi osiguranja za zaštitu u organizaciji, za slučaj krađe ili gubitka sredstava mobilnog računarstva. Opremu koja sadrži važne, osetljive i/ili kritične poslovne informacije ne treba ostavljati bez nadzora, a onda kada je to moguće, treba je fizički zaključati ili koristiti specijalne bravice za njihovo osiguravanje. Treba sprovesti obuku osoblja koje primenjuje mobilno računarstvo da bi se poboljšala njegova obaveštenost o dodatnim rizicima do kojih dolazi usled ovakvog načina rada i kontrolama koje treba implementirati. Ostale informacije Mobilni bežični spojevi na mreže slični su drugim tipovima povezivanja na mreže, ali postoje važne razlike koje treba uzeti u obzir prilikom identifikovanja kontrola. Tipične razlike su: a) neki protokoli za sigurnost kod bežičnog rada su nedovoljno sazreli i imaju poznate slabosti; b) može se desiti da se za informacije koje se čuvaju u mobilnim računarima ne prave rezervne kopije zbog ograničene širine opsega u mrežama i/ili zato što mobilni uređaj možda nije spojen u trenucima kada je predviđena izrada rezervnih kopija.

Rad na udaljenosti Kontrola Treba razviti i implementirati politiku, operativne planove i procedure za aktivnosti pri radu sa udaljenosti.

26

Primena standrada za upravaljanje informacionom bezbednošću

Smernice za implementaciju Organizacije treba da autorizuju rad sa udaljenosti samo ako su zadovoljne uspostavljenim odgovarajućim sistemima sigurnosti i kontrolama i ako su oni u skladu sa politikom sigurnosti u organizaciji. Na udaljenoj lokaciji treba da bude postavljena odgovarajuća zaštita, npr. protiv krađe opreme i informacija, neovlašćenog razotkrivanja informacija, neovlašćenog daljinskog pristupa unutrašnjim sistemima organizacije ili zloupotrebe sredstava. Menadžment treba da autorizuje i kontroliše aktivnosti rada sa udaljenosti, kao i da naprave odgovarajuće dogovore za ovakav način rada. U obzir treba uzeti sledeće: a) postojeću fizičku sigurnost na mestu rada sa udaljenosti, uzimajući u obzir fizičku sigurnost zgrade i lokalnog okruženja; b) predloženo fizičko okruženje za rad sa udaljenosti; c) zahteve za sigurnost komunikacija, uzimajući u obzir potrebe za daljinski pristup internim sistemima organizacije, osetljivost informacija kojima se pristupa i koje se šalju preko komunikacionih veza, kao i osetljivost internih sistema; d) pretnju da će drugi ljudi koji koriste isti smeštaj, npr. rodbina i prijatelji, neovlašćeno pristupiti informacijama ili resursima; e) korišćenje kućnih mreža i zahteve ili ograničenja na konfiguraciji usluga u bežičnoj mreži; f) politike i procedure da bi se sprečili sporovi u pogledu prava intelektualne svojine kod uređaja u privatnoj svojini; g) pristup uređajima koji su u privatnom vlasništvu (da bi se proverila sigurnost mašine ili u toku istrage), što zakon može sprečavati; h) sporazumi u vezi sa licencama za softver koji su takvi da organizacija može da podleže zakonu prilikom davanja licence za softver klijentu na radnoj stranici koja je u privatnom posedu osoblja, isporučilaca ili korisnika treće strane; i) zaštita od virusa i zahtevi za "protivpožarne" zaštitne pregrade. Smernice i dogovori koje treba uzeti u obzir: a) obezbeđenje pogodne opreme i nameštaja za smeštaj prilikom rada sa udaljenosti, onda kada nije dozvoljeno korišćenje privatne opreme koja nije pod kontrolom organizacije; b) definisanje dozvoljenog rada, radnog vremena, klasifikovanje informacija koje mogu biti sadržane i interni sistemi i usluge za koje je udaljeni radnik ovlašćen da im pristupa; c) obezbeđenje pogodne komunikacione opreme, uključujući metode za osiguranje daljinskog pristupa;

