CS530- Menadžment sistema bezbednosti

CS530 – Menadžment sistema bezbednosti P13-F02 PLAN I PROGRAM

Školska 2020/21. godina 1 METROPOLITAN UNIVERZITET

PLAN I PROGRAM PREDMETA

CS530- Menadžment sistema bezbednosti

Ovaj program važi od 1.10.2010 do 1.10.2021.

Napomena: Ovaj program važi 12 meseci, tj. do početka jesenjeg semestra u školskoj 2020/21.godini, a poslednji ispit se po njemu može polagati u oktobarskom roku 2020.godine. Posle ovih rokova, važi novi Plan za predmet koji se objavljuje oktobra 2020. godine. Studenti koji ne polože ispit do oktobra 2020.godine, rade sve predispitne obaveze ponovo, u skladu sa novim Planom i u skladu sa njim polažu ispit u januarskom roku 2021. godine ili nekom od kasnijih rokova.

PODACI O NASTAVNOM OSOBLJU

Klasična nastava - Beograd

Predavanja dr Dragan Đokić, docent

Vežbanja dr Dragan Đokić, docent

e-mail adresa nastavnika [email protected]

Skype adresa nastavnika

Termini za konsultacije nastavnika preko Skype Zakazati e-mail-om na adresu: [email protected]

e-mail adresa saradnika

Skype adresa aradnika

Termini za konsultacije saradnika preko Skype Ponedeljak – Petak od 15 do 16h ili po dogovoru

PODACI O PREDMETU

Semestar I semestar, master studije

Preduslovi /

Broj ECTS 8

Broj časova predavanja nedeljno 2

Broj časova vežbi nedeljno 3

Broj časova samostalnog istraživačkog rada nedeljno 0

PODACI O PREDISPITNIM OBAVEZAMA I ISPITU



Broj projekata tokom semestra 1

Maksimalan broj poena za jedan projekat 40

Broj seminarskih radova tokom semestra 2

Maksimalan broj poena za jedan seminarski rad 15 ( 15 x 2 = 30 poena )

A) Maksimalan broj poena za zalaganje studenta tokom semestra /

B) Maksimalan broj poena za predispitne obaveze /

Seminarski rad 30

Projekat 40

C) Maksimalan broj poena za ispit 30

UKUPAN BROJ POENA (A+B+C): 100

Vreme trajanja ispita u minutima 3 časa

Forma ispita (obrisati nepotrebne opcije) Pismeni ispit

Računarski alati ili pribor koji se koriste na ispitu Papir I olovka

Osnovna literatura:

1. , Autorizovana CS530 predavanja u elektronskom obliku, UNIVERZITET METROPOLITAN, Beograd 2020

Dopunska literatura:

1. Bastos, Alberto Mourao, Alvaro de Silva Lima Filho, and Joao Fernando Nery de Oliveira. "Continuous governance, risk and compliance management." U.S. Patent Application 12/518,082, filed December 23, 2010.

2. Calder, Alan, and Steve Watkins. IT Governance 6th edition: an international guide to data security and ISO27001/ISO27002. Kogan Page Publishers, 2015.

3. Calder, Alan, and Steve Watkins. IT governance: A manager's guide to data security and ISO 27001/ISO 27002. Kogan Page Ltd., 2008.

4. Disterer, Georg. "ISO/IEC 27000, 27001 and 27002 for information security management." (2013).

5. Humphreys, Edward. Implementing the ISO/IEC 27001: 2013 ISMS Standard. Artech House, 2016.

6. ISO27k Toolkit, ISMS Auditing Guideline, Version 2, 2017



7. Aditya, B. R., and Y. Menzelthe. "IT Audit Guidance: Side by Side Comparison." In IOP Conference Series: Materials Science and Engineering, vol. 662, no. 2, p. 022055. IOP Publishing, 2019.

8. Surcel, Traian, and Cristian Amancei. "The Information Security Management System, Development and Audit." Informatica Economica 11, no. 4 (2007)

9. Queensland Government, Implementing an ISMS Participant Guide, 2017

10. Mayayise, Thembekile, and Isaac Olusegun Osunmakinde. "E-commerce assurance models and trustworthiness issues: an empirical study." Information Management & Computer Security (2014).

Cilj predmeta:

Studenti se upoznaju sa predmetom Menadžmenta sistema bezbednosti. Cilj predmeta je osposobljavanje studenta za dalje studiranje u oblasti menadžmenta Sistema bezbednosti ( ISMS ), upravljanja rizicima , kao i kvalifikacija za stručni rad na problemima uvođenja ISO27000 standarda. Studenti se upoznaju sa sa osnovnim konceptima ISMS-a, njegovom revizijom, upravljanjem, operacijama kao I njegovom sertifikacijom I unapređenjem.

Opis predmeta:

Nastavne teme koje se izučavaju na predmetu: Osnove ISMS porodice, Upravljanje ISMS rizicima, Kontrole upravljanja rizicima, ISMS operacije, Evaluacija performansi, Akreditovana ISMS sertifikacija, Upravljanje imovinom, Komunikacije i upravljanje operacijama, Kontrole protiv zlonamernog softvera i rezervnih kopija i Upravljanje mrežnom bezbednošću i rukovanjem medijima, Razmena informacija i kontrola pristupa, Mrežna kontrola pristupa i kriptografske kontrole, kao i Upravljanje kontinuitetom poslovanja, saglasnoscu i revizijom.

Ishodi učenja predmeta:

• Student će steći osnovna saznanja o ISMS-u ( eng. Information Security Management System )

• Student će se upoznati sa poslovnim kontekstom ISMS-a.

• Student će se upoznati sa upravljanjem rizicima kod ISMS-a

• Student će se upoznati sa ISMS operacijama ( operacione pretnje, procesi i upravljanje incidentom )

• Student će steći osnovna znanja iz oblasti akreditovane ISMS sertifikacije ( Uključeni standardi, ISMS revizija, sertifikacija i akreditacija )

• Student će se upoznati sa kontinuitetom upravljanja poslovanja.

• Student stiče osnovna znanja iz kriptogrfskih kontrola.

• Student će se upoznati sa metodama revizije, bekapovanja i oporavka od katastrofe



Način ocenjivanja:

Student se ocenjuje u toku celog semestra. Ocenjuju se njegov jedan ili više seminarskih radova i rešnje projektnog zadatka. Ocenjuje se i zalaganje studenta u radu na predmetu. Na kraju u ispitnom roku, ocenjuje se usemni ili/i osimeni ispit. Ocene se daju u poenima. Maksimalni broj poena je 100 (uključujući i ispit). Na ispitu student može dobiti do 30 poena, a aktivnosti u toku semestra (predispitne obaveze) mogu mu doneti do 70 poena, po sledećoj strukturi:

• Seminaraski radovi ( 2 ) – 30 poena: Student dobija dva seminarska rada, tako da ukupan broj osvojenih poena na seminarskim radovima bude jednak predviđenom broju poena u prethodnoj tabeli. Na početku semestra profesor objavljuje spisak tema seminarskih radova. Svaka tema je obrazložena u dokumentu koji je dat kao prilog nastavnom planu. Ukoliko za to postoji poseban razlog, kao što je potreba posla i sl., student može da sam predloži tem svog seminarskog rada. U tom slučaju, tema mora biti odobrena od strane profesora.

Dozvoljeni period za predaju seminarskih radova je do kraja školske godine, tj. do 1. oktobra, ali uvek najkasnije 10 dana pre ispitnog roka u kome student želi da polaže ispit. Student brani seminarske radove i ukoliko je odbrana bar jednog rada neuspešna, student ne može da izađe na ispit.

• Projekat - 40 poena: Student dobija jedan ili više tema za izradu projekata, tako da ukupan broj osvojenih poena na projektima bude jednak predviđenom broju poena u prethodnoj tabeli. Na početku semestra profesor objavljuje spisak tema projetnih zadataka. Svaka tema je obrazložena u dokumentu koji je dat kao prilog nastavnom planu. Zbog potrebe posla i sl., student može da sam predloži temu svog projektnog zadatka. U tom slučaju, tema mora biti odobrena od strane profesora. Student kroz izradu projekta treba da pokaže svoju spremnost da primeni stečena znanja u konkretnom primeru. Projekat mora da bude urađen u skladu sa gradivom i preporukama predstavljenim na predavanjima. Sva pitanja kao i izveštaj o realizovanom projekatu se šalju na email predmetnog profesora. Dozvoljeni period za predaju projekata je do kraja školske godine, tj. do 1. oktobra, a za studente onlajn nastave, do kraja važenja nastavnih materijala i programa predmeta, ali uvek najkasnije 10 dana pre ispitnog roka u kome student želi da polaže ispit. Projekat mora da se brani, poeni stečeni na projektu važe tek nakon uspešno odbranjenog projekta. Cilj odbrane projekta je da profesor ustanovi da li je student samostalno radio projekat i u tom cilju odbrana projekta podrazumeva da student demonstrira znanje koje je iskoristio za izradu projekta. Termin odbrane projekta se dogovara sa profesorom. U slučaju da se ustanovi da student nije samostalno radio svoj projekat, dobija novu temu projekta koju mora da radi i poništavaju mu se prethodno stečeni poeni. Ukoliko je odbrana bar jednog projekta neuspešna, student ne može da izađe na ispit.

• Pismeni ispit – 30 poena: Pravo polaganja ispita ima student koji je stekao najmanje 35 poena realizacijom svojih predispitnih obaveza, koji je pokušao da uradi sve predviđene testove i koji je dobio najmanje 50% previđenih poena za projekat. Student prijavljuje ispit na kraju semestra, odnosno pre svakog ispitnog roka, u roku koji objavi uprava univerziteta.



Ispit je organizovan nezavisno od odbrane projekata ili seminarskih radova. Za vreme ispita nije dozvoljeno korišćenje mobilnih telefona ili drugih komunikacionih uređaja, a nije dozvoljena ni poseta bilo kom sajtu koji omogućava komunikaciju (web mail, facebook ili druge socijalne mreže, mrežne igre,...). Student je položio pismeni ispit ako je dobio najmanje 15 poena.Student koji prepisuje na ispitu, udaljava se sa ispita, i kažnjava se sa 10 poena. Ispit traje 3.h Prijavljeni ispit se ne može otkazati. Taksa za polaganje ispita se naplaćuje i studentu koji je prijavio polaganje ispita, a nije se pojavio na ispitu.

Ukupna ocena na predmetu se dobija sabiranjem poena dobijenih radom na predispitnim obavezama (maksimalno do 70) i poena sa ispita (maksimalno do 30) i to na sledeći način (definisano Zakonom o visokom obrazovanju):

– do 50 poena, ocena 5 – od 51 do 60 poena, ocena 6 – od 61 do 70 poena, ocena 7 – od 71 do 80 poena, ocena 8 – od 81 do 90 poena, ocena 9 – od 91 do 100 poena, ocena 10.

Mere za sprečavanje prepisivanja Ukoliko student prepiše radove od drugog studenta ili ukoliko prepiše nečiji rad sa Interneta ili iz literature, student dobija 10 (deset) kaznenih poena iz datog predmeta. Ukoliko smatra da nema osnova za navedenu meru, student ima pravo da uloži žalbu dekanu fakulteta odnosno prorektoru za nastavu. Ukoliko se utvrdi da student prepisuje na ispitu, on se odmah udaljuje sa ispita i student dobija 10 kaznenih poena. Protiv studenta za koga se utvrdi da je drugom kolegi dao svoj urađeni zadatak ili projekat, biće pokrenut disciplinski postupak i biće određena adekvatna mera.



Ukoliko student pokaže znatno slabije rezultate na pismenom ispitu nego što je pokazao radom na predispitnim obavezama, asistent/nastavnik može da zatraži od studenta da naknadno brani svoj rad na domaćim zadacima i projektu. To se može primeniti ako je student na pismenom ispitu dobio manje od 20 poena, a na predispitnim obavezama je dobio više od 60 poena. Zavisno od uspešnosti odbrane radova, asistent/nastavnik može da umanji studentu ranije odobrene poene za predispitne obaveze. Odbrana predispitnih obaveza se obavlja usmeno.U izuzetnim slučajevima, kada asistent/nastavnik utvrdi da student ne može da odbrani urađene radove da ne vlada potrebnim znanjem i time pokazuje da nije samostalno uradio radove , asistent/nastavnik može, posle odobrenja predmetnog nastavnika, da poništi pojedine r ad ov e , što znači da ih student mora ponovo da radi.

PLAN NASTAVE



Nede-lja

Nastavna jedinica

Čas

Tematske jedinice (objekti i podobjekti učenja su boldirani) Ishodi učenja i veštine koje student treba da

dobije

1 (L01)

ISO/IEC 27001 ISMS Porodica

1,2 1. Bezbednost informacija I defišfrovanje tajne upravljanja informacionom bezbednošću

2. 27001 ISMS Porodica 3. Pregled ISO/IEC 27001:2013 Standarda

• Student će biti u mogućnosti da razume pojam bezbednost informacija i zašto se informacije štite, kao i da spozna značaj informisanosti.

• Student će se upoznati sa ISO/IEC 27001 standardom, kao i njegovom evolucijom.

2 (L02)

Poslovni kontekst ISMS-a

1,2 1. Organizacioni kontekst, Potrebe I očekivanja ISMS-a I Zahtevi interne tehnologije.

2. Opseg ISMS-a, Definisanje opsega ISMS-a

• Student ce biti u mogućnosti da razume poslovanje, interna i eksterna pitanja kao i njihov kontekst.

• Student će se upoznati sa zahtevima koji su relevantni ISMS-u i njegovim akterima.

• Student se osposobljava da prepozna zahteve interne tehnologije i za prikupljanje zahteva relevantnih za ISMS.



3 (L03)

Organizovanje, politika i obim informacione bezbednosti

1,2 1. Unutrašnja organizacija preduzeća. Menadžer informacione bezbednosti. Projektna grupa ISO27001. Proces odobravanja objekata za obradu informacija.

2. Savet specijaliste za bezbednost informacija. Kontakt sa vlastima I grupama sa posebnim interesovanjem. Politika I obim informacione bezbednosti.

• Student će biti u stanju da se upozna sa elementarnim stvarima u organizaciji, kao i da stekne uvid u rukovodstvo.

• Student će znati šta je Menadžer informacione bezbednosti kao i koja su njegova zaduženja.

• Student će biti u mogućnosti da prati proces odobravanja objekata za obradu informacija kao i da se upozna sa Projektnom grupom ISO 27001 ( njenim članovima, sastancima i raspodelom odgovornosti)



4 (L04)

Upravljanje ISMS rizicima

1,2 1. Značaj rizika i mogućnosti. Proces upravljanja rizikom. ISMS rukovodstvo i politika

2. Liderstvo I resursi. Uloge I dužnosti. Primer rukovodstva.

• Student će znati da definiše rizik, njegove mogućnosti kao i da primeni stavove prema riziku , apetitu i toleranciji. Takođe, student će biti u mogućnosti da analizira rizik, kako da se ophodi prema njemu i kako da ponovo izvrši procenjivanje rizika..

• Student će biti u mogućnosti da se upozna sa politikom upravljanja u ISMS-u, kao i da stekne uvid u liderstvo ( njegove uloge i dužnosti ) i resurse jedne organizacije.



5 (L05)

Kontrole za modifikovanje rizika

1,2 1. Određivanje kontrola. Proces određivanja kontrolnog seta. Sistem kontrola. Kontrolni okvir, kontrole procesa i kontrole prakse ( programi, pravne kontrole i planovi )

2. Politike I procedure. Opšti principi, širi aspekti politike bezbednosti informacija I odoborenje komunikacija I svest. Kontrole specifične za određeni sektor. Primeri kontrola ( Politika prihvatljive upotrebe, politika I procedure za rukovanje informacijama I procesi kontrole pristupa )

• Student ce biti u mogućnosti da se upozna i da radi sa procesima određivanja kontrolnih setova, okvria, sistema kontrola, kontrole procesa.

• Student će saznati da postoje opšti principiti u organizaciji koji se odnose na politike i procedure same organizacije, kao i da postoje širi aspekti politike bezbednosti informacija.

• Student će biti svestan da takođe postoje specifične kontrole za specifični sektor.



6 (L06)

ISMS operacije 1,2 1. Operacione ISMS procedure. Primeri procedura. Trenutno upravljanje rizikom. Operacione pretnje. Malver, neovlašćeni pristup, unutrašnje pretnje, dostupnost Sistema i socijalni inženjering. Operacioni procesi. Rezervne kopije, planiranje kapaciteta i upravljanje promenama.

2. Upravljanje incidentom. Primeri I Use Case-ovi. Timovi za upravlanje incidentima. ISO/IEC, NIST standardi. Dostupnost ISMS-a I kontinuitet poslovanja.

• Student će biti svestan da organizacija može biti ranjiva na raznim poljima. Student se upoznaje i osposobljava da primeni operacione ISMS procedure, kao i da prepozna rizik kao i kako da upravlja istim.

• U ovom delu predavanja student se osposobljava da analizira operacione pretnje kao što su razne vrste malvera, neovlašćeni pristup, unutrašnje pretnje , dostupnost sistema kao i socijalni inženjering.

• Student će znati kako se prave rezervne kopije, kako se planira kapacitet i kako se upravlja promenama..

• Student se osposobljava da prepozna incident i da upravlja istim.



7 (L07)

Evaluacija perfomansi

1,2 1. Performanse, poboljšanja i promene ISMS Sistema. Promene i sigurnost promena. Upravljanje promenama. Tipovi promena. Praćenje tekućih promena. Nadgledanje i operativni pregledi. ISMS program mera.

2. Trenutno upravljanje rizikom. Odgovornost I posvećenost riziku. Redovne procene rizika. Merenje I metrike rizika. ISMS interna revizija. Pregled upravljanja ISMS-om.

• Student će znati da odredi perfomanse i poboljšanja u ISMS-u. Poznaje poromene i sgurnost promena. Upravlja promenama i procesima.

• Student će znati kako funkcioniše nadgledanje ( eng.monitoring ) u organizaciji, koja je prednost nadgledanja i kako se nadgleda osoblje.

• Student se osposobljava kako da se ophodi prema riziku, kako da vrši redovnu procenu rizika kao i kako da meri rizik.

8

(L08)

Poboljšanje ISMS-a

1,2 1. Stalno poboljšanje ISMS-a. ODržavanje efikasnosti , pogodnosti i adekvatnosti. Holistička efektivnost. Studije slučaja usklađenosti i neusklađenosti.

2. Poboljšanja. Planiranje I implementacija poboljšanja, poboljšanja u procesu. Poboljšanja u politikama I procedurama. Implementacija poboljšanja u svesti I obuci.

• Student razume stalno poboljšanje ISMS-a. Razume kako se održava efikasnost, pogodnost i adekvatnost.

• Poznaje i implementira različita poboljšanja kao što su poboljšanja u procesu, politikama i procedurama kao i poboljšanja u svesti i obuci.



(L09) Akreditovana ISMS sertifikacija

1,2 1. ISO/IEC Internaciona sertifikacija. Motivacija, troškovi i resursi. Sertifikacija i akreditacija. Uključeni standardi u postupku akreditacije i sertifikacije.

2. ISMS Revizija. Obim revizije. Proces revizije kroz faze ( prva I druga ). Neusaglašenosti. Revizorski izveštaj. Obnova sertifikacije. Tragovi revizije. Kompetencije.

• U prvom delu ovog predavanja student će se upoznati sa internacionalnom ISO/IEC sertifikacijom, kao i motivacijom i njenim troškovima i resursima.

• Student se osposobljava da razume sertifikaciju i akreditaciju kao i njene procese i uključene strane.

• Student će razumeti ISMS reviziju kao i faze revizije kroz koje se prolazi, kao i generisanje izveštaja i obnovu sertifikacije.



10 (L10)

Upravljanje imovinom

1,2 1. Vlasnici imovine. Inventar. Klasifikacija informacija. Označavanje i rukovanje informacijama. Bezbednost ljudskih resursa. Uslovi zaposlenja. Disciplinski postupak

2. Fizička I ekološka bezbednost. Sigurna područja. Perimetar fizičke bezbednosti. Fizička kontrola ulaska. Zaštita od spoljnih I ekoloških pretnji. Javni pristup, isporuka I utovar.Bezbednost opreme.

• Student će naučiti ko su vlasnici imovine, kako se klasifikuje inventar u organizaciji, kako se klasifikuju informacije kao i kako se rukuje istim. Student će se upoznati sa bezbednošću ljudskih resursa.

• Student će znati koja su sigurna područja, koji je perimetar fizičke bezbednosti, koje su kontrole ulaska i kako se treba zaštititi od spoljnih i ekoloških pretnji.

• Student će steći uvid u to kako se oprema štiti, i kako se pruža podrška u uslužnim programima.

11 (L11)

Komunikacije i upravljanje operacijama, kontrole protiv zlonamernog softvera i rez.kopija. Upravljanje mrežnom bezb. I rukovanjem medijima.

1,2 1. Dokumentovane operativne procedure. Upravljanje promenama. Postupak kontrole promena za operativne programe i aplikacije. Podela zadataka. Odvajanje razvojnih , ispitnih i operativnih objekata..

2. Planiranje i prihvatanje Sistema. Planiranje kapaciteta. Kontrole zlonamernog softvera i rezervnih kopija. Upravljanje mrežnom bezbednošću i rukovanje medijima

• Student će sumirati znanje o upravljanju promenama.

• Student će razumeti kako da nezavinso upravlja pružanjem usluga i nadgleda pregled nezavinih usluga.

• Student će biti u mogućnosti da planira kapacitet sistema, kao i njegovo prihvatanje. Student će sumirate stečeno znanje o virusima i rezervnim kopijama.



12 (L12)

Razmena informacija

1,2 1. Politike i postupci razmene informacija. Poslovni informacioni sistemi. Suočavanje sa potenicjalnim rizicima. Dodatne ISO kontrole. E-commerce servisi.

2. Bezbednost servera.Onlajn transakcije, Javno dostupne informacije. E-mail i korišćenje interneta. Zloupotreba interneta i politika prihvatljive upotrebe interneta.

• Student će naučiti da sam osmisli i kreira poslovni informacioni sistem, kao i da se upozna sa bezbednosnim tehnologijama na web-u.

• Student će naučiti kako da zaštiti svoj server, kako se vrše online transakcije, kao i kako se koristi i zloupotrebljava internet.

13 (L13)

Kontrola pristupa

1,2 1. Hakeri. Hakerske tehnike. Konfiguracija Sistema. Upravljanje pristupom korisnika. Kontrola pristupa mreži. Mrežna bezbednost

2. Kontrola pristupa OS-a. SIgurne procedure prijavljivanja. Sistem za upravljanje lozinkama. Kontrola pristupa aplikacijama I informacijama. Ograničenje pristupa informacijama I izolacija osetljivih sistema

• Student će moći da proceni koje hakerske tehnike je određeni haker koristio kako bi narušio sistem.

• Studnet će znati kako da pravilno konfiguriše sistem.

• Student razume kako se koristi VPN, kao i koja je njegova svrha. Takođe, student se upoznaje sa EXTRANET-om,

• Student razume i može da primeni bezbedne procedura prijavljivanja na sistem.



14 (L14)

Kriptografske kontrole

1,2 1. Enkripcija. Simetrična I asimetrična enkripcija. Infrastruktura javnog ključa. Digitalni potpisi I upravljanje ključevima. Bezbednost u procesu razvoja I podrške. Sistemski fajlovi. Proces razvoja I podrške. Upravljanje ranjivostima.

2. Nadzor I upravljanje incidentima vezanih za bezbednost informacija. Nadgledanje I zapisivanje revizije. Nadgledanje korišćenja Sistema. Zaštita informacija logova. Logovi administrator I operatora. Događaji informacione bezbednosti. Prijavljivanje kvara softvera. Prijavljivanje bezbednosne slabosti. Upravljanje incidentom informacione bezbednosti I njena poboljšanja.

• Student će biti u mogućnosti da se podseti šta je enrkipcija, i koje vrste enkripcije postoje. Takođe, biće u mogućnosti da obnovi šta je Digitalni potpis, i X,509 sertifikat.

• Student će biti u stanju da razume kako se štite sistemske datoteke i procesi razvoja i podrške koje su opisani u aneksu A.12.

• Student će razumeti postupak izveštavanja o događajima o kvaru softvera.



15 (L15)

Upravljanje kontinuitetom poslovanja, saglasnost i revizija

1,2 1. BS25999. Okvir planiranja kontiuiteta poslovanja. Testiranje , održavanje I ponovna procena planova. Saglasnost. Zakoni I američko zakonodavstvo.

2. Prava intelektualne svojine. Autorska prava na softver. Zaštitna organizaconih evidencija. Zaštita podataka I privatnost ličnih podataka. Regulacija kriptografskih protokola. ISO27001 revizija.

• Student će se upoznati sa BS25999 standardom kao i sa planom kontinuitetta poslovanja ( BCP ).

• Student će razumeti kontrolu A.18 koja zahteva od organizacije da primeni odgovoarajuće postpuke kako bi osigurala poštovanje zakonskih ogranišenja u vezi sa IPR., a koja se odnosi na prava intelektualne svojine.

• Student će razumeti kako da izvrši proveru tehničke uskađenosti kod kriptografskih protokola.

• Student će razumeti i steći zanje o tome kako se vrši ISO27001 revizija.

CS530 - MENADŽMENT S ISTEMABEZBEDNOST I

ISO/IEC 27001 ISMS PorodicaLekcija 01

www.princexml.com

Prince - Non-commercial License

This document was created with Prince, a great way of getting web content onto paper.

CS530 - MENADŽMENT SISTEMABEZBEDNOSTILekcija 01

ISO/IEC 27001 ISMS PORODICA

ISO/IEC 27001 ISMS PorodicaPoglavlje 1: Bezbednost informacijaPoglavlje 2: Dešifrovanje tajne upravljanja informacionom bezb.Poglavlje 3: OU3 ISO/IEC 27001 ISMS PorodicaPoglavlje 4: OU4 27001 ISMS PorodicaPoglavlje 5: Standardi povezani sa ISMS 27001 porodicomPoglavlje 6: Evolucija ISO/IEC 27000 PorodicePoglavlje 7: Pregled ISO/IEC 27001:2013 standardaPoglavlje 8: Drugo izdanje ISO/IEC 27002 standardaZaključak

Copyright © 2017 – UNIVERZITET METROPOLITAN, Beograd. Sva prava zadržana. Bez prethodne pismene dozvoleod strane Univerziteta METROPOLITAN zabranjena je reprodukcija, transfer, distribucija ili memorisanje nekogdela ili čitavih sadržaja ovog dokumenta., kopiranjem, snimanjem, elektronskim putem, skeniranjem ili na bilokoji drugi način.

Copyright © 2017 BELGRADE METROPOLITAN UNIVERSITY. All rights reserved. No part of this publication maybe reproduced, stored in a retrieval system or transmitted in any form or by any means, electronic, mechanical,photocopying, recording, scanning or otherwise, without the prior written permission of Belgrade MetropolitanUniversity.

www.metropolitan.ac.rs

Uvod

UVODUvod

Bezbednost informacija je globalno pitanje koje utiče na međunarodnu trgovinu, elektronskutrgovinu, mobilne komunikacije, društvene medije i razne sisteme i usluge koji čine našdigitalni svet i nacionalne infrastrukture. Upravljanje bezbednošću informacija je još kritičnijepitanje, jer uključuje upotrebu i upravljanje politikama, procedurama, procesima, meramakontrole i podržavanjem aplikacija, usluga i tehnologija potrebnih za zaštitu informacija nakoje se oslanjaju organizacije, vlade, potrošači i građani. obavljaju svoj posao i žive svojživot. Upravljanje bezbednosti informacija mora biti efikasno, pogodno i prikladno ako želi dazaštiti informacije od rizika sa kojima se suočavaju poslovanje i društvo u ovo digitalno doba.Na primer, obrada informacija je od suštinske važnosti za one sisteme i usluge na koje seoslanjamo da bismo obezbedili prevoz, telekomunikacije, zdravstvenu zaštitu, snabdevanjeizvorima energije (poput električne energije, vode i gasa) i mnogim drugim uobičajenimstvarima za koje prihvatamo da postoje kada mi ih želimo. Informacioni sistemi koji pružajuvitalnu upravljačku podršku za ove različite aspekte ove javne infrastrukture ranjivi su naširok spektar rizika od informacione sigurnosti.

3

Poglavlje 1

Bezbednost informacija

ZNAČAJ INFORMISANOSTIIstorijat informacija

Ne radite ništa potajno; jer vreme sve vidi i čuje i sve otkriva. — Sokrat

Istorijski gledano, informacije su uvek igrale važnu ulogu, od antičkih vremena do danas. Naprimer:

• Njihova upotreba u vojnim pohodima Aleksandra III Makedonskog, Kserksa, Julija Cezarai drugih; njihova upotreba u upravljanju društvima i kulturama drevne Grčke, Egipta,Perzije i Kine i širom drevnih kultura i njegova upotreba za pomoć Feničanima, Grcima,Persijancima i Rimljanima u trgovini preko njihovih carstava;

• Njihova uloga oblikuje naše poglede i misli o svetu kroz unapređivanje našeg znanja irazumevanja matematike, nauke, medicine i filozofije od antičkih vremena do moderneere;

• Putevi svile i začina, koji su uključivali zemlje u Evropi i na bliskom, srednjem i dalekomistoku, trgovina i plovidba renesansnih trgovaca i pomoraca zavisili su od dostupnosti itačnosti informacija;

• Izum štamparije mnogima je doneo informacije, a telegrafski sistem drugima je bržedolazio na velike daljine, sve do njegove upotrebe u britanskim mašinama za razbijanjekoda kao što je Colossus i nemačkim mašinama za kodiranje kao što je Enigma;

• I, konačno, do dvadeset i prvog veka sa njegovim sajber ratovanjem, Big Datatehnologijama, Internet stvari (IOT), oblak (eng.cloud ), pametni gradovi / infrastruktura,društveni mediji i informacije koje mogu lično da identifikuju (PII – eng.Personallzeindentifiable information ).

ZNAČAJ INFORMISANOSTI - NASTAVAKPrimeri o korišćenju i značaju informacija

Spisak primera o korišćenju i značaju informacija beskrajan je koliko i sama istorija. Danaskažemo da živimo u globalnom „informacionom društvu“ koje se neprestano širi i oblikujenačin na koji razmišljamo, radimo, delujemo i igramo se. Informacije od davnina do danas (iza budućnost) su i biće i dalje dragocena stvar koju treba posedovati, pa su uvek bile i bićemeta opasnosti:

4

• Rizici koji se odnose na lične informacije (npr. Otkrivanje i krađa podataka o njenomličnom imanju i poslovima, zdravlju, otkrićima i pronalascima, modifikacijama njegovihplanova, gubitkom ili oštećenjem ličnih podataka koji štite imidž i reputaciju),

• Rizici od informacija koje koriste njegovi protivnici (npr. Takmičar zna više nego što zna,trgovci u doba renesanse znali su bolji put trgovanja, a da se nisu izgubili ili pali ukamenje i neistražene vode, 2 Sun Tzuova umetnost rata i posao strategija);

• Rizici od deljenja informacija sa drugima (npr. Partnerski poslovni ugovori, prijateljstvo ilidruštveni mediji).

Iste tržišne inovacije, proizvodi i usluge koje su oblikovale ovaj digitalni svet čiji smo deo,a koristi koje smo stekli od ovog digitalnog sveta, takođe su nam pružili svet u kojem suinformacije koje koristimo, vrednujemo i na koje se oslanjamo u opasnosti i postaje sve težezaštititi. Važnost i vrednost informacija i zaštita ove vrednosti je centralna tema ove knjige.

GLOBALNO POVEZANIPoenta današnjeg informacionog društva

Misao je ideja u prolazu, koja se nakon puštanja više nikada ne može namamiti, niti izgovoritiizgovorenu reč. Niti će se otvoreni čin ikada izbrisati. – Pitagora

Današnje takozvano informaciono društvo, digitalna ekonomija, digitalna agenda ili bilo kojedrugo ime koje bismo izabrali da opišemo pojave koje dominiraju našim svetom sve višepokreće, oblikuje i reformiše način na koji radimo, živimo i igramo se. Organizacije širomsveta posluju preko javnih i privatnih mreža. Informaciono društvo je pod uticajem svakevrste preduzeća, od vrlo malog do velikog. Građani se u mnogim zemljama sveta povezuju naInternet vršeći kupovinu putem interneta, bankarstvo i rezervacije hotela i avio-kompanija.I industrija i vlade vide blagodati odlaska putem elektronske trgovine i ubiranja blagodatidigitalne ekonomije.

Današnje tehnologije olakšavaju pristup informacijama, skladištenje više njih, bržu obradui globalno komuniciranje za nekoliko sekundi. Mobilne i pametne tehnologije olakšavajuneprekidno globalno povezivanje, a eksponencijalni rast mobilnih aplikacija transformiše našživot kao nikada ranije, omogućavajući nam da učinimo više u pokretu. Ova sposobnost pružanam sredstva da budemo informisaniji i sposobniji za iskorišćavanje i iskorišćavanje širokogspektra poslovnih i privatnih prilika. Ali ista tehnologija može se istovremeno koristiti zaoštećenje ili uništavanje informacija.

Pojavom IoT-a korisnici su se, ne samo prenosnim računarima, mobilnim i pametnimuređajima, već i mnoge milijarde malih senzora i drugih uređaja povezanih bežičnim mrežamatakođe povezali na Internet, što je povećalo veličinu Internet zajednice. Te stvari, na primer,pomažu u kontroli pametne energije, transporta i sistema zgrada, pa su tako kolektivnouključene u detekciju, komunikaciju i na ograničen način u obradi informacija - koje mogu bitikritične, osetljive ili čak lične.

Raznovrsni spektar mrežnih tehnologija i usluga koji su danas dostupni olakšavaju pristupsvetu, globalno povezivanje i internet u bilo kom trenutku, sa bilo kog mesta. To informaciječini ranjivijima, bilo da se radi o poslovnim, vladinim, kadrovskim ili privatnim informacijama.

Poglavlje 1 Bezbednost informacija

5

NEŠTO VIŠE O RIZICIMARizici

Po pravilu, muškarci se brinu više o onome što ne mogu da vide nego o onome što mogu. –Julije Cesar

Rizik predstavlja uticaj neizvesnosti na određene ciljeve, tako kaže ISO 31000. Koja je toneizvesnost ( nesigurnost ) i da li će vaša organizacija biti zaražena napadom malvera? Ako seto dogodi, kakav je uticaj na bezbednosne ciljeve organizacije - možda će konkurenti ukrastiinformacije, što će imati finansijski uticaj na organizaciju, ili će se informacije izmeniti iliuništiti, a uticaj je gubitak produktivnosti dok se informacije obnavljaju .

Zavisnost, upotreba i primena informacija organizacija su sveprisutne - svi poslovni procesizasnovani na IT-u vođeni su isporukom informacija, a rezultat ovog procesa je opetinformacija. Ovu zavisnost od informacija čine hitnijom potencijalni rizici za te informacije ineizvesnost rizika. Razumevanje šta su rizici od bezbednosti informacija i procena kako tirizici utiču i utiču na poslovanje od vitalnog su značaja za efikasno upravljanje tim rizicima.

Organizacija treba da proceni svoje rizike u smislu uticaja koji su rezultat bezbednosnogincidenta. Potrebno je da usvoji pristup proceni rizika koji odgovara njegovom poslovnomokruženju i da investira u upravljanje rizikom i da minimizira svaki poslovni uticaj. Procesupravljanja rizicima treba da minimizira rizike (efekte negativnih rizika) donošenjem dobroinformisanih odluka o tome kako se rizici tretiraju na najisplativiji način, uzimajući u obzirpotrebu za podrškom i maksimiziranjem poslovnih prilika (mogućnosti kroz nagore rizike). Proces upravljanja rizicima podrazumeva preduzimanje neophodnih radnji kako bi seosiguralo da se opcije za lečenje rizika implementiraju uz istovremeno podržavanje poslovnihprilika.

Poglavlje 1 Bezbednost informacija

6

Poglavlje 2

Dešifrovanje tajne upravljanjainformacionom bezb.

DEŠIFROVANJE TAJNE UPRAVLJANJAINFORMACIONOM BEZBEDNOŠĆUISMS

Tajna promene je usredsrediti svu svoju energiju, ne na borbu protiv starog, već na izgradnjunovog. – Sokrat

Sistemi upravljanja poput sistema upravljanja informacionom sigurnošću (ISMS) uključujucikluse neprekidnog unapređenja kako bi se nosili sa promenama i održavali nivo efikasnostipogodan i primeren organizaciji i njenom poslovanju. Etos ISMS-a podrazumeva redovnoažuriranje radi poboljšanja i lečenja rizika povezanih sa promenama.