27

Primena standrada za upravaljanje informacionom bezbednošću

d) fizičku sigurnost; e) pravila i uputstva o pristupu rođaka i posetilaca opremi i informacijama; f) obezbeđivanje i održavanje hardverske i softverske podrške; g) obezbeđivanje osiguranja; h) procedure za izradu rezervnih kopija i za kontinuitet poslovanja; i) proveru i nadgledanje sigurnosti; j) ukidanje ovlašćenja i prava pristupa i vraćanje opreme onda kada se aktivnosti sa udaljenosti završe. Ostale informacije Prilikom rada sa udaljenosti primenjuju se komunikacione tehnologije kako bi se osoblju omogućilo da radi sa udaljene lokacije izvan sopstvene organizacije.

28

Primena standrada za upravaljanje informacionom bezbednošću

4. CASE STUDY [1] 4.1.Studija slučaja Fredrickson International Fredrickson International je jedna od vodećih intustrijskih agencija za Kolekcije duga, osnovana 1992. u Velikoj Britaniji. Specijalizovani su za veliki obim potrošačkih kredita u više različitih sektora tržišta. Posluju u ime mnogih od vodećih finansijskih institucija i korporacija u Velikoj Britaniji. Tačni uslovi i plaćanja aranžmana su fleksibilni prema potrebama njihovih klijenata i njihova potpuna ovlašćenja za kreditna i debitna plaćanja im omogućavaju stalno sticanje novih klijenata. Postoje 3 kamena njihovog poslovanja :  Saglasnost  Performanse  Inovacija Pojedinačno svaki kamen je za divljenje. Kolektivno kombinovanje sva ova tri kamena čine ubedljiv poslovni slučaj za svaku korporaciju ili organizaciju koja želi da postigne maksimalnu generaciju prihoda uz pridržavanje svih relevantnih zakona i regulative koja definiše aktivnosti prikupljanja duga u Velikoj Britaniji. Ovo je dinamična industrija i oni su jako svesni konkurencije . Postigli su njihovu poziciju na tržištu i nastoje da poboljšaju svaki aspekt svog poslovanja. Ovo stalno poboljšanje je od fundamentalnog značaja za njihov dugoročni uspeh i to nije slučajno. Njihovi klijenti ih vide kao najinovativnijeg partera za njihov portfolio. Zapošljavaju više od 300 radnika i generišu više od 100 miliona funti godišnje. Njihovi klijenti su mnoge od najvećih i najuglednijih kompanija u Velikoj Britaniji. Oni su članovi Udruženja kreditnih usluga (CSA) i grupe duga kupaca i prodavaca (DBSG). Oni rade u različitim sektorima industrije i razvili su njihove sisteme i procese kako bi obezbedili ne samo vodeću industrijsku granu u kojoj posluju,već i šire. Njihov fokus je na povećanju (RPC) do nivoa bez presedana. Oni postoje da pomognu svojim klijentima da postignu i prevazdju svoje ciljeve. Fredrickson International je deo Interlaken grupacije. Društvena odgovornost: Fredrickson International se trudi da ima pozitivan uticaj na šire društvo. Zapošljavaju više od 300 radnika u lokalnoj oblasti, podržavaju veliki broj dobrotvornih organizacija i fondacija, partneri su Duke of Edinburgh nagrada I podržavaju njihovu lokalnu zajednicu.

29

Primena standrada za upravaljanje informacionom bezbednošću

Okruženje je važno za njih. Udružili sa Carbon Trust i obavezali se da će smanjiti emisiju ugljen-dioskida. Koriste reciklirani papir za njihova slova i pokušavaju da smanjie količinu papira koju će kao organizacija koristiti.Oni su jedini OCA u Velikoj Britaniji koji u svojoj ponudi ima reciklaže mobilnih telefona kao način otplate. www.freds.com/recycle

Zašto sertifikacija? Industrija naplate duga je predmet sve intenzivnijeg regulatornog nadzora širom sveta, a klijenti Fredrickson kompanije dolaze iz velikog broja visoko regulisanih industrijskih sektora, uključujući bankarstvo, finansije, komunalno, telekomunikacije, kućna kupovina, centralna vlada. Kao i većina organizacija, Fredrickson se suočava sa izazovima povećane bezbednosti i zahtevima za upravljanje IT. Sigurnost informacija je od suštinskog značaja za uspeh Fredrickson poslovanja pošto njihovo poslovanje uključuje primanje, analiziranje i čuvanje osetljivih potrošača i poslovnih kreditnih informacija. Neophodno je da organizacija ima odgovarajuću kontrolu i da štiti svoje sisteme od hakera i spreči da lične informacije o svojim sistemima padnu u pogrešne ruke pošto postoji veliki i realan rizik da to može biti neki kriminalan koji želi da počini prevaru identiteta. Stoga je imperativ da Fredrickson uveri svoje klijente i javnost da bezbednost njihovih ličnih informacija shvataju veoma ozbiljno. Organizacija redovno prolazi reviziju kako od strane klijenata tako i od drugih zainteresovanih strana kako bi videli da li njihovo poslovanje napreduje.Kao takva Fredrickson ima inspiraciju da se da se usavršava sve dok ne postane najkompatibilnija agencija u svojoj industriji. Prema Simonu Jonesu, upravnom direktoru “Radije nego da kažemo da smo kompatibilni, mi smo smatrali da bi bilo bolje obezbediti tržište neophodnim poverenjem koje je potrebno, bili smo spremni i da se podvrgnemo nezavisnoj proceni našeg ISO 27001 sistema bezbednosti za upravljanje.

Implementacija Za Fredrickson tražeći potvrdu za ISO 27001 je relativno prihvatljivo pošto već posluju u skladu sa standardom. Organizacija sprovodi analize jaza,kada su indetifikovani propusti u sistemu što je omogućavalo poboljšanje pre revizije od strane trećeg lica. Dok su mnoge politike i procedure o bezbednosti informacija vec odavno postojale, dokumenti o tome nisu bili dostupni i samo osnovno znanje je bilo dostupno. U nastojanju da popravi ovo Fredrickson, je stvorio odbor za bezbednost sa ciljem podizanja svesti u celoj kompaniji kao i vodjenje celog procesa korak napred. Odbor je koristio kombinaciju treninga i postera kampanje kako bi se obezbedio da osoblje razume značaj bezbednosti informacija, kao i uloge koje su morali da igraju. Takodje su stvorili shared disk kako bi osoblje organizacije lako moglo da dodje do potrebnih dokumenata i informacija. Ovaj proces pomogao je da se obezbedi uključivanje svih zaposlenih, takodje je bio od suštinskog zanačaja da Fredrickson ugradi zahtevane standard i krene napred sa sertifikacijom. Fredrickson je posvećen postavljanju standarda i postajanju najkompatibilnije agencije u Velikoj Britaniji. Prema Jan-Michael Lejsiju, Fredrickson “ Veruje da ce u bliskoj budućnosti ISO27001 sertifikat biti preduslov kada naši klijenti biraju spoljne partnere.” 30

Primena standrada za upravaljanje informacionom bezbednošću

Prednosti Klijenti i šira javnost sada mogu imati celokupno poverenje u Fredrickson bezbednosne sisteme prakse i načina upravljanja njihovim ličnim informacijama. Fredrickson je izabrao da radi sa BSI zbog ugleda BSI u industriji. Sa BSI smo realizovali sistem koji nam je obezbedio odgovarajući i pritupačan nivo zaštite za naše lijente.Fredricksnu je BSI obezbedio informacije i preporuke neophodne da dobije sertifikat, i pripremio ga za stroge, kontinuirane procene revizije. Kroz svoje redovne posete BSI je bio u stanju da skrene pažnju Fredricksonu na oblasti u kojima može da se poboljša, takodje im je pomogao da uvedu novi način razmišljanja. Daren Rajt iz Fredricksona objasnio je “ Da je bilo nekoliko slučaja od visokog značaja, gde su se igubile neke informacije u našoj agenciji i zbog toga pokazivanjem smanjenje rizika da se ovo dogadja mi dokazujemo da imamo najviši nivo sigurnosti i pokazujemo klijentima da smo mi baš mi sposobni za tu svrhu. Mi smo ponosni da kažemo da smo dobili sertifikat, i to potvrdjuje svaki član našeg osoblja koji je bio uključen u ovom stvaranju.” Fredrickson će na ovom polju stalno kontinuirano da poboljšava svoj pristup. Ostvarivši svoje kratkoročne ciljeve, Fredrickson sada radi na tome da razvije veću svest o sigurnosti medju osobljem i time još unapredi svoje poslovanje . Prednosti koje je Fredrickson stekao uvodjenjem ISO27001 sertifikata su:  Veća svest o bezbednosti na svim nivoima organizacije  Veće poverenje klijenata i bolja percepcija organizacije Uvodjenje ISO27001 standarda samo je učvrstilo poziciju Ferdricksona na tržištu i donelo im mnoge pogodnosti. Postali su agencija u koju klijenti mogu da imaju potpuno poverenje jer u industriji u kojoj oni posluju od kjučnog značaja je bezbednost informacija, jer klijenti žele da budu sigurni i zaštićeni.