Neizvesnost i promene su neizbežni, neizbežni i univerzalni aspekti života i sveta u kojemživimo. Bilo u poslovnom ili u ličnom životu, postoje neizvesnosti i postoje promene - „ništanije tako trajno kao promena“. 3 Definicija rizika o kojoj se govori u 2. poglavlju usredsređujese na pojam neizvesnosti, a sve promene (očekivane ili neočekivane) nose element rizika.Rizici informacione bezbednosti prete digitalnom svetu u kojem živimo i kako se ovaj digitalnisvet razvija i menja, rizici se menjaju i evoluiraju. Kako se preduzeća i potrošači uključujuu ovaj digitalni svet, oni se moraju suočiti sa neizvesnostima rizika koji su uključeni. „Tajna“sistema upravljanja informacionom sigurnošću leži u kontinuiranim procesima poboljšanjakoji omogućavaju preduzećima da upravljaju promenama i rizicima i budu u toku sa svojimprogramom lečenja rizika - primenom efikasnog bezbednosnog procesa i kontrola radi zaštitesvojih podataka. To znači očuvanje poverljivosti, integriteta i dostupnosti informacijaupravljanjem rizicima. Ova tri bezbednosna cilja trebalo bi da budu središnja tačka politikeinformacione bezbednosti organizacije. Pored toga, organizacija treba da vodi računa o ličnimpodacima ili podacima koji otkrivaju identitet (lične podatke), koje obrađuje u vezi sa svojimosobljem, kupcima i potrošačima. ISMS koji organizacija primenjuje mora se kontinuiranorazvijati i poboljšavati tempom promena da bi se postigli ovi ciljevi.

Digitalna revolucija kao način poslovanja raste skokovima i granicama i postala je standardninačin poslovanja. Tehnologije poput oblaka, Big Data i IoT čine naš svet povezanim,pametnijim i rizičnijim. Standardi, poput porodice ISO / IEC 27001, pružaju sredstvo zaupravljanje rizicima informacione sigurnosti u našem sajber svetu. Ako se pravilno primeni,ova porodica standarda može pružiti podršku u rešavanju pitanja poput „Da li je mojaorganizacija (da li su moji trgovinski partneri) sposobna da na siguran način posluje namreži?“ ili, za uverenje povezano sa javno dostupnim sistemima, „Da li je Internet lokacijamoje organizacije sigurna?“ Ostala pitanja uključuju poverenje u aranžmane treće strane: „Dali su sposobni da imaju pristup objektima za obradu informacija moje organizacije i sa kojima

7

mogu da dele informacije?“ ili „Da li su sposobni da se brinu o informacijama i objektima zaobradu informacija moje organizacije?“

MENADŽMENT I SVESNOSTNaglasan ISO/IEC27001 standarda je zaštita informacija

Naglasak ISO / IEC 27001 standarda je zaštita informacija, a ono što podupire uspeh efikasne,pogodne i odgovarajuće implementacije ISMS-a je upravljanje. To podrazumeva opsegupravljanja u njegovom najširem smislu - od izvršnog direktora i ostalih u kategoriji C-suite, pa sve do drugih slojeva upravljanja, uključuje upravljanje ljudima, politiku, procedure,procese i sisteme kontrola i informacija o upravljanju rizicima, i da bi bio sveobuhvatanokvir za upravljanje informacionom sigurnošću, on takođe uključuje upravljanje svim onim štopodržava poslovanje - uslugama, poslovnim aplikacijama i IT-om.

Upravljanje je srce i duša uspešne implementacije ISMS-a. Usmeravanje mora biti vođenopolitikom najvišeg menadžmenta, mora postojati aktivna posvećenost i vođstvo ISMS-u, ato mora dolaziti sa vrha. Resursi moraju biti dostupni i posvećeni od vrha organizacije.Menadžment treba da stvori i promoviše kulturu bezbednosti informacija u organizaciji kakobi podržao upotrebu ISMS-a.

Svest i obrazovanje su presudni za postojanje ISMS-a koji će biti efikasan u upravljanjurizicima. Korišćenje ISMS-a organizacije u praksi je važno iz dana u dan, iz nedelje u nedelju,kao deo radne funkcije menadžera i zaposlenih. U ovom smislu, svest i obrazovanje trebada se bave praksom upotrebe ISMS-a, a ne teorijom ISMS-a. Za menadžere i zaposlene,trebalo bi da se radi o korišćenju i primeni smernica i procedura ISMS-a na njihove posebneradne okolnosti. Šta treba da rade i kako da reaguju na bezbednosne događaje kako sedogode? Koji je pravi način da se osiguraju informacije sa kojima se rukuje? Da li znajukoji postupak koristiti za određeni radni zadatak koji uključuje neki sigurnosni aspekt? Ovii mnogi drugi svakodnevni praktični aspekti obavljanja njihove specifične funkcije posla nanačin koji će zaštititi informacije s kojima imaju posla u srcu su dobre svesti o informacionojbezbednosti. Dakle, nije reč samo o izgradnji nečijeg znanja, već o razumevanju kako toznanje primeniti u praksi, znanju kako se stvari rade u praksi i znanju kako reagovati iodgovoriti na rizike informacione bezbednosti. Ovo praktično razumevanje može napravitirazliku između organizacije koja je uspešno preživela zlonamerni napad ili pretrpelaneiskazanu štetu zbog ovog napada.

Bezbednost informacija je timski rad i svi igraju važnu ulogu u upravljanju rizicima - odizvršnog direktora do zaposlenih, svi bi trebali biti svesni svoje odgovornosti i onoga što trebada urade i da doprinesu postizanju efikasnog ISMS-a.

ZAKONODAVSTVO, PROPISI I UPRAVLJANJEPrimeri važećeg zakonodavstva

Dobrim ljudima nisu potrebni zakoni koji će im reći kako da se ponašaju odgovorno. . .a zliljudi će naći put oko zakona. – Plato

Poglavlje 2 Dešifrovanje tajne upravljanja informacionom bezb.

8

Tokom poslednje tri decenije ili više, sve više pažnje posvećeno je zakonodavstvu, a propisiu različitim oblastima povezani su sa nekim aspektom informacija (npr. Zakonodavstvo ozaštiti podataka i privatnosti, zloupotreba i hakovanje računara, društveni mediji, elektronskatrgovina i upotreba elektronskih potpisa, digitalnih dokaza ili sajber bezbednosti). Vrlo jeverovatno da će se u budućnosti pojavljivati sve više i više takvih propisa.

Zakoni i propisi imaju poslovni uticaj na bilo koju organizaciju - oni očigledno moraju da sepridržavaju takvog zakonodavstva i pokažu svoju usklađenost s tim zakonodavstvom.

Rast internet poslovanja dodatno je povećao potrebu za pravnom zaštitom kako bi se zaštitilapreduzeća i njihove transakcije, kao i PII koji serveri čuvaju i obrađuju u različitimjurisdikcijama ( nadležnostima ).

Neki primeri važećeg zakonodavstva uključuju sledeće:

• Sox ili Sarbox ( eng. Sarbanes Oxley) takođe poznat kao Zakon o reformi računovodstvai zaštiti investitora u javnom preduzeću iz 2002 (SAD)

• Propisi vezani za sajber bezbednost u SAD-u uključuju Zakon o računarskim prevaramai zloupotrebama iz 1986. godine, Zakon o prenosivosti i odgovornosti zdravstvenogosiguranja iz 1996. (HIPAA), Zakon o Gramm-Leach-Bliley-u iz 1999. (GLBA), Zakon onacionalnoj sigurnosti iz 2002. i Zakon o razmeni i zaštiti ciber obaveštajnih podatakaiz 2013. (CISPA); Zakon o zloupotrebi računara u Velikoj Britaniji inkriminiše neovlašćenipristup računarskim sistemima;

• Direktiva EU o zaštiti podataka (plus zakonodavstvo svake države članice - njihovonacionalno tumačenje Direktive EU) pokriva prikupljanje, rukovanje i razmenu ličnihpodataka; postoji zakonodavstvo o zaštiti podataka / privatnosti podataka u zemljamakoje nisu članice EU, uključujući Australiju, Kanadu, Hong Kong, Maleziju, Meksiko, NoviZeland, Norvešku, Republiku Južnu Koreju, Singapur, Južnu Afriku, Švajcarsku;

• Direktiva EU o elektronskim potpisima (plus tumačenje država članica) pruža zakonskeodredbe u vezi sa pravnom prihvatljivošću elektronskih potpisa (npr. Onih koji se koristeza mrežne transakcije), a drugi slični propisi se pojavljuju u drugim delovima sveta, naprimer u Hong Kongu i Japan;

• Međunarodni zakoni o autorskim pravima i licencama pružaju pravne mere protivpiraterije i krađe intelektualne svojine.

PUT DO SERTIFIKOVANOG POSLOVNOG OKRUŽENJAProcesi

Kvalitet naše informacione bezbednosti zavisi od akcija koje preduzimamo za postizanjeefikasnog ISMS-a. U više od 100 zemalja širom sveta, organizacije koriste ISO / IEC 27001za upravljanje informacionom sigurnošću primenom ISMS-a. Pored toga, mnoge od ovihorganizacija odlučile su se da njihov ISMS sertifikuje treće telo za sertifikaciju. Ovaj postupaksertifikacije prema ISO / IEC 27001 pruža zajedničko međunarodno merilo za procenu sistemaupravljanja informacionom sigurnošću organizacije. Sertifikacija uverava menadžment,kupce, dobavljače i poslovne partnere da organizacija primenjuje najbolju praksu bezbednostiinformacija. Otvara nove načine poslovanja zasnovane na zaštićenom poslovnom okruženju.


9

ISO / IEC 27001 i postupak sertifikacije (za više detalja pogledajte akreditovani standard zasertifikaciju ISO / IEC 27006) pružaju isprobani okvir, metrički sistem za utvrđivanje da lije vaše poslovanje „pogodno za svrhu“ iz perspektive upravljanja bezbednošću informacija. Revizija sertifikacije će proveriti da li je ISMS u skladu sa zahtevima ISO / IEC 27001.Revizorski tim će postaviti mnoga pitanja i tražiti dokaze za proveru usaglašenosti.

Procesi:

• Da li ste prilikom planiranja, dizajniranja i razvoja ISMS-a uzeli u obzir zahteve iočekivanja svih zainteresovanih strana i bilo koja pitanja (unutrašnja ili spoljna) koja bimogla biti relevantna?

• Da li imate efikasan i sistematičan postupak procene rizika? Da li ste primeniliodgovarajući skup kontrola za lečenje identifikovanih, procenjenih i procenjenih rizika?

• Da li imate efikasne, adekvatne i odgovarajuće procese upravljanja za upravljanje iupravljanje ISMS-om?

• Koje procese imate na raspolaganju za proveru, procenu i verifikaciju performansi vašegimplementiranog ISMS-a?

• Da li imate kontinuirani proces usavršavanja? Da li se ovo adekvatno upravlja i efikasnoprilagođava promenljivim okolnostima koje su relevantne za ISMS?

PUT DO SERTIFIKOVANOG POSLOVNOG OKRUŽENJA- NASTAVAKKontrola

Kontrola

• Da li imate politiku zaštite podataka? Da li imate sve potrebne procedure? Da li sudovoljne?

• Da li su vaši zaposleni svesni i obučeni za bezbednost organizacije uopšte i svog poslaposebno?

• Koje kontrole i mere postoje za sigurno rukovanje informacijama? Kako kontrolišetepristup svojim osetljivim i kritičnim komercijalnim informacijama? Da li štitite integritet idostupnost svojih poslovnih informacija i procesa?

• Da li imate uspostavljene kontrole i postupke za bezbedno korišćenje, upravljanje inadgledanje vašeg poslovanja, mreža i komunikacija?

• Da li ste zaštićeni od fizičkih i ekoloških rizika?• Da li imate uspostavljene planove za kontinuitet poslovne bezbednosti podataka?• Da li se pridržavate svih zakona i propisa relevantnih za vaše poslovanje?

Uspostavljanje sertifikovanog poslovnog okruženja ISO / IEC 27001 za pokazivanje poverenjaupravnom odboru, menadžerima C-suite-a, vašim poslovnim partnerima i kupcima da je vašaorganizacija „sposobna za poslovanje“ uobičajeno je za mnoge hiljade organizacija širomsveta - male -, srednje i velike organizacije u većini poslovnih i industrijskih sektora, kao iVlade i akademske i istraživačke institucije.


10

Poglavlje 3

OU3 ISO/IEC 27001 ISMS Porodica

ISO/IEC STANDARDIZACIJAPregled

Rad u Međunarodnoj organizaciji za standardizaciju (ISO) i Međunarodnom odboru zaelektričnu energiju (IEC) obavljaju Tehnički komiteti (TC) i Pododbori (SC). Ovi odbori suodgovorni za izvršno odlučivanje i celokupno upravljanje programom standarda. Pored toga,u Upravnim odborima se uspostavljaju radne grupe za sprovođenje razvoja standarda.Zajednički tehnički komitet (JTC 1) je zajednički ISO i IEC komitet odgovoran za IT standarde.Za detaljnije informacije o procesu standardizacije; ko se uključuje u posao; tehničkimodborima i onim što rade i isporučenim rezultatima (standardi, tehnički izveštaj), čitalac jeusmeren na veb lokaciju ISO-a na www.iso.org/iso/home/standards_development.htm.

Ovo poglavlje daje pregled rada u ISO / IEC JTC 1 u vezi sa standardizacijom informacija iIT bezbednosti, a posebno standardima sistema upravljanja informacionom bezbednošću ipododborom SC 27.

ISO/IEC JTC 1/SC 27 STRUKTURA I ČLANSTVOISO / IEC JTC 1 / SC 27 je komitet odgovoran za širok spektar projekatainformacionih i IT standarda bezbednosti

ISO / IEC JTC 1 / SC 27 je komitet odgovoran za širok spektar projekata informacionih i ITstandarda bezbednosti. Pododbor se sastoji od pet radnih grupa (WG 1 – WG 5) koje pokrivajuraznovrstan spektar tema o informacijama i IT bezbednosti. Slika 1. prikazuje trenutnustrukturu SC27. Radna grupa SC 27 WG 1 posebno je odgovorna za porodicu standarda ISMSISO / IEC 27001.

SC27 članstvo

Članstvo u SC 27 trenutno uključuje nacionalna standardna tela koja predstavljaju 50 različitihzemalja. To su članovi sa pravom glasa, pored nacionalnih standardnih tela koja predstavljaju20 različitih država, koja su posmatrači (ne glasaju).

SC 27 takođe radi u saradnji sa mnogim drugim organizacijama, koje se obično upućuju natela za vezu, kako bi se olakšala razmena informacija o budućim potrebama za bezbednosnimstandardima, kao i uključivanje u zajednički rad na razvoju projekata standardizacijekomiteta. Telo za vezu može biti drugi odbor u okviru ISO, IEC ili JTC 1, ili organizacijavan strukture ISO i IEC odbora. Ovo može biti neka druga međunarodna organizacija za

11

http://www.iso.org/iso/home/standards_development.htm

Slika 3.1.1 SC27 struktura

standardizaciju, kao što je ITU-T, ili regionalno telo za standarde, kao što je Evropski institutza telekomunikacione standarde (ETSI), ili organizacija koja predstavlja industrijski sektor,potrošačku grupu ili udruženje korisnika. Trenutno (od septembra 2015. godine) SC 27 ima71 člana nacionalnog tela (to su nacionalne organizacije za standardizaciju iz 71 različitedržave) i više od 55 članova za vezu (to su organizacije za vezu koje takođe doprinoseradu). Veliki broj članova SC 27 znači da je bogatstvo doprinosa, znanja, stručnosti i veštinaprofesionalaca u oblasti informacione bezbednosti dostupno širom sveta. To takođe znači dapotrebe i očekivanja organizacija i preduzeća koja rade u većini tržišnih sektora doprinoserazvoju konačnog proizvoda. Ovo bogatstvo unosa, kao i pregled i povratne informacije odoprinosima, dodaje vrednost razvijenim standardima.

3.1 Pregled ISO/IEC porodice

PREGLED ISO/IEC 27001

ISO / IEC 27001

Standardi sistema upravljanja bezbednošću informacija (ISMS) ISO / IEC 27001 razvijeni suna međunarodnom nivou kao odgovor na potrebe tržišta. Kao i svi ISO i IEC, oni se zasnivajuna globalnom mišljenju stručnjaka i razvijaju se kroz proces više aktera, koristeći pristupzasnovan na konsenzusu. Svi takvi standardi prolaze kroz životni ciklus održavanja kako bi biliredovni i ažurirani - to znači da se standardi često revidiraju nakon određenog vremenskogperioda, obično oko pet godina. Stoga standard može imati mnogo izdanja, jer svako novoizdanje zamenjuje prethodno izdanje. Korisnici ISO / IEC standarda uvek treba da provere dali je verzija koju koriste najnovije izdanje. Korisnici ISO / IEC standarda bi zato trebalo uvek daprovere da li je verzija koju koriste najnovije izdanje, jer će revidirane verzije verovatno bitirazvijene tokom vremena.

Poglavlje 3 OU3 ISO/IEC 27001 ISMS Porodica

12

Poglavlje 4

OU4 27001 ISMS Porodica

ISMS PORODICAUvod u ISMS 27001 porodicu

Ovo poglavlje predstavlja detalje o trenutnoj seriji standarda sistema upravljanjainformacionom sigurnošću (ISMS) nazvanim porodica ISO / IEC 27001:

ISMS Zahtevi

ISO / IEC 27001: Zahtevi sistema upravljanja informacionom sigurnošću: Ovo je osnovnistandard u porodici ISO / IEC 27001. Ovaj standard precizira zahteve za uspostavljanje,primenu, primenu, nadgledanje, pregled, održavanje, ažuriranje i poboljšanje sistemaupravljanja informacionom sigurnošću (ISMS).

ISMS smernice za podršku i kodeks prakse

• ISO / IEC 27002: Kodeks prakse upravljanja informacionom bezbednošću;• ISO / IEC 27003: Smernice za primenu ISMS-a;• ISO / IEC 27004: Merenja upravljanja informacionom sigurnošću;• ISO / IEC 27005: Upravljanje rizikom od bezbednosti informacija.

Ova grupa standarda u porodici ISMS pruža savete, smernice i primenu kao podršku u svrhuispunjavanja zahteva iz ISO / IEC 27001.

ISMS AKREDITOVANI STANDARDI ZA SERTIFIKACIJU IREVIZIJUISO / IEC 27006

ISO / IEC 27006: Međunarodne smernice za akreditaciju za akreditaciju tela koja vršesertifikaciju / registraciju sistema upravljanja informacionom bezbednošću;

• ISO / IEC 27007: Smernice za reviziju sistema upravljanja informacionom bezbednošću;• ISO / IEC 27008: Smernice za revizore o ISMS kontrolama;• ISO / IEC 27009: Sektorska primena zahteva ISO / IEC 27001;

Ova grupa standarda pokriva zahteve za nezavisne akreditovane ISMS sertifikacione revizije(ISO / IEC 27006), smernice za reviziju koje pokrivaju prve, druge i nezavisne revizije (ISO /IEC 27007) i tehnički izveštaj koji daje smernice za procenu primene ISMS kontrola odabrankroz pristup zasnovan na riziku za upravljanje bezbednošću informacija (ISO / IEC 27008).

13

Grupa takođe uključuje standard (ISO / IEC 27009) koji se fokusira na sektorsku primenu ISO/ IEC 27001. Konačno, novi odlazak je standard (ISO / IEC 27021) koji se bavi zahtevimakompetencije za podršku šemama sertifikacije koje se bave sertifikacija stručnjaka zaupravljanje informacionom sigurnošću.

ISMS SPECIFIČAN ZA SEKTORISMS specifičan za određeni sektor

• ISO / IEC 27000: ISMS pregled i rečnik;• ISO / IEC 27023: Mapiranje revidiranih izdanja ISO / IEC 27001 i ISO / IEC 27002;• ISO / IEC 27014: Upravljanje informacionom sigurnošću;• ISO / IEC 27016: Upravljanje bezbednošću informacija – organizaciona ekonomija.

Ova poslednja grupa pokriva razne predmete: standard koji pokriva glavne stavketerminologije korišćene u porodici ISMS, zajedno sa pregledom porodice. Ovaj standardrazmatra aspekte upravljanja informacionom sigurnošću (ISO / IEC 27014) putem kojihorganizacije upravljaju i kontrolišu proces upravljanja informacionom sigurnošću (ISMS) kakoje navedeno u ISO / IEC 27001 i tehnički izveštaj koji pokriva važne, ali često zaboravljene,tema ekonomije informacione bezbednosti (ISO / IEC 27016). Ovo pruža smernice o tomekako organizacija može donositi odluke kako bi zaštitila informacije i razumela ekonomskeposledice tih odluka u kontekstu konkurentskih zahteva za resursima. ISO / IEC 27023 pružaset karata, koji pokazuju prelaz sa izdanja ISO / IEC 27001 i ISO / IEC 27002 na izdanja iz2005. godine.

Poglavlje 4 OU4 27001 ISMS Porodica

14

Poglavlje 5

Standardi povezani sa ISMS 27001porodicom

STANDARDI POVEZANI SA ISMS 2700:2013PORODICOMArhitektura standarda

Brojni dodatni standardi nisu obuhvaćeni porodicom navedenom u 3.1.2. Ipak su povezani saporodicom ISO / IEC 27001. Mnogi od ovih standarda pružaju detaljnije informacije o primeni.Trenutni skup standarda sažet je na sledeći način:

• Spremnost za ICT, upravljanje incidentima informacione sigurnosti, IDPS, digitalneistrage

• ISO / IEC 27031: Smernice za spremnost ICT za kontinuitet poslovanja;• ISO / IEC 27035: Upravljanje incidentima informacione bezbednosti;• ISO / IEC 27037: Smernice za identifikaciju, prikupljanje, pribavljanje i čuvanje digitalnih

dokaza;• ISO / IEC 27039: Izbor, primena i rad sistema za otkrivanje i sprečavanje upada (IDPS);• ISO / IEC 27041: Smernice za obezbeđivanje pogodnosti i adekvatnosti metoda istrage

nezgoda;• ISO / IEC 27042: Smernice za analizu i tumačenje digitalnih dokaza;• ISO / IEC 27043: Principi i procesi istrage nezgoda;• ISO / IEC 27050: Elektronsko otkriće.

Aplikacije i servisi

• ISO / IEC 27032: Smernice za sajber bezbednost;• ISO / IEC 27033: Bezbednost mreže;• ISO / IEC 27034: Bezbednost aplikacija;• ISO / IEC 27036: Sigurnost informacija za odnose sa dobavljačima;• ISO / IEC 27038: Specifikacija za digitalnu redakciju;• ISO / IEC 27040: Sigurnost skladišta.

Pored standarda pomenutih u prethodnim odeljcima SC 27 razvija i mnoge druge standarde(npr. U polju kriptografskih tehnika, standardi za kriterijume za procenu bezbednostiproizvoda i sistema proizvoda i standardi za upravljanje identitetom i privatnost upravljanje).Na slici 2 prikazan je pogled na niz standarda razvijenih u SC 27 raspoređenih da odražavajukako se oni odnose na ISO / IEC 27001.

15

Slika 5.1 Arhitektura standarda iz perspektive ISMS-a

Poglavlje 5 Standardi povezani sa ISMS 27001 porodicom

16

Slika 6.1 ISO/IEC evolucija

Poglavlje 6

Evolucija ISO/IEC 27000 Porodice

NAJSLABIJA VEZAUpravljanje informacionom bezbednošću sa stanovišta ljudi, politike,procedura i poslovnog procesa je osnovni cilj koji stoji iza pristupa uISO / IEC 27000 porodici ISMS standarda

Upravljanje informacionom bezbednošću sa stanovišta ljudi, politike, procedura i poslovnogprocesa je osnovni cilj koji stoji iza pristupa zauzetog u ISO / IEC 27000 porodici ISMSstandarda. Iako smo veoma zavisni od tehnologije i uloge koju ona igra u današnjemposlovnom okruženju kao naš konj za obradu informacija, ovo je samo jedan aspekt i ITsigurnost nije najvažniji izazov sa kojim se moramo suočiti. Ljudi su verovatno najvećiproblem informacione sigurnosti. Ljudi su najveća ranjivost, a upravljanje ljudima i obradainformacija predstavljaju najveći izazov. Ljudi preuzimaju rizik kada je reč o nizu svakodnevnihzadataka u koje su uključeni, a istovremeno su skloni riziku u drugim zadacima koje obavljaju.Obuka, investiranje i motivisanje ljudi, kao i raspodela odgovornosti za bezbednost i stvaranjeosećaja da su deo bezbednosne kulture, neki su od ključnih delova uspostavljanja efikasnogsistema svesti i upravljanja koji će pomoći preduzećima da zaštite svoje informacije.Prepoznavanje značaja da su ljudi, postupci i procesi najveći problemi za rešavanje u domenuinformacija počelo je da raste krajem 1980-ih, ali nije postalo ozbiljna tema standardizacijetek sredinom 1990-ih, a sigurno je bilo tek Od 2005. godine pa nadalje, ona je počela dapostaje univerzalna tačka dnevnog reda o pregledu menadžmenta i sastancima na nivouodbora.

OSNOVNE KONTROLEKontrola najbolje praske

Kontrole najbolje prakse bile su suštinski element upravljanja informacionom sigurnošću ipraistorija ISO / IEC 27000 ISMS standarda, još od kasnih 1980-ih kada je zaista počelo

17

da postaje punoletno. Okupljeno je sve više i više upotreba kontrola koje se obično koristeu preduzeću: kontrole koje bi preduzeće moglo da koristi bez potrebe da preuzima bilokakvu skupu obavezu. Preduzeća bi mogla da postave nivo zaštite u svojoj organizacijikoristeći ove kontrole najbolje prakse „uobičajene upotrebe“ kako bi uspostavila „osnovni“nivo bezbednosti kao zajednički bezbednosni standard. Pored toga, naravno, preduzeća sumorala graditi na ovoj osnovnoj liniji gde su bile neophodne sigurnosne kontrole koje se bavespecifičnim rizicima.

Katalozi osnovnih kontrola proizvedeni su u mnogim poslovnim sektorima i korisničkimgrupama, kao što je Međunarodni institut za integritet informacija (I4). U radu I4 usvojenesu one kontrole u zajedničkoj upotrebi u industriji prema kriterijumu „ako većina organizacijakoristi određenu bezbednosnu kontrolu, onda je ona definisana kao kontrola u„ zajedničkojupotrebi “i stoga predstavlja osnovnu kontrolu.

Početkom devedesetih, Velika Britanija je u Odeljenju za trgovinu i industriju (DTI) osnovalaindustrijsku grupu da uspostavi kodeks prakse: kodeks koji je razvila industrija za industriju.Ovaj kodeks je bio katalog bezbednosnih kontrola najbolje prakse, uključujući neke odosnovnih kontrola o kojima je industrija raspravljala i usvojila ih 1980-ih. Međutim, ovajkod je otišao korak dalje uvodeći pojam procene rizika kao način usklađivanja kontrola saposlovnom vrednošću informacija i informacionog sistema svake organizacije. Ovaj kod bina taj način omogućio organizacijama da svoju informacionu sigurnost prilagode potrebamasvog poslovanja: specifičnim informacionim sistemima koje koriste, njihovim poslovnimprocesima i aplikacijama i njihovom trgovinskom i operativnom okruženju. Ovaj DTI kodtakođe je sadržao savete i smernice o primeni kontrola. Ovaj kod je objavio 1992. godine DTI.

Ideja o primeni procene rizika takođe je uvedena u kodeks kao alat za upravljanje zauspostavljanje bezbednosnih zahteva preduzeća i za odabir seta kontrola koji će odgovaratitim zahtevima.

FORMATIVNE GODINE - BS 7799 1. I 2. DEO1995. godine DTI kodeks prakse objavljen je kao britanski standard BS7799

1995. godine DTI kodeks prakse objavljen je kao britanski standard BS 7799: 1995. 1998.godine odlučeno je izvršiti pregled verzije iz 1995. godine kako bi se proverilo da li postojipotreba za revizijom ili da se ostavi onakvim kakav jeste: ovo je normalna praksa sa svimstandardima. To je dovelo do odluke da se revidira standard kako bi se poboljšao i ažurirao,uz zadržavanje povratne kompatibilnosti sa verzijom iz 1995. Urednički tim pod upravom BSIodbora BDD3 počeo je da pregleda i prikuplja komentare od niza zainteresovanih strana. Od1998. nadalje je napredovala porodica BS 7799 standarda:

• BS 7799 Prvi Deo ove porodice bio je DTI kodeks prakse za upravljanje bezbednošćuinformacija;

• BS 7799 Drugi Deo je specifikacija za ISMS. Ovaj razvoj nastao je nakon javnihkonsultacija o potrebi nezavisnog sistema sertifikacije za ISMS. Model procesasertifikacije i revizije koji se koristi za BS 7799 Deo 2 je isti kao onaj koji se koristi za ISO9001 za kvalitet i ISO 14000 za sisteme upravljanja životnom sredinom.

Poglavlje 6 Evolucija ISO/IEC 27000 Porodice

18

Pojava drugog dela standarda BS 7799 označila je drugu značajnu prekretnicu u upravljanjuinformacionom sigurnošću. Ideja primene procene rizika, iako je pomenuta u Delu 1, posebnoje uvedena u Drugi deo kao obavezni zahtev kao sredstvo uspostavljanja bezbednosnihzahteva preduzeća i za odabir seta kontrola koji će odgovarati tim zahtevima.

Organizacije su mogle uspostaviti i primeniti ISMS zasnovan na Delu 2, a potom su otišlena sertifikaciju svojih ISMS-a od strane nezavisnih kompanija kako bi pokazale da je njihovainformaciona bezbednost „prikladna za svrhu“. Takva sertifikacija pruža sredstvo za merenjeefikasnosti ISMS-a pružajući sigurnost svojim kupcima, poslovnim investitorima, akcionarimai trgovinskim partnerima.

Porodica BS 7799 pruža najbolju praksu pogodnu za organizacije, bile one male, srednjeili velike i u svim tržišnim sektorima, uključujući vladine i komercijalne organizacije. Dajuorganizacijama najbolju praksu za upotrebu u raznim trgovinskim odnosima, uključujući lancekupaca i dobavljača, zajedničke poduhvate, usluge nezavisnih kompanija, aranžmane zaspoljne izvore i virtuelne privatne mreže organizacija distribuiranih širom sveta, kao i pojavuglobalne B2B elektronske trgovine i kao Odnosi G2B, G2C i B2C.

INTERNACIONALIZACIJASve do 2000. godine ovi standardi su se koristili širom sveta u mnogimrazličitim industrijama i preduzećima i oni su postali de factomeđunarodni standardi iz perspektive industrije

Sve do 2000. godine ovi standardi su se koristili širom sveta u mnogim različitim industrijamai preduzećima i oni su postali de facto međunarodni standardi iz perspektive industrije.Sledeća faza u razvoju ovih standarda bila je formalizacija kao međunarodnih standarda.To je 2000. godine dovelo do predloženog uvođenja BS 7799 Deo 1 u ISO / IEC JTC 1.1.Predloženim uvođenjem u ISO / IEC postignuta je minimalna podrška većine (67%) koja trebabiti odobrena. Budući da nisu sve zemlje članice JTC 1 dale saglasnost i uvek je dobro postićikonsenzus, nakon neke rasprave odlučeno je da će 1. deo biti objavljen pod uslovom da štopre počne revizija standarda moguće. Tako je 2000. BS 7799 Deo 1 postao ISO / IEC 17799:2000.

2005. godine objavljena je revidirana verzija ISO / IEC 17799: 2000 i iste godine BS 7799 Deo2 postao je ISO / IEC 27001: 2005. Takođe iste godine, SC 27 / VG 1 usvojio je ISO / IEC 27000šemu numerisanja , i usvojena je porodica ISO / IEC 27000 ISMS standarda.

Danas međunarodna zajednica sada prihvata porodicu ISO / IEC 27000 kao zajednički jezikza informacionu sigurnost. Ovo omogućava organizacijama širom sveta da se angažuju uobezbeđivanju svog poslovanja koristeći takav jezik kako bi demonstrirali svojim kupcimai poslovnim partnerima da su sposobni za sigurnu obradu informacija, bilo da se radi omrežnom ili oflajn poslu. Svet se sada otvara ovom pojmu zajedničkog ISMS jezika u koristsvih organizacija da bi upravljali svojim rizicima i zaštitili jednu od svojih kritičnih vrednosti -informacije.

Poglavlje 6 Evolucija ISO/IEC 27000 Porodice

19

Poglavlje 7

Pregled ISO/IEC 27001:2013standarda

PREGLED ISO/IEC 27001;2013 STANDARDAMeđunarodni standard ISO / IEC 27001

Međunarodni standard ISO / IEC 27001 je ISMS skup zahteva za uspostavljanje, primenu,primenu, praćenje, pregled, održavanje, ažuriranje i poboljšanje dokumentovanog ISMS-a sobzirom na sveukupne poslovne rizike i mogućnosti organizacije.

Pripada klasi standarda koji se nazivaju Standardi sistema menadžmenta (MSS), štouključuje standarde kao što su ISO 9001 (Sistem upravljanja kvalitetom), ISO 14001 (Sistemupravljanja zaštitom životne sredine), ISO 22000 (Sistem upravljanja sigurnošću hrane), ISO/ IEC 20000-1 (Sistem upravljanja uslugama) i ISO 22301 (Sistem upravljanja kontinuitetomposlovanja).

2012. godine ISO je objavio zajednički pristup (ISO Directions Annex SL, Dodatak 3) i za razvojnovog MSS-a i za reviziju postojećeg MSS-a. Razlozi za to bili su omogućavanje organizaciji daupravlja integrisanim MSS-om koji će biti u skladu sa zahtevima dva ili više MSS-a. Na primer,organizacija bi mogla da odluči da radi i sa ISO / IEC 27001 i sa ISO 22301, što bi značilo da ćeintegrisati svoje ISMS sa BCMS. Korišćenje ovog uobičajenog integrisanog pristupa obezbedilobi mnoge poslovne koristi i povećalo vrednost korišćenja MSS-a. I ISO / IEC 27001 i ISO22301 su dva standarda iz MSS porodice standarda koja su revidirana kako bi preuzela ovajzajednički pristup, koji uključuje upotrebu strukture na visokom nivou, identičnog osnovnogteksta i zajedničkih termina i osnovnih definicija.

Drugo izdanje ISO / IEC 27001 objavljeno je 2013. godine nakon troipogodišnjeg ciklusarevizija. Ova nova verzija uzima u obzir novi MSS pristup. To znači da struktura poglavlja,klauzula i odeljenja na visokom nivou izgleda drugačije od izdanja iz 2005. godine. Poredpromene strukture na visokom nivou, izvršene su i promene u zahtevima navedenim ustandardu. Ove promene odražavale su doprinose primljene od tela članova SC 27 i njihovihsaradničkih organizacija. ISO / IEC 27023 je vodič koji pruža mape prelaza koji prikazujupromene na visokom nivou koje su izvršene između izdanja ISO / IEC 27001 i ISO / IEC 2700iz 2005. i 2013. Ovaj vodič je veoma koristan za one koji žele da saznaju više detaljno gde suse promene dogodile.

20

ISMS PUBLIKA, OBAVEZNE IZJAVE I PROCESIOrganizaciona ciljna publika ISO / IEC 27001 se nije promenila uizdanju iz 2013. godine

Organizaciona ciljna publika ISO / IEC 27001 se nije promenila u izdanju iz 2013. godine:pogodna je za sve vrste i veličine organizacija. Može se primeniti na bilo koju vrstu poslovneaktivnosti i na svim poslovnim tržištima, jer je njen predmet zaštita informacija, bez obzirakoje sisteme, procese ili IT organizacija koristi.

Funkcionalna ciljna publika u izdanju iz 2013. takođe se nije promenila. Drugo izdanje ISO/ IEC 27001 više naglašava ulogu menadžmenta, vođstva i posvećenosti menadžmenta upodršci ISMS-u. Više se naglašava potreba da se razvoj ISMS-a uskladi sa potrebama iočekivanjima zainteresovanih strana i svih relevantnih zainteresovanih strana, kao i da seosigura da su pokrivena sva unutrašnja i spoljna poslovna pitanja i zahtevi.

Obavezne izjave

Drugo izdanje ISO / IEC 27001 i dalje koristi reč „mora“ u specificiranju zahteva, a u ISOterminologiji bilo koji zahtev koji uključuje ovu reč obavezan je za primenu ako organizacijaželi da zatraži usaglašenost sa standardom. Prema tome, to znači da se ovaj standardmože koristiti za formalnu nezavisnu sertifikaciju, što je slično slučaju ISO 9001 za sistemeupravljanja kvalitetom.

ProcesiISO / IEC 27001: 2005 zasnovan je na modelu procesa Plan-Do-Check-Act. U izdanju ISO / IEC27001 iz 2013. godine ovaj model je isključen, iako je njegova filozofija stalnog usavršavanjasigurno još uvek čvrsto na snazi. Pristup zasnovan na procesima je, međutim, još uvekdeo novog izdanja ISO / IEC 27001, kao što je bio slučaj sa starim izdanjem. Na primer,organizacija treba da ima postupak procene rizika koji će se primeniti ili postupak procenerizika ili postupak interne revizije. ISMS procesi su sistematske operacije i aktivnosti koje sucentralna karakteristika ISO / IEC 27001.

7.1 ISMS Faze

FAZE ISMS-A

Faze ISMS-a uspostavljaju, primenjuju, primenjuju, nadgledaju,preispituju, održavaju, ažuriraju i poboljšavaju, a organizacija treba daprođe kroz niz insceniranih aktivnosti.

Faze ISMS-a uspostavljaju, primenjuju, primenjuju, nadgledaju, preispituju, održavaju,ažuriraju i poboljšavaju, a organizacija treba da prođe kroz niz insceniranih aktivnosti. Ovefaze uključuju niz zahteva za obavezom (obavezni zahtevi) gde se stvari moraju preduzeti,

Poglavlje 7 Pregled ISO/IEC 27001:2013 standarda

21

aktivnosti treba sprovesti i procesi treba sprovesti. Ovi zahtevi potpadaju pod sledeće nasloveklauzula:

• Kontekst organizacije (tačka 4);• Rukovodstvo (tačka 5);• Planiranje (tačka 6);• Podrška (klauzula 7);• Operacija (klauzula 8);• Procena učinka (tačka 9);• Poboljšanje (tačka 10).

Pristup zasnovan na riziku

Svrha pristupa zasnovanog na riziku je da se brine o aspektima informacione sigurnostiposlovnih aktivnosti organizacije. Proces upravljanja rizikom ISMS-a mora uzeti u obzirzahteve i očekivanja svih zainteresovanih strana, uključujući kupce, potrošače i poslovnepartnere. Potrebno je uzeti u obzir sva pitanja koja bi mogla biti relevantna za rizikeinformacione sigurnosti, bilo da se odnose na korporativno upravljanje, zakonske, regulatornei ugovorne obaveze, poslovne ciljeve i strategiju, poslovanje i procese ili upotrebu i primenuinformacione i komunikacione tehnologije (IKT) sistemi.

Ukupna filozofija rizika u novom dodatku zasniva se na konceptima i terminologiji definisanimu opštem standardu rizika ISO 31000. Klauzule u ovom poglavlju puki su pregled detaljnijerasprave o upravljanju rizicima ISMS-a pronađene u poglavlju 4.

I u ISO / IEC 27001: 2005 i ISO / IEC 27001: 2013, upravljanje rizikom je centralna tema;međutim, izdanje iz 2013. godine uključuje niz važnih promena u procesu upravljanjarizicima.

PROCENA,UPRAVLJANJE RIZIKOM I EVALUACIJA PERFORMANSI

Jedna od značajnih promena u zahtevima između izdanja iz 2005. i2013. godine je potreba za identifikovanjem imovine, pretnji i ranjivosti

Procena rizika

Jedna od značajnih promena u zahtevima između izdanja iz 2005. i 2013. godine je potrebaza identifikovanjem imovine, pretnji i ranjivosti. To više nije uslov u drugom izdanju. Tako jepristup zasnovan na imovini u 2005. zamenjen pristupom zasnovan na modelu definisanomu ISO 31000.

Upravljanje rizikom

Druga promena koja se može naći u drugom izdanju povezana je sa lečenjem rizika. U izdanjuiz 2005. godine Aneks A je korišćen za odabir odgovarajućeg skupa kontrola radi smanjenjaidentifikovanih rizika. U izdanju iz 2013. godine korisnik određuje skup kontrola u skladu saopcijama lečenja rizika koje je organizacija odlučila da primeni. Organizacija zatim treba dauporedi ovaj skup kontrola sa kontrolama iz Aneksa A da bi odredila da li su neke važnekontrole isključene.


22

Standard ISO / IEC 27005 pruža smernice o upravljanju rizikom od informacione sigurnosti kaopodršku ISO / IEC 27001.

Evaluacija performansi

U verziji ISO / IEC 27001 iz 2005. godine, procena učinka je razmatrana i primenjenakorišćenjem nekoliko procesa, uključujući merenje, praćenje, interne revizije i pregledemenadžmenta. U izdanju iz 2013. navedeni su isti postupci i na njih se poziva; međutim, onisu okupljeni u jednom poglavlju, a tekst sadržaja je pretrpeo određena poboljšanja. StandardISO / IEC 27004 pruža smernice o zahtevima merenja bezbednosti informacija datih u ISO /IEC 27001.


23

Poglavlje 8

Drugo izdanje ISO/IEC 27002standarda

DRUGO IZDANJE ISO/IEC STANDARDA I NJEGOVAUSKLAĐENOST I PRIMENAIstovremeno sa revizijomISO / IEC 27001, revidiran je i standardni ISO /IEC 27002 kodeks prakse za upravljanje informacionom sigurnošću

Istovremeno sa revizijomISO / IEC 27001, revidiran je i standardni ISO / IEC 27002 kodeksprakse za upravljanje informacionom sigurnošću. Revidirane verzije ovih standarda objavljenesu u isto vreme.

Promene u ISO / IEC 27002 uključivale su brisanje nekih kontrola, dodavanje nekih novihkontrola i modifikovanje kontrola iz prethodnog izdanja. ISO / IEC 27023 je vodič koji pružamape prelaza koje prikazuju promene na visokom nivou izvršene između izdanja ISO / IEC27002 od 2005. do 2013. godine.

Usklađenost sa ISO/IEC 27002

Izraz „usaglašenost“ često se pogrešno razume, a ponekad se pomeša i koristi naizmeničnosa rečju „usklađenost“. Kodeks prakse ISO / IEC 27002 ima oblik smernica i preporuka, kaotakav nije standard ocenjivanja usaglašenosti, koristeći ISO tehničku upotrebu izraza u smislustandarda sistema upravljanja, jer koristi „treba“ izjave, za razliku od ISO / IEC 27001, kojikoristi izjave „moraće“. Treba voditi računa da tvrdnje o usaglašenosti ne zavaraju.

Primena ISO/IEC 27002

ISO / IEC 27002 je prvenstveno katalog kontrola najbolje prakse, koji korisnici mogu da birajukako bi primenili kontrole upravljanja bezbednošću u svom poslovnom okruženju kako bipostigli osnovnu zaštitu najbolje prakse. U kombinaciji sa ISO / IEC 27001, ovo dvoje sedopunjuju, pružajući organizacijama set alata za upravljanje rizicima informacione sigurnosti.

Naravno, ISO / IEC 27002 se može koristiti samostalno, ali to je izvan procesa upravljanjazasnovanih na riziku sistema menadžmenta navedenog u ISO / IEC 27001, koji su tu dabi olakšali upravljanje efikasnim sistemom bezbednosti informacija sa ugrađenim programza kontinuirano poboljšanje bezbednosnog statusa organizacije. Sledeća predavanja pružićedetaljnije informacije o upotrebi, primeni i primeni ISO / IEC 27002.

24

Poglavlje 9

Zaključak

ZAKLJUČAKRezime

Naša zavisnost od digitalnih informacija je sveprisutna, kao i rizici za te informacije.Informacije mogu biti otkrivene i dostupne neovlašćenim korisnicima, oštećene ili izmenjenena neki neovlašćen ili slučajan način ili izgubljene ili nedostupne usled kvara sistema. Naovom predmetu se spominju tri važna bezbednosna cilja - zaštita poverljivosti, integriteta idostupnosti informacija. Razumevanje rizika i procena kako ti rizici utiču i utiču na poslovanjeu smislu ovih ciljeva je od ključne važnosti za efikasno upravljanje tim rizicima.

LITERATURAReference

1. Humphreys, Edward. Implementing the ISO/IEC 27001: 2013 ISMS Standard. ArtechHouse, 2016.

25


Poslovni kontekst ISMS-aLekcija 02

www.princexml.com




POSLOVNI KONTEKST ISMS-A

Poslovni kontekst ISMS-aPoglavlje 1: Organizacioni kontekstPoglavlje 2: Potrebe i očekivanja ISMS-aPoglavlje 3: Zahtevi interne tehnologijePoglavlje 4: Opseg ISMS-APoglavlje 5: Definisanje ISMS OpsegaZaključak




Uvod

UVODUvod

Pre nego što krenete u razvoj i primenu ISMS-a, važno je razumeti svoju organizaciju, njenkontekst i svrhu, njegova organizaciona struktura i način rada i funkcionisanja. To uključujerazmatranje pitanja, kako internih tako i eksternih, koja su relevantna za svrhu organizacije iposlovne ciljeve i koja mogu uticati na ISMS ishode koje organizacija namerava da postigne.Jedan važan faktor u ovom pogledu su pitanja koja mogu predstavljati rizik od informacionesigurnosti za poslovne ciljeve, svrhu, informacije i informacione sisteme organizacije. Takođeje važno razumeti kulturu rizika i apetit organizacije kako bi se pravilno dizajnirao, primenio iintegrisao ISMS u okviru organizacije.

3

Poglavlje 1

Organizacioni kontekst

RAZUMEVANJE POSLADa bi ISMS bio efikasan, prikladan i pogodan da ispuni ciljeve i svrhuorganizacije, mora da utvrdi rizike i mogućnosti

Da bi ISMS bio efikasan, prikladan i pogodan da ispuni ciljeve i svrhu organizacije, morada utvrdi rizike i mogućnosti. Da bi se postigla tačna mera koji su to rizici, potrebno jeidentifikovati i razmotriti relevantna unutrašnja i spoljna pitanja i zahtev koji treba rešiti unarednom poglavlju ( slajdu – Interna pitanja i kontekst ). To znači da ISMS može efikasno daupravlja ovim rizicima, njegov dizajn i primena će uzeti u obzir ta pitanja, relevantne zahteveza informacionom sigurnošću i biti „u jednom“, u harmoniji, sinhronizovano sa kontekstom iposlovnim okruženjem organizacije. U narednoj lekciji pozabavićemo se zahtevima ISO / IEC27001 u vezi sa upravljanjem rizikom.

Razumevanje posla i njegovog konteksta je od suštinske važnosti da bi se ISMS-u omogućiloda sarađuje i bude ugrađen u organizaciju, a ne da funkcioniše kao zaseban entitet. Ovo jevažno jer ISMS treba da omogući poslovanje, dodajući vrednost poslu i minimizirajući rizikeinformacione sigurnosti kako bi maksimizirao svoje poslovne mogućnosti.

INTERNA PITANJA I KONTEKSTTreba identifikovati i uzeti u obzir sva ona unutrašnja pitanja izavisnosti relevantne za svrhu i ciljeve organizacije koja postižeefikasan ISMS

Treba identifikovati i uzeti u obzir sva ona unutrašnja pitanja i zavisnosti relevantne zasvrhu i ciljeve organizacije koja postiže efikasan ISMS. Na primer, organizacija treba dapostavi pitanje i razmotri da li postoje relevantni interni standardi, politike i postupci kojise odnose na poslovne procese ili upravljanje operacijama i resursima. To mogu biti pitanja,ograničenja i zavisnosti koje ISMS treba da uzme u obzir prilikom razmatranja rizika odinformacione sigurnosti i primene kontrola za lečenje ovih rizika. Na primer, ograničenja navrstu tehnologije koja se može primeniti zbog interne politike nabavke ili zavisnosti drugogodeljenja ili poslovne jedinice za određenu podršku ili resurs.

Mogu postojati interna pitanja IT infrastrukture koja mogu uticati na performanse i efikasnostISMS-a; opet, ova pitanja treba uzeti u obzir u proceni i lečenju ISMS rizika. Organizacijamože da operiše sa internim ugovorima o uslugama između poslovnih jedinica, a oni moguda navedu probleme isporuke i dostupnosti usluga i zavisnosti koje bi ISMS trebalo da reši.

4

Mogu postojati specifična pitanja vezana za unutrašnju radnu snagu u vezi sa organizacionomkulturom, zavisnošću od sposobnosti i kompetentnosti pojedinaca za određene uloge i pitanjasvesti.

Razumevanje unutrašnjeg okruženja je posebno važno kako bi se na odgovarajući način rešiliISMS rizici. Postoje unutrašnja pitanja i zavisnosti koje imaju uticaja na primenu ISMS-a, alitakođe će i sam ISMS imati direktan uticaj na poslovanje. Stoga, što smo bolje informisani otome koja su pitanja i zavisnosti uključena u radno okruženje organizacije i njihov uticaj naprimenu ISMS-a, to je bolja procena rizika i bolje donošenje odluka o najefikasnijem načinulečenja rizici. Dobro donošenje odluka o riziku, vrsta i nivo potrebne kontrole rizika i troškovi ikoristi od primene ovih kontrola zavise od toga da li su dobre informacije dostupne i na pravinačin uzete u obzir tokom procesa upravljanja rizikom. Naravno, ovo se odnosi i na spoljnoposlovno okruženje u kojem organizacija deluje.

EKSTERNA PITANJA I KONTEKSTSva ona spoljna pitanja i zavisnosti relevantne za svrhu i ciljeve ISMS-aorganizacije takođe treba identifikovati i uzeti u obzir

Sva ona spoljna pitanja i zavisnosti relevantne za svrhu i ciljeve ISMS-a organizacije takođetreba identifikovati i uzeti u obzir. To uključuje sledeća područja rizika i poslovne zavisnosti:

• Odnosi sa spoljnim organizacijama:• Kupci, klijenti, potrošači;• Poslovni partneri;• Lanci snabdevanja;• Pružaoci usluga;• IT prodavci.• Spoljni poslovni procesi;• Spoljni resursi:• Veze;• Spoljna radna snaga;• elementi infrastrukture.• Tržišni uslovi i konkurencija;• Novi zakoni i propisi;• Životna sredina.

Zavisnost od spoljnih resursa, usluga i infrastrukture može imati negativan uticaj naorganizaciju ako, na primer, postoji incident koji uzrokuje poremećaj u snabdevanju timresursima i uslugama ili rezultira oštećenjem infrastrukture. Kvarovi ili prekidi, na primer,u snabdevanju energijom, telekomunikacionim uslugama ili uslugama prevoza mogu imatiglavni uticaj na organizacije.

Organizacije koje pružaju takve resurse i usluge su, naravno, odgovorne za upravljanjesopstvenim informacionim i informatičkim rizicima bezbednosti. Međutim, odgovornost jeorganizacije koja koristi takve eksterne resurse i usluge da identifikuje spoljne rizike kakobi mogla na odgovarajući način da upravlja svojim poslovnim rizicima. Zbog toga je važnorazumeti aktivnosti, operacije i procese organizacije i identifikovati spoljne probleme i

Poglavlje 1 Organizacioni kontekst

5

zavisnosti kako bi se moglo pravilno upravljati rizicima. Što je organizacija bolje informisana oovim pitanjima, to je sposobnija da donosi odluke o načinu lečenja i upravljanja rizicima usledspoljnih zavisnosti.

Poglavlje 1 Organizacioni kontekst

6

Poglavlje 2

Potrebe i očekivanja ISMS-a

ZAINTERESOVANE STRANEGeneralno ISMS zainteresovana strana je svako lice, osobe iliorganizacije na koje može uticati ili je uključeno u razvoj, primenu i radISMS-a organizacije

Generalno ISMS zainteresovana strana je svako lice, osobe ili organizacije na koje možeuticati ili je uključeno u razvoj, primenu i rad ISMS-a organizacije. Neke zainteresovane stranene samo da mogu biti zahvaćene ISMS-om ili ih zanimaju, već mogu imati i zakonsko pravo ilipravo na ISMS, poput akcionara, zainteresovane strane ili investitora.

Zainteresovane strane uključuju zaposlene u organizaciji koja upravlja ISMS-om, investitore,poslovne partnere, dobavljače, kupce i regulatorna tela. Naravno, svi zaposleni suzainteresovane strane ISMS-a u smislu da bi svi trebali biti uključeni u sprovođenje iupravljanje rizikom povezanim sa njihovom vlastitom radnom funkcijom. Neki zaposlenici će,međutim, imati više angažmana od drugih, u zavisnosti od njihove radne funkcije, ali bezobzira na to svi bi trebali imati stečeni interes.

Primena ISMS-a treba da pruži poverenje svim zainteresovanim stranama da se rizicima popoverljivost, integritet i dostupnost informacija organizacije pravilno i efikasno upravlja.

ZAHTEVI RELEVANTNI ISMS-U I AKTERIJednom kada se identifikuju zainteresovane strane, tada trebaidentifikovati potrebe, očekivanja i zahteve tih strana relevantnih zainformacionu sigurnost.

Jednom kada se identifikuju zainteresovane strane, tada treba identifikovati potrebe,očekivanja i zahteve tih strana relevantnih za informacionu sigurnost.

Akteri ( Stakeholders ) i investitori

Akteri i investitori žele dobar povraćaj ulaganja od razvoja i primene ISMS-a koje finansiraju ipodržavaju. To znači da žele da vide da organizacija ima ISMS koji efikasno upravlja rizicima imogućnostima. Zainteresovane strane su jasno zainteresovane za maksimiziranje poslovnihprilika koje treba postići primenom ISMS-a i istovremeno minimiziranje rizika od informacionesigurnosti i, prema tome, kontrolu bilo kakvih potencijalnih negativnih uticaja na poslovanje.Ključno za ovo je naravno dobro razumevanje zahteva zainteresovanih strana kako bi se

7

mogli zadovoljiti ovi zahtevi za upravljanje rizicima informacione bezbednosti i pružanjeadekvatne zaštite informacija organizacije i njenog poslovanja.

STUDIJA SLUČAJA – LANCI SNABDEVANJAStudija slučaja

Za one organizacije koje postavljaju lance snabdevanja kao deo svog poslovanja, postoji nizproblema i zavisnosti povezanih sa upravljanjem rizicima informacione bezbednosti. Ovo jeposebno zanimljivo za one lance snabdevanja koji uključuju jednu ili više implementacijaISMS-a kao deo lanca. Na primer, u bilo kom scenariju lanca snabdevanja, organizacija zavisiod niza poslovnih aktivnosti i funkcija koje su integrisane u procese lanca snabdevanja.Upravljanje lancem snabdevanja treba da uzme u obzir bezbednosne aspekte isporukedobara ili usluga širom lanca. Poslovni sistemi u lancu trebaju stvoriti sigurna partnerstvakako bi osigurali da mogu reagovati i odgovoriti na odgovarajući način na napade i incidenteusmerene na elemente u lancu snabdevanja. Stoga je od ključne važnosti da se identifikujusve slabosti i slabosti u lancu snabdevanja. Takođe dobro poznavanje uključenih problemarelevantno je za rizike i uticaje na lanac.

Poremećaji u lancu snabdevanja mogu imati valovit efekat u čitavom lancu, prekidajućiaktivnosti i procese koji zavise jedni od drugih i konačno utičući na poslovanje organizacijekrajnjeg korisnika. Sigurnosna katastrofa, incident, kompromis ili neuspeh u jednom delulanca mogu imati uticaj na još jedan deo lanca, što će naknadno uticati na jednu ili višeorganizacija u

lanac. Na primer, „botnet“ napad mogao bi se provući kroz lanac i imati katastrofalneoperativne i ekonomske efekte.

Naravno da incident koji je prouzrokovao poremećaj u lancu možda nije uzrokovan čovekomniti je povezan sa IT-om, ali je možda izazvan problemom okoline (npr. Poplava, cunami ilizemljotres). Jedan od faktora koji treba uzeti u obzir u ovom slučaju je da li su organizacijeu lancu snabdevanja geografski smeštene u visoko rizičnim oblastima ili lokacijama sklonimprirodnim katastrofama.

Stoga je neophodno da organizacije sagledaju i poslovne rizike i mogućnosti postavljanjalanaca snabdevanja. Oni moraju da se uvere da su uzeli u obzir sve zavisnosti i problemelanca snabdevanja u svojoj proceni rizika od informacione sigurnosti, i kao rezultat oveprocene utvrditi efikasan skup kontrola informacione bezbednosti za upravljanje tim rizicima.Oni moraju da razmotre pitanja nepredviđenih okolnosti, kontinuiteta i dostupnosti uslugatokom najgorih scenarija, da budu spremni na neočekivano i da budu sposobni da seprilagode i ugrade mehanizme oslanjanja u svoje poslovne sisteme i procese.

KUPCI I POSLOVNI PARTNERIKupci, klijenti i potrošači žele određeno poverenje da su njihoveinformacije zaštićene

Poglavlje 2 Potrebe i očekivanja ISMS-a

8

Kupci, klijenti i potrošači žele određeno poverenje da su njihove informacije zaštićene (npr.Njihovi podaci koji otkrivaju identitet su sigurni i neće procuriti, ukrasti ih ili pristupiti onimakoji nisu ovlašćeni da ih vide ili koriste).

Poslovni partneri žele izvesno uverenje da organizacija ispunjava svoje ugovorne obaveze(npr. Da isporuči proizvod ili uslugu prema dogovoru) ili da su njeni komercijalni podaci usigurnim rukama i da nisu procurili niti da ih dele sa konkurentima.

POVEZIVANJE I OUTSOURCING/CLOUDEksterni kupci ili partneri žele da budu sigurni da mrežne veze kojeimaju sa organizacijom neće biti kanal za zlonamerni softver, hakere ilidruga kršenja bezbednosti

Eksterni kupci ili partneri žele da budu sigurni da mrežne veze koje imaju sa organizacijomneće biti kanal za zlonamerni softver, hakere ili druga kršenja bezbednosti. To znači daorganizacija treba da se u potpunosti pozabavi tehničkim zahtevima upravljanja incidentimau vezi sa bezbednošću informacija i razmotri neki oblik sporazuma o razmeni informacija iizveštavanju o incidentima (što je posebno važno za aranžmane upravljanja promenama usnabdevanju).

Mnoge organizacije prenose svoje poslovne aktivnosti na spoljne izvođače, pa zavise odposlovnog partnerstva radi izvršavanja različitih funkcionalnih i operativnih aspekata svogposlovanja. Primeri toga uključuju upravljanje objektima, usluge prevoza, call centre ipozadinske aktivnosti. Takođe uključuje sve veću upotrebu prenosa IT usluga, na primer,korišćenje usluga u oblaku.

Što su više zavisnih organizacija o korišćenju takvih usluga spoljnih saradnika, to se višeoslanjaju na spoljnog pružaoca usluga koji upravlja sopstvenim rizikom.

Poglavlje 2 Potrebe i očekivanja ISMS-a

9

Poglavlje 3

Zahtevi interne tehnologije

ZAHTEVI INTERNE ( UNUTRAŠNJE ) TEHNOLOGIJEOrganizacija može imati niz internih poslovnih zahteva u vezi saupotrebom IT-a.

Organizacija može imati niz internih poslovnih zahteva u vezi sa upotrebom IT-a. Na primer,organizacija može da ima određeni poslovni razlog da dozvoli nekim zaposlenima da na posaodonose vaše uređaje (BYOD). Takav zahtev znači da treba razmotriti niz pitanja u vezi sainformacionom sigurnošću u vezi sa prihvatljivom upotrebom BIOD-a na lokaciji i van nje (kodkuće i na javnim mestima), kao i sa sigurnošću BIOD-a. Korišćenje BIOD-a pokreće pitanjazaštite poslovnih podataka na uređaju koji sadrži privatne informacije, probleme usklađenosti,probleme tehničke podrške, nekompatibilnost sa drugim informatičkim tehnologijama kojeorganizacija koristi, uvođenje zlonamernog koda u mrežu organizacije putem BIOD-a i drugerizike. Jedan od ostalih zahteva u savremenom poslovnom okruženju su naravno mobilniuređaji, mobilne mreže i usluge. Mobilni uređaji mogu biti BYOD ili uređaji kao što su telefoniili tableti koje pruža i koja je u vlasništvu same organizacije. Svi mobilni uređaji, mreže iusluge imaju rizike vezane za informacionu sigurnost, pa je važno da organizacija identifikujezahteve za takvu IT sposobnost, razume i upravlja rizicima povezanim sa takvomtehnologijom i uzme u obzir svoje zahteve za korišćenje takvih tehnologija

tehnologija u svojoj ISMS proceni rizika. To uključuje bavljenje problemima krađe, vrstamaposlovnih transakcija dozvoljenih korišćenjem takve tehnologije, da li su dozvoljeni daljinskikomentari na serverima organizacije, upotreba bežičnih mreža van lokacije, upotreba takvetehnologije na javnim mestima, uvođenje malvera, nepridržavanje propisa i bezbednoodlaganje takvih uređaja.

Pored toga, sve više se koriste usluge u oblaku, i opet organizacija treba pažljivo da razmotrisvoje razloge za korišćenje takvih usluga. Ove usluge mogu pružiti mnoge poslovne koristi, alitakođe treba uzeti u obzir i sigurnosne aspekte. Organizacije pronalaze usluge u oblaku poputupotrebe softverskih aplikacija, skladištenja podataka i upravljanja i hosting veb lokacijakako bi bio ekonomski i operativno koristan. Rizici informacione sigurnosti, međutim, namećupitanja koja organizacija treba da razume i da bi mogla da se nosi sa njima da bi se zaštitila. Touključuje sigurnost koju pružaju treće strane za zaštitu osetljivih i komercijalnih informacija,kao i bilo koje PII koji je u oblaku, pitanja usklađenosti u vezi sa zaštitom PII-a, razdvajanjepodataka podataka organizacije sa podacima drugih organizacija, fizičku lokaciju serverakoji se koriste za isporuku usluga u oblaku, oporavak datuma u slučaju velike katastrofe naserverima u oblaku i istraga incidenata na serverima.

10

ZAHTEVI INTERNE ( UNUTRAŠNJE ) TEHNOLOGIJE -NASTAVAKJoš jedna oblast koju organizacija treba da uzme u obzir je njenastrategija i politika, a time i zahtevi u pogledu upotrebe društvenihmreža / medija, kako od strane preduzeća, tako i od zapo

Još jedna oblast koju organizacija treba da uzme u obzir je njena strategija i politika, atime i zahtevi u pogledu upotrebe društvenih mreža / medija, kako od strane preduzeća,tako i od zaposlenih. Upotreba društvenih mreža / medijskih stranica ima mnogo rizika kojimoraju biti svesni i organizacije i njenih zaposlenih. Organizacija stoga treba da uzme uobzir svoje zahteve za korišćenjem društvenih mreža / medija u svojoj proceni rizika ISMS-a. Njegove zahteve treba razmotriti zajedno sa potencijalnim rizicima: slučajno ili nevinootkrivanje poverljivih podataka kompanije od strane zaposlenih, namerno otkrivanje takvihpodataka u svrhu prevare, finansijske dobiti ili krađe identiteta, kao i nezadovoljni zaposlenikoji želi da ošteti ugled organizacije. Ostali rizici uključuju zloupotrebu na mreži, vrebanje,pristup i preuzimanje neprimerenog materijala, napade socijalnog inženjeringa (nagovaranjezaposlenih da daju informacije ili da ih prevare da rade nešto što ne bi trebalo da rade) iuvođenje malvera ugrađenog u priloge.

Organizacija će morati da razmotri svoje zahteve u vezi sa pitanjem prihvatljivog korišćenjasvih svojih IT resursa i objekata od strane zaposlenih (npr. Korišćenje BIOD-a, mobilnihuređaja i mreža, usluga u oblaku, sajtova društvenih medija i tako dalje), koji mogu bitiuključeni u korporativnoj politici prihvatljive upotrebe.

PRIKUPLJANJE ZAHTEVA RELEVANTNIH ZA ISMSInformacije o potrebama i očekivanjima zainteresovanih strana zainformacionu sigurnost mogu se prikupiti na različite načine i izrazličitih izvora

Informacije o potrebama i očekivanjima zainteresovanih strana za informacionu sigurnostmogu se prikupiti na različite načine i iz različitih izvora:

• Unutrašnji poslovni ciljevi i zahtevi:• Korporativna politika i ciljevi;• Šefovi poslovnih jedinica i odeljenja, vlasnici projekata, zaposleni;• Vlasnici rizika.• Zahtevi navedeni u ugovorima i ugovorima o nivou usluge (SLA):• Klijenti i kupci će želeti da se organizacija pridržava bilo kojih klauzula koje se

bave informacijama i IT sigurnošću uključenim u ugovore i SLA (npr. Ovo možebiti zahtev za usluge upravljanja podacima 24k7 i usluge call centra);

• Klijent može u ugovoru odrediti posebne zahteve za izveštavanje o incidentimakoji na mene utiču.

• Uslovi usaglašenosti definisani u zakonskim propisima:

Poglavlje 3 Zahtevi interne tehnologije

11

• Postoji mnogo zakona o zaštiti ličnih podataka koji detaljno opisuju specifičnezahteve za bezbednost podataka;

• Postoje propisi o telekomunikacijama koji određuju zahteve za informacionomsigurnošću;

• Postoje zakoni koji se odnose na prihvatljivost elektronskih dokaza kojih biorganizacije trebale biti svesne u vezi sa prikupljanjem dokaza tokombezbednosnog incidenta.

• Sastanci i intervjui sa unutrašnjim i spoljnim zainteresovanim stranama;• Sastanci o unutrašnjem pregledu rukovodstva;• Povratne informacije kupaca i poslovnih partnera.

Poglavlje 3 Zahtevi interne tehnologije

12

Slika 4.1 ISMS opseg

Poglavlje 4

Opseg ISMS-A

ŠTA UZETI U OBZIR I ŠTA UKLJUČITI ?Definisanje opsega ISMS-a važan je početni zadatak u razvoju ISMS-a.

Definisanje opsega ISMS-a važan je početni zadatak u razvoju ISMS-a. Važno je pravilnosagledati aspekt pre nego što organizacija potroši svoje resurse na sprovođenje procenerizika. Ovo može zvučati kao očigledna stvar, ali definisanje opsega ISMS-a može predstavljatibrojne izazove.

Obim treba da uzme u obzir unutrašnja i spoljna pitanja iz odeljka 1.1 (videti ISO / IEC 27001:2013 4.1) i zahteva iz odeljka 1.2 (videti ISO / IEC 27001: 2013 4.2). Pored toga, organizacijatreba da uzme u obzir sve relevantne interfejse i zavisnosti između svojih poslovnih operacijai onih drugih organizacija.

ISMS opseg može obuhvatati celu organizaciju ili njen deo, tako da moramo da definišemonjenu granicu u slučaju da je ISMS opseg samo deo organizacije (vidi sliku 1). Veličina opsegaISMS-a, bilo da je on ceo ili samo deo organizacije, odluka je upravljanja i zavisi od poslovnihciljeva i ciljeva organizacije, kao i motivacije za njen određeni izbor obima ISMS-a.

Opseg ISMS-a može pokrivati celu organizaciju ili njen deo ili organizacija može izabratida primeni nekoliko ISMS-a. Opseg ISMS-a može biti definisan i pokriva aktivnosti poslovnejedinice ili odeljenja, projektnu aktivnost ili skup poslovnih funkcija ili usluga.

OBJEKT ISMS OPSEGACiljevi ISMS opsega

13

Iskustvo i povratne informacije o postojećim primenama širom sveta obaveštavaju nas daorganizacije odabiru put ISMS-a i određeni obim primene da bi postigli bar jedan od sledećihciljeva:

• Smanjite poslovni uticaj i finansijske troškove bezbednosnih incidenata u jednom ili višeposlovnih područja kako biste:

• Poboljšati pružanje usluga kupcima;• Povećati moral, produktivnost i efikasnost osoblja;• Smanjite gubitak ugovora, prodaje, porudžbina ili dobiti;• Poboljšati i poboljšati poverenje kupaca, poverenje i odnose i ispuniti

ugovorne obaveze svojih kupaca, kao što je slučaj u slučaju da kompanijasvojim klijentima pruža upravljane usluge;

• Poboljšati tržišnu poziciju;• Smanjiti gubitak imovine i vrednost imovine;• Smanjiti e-rizike;• Izbegavajte zakonske / ugovorne kazne / obaveze;• Smanjite kršenja operativnih kontrola. Poboljšati pružanje usluga kupcima

• Smanjite broj i učestalost incidenata u jednom ili više poslovnih područja:• Ljudske greške;• Prekidi u usluzi;• Zloupotreba / zloupotreba resursa kompanije;• Krađa, prevara i druga povezana krivična dela;• Kvarovi, kvarovi sistema ili zastoji sistema.

• Pridržavajte se niza zakona i propisa, kao što su Direktiva o privatnosti podataka u EU iekvivalentni zakoni u državama članicama EU, ili se pridržavajte propisa Sarbanes Oklei(SoX) ili HIPPA u SAD-u;

• Kao diferencijal na tržištu (npr. Kompanija koja nudi mrežne usluge - možda uslugeInternet bankarstva - ili oflajn - recimo, usluge odlaganja medija ili oporavka podataka);

• Povećajte korporativnu vrednost preduzeća i kao poslovni pokretač:• Maksimalno povećati poslovne mogućnosti i investicije;• Obezbediti informisanije donošenje odluka o bezbednosnim rizicima;• Poboljšati svest o riziku, kontrolu rizika i efikasnost bezbednosti informacija za

osetljivu i kritičnu imovinu organizacije;• Omogućiti kulturu rizika po bezbednost informacija u celoj organizaciji.

OBJEKT ISMS OPSEGA - NASTAVAKnastavak

• Javno pokazati da su „podobni za svrhu“ pomoću nezavisne revizije treće strane, kao štoje pružanje određene linije ili vrste usluga okrenutih kupcima (služba za pomoć i pozivnicentar), kao deo lanca snabdevanja , kao dobavljač proizvoda ili kao dobavljač uslugapodrške infrastrukturi (elektronski potpisi za sigurna plaćanja i transakcije).

Poglavlje 4 Opseg ISMS-A

14

Slika 4.2 ISMS procesi

Poglavlje 4 Opseg ISMS-A

15

Poglavlje 5

Definisanje ISMS Opsega

DEFINISANJE OPSEGAOpseg ISMS-a

Šta god organizacija odlučila da bude njen opseg ISMS-a, ona mora da obezbedi da je dobrodefinisana i da pokriva sve ono što treba da pokriva u pogledu zahteva (ISO / IEC 27001: 20134.2) i pitanja (ISO / IEC 27001: 2013 4.1). Organizacija ne bi trebala isključiti stvari iz granicaISMS-a ako se čini da je teško rešiti ih, jer takva isključenja mogu uticati na sposobnost iliodgovornost organizacije da pruži informacionu sigurnost koja ispunjava sigurnosne zahtjeveutvrđene procjenom rizika i primjenjivim zakonskim i regulatornim zahtevima .

U zavisnosti od opsega ISMS-a, ovo obično može uključivati:

• Osoblje i zaposleni koji su operativno uključeni u područje ISMS-a rada;• Procesi i usluge koji se koriste u ISMS području rada;• Informacije i informacioni sistemi neophodni za poslovanje ISMS-a;• Politike, procedure i dokumentacija koje će se primeniti neophodne za obavljanje poslova

ISMS-a;• Interfejsi i veze sa ISMS-om;• Podrška ICT infrastrukture za ISMS;• Fizička lokacija (e) ISMS-a.

PRIMER OPSEGAPrimer opsega ISMS-a je odeljak prodaje i usluge kupcima maleproizvodne kompanije

Primer opsega ISMS-a je odeljak prodaje i usluge kupcima male proizvodne kompanije. Ovagrupa je samo jedan od nekoliko odeljenja u kompaniji, kao što je prikazano na slici 2.

Opseg ISMS-a obično uključuje:

• Osoblje za prodaju i usluge kupcima;• Postupci koje koristi osoblje:• Politike i procedure kompanije;• Uputstvo za upotrebu,• Bezbednosne politike i procedure.• Informacije o prodaji i službama za korisnike:• Detalji kupca;

16

Slika 5.1 Organizaciona struktura jedne kompanije

• Narudžbe kupaca, računi;• Interni podaci kompanije;• Podaci drugih kompanija.

• Korišćenje poslovnih procesa, aplikacija i usluga:

Procesi naloga za prodaju;

e-trgovina;

Kupac ispituje procese;

IT usluge.

• Interfejsi i zavisnosti:

Tehnički;

Netehnički.

• Upotreba tehnologije:

Stoni računari i druga IT oprema;

Mreže;

Telefoni, mobilni telefoni, tableti.

• Fizička lokacija

Ovaj primer ilustruje opseg ISMS-a koji je samo deo poslovanja turističke kompanije i uslugakoje pruža. Ostali primeri opsega uključuju:

Interne usluge koje pruža odeljenje za IKT;

• Call centar;• Interna podrška službe podrške;• Odeljenje za potraživanja i plaćanja organizacije za svoje kupce;• Logistička podrška zasnovana na IKT za brodsku ili avio kompaniju;• Sistem rezervacije preko interneta hotela za međunarodni hotelski lanac;• Grupa za istraživanje i razvoj softverske kompanije.

Poglavlje 5 Definisanje ISMS Opsega

17

EKSTERNE I INTERNE VEZEVažan aspekt opsega ISMS-a su veze koje postoje sa i iz ISMS-a, bilo dase radi o spoljnim sistemima kupaca ili dobavljača ili drugim delovimaiste organizacije

Važan aspekt opsega ISMS-a su veze koje postoje sa i iz ISMS-a, bilo da se radi o spoljnimsistemima kupaca ili dobavljača ili drugim delovima iste organizacije. U prethodnom primeru,tipične interne veze mogu biti sa kadrovskim odeljenjem, onima koji se bave IT uslugamai onima koji se bave fizičkom sigurnošću. Spoljne veze obično mogu biti veze sa drugimbankama, mrežama i dobavljačima ISP usluga. Važno je razmotriti ove interfejse zapovezivanje, jer su ti interfejsi jedan od načina na koji se rizici mogu predstaviti ISMS-u.Upravljanje i kontrola protoka informacija preko ovih interfejsa je važno kako bi se ISMSzaštitio od ovih rizika.