4.2.Studija slučaja SVM Europe Kompanija SVM Europe je dobar primer kroz koji se mogu videti ključne prednosti uvođenja standarda ISO/IEC 27001, pa čak i neočekivane koristi i rezultati ove standardizacije. Ovo je kompanija koja se suočila sa brzim rastom, potrebom za određenom formom, sigurnošću infomacija, koja je prektično u opisu njihovog posla, zahtevima tržišta i sve to kroz očuvanje glavnim vrednosti kompanije. Podršku u ovome je videla u standardizaciji. SVM Europe je kćerka kompanije lidera provajdera “poklon kartica” SVM LP, sa sedištem u Engleskoj. Ona obezbeđuje kompanijama pripejd mogućnost za nagrađivanje i motivaciju zaposlenih, kao dela marketing i promocijskih aktivnosti. Njihovi proizvodi obuhvataju poklon kartice, vaučere, e-kodove, fleksibilne nagradne kodove...

31

Primena standrada za upravaljanje informacionom bezbednošću

SVM Europe posluje sa glavnim maloprodajnim brendovima u Engleskoj i Evropi u vidu čiste preprodaje ili programima upravljanja u vidu poklon kartica, vaučera i ekodova. Oni su se jako brzo širili u predhodnim godinama i imali ambicije za proširenje ciljnog tržišta. Njihovne poslovne vrednosti koje čine: stabilnost, poverenje, poštovanje, integritet i strast – obezbedile su solidan temelj za ovaj rast.

Zašto sertifikacija? Kako je SVM iz malog prerastao u velikog globalnog operatera, bila mu je potrebna formalnija struktura ali su takođe želeli da osnovne vrednosti kompanije ostanu centralne u njihovom poslovanju i da ne izgube poslovnu kuluturu koju je sa sobom nosio mali biznis. Brajan Dan (Brian Dunne), direktor SVM je izjavio da su smatrali da bi standardizacija pomogla da njihovo poslovanje dobije odgovarajuću strukturu. Pritom je napomenuo da konkretno misli na ISO/IEC 27001 i na standard ISO 9001 koji se odnosi na upravljanje kvalitetom. On je, takođe naglasio, da je standardizacija u oblasti bezbednosti informacija pomogla rast preduzeća a pritom omogućila poštovanje osnovnih vrednosti kompanije. Još jedan ključni razlog za sertifikaciju je bila zaštita novca koji se dodaje na kartice od internih i eksternih prevara. Pored toga, ustanovili su da je za sve više državnih tendera potrebna sertifickacija ISO/IEC 27001, pa je ona postala fundamentalna za osvajanje novih tržišta i rast.