Upravljanje ovim interfejsima može se izvršiti na više načina kroz upotrebu ugovora, SLAi korišćenje operativnih procedura i tehničkih kontrola. ISO / IEC 27002 (tačka 6.2) pružaspisak stvari koje treba uzeti u obzir prilikom istraživanja uključivanja aspekata bezbednostiu ugovore i SLA.

Poglavlje 5 Definisanje ISMS Opsega

18

Poglavlje 6

Zaključak

ZAKLJUČAKRezime

U ovom predavanju obradili smo poslovne kontekste ISMS-a, kako sam organizacioni konteksttako i sam obim ISMS-a. Takođe, mogli smo da primetimo koje su potrebe i očekivanja uposlovnom kontekstu ISMS-a, koji zahtevi su relevantni za ISMS, kao i postavljanje internihzahteva za tehnologijom u kompanijama.

LITERATURAReference

1. Humphreys, Edward. Implementing the ISO/IEC 27001: 2013 ISMS Standard. ArtechHouse, 2016.2. Choi, Ju-Young, Eun-Jung Choi, and Myuhng-Joo Kim. "A comparison study betweencloud service assessment programs and ISO/IEC 27001: 2013." Journal of DigitalConvergence 12, no. 1 (2014): 405-414.3. Disterer, Georg. "ISO/IEC 27000, 27001 and 27002 for information securitymanagement." (2013).

19


Organizovanje, politika i obiminformacione bezbednosti

Lekcija 03

www.princexml.com




ORGANIZOVANJE, POLITIKA I OBIM INFORMACIONEBEZBEDNOSTI

Organizovanje, politika i obim informacione bezbednostiPoglavlje 1: Unutrašnja organizacijaPoglavlje 2: Menadžer informacione bezbednostiPoglavlje 3: Projektna grupa ISO27001Poglavlje 4: Proces odobravanja objekata za obradu informacijaPoglavlje 5: Savet specijaliste za bezbednost informacijaPoglavlje 6: Kontakt sa vlastima i grupama sa posebnim interes.Poglavlje 7: Politika i obim informacione bezbednostiZaključak




Uvod

UVODUvod

Praktično je i razumno razmotriti organizacionu strukturu upravljanja informacionombezbednošću u ranoj fazi procesa implementacije. Ovo zapravo treba razmisliti istovremenosa izradom politike informacione sigurnosti. Efikasna struktura upravljanja informacionombezbednošću takođe omogućava procenu rizika da se izvrši efikasno.

3

Poglavlje 1

Unutrašnja organizacija

UNUTRAŠNJA ORGANIZACIJA PREDUZEĆAISO27002 podseća na zahtev da rukovodstvo treba aktivno dapodržava bezbednost u organizaciji

ISO27002 podseća na zahtev da rukovodstvo treba aktivno da podržava bezbednost uorganizaciji kroz „jasne smernice, demonstriranu posvećenost, izričito dodeljivanje ipriznavanje odgovornosti za bezbednost informacija“. Praktično, to znači da uprava trebada uspostavi forum ili upravnu grupu najvišeg nivoa kako bi se osiguralo da postoji jasansmer i vidljiva podrška uprave za bezbednosne inicijative unutar organizacije. To bi mogaobiti deo postojećeg upravljačkog tela, što bi moglo biti prikladno u manjoj organizaciji gde ćečlanovi najvišeg menadžerskog tima, takođe, biti članovi foruma za informacionu bezbednost.Običnije će to biti odvojeno višefunkcionalno telo, koje će imati odgovarajuća sredstva zasvoju odgovornost i podnosi izveštaje članu najvišeg menadžerskog tima. U ovoj knjizi ćemoovu upravnu grupu obično nazivati „forumom“. Efikasnost ovog foruma biće od ključnevažnosti kako za efikasnost ISMS-a, tako i za poštovanje odredbi i standarda.

Kada se ISMS u potpunosti uspostavi, forum bi trebalo da se sastaje najmanje dva putagodišnje, po mogućnosti kvartalno. Sve njegove aktivnosti treba formalno dokumentovati,zajedno sa odlukama i razlozima za njih. Kopije celokupnog materijala predstavljenog nasastancima treba zadržati, a naredni sastanci treba da prate dogovorene radnje, izveštavajuo napretku svakog od njih i dokumentuju ove korake. Ova grupa treba da bude odgovorna za:

UNUTRAŠNJA ORGANIZACIJA PREDUZEĆA -NASTAVAKNastavak

1. Identifikovanje ciljeva informacione bezbednosti koji ispunjavaju zahteveorganizacije; proveru da li postoje odgovarajući resursi za njihovo postizanje i da li jeISMS pravilno integrisan u procese organizacije.2. Pregled i odobravanje politike informacione bezbednosti organizacije, utvrđivanjedelokruga ISMS-a, osiguravanje utvrđivanja ciljeva i planova informacione sigurnosti,dogovaranje samog ISMS-a i dogovaranje kako uloge i odgovornosti treba da buduraspoređene u okviru organizacije u odnosu na politike. To bi trebalo da uključujeimenovanje ili dogovaranje imenovanja menadžera koji je odgovoran za informacionusigurnost u organizaciji, zajedno sa ključnim odgovornostima uloge.3. Obezbeđivanje dovoljnih resursa za razvoj, primenu, rad i održavanje ISMS-a.

4

4. Praćenje promena u izloženosti ključnih organizacionih informativnih sredstavaglavnim pretnjama, odlučivanje (u kontekstu bilo kog postojećeg okvira za tretmanorganizacionih rizika) prihvatljivih nivoa rizika i osiguravanje da se razvije svest o timpretnjama, kao i osiguranje da značaj usklađenost sa ISMS-om na odgovarajući načinse saopštava organizaciji.5. Osiguravanje primene postupaka i kontrola koji mogu brzo otkriti i odgovoriti naincidente, kao i pregled i nadzor incidenata u informacionoj bezbednosti. Primanjeizveštaja od menadžera informacione bezbednosti o statusu i napretku određenihprimena, pretnjama bezbednosti, rezultatima pregleda, revizija, itd. I obezbeđivanjepreduzimanja odgovarajućih koraka za primenu bilo kakvih nalaza.6. Odobrenje glavnih inicijativa (kao što je svaka pojedinačna inicijativa povezana saprimenom ISO27001) za poboljšanje informacione sigurnosti u organizaciji.7. Uspostavljanje sredstava za osiguravanje usaglašenosti sa politikom i periodičnipregled ovih mera.8. Osiguravanje da zahtevi za informacionom sigurnošću ispunjavaju poslovne ciljeve.9. Obezbeđivanje koordinacije sprovođenja kontrole u celoj organizaciji.10. Obezbeđivanje kontinuiranog preduzimanja odgovarajućih koraka za poboljšanjeISMS-a.

PRIKAZ RUKOVODSTVAStandard uvodi, u tački 6., zahtev za menadžerski pregled ISMS-a

Standard uvodi, u tački 6., zahtev za menadžerski pregled ISMS-a, a to bi trebalo da seodvija u unapred određenim intervalima o kojima se odbor dogovori, obično godišnje. Procespregleda sličan je onom koji zahteva ISO9001, a standard utvrđuje minimalne ulaze i izlazekoji se očekuju od takvog pregleda, a koji bi, u idealnom slučaju, trebalo da sprovedeforum. O ulaznim podacima se raspravlja na odgovarajućim tačkama ove knjige, a menadžerbezbednosti informacija treba da bude odgovoran za prikupljanje ulaznih podataka isaopštavanje svih odluka o rezultatima (odlukama) pregleda.

Poglavlje 1 Unutrašnja organizacija

5

Poglavlje 2

Menadžer informacionebezbednosti

MENADŽER INF.BEZBEDNOSTIIako ISO27002 očekuje da jedan menadžer bude odgovoran za svebezbednosne aktivnosti, ovo nije poseban zahtev ISO27001

Iako ISO27002 očekuje da jedan menadžer bude odgovoran za sve bezbednosne aktivnosti,ovo nije poseban zahtev ISO27001. Postoje potencijalni sukobi između očekivanja ISO27002,zahteva standarda za podelu dužnosti i resursa koji su stvarno dostupni organizaciji. Prifinalizaciji ovih aranžmana treba obratiti posebnu pažnju na standard i na stvarnost.

Praktično iskustvo pokazuje da će jedna osoba morati da bude zadužena zaupravljanje ISMS projektom, a ta osoba treba da bude odgovarajuće kvalifikovana. Onili ona mogu biti imenovani pre nego što je forum osnovan, a njegov ili njen sažetak možeuključivati i formiranje foruma. Prednost na ovoj ruti je brzina i, potencijalno, jednostavnost.Član odbora koji je zadužen za osiguranje primene ISMS-a mogao je jednostavno odabratii imenovati odgovarajuću osobu i projektni tim, koji bi zatim mogli stvari krenuti napred.Izbor i obuka članova foruma potencijalno oduzima više vremena, a period tokom kojeg učesvoje uloge prethodiće tački u kojoj su oni kompetentni za odabir i imenovanje odgovarajućegmenadžera. Organizacija možda neće želeti da ide ovom sporijom rutom.

Iako menadžer za informacionu bezbednost ne mora biti ista osoba koja je imenovana zastručnjaka za informacionu bezbednost organizacije (skupovi veština potrebni za rukovodećuulogu, posebno u većoj organizaciji, verovatno će se razlikovati od onih potrebnih za radstručnjaka za bezbednost). uloga), ovoj osobi će i dalje biti potrebna odgovarajuća obukau pitanjima informacione bezbednosti, a diskusiju kasnije u poglavlju, pod naslovom„Specijalistički saveti o bezbednosti informacija“, treba čitati zajedno sa ovim odeljkom.Očigledno je da će osoba izabrana za menadžersku ulogu morati da bude efikasan menadžersa dobro razvijenim veštinama komunikacije i upravljanja projektima.

ZADUŽENJA MENADŽERA INFORMACIONEBEZBEDNOSTIOvaj menadžer treba da bude zadužen za niz definisanih i ključnihaktivnosti.

Ovaj menadžer treba da bude zadužen za niz definisanih i ključnih aktivnosti. U zavisnosti odkulture i strukture organizacije, to bi moglo uključivati:

6

1. Uspostavljanje foruma za upravljanje informacijama o bezbednosti (osim akoorganizacija ne odluči da prvo uspostavi forum, a zatim od foruma zatraži da izaberemenadžera).2. Razvijanje, zajedno sa forumom, bezbednosne politike, njenih ciljeva i strategija.3. Definisanje, pomoću foruma, obima ISMS-a.4. Brifing foruma o trenutnim pretnjama, ranjivostima i preduzetim koracima zanjihovo suzbijanje.5. Sprovođenje početne procene rizika.6. Identifikovanje promenjenih rizika i osiguravanje preduzimanja odgovarajućihmera.7. Osiguravanje upravljanja rizikom dogovorom sa odborom i forumom, pristupomorganizacije u upravljanju rizicima, planom lečenja rizika i nivoom sigurnosti koja ćebiti potrebna.8. Odabir ciljeva kontrole i kontrola koje će, kada se primene, ispuniti ciljeve.9. Priprema izjave o primenljivosti.10. Snimanje i postupanje sa bezbednosnim incidentima, uključujući utvrđivanjenjihovih uzroka i utvrđivanje odgovarajućih korektivnih i / ili preventivnih mera.11. Izveštavanje foruma o napretku u primeni ISMS-a, kao i o incidentima, pitanjima,bezbednosnim pitanjima i trenutnim pretnjama.12. Sprovođenje pregleda.13. Nadgledanje usaglašenosti sa standardom.14. Preduzimanje preventivnih mera, uključujući sve zahteve utvrđene u tački 8.3standarda. Trebalo bi da postoji dokumentovana procedura koja identifikujeodgovornost rukovodioca IS za preventivno delovanje i koja određuje kako trebaupravljati planom lečenja rizika i koji dodatni nadzor i prikupljanje informacija mogubiti potrebni da bi se ta odgovornost efikasno izvršila.

FORUM ZA VIŠEFUNKCIONALNO UPRAVLJANJEISO27002 takođe detaljnije objašnjava koja je najbolja praksa u vezi sazahtevima ISO27001

ISO27002 takođe detaljnije objašnjava koja je najbolja praksa u vezi sa zahtevima ISO27001(„Aktivnosti bezbednosti informacija koordiniraće predstavnici različitih delova organizacijesa relevantnim ulogama i funkcijama poslova“) za koordinaciju bezbednosti informacija.Ovo je posebno relevantno za veće organizacije, gde bezbednosne aktivnosti moraju bitikoordinisane u više odeljenja, kompanija ili lokacija, od kojih svako može imati svogmenadžera za bezbednost informacija ili savetnika. Ovaj višefunkcionalni forum mogao bise u manjim organizacijama integrisati u forum o upravljanju informacionim informacijamao kome smo ranije raspravljali. ISO27002 identifikuje opseg aktivnosti koje bi ovajmultifunkcionalni forum mogao obavljati kao:

1. Dogovaranje, u okviru organizacije, o specifičnim ulogama i odgovornostima upogledu bezbednosti informacija;2. Dogovaranje specifičnih metodologija i procesa koji će se koristiti u primeni politikebezbednosti informacija;

Poglavlje 2 Menadžer informacione bezbednosti

7

3. Dogovaranje i podržavanje međuorganizacionih inicijativa za bezbednostinformacija;4. Osiguravanje da proces korporativnog planiranja uključuje informacije5. Bezbednosna razmatranja;6. Procena adekvatnosti i koordinacija primene specifičnih kontrola za nove sisteme,proizvode ili usluge;7. Pregled incidenata u vezi sa informacionom sigurnošću;8. Osiguravanje da cela organizacija bude upoznata sa načinom na koji se rešavabezbednost informacija.

UPRAVLJAČKI FORUM I VIŠEFUNKCIONALNE GRUPEPostoji puno preklapanja između mogućih funkcija upravljačkog forumai višefunkcionalne grupe

Postoji puno preklapanja između mogućih funkcija upravljačkog foruma i višefunkcionalnegrupe. Spoljni sertifikacioni revizor će želeti da zna kako su rešene dve ključne funkcije- koherentno upravljanje informacionom sigurnošću i koordinacija aktivnosti vezanih zabezbednost informacija. Jasno je da je jedna ruta da svaki forum ima vrlo jasno diferenciranefunkcije i da linije izveštavanja između njih budu povučene vrlo nedvosmisleno.

Korisno je da se ova dva foruma mogu kombinovati u svim organizacijama, osim u najvećim.Praktično, ovo je razumno, jer u suprotnom strukturna pitanja povezivanja dva forumai razjašnjavanja kojim se pitanjima se bavi na kojem nivou mogu stvoriti nepotrebnubirokratiju. Tamo gde su uspostavljene dve odvojene grupe, prva koja će više delovatina strateškom nivou, a druga više na nivou primene, vreme stručnjaka za informacionubezbednost i funkcionalne funkcije će se produžiti jer će morati da doprinesu obe.Detaljnim radom (velikim delom onoga što je izloženo u predlozima ISO27002 za aktivnostikoordinacionog foruma) upravljačkog foruma tada je najbolje rešiti tako što će se tražitiod menadžera odgovornog za informacionu bezbednost da, van formalnih sastanaka, sačinipredloge za kako treba rešavati svako od pitanja. Ovi predlozi bi potom trebalo da sepodnose na forumu, rasprave i dogovore na forumu. Svi sastanci ovog foruma treba da bududokumentovani, kao i dogovorene akcije i napredak protiv njih.

Poglavlje 2 Menadžer informacione bezbednosti

8

Poglavlje 3

Projektna grupa ISO27001

PROJEKTA GRUPA ISO 27001Idealno bi bilo da forum bude otvoren na početku projekta i da mupredsedava viši izvršni direktor ili član odbora koji je određen kaoodgovoran za primenu ISMS-a

Idealno bi bilo da forum bude otvoren na početku projekta i da mu predsedava viši izvršnidirektor ili član odbora koji je određen kao odgovoran za primenu ISMS-a. Forum bi, upočetku, trebao biti projektni tim koji sprovodi implementaciju do uspješnog završetka i čijatrajna uloga očigledno proizlazi iz ove početne odgovornosti. Ova namera treba biti jasnodokumentovana u projektnom planu i u prvim minutima foruma i / ili projektnom zadatku zagrupu.

ČLANOVIČlanove foruma, koji treba da budu na višim položajima u organizaciji,treba birati iz cele organizacije

Članove foruma, koji treba da budu na višim položajima u organizaciji, treba biratiiz cele organizacije. Ključne funkcije koje bi trebalo da budu zastupljene su upravljanjekvalitetom / procesima, ljudski resursi, obuka, IT i upravljanje objektima; svi oni će moratiznačajno da promene svoje radne prakse kao rezultat odluke o primeni ISMS-a. Poredmenadžera odgovornog za informacionu bezbednost i obučenog stručnjaka za informacionubezbednost, najkritičnije će biti predstavljanje ljudskih resursa, prodaje, poslovanja iadministracije. To su obično funkcije u kojima je zaposlena većina osoblja organizacije i onena koje će primena ISMS-a najviše uticati. U idealnom slučaju, ljudi pozvani da predstavljajuove funkcije treba da budu među najstarijim i najcenjenijim pojedincima u njima.

Kao što je ranije rečeno, proces promena koji će biti potreban za primenu ISO27001 imakulturni uticaj. Ključno je da oni koji su najsposobniji da predstavljaju i artikulišu potrebe ibrige ključnih delova organizacije budu uključeni u radnu grupu. Bez njihovog učešća, maloje verovatno da će „otkup“ biti neophodan da bi se ISMS efikasno razvio i primenio.

Odredba 5.2.2 standarda zahteva od organizacije da obezbedi da je celo osoblje kompetentnoza izvršavanje zadataka koji su im dodeljeni u ISMS-u. To će zahtevati od organizacijeda odredi potrebne kompetencije, prvo članova foruma, a kasnije onih koji su zaduženiza primenu. Ovo poglavlje je ukazalo na raspon kompetencija koje mogu biti potrebne, akonačne odluke treba dokumentovati. Čim budu izabrani članovi implementacionog tima

9

i nakon što im se objasne njihova misija i uloga, biće potrebno da im se pruži početnaizloženost standardu i informacionoj sigurnosti. Postoji nekoliko načina na koje se to možeučiniti. Jedan je da ih uputite na kurs obuke za temelje upravljanja informacionom sigurnošću.Takav kurs bi trebao biti pogodan kao opšti uvod u temu za ljude koji neće morati previšeda se duboko uključuju u mnoge detalje ISMS-a. Druga, očigledno, je da im se da po jedanprimerak ove knjige; prvih šest poglavlja knjige verovatno su ona koja će biti najkorisnija za„laičke“ članove implementacionog tima.

Podjednako je važno da svi članovi radne grupe razumeju jasno je da je njihova uloga dasastave i primene ISMS koji ispunjava zahteve odbora. Izvršni direktor treba jasno da postaviovaj zahtev pred radnom grupom. Nesumnjivo će biti razlike u mišljenjima između članovatima u mnogim tačkama tokom procesa primene i o širokom spektru pitanja. Ovo bi trebaloda stvori jači ISMS, jer će ono što se pojavi verovatnije ispuniti sve zahteve organizacije.Međutim, ako se procesom ne upravlja efikasno, ova radna grupa takođe može biti grobljestrategije informacione bezbednosti.

ČLANOVI- NASTAVAKKada zdravo neslaganje preraste u takmičenje i otvoreni rat, napretkaće biti malo ili nimalo

Kada zdravo neslaganje preraste u takmičenje i otvoreni rat, napretka će biti malo ili nimalo;ako ono što proizilazi iz procesa bude samo pogled jedne ili druge frakcije, to neće bitiuspešno sprovedeno. Isto tako, moguće je da radna grupa zaglibi u proceduralna pitanjaili da bude izuzetno oprezna u načinu na koji se bavi izazovom primene. Iako se opasnostodvlačenja projekta može rešiti postavljanjem vrlo jasnog datuma do kada implementacijamora biti završena (čak do tačke da se to upiše u pojedinačne ciljeve učinka svih članovatima), to i dalje može propasti jer radna grupa jednostavno ne deluje efikasno. Očiglednoje, prema tome, najvažniji izbor koji treba doneti u pogledu radne grupe za primenu iupravljačkog foruma u koji će ona evoluirati je predsednik njenog predsednika.

PREDSEDAVAJUĆIIzbor predsedavajućeg ove grupe obično je presudan za njen uspeh,kako kao grupa, tako i u pogledu načina na koji ostatak organizacijegleda na nju i reaguje

Izbor predsedavajućeg ove grupe obično je presudan za njen uspeh, kako kao grupa, tako iu pogledu načina na koji ostatak organizacije gleda na nju i reaguje. Stoga predsedavajućitreba da bude neko ko je sposoban da izazove poštovanje svih članova radne grupe. Onili ona moraju biti u potpunosti posvećeni postizanju cilja sertifikovanog ISMS-a u okvirudogovorenog plana upravljanja. On ili ona treba da budu pragmatični i spremni da„razmišljaju izvan okvira“ u pronalaženju rešenja za organizacione probleme koji utiču naprimenu. Ova osoba ne bi trebalo da ima nijednu od funkcija podrške organizacije, jerće to projekat obično označiti kao nevažan. Projektom ni u kom slučaju ne bi trebalo da

Poglavlje 3 Projektna grupa ISO27001

10

rukovodi IT osoba, jer primena ISMS-a jednostavno ne može priuštiti da se na njega gledasamo kao na IT projekat. Poželjno je da predsedavajući ima široku upravljačku odgovornostunutar organizacije, kao i iskustvo u sprovođenju projekata međuorganizacionih promena. Uidealnom slučaju, on ili ona će biti izvršni direktor ili direktor glavnog odbora koji je zaduženza sprovođenje bezbednosne politike odbora. U manjim organizacijama ova osoba možebiti i menadžer odgovoran za informacionu sigurnost; u većim organizacijama, gde će ovoverovatno biti punovremena uloga, menadžer odgovoran za informacionu bezbednost trebapravilno da izveštava predsedavajućeg foruma. Potreba za razdvajanjem dužnosti takođetreba uzeti u obzir.

Ovde je ne samo navedena struktura najefikasniji metod za isporuku ISMS-a, već je i vrlojasan dokaz posvećenosti samog vrha organizacije njenoj primeni. Spoljni revizor ISO27001treba da bude impresioniran.

SASTANCISastanke treba zakazati pre vremena, kako bi se osiguralo da svi kojiće biti potrebni mogu da ih diariziraju i budu prisutni

Sastanke treba zakazati pre vremena, kako bi se osiguralo da svi koji će bitipotrebni mogu da ih diariziraju i budu prisutni. Učestalost sastanaka tokom fazeimplementacije odražavaće hitnost i složenost plana implementacije. U praktičnom smislu,sastanci koji se održavaju svake dve nedelje tokom prvih nekoliko meseci vremenskograsporeda primene mogu doprineti stvaranju zamaha u njemu. Posle toga mogu se spustiti namesečne događaje. Kada se implementacija završi, forum se može sastajati kvartalno ili kadapostoje značajne promene ili poslovna pitanja koja treba razmotriti. Forum treba da odlučikoliko često treba da se sastane, navede razloge i zabeleži odluku.

Sastanci, naravno, ne zahtevaju fizičko prisustvo. Mogu se održati videokonferencijom ilitelekonferencijom. Važno je da svi članovi mogu da učestvuju, da imaju odgovarajućeobaveštenje o sastanku i da se sastanci pravilno vode i dokumentuju.

Treba uspostaviti i održavati normalne principe sastanka. Svi sastanci treba da imaju dnevnired i evidenciju prisustva, a tačke / ključne odluke o akcijama treba da se zapisuju, sainformacijama o tome ko je za koje radnje odgovoran i u kojim vremenskim rokovima.Zapisnici treba da se vode kao deo evidencije kvaliteta, a spoljni revizor će verovatno želetida ih pregleda. U praktičnom smislu, funkcija kvaliteta u organizaciji je obično u najboljempoložaju da obezbedi sekretarijat za ovu grupu.

Iako će spoljnog revizora posebno zanimati šta je urađeno u vezi sa akcionim tačkamautvrđenim u zapisniku, sastanci foruma mogu lako prerasti u dugačke preglede zapisnikai radnji proisteklih iz prethodnog sastanka. Pragmatično, ako se na dnevnom redu zapišuzapisnici koji će se obrađivati na kraju sastanka, neposredno pre „bilo kog drugog posla“,sastanci će biti brži i organizacija će znatno brže napredovati u celokupnoj primeni.Predsjedavajući je trebao prije sastanka osigurati da su obrađene akcione tačke; ovo imomogućava vrlo brzo izveštavanje kada se postigne odgovarajuća tačka dnevnog reda.


11

Iz principa, jedan od autora insistira na tome da sastanke započne u zakazano vreme, bezobzira na to koliko je ljudi u sobi, i odbija da sumira dosadašnji napredak za kasne dolaske.Dugoročno (a ponekad i kratkoročno) svi nauče da stignu na vreme.

RASPODELA ODGOVORNOSTI ZA BEZBEDNOSTINFORMACIJAISO27001 zahteva da „sve odgovornosti za sigurnost informacijamoraju biti jasno definisane"

ISO27001, pod tačkom A.6.1.3, zahteva da „sve odgovornosti za sigurnost informacija morajubiti jasno definisane“. Iako politika bezbednosti informacija može da pruži opšte smerniceo tome ko je odgovoran za koje sredstvo zaštite podataka, ove smernice će verovatno bitivrlo široke, posebno ako se usvoji model politike predložen u ovoj knjizi. Iz izjave o politicipojedinačnim zaposlenima neće biti jasno koje će biti njihove konkretne odgovornosti. Usvakom slučaju, organizacija će morati jasno da definiše ko je odgovoran za koji bezbednosniproces i / ili informativnu imovinu, a možda će morati da pogleda i geografske odgovornostiili odgovornosti na lokaciji.

Na primer, iako je potreba za menadžerom za informacionu bezbednost jasna, ipak jerazumno identifikovati pojedinačne vlasnike sredstava za bezbednost informacija u celojorganizaciji i detaljno im potvrditi njihove odgovornosti u vezi sa tom imovinom. Ovo jeneverovatno efikasan način da se osigura da se bezbednost pojedinačnih informacionihsredstava pravilno održava svakodnevno. Tačka 6.1.3 ISO27002 pruža više informacija oovom pitanju, ali ne dodaje značajno onome što smo ovde rekli.

Postoje generičke odgovornosti za članove određenih grupa osoblja. Razgovarano je oodgovornostima članova foruma, kao i o odgovornosti menadžera informacija. Oni koji sudole pomenuti mogli bi da pruže osnovu za definisanje individualnih odgovornosti unutarorganizacije i trebalo bi ih preciznije izvući da odražavaju organizacionu strukturu i sisteme.

IT odeljenja treba da budu odgovorna za ukupnu sigurnost sistema (sistema) za koji suodgovorni. To uključuje identifikaciju pretnji, procenu rizika, upravljanje projektima, preglede iizveštavanje o aktivnostima. Sigurnost serverske sobe trebalo bi da bude još jedna od njihovihodgovornosti.

Lokalni sistemski administratori imaće određene odgovornosti za registraciju i brisanjekorisnika, nadgledanje sistema, pripremu sigurnosnih procedura, upravljanje kontrolompromena sa definisanim granicama, rukovanje sigurnosnim kopijama podataka, dizajniranjezaštite aplikacija, primenu internih kontrola i testiranje nepredviđenih i rezervnih planova.

Menadžeri sistema bi na nivou sistema trebali biti odgovorni za identifikaciju pretnji, procenurizika, primenu odabranih bezbednosnih kontrola, sigurno konfigurisanje sistema (sistema),podešavanje korisničkog ID-a i sistema lozinke, postavljanje nadzora bezbednosti sistema,sprovođenje kontrole promena, postavljanje svih potrebnih sigurnosnih procedura iodržavanje i testiranje planova kontinuiteta poslovanja.


12

RASPODELA ODGOVORNOSTI ZA BEZBEDNOSTINFORMACIJA- MENADŽERI MREŽEMenadžeri mreže treba da budu odgovorni za identifikaciju pretnjimrežnog perimetra

Menadžeri mreže treba da budu odgovorni (na nivou pojedinačnog domena ilinezavisnog mrežnog sistema) za identifikaciju pretnji mrežnog perimetra, procenurizika, primenu odabranih sigurnosnih kontrola mreže (uključujući zaštitne zidove),sigurno (projektovanje i) konfigurisanje mreže, postavljanje sigurnosnog nadzora,sprovođenje promena kontrolu, postavljanje sigurnosnih procedura i održavanje itestiranje planova oporavka mreže.

Rukovodioci lokacije treba da budu odgovorni, u odnosu na fizičku lokaciju za koju suimenovani menadžer, za identifikaciju pretnji, procenu rizika, sprovođenje odabranih fizičkihkontrola (uključujući kontrolu na obodu), otkrivanje i reagovanje na požar, komunalne uslugei njihovu rezervnu kopiju, kontrole isporuke i otpreme i održavanje i testiranje planakontinuiteta poslovanja lokacije. Za potrebe ISMS-a, svaka lokacija sa koje organizacija delujetreba da ima najmanje jednog menadžera lokacije. Kada je lokacija velika i složena, moždauključuje brojne organizacije ili odeljenja organizacija, tada može biti potreban određeni brojrukovodilaca lokacija. Tada će biti potrebna metoda koordinacije njihovih aktivnosti. Jasno jeda bi se odgovornost menadžera lokacije obično kombinovala sa nizom drugih odgovornostidirektnog upravljanja.

Od IT korisnika u celoj organizaciji treba tražiti da budu svesni i pridržavaju se bezbednosnepolitike i postupaka organizacije, da održavaju jasnu politiku radnog stola i druge fizičkesigurnosne procedure, da prate lozinku i procedure kontrole pristupa, da prave rezervnekopije podataka sa računara (posebno važno za prenosne računare i računare). KorisniciPDA-a) i prijavljuju sigurnosne incidente. Od trećih lica treba tražiti da se pridržavaju svojihugovornih odgovornosti i da budu svesni bezbednosnih postupaka i prakse organizacijedomaćina.

Identifikacija ovih individualnih odgovornosti vršiće se tokom procesa sastavljanja detaljnihpostupaka bezbednosti informacija; važno je da članovi foruma i menadžer za informacionubezbednost od samog početka budu svesni da će ovo biti ključna komponenta procesaizrade za svaku proceduru. Takođe bi bilo dobro usvojiti, na početku, standardni obrazac zaizradu procesa ili procedura koji uključuje naslove kao što su „delokrug“, „svrha“, „vlasnikprocesa / postupka“, „pojedinci / uloge za koje je utvrđeno da imaju odgovornosti“. pod ovimdokumentom ',' datum za pregled (ako postoji) '. To su dodaci parametrima potrebnim zaostvarivanje odgovarajuće kontrole dokumenata i statusa poverljivosti / dostupnosti. Moždapostoje i drugi predmeti koje vredi dodati takvom predlošku; svrha je osigurati da se sveključne komponente sistematski uključuju u svaki novi dokument.


13

Poglavlje 4

Proces odobravanja objekata zaobradu informacija

PROCES ODOBRAVANJA OBJEKTA ZA OBRADUINFORMACIJAKontrola ISO27001 zahteva od organizacije da uspostavi postupakautorizacije za nova postrojenja za obradu informacija.

Kontrola ISO27001 zahteva od organizacije da uspostavi postupak autorizacije za novapostrojenja za obradu informacija. Ovo je široko rasprostranjen zahtev koji utiče, posebnou uobičajenom kancelarijskom umreženom okruženju, na gotovo svaki dodatak ili promenuna bilo kojoj komponenti sistema. „Postrojenje za obradu informacija“ mogao bi biti novisoftverski sistem, novi centar podataka, nova radna stanica ili server, novi softver ili čak novisoftverski uslužni program.

Savremeni računarski sistemi i, posebno, umrežena okruženja brzo se menjaju kako sesoftver unapređuje i kako poslovni zahtevi - često na nivou pojedinačnog korisnika -evoluiraju. ISO27002 prepoznaje da je ovo problem za objekte za obradu ličnih podataka kojise koriste kod kuće ili van radnog mesta za obradu poslovnih informacija, baš kao što je toproblem i na radnom mestu.

Ključno je da organizacija osmisli i usvoji postupak autorizacije koji prepoznaje ova okruženjai koji pruža odgovarajuću fleksibilnost preduzeću i njegovim zaposlenima, istovremenoosiguravajući njegovu informacionu sigurnost. Takav postupak autorizacije treba daidentifikuje one promene koje se mogu izvršiti bez potrebe za pojedinačnim pregledom iocenom i da utvrdi postupak koji će omogućiti da se dokumentuju i izvrše brzo i lako.Za ostale objekte ili promene možda će biti potreban minimalan pregled, a drugi mogupredstavljati nivo rizika koji zahteva punu procenu pre nego što budu odobreni. U različitimfazama ove knjige razmatraće se kontrole oko takvih promena; princip da postupakodobravanja treba da odgovara riziku mora se uspostaviti na samom početku.

Na najjednostavnijem nivou, svaka nova oprema mora biti izabrana da zadovolji definisanebezbednosne i poslovne zahteve. Treba dobiti ovlašćenje menadžera poslovne jedinice da bise pokazalo da su ispunjeni poslovni uslovi. Odobrenje IT odeljenja je potrebno kao dokaz daje oprema u skladu sa tehničkim zahtevima organizacije, a odobrenje menadžera bezbednostimora da naznači da će biti u skladu sa postojećim bezbednosnim kontrolama i proceduramai da neće prouzrokovati kršenja. Ova ovlašćenja treba dokumentovati (potpisati i datiratiovlašćeno lice). Organizacija treba da dizajnira jednostavan obrazac ili postupak za odobrenje„nove opreme“ koji se bavi ovim; obrazac se zbog jednostavnosti može kombinovati sazahtevima za kapitalne izdatke.

14

4.1 Izbor proizvoda i zajedničkikriterijumi

IZBOR PROIZVODA I ZAJEDNIČKI KRITERIJUM/I

Implementacija ISMS-a i njeni zahtevi od strane foruma i savetnika zainf.bezbednost

Implementacija ISMS-a zahtevaće od foruma i savetnika za informacionu bezbednost danabave, procene i primene čitav niz opreme za bezbednost informacione tehnologije od kojeon ili ona možda nema prethodno iskustvo. Neće biti dovoljno samo se oslanjati na iskustvotrenutnog IT menadžmenta ili informacije koje pruža dobavljač koji je nedavno stavio robuIT-u ili ljudima koji vrše nabavke unutar organizacije. Dva su koraka koja pametni menadžerinformacione bezbednosti može preduzeti kako bi osigurao da na raspolaganje može da senađe adekvatno širok spektar opreme, a postoji i niz kriterijuma na osnovu kojih se nekaoprema može proceniti.

Prvo je istraživanje jednogodišnjeg imenika dostupnih proizvoda za zaštitu informacija uUjedinjenom Kraljevstvu. Ovo je Imenik IT bezbednosnih rešenja, koji je objavio ShovtimeMedia Sales.Ovaj direktorijum je obično dostupan besplatno na glavnoj godišnjoj izložbiproizvoda, Infosec; sama ova izložba je izvrsno mesto za posetiti kako biste bili u tokusa razvojem i upoređivanjem proizvoda. Direktorijum i emisija pružaju polaznu osnovu zaprocenu niza dostupnih proizvoda; u ravnoteži, proizvodi koji se najviše isplaćuju pojavitće se u jednom ili oba ova izvora. Veb pretraga je, naravno, još jedan efikasan načinza identifikovanje asortimana dostupnih proizvoda u svakoj od kategorija koje organizacijaidentifikuje kao potrebne.

Sledeći korak je procena proizvoda i primena onih koji će najadekvatnije ispuniti bezbednosnezahteve organizacije. Zajednički kriterijumi su jedno sredstvo koje se može koristiti zaefikasno upoređivanje sigurnosnih proizvoda. Zajednički kriterijumi za procenu bezbednostiinformacione tehnologije (ITSEC) definišu opšte koncepte i principe procene bezbednostiIT i predstavljaju opšti model procene koji opisuje ciljeve bezbednosti IT-a, bira i definišezahteve bezbednosti IT-a i pomaže u pisanju specifikacija za proizvode visokog nivoa isistemima. Njihovo poreklo seže više od 10 godina, širom Severne Amerike i Evrope, a sadasu međunarodni standard (ISO27).

Zajednički kriterijumi (eng. Common Criteria - CC), u stvari, pružaju zajednički standardna osnovu kojeg se bezbednosni proizvodi mogu ocenjivati i sertifikovati. U UjedinjenomKraljevstvu, Communications-Electronics Security Group (CESG), sa sedištem u Cheltenham-u, odgovorna je za učešće Ujedinjenog Kraljevstva u CC šemi i za njenu verziju u UK.CESG, baš kao i CC, objavljuje katalog proizvoda koji su nezavisno ocenjeni i zadovoljavajuCC standarde. Treba napomenuti da se, s obzirom na to da ove procene nisu besplatne,malo najnovijih proizvoda ili proizvoda koje su dizajnirala nova preduzeća pojavljuju udirektorijumima. Međutim, CC nudi metod procene proizvoda prema standardima, a CESG bi,uz naknadu, pružao savete i informacije bilo kojoj organizaciji o određenim proizvodima.

Poglavlje 4 Proces odobravanja objekata za obradu informacija

15

Poglavlje 5

Savet specijaliste za bezbednostinformacija

SAVET SPECIJALISTEISO27001: 2005 odbacio je specifični zahtev za organizaciju daangažuje specijalnog savetnika za informacionu bezbednost

ISO27001: 2005 odbacio je specifični zahtev za organizaciju da angažuje specijalnogsavetnika za informacionu bezbednost. Međutim, prepoznaje da organizacija treba da imana raspolaganju specijalistički savet, a ono što je bilo zasebna kontrola pre ove revizijesada je uvedeno u kontrolu, o čemu je ranije bilo reči. Organizaciji će možda trebati savetinternih ili specijalnih spoljnih savetnika za bezbednost. Iako ISO27002 više ne pruža detaljnesmernice po ovom pitanju, naše je stanovište da, iako sve organizacije neće želeti da zaposlesvog internog savetnika i možda više vole da nespecijalizovani interni savetnik preuzmeodgovornost za upravljanje bezbednošću, ova osoba treba da ima pristup spoljnim savetima(možda kroz mentorsku šemu) koji pružaju specijalne informacije koje pokrivaju bilo kojapodručja u kojima je unutrašnja osoba deficitarna. Naročito je važno u oblastima sigurnosnetehnologije i informacione tehnologije da se saveti stručnjaka čuvaju i budu lako dostupni.Tehnologija, ranjivosti, pretnje i odbrane razvijaju se tako brzo da je bilo kome pojedinu teškoda bude u potpunosti iznad svih.

Iako se u Lekciji 10 govori o obrazovanju i obuci o informacionoj bezbednosti, posebnoza korisnike objekata za informacionu sigurnost, u ovom trenutku je prikladno pogledatikvalifikacije koje bi mogle biti prikladne za internog specijalnog savetnika ili da bi se mogloočekivati da ga dokaže eksterni specijalista.

Jedna od mogućnosti je da organizacija zaposli nekoga za koga se čini da je kvalifikovanpo iskustvu da pruži potrebne specijalističke informacije i savete o bezbednosti. Neiskusnomzapošljavanju može biti teško da identifikuje nekoga ko je zaista dovoljno iskusan za ovuulogu. Kako je tačan odabir ove osobe presudan za rani uspeh projekta ISO27001, vredizauzeti strukturirani pristup rešavanju problema.

Preporučuje se da bilo koja organizacija koja se bavi ISO27001 od samog početkaprecizira da će njen savetnik za informacionu bezbednost biti odgovarajućekvalifikovan i da će se za tu ulogu angažovati neko ko nema formalnu kvalifikaciju,ali tvrdi da se kvalifikuje kroz iskustvo ( kao uslov za nastavak zaposlenja iposle početnog probnog rada) da bi se ova kompetencija pokazala sticanjemodgovarajuće kvalifikacije.

Sada je moguće dobiti postdiplomske kvalifikacije iz upravljanja bezbednošću informacija naOtvorenom univerzitetu Ujedinjenog Kraljevstva. Ovaj kurs pod brojem M886 osmišljen je da

16

pomogne zaposlenima da razumeju, kreiraju i upravljaju strateškim i operativnim aspektimainformacione bezbednosti i ovu knjigu koristi kao svoj osnovni udžbenik. Verujemo da je ovajkurs jedinstven.

SAVET SPECIJALISTE - NASTAVAKBritansko računarsko društvo (BCS), sa sedištem u Svindonu, je jošjedna ključna karika za bilo koju organizaciju koja sledi ISO27001

Britansko računarsko društvo (BCS), sa sedištem u Svindonu, je još jedna ključna karikaza bilo koju organizaciju koja sledi ISO27001. Veb lokacija BCS opisuje čitav niz programaobuke i režima koji su primenljivi na informacione stručnjake. Što je najvažnije, opisujekvalifikacije odbora za ispitivanje informacionih sistema (ISEB). Najvažniji od njih, sastanovišta ISO27001, je Sertifikat u principima upravljanja informacionom sigurnošću. Ovajsertifikat dizajniran je da pruži osnovu znanja neophodnih za pojedince koji imajubezbednosnu odgovornost kao deo svoje svakodnevne uloge ili koji će verovatno preći nabezbednosnu ili bezbednosnu funkciju. BCS tvrdi da sertifikat pruža priliku onima koji su već utakvim ulogama da poboljšaju ili osveže svoje znanje i da u tom procesu steknu kvalifikaciju,priznatu od industrije, koja pokazuje nivo stečenog znanja.

BCS kaže da kvalifikacija dokazuje da imalac poseduje dobro znanje i osnovno razumevanješirokog spektra predmetnih oblasti koje čine upravljanje informacionom sigurnošću. Nekoko ima iskustva u računarskoj podršci ili upravljanju može pohađati ovaj kurs i postatikvalifikovan za informacionu bezbednost. Neko ko je malo ili nimalo praktično izloženinformacionim tehnologijama verovatno neće imati koristi od kursa.

Poglavlje 5 Savet specijaliste za bezbednost informacija

17

Poglavlje 6

Kontakt sa vlastima i grupama saposebnim interes.

KONTAKT SA VLASTIMA I GRUPAMA SA POSEBNIMINTERESIMAISO27001 zahteva, na kontrolama A.6.1.6 i A.6.1.7, da se održavaju„odgovarajući kontakti“ sa „relevantnim vlastima“

ISO27001 zahteva, na kontrolama A.6.1.6 i A.6.1.7, da se održavaju „odgovarajući kontakti“sa „relevantnim vlastima“ (organi za sprovođenje zakona, vatrogasne službe, nadzorna iliregulatorna tela, ISP i telekomunikacioni operateri) i sa „posebne interesne grupe i drugispecijalistički bezbednosni forumi i profesionalna udruženja (npr. izvori specijalnih saveta)“.Ni standard ni ISO27002 ne postavljaju šta bi predstavljali „odgovarajuće kontakte“; ovajdrugi, međutim, jasno postavlja svrhu održavanja kontakti sa vlastima, što treba da omogućiorganizaciji da brzo preduzme odgovarajuće mere ili da dobije odgovarajući savet, ukoliko tozahtevaju događaji (bezbednosni incidenti).

U izvesnoj meri, ovo će biti dalje razmotreno u sledećim odeljcima koji se bave upravljanjemkontinuitetom poslovanja. Za potrebe ovog poglavlja, međutim, savetnik za informacionubezbednost organizacije (sa kojim bi trebalo tražiti konsultacije i umešati se u sve incidente uvezi sa informacionom sigurnošću) trebalo bi sistematski da tokom prvih meseci uloge razvijaniz kontakata sa lokalnom policijom i, putem njih, sa najbližom policijskom specijalističkomjedinicom za „kibernetički kriminal“ (ako postoji), sa ugovornim pružaocima informacija itelekomunikacionim uslugama organizacije, i posebno sa onim članovima njihovog osobljakoji su odgovorni za rešavanje pitanja informacione bezbednosti, i sa lokalnim ili nacionalnimmrežama bezbednosti informacija specijalisti.Postoje dva direktna načina za identifikovanje lokalnih / nacionalnih mreža stručnjaka. Prvaje preko Britanskog računarskog društva. Drugi je preko revizora ISO27001 koji je kompanijiodabrao da pruži nezavisnu certifikaciju ISMS-a u skladu sa standardom. Traženje revizoraza preporuke i kontakte je potpuno razumna stvar; revizor treba da bude izuzetno dobropovezan, a ako nije, onda bi trebalo dovesti u pitanje stručnost i trenutnu svest revizora,a samim tim i njegovu ili njenu kompetentnost da obavlja odgovarajući revizorski posao zaorganizaciju.

NEZAVISNI PREGLED INFORMACIONE BEZBEDNOSTIOvaj odeljak standarda zahteva od organizacije da samostalnopreispita svoje sprovođenje politike bezbednosti informacija

18

Konačno, ovaj odeljak standarda zahteva od organizacije da samostalno preispita svojesprovođenje politike bezbednosti informacija. ISO27002 jasno navodi da to ne značidovođenje spoljnih revizora da pregledaju ISMS, umesto dovođenje spoljnih nezavisnihrevizora za sertifikaciju da bi ga sertifikovali; sertifikaciona revizija ispunjava ovaj kontrolnizahtev standarda.

Međutim, prepoznaje (kao i sistem upravljanja kvalitetom) da organizacija treba da sprovodibilo koji ključni sistem ili proces pregleda neko drugi, a ne osoba odgovorna za njegovuprimenu. Ovo je standardni princip sistema upravljanja sa sertifikatom ISO9001, a svakakompanija koja ima takav sistem upravljanja može jednostavno prenijeti dodatnuodgovornost na one koji imaju postojeće. Klauzula 6.1.8 ISO27002 izričito kaže da pregledemože vršiti postojeća funkcija interne revizije.

Funkcija interne revizije koja ima iskustva samo u finansijskoj reviziji neće biti adekvatnoobučena za vršenje kvalitetne revizije. Jednako tako, funkcija revizije koja se već baviunutrašnjom revizijom drugog sistema upravljanja neće automatski biti sposobna dakompetentno izvrši reviziju ISO27001.

Sve nezavisne kompanije za sertifikacione usluge pružaće kurseve obuke za timove internerevizije i možda bi bilo prikladno koristiti kompaniju koja će za ovu obuku isporučiti ISO27001sertifikat organizacije. Revizija sistema kvaliteta je neophodna osnova za reviziju ISMS-a, alinije dovoljna. Interni revizor bi u najmanju ruku trebao pohađati kurs Osnove upravljanjainformacionom sigurnošću, koji je jednodnevni seminar osmišljen da informiše + i pomognedelegatima kojima je potrebno jasno upoznavanje sa principima i ciljevima upravljanjabezbednošću informacija. Takođe su sada dostupni specifični kursevi internog revizoraISO27001 koji su dizajnirani da osiguraju da interno osoblje koje preuzima ulogu revizoraISMS-a ima veštine i znanja koja su im potrebna.

Poglavlje 6 Kontakt sa vlastima i grupama sa posebnim interes.

19

Poglavlje 7

Politika i obim informacionebezbednosti

POLITIKA I OBIM INF. BEZBEDNOSTIPrvi korak u uspostavljanju ISMS-a je definisanje politike bezbednostiinformacija

Prvi korak u uspostavljanju ISMS-a je definisanje politike bezbednosti informacija.Ovaj zahtev je utvrđen u tački 4.2.1 standarda (i tački A.5.1). Međutim, nije uvek takojednostavno kao što se čini. To može biti iterativni proces (posebno u složenim organizacijamakoje se bave složenim pitanjima informacione bezbednosti i / ili više domena), pa će konačnioblik bezbednosne politike koji je usvojen možda morati da odražava završnu procenu rizikakoja je sprovedena i izjava o primenljivosti koja iz toga proizilazi.

Tačka 4.2.1 u standardu jasno navodi komponente komponente ISMS politike. Njegov opsegi sama politika moraju uzeti u obzir karakteristike preduzeća, njegovu organizaciju, lokaciju,imovinu i tehnologiju. Politika mora sadržati okvir za postavljanje ciljeva i uspostavitisveukupni smjer usmjeravanja. Mora uzeti u obzir sve relevantne poslovne, zakonske,regulatorne i ugovorne sigurnosne zahteve. Mora uspostaviti strateški kontekst (i zaorganizaciju i za upravljanje rizikom) u okviru kojeg će se uspostaviti ISMS. Mora utvrditikriterijume za procenu rizika i strukture procene rizika. Naravno, uprava to mora odobriti.

Bezbednosna politika će takođe morati da se redovno preispituje i ažurira u svetlupromenljivih okolnosti, okruženja i iskustva. Ako ne postoji raniji razlog da odbor preispitujesvoju politiku, on bi trebalo da se pregleda svake godine i odbor bi se trebao složiti dapolitika i dalje odgovara (ili na drugi način) njegovim potrebama u svetlu bilo kakvih promenau poslovnom kontekstu. , na kriterijume za procenu rizika ili u identifikovane rizike. Moždapostoje komponente politike koje bi trebalo pregledavati vrlo redovno, čak i mesečno, i trebaih identifikovati kroz procenu rizika.

Ključna pitanja na koja početna izjava o politici mora kratko da odgovori su:

• Ko?• Gde?• Šta?• Zašto?

20

POLITIKA I OBIM INF.BEZB. - NASTAVAKObično će menadžer koji je zadužen za vođenje implementacije ISMS-abiti zadužen za izradu bezbednosne politike i odbora koji predlaže kakotreba odgovoriti na ova pitanja

Obično će menadžer koji je zadužen za vođenje implementacije ISMS-a biti zadužen za izradubezbednosne politike i odbora koji predlaže kako treba odgovoriti na ova pitanja. Ovaj radtreba da bude što objektivniji u obradi mogućih odgovora na ova četiri pitanja kako bi odbormogao da identifikuje i usredsredi se na ona pitanja koja zahtevaju pojašnjenje ili gde mogubiti potrebne teške odluke.

Kopija tog dela zapisnika (poželjno da ga predsednik parafira kao tačnu kopiju) sastankaodbora na kome se raspravljalo i usvojilo bezbednosnu politiku treba da se podnese uzdokumentaciju o bezbednosnoj politici. To može biti kontrolisana evidencija i, u svrhe revizije,pruža korisne i neposredne dokaze o procesu kojim je politika usvojena i svim njenimizmenama i dopunama. Ovo je, zajedno sa predlogom koji je predstavljen odboru, prvideo dokaza koji zahteva tačka 4.3 („Zahtevi za dokumentacijom“) standarda kako bi sedemonstriralo da su se radnje iz tačke 4.2 odvijale.

Tada bi samu politiku trebalo izdati kao kontrolisani dokument i učiniti je dostupnom svimakoji spadaju u njen opseg; generalno, članovi višeg menadžerskog tima trebalo bi da dobijupojedinačne primerke, a kopije bi mogle biti postavljene na svim unutrašnjim oglasnimtablama, kako fizičkim, tako i elektronskim. Postoje i druge metode komunikacije; bitno jeda je komunikacija efikasna. Ove kopije dokumenta o politici bi, naravno, trebale biti jasnooznačene kao kontrolisane kopije, kako bi se osiguralo da se ažuriraju tako da odražavaju svepromene koje se dogode. Kopije koje se daju u okviru obuke ili seminara za podizanje svestitreba označiti kao nekontrolisane kopije.

IZJAVA O POLITICIPodručja koja bi trebalo da pokriva politika

Prema tome, početna izjava o politici mogla bi da glasi kako sledi: Odbor i upravaorganizacije I, koja deluje u sektoru Z (ili se bavi Z, itd.), Smeštenoj u [Y],posvećeni su očuvanju poverljivosti, integriteta i dostupnost svih fizičkih ielektronskih informativnih sredstava u celoj njihovoj organizaciji kako bi se održalanjena konkurentska prednost, novčani tok, profitabilnost, zakonska i ugovornausklađenost i komercijalni imidž. Zahtevi za informacijama i informacionom sigurnošćui dalje će biti usklađeni sa organizacionim ciljevima, a ISMS treba da bude mehanizam zaomogućavanje razmene informacija za elektronsko poslovanje, e-trgovinu i smanjenje rizikapovezanih sa informacijama na prihvatljivi nivo. Svi zaposleni u organizaciji su dužni da sepridržavaju ove politike i ISMS-a koji sprovodi ovu politiku. Od određenih trećih strana, kako jedefinisano u ISMS-u, takođe će se morati pridržavati. Ova politika će se pregledati po potrebii najmanje jednom godišnje.

Poglavlje 7 Politika i obim informacione bezbednosti

21

Pored toga, politika treba da pokriva sledeća područja:

• Trebalo bi da najavi da će biti uspostavljena rukovodeća upravljačka grupa najvišeg nivoakoja će podržati okvir ISMS-a i povremeno pregledati bezbednosnu politiku.

• Treba da opiše pristup upravljanju rizikom, kriterijume na osnovu kojih će se rizikprocenjivati, strukturu procene rizika i ko će za to biti odgovoran.

• Trebalo bi ukratko identifikovati specifične zahteve usklađenosti, kao što su planoviza nepredviđene slučajeve i kontinuitet poslovanja, potreba za rezervnom kopijompodataka, izbegavanje virusa, kontrola pristupa sistemima i izveštavanje o sigurnosnimincidentima.

• Trebalo bi da postoji jasna izjava o zahtevu da bezbednost informacija i dalje budeusklađena sa poslovnim ciljevima i da ISMS bude podložan stalnim poboljšanjima.

• Trebalo bi objasniti da će svo osoblje proći obuku o svesti o bezbednosti, aspecijalizovano osoblje da će dobiti specijalizovaniju obuku.

• Mogla bi formalno da izjavi posvećenost ispunjavanju i postizanju sertifikata ISO27001.

Ova izjava je dovoljno opšta da pokriva sve ključne komponente informacione bezbednostiorganizacije I u dogledno vreme, ali dovoljno precizna i jasna da bi bila efikasna kao izjavao politici. Jasno bi trebalo da ga odobri forum za upravljanje informacionom zaštitom i da gapotpiše najviša osoba u organizaciji (predsedavajući, predsednik, izvršni direktor, generalnidirektor itd.).

TROŠKOVI I PRAĆENJE NAPRETKABilo koji razuman odbor ili menadžerski tim će u ovoj fazi takođezahtevati procenu troškova i resursa koji su uključeni u primenu ISMS-a

Bilo koji razuman odbor ili menadžerski tim će u ovoj fazi takođe zahtevati procenutroškova i resursa koji su uključeni u primenu ISMS-a, procenu i kvantifikacijupotencijalnih koristi i okvirni plan primene koji na najvišem nivou opisuje ko bićeodgovoran za to šta i do kada. Takav dokument treba pripremiti i predstaviti odboruzajedno sa predloženom bezbednosnom politikom. Ovaj dokument treba jasno da navedepredložene datume u koje će odbor biti pozvan da pregleda napredak ka konačnoj primenikako bi mogao da osigura da se njegova politika pravilno sprovodi.

Kako sve organizacije imaju svoje preferirane formate za to, ova knjiga ne navodi kako seto radi. Tvrdi samo da bi datumi revizije trebali biti realno raspoređeni i da bi planovi kojeodobrava trebalo da omoguće izvršnom rukovodstvu dovoljnu fleksibilnost u sprovođenjupolitike koja će morati da se osmisli u svetlu činjenica koje nisu poznate u trenutku usvajanjapolitike .

Predlaže se da su ključne tačke u kojima bi se mogao proceniti napredak:

1. Nakon završetka nacrta izjave o primenljivosti (SoA). Svi troškovi nastali pre togatrebalo bi da budu minimalni, ali dok SSP ne definiše šta treba učiniti, neće bitimoguće efikasno finansirati sprovođenje.2. Nakon primene početnog niza procedura koje primenjuju identifikovane kontrole.


22

3. Nakon završetka prvog ciklusa revizija sistema i pregleda u skladu sa kontrolomA.15.2 standarda i pre početne posete tela za sertifikaciju.4. Godišnje, kao deo redovnog pregleda ISMS-a, kako bi se osiguralo da se budžetpravilno primenjuje i da su se pobrinula sva nova tehnološka pitanja, pretnje iliranjivosti.

Pretpostavlja se da će organizacija već imati dobro razvijene procedure za bavljenjeprojektima kojima nedostaju ključni datumi pregleda i kod kojih dolazi do prekomernepotrošnje ili premalog učinka.


23

Poglavlje 8

Zaključak

ZAKLJUČAKRezime

Organizacija od samog početka treba da uspostavi okvir upravljanja koji zahteva standard ida bude odgovorna za sprovođenje politike informacione bezbednosti odbora. Početna obukaključnih ljudi, posebno specijalnog savetnika za informacionu bezbednost, važna je i vrediuložiti vreme i novac pre započinjanja procesa primene. Jednom kada se postave temelji,napredak može biti brz.

LITERATURAReference

1. Humphreys, Edward. Implementing the ISO/IEC 27001 information securitymanagement system standard. Artech House, Inc., 2007.2. Humphreys, Edward. Implementing the ISO/IEC 27001: 2013 ISMS Standard. ArtechHouse, 2016.3. https://www.isms.online/iso-27001/leadership-commitment/4. https://www.isms.online/iso-27001/information-security-policy/5. https://www.isms.online/iso-27001/annex-a-5-information-security-policies/6. Achmadi, Dedy, Yohan Suryanto, and Kalamullah Ramli. "On developinginformation security management system (isms) framework for iso 27001-based datacenter." In 2018 International Workshop on Big Data and Information Security (IWBIS),pp. 149-157. IEEE, 2018.7. Calder, Alan. ISO27001/ISO27002: A pocket guide. IT Governance Publishing, 2013.

24

https://www.isms.online/iso-27001/leadership-commitment/

https://www.isms.online/iso-27001/information-security-policy/

https://www.isms.online/iso-27001/annex-a-5-information-security-policies/


Upravljanje ISMS rizicimaLekcija 04

www.princexml.com




UPRAVLJANJE ISMS RIZICIMA

Upravljanje ISMS rizicimaPoglavlje 1: Značaj rizika i mogućnostiPoglavlje 2: Proces upravljanja rizikomPoglavlje 3: ISMS rukovodstvo i politikaPoglavlje 4: LiderstvoPoglavlje 5: ResursiZaključak




Uvod

UVODUvod

Za svaku kompaniju u toku izvršavanja poslova (na domaćem ili međunarodnom tržištu)postoji mogućnost nastupanja nepredvidivih događaja koji mogu direktno uticati naostvarivanje očekivanih rezultata.

Rizik sa svojim štetnim posledicama može onemogućiti uspešno poslovanje i negativnouticati na očekivane poslovne rezultate u razmeni dobara i usluga. Politika osiguranja odrizika, kod savremenih kompanija, predstavlja sastavni deo poslovne politike.

3

Poglavlje 1

Značaj rizika i mogućnosti

DEFINICIJA RIZIKAPostoji nekoliko važnih promena u oblasti upravljanja rizicima u izdanjuISO / IEC 27001 iz 2013. godine u poređenju sa izdanjem iz 2005.godine.

Postoji nekoliko važnih promena u oblasti upravljanja rizicima u izdanju ISO / IEC 27001iz 2013. godine u poređenju sa izdanjem iz 2005. godine. Jedna od njih je definicija rizikakoja je postala generičkija i na taj način usmerena ka većem spektru metoda i tehnikaprocene rizika. ISO / IEC 27001 (2013) je sada usklađen sa definicijom rizika koja se koristiu ISO Vodiču 73 i ISO 31000, odnosno rizik je efekat neizvesnosti (na ciljeve). Elementi ovedefinicije mogu se tumačiti na više načina, pa se pod „efektom“ može razmišljati kao oposledicama ili uticaju događaja koji se događa kao što su posledice zlonamernog softverana serveru e-pošte. Neizvesnost može biti ona koja se odnosi na događaj ili incident (npr.Verovatnoća neovlašćenog pokušaja pristupa sistemu koji sadrži osetljive informacije). Ciljevimogu da uključuju ciljeve informacione sigurnosti pronađene u ISO / IEC 27001 (tj. Očuvanjepoverljivosti, integriteta ili dostupnosti informacija). Drugi cilj je da ISMS bude efikasan,pogodan i adekvatan da zadovolji potrebe i zahteve organizacije. Dakle, kombinovanjemovih elemenata, kao primer rizika, poslovni uticaj neovlašćenih pokušaja pristupa sistemukoji sadrži osetljive informacije bio bi štetan za organizaciju, ne samo da bi naštetio njenojreputaciji, već bi ih koštao i Ks dolara gubitka prihoda i potencijalne zakonske kazne, averovatnoća ili šansa da se ovo dogodi je I od Z.

MOGUĆNOSTIOrganizacija treba da identifikuje mogućnosti koje će doprinetipostizanju njenih strateških i poslovnih ciljeva.

Organizacija treba da identifikuje mogućnosti koje će doprineti postizanju njenih strateškihi poslovnih ciljeva. To ponekad može značiti preuzimanje rizika radi pristupa timmogućnostima, a ponekad smanjenje rizika kako bi se osiguralo da su te mogućnostidostupne. Element „efekta“ u definiciji rizika, datom u prethodnom odeljku, takođe se možetumačiti kao odstupanje od očekivanih, to jest, kako pozitivnih, tako i negativnih rezultata,posledica ili ishoda. Ovo se takođe može izraziti u vidu dobre ili loše sreće, izloženosti dobitkuili gubitku, riziku okretanja (povoljan ishod) ili riziku opadanja (nepovoljan ishod). To znači daorganizacija treba da stvori ravnotežu između onih negativnih rizika koji sprečavaju priliku i

4

onih pozitivnih rizika koji pomažu u obezbeđivanju prilika, a to će zavisiti od stava, tolerancijei apetita organizacija prema riziku.

STAV PREMA RIZIKU,APETIT I TOLERANCIJAStav prema riziku je faktor koji određuje sklonost riziku prema situacijiili skupu poslovnih izbora

Da li preduzeće treba da propusti priliku da izbegne rizike ili da prihvati / rizikuje da iskoristipriliku? Ovo se odnosi na stav organizacije prema riziku: da li su oni skloni riziku(izbegavanje), riziku neutralni ili skloni riziku (traženju) kada je reč o odlasku u poslovneprilike? Pojedinac nesklon riziku (izbegavanje rizika) pokušaće da smanji nesigurnost rizika (tj.Kada se suoči sa izborom gde je gubitak ili dobitak neizvestan ili sa opcijom koja je sigurnija,ali može rezultirati manjom dobiti, izabrala bi ovo drugo, izvesnija opcija). Tragač za rizikom,s druge strane, kocka se sa neizvesnošću u nadi za većim dobitkom.

Stav prema riziku je faktor koji određuje sklonost riziku prema situaciji ili skupuposlovnih izbora. Apetit za rizikom je količina i vrsta rizika koji je organizacija spremna dasledi, preuzme, prihvati ili zadrži da bi postigla svoje strateške i poslovne ciljeve. Stoga jeapetit organizacije za rizikom povezan sa traženjem poslovnih prilika. Različite organizacijeimaju različite apetite prema riziku. Organizacija sa niskim rizikom želi da izbegne negativneefekte neizvesnosti rizika; želi da ostvari zagarantovanu dobit od poslovnog ulaganja i da sene kocka u neizvesnosti za mnogo veći dobitak. Na drugom kraju spektra, organizacije kojetraže rizik nastoje da steknu veće nagrade odabirom poslovnih prilika i poslovnih inovacija.Tolerancija na rizik je nivo ili količina rizika koju je organizacija spremna i sposobna daprihvati.

Apetit za rizikom i nivo tolerancije na rizik treba da definiše izvršno ili više rukovodstvo usaradnji sa odborom direktora i izvršnim direktorom.

APETIT I TOLERANCIJA PREMA RIZIKU ODINFORMACIONE BEZBEDNOSTIApetit za rizikom informacione sigurnosti treba da bude deo ukupnogapetita organizacije za rizikom

Apetit za rizikom informacione sigurnosti treba da bude deo ukupnog apetitaorganizacije za rizikom. Definisanje apetita za rizikom informacione sigurnosti, kao i koddrugih odluka i kriterijuma za rizik, ne bi trebalo da bude izolovana aktivnost već integrisanideo celokupne strategije i ciljeva organizacije u vezi sa rizikom. ISO / IEC 27001 naglašavavažnost činjenice da upravljanje rizikom dolazi od vrha, pri čemu posvećenost, smernice iodluke donosi izvršno / više rukovodstvo.

Upravljanje bezbednošću informacija treba posmatrati kao pokretač postizanja poslovnestrategije i ciljeva organizacije i dodavanja vrednosti organizaciji. Zbog toga se rizicimavezanim za informacionu sigurnost treba upravljati da bi se postigli takvi poslovni ciljevi i

Poglavlje 1 Značaj rizika i mogućnosti

5

zadovoljili unutrašnji i spoljni zahtevi. Ishod i rezultati ISMS-a su stoga pružanje efikasnezaštite podataka organizacije za postizanje ovih poslovnih ciljeva i zahteva.

Tradicionalno, rizici informacione bezbednosti viđeni su na negativan način, radi zaštite odgubitka ili oštećenja, a ne u kontekstu poslovne mogućnosti za adresiranje šire poslovnestrategije. Međutim, kao što je upravo pomenuto, bezbednost informacija nije izolovanaaktivnost već jedan od ključnih pokretača organizacije da zaštiti svoje poslovne interese krozzaštitu podataka koje koristi za vođenje i vođenje svog poslovanja.

ISMS RIZICIUpravljanje efektom nesigurnosti na postizanje ciljeva, ishoda, ciljeva irezultata ISMS-a je zadatak upravljanja rizikom

Upravljanje efektom nesigurnosti na postizanje ciljeva, ishoda, ciljeva i rezultata ISMS-a jezadatak upravljanja rizikom. Da li se rizicima informacione bezbednosti upravlja prihvatljivimnivoom, tako da je ISMS efikasan, pogodan i adekvatan potrebama i zahtevima organizacije?Da li organizacija ima efikasne, pogodne i adekvatne ISMS politike, procedure, resurse,procese, planove i programe za upravljanje rizicima?

Stvari se mogu promeniti u organizaciji i njenom poslovnom okruženju, što bi moglo uticati nanjen profil rizika: poslovni ciljevi i strategija mogu se razlikovati ili menjati; uslovi rada moguse promeniti; tržišni uslovi mogu da se kolebaju - može doći do ekonomskih padova i uspona;uslovi koji okružuju i izazivaju sigurnosne incidente mogu se promeniti, sa povećanomneizvesnošću u vezi sa tim incidentima i većim pretnjama i nivoima napada; može doći dopromena na infrastrukturi, unutrašnjoj i spoljnoj; mogu se usvojiti različiti poslovni procesi;preduzeće može primeniti novu i naprednu tehnologiju. Na primer, organizacija se možeproširiti u novom poslovnom području i istovremeno uvesti nova tehnološka rešenja i zaposlitiviše osoblja kao deo ovog proširenja. Postavlja se pitanje da li ovo proširenje dovodi dopromena koje stvaraju nove rizike ili povećavaju nivo trenutnih poznatih rizika do zaštitenjegovih podataka. Da li ISMS još uvek može biti efikasan, pogodan i adekvatan organizaciji?To bi trebalo da pita menadžment. Kada se promene dogode, organizacija treba ponovo daproceni rizike i mogućnosti povezane sa tim promenama kao deo njihovog programa stalnogpoboljšanja (tj. Adresiranje rizika kako bi se osiguralo da ISMS ostane efikasan, pogodan iadekvatan za potrebe i zahteve organizacije).

Poglavlje 1 Značaj rizika i mogućnosti

6

Poglavlje 2

Proces upravljanja rizikom

PROMENE U PROCESUKao što je ranije pomenuto, rizik je efekat neizvesnosti (na ciljeve).

Kao što je ranije pomenuto, rizik je efekat neizvesnosti (na ciljeve). U verziji ISO / IEC27001 iz 2005. godine pomenuto je sredstvo, pretnje i ranjivosti u odnosu na rizik definicije.Dakle, postojala je potreba da se identifikuju pretnje imovini i ranjivosti imovine koju pretnjemogu iskoristiti. Ovi elementi koji su činili deo definicije rizika u 2005. godini više ne postojeu verziji standarda iz 2013. godine. To, međutim, ne znači da organizacija koja koristi metodprocene rizika koristeći ove elemente mora da promeni svoj metod. Definicija iz 2013. godineje dovoljno generička da se može prilagoditi širokom spektru metoda. Ono što znači je da uizdanju iz 2013. godine ne postoji obavezan zahtev da organizacija identifikuje svoju imovinu,pretnje i ranjivosti kao deo svoje procene rizika, kao što je to bio slučaj u izdanju iz 2005.godine.

Sveukupne faze procesa su iste: procena rizika, a zatim i lečenje rizika. Takođe su faze uprocesu procene rizika iste: identifikacija rizika, analiza rizika i procena rizika. Ono što jerazličito je u detaljima onoga što predstavlja identifikaciju, analizu i procenu (tj. U izdanju iz2013. godine nema pomena o imovini, pretnjama i ranjivostima).

PROCENA RIZIKA I PRIHVATANJE KRITERIJUMANa organizaciji je u potpunosti da definiše koji proces procene rizika odinformacione bezbednosti koristi

Na organizaciji je u potpunosti da definiše koji proces procene rizika od informacionebezbednosti koristi. To uključuje koje metode i kriterijume koristi za identifikovanje i analizusvojih rizika i koje kriterijume prihvatanja koristi za procenu rizika koje je identifikovao. VerzijaISO / IEC 27001 iz 2013. pruža organizaciji veliku fleksibilnost da definiše sopstveni pristupkoji odgovara njenoj poslovnoj kulturi i da odabere metode i tehnike koje želi da koristi kaodeo ovog pristupa. Ovaj pristup mora biti u skladu sa zahtevima definisanim u ISO / IEC27001.

Proces procene treba da pruži organizaciji razumevanje rizika sa kojima se suočavaju. Ovose obično odnosi na uzroke i posledice rizika (posledice / uticaji) i verovatnoću pojave, nivoerizika i da li su ovi nivoi prihvatljivi / neprihvatljivi u skladu sa kriterijumima prihvatljivosti kojeje definisala organizacija.

7

Šta je prihvatljivo / podnošljivo ili neprihvatljivo / nepodnošljivo, definišeorganizacija. Kriterijumi za određivanje prihvatljivih nivoa rizika zavisiće od apetitaorganizacije za rizikom i značaja rizika za poslovanje, ciljeve i vrednosti organizacije. Rizicitakođe treba da odražavaju unutrašnje i spoljne interese i zahteve, relevantne standarde,zakone i propise.

VLASNICI I IDENTIFIKACIJA RIZIKAVeoma važan zahtev standarda i procesa procene rizika jeidentifikacija vlasnika rizika

Veoma važan zahtev standarda i procesa procene rizika je identifikacija vlasnika rizika,odnosno onih pojedinaca u organizaciji koji su odgovorni i imaju ovlašćenja za donošenjeodluka u vezi sa upravljanjem rizicima i na kraju u vezi sa upravljanjem rizicima. Tako bi,na primer, pojedinac koji je ovlašćen i odgovoran za upravljanje i kontrolu ličnih podatakazaposlenih i osoblja bio očigledna osoba koja bi bila vlasnik rizika takvih informacija. Takavpojedinac bio bi odgovoran, na primer, za odjavu sprovođenja niza kontrola za zaštitu ovihličnih podataka i za odobravanje rezultirajućeg nivoa rezidualnog rizika i za dugoročnuodgovornost i upravljanje rizikom ovih ličnih podataka. Ista situacija važi i za sve ostalevlasnike rizika u organizaciji.

Proces identifikovanja rizika od informacione bezbednosti uključuje identifikacijui prepoznavanje onoga što bi se moglo dogoditi, što može imati uticaja na ISMSorganizacije i njenu sposobnost da ostvari svoju poslovnu strategiju i ciljeve. Touključuje događaje, incidente, potencijalne prekršaje i kompromise ili bilo koju drugu situacijukoja može imati uticaja na organizaciju. Sledeći aspekt ove faze procene rizika je identifikacijapostojećih ISMS kontrola.Proces identifikacije uključuje prikupljanje informacija u vezi sa rizicima dobijenim tokomindividualnih i timskih intervjua; povratne informacije, mišljenja i stavovi zainteresovanihstrana i stručnjaka; upitnici / kontrolne liste; evidencije o upravljanju incidentima u vezi sabezbednošću podataka i drugi istorijski podaci kao što su izveštaji o reviziji i putem raznihdrugih metoda i izvora.

2.1 Analiza rizika

ANALIZA RIZIKA ( ENG. RISK ANALYSIS )

Faza analize bavi se utvrđivanjem potencijalnih posledica / uticajarizika, verovatnoće nastanka rizika i nivoa rizika

Faza analize bavi se utvrđivanjem potencijalnih posledica / uticaja rizika, verovatnoćenastanka rizika i nivoa rizika. Nivo rizika je kombinacija posledica / uticaja i verovatnoće. Slika1 ilustruje primer metode rizika za određivanje nivoa rizika s obzirom na potencijalni uticaj(VL = vrlo nizak do VH = vrlo visok) i verovatnoću (VL = vrlo nizak do VH = vrlo visok). Nivoi

Poglavlje 2 Proces upravljanja rizikom

8

Slika 2.1.1 Primer tabele rizika

rizika u ovom primeru daju numeričke vrednosti 1 = nizak rizik do 9 = vrlo visok rizik. Jasnoje da ovo ilustruje da će na kliznoj skali, što je veći uticaj i što je veća verovatnoća, veći nivorizika biti.

Tokom ove faze procene rizika, uzroci i izvori rizika moraju se razumeti i razmotriti, a zatimanalizirati uticaje i verovatnoću ovih rizika povezanih sa tim uzrocima. Naravno da mogupostojati složeni uzročno-posledični scenariji: skup različitih događaja sačinjava određenirizik. Na primer, neobučeni član osoblja koji ima malo iskustva koristi loše napisan operativnipostupak, što rezultira slanjem osetljivih informacija kao priloga e-pošte nezaštićenim.Iskusniji član osoblja koji ima više iskustva i svesti o tome kako postupati sa osetljiviminformacijama može ignorisati loše napisan postupak i zaštititi prilog e-pošte. Ovakavredosled događaja i uzroka rezultirao je rizikom za organizaciju njegovih osetljivih informacija.

NASTAVAK ANALIZE RIZIKA

Događaj može rezultirati višestrukim posledicama, koje se zajednokombinuju da bi uticale na nekoliko ciljeva bezbednosti informacija

Događaj može rezultirati višestrukim posledicama, koje se zajedno kombinuju da biuticale na nekoliko ciljeva bezbednosti informacija. Naravno, možda će biti potrebnakombinacija uzroka koji će imati uticaja na organizaciju. Od ključne je važnosti da seidentifikuju udarni efekti uzroka i posledica, uključujući sve kaskadne i kumulativne posledice.Postoji toliko različitih načina i metoda za analizu rizika koliko i načina za identifikovanje rizika.Grupa osoblja koja izvodi moždane oluje ili intervjue svakako je relevantna za identifikacijurizika, ali ne i za izračunavanje uticaja ili verovatnoće rizika gde je sistematičnija i analitičnijametoda korisnija i primenljivija. S druge strane, analiza uzroka (scenarija) ili analiza poslovnoguticaja (BIA) je jasno relevantna za analizu rizika s obzirom na posledice / uticaje rizika. Dalje,metode analize uzroka uzroka i metode „slučajnog“ scenarija pokrivaju i aspekte posledica /uticaja i verovatnoće analize rizika.

Prilikom sprovođenja analize rizika, važno je razumeti događaje koji će verovatno uticatina vrste informacija koje organizacija ima: osetljive, kritične, lične, ograničene, privatneinformacije i javne informacije. Očuvanje ovih podataka može biti ugroženo, posebno upogledu njihove poverljivosti, integriteta i dostupnosti. Pored toga, pitanje zaštite privatnihpodataka takođe predstavlja pitanje. Dakle, analiza događaja i uzroka koji prete ovom


9

očuvanju je od suštinske važnosti. Ova analiza se može izvršiti korišćenjem različitih metoda,uključujući neke od ranije pomenutih (npr. Analiza uzroka i efekta, BIA), uz unos i povratneinformacije iz različitih izvora koji su legitimna i ovlašćena zainteresovana strana za oveinformacije (npr. Vlasnici informacija, rizik vlasnici, top / viši menadžment, korisnici). Na istinačin na koji je važno čuvanje poslovnih informacija, važni su i kritični poslovni sistemi,procesi ili usluge koji su direktno ili indirektno povezani sa ISMS-om. Takve ključne elementetreba razumeti i identifikovati njihove rizike. Prekid, nedostupnost ili kontinuitet u ovimkritičnim delovima imaće veliki uticaj i štetne posledice na organizaciju i mogao bi imatidirektan uticaj na rad organizacije. Složenost ISMS-a koji se procenjuje rizik zavisiće odresursa (troškova, vremena, kompetencije) potrebnih za analizu rizika. Ovo delom zavisi iod delokruga ISMS-a: dobro fokusiran opseg orijentisan na jednu poslovnu grupu, odeljenje,projekat ili uslugu, sa dobro definisanim nekompleksnim interfejsima i zavisnostima je jedannivo složenosti, dok je opseg koji pokriva mnoge operativne lokacije, mnogi delovi poslovanja,mnogi projekti ili mnoge usluge sa složenim nizom interfejsa i zavisnosti predstavljajudrugačiji, viši nivo složenosti.

TABELE RIZIKA

Organizacija ima izbor koju metodu rizika želi da koristi, kriterijume zaprihvatanje i određene skale za dodeljivanje nivoa verovatnoće i vrsta inivoa uticaja.

Organizacija ima izbor koju metodu rizika želi da koristi, kriterijume za prihvatanje i određeneskale za dodeljivanje nivoa verovatnoće i vrsta i nivoa uticaja. U primeru datom na slici1, niski, srednji, visoki i vrlo visoki se koriste za nivo uticaja i verovatnoće. Umesto toga,organizacija bi mogla da odluči da koristi skalu od 3 ili 4 ili 6 ili više. Organizacija možda želidati više opisnog značenja ovim tačkama na skali niska, srednja, visoka i vrlo visoka. Slike 2 i3 su primeri koji ilustruju kako ovo može izgledati.

Definisanje nivoa rizika treba da uzme u obzir postojeće kontrole ISMS-a i njihovu pogodnost,adekvatnost i efikasnost. To uključuje razmatranje postojećih kontrola i njihov značaj za svakiod identifikovanih rizika i da li su te kontrole pogodne i adekvatne za modifikovanje rizika naprihvatljiv nivo.

Pri razmatranju postojećih kontrola, jedno od pitanja donošenja odluka je da li je najboljepoboljšati primenu ovih postojećih kontrola kako bi se adekvatno modifikovali utvrđeni riziciili je najbolje primeniti drugačiji skup kontrola.


10

Slika 2.1.2 Primer skale uticaja i deskriptora

Slika 2.1.3 Primer skale verovatnoće deskriptora

EVALUACIJA RIZIKA

Faza evaluacije upoređuje rezultate faze analize rizika, odnosno nivoarizika sa kriterijumima za prihvatanje organizacije

Faza evaluacije upoređuje rezultate faze analize rizika, odnosno nivoa rizika sa kriterijumimaza prihvatanje organizacije. Na primer, u primeru na slici 1, nivoi rizika od 7 i više moguse smatrati neprihvatljivim i nepodnošljivim (tamno siva površina na slici 4), dok se nivoi1–3 smatraju prihvatljivim, podnošljivim i uopšte zanemarljivim (belo područje na slici 4). Sdruge strane, nivoi rizika 4–6 mogu zahtevati dalju analizu od slučaja do slučaja, uzimajućiu obzir poslovne troškove i koristi od lečenja rizika, kao i poslovne mogućnosti u odnosu naposlovne uticaje, kako bi se utvrdilo da li postoje rizici kod ovih slučajeva nivoi su prihvatljiviili neprihvatljivi (srednje sivo područje na slici 4).

Slika 4 je samo jedan primer toplotne mape za prihvatanje rizika. Organizacija treba dadefiniše sopstvene tamno-sive, srednje sive i bele površine, a to će zavisiti od apetitaorganizacije za rizikom. Na primer, organizacija može usvojiti sledeću mapu toplote na slici 5,jer ima niži rizik za prihvatanje.

Druga organizacija bi mogla usvojiti mapu toplote na slici 6, jer ona prihvata veći rizik.

Izbor prihvatanja kriterijuma za rizik i apetita za rizikom u potpunosti zavisi od organizacije.Slike 4 do 6 su samo primeri koji ilustruju teoriju. Praktična primena je na organizaciji daodabere koji su kriterijumi rizika prikladni i adekvatni njenoj poslovnoj situaciji i okolnostima.


11

Slika 2.1.4 Primer mape toplote za prihvatanje rizika 1



2.2 Tretiranje ( lečenje ) rizika

LEČENJE RIZIKA.

Nakon identifikovanja rizika i davanja prioriteta rizicima za lečenje,sledeći postupak je razmatranje mogućnosti lečenja koje ćemodifikovati rizike

Nakon identifikovanja rizika i davanja prioriteta rizicima za lečenje, sledeći postupak jerazmatranje mogućnosti lečenja koje će modifikovati rizike. Proces lečenja rizika je običnoponavljajući postupak kako je prikazano na slici 7.


12

Slika 2.2.1 Ciklus lečenja rizika

Takođe je obuhvaćeno procenom procene efikasnosti tretmana rizika u modifikovanju rizika.

Proces odabira mora da uključuje upravljanje, jer treba uzeti u obzir troškove primene lečenjau odnosu na poslovne koristi koje proizilaze iz takvog tretmana, uzimajući u obzir zahteve zausaglašenost iz zakonskih, regulatornih i ugovornih obaveza. Mogli bi biti slučajevi da postojejaki finansijski i poslovni razlozi zbog kojih je moguća opcija lečenja. Može biti slučaj, naprimer, da je uticaj na organizaciju oštećenja njene reputacije veoma visok, ali se smatra daje verovatnoća da se to dogodi niska do srednja, što bi rizik stavilo u srednju grupu rizika,niti podnošljiv ni nepodnošljiv. To bi značilo dalju upravnu diskusiju i ispitivanje ekonomije„lečenja“.

IZBEGAVANJE RIZIKA

Izbegavanje uključuje donošenje odluke da se ne obavlja, ne bavi ili neobavlja aktivnost koja može prouzrokovati rizik

Izbegavanje uključuje donošenje odluke da se ne obavlja, ne bavi ili ne obavlja aktivnost kojamože prouzrokovati rizik. Izbegavanje rizika može uključivati promenu sledećeg:

• Politika ili strategija kompanije;• Planovi za lokaciju ili preseljenje poslovnih objekata;• Korišćene metode, postupci ili procesi;• Uslovi rada;• Opseg i ciljevi novih projekata, razvoja ili tehnologije koja se koristi.

Primer bi mogao biti preseljenje preduzeća u područje za koje se utvrdi da je manje opasnopo životnu sredinu kako ne bi preuzelo odgovornost koja dolazi sa verovatnoćom da će sete opasnosti pojaviti i prekinuti, poremetiti ili uništiti poslovanje i njegovo poslovanje. Moždaje mesto za preseljenje u manje opasnom delu grada kako bi se izbegli ozbiljni incidenti kojiuključuju kriminalne radnje i građanski nered. Izbegavanje ovog rizika može se činiti načinom


13

rešavanja ovog problema, ali treba razmotriti da li će organizacija biti u komercijalnomnepovoljnom položaju ili će izgubiti na koristima od neseljenja.

Razmišljanje menadžmenta mora da odmeri prednosti i nedostatke bilo izbegavanja rizikakako bi se iskoristila prilika za sigurnije uslove rada ili preuzimanja rizika kako bi se iskoristiledruge poslovne koristi koje trenutna lokacija može pružiti, poput njegove baze klijenata.

PRENOŠENJE I SMANJIVANJE VEROVATNOĆE RIZIKA

Smanjivanje verovatnoće rizika uključuje upotrebu preventivnih,odvraćajućih ili detektivskih vrsta kontrolnih metoda kako bi sesmanjila verovatnoća da će se rizik uopšte dogoditi ili bar ot

Ovaj metod obrade uključuje zapošljavanje druge strane, kao što je osiguravajuće društvo,dobavljači, preduzeća rizičnog kapitala i spoljne strane, da dele neki ili sve rizike. To običnomože biti ugovorom, osiguranjem ili nekim oblikom zaštite. Osiguranje je jedna vrsta prenosarizika koja koristi ugovore i u novije vreme zaštita od osiguranja od e-rizika počela je da sepojavljuje na svetskim tržištima. Drugi načini prenosa mogu da uključuju upotrebu ugovornogjezika koji prenosi rizik na drugu stranu bez upotrebe premije osiguranja. Takav ugovor možepostaviti ograničenja odgovornosti na dobavljače ili dobavljače usluga koji se često prenosena ovaj način. Naravno, u finansijskom svetu postoje mnogi drugi instrumenti transfera zafinansijsko upravljanje rizicima, poput zauzimanja kompenzacionih pozicija radi zaštite odinvesticijskih gubitaka.Smanjivanje verovatnoće rizika uključuje upotrebu preventivnih, odvraćajućih ilidetektivskih vrsta kontrolnih metoda kako bi se smanjila verovatnoća da će serizik uopšte dogoditi ili bar otežati pojavu rizika. Poli, postupci i procesi informacionebezbednosti, programi obuke i podizanja svesti korisnika, uklanjanje slabosti, metode kontrolepristupa i druge mere mogu pomoći u smanjenju verovatnoće rizika. Stvarna efikasnostovih kontrola za smanjenje verovatnoće zavisiće od kvaliteta i efektivnosti primene i njeneoperativne / poslovne upotrebe. Na primer, kontrola dizajnirana da spreči uspehbezbednosnog incidenta možda neće biti efikasna u praksi ako je primena neispravna ilinije pravilno urađena, i naravno ako korisnici nisu obučeni za upotrebu kontrole, ovo takođesmanjuje efikasnost kontrola.

SMANJIVANJE POSLEDICA RIZIKA I ZADRŽAVANJE/PRIHVATANJERIZIKA

Ako rizik postane stvarnost, tada su potrebne kontrole kako bi sesmanjile posledice / uticaj rizika

Ako rizik postane stvarnost, na primer, metode kontrole za smanjenje verovatnoće suneefikasne, neadekvatne ili neprikladne za sprečavanje rizika, tada su potrebne kontrolekako bi se smanjile posledice / uticaj rizika. To uključuje upotrebu detektivskih, reaktivnih,reaktivnih ili oporavnih vrsta kontrolnih metoda kako bi se smanjila težina uticaja ili gubitkaizazvanog rizikom.


14

Postupci i procesi informacione bezbednosti, procesi upravljanja incidentima informacionesigurnosti, kontinuitet poslovanja i planovi oporavka od katastrofe mogu pomoći u smanjenjuuticaja rizika.

Nedostatak menadžerske podrške, posvećenosti i vođstva za ISMS; nedostatak pregledarukovodstva i nedostatak ili neefikasne vežbe procene učinka mogu rezultirati poslovnimuticajima. Uticaj na organizaciju koja ne uspeva da kontinuirano poboljšava prikladnost,adekvatnost i efikasnost ISMS-a značiće da će se njena sposobnost da zaštiti svoje osetljivei kritične informacije smanjiti i postati neefikasan. To će rezultirati drugim uticajima kojiće uticati na to da organizacija može pravilno, produktivno i profitabilno da obavlja svojeposlovanje.

Zadržavanje/prihvatanje rizika znači da je organizacija u stanju da toleriše i zadržirizik u okviru svoje strategije upravljanja poslovnim rizikom prihvatanjem uticajaili gubitka kada se dogodi. Menadžment mora biti potpuno upućen i objektivan u vezi saovim tokom i dobro razmisliti pre nego što usvoji ovu vrstu lečenja. Na kraju dana, moždane postoji drugi put odgovarajuće akcije. Podrazumevano se zadržavaju svi rizici koji se neizbegavaju, prenose, smanjuju ili prenose.Podela rizika unutar grupe pojedinaca ili kompanija takođe je opcija zadržavanja rizika. Touključuje širenje rizika po grupi prenošenjem obaveza i gubitaka na rizik na sve one članovekoji su uključeni u grupu. Ovo nije mogućnost osiguranja.

ODREĐIVANJE KONTROLA I PLAN OPORAVKA OD RIZIKA

Nakon odabira opcija lečenja rizika, treba odrediti skup kontrola zaprimenu ovih opcija

Nakon odabira opcija lečenja rizika, treba odrediti skup kontrola za primenu ovih opcija. Zatimse vrši analiza praznina u poređenju ovog skupa kontrola sa kontrolama navedenim u AneksuA. Ova provera ima za cilj da osigura da se ne previde nijedna kontrolna područja. Ovaj processe pojavljuje u izdanju ISO / IEC 27001 iz 2013. godine, ali ne i u izdanju iz 2005. godine.Proces koji je definisan u 2005. godini izabrao je kontrole iz Aneksa A, što nije slučaj u izdanjuiz 2013. godine

Plan oporavka od rizika

Treba izraditi plan oporavka od rizika koji detaljno opisuje kako će organizacija primenitiodabrane opcije lečenja rizika. Ovaj plan treba da sadrži razloge zbog kojih je odabranspecifičan izbor opcija oporavka i koje su očekivane koristi koje organizacija očekuje daće dobiti. Plan treba da sadrži detalje o prioritetima i radnjama koje treba preduzeti zasprovođenje opcija lečenja, kao i zakonske i regulatorne mere koje treba preduzeti, resursepotrebne za sprovođenje, kao i raspored i rokove isporuke aktivnosti za sprovođenje. Trebaidentifikovati one vlasnike rizika koji su odgovorni za odobravanje plana, kao i one kojisu odgovorni za sprovođenje plana. Pored toga, potrebno je odrediti metrike performansi imerenja i navesti mehanizam izveštavanja.


15

2.3 Trenutna ponovna procena rizika

PREGLED RIZIKA I PONOVNA PROCENA, NADGLEDANJE IAŽURIRANJE OPORAVKA OD RIZIKA

Procena rizika je trenutni prikaz rizika sa kojima se organizacijasuočava kada se procena sprovodi.

Procena rizika je trenutni prikaz rizika sa kojima se organizacija suočava kada seprocena sprovodi. Uslovi, okolnosti i drugi faktori koji su bili primenjivi na rizike koji suidentifikovani tokom bilo koje procene promeniće se u nekom trenutku; ovo je priroda svegau svetu oko nas - ništa nije trajno.

Organizacije treba da očekuju da će se promene dogoditi i da će to promeniti njihov profilrizika. Iz tog razloga, potrebno je u redovnim intervalima vršiti ponovnu procenu rizika. Šta jeredovni interval? Ovo treba da utvrdi organizacija; međutim, to obično može biti svakih šestdo devet meseci ili ranije ako postoje poznate ili planirane promene ili postoji veći incident ilidogađaj koji je prouzrokovao ometajuće rizike za organizaciju. Neke organizacije postavljajuinterval ponovne procene na tri do četiri meseca zbog prirode svog poslovnog okruženja idinamičnog poslovnog okruženja u kojem posluju.Kako će se uslovi i faktori koji će imati uticaja na profil rizika organizacije menjati, menjatii oscilirati, kontinuirano praćenje je od suštinskog značaja za redovno ažuriranje i zakontinuirano poboljšanje ISMS-a kako bi se osigurala odgovarajuća, adekvatna i efikasnazaštita.Nakon ponovne procene rizika, biće potrebno ponovo proceniti mogućnosti oporavka ISMSrizika. Ovo treba uzeti u obzir da li treba preduzeti korektivne mere za poboljšanje postojećegskupa kontrola, primeniti drugačiji skup kontrola i odabrati dodatne opcije oporavka. To ćepodrazumevati izradu ažuriranog plana oporavka od rizika.


16

Poglavlje 3

ISMS rukovodstvo i politika

POLITIKA UPRAVLJANJAVažan aspekt usaglašenosti sa zahtevima ISO / IEC 27001 i postizanjauspešnog razvoja i primene ISMS-a i tekućeg upravljanja je da takavzadatak treba da vodi najviše rukovodstvo

Važan aspekt usaglašenosti sa zahtevima ISO / IEC 27001 i postizanja uspešnograzvoja i primene ISMS-a i tekućeg upravljanja je da takav zadatak treba da vodi ivodi od vrha, najviše rukovodstvo.

Najviše rukovodstvo treba da započne definisanjem odgovarajuće politike bezbednostiinformacija za ISMS. Politika treba da bude jasna izjava rukovodstva o njenim namerama,ciljevima i ciljevima u vezi sa informacionom sigurnošću i zaštitom njenih informacionihsistema. Ova politika treba da odražava posvećenost najvišeg rukovodstva i podršku ISMS-uda zadovolji zahteve iz odeljka 4.1 (ISO / IEC 27001: 2013) i da se pozabavi problemima izgornjeg odeljka (ISO / IEC 27001: 2013). To bi trebalo da bude direktiva odozgo koja bi običnotrebalo da se bavi najmanje sledećim:

• Opseg informacione bezbednosti, njegov značaj za poslovanje i jasnoća o tome koji suciljevi poslovne bezbednosti informacija (npr. U pogledu zaštite poverljivosti, integriteta idostupnosti njegovih informacija);

• Potreba za svešću osoblja: osoblje treba da bude svesno svojih dužnosti i odgovornosti uvezi sa rizicima (npr. Odgovornosti za rukovanje i obradu osetljivih informacija kompanijena način koji ih štiti od kompromisa);

• Šta je prihvatljivo i neprihvatljivo u pogledu ponašanja i upotrebe njegovih resursa (npr.Prihvatljivo korišćenje sistema e-pošte kompanije);

• Njegove obaveze da obavlja svoje poslovanje u skladu sa zakonima i propisima,ugovornim obavezama, najboljom praksom i standardima koje osoblje takođe mora dapoštuje (npr. Poštovanje zakona o autorskim pravima, privatnost podataka / zaštita ikorišćenje računara / zloupotreba / zloupotreba);

• Upućivanje na bilo koji drugi dokument sa kojim osoblje treba da bude upoznato i uskladu sa njim (npr. Detaljnije bezbednosne politike i postupci, kao i bilo koji drugirelevantni postupci koji nisu direktno povezani sa bezbednošću). To bi mogle biti politikespecifične za industriju, poput onih preduzeća koja se moraju baviti ekološkim pitanjima,aspektima zdravstvene zaštite, proizvodnje farmaceutskih proizvoda ili sigurnosti hrane.

17

ODOBRENJE, KOMUNIKACIJA I SVESTOvu politiku upravljanja treba da odobri i potpiše izvršni direktor, jer jecilj da se ukaže na posvećenost i podršku uprave

Ovu politiku upravljanja treba da odobri i potpiše izvršni direktor (ili neko sa sličnimupravljačkim ovlašćenjima i odgovornim statusom), jer je cilj da se ukaže na posvećenost ipodršku uprave.

Politika mora biti saopštena širom organizacije svom osoblju i zainteresovanim stranama. Tomože biti u papirnom obliku ili elektronskim putem ili oboje. Neke organizacije prikazuju svojepolitike na zidovima kancelarija, računarskim sobama i drugim delovima kako bi osiguraleda budu neprekidno dostupne i vidljive. Druge organizacije pribegavaju korišćenju IKT zadistribuciju i imaju na raspolaganju svoje politike i postupke putem svoje interne mreže.Drugi mogu da odluče da ga distribuiraju u papirnom obliku samo za osoblje koje drži nasvom radnom mestu. Bez obzira na metod koji se koristi, politiku ne treba sakriti i zaboraviti.Osoblje treba svako toliko da pročita, razume i osveži svoja sećanja na njegov sadržaj iono što govori o svojim specifičnim odgovornostima i dužnostima u vezi sa informacionomsigurnošću.

Pregled politike

Ovu politiku treba pregledati i ažurirati po potrebi kako bi se uzela u obzir promenljiva prirodaokruženja rizika od informacione bezbednosti i razvojni organizacioni razvoj i promene.Potrebno je da postoji postupak pregleda za održavanje ove politike, kao što je slučaj sa svimpolitikama i procedurama, kao deo procesa stalnog poboljšanja ISMS-a.

Poglavlje 3 ISMS rukovodstvo i politika

18

Poglavlje 4

Liderstvo

LIDERSTVO - VOĐSTVOPokazivanje vođstva u vezi sa ISMS-om je suštinski aspekt standardaISO / IEC 27001

Pokazivanje vođstva u vezi sa ISMS-om je suštinski aspekt standarda ISO / IEC27001. Od suštinske je važnosti da vrhovno rukovodstvo obezbedi odgovarajući nivo vođstvau pogledu pravca, autoriteta, politike, upravljanja i organizacije. Dobro vođstvo definišeposlovnu svrhu informacione sigurnosti, kreira izjavu o misiji, postavlja strategiju, pružaosoblju fokus na ono što je važno u pogledu informacione sigurnosti za posao i koji suprioriteti, motiviše i uliva poverenje u radnu snagu da je posvećena zaštiti poslovanja i negujebezbednosnu kulturu i bezbednosne veštine.

Potrebno je dobro vođstvo ISMS-a da bi se stvorio tim koji će uspešno unaprediti primenuISMS-a, što će osnažiti i motivisati osoblje da bude proaktivni sledbenik i pristalica pomažućiu zaštiti organizacije. Dobar vođa ISMS-a biće strastven u uspehu u upravljanju rizicimainformacione bezbednosti sa kojima se organizacija suočava. Rukovodstvo ISMS-a trebalobi da nastoji da inspiriše druge da na informacionu sigurnost gledaju kao na poslovnumogućnost, sa vizijom pretvaranja rizika od informacione sigurnosti u poslovnu priliku.

Vođstvo se razlikuje od upravljanja - prvo motiviše i inspiriše, stvara viziju i usmeravaljude u pravom smeru, dok drugo upravlja, kontroliše i prati viziju i organizuje ljude. IISMS rukovodstvo i ISMS upravljanje zajedno postižu efikasan, robustan, elastičan ISMS.Rukovodstvo će biti prvak ISMS-a, a uprava će kontrolisati i upravljati ISMS-om.

ULOGE I DUŽNOSTINeophodno je da uloge i odgovornosti budu jasno definisane idodeljene

Svakodnevne radne i operativne aktivnosti efikasno funkcionišu i pravilno upravljanjeosobljem, na svim nivoima u celoj organizaciji, može doprineti efikasnom poslovnomokruženju za bezbednost informacija. To delimično zahteva dobru kulturu bezbednostiinformacija u okviru organizacije, sa odgovarajućom svešću i razumevanjem problema rizikainformacione bezbednosti i jasnim linijama odgovornosti i odgovornosti.

Neophodno je da uloge i odgovornosti za zaštitu određenih vrsta informacija ili informacionihsistema ili za izvođenje određenih procesa vezanih za informacionu sigurnost budu jasnodefinisane i dodeljene. Na primer:

19

• Vlasniku informacionog sistema treba dati odgovornost za informacionu bezbednosti odgovornost za taj sistem (naravno, ti vlasnici mogu tu svakodnevnu primenubezbednosti preneti na drugog pojedinca ili na pružaoca usluga, ali na kraju ostajuodgovoran za zaštitu sistema i upravljanje rizicima informacione sigurnosti);

• Menadžer ličnih podataka;• Vlasnik preduzeća - određeno odeljenje / grupa (osigurava sprovođenje politike i

procedura, definiše upotrebu i klasifikaciju informacija za informacije u njihovompritvoru, dodeljuje čuvare informacija, definiše pristupne uloge i privilegije, sprovodiobuku i svest osoblja i pruža zaštitu ličnih podataka pod njihovom kontrolom);

• Glavni službenik za informacionu bezbednost (CISO);• Tim za odgovor na incidente informacione bezbednosti;• Menadžer za kontinuitet poslovanja;

• Interni revizori;• Menadžer ljudskih resursa;• Menadžer IT usluga (upravljanje IT uslugama, oporavak od IT katastrofa,• učešće u upravljanju incidentima);• IT i mrežni administratori / menadžeri (upravljanje mrežom, sigurne mrežne tehnologije,

uključivanje u upravljanje incidentima);• Ovlašćeni korisnici informacionih sistema.

Pored toga, svo osoblje će imati generalnu odgovornost za informacionu sigurnost u vezi sasvojim svakodnevnim radom.

Poglavlje 4 Liderstvo

20

Poglavlje 5

Resursi

RESURSI.Rukovodstvo mora da obezbedi da za određene zadatke bezbednostiinformacija ima prave ljude, sa pravim veštinama i znanjem iiskustvom

Rukovodstvo mora da obezbedi da za određene zadatke bezbednosti informacija ima praveljude, sa pravim veštinama i znanjem i iskustvom. To može značiti regrutovanje ljudi koji imajuodgovarajuće postojeće veštine i iskustva ili vrbovanje ljudi i pružanje programa obuke za njihkako bi razvili prave veštine i iskustva. Pored toga, svo osoblje koje radi na polju informacionebezbednosti, bilo sa iskustvom ili onima na obuci, mora biti u toku kako se problemi i rizici uinformacionoj bezbednosti neprekidno razvijaju, kao i tehnologija i poslovne prakse.

Svaka organizacija teži da ima ljudske resurse sa određenim osnovnim kompetencijama, amnoge organizacije traže osoblje sa veštinama informacione sigurnosti. Tržište se širi, postajesve poletnije i postaje visoko konkurentno. Mnogo godina su organizacije regrutovale osobljeza bezbednost informacija sa praktičnim iskustvom, praktičnim znanjem i odgovarajućimreferencama. Iako je ovo još uvek opšta osnova za zapošljavanje, sve više organizacijaje počelo da zahteva da kandidati imaju tržišno dokazane profesionalne kvalifikacije, ličnesertifikate i, u nekim slučajevima, univerzitetske kvalifikacije ili kombinaciju oba.

Trenutno tržište obrazovanja i obuke pruža sertifikovane kvalifikacije, na primer, u oblastimakao što su:

• Revizija informacione bezbednosti;• Upravljanje informacionom sigurnošću;• Upravljanje rizikom;• Osiguranje informacija;• Upravljanje;• IT sigurnost;• Fizička sigurnost.

Mnogi univerziteti širom sveta sada nude module za informacionu sigurnost i informatičkusigurnost kao deo stepena bachelor of science, neki nude magistre nauka iz oblastiinformacione sigurnosti, a neki vode doktorske studije u istraživanju informacionebezbednosti.

21

OBUKA I SVESTOrganizacija mora da osigura da osoblje bude svesno rizika inform,bezb. i da ima dovoljno razumevanja da podrži politiku bezb. inf.org.dabi obavljalo svoje uobičajene radne zadatke

Organizacija mora da osigura da osoblje bude svesno rizika informacione bezbednosti ida ima dovoljno razumevanja da podrži politiku bezbednosti informacija organizacije dabi obavljalo svoje uobičajene radne funkcije i zadatke. Osoblje treba da bude obučeno zaupotrebu politika i postupaka bezbednosti informacija, bezbednosnih kontrola primenljivih nanjegovu funkciju posla i pravilnu upotrebu IT-a (npr. Procedure prijavljivanja, čuvanje lozinkina sigurnom, odgovarajuću upotrebu IT-a).

Modeli obuke

Organizacija može primeniti različite metode kako bi svojim zaposlenima pružila efikasnusvest o bezbednosti informacija i obuku. Metode koje organizacija odabere zavisiće odposlovne kulture i njenih operativnih potreba. Stoga, program svesti o informacionojbezbednosti i program obuke treba da bude prilagođen specifičnostima organizacije. Trebalibiste naizmenično koristiti različite metode, možda uvodeći element motivacijske nastavezajedno sa praktičnom interaktivnošću.

• Obuka u učionici može biti visoko interaktivna - takva obuka može varirati odpoludnevnih / jednodnevnih uvodnih / početnih kurseva, do različitih srednjih / naprednihtrodnevnih do petodnevnih kurseva koji pokrivaju niz specifičnih tema .

• Obuka i svest zasnovana na računaru / mreži zasnovana na mreži dobra je metodaza jačanje principa informacione bezbednosti i određenih tema. Takva obuka može seizvoditi kao skup modula, interaktivnih ili neinteraktivnih, i biti dostupna osoblju u vremei na mestu pogodno za pojedinca.

• Seminari, radionice, okrugli stolovi i prezentacije posebno su pogodni za uvođenje novihtema i za organizacije sa više lokacija;

• Video zapisi su takođe efikasan način za pružanje obuke o raznim temama.• Posteri pružaju vizuelno pojačanje principa bezbednosti informacija i određenih tema.• Dostupna je obuka na radnom mestu / des-top.• Interni imejlovi se mogu koristiti za podsećanje, pojačavanje i pružanje ažuriranja o

organizacionim politikama i procedurama.

Poglavlje 5 Resursi

22

Poglavlje 6

Zaključak

ZAKLJUČAKRezime

Implementacija zahteva ISO / IEC 27001 pokriva mnoge različite zadatke, aktivnosti i procesekoje treba izvršiti, a oni su povezani sa nizom specifičnih tema koje će stručnjaci zainformacionu sigurnost, praktičari i ostalo osoblje trebati da imaju znanje i da ih razvijajuiskustvo u, u zavisnosti od njihove posebne funkcije posla. Na primer, internom ISMS revizoruće biti potrebno znanje o postupku i metodama revizije, dok će ISMS menadžeru rizika trebatiznanje i veštine o principima upravljanja rizicima.

LITERATURAReference

1. Calder, Alan. ISO27001/ISO27002: A pocket guide. IT Governance Publishing, 2013.2. Humphreys, Edward. Implementing the ISO/IEC 27001: 2013 ISMS Standard. ArtechHouse, 2016.3. Ghazouani, Mohamed & Medromi, Hicham & Boulafdour, Brahim & Sayouti, Adil.(2013). A model for an Information security management system (ISMS Tool) basedmulti agent system.4. https://www.isms.online/iso-27001/actions-to-address-risks-opportunities/5. https://www.isms.online/iso-27001/information-security-risk-assessment/6. https://www.itgovernance.co.uk/blog/7-steps-to-a-successful-iso-27001-risk-assessment7. https://www.itgovernance.co.uk/blog/how-to-create-an-iso-27001-compliant-risk-treatment-plan#:~:text=An%20RTP%20(risk%20treatment%20plan,will%20respond%20to%20identified%20threats.

23

https://www.isms.online/iso-27001/actions-to-address-risks-opportunities/

https://www.isms.online/iso-27001/information-security-risk-assessment/

https://www.itgovernance.co.uk/blog/7-steps-to-a-successful-iso-27001-risk-assessment

https://www.itgovernance.co.uk/blog/7-steps-to-a-successful-iso-27001-risk-assessment

https://www.itgovernance.co.uk/blog/how-to-create-an-iso-27001-compliant-risk-treatment-plan#:~:text=An%20RTP%20(risk%20treatment%20plan,will%20respond%20to%20identified%20threats




Kontrole za modifikovanje rizikaLekcija 05

www.princexml.com




KONTROLE ZA MODIFIKOVANJE RIZIKA

Kontrole za modifikovanje rizikaPoglavlje 1: Određivanje kontrolaPoglavlje 2: Sistem kontrolaPoglavlje 3: Politike i procedurePoglavlje 4: Primeri kontrolaPoglavlje 5: Kontrole specifične za određeni sektorZaključak




Uvod

UVODUvod

Kao što je pomenuto u prethodnoj lekciji („Upravljanje rizicima“) , verzija ISO / IEC 27001iz 2013. godine zadržava opšte principe lečenja rizika specificirane u verziji iz 2005. godine- određuje mogućnost ili opcije za lečenje rizika; identifikovati, odrediti ili odabrati kontrole;da izjavu o primenljivosti; izraditi plan lečenja rizika; dobiti odobrenje i odjavu sa plana ipreostalih rizika. Postoji, međutim, glavna specifična razlika, koja se odnosi na bezbednosnekontrole korišćene u procesu lečenja rizika između verzije iz 2005. i 2013. godine. U verziji iz2005. kontrole su izabrane iz Anex A standarda; međutim, u verziji za 2013. godinu kontrolenisu odabrane iz Aneksa A, već su određene dizajnom ili identifikovane iz drugih izvora (npr.kodeksi prakse, industrijski standardi,

3

Poglavlje 1

Određivanje kontrola

PROCES ODREĐIVANJA KONTROLNOG SETAKontrole za primenu opcije lečenja rizika biraju se na osnovu njihovesposobnosti modifikovanja rizika

Kontrole za primenu opcije lečenja rizika biraju se na osnovu njihove sposobnostimodifikovanja rizika. Na primer, kontrola ili skup kontrola u kombinaciji mogu se koristitiza sprečavanje, otkrivanje, smanjenje ili ispravljanje neželjenih efekata incidenta, kršenja ilikompromisa u informacionoj bezbednosti. Kontrole koje se koriste za sprečavanje incidentainformacione bezbednosti uključuju one kontrole koje u prvom redu smanjuju verovatnoćuda se incident dogodi. Na primer, instalacija softvera za otkrivanje malvera može se koristitiza sprečavanje zaraze IT sistema i naknadnog gubitka, oštećenja ili uništavanja informacija.Dobro napisani i pravilno primenjeni plan i postupak oporavka od katastrofe mogu smanjitiposledice / uticaj na organizaciju u slučaju katastrofe.

Neke kontrole su u stanju da otkriju indikacije da će se dogoditi incident ili napad nainformacionu bezbednost. Ako se na tako detektovane indikacije efikasno reagujeblagovremeno, oni mogu smanjiti potencijalni uticaj napada. U nekim slučajevima oni uopštemogu zaustaviti napad.

Ako znanje stečeno na osnovu programa svesti i obuke zaposlenih o informacionojbezbednosti zaposleni na odgovarajući način primene u svakodnevnim poslovima, todoprinosi smanjenju verovatnoće i uticaja napada. Na primer, ako zaposleni znaju kada, kakoi zašto treba da izveštavaju o potencijalnim događajima koji bi mogli biti preteča ili indikatornapada ili incidenta u informacionoj bezbednosti, onda ovo pomaže u analizi i odgovoru, štokasnije može pomoći u smanjenju potencijalni uticaj napada. Jednako ako zaposleni znaju štatreba da učine kako bi zaštitili osetljive informacije koje obrađuju prateći proceduru kompanijekoja daje uputstva o tome kako da zaštite te informacije, onda doprinose smanjenjuverovatnoće da će osetljive informacije procuriti ili biti ukradene.

PROCES ODREĐIVANJA KONTROLNOG SETA -NASTAVAKPri određivanju kontrola koje su potrebne za modifikovanje rizikaidentifikovanih u procesu procene rizika, takođe je važno uzeti u obzirsve postojeće kontrole

4

Dakle, pri određivanju kontrola potrebnih za (a) smanjenje posledica i / ili (b) verovatnoćerizika, treba uzeti u obzir u kojoj meri kontrola:

• Smanjuje verovatnoću da se dogodi ISMS napad povezan sa rizikom (što može značitismanjenje ili uklanjanje slabosti ili ranjivosti u poslovnim sistemima ili procesima,poboljšavajući efikasnost kontrole kako bi se sprečilo da se incident sa informacionomsigurnošću realizuje );

• Smanjuje posledice ili uticaje napada, incidenta ili događaja (što može značiti primenukontrola koje će reagovati na incident informacione bezbednosti koji se dešava ili seočekuje da će ograničiti ili smanjiti posledice incidenta ili ispraviti efekte i uticajiincidenta informacione bezbednosti);

• Otkriva i reaguje na prethodnike i indikatore napada, incidenta ili događaja;• Sprovodi preventivne akcije protiv buduće pojave napada, incidenta ili događaja;• Sprovodi korektivne mere za uklanjanje uzroka prošlog napada, incidenta ili događaja.

Postojeći kontrolni setovi

Pri određivanju kontrola koje su potrebne za modifikovanje rizika identifikovanih u procesuprocene rizika, takođe je važno uzeti u obzir sve postojeće kontrole. Bilo koji sistem kontrolamora sarađivati, pa je neophodno razumeti koje kontrole već postoje i kakvu ulogu i efekatimaju u modifikovanju rizika. Takođe je važno proveriti da li se bilo koja nova kontrola kojase planira za sprovođenje sukobljava sa postojećim skupom, da li postoji višak ili koliko ćeefikasno raditi zajedno i međusobno se povezivati.

Poglavlje 1 Određivanje kontrola

5

Slika 2.1 Kontrolni okvir

Poglavlje 2

Sistem kontrola

KONTROLNI OKVIRKontrole se određuju kao deo procesa lečenja rizika na osnovu toga štosu u stanju da modifikuju rizike identifikovane u procesu procene rizika

Kontrole se određuju kao deo procesa lečenja rizika na osnovu toga što su u stanju damodifikuju rizike identifikovane u procesu procene rizika. Kontrole mogu biti u mnogimoblicima kao što su politike i procedure, procesi, planovi ili tehnike. Važno je imati na umuda je ISO / IEC 27001 standard sistema upravljanja, a predmet zaštite su informacije, pa sukontrole upravljačke orijentisane kontrole, a ne IT kontrole, jer ovaj standard nije IT standardbezbednosti. Na slici 1 prikazan je tipičan sistem kontrola.

SISTEM KONTROLEPolitika i proceduralne kontrole

Primeri kontrola politike i postupka uključuju:

• Politika bezbednosti informacija;• Politika prihvatljive upotrebe;• Politika i postupci rukovanja i prenosa informacija;• Politika i postupci kontrole pristupa;• Rezervne procedure;• Sigurne operativne procedure;• Politike bezbednosti mreže i komunikacije;• Postupci za kontrolu sistemskih promena (i procesi);

6

• Procesi regrutovanja;• Upravljanje incidentima informacione bezbednosti;• Postupci koji se odnose na operativni i aplikativni softver;• Postupci koji se odnose na rad u zaštićenim oblastima.

KONTROLE PROCESAPrimeri kontrola procesa

Primeri kontrola procesa uključuju:

• Dodeljivanje organizacionih uloga, odgovornosti i ovlašćenja relevantni za ISMS;• Procena rizika i procesi lečenja;• Procesi upravljanja dokumentima;• Procesi za utvrđivanje kompetentnosti u vezi sa performansama ljudskih resursa i

bezbednosti informacija;• Procesi za određivanje resursa za ISMS;• Procesi autorizacije upravljanja;• Interne i eksterne komunikacije;• Procesi praćenja i procene učinka;• Interne revizije ISMS-a;• Pregledi menadžmenta;• Procesi regrutovanja;• Disciplinski procesi;

• Procesi promene ili prekida radnog odnosa;• Procesi registracije i odjave korisnika za pristup;• Procesi pružanja formalnog korisničkog pristupa;• Upravljanje incidentima informacione bezbednosti;• Rezervni procesi;• Prenosne aktivnosti.

KONTROLE PRAKSE,PROGRAMI,PRAVNE KONTROLE IPLANOVIPrimeri kontrolnih praksi, programa i pravnih kontrola

Primeri kontrolnih praksi uključuju:

• Organizacione radne prakse;• Operativne prakse;• Prakse zapošljavanja;• Pravne prakse;• Najbolje prakse specifične za sektor

Programi

Poglavlje 2 Sistem kontrola

7

Primeri kontrolnih programa uključuju:

• Interni ISMS programi revizije;• Programi zapošljavanja;• Programi svesti i obuke.

Pravne kontrole

Primeri pravne kontrole uključuju:

• Ugovori koji sadrže sigurnosne zahteve;• Ugovori o nivou usluge;• Zakoni i propisi, direktive.

Primeri planova uključuju:

• Vežbe procene rizika;• Interne revizije ISMS-a;• Planiranje kapaciteta;• Oporavak od katastrofe;• Kontinuitet poslovanja.

Poglavlje 2 Sistem kontrola

8

Poglavlje 3

Politike i procedure

OPŠTI PRINCIPIPolitike informacione sigurnosti mogu biti ili visoki nivo politike ili dubljinivo politike

Politike informacione sigurnosti mogu biti ili visoki nivo politike ili dublji nivopolitike. ISO / IEC 27001 (tačka 5.2) posebno se odnosi na politiku najvišeg menadžmenta;ovo je obično politika na visokom nivou. Organizacija takođe može imati politike i procedurena različitim nivoima detalja usmerene na određene teme kao što su (a) smernice za mobilneuređaje, (b) politike kontrole pristupa, (c) politike jasnih stolova, (d) politike rezervnih kopija i(e) politike o upotrebi kriptografskih kontrola.

Politika bezbednosti informacija najvišeg rukovodstva (ISO / IEC 27001, tačka 5.2) treba dabude direktiva i izjava na visokom nivou koja odgovara organizaciji i njenom poslovanju.Takva politika uključuje ciljeve informacione sigurnosti, posvećenost zadovoljavanju zahtevazainteresovanih strana (ISO / IEC 27001, tačke 4.1 i 4.2) i obavezu kontinuiranog unapređenjaISMS-a (ISO / IEC 27001, tačka 10).

Ova politika bezbednosti informacija treba da bude napisana na način da stil i sadržaj nezavise od bilo koje određene veštine, specijalističkog ili tehničkog znanja; takođe bi trebalo dase saopšti svima u organizaciji i drugim zainteresovanim stranama kada i gde je to potrebno.Sadržaj treba da bude razumljiv nekome ko nije specijalista (npr. Neko ko nije obučen zafinansije preduzeća ili nema veštine u ljudskim resursima). Drugim rečima, trebalo bi da senavedu ciljevi bezbednosti informacija koje generalno razume celo osoblje, a ne samo oni savisoko tehničkim predznanjem ili određenim profesionalnim kvalifikacijama ili veštinama.

Dužina dokumentovane politike (broj stranica) nije navedena u standardu. Neke organizacijeproizvode takve politike od jedne do tri stranice, druge mogu odlučiti da naprave politikeveće dužine i obima teksta. Na organizaciji je da odluči o dužini, obimu i detaljima teksta usvojoj politici srazmerno njenim poslovnim ciljevima, strategiji i kulturi. Ono što je još važnijeje da sadrži dovoljno informacija da na jasan način prenose ciljeve i ideje na koje smo ranijegovorili.

ŠIRI ASPEKTI POLITIKE BEZBEDNOSTI INFORMACIJAAspekti politike bezbednosti

Širi aspekti politike bezbednosti informacija na svim nivoima detalja treba da budu:

9

• Dati jasnu definiciju opsega bezbednosti informacija, naglasiti njegovu važnost zaposlovanje i razjasniti koji su ciljevi bezbednosti poslovnih informacija (npr. U pogledupoverljivosti, integriteta i dostupnosti njegovih informacija);

• Upoznajte osoblje sa svojim dužnostima i odgovornostima u vezi sa zaštitom podatakanad kojima organizacija ima kontrolu (npr. Njihova odgovornost da rukuje i obrađujekompaniju ograničena i poverenje na način koji je štiti od kompromisa);

• Navedite šta je prihvatljivo, a šta neprihvatljivo u pogledu ponašanja i upotrebe njegovihresursa (npr. Prihvatljivo korišćenje sistema e-pošte kompanije);

• Jasno objasniti njegove obaveze da svoje poslovanje obavlja u skladu sa zakonima ipropisima, ugovornim obavezama, najboljom praksom i standardima kojih se osobljetakođe mora pridržavati (npr. Poštovanje zakona o autorskim pravima, privatnostipodataka / zaštiti i upotrebi računara / zloupotreba / zloupotreba);

• Navedite referencu na sve druge dokumente o politici koje osoblje treba da budeupoznato i da ih treba poštovati (npr. Detaljnije bezbednosne politike i postupci, kaoi sve druge relevantne postupke koji nisu nužno direktno povezani sa bezbednošću).To bi mogle biti politike specifične za industriju, poput onih preduzeća koja se morajubaviti ekološkim pitanjima, aspektima zdravstvene zaštite, proizvodnje farmaceutskihproizvoda ili bezbednosti hrane.

ODOBRENJE KOMUNIKACIJA I SVESTPolitike i procedure informacione bezbednosti treba da odobri i potpišeneko sa rukovodstvom, koji ima ovlašćenja i ima status odgovornoglica

Politike i procedure informacione bezbednosti treba da odobri i potpiše neko sarukovodstvom, koji ima ovlašćenja i ima status odgovornog lica. Ovim se postiže jedanod ciljeva politike bezbednosti informacija (tj. Da se ukaže na posvećenost i podrškumenadžmenta).

Politike i procedure informacione bezbednosti treba da se prenesu svom osoblju. Nekeorganizacije prikazuju svoje politike na zidovima kancelarija, računarskim sobama i drugimdelovima kako bi osigurale da budu neprekidno dostupne i vidljive. Mnoge organizacije danaspribegavaju korišćenju elektronskih sredstava za distribuciju i imaju na raspolaganju svojepolitike i postupke putem svoje interne mreže. Drugi se odlučuju da distribuiraju u papirusamo za osoblje koje drži na svom radnom mestu. Kakva god metoda da se koristi, pravila nebi trebalo sakriti i zaboraviti.

Osoblje mora biti ne samo upoznato sa politikom, već i razumeti njen sadržaj i ono što govorio njihovim specifičnim odgovornostima i dužnostima u vezi sa informacionom sigurnošću.Osoblje mora redovno čitati, razumeti i osvežavati svoje razumevanje sadržaja politika iprocedura.

Poglavlje 3 Politike i procedure

10

Poglavlje 4

Primeri kontrola

PREGLEDOvaj odeljak pruža nekoliko primera politike i proceduralnih kontrola

Ovaj odeljak pruža nekoliko primera politike i proceduralnih kontrola. Ovi primeri pružajudetalje o tome šta bi obično moglo biti uključeno u politiku i proceduralne kontrole. Primerinisu gotov proizvod takvih kontrola; oni su samo primeri i treba ih čitati i smatrati takvima.Gotov proizvod bi trebalo prilagoditi samoj organizaciji i njenim zahtevima i ciljevima. Unekim slučajevima (npr. Politika prihvatljive upotrebe), organizacija bi trebala da način izradetakvih politika i postupaka izradi rukovodstvo i proveri pravni stručnjaci i ljudski resursi,jer će sadržaj i tekst takvih politika zavisiti od primenjuje se jurisdikcija države u kojojse koriste. Dodatne informacije o operativnim kontrolama, poput procesa izrade rezervnihkopija, postupaka upravljanja incidentima informacione sigurnosti i planovi kontinuitetaposlovanja, biće date u lekciji 7.

4.1 Politika prihvatljive upotrebe

POLITIKA PRIHVATLJIVE UPOTREBE.

Mnoge organizacije dozvoljavaju svom osoblju pristup Internetu zaličnu upotrebu kao gest dobre volje za poboljšanje odnosa sazaposlenima

Mnoge organizacije dozvoljavaju svom osoblju pristup Internetu za ličnu upotrebu kao gestdobre volje za poboljšanje odnosa sa zaposlenima. U takvim slučajevima, kao i opštaupotreba imovine i resursa organizacije za poslovanje, vrlo je dobra ideja uspostavitiprihvatljivu politiku upotrebe (AUP) s obzirom na upotrebu resursa organizacije - posebnonjenih IT sistemi koji su primenjeni za e-poštu, pristup Internetu i usluge. Politika AUPobrađena je u ISO / IEC 27001 A.8.1.3 pod Upravljanje procenom.

Osnovna namera takve politike bila bi da zaštiti organizaciju, njeno osoblje i rukovodstvo,njene poslovne partnere i kupce i dobavljače od pojedinaca umešanih u bilo kakvenezakonite, inkriminišuće i / ili štetne radnje, bilo svesno ili ne znajući. Posledice takvih radnjimogu izložiti organizaciju i njeno osoblje, poslovne partnere, kupce i dobavljače nizu rizika,uticaja i možda građanskim i krivičnim pravnim postupcima, radnjama i tužbama.

11

Sledi reč opreza u vezi sa sadržajem AUP-a. Organizacija koja izričito ne navede šta nijeprihvatljivo, a šta zabranjeno može se suočiti sa nekim pitanjima odnosa sa osobljem. Naprimer, član osoblja je otpušten zbog neprihvatljive upotrebe Interneta za ličnu upotrebu.Organizacija se suočava sa rizikom da član osoblja preduzme zakonske mere zbognepravednog otpuštanja i zahteva naknadu jer aktivnosti kojima su se bavili nisu izričitozabranjene. Uvek je dobra praksa da se osoblju jasno stavi do znanja da je pristup Internetui objektima za e-poštu za ličnu upotrebu privilegija, a ne pravo. Potrebno je potražiti pravnisavet i kadrovske savete o sadržaju takve politike.

ODREDBE OPTŠE POLITIKE

Odredbe opšte politike

Pri izradi ove vrste politike treba uzeti u obzir sledeće napomene. Politika treba da:

• Prijavite se za sve nivoe osoblja, kao i za dobavljače, konsultante i druge pojedince kojeorganizacija može zaposliti na kratkoročni ili privremeni način;

• Dati jasnu definiciju onoga što se smatra ličnom upotrebom, uključujući informacije otome koliko je vremena pristupa prihvatljivo i kada je lični pristup dozvoljen, kao i izričitonavodeći da bi korisnik trebalo da dobro prosuđuje u pogledu razumnosti lične upotrebe;

• Dajte jasno upozorenje na ono što je strogo zabranjeno i zabranjeno, uključujući sledeće:• Pristup pornografskim ili nepristojnim veb lokacijama i preuzimanje materijala sa ovih

veb lokacija;• Korišćenje soba za ćaskanje ili usluga razmene poruka na mreži za razmenu informacija,

komentara ili mišljenja koji su seksistički, rasistički ili bilo koji koji će prouzrokovatiuvrede, a to uključuje i upotrebu uvredljivog i nepristojnog jezika;

• Bilo koje aktivnosti ili transakcije koje su prevarne ili su namenjene obmanjivanju ili gdese korisnik predstavlja kao drugi korisnik;

• Sve aktivnosti ili ponašanje koje mogu pružiti neovlašćeni pristup informacijama drugihorganizacija, njihovim sistemima i mrežnim uslugama koje koriste, kao i uzrokovanjeprekida ili uskraćivanja usluga ili oštećenja ili gubitka informacija ili resursa za obradu.

• Dati upozorenja u vezi sa potrebom da se poštuju bilo koja autorska prava, digitalnaprava i zahtevi za licenciranje i ograničenja u vezi sa materijalom na veb lokacijama;

• Dati uputstva u vezi sa preuzimanjem materijala sa Interneta, uključujući merepredostrožnosti koje treba preduzeti kako bi se izbeglo preuzimanje zlonamernog kodakao što su virusi, crvi i trojanski konji i slični izvršni programi;

• Dati jasnu izjavu o tome koje disciplinske mere treba preduzeti ako se osoblje nepridržava smernica;

• Navedite koja su pravila organizacije u vezi sa njenim pravom na redovnu ili periodičnureviziju i nadgledanje mreža i sistema. Osoblje treba upozoriti da se njihov pristupInternetu i upotreba e-pošte mogu nadgledati u skladu sa zakonima u bilo kojojnadležnosti u kojoj organizacija posluje.

Poglavlje 4 Primeri kontrola

12

ODREDBE OPTŠE POLITIKE - NASTAVAK

Napomena o tome šta bi ovo moglo uključivati mogla bi biti korisnaosoblju kao mera opreza

Napomena o tome šta bi ovo moglo uključivati mogla bi biti korisna osoblju kao mera opreza.Na primer, činjenica da su veb lokacije koje su korišćene može se pratiti, učestalost pristupa ivreme provedeno na takvim veb lokacijama pojaviće se u tragu revizije, kao i situacija u vezisa korišćenjem Internet resursa za lične transakcije (npr. , Internet bankarstvo, rezervacijei porudžbine). Konsultacije sa pravnim i kadrovskim osobljem treba da budu angažovane uizradi ovih vrsta politika.

POSEBNE ODREDBE POLITIKE

Posebne odredbe politike organizacije

Posebne odredbe politike mogu uključivati sledeće:

• Upozoravajući korisnike da drugima ne otkrivaju lozinku za nalog ili da drugimadozvoljavaju upotrebu vašeg računa, što uključuje one koji nisu u organizaciji, poputporodice ili prijatelja, u slučaju da se laptop koristi van lokacije;

• Upozoravajući korisnike da daju izjave u vezi sa garancijama, licencama ili bilo kojimdrugim izjavama koje mogu pravno obavezati organizaciju, izričito ili podrazumevano,osim ako je to deo uobičajenih korisničkih dužnosti i ako je dato prethodno odobrenje zasprovođenje ove radnje;

• Odražavajući zahteve organizacije za zaštitom informacija koje osoblje stvara na svojimsistemima i onoga što se smatra prihvatljivom (i legalnom) upotrebom šifriranja zainformacije koje se smatraju osetljivim ili posebno ranjivim;

• Nadgledanje i / ili presretanje komunikacione mreže ili usluge u svrhu presretanjapodataka (osim ako, naravno, ova aktivnost nije deo njihove radne funkcije i ako jeprethodno dato odobrenje i dozvoljeno je u jurisdikcijama obuhvaćenim ovimaktivnostima ). Na primer, zakon Ujedinjenih nacija o regulatornim istražnimovlašćenjima (RIPA) pokriva neke takve aktivnosti.

4.2 Politika i procedure za rukovanjeinformacijama

OSNOVNA IDEJA I UPRAVLJANJE INFORMACIJAMA

Cilj ovih postupaka za informacionu sigurnost je osigurati da svoosoblje zna šta treba učiniti da postupa sa informacijama na način kojištiti njihovu poverljivost, integritet i dostupnost


13

Cilj ovih postupaka za informacionu sigurnost je osigurati da svo osoblje zna štatreba učiniti da postupa sa informacijama na način koji štiti njihovu poverljivost,integritet i dostupnost - bilo da se radi o obradi, skladištenju i arhiviranju, distribuciji,kopiranju ili odlaganju informacija .

Upravljanje informacijama

Informacije koje se generišu i / ili kreiraju korišćenjem resursa organizacije (novac, osoblje,IKT sistemi i druge informacije, posebno one koje poseduje organizacija) obično se smatrajuvlasništvom organizacije i organizacija postaje njen vlasnik. Kako su krajnja odgovornost zasvu imovinu organizacije viši rukovodioci i direktori i izvršni direktori, oni su odgovorni za oveinformacije.

Često se odgovornost za svakodnevno upravljanje informacijama prenosi na određene grupe,odeljenja, funkcionalne jedinice i / ili pojedince u organizaciji. Skrbnici unutar ovih grupatada dobijaju individualne operativne odgovornosti da budu „vlasnik / staratelj“, što znači datreba da upravljaju ovom imovinom i da osiguraju da im se pruži odgovarajući nivo zaštite.U oblasti zaštite podataka sa ulogama kontrolora podataka i korisnika podataka, obe oveuloge povezane su sa različitim informacionim odgovornostima. Mogao bi takođe biti slučajda se informacijama upravlja i obrađuje ugovorom o prenosu spoljnih poslova trećoj strani.U svim slučajevima delegiranja, starateljstva i prenosa spoljnih izvora krajnja odgovornostove imovine je na direktorima i izvršnim direktorima, a njihova je odgovornost da osigurajunjihovo bezbedno čuvanje i dobrobit organizacije. ISMS uključuje neprekidni proces vežbanjapravih stvari koje se za posao čine sa dužnom pažnjom i marljivošću kako bi se informacijezaštitile od niza pretnji i rizika. To znači da osoblje mora da koristi informacije i resurseorganizacije na prihvatljiv i pravilan način kako bi izbeglo bezbednosne mere i / ili pravnekomplikacije i radnje.

Informacije treba ocenjivati na odgovarajući način prema stepenu osetljivosti i / ili kritičnosti.To omogućava organizaciji da može da primeni pravu količinu zaštite za informacijesrazmerne ovim nivoima osetljivosti. Postoji mnogo imena i nivoa ocenjivanja koji se mogudodeliti informacijama.

PRIKUPLJANJE, KREIRANJE I OBRADA INFORMACIJA

Prikupljanje i kolekcija informacija normalna je funkcija većineorganizacija

Prikupljanje i kolekcija informacija normalna je funkcija većine organizacija. To može bitikroz istraživanje tržišta, istraživanje aktivnosti kupaca (vrste potrošnje, sezonske oscilacije),ankete kupaca i povratne informacije i druge oblike istraživanja. Postoje neke pravne,ugovorne i bezbednosne implikacije o prikupljanju informacija kojih bi organizacije trebalebiti svesne i na koje treba obratiti pažnju. Najistaknutiji su naravno lični podaci: šta semože prikupiti, šta se sa tim podacima radi i koje su kontrole potrebne da bi se zaštitili odzloupotrebe ili zloupotrebe. Druga oblast pažnje je intelektualna ispravnost i autorska pravavezana za elektronske i neelektronske informacije i digitalna prava, upravljanje digitalnimpravima (DRM) i prava pojedinaca.


14

Aktivnosti obrade informacija mogu značiti mnogo stvari, ali sve imaju zahteve zainformacionom sigurnošću kako bi se osigurala očuvanje poverljivosti, integriteta idostupnosti informacija. To znači raditi „prave“ stvari u „pravo“ vreme (efikasnost obrade),obaviti te stvari (efikasnost obrade) i učiniti ih „ispravno“ (efikasnost obrade).

Većina informacija koje organizacija obrađuje od vitalnog je značaja za njeno poslovanje,bilo da obrađuje narudžbe, račune i izvode kupaca, mrežne transakcije (kupovina i prodajaproizvoda), formalne račune preduzeća i poreske evidencije ili druge poslovne procese.Važno je ispravno shvatiti da se izbegne gubitak novca, vremena, produktivnosti, kredibilitetai eventualno kupaca netačnim unosom podataka i obradom ovih podataka i naknadnimrezultatima sa greškama i greškama. Neki od ovih problema su uzrokovani ljudskimgreškama, nedostatkom obuke za korišćenje aplikacija za obradu, softverskim nedostacima,sistemskim neispravnostima i kvarovima, oštećenjem podataka i gubitkom podataka ilineovlašćenim modifikovanjem.

Neke informacije i podaci mogu se obrađivati van lokacije, na primer, član osoblja koji koristilaptop računar za obradu informacija dok je u poslu u kancelariji klijenta, kod kuće ili najavnom mestu. Kompanija sa upravljanim uslugama, prema ugovoru o prenosu spoljašnjihizvođača, može obrađivati informacije. Bez obzira na poslovni slučaj, zaštiti ovih informacijatokom obrade treba pružiti barem isti nivo zaštite kakav bi dobili na licu mesta.

SKLADIŠTENJE INFORMACIJA ( ELEKTRONSKI )

Čuvanje informacija

Elektronski

Uz današnju tehnologiju, organizacije i korisnici imaju mnogo načina za skladištenjeinformacija:

• Mrežni serveri;• Čvrsti diskovi (unutrašnji i spoljni);• Optički diskovi (npr. CD-ovi i DVD-ovi);• Flash memorijski uređaji (npr. USB memorije, SD kartice, memorijske kartice),• CompactFlash kartice;• Tableti, iPad, iPod i MP3 plejeri i druge slične tehnologije.

Bez obzira na to koja se sredstva i metode skladištenja koriste, treba se pozabavitisigurnošću: osigurati da su poverljive informacije zaštićene kako bi se sprečilo neovlašćenootkrivanje, da integritet informacija ostane netaknut (tj. Da se ne menja, ne menja ili neoštećuje tokom skladištenja) i da informacije su dostupne svima kojima su potrebne. Trebauspostaviti jasnu politiku o tome koje mere zaštite moraju biti na snazi da bi se zaštitilanjegova poverljivost, integritet i dostupnost. Osetljivije i / ili kritičnije informacije treba čuvatipomoću segmentacije memorije ili pejdžinga, kriptografske tehnologije i / ili jakog sistemakontrole pristupa.


15

SKLADIŠTENJE INFORMACIJA ( U PISANOJ FORMI)

Informacije u papirnom obliku zahtevaju isto toliko pažnje kao iinformacije u elektronskom obliku

Informacije u papirnom obliku zahtevaju isto toliko pažnje kao i informacije u elektronskomobliku. Ovo treba da uključuje:

• Fizička zaštita osetljivih i / ili kritičnih informacija zaključavanjem papira, dokumenata iizveštaja u ormariće sa zaključavanjem, ladice stolova ili sefovi kako bi se rizik smanjio naodgovarajući nivo, kao i pružanje standardnog fizičkog obezbeđenja zgrade, kancelarija isoba;

• Fizičko odvajanje radova koji imaju različitu klasifikaciju informacija;• Treba uspostaviti jasnu politiku radnog stola kako bi se osiguralo da se papiri i dokumenti

odlažu bez nadzora;• Radove i dokumente treba zaštititi od fizičkih ili ekoloških pretnji i štete (npr. Vatre, vode).• Papiri i dokumenti koji se čuvaju van mesta treba da imaju isti nivo fizičke zaštite.

DELJENJE INFORMACIJA, RAZMENA I DISTRIBUCIJA

Elektronsi

Sa današnjom tehnologijom, organizacije i korisnici imaju mnogo načina za distribucijuinformacija. Korisnici mogu informacije (poput podcastinga, emitovanja ili potiskivanjaservera) proslediti primaocima ili ih staviti na raspolaganje na mreži kako bi primaoci moglida povuku informacije sa veb lokacije ili servera. Bez obzira na to koja se sredstva i metodekoriste, treba se pozabaviti sigurnošću tako da:

• Distribucija osetljivih i / ili kritičnih informacija svedena je na najmanju moguću meru, ainformacije treba da budu jasno označene kako bi ukazivale na njihovu klasifikaciju;

• Poverljive informacije su zaštićene kako bi se sprečilo neovlašćeno otkrivanje ilipresretanje;

• Integritet informacija je prioritet kako bi se osiguralo da se informacije ne menjaju, nemenjaju i ne oštećuju tokom rute;

• Informacije su dostupne svima kojima su potrebne;• Uspostavljena je jasna politika o tome koje se vrste informacija mogu slati elektronskim

putem (npr. Putem e-pošte i priloga e-pošte) i koje mere zaštite moraju biti na snazi dabi se zaštitile osetljivije i / ili kritične informacije;

• Ako poverljive informacije mogu da pošalju oni sa pravim nivoom ovlašćenja, tada sekoristi kriptografska tehnologija;

• Treba zabraniti upotrebu anonimnih preprodavaca i drugih tehnologija.

DELJENJE INFORMACIJA, RAZMENA I DISTRIBUCIJA - NASTAVAK

Fax i poštanske i kruriske usluge


16

Danas se faks uređaji koriste mnogo manje nego pre 10 godina; međutim, za one organizacijekoje još uvek koriste takvu tehnologiju, treba biti oprezan, jer slanje informacija putem faksmašina ponekad može da izazove sigurnosne probleme.

• Obavezno preduzmite korake kako biste bili sigurni da su faksovi zaista dostavljeni napravo odredište. Uobičajeno je da pošiljalac ukuca pogrešan telefonski broj ili pritisnedugme za ponovno biranje, a faks stiže na pogrešno mesto.

• Ako šaljete osetljive poslovne podatke, uverite se i da je faks fizički zaštićen, daovlašćena osoba prisustvuje uređaju dok faks prolazi i da mu telefon ili e-pošta potvrdeda je faks bezbedno primljen i da je tačan broj stranica je prošao.

Poštanske i kurirske usluge

• Kada šaljete informacije poštom ili kurirskim službama, mora postojati jasna politika kojanavodi koje vrste osetljivih i / ili kritičnih informacija mogu da se pošalju i sredstva imetode za to:

• Informacije sa najvišim nivoom osetljivosti treba da koriste tehniku dvostrukogkovertiranja, pri čemu spoljna koverta ne označava klasifikaciju sadržaja, ali unutrašnjakoverta je označena;

• Opšte je prihvaćena praksa da se koverte koje sadrže ograničene informacije mogu slatiu jednoj koverti sve dok ne označava klasifikacionu oznaku, ali je označena rečima „da ihotvori samo primalac“;

• Korišćenje neovlašćenih kontejnera ili kutija ili takvih kontejnera koji čine očiglednimpokušaj pristupa;

• Korišćenje registrovanih ili snimljenih poštanskih usluga;• Korišćenje pouzdanih i akreditovanih kurira.

UNIŠTAVANJE INFORMACIJA

Uništavanje informacija elektronski i inf. zasnovanih na papiru

Jednom kada informacije prođu „prodaju po datumu“ i više ih nije potrebno čuvati, treba ihizbrisati i / ili uništiti iz sistema.

• Elektronske datoteke i fascikle na računarima, prenosnim računarima i serverima trebaizbrisati. To se može uraditi pomoću standardnih komandi operativnog sistema ili funkcijaaplikacije ili korišćenjem odgovarajućeg softverskog dela koji briše podatke.

• Reč opreza: iako većina sistema ima naredbu delete, informacije se zapravo ne brišu- samo se veza do sistema direktorija zapravo briše ili prekida, što znači da je i daljemoguće oporaviti deo ili sve informacije ako znate kako da locirate u sistemu. Postojenačini za poboljšanje ove situacije, osim fizičkim uništavanjem medija za skladištenje.

• Brisanje podataka takođe treba da se odnosi na sve kopije, kao i na rezervne kopijepodataka.

• Posedovanje urednog sistema direktorijuma datoteka pomaže u olakšavanju brisanjadatoteka i svih kopija ili rezervnih kopija.

• Popis imovine treba revidirati kako bi se evidentiralo brisanje informacija.• Odstranjivanje hardvera i medijuma za skladištenje


17

• Odstranjivanje IT sistema predstavlja problem informacija sadržanih u njihovimmemorijskim sistemima.

Odstranjivanje informacija zasnovanih na papiru

Ponovo, kao i kod elektronskih informacija, kada papirni dokumenti i dosijei prođu tamo„prodaju se po datumu“ i više ih nije potrebno čuvati, trebalo bi ih na odgovarajući načinzbrinuti.

• Papirna dokumenta, izveštaji i druge informacije zasnovane na papiru treba naodgovarajući način uništiti korišćenjem odobrenog usitnjavanja ili drugih metoda itehnologija fizičkog uništavanja (npr. Sagorevanje, celuloza).

• Uništavanje papirnih dokumenata treba da vrši poverljivo lice ili odobrena spoljnaorganizacija.

• Kopije i rezervne kopije svih informacija koje se odlažu takođe bi trebalo da buduuništene.

REZERVNE KOPIJE INFORMACIJA

Na ovaj ili onaj način treba napraviti sigurnosnu kopiju svih podataka

Na ovaj ili onaj način treba napraviti sigurnosnu kopiju svih podataka. Treba voditi računa dase prave rezervne kopije podataka na osobnim računarima i prenosnim računarima, podatakana serverima i drugoj IT opremi.

Mora se definisati kako, kada i gde treba napraviti sigurnosne kopije. Pravljenje rezervnihkopija može se izvršiti centralno koristeći mrežu jednog ili više servera, servera naodređenom nivou odeljenja ili lokalno na računaru korisnika. Politika treba da definiše kojeinformacije se odnose na koju vrstu rezervne kopije. Na primer, operativne informacije seobično obavljaju preko centralnog mrežnog servera, dok se lokalno obrađene informacijemogu obavljati na nečijem računaru ili spoljnom čvrstom disku ili memorijskom uređaju. Nesme se zaboraviti da nije potrebno samo sigurnosno kopirati elektronske informacije, već iinformacione sisteme na papirnoj bazi, jer svi informacioni sistemi, IT ili ne-IT, trpe zbog rizikaod fizičke štete ili štete u životnoj sredini ili od krađe.

Koliko često treba praviti rezervne kopije treba da bude povezano sa vrednošću kritičnostiili nivoom informacija. Svakodnevne rezervne kopije preko noći su prilično česte u mnogimorganizacijama, posebno u velikim. Pravljenje rezervnih kopija na kraju nedelje trebalo bi dabude norma i može se kombinovati sa dnevnim procesom preko noći. Pravljenje rezervnihkopija treba da se vrši često i redovno, a što je češće to bolje, iz razloga praktičnosti. Štoviše vremena ne prave rezervne kopije podataka, to je veća opasnost da organizacije buduizgubljene ili oštećene.

TESTIRANJE VRAĆENIH REZERVNIH KOPIJA

Trebalo bi da postoji procedura kako bi se osiguralo da postupak izraderezervnih kopija i sistem ispravno rade i da li se sigurnosne kopijeinformacija mogu čitati i predstavljaju vernu k


18

Trebalo bi da postoji procedura kako bi se osiguralo da postupak izrade rezervnih kopija isistem ispravno rade i da li se sigurnosne kopije informacija mogu čitati i predstavljaju vernukopiju originala. Dobra maksima koju biste trebali zapamtiti je da su vaše rezervne kopijepodataka onoliko dobre koliko je sposobna da vratite / oporavite informacije iz sigurnosnekopije, a da na bilo koji način ne budu oštećene ili izgubljene. Iz ovoga sledi da sistem i medijikoje koristite za izradu rezervnih kopija moraju biti dobrog kvaliteta, a proces restauracijemora pravilno funkcionisati. Ako ne možete da vratite dragocene podatke o preduzeću iliklijentu u prvobitno stanje, prvo vam nije bilo vredno vremena. Testiranje sistema rezervnihkopija treba obaviti ako dođe do bilo kakvih promena u procesu izrade rezervnih kopija i / iliposlovnom okruženju pomoću ovog procesa. Proces testiranja treba sprovoditi redovno, bezobzira da li je bilo promena. Bolje je da otkrijete koliko je dobar postupak izrade rezervnihkopija i restauracije pre nego što se dogodi velika katastrofa ili incident, nego kasnije daotkrijete da ne funkcioniše kako treba - uvek budite spremni i pripremljeni pre incidenta, a nekasnije.

Skladištenje rezervnih kopija je još jedno pitanje koje se mora baviti politikom.Normalna najbolja praksa za ovo je čuvanje rezervnih kopija van mesta negde daleko odmesta gde se odvija server i obrada informacija. Razlozi bi trebali biti sasvim jasni: ako setakve rezervne kopije čuvaju na istoj lokaciji, onda se suočavaju sa istim rizicima kojima supodloženi originali (npr. Šteta i gubici u kancelarijskim požarima, fizičko uništavanje, krađai druge pretnje). Dakle, rezervna kopija znači ne samo sigurnosnu kopiju informacija već isigurnosnu kopiju informacija negde drugde. Čuvajte neke rezervne kopije daleko od kuće (ilivan nje) u slučaju da vam se rezervne kopije ukradu ili oštete zajedno sa računarom za kojiprave rezervne kopije.

4.3 Politika, postupci i procesi kontrolepristupa

POLITIKA, PROCESI I POSTUPCI KONTROLE PRISTUPA

Kontrola pristupa je vrlo široka tema i obuhvata različite vrste metoda isredstava za pristup

Kontrola pristupa je vrlo široka tema i obuhvata različite vrste metoda i sredstava za pristup,kao što su:

• Prava i sredstva za pristup ulazu u zgrade, kancelarije i računarske sobe;• Pravo, privilegija ili mogućnost pristupa za korišćenje ili primenu nečega poput IT

sistema;• Pravo, način i sposobnost pristupa da se pristupi, vidi ili razgovara sa nekim, kao što bi

mogao biti slučaj sa korišćenjem IT resursa organizacije, uključujući laptope za mrežnetelefonske pozive i video poruke;

• Pravo i sredstva pristupa za delovanje na i / ili obradu informacija (tj. Pribavljanje,preuzimanje, kopiranje, čuvanje ili uništavanje radi sprečavanja neovlašćenog pristupa ilislučajnog oštećenja ili ugrožavanja informacija);


19

• Dostupnost, poput pristupa putem mobilnog računarskog uređaja.

Pristup se daje informacijama i organizacionim resursima kako bi se osoblju omogućilo daizvršava svoje posebne radne funkcije. Stoga pristup određenim informacijama ne bi trebaloda bude dat ako to nije neophodno za obavljanje službenih poslova osoblja. Obično se „principnajmanjih privilegija“ koristi za dodeljivanje dozvola korisnicima / zaposlenima koji su impotrebni da rade svoj posao, ne pružajući tako dodatne dozvole koje nisu neophodne dabi se smanjio rizik od kompromisa. Ovo načelo ne bi trebalo zameniti sa drugim principomsegregacije ili podele dužnosti, iako ovaj kasniji princip koristi ideju davanja ograničenih ilinajmanje privilegija.

Naravno, to ne znači da se neće dogoditi kompromisi sa onim korisnicima kojima su datadozvola i prava pristupa, jer uvek postoje slučajevi onih koji su ovlašćeni za pristup i čineštetu sistemu i njegovom sadržaju. To može biti slučaj sa trgovinom insajderima, osobljemkoje je umešano u interne prevare, krađom osoblja i drugim incidentima za koje su krivcizaista imali ovlašćenje. Otuda mere ISMS-a treba da zaštite od onih koji nemaju dovoljnaprava i dozvole za pristup i vlasnika informacija da bi kontrolisali one koji to imaju.Iako se kontrola pristupa prvenstveno odnosi na ulaz - prava, dozvole i privilegije zaostvarivanje ulaza - postoji i aspekt dvostruke zaštite, a to je situacija izlaska kada informacijekoje izlaze iz zgrade ili sistema ne prelaze u stanje koje bi moglo biti ugroženo.

PRAVA PRISTUPA I KLASIFIKACIJA INFORMACIJA

Organizacija treba da odluči koja prava na pristup informacijama daju ikome

Organizacija treba da odluči koja prava na pristup informacijama daju i kome.Nekima se može dati pristup informacijama na različitim nivoima klasifikacije. Osoblju će bitiomogućen pristup informacijama koje su zasnovane na „potrebi da se zna“.

Što je veća klasifikacija (najosetljiviji podaci), to je manja grupa koja ima prava koja trebaznati; dakle, najveća grupa korisnika bili bi oni koji imaju pristup „ograničenim“ informacijama(manje osetljivi).

Pored toga, informacije se mogu dalje klasifikovati (npr. Uz poverljivo obeležavanje može bitipridodato upozorenje). Pored prava koja je potrebno znati, a koja omogućavaju korisnicima dačitaju informacije, postoje i prava koja je potrebno izmeniti, a koja korisnicima daju dozvoluda menjaju, brišu i / ili generalno kreiraju informacije.

Primer ovih različitih vrsta pristupa je onaj koji se naziva pristup za čitanje i pisanje. Postoje,naravno, i druga prava pristupa, poput prava na mogućnost izvršenja određenog delasoftverskog koda.

OVLAŠĆENJE, ODGOVORNOST I VLASNIŠTVO

Na nivou sistema upravljanja, uobičajena je politika i dobrabezbednosna praksa da informacije (sistem ili proces) imaju vlasnika


20

Na nivou sistema upravljanja, uobičajena je politika i dobra bezbednosna praksa dainformacije (sistem ili proces) imaju vlasnika. Ovaj vlasnik je odgovoran za to da informacijeza koje je odgovoran kao vlasnik budu adekvatno i na odgovarajući način zaštićene. Dakle,vlasnik je odgovoran za to da je osigurao da su informacije na odgovarajući način klasifikovali,da su sastavili inventar informacione imovine i da će osigurati da se preduzmu potrebnei odgovarajuće mere kontrole i radnje za zaštitu podataka na definisanoj klasifikacijiinformacija. Moraju osigurati da se takva zaštita primijeni kako bi se upravljalo rizicima po oveinformacije. Tehnička primena kontrole pristupa je, naravno, izvan delokruga ISO / IEC 27001.Ovlašćenje za pristup je takođe drugi aspekt upravljanja vlasništvom nad informacijama:odobrenje za odobravanje ili odbijanje pristupa i odgovarajuća prava pristupa.


21

Poglavlje 5

Kontrole specifične za određenisektor

SEKTORSKI SPECIFIČNI STANDARDIBrojni sektorski specifični standardi razvijeni su kao deo porodicestandarda ISO / IEC 27001 koji određuje kontrole i smernice zaprimenu za pojedine sektore

Brojni sektorski specifični standardi razvijeni su kao deo porodice standarda ISO / IEC 27001koji određuje kontrole i smernice za primenu za pojedine sektore. Ovi uključuju:

• ITU-T X.1051 | ISO / IEC 27011 - smernice za upravljanje bezbednošću informacija zatelekomunikacione organizacije zasnovane na ISO / IEC 27002 ISO / IEC 27015 - smerniceza upravljanje bezbednošću informacija za finansijske usluge;

• ITU-T X.1631 | ISO / IEC 27017 - smernice o kontrolama bezbednosti informacija zaupotrebu usluga računarstva u oblaku zasnovane na ISO / IEC 27002;

• ISO / IEC 27018 - kodeks prakse za zaštitu ličnih podataka u javnim oblacima koji delujukao zaštitni procesori;

• ISO / IEC 27019 - smernice za upravljanje informacionom sigurnošću zasnovane naISO / IEC 27002 za sisteme upravljanja procesima specifične za energetsku komunalnuindustriju.

Ovi standardi pružaju sektorskim organizacijama izvor kontrola koje mogu da koriste tokomfaze lečenja rizika; odnosno prilikom određivanja skupa kontrola koje će pomoći umodifikovanju identifikovanih rizika (ISO / IEC 27001).

22

Poglavlje 6

Zaključak

ZAKLJUČAKRezime

U ovoj lekciji predstavili smo razne kontrole za modifikovanje rizika.

Kontrole za primenu opcije lečenja rizika biraju se na osnovu njihove sposobnostimodifikovanja rizika. Takođe , prošli smo kroz opšte principe politika i procedura gde politikeinformacione sigurnosti mogu biti ili visoki nivo politike ili dublji nivo politike. Politikabezbednosti informacija najvišeg rukovodstva treba da bude direktiva i izjava na visokomnivou koja odgovara organizaciji i njenom poslovanju.

Na kraju, dali smo razne primere kontrola, gde smo mogli videti kako se skladište i uništavajupodaci, kao i kada i zašto se prave rezervne kopije.

LITERATURAReference

1. Humphreys, Edward. Implementing the ISO/IEC 27001: 2013 ISMS Standard. ArtechHouse, 2016.2. Calder, Alan, and Steve Watkins. IT governance: A manager's guide to data securityand ISO 27001/ISO 27002. Kogan Page Ltd., 2008.3. Humphreys, Edward. "Information security management standards: Compliance,governance and risk management." information security technical report 13, no. 4(2008): 247-255.4. Toosarvandani, Marzieh Sameni, Nasser Modiri, and Mahdi Afzali. "The riskassessment and treatment approach in order to provide lan security based on ismsstandard." arXiv preprint arXiv:1301.1578 (2012).5. Beckers, Kristian, Maritta Heisel, Bjørnar Solhaug, and Ketil Stølen."ISMS-CORAS: A structured method for establishing an ISO 27001 compliantinformation security management system." In Engineering Secure Future InternetServices and Systems, pp. 315-344. Springer, Cham, 2014.6. https://www.isms.online/iso-27001/information-security-risk-assessment/7. https://www.isms.online/iso-27001/information-security-risk-treatment/

23

https://www.isms.online/iso-27001/information-security-risk-assessment/

https://www.isms.online/iso-27001/information-security-risk-treatment/


ISMS operacijeLekcija 06

www.princexml.com




ISMS OPERACIJE

ISMS operacijePoglavlje 1: Operacione ISMS procedurePoglavlje 2: Trenutno upravljanje rizikomPoglavlje 3: Operacione pretnjePoglavlje 4: Operacioni procesiPoglavlje 5: Upravljanje incidentomPoglavlje 6: Tim za upravljanje incidentimaPoglavlje 7: StandardiPoglavlje 8: Dostupnost ISMS-a i kontinuitet poslovanjaZaključak




Uvod

UVODUvod

Kao što je naznačeno u prethodnoj lekciji, postoji nekoliko vrsta postupaka koje bi organizacijamogla da ima kako bi zaštitila svoje svakodnevno poslovanje. Operativni postupci kojeorganizacija koristi biće jedinstveni za nju i njeno poslovanje. Operativni postupci suuglavnom detaljni, pisane upiti za postizanje konzistentnog nivoa performansi informacionesigurnosti određene funkcije, procesa ili operacije u okviru ISMS-a. Oni su raspoređeni dapomažu i osiguraju nivo zaštite informacija srazmeran nivou identifikovanog rizika.

3

Poglavlje 1

Operacione ISMS procedure

PRIMERI PROCEDURAMogu postojati operativni postupci koji su standardni za organizaciju, aneki postupci mogu biti specifični za određena odeljenja

Mogu postojati operativni postupci koji su standardni za organizaciju, a neki postupci mogubiti specifični za određena odeljenja (npr. Postupci pozivnog centra koji detaljno navodekontrole bezbednosti informacija koje će primeniti osoblje pozivnog centra). Slede neki odpostupaka koje organizacija treba da razmotri za sprovođenje:

• Politika i postupci prihvatljive upotrebe;• Politika i postupci kontrole pristupa;• Rezervne procedure;• Postupci kontinuiteta poslovanja;• Postupci u call centru;• Postupci planiranja kapaciteta;• Postupci kontrole promena;• Postupci komunikacije i izveštavanja;• Postupci rukovanja informacijama;• Postupci u vezi sa informacionom sigurnošću• Postupci malvera;• Postupci praćenja;• Procedure regrutovanja;• PII postupci;• Postupci koji se odnose na sigurna operativna područja;• Postupci upravljanja uslugama;• Postupci održavanja softvera.

OBUKA, SVEST I UPOTREBANeophodno je da rukovodstvo organizacije ne samo da zaposleneupozna sa procedurama koje se primenjuju na radnu ulogu i funkciju,već i da obezbedi da zaposleni prođu neki oblik obuke

Neophodno je da rukovodstvo organizacije ne samo da zaposlene upozna sa proceduramakoje se primenjuju na radnu ulogu i funkciju, već i da obezbedi da zaposleni prođu nekioblik obuke za upotrebu ovih postupaka. Novi regrut mogao bi lako da ugrozi informacionu

4

sigurnost organizacije praveći greške ili radeći pogrešne stvari zbog nerazumevanja i znanjao ispravnim bezbednosnim procedurama koje treba slediti u svom svakodnevnom poslu. Tose može dogoditi ne samo novim regrutima, već i zaposlenima koji su već neko vreme uorganizaciji možda je potrebno da koriste novu proceduru ili revidiranu verziju postojećeprocedure. U svim slučajevima važi isto, nedostatak razumevanja i znanja može dovestido incidenta i time ugroziti informacionu bezbednost organizacije. Takođe je važno da svizaposleni koriste postupke koje pruža organizacija kako bi osigurali doslednost i predviđeneperformanse. Ako zaposleni koriste sopstvene metode postupanja u operativnom okruženju,to ne samo da može ugroziti informacionu bezbednost organizacije i njenih sistema, procesa iusluga, već bi bilo u suprotnosti sa politikom i pravilima organizacije i moglo bi biti nagrađenodisciplinskim postupkom . Konačno, zaposleni koji koriste nestandardne postupke verovatnoće rezultirati neusaglašenošću koja se daje u reviziji. Treba imati na umu da bi dobro napisanaprocedura uglavnom bila osmišljena da postigne najefikasniji nivo informacione sigurnosti,pa uputstva treba pažljivo razmisliti i napisati na način koji će postići taj nivo. Dakle,nestandardna procedura koju koristi neki zaposleni ne samo da ne može da postigne ovajnivo, već bi bila u suprotnosti sa politikom i željama organizacije.

Poglavlje 1 Operacione ISMS procedure

5

Poglavlje 2

Trenutno upravljanje rizikom

TRENUTNO UPRAVLJANJE RIZICIMAProcena rizika je uvek samo trenutni snimak u vremenu zasnovan naopaženim rizicima i uticajima u vreme kada je procena sprovedena

Procena rizika je uvek samo trenutni snimak u vremenu zasnovan na opaženim rizicima iuticajima u vreme kada je procena sprovedena. Ne treba sumnjati da će se uslovi poslovanjapromeniti, a sa tim će se promeniti i rizici i uticaji povezani sa organizacijom. Stoga jeneophodno da organizacija redovno vrši procenu svojih rizika i procenu svojih rizika i uticaja.Šta je redovno zavisi od nekoliko faktora, uključujući:

• Bez obzira da li organizacija posluje u dinamičnom okruženju, u tom slučaju jenajverovatnije podložna čestim promenama uslova poslovanja - vitalnosti tržišta, stoperasta, raznolikosti i drugih promenljivih uslova;

• Složenost organizacije - u smislu resursa za obradu; obim, vrsta i priroda uključenihinformacija; brojevni interfejsi i zavisnosti koji su mu potrebni za upravljanje i vođenjeračuna i tako dalje; ovo su neki od faktora rizika i rizici koje treba uzeti u obzir;

• Ako ga priroda posla organizacije stavi u prvu liniju napada, tada bi učestalost napadabila veća.

Ne postoji određeno standardno vreme za ponovnu procenu njegovih rizika i uticaja. Nekeorganizacije rade ponovnu procenu svaka tri do šest meseci; neki ostavljaju devet meseci- stvarnu učestalost može odrediti samo sama organizacija. Učestalost treba da odlučujemenadžment. Pored redovnog programa procene rizika, uvek će postojati šansa da procenurizika treba izvršiti ranije od sledeće predviđene procene rizika. To može biti nakon većegincidenta informacione sigurnosti, velike sistemske katastrofe, velike promene uorganizacionim okolnostima ili revizije rukovodstva ili revizije ISMS-a (bilo interne ili eksternerevizije sertifikata). Organizacija treba da primeni proces upravljanja promenama kojiuključuje aspekte informacione sigurnosti.

6

Poglavlje 3

Operacione pretnje

KLASIFIKACIJA OPERACIONIH PRETNJIU operacione pretnje spadaju malveri, neovlašćeni pristup, unutrašnjepretnje, dostupnost sistema kao i socijalni inženjering

U operacione pretnje spadaju malveri, neovlašćeni pristup, unutrašnje pretnje, dostupnostsistema kao i socijalni inženjering. U narednim podobjektima učenja, objasnićemo svakiponaosob.

3.1 Malver

MALVERI

Virus je primer dela malvera ili zlonamernog softvera koji je dizajniranza infiltraciju ili oštećenje računarskog sistema

Malver napadi su na listi svetskih medija na naslovnim stranama ( na mestu broj 1.) i onikao takvi privlače mnogo vesti. Virus je primer dela malvera ili zlonamernog softverakoji je dizajniran za infiltraciju ili oštećenje računarskog sistema. Ova klasa softveratakođe uključuje crve, trojanske konje, špijunski softver i adver, da nabrojimo samo nekolikodelova zlonamernog softverskog koda.

Zlonamerni kod je jedan od onih delova softvera koji je posebno dizajniran za nanošenještete i štete i izlaganje organizacijama zaraženim takvim kodom. Kao što je dobro poznatou mnogim slučajevima, virusi se jednom u sistemu prikače na aplikativni softver, a zatimse vrlo brzo repliciraju i šire poput vatre u šumi koja nedeljama ili mesecima nije videlakišu. Prolazeći kroz sistem, oni uzrokuju uništavanje i štetu poput požara. Čak i kada suotkriveni. možda neće biti odmah iskorenjeni - baš kao požar koji je zahvatio šumu, gašenjeplamena može potrajati ponekad. Dakle, tokom određenog vremena virus je van kontrole.Virus možda briše datoteke, oštećuje softverske programe i aplikacije, a može čak biti iusmeren na ponovno formatiranje čvrstog diska. Čak i benigniji tipovi virusa mogu uzrokovatiorganizacione probleme, jer neprestana replikacija virusa može pojesti memoriju, pokrenutinepravilno ponašanje i možda dovesti do pada sistema - što rezultira degradacijomperformansi i mogućim uskraćivanjem usluge.

7

Crv je samokopirajući deo softverskog koda koji se ne veže za aplikaciju, ali unatoč tomeuzrokuje široko rasprostranjenu štetu na mrežama kao što je Internet. Budući da se samreplicira, pojede mrežnu propusnost, trošeći memoriju računarskog sistema, usporavajućisisteme i u najgorem slučaju izazivajući široko rasprostranjeni napad uskraćivanja usluge.Crvi poput Morisovog crva iz 1988. godine uzrokuju globalne poremećaje i haos u mnogimsistemima povezanim na Internet u vreme kada crv napada ove sisteme. Nekoliko crvapuštenih na Internet samo se repliciraju i šire; međutim, neki crvi su proizvedeni da nose„korisne terete“, kao što su brisanje datoteka, slanje datoteka putem e-pošte drugimsistemima, instaliranje „zadnjih vrata“ u sisteme, pa čak i šifrovanje datoteka. Problemzadnjih vrata može napadaču stvoriti priliku za stvaranje „zombi računara“ u zaraženomsistemu. Kada se slični zombi računari umreže da bi se formirao „botnet“, koji kasnije moguda koriste odgovorni za slanje neželjene pošte, oni mogu stvoriti nekoliko bezbednosnihincidenata.

MALVER- NASTAVAK

Trojanski konj je deo softverskog koda koji sadrži i / ili instalira deozlonamernog koda u sistem

Trojanski konj je deo softverskog koda koji sadrži i / ili instalira deo zlonamernog koda usistem. Ovaj deo zlonamernog koda često se naziva korisnim opterećenjem ili jednostavnotrojanskim virusom. Ovi trojanski konji mogu se činiti korisnim i bezopasnim delovimasoftvera, ali ispod površine vreba zlonamerni kod koji kada se naizgled korisni deo softverapokrene, pokreće niz štetnih događaja. Trojanski konj može prouzrokovati puno neovlašćenihaktivnosti na sistemima žrtava bez njihovog znanja ili pristanka, kao što su:

• Preuzimanje i otpremanje datoteka sa Interneta;• Slanje e-pošte pomoću imenikova adresara žrtve, uključujući distribuciju neželjene pošte;• Phishing u dosijeima žrtve da bi se dobio pristup kreditnim i bankarskim podacima;• Uzrokovanje ponovnog pokretanja sistema;• Priključivanje sistema na botnet;• Brisanje i oštećivanje datoteka.

Trojanski konji mogu da zaraze sisteme na nekoliko načina, na primer putem priloga e-pošteili tako što korisnik preuzima datoteku sa netačne lokacije na Internetu.

UPRAVLJANJE PROBLEMOM

Zaštita od malvera zahteva odgovarajuće procese upravljanja ikontrole

Zaštita od malvera zahteva odgovarajuće procese upravljanja i kontrole. Za početak,organizacija bi trebalo da izradi politiku zabrane upotrebe neovlašćenog softvera, a zatim daprimeni kontrole za sprečavanje ili otkrivanje upotrebe takvog softvera. Organizacija takođetreba da ima politiku u vezi sa preuzimanjem ili primanjem datoteka i softvera.

Poglavlje 3 Operacione pretnje

8

Organizacija treba da izradi set procedura kako da rešava probleme malvera i prijavljuje ih.Takođe bi trebalo definisati odgovornosti za postupanje sa zlonamernim softverom, što bitrebalo uključiti u ove procedure. Osoblje treba da bude obučeno za postupanje sa malverom.Organizacija treba redovno da vrši reviziju softvera koji podržava njihove kritične sistemei procese. Takve vežbe treba da pretražuju postojanje neodobrenih datoteka ili softvera.Organizacija treba da primeni softver koji je sposoban da otkrije zlonamerni softver naračunarskim sistemima i medijima. Ova vrsta softvera treba da bude u stanju da skeniradatoteke, priloge e-pošte ili veb stranice na prisustvo infekcija malverom. U tu svrhu postojiveliki broj komercijalnih proizvoda. Funkcionalne mogućnosti ovih proizvoda se razlikuju:uglavnom su dizajnirani da otkriju, spreče i iskorijene zlonamerni softver iz računarskihsistema i drugih IT uređaja. Oni obično skeniraju sistemske datoteke i fascikle smeštene načvrstim diskovima i drugim memorijskim uređajima. Softver za zlonamerni softver oslanja sena rečnik poznatih delova zlonamernog softvera za upoređivanje prilikom skeniranja sistema.Efikasnost ovog softvera zasniva se na održavanju ažurnosti rečnika: većina dobavljačaproizvoda ima mrežni uređaj za pružanje ažuriranja uživo. Naravno, ovo ažuriranje uživo trebada se vrši redovno - najmanje jednom nedeljno, ako ne i nekoliko puta nedeljno. Dobra je idejapodesiti sistem tako da vrši automatsko ažuriranje.

3.2 Neovlašćeni pristup

NEOVLAŠĆENI PRISTUP INFORMACIJAMA

Neovlašćeni pristup informacijama može dovesti do otkrivanja,modifikovanja ili neovlašćene upotrebe informacija

Neovlašćeni pristup informacijama može dovesti do otkrivanja, modifikovanja ili neovlašćeneupotrebe informacija. Takav pristup se može dogoditi kao rezultat unutrašnjeg ugrožavanjaorganizacione politike i zloupotrebe privilegija ili se može dogoditi kao rezultat nečijegspoljnog probijanja kroz bezbednosne sisteme organizacija. Do neovlašćenog pristupainformacijama može doći probijanjem slojeva fizičke zaštite ili elektronske zaštite ili njihovomkombinacijom. Pristup putem Interneta ili druge mreže je uobičajeni problem. Bez obzira nanačin i način pristupa, kada neovlašćeno lice dobije pristup informacijama organizacije, imapriliku da ih ukrade, izmeni ili uništi.

U zavisnosti od vrste informacija kojima se pristupa (osetljivim, kritičnim ili ličnim), tada seorganizacija može suočiti sa nizom problema. Na primer, ako je neovlašćena osoba steklapristup detaljima kupaca, uključujući lozinke, PIN-ove ili podatke o bankovnom računu ite detalje prodaje ili objavljuje na mreži, tada se organizacija suočava sa komercijalnim ipravnim problemima. Drugi primer može biti neovlašćena osoba koja dobija pristup kritičniminformacijama koje kontrolišu industrijski proces, a ista osoba modifikuje informacije ilipreuzima kontrolu nad procesom - ovo može biti ozbiljan sigurnosni problem, kao ipotencijalni komercijalni i pravni problem.

Pokušaj neovlašćenog pristupa može biti od strane spolja (npr. Hakera, konkurenta,industrijskog špijuna) koji pokušava da provali u sistem organizacije i stekne pristup ili može


9

biti pokušaj da insajder zloupotrebi svoje privilegije ili koristi svoje unutrašnje znanje oorganizacija da bi dobila pristup oblastima organizacije kojima nisu dali pristup.


Problem neovlašćenog pristupa informacijama može se rešiti narazličitim nivoima

Problem neovlašćenog pristupa informacijama može se rešiti na različitim nivoima.Organizacija treba da ima politiku kontrole pristupa i treba da ima posebne procedureza različite metode kontrole pristupa i za pokrivanje različitih vrsta pristupa (npr. Pristupinformacijama, aplikacijama, procesima, IT i mrežama). Metode kontrole primenjene zaupravljanje pristupom trebale bi biti dovoljno jake da spreče neovlašćeni pristup. Kontrolaovih metoda i informacija koje se koriste za dobijanje pristupa zahteva pravilno upravljanjei administriranje. Potrebno je uspostaviti kontrolu nad tim ko ima pristup, u koju svrhu ikojim informacijama se daje pristup, putem kojih uređaja se može pristupiti: uspostavljanjeovlašćenog računara, sistemskih i mrežnih računa, upravljanje lozinkom i privilegijama,ograničenja pristupa, pregledi prava pristupa, disciplinske mere u vezi sa zloupotrebom pravai obuka korisnika o metodama, pravima i privilegijama kontrole pristupa.

3.3 Unutrašnje pretnje

UNUTRAŠNJA PRETNJA

Unutrašnja pretnja je zlonamerna pretnja organizaciji, koja postaje svečešća pojava

Unutrašnja pretnja je zlonamerna pretnja organizaciji, koja postaje sve češća pojava. Takvapretnja može biti od trenutnog osoblja i zaposlenih u organizaciji, ali može biti i od bivšihzaposlenih ili čak izvođača ili poslovnih saradnika koji blisko sarađuju sa organizacijom i imajuodređene privilegije za interni pristup zbog prirode posla i zajednički poduhvati u kojima suuključeni.

Upućeni, zaposleni ili članovi osoblja imat će račune na računarima koji im se daju ulegitimne svrhe u vezi sa poslom radi obavljanja svoje funkcije posla i dužnosti u vezi saposlom. To znači da oni već imaju neki nivo ovlašćenog pristupa računarskim sistemima zaobavljanje određenih zadataka vezanih za posao, za razliku od autsajdera koji nema takavpristup (slučaj izvođača radova na licu mesta je drugačiji i mogu im se dodeliti neka pravapristupa) . Insajder može zloupotrebiti ili zloupotrebiti ove privilegije i naneti štetu ili štetuorganizaciji. Pored toga, insajder uglavnom ima daleko više znanja, iskustva i poznavanjarada organizacije: gde se stvari nalaze, ko šta radi, kako stvari funkcionišu, snage i slabostiorganizacije, pravila i procedure. Sa ovim unutrašnjim znanjem o organizaciji i privilegijamakoje oni imaju, insajder ima mnogo više prostora za napad na organizaciju i da bude uspešanod autsajdera, mada ne bismo smeli da potcenjujemo ili zanemarujemo moć spoljne pretnje.


10

Dakle, insajderu je lakše nego autsajderu da zaobiđe bilo koju informacionu sigurnost kojuorganizacija ima.

Neki napadi iznutra služe za ličnu korist; drugi su za osvetu. Oba slučaja su namjerni inamjerni napadi. S druge strane, pretnja upućena osobama može biti posledica korisničkegreške ili grešaka (tj. Slučajnih ili nenamernih).

Član organizacije možda koristi resurse organizacije za sopstvenu ličnu korist: vođenjesopstvenog privatnog posla radi novčane dobiti, prodaja komercijalnih informacijakonkurentima organizacije, vršenje lažnih transakcija, krađa intelektualne svojine, prodajaakcija i akcija i tako dalje.


Insajderskim problemom se može upravljati na različitim nivoima

Insajderskim problemom se može upravljati na različitim nivoima, kombinacijom sledećeg:

• Politike i procedure - uključuju uputstva i informacije u vezi sa pretnjom od insajdera;• Obuka - uključiti svest o insajderskim pretnjama u obuku osoblja;• Proces regrutacije - proverite reference za zapošljavanje, proverite da li je bilo krivičnih

dela u prošlosti, pregledajte izveštaje o sumnjivom ili ometajućem ponašanju;• Upravljanje kadrovima - upravljanje sukobima; rešava sporove u radnom okruženju;

razmotriti uslove rada nezadovoljnog osoblja; pružiti mogućnosti za savetovanje irešavanje sporova za nezadovoljno osoblje; budite oprezni prema neobičnom ponašanjui pazite na neobične obrasce rada u odnosu na ono što organizacija definiše kaostandardne aktivnosti povezane sa poslom i obrasce normalnog rada;

• Osigurajte da procena rizika i tretman rizika uzimaju u obzir problem insajderske pretnje;• Prestanak radnog odnosa - primeniti siguran postupak otkazivanja zaposlenih;• Sprovesti kontrolu podele dužnosti i najmanjih privilegija; primenjuju stroge prakse

lozinke; osigurati sigurne procese sigurnosne kopije i oporavka; primenjuju efikasneprocedure kontrole promena;

• Kontrola pristupa - primeniti stroge kontrole pristupa; primenjuju stroga ograničenjapristupa; osigurati efikasno upravljanje privilegovanim korisnicima, uključujući efikasnopraćenje, evidentiranje i reviziju pristupa sistemu; nametnuti ograničenja za daljinskipristup; pregledati prava pristupa;

• Aktivnosti na mreži - budite oprezni prema ponašanju zaposlenih na mreži; upravljanjeupotrebom mrežnih usluga poput društvenih mreža putem politike prihvatljivogkorišćenja;

• Sprovesti odgovarajuću politiku i procedure za BYOD;• Sistemske ranjivosti - držite vrata neovlašćenom pristupu i iskorišćavanju ranjivosti

sistema popravljanjem, popravljanjem i zaštitom od ranjivosti sistema


11

3.4 Dostupnost sistema

DOSTUPNOST SISTEMA.

Ako organizacija želi da održi svoje poslovanje i da radi produktivno,tada mora da osigura da resursi koji su joj potrebni za to budu naraspolaganju

Ako organizacija želi da održi svoje poslovanje i da radi produktivno, tada mora da osigurada resursi koji su joj potrebni za to budu na raspolaganju. To uključuje sve vrste resursa:ljude, informacije, procese, usluge, mreže, IT i objekte. Faktor ovoga je koliko je, na primer,pouzdana mreža organizacije u pružanju svojih operativnih potreba? Da li mreža propada? Dali usporava? Da li pruža mogućnost neprekidnog korišćenja 24k7? Okosnica većine preduzećaje IT. Organizacija može patiti zbog lošeg evidencije kvarova IT sistema. Zašto? Da linedostaje adekvatno održavanje, nije uspelo da se instaliraju najnovije nadogradnje softverai zakrpe ili je potražnja za određenim IT sistemom daleko veća od njegove sposobnosti da seisporuči u odnosu na ove zahteve?

AkoIT sistem organizacije zakaže ili njegovo prisustvo internetu bude prekinuto, moglo bipretrpeti mnogo sati zastoja, što se pretvara u posledice kao što su gubitak prihoda, gubitakpoverenja kupaca i moguće kazne zbog kršenja ugovornih obaveza ako se izgubi dostupnostsprečava organizaciju u nemogućnosti da ispuni takve obaveze.

Organizacije mogu poboljšati svoje šanse da im resursi budu na raspolaganju kada i kadaim trebaju. Konkretno, glavni su problemi resursi koji pružaju, obrađuju i podržavaju njegoveinformacije, kao i dostupnost njihovih informacija.

U slučaju IT i mrežnih resursa, slučaj je redovnog održavanja i testiranja tih resursa kakobi se smanjile šanse za kvarove i prekide rada IT sistema, prekide mrežnih usluga i zaštitutih resursa od napada (npr. Napad uskraćivanjem usluge, koji mogu preopteretiti, usporitii generalno onemogućiti sisteme i njihovu sposobnost normalnog funkcionisanja). To jenaročito slučaj sa održavanjem softvera, nadogradnjama, zakrpama i testiranjem ranjivosti,ali se može primeniti i na hardver.


Problemom dostupnosti može se upravljati na različitim nivoima

Problemom dostupnosti može se upravljati na različitim nivoima, uključujući sledeće:

• Informacije - zaštita informacija od neovlašćenog otkrivanja ili modifikovanja, pristupinformacijama, izrada rezervnih kopija informacija, oporavak informacija u slučaju kvarasistema, postupci za rukovanje informacijama, vlasništvo nad informacionim sredstvimai ovlašćenje za pristup informacijama;

• Usluge - upravljanje pružanjem usluga, ugovori dobavljača usluga i SLA, upravljanjevezama sa uslugama, pristup i korišćenje usluga (npr. Mreže, veb usluge, upravljane


12

bezbednosne usluge, usluge oporavka od katastrofe, usluge prepuštene spoljnomservisu, usluge daljinskog rada, odlaganje medija ) i ovlašćenje za pristup uslugama;

• Upotreba IT sistema - efikasne kontrole pristupa, ograničenja upotrebe kako bi se izbeglazloupotreba, politika prihvatljive upotrebe i postupci za ispravnu upotrebu, sigurnaobrada informacija pomoću IT-a, uslovi i odredbe zaposlenih o upotrebi IT-a, mrežnihusluga i rukovanju informacionim sistemom informacije, ovlašćenje za pristup ITsistemima;

• Upravljanje softverom (S / W) - ograničenja za instaliranje i upotrebu P / W; kontrola S / Wverzija, nadogradnji i zakrpa; odvajanje privatne i poslovne upotrebe; kontrola podrške iodržavanja S / W; korišćenje podrazumevanih / sigurnih konfiguracija, pristup uslužnomprogramu u odnosu na S / W aplikaciju; ograničenja daljinske upotrebe P / W, kontrola P /W licenci; odvajanje S / W u operativnim okruženjima od S / W u okruženjima za razvoj itestiranje; zaštita od malvera; S / W rezervne kopije; sigurna kontrola nad radom J / P;

• Upravljanje ranjivostima - procena rizika i analiza uticaja ranjivosti, razumevanje iidentifikovanje ranjivosti sistema, procena i pregled ranjivosti, preduzimanje tačnih ilipreventivnih radnji za uklanjanje ili umanjenje slabosti ili za poboljšanje zaštite kakobi se izbegle šanse za eksploataciju, poboljšanja i potrebno je testirati kontrole zaupravljanje ranjivostima, osiguravajući da su zakrpe izvorno / izvorno iz autentičnogizvora, osiguravajući da proces ranjivosti funkcioniše u saradnji sa procesima rukovanjaincidentima i kontinuiteta poslovanja.

3.5 Socijalni inženjering

SOCIJALNI INZENJERING

Socijalni inženjering je vrsta napada na informacionu sigurnost kojaiskorištava psihološke ranjivosti ljudi manipulišući njima da obavljajuaktivnosti koje rezultiraju otkrivanjem inform.

Socijalni inženjering je vrsta napada na informacionu sigurnost koja iskorištava psihološkeranjivosti ljudi manipulišući njima da obavljaju aktivnosti koje rezultiraju otkrivanjeminformacija - „veštinom hakovanja u ljudsku psihu“. Ova vrsta napada može se izvršitina mreži (npr. E-mailom, phishing napadima, društvenim mrežama) ili van mreže (npr.Telefonom da bi se dobile informacije ili se predstavljali kao službenici ili serviseri za pristupprostorijama, objektima i informacijama kompanije). Ovaj napad je trik samopouzdanja kojiima za cilj dobijanje informacija radi dobijanja pristupa sistemu za krađu komercijalnoosetljivih informacija ili za vršenje prevare, prevare i tako dalje.


Problemom socijalnog inženjeringa može se upravljati na različitimnivoima


13

Problemom socijalnog inženjeringa može se upravljati na različitim nivoima, uključujući:

• Razmatranje napada socijalnog inženjeringa u proceni rizika i vežbama za lečenje rizika;• Identifikacija informacija kao osetljivih, kritičnih ili ličnih i procena izloženosti ovih

informacija napadima socijalnog inženjeringa;• Uspostavljanje politike i procedura za rukovanje napadima socijalnog inženjeringa;• Obuka zaposlenih za razumevanje problema socijalnog inženjeringa i prepoznavanje

situacija koje bi mogle biti pokazatelj ili prethodnica napada socijalnog inženjeringai razumevanje načina primene politike i postupaka kompanije na napade socijalnoginženjeringa radi zaštite podataka;

• Redovne revizije i pregledi postojećih kontrola za suzbijanje napada socijalnoginženjeringa - ljudi, procesa, postupaka i metoda kontrole pristupa;

• Utvrđivanje uloga i odgovornosti za rukovanje osetljivim, kritičnim ili ličnim podacima;• Obaveštavanje o najnovijim informacijama o napadima na socijalni inženjering, njihovo

vraćanje u program obuke i njihovo korišćenje u reviziji politike i procedura.


14

Poglavlje 4

Operacioni procesi

ZAŠTITA INFORMACIJA U OPERACIONOMOKRUŽENJUVažno je da organizacija ima neophodne kontrole upravljanja kako bipodržala i osigurala svoje poslovanje i informacije koje se obrađujutokom njenog poslovanja

Važno je da organizacija ima neophodne kontrole upravljanja kako bi podržala i osiguralasvoje poslovanje i informacije koje se obrađuju tokom njenog poslovanja. Ove kontroleuključuju sledeće:

• Postupci za sve operativne aktivnosti povezane sa obradom informacija, posebno zazaštitu ovih informacija;

• Procesi upravljanja promenama koji pokrivaju promene tih poslovnih procesa, sistema iusluga koji podržavaju obradu informacija;

• Planiranje kapaciteta kako bi se osiguralo da su na raspolaganju odgovarajući resursi zaispunjavanje operativnih zahteva;

• Proces izrade rezervne kopije radi zaštite podataka o poslovanju i kupcima od gubitka;• Zaštita od malvera za zaštitu operativnih sistema od napada malvera;• Odvajanje poslovnog okruženja (operacije nasuprot razvoju i testiranju);• Upravljanje uslugama informacione sigurnosti vezano za pružanje usluga, usluge trećih

strana, upravljanje lancem snabdevanja, ugovori i SLA;• Operativni nadzor i evidencije, gde su kontrole potrebne za praćenje i evidentiranje

događaja vezanih za bezbednost informacija;• Zaštita operativnog softvera, gde su potrebne mere kontrole za zaštitu operativnog

softvera;• Upravljanje ranjivostima, gde su potrebne mere kontrole koje će se primeniti radi

pravilne identifikacije, procene i rešavanja ranjivosti operativnog sistema;• Operativne revizije za procenu i verifikaciju da li