Implementacija Implementacija je ključna tačka standarda ISO/IEC 27001. Postupci i koraci kojim će se ići ka uvođenju standarda će uticati na uspešnost i brzinu prihvatanja istog. Kako je kompanija primer dobre prakse bitno je istaći način implementacije u njihovom slučaju. Uvođenje sistema za upravljanje sigurnosti informacijama u ovu organizaciju je trajalo godinu dana. Početna analiza jaza preduzeta od strane kompanije je pokazala da postoji već pola zahteva kompatibilnih sa ISO/IEC 27001, sistem za upravljanje sigurnosti informacijama. Kako bi se postigla potpuna kompatibilnost, član višeg rukovodsva, zagovornik ovog projekta, je koordinirao proces po sistemu “top-down” uz podršku tima za sprovođenje planova. Najveći izazov tokom implemetacije sa kojim se SVM susreo su bili zahtevi za unapređivanje IT strukture i formalizacije politike za upravljanje podacima. To je zahtevalo izmene u funkcionisanju kompanije, uključujući izmene u slanju informacija i elektronske pošte, naročito utičući na udaljene korisnike i prodajne timove. Ovi izazovi su bili usmereni za obezbeđenje prednosti komunikacije u poslovanju i rano angažovanje releventnih ljudi kroz, istovremenim razvijanjem politike i scenarija stres strestiranja. 32

Primena standrada za upravaljanje informacionom bezbednošću

Kako bi pomogao u realizaciji, BSI je obučavao ključne članove SVM tima da budu uspešni interni revizori. Takođe je organizovao dan analze jaza, kada su indetifikovani propusti u sistemu što je omogućavalo poboljšanje pre revizije od strane trećeg lica. Svi zaposleni višeg rukovodstva operativnog i pomoćnog osoblja su učestvovali u obuci i prezentaciji kako bi obezbedili puno razumevanje i angažovanje u poslovanju.

Koristi Uvođenje standarda ISO/IEC 27001 je kompaniji donela veće koristi nego što se to prvobitno očekivalo. “Naša percepcija o ovom putovanju bila je da će ovaj standard biti samo o sigurnosti, ono što smo mi shvatili je da je on “životni stil”. On zaista utiče na sve što radimo i na to kako to radimo.” Sara Vajld (Sarah Wild), operativni menadžer. Primećeno je da su nakon uvođenja ovog standarda sva odeljenja u Evropi jednaka i da se njima se pravilno upravlja, umesto „odprilike“. Kao rezultat ove sertifikacije SVM je dobio dobru PR podlogu i mogućnost da unapredi svoju reputaciju. Prednosti koje su oni ostvarili su: - manje zastoja - jača organizaciona struktura - veće poverenje u bezbednost informacionih procesa SVM je od stanja gde nema ni registar rizika napredovala do sistema za registrovanje i upravljanje rizikom infomracija u organizaciji. SVM organizacija je nakon implementacijie počela da radi sa jasnim politikama i procedurama sa jasno definisanim ulogama i odgovornostima. Takođe je počela sa uvođenjem Prince 2 metodologije koja se uklapa u ISO implementaciju.

33

Primena standrada za upravaljanje informacionom bezbednošću

5. Zaključak Ceo koncept sigurnosti informacija bazira se na konceptu upravljanja rizicima. Ocena rizika definisana je kao ocena pretnji informacijama (pretnje koje dovode do povrede poverljivosti, integriteta i raspoloživosti informacija), njihovog uticaja na informacije i ranjivost informacija, kao i verovatnoće njihove pojave. Upravljanje rizikom je definisano kao proces identifikacije, kontrole i umanjivanja ili eliminacije sigurnosnih rizika koji mogu da utiču na informacije i informacione sisteme. U vremenu izrazitog rasta količine informacija i znanja u organizacijama i njihovoj komunikaciji sa korisnicima, za potrebe bezbednosti informacija i za potrebe sticanja korisničkog poverenja, neophodno je koristiti zahteve modela ISO 27001. Time se stvara sistem koji je fokusiran na kontinualna poboljšavanja i smanjenje troškova i eliminisanje uzročnika grešaka u sistemu.

34

Primena standrada za upravaljanje informacionom bezbednošću

6. Literatura [1]

BSI gruoup, http://www.bsigroup.com/en-GB/iso-27001-information-security/ (last visited 25.01.2014.)

[2]

Broderick S. (2006). ISMS security standards and security regulations, International Security Technical Report.

[3]

SRPS ISO 27001:2011

[4]

SRPS ISO 27002:2011

[5]

Nikšić P., (2010), Upravljanje kvalitetom

35

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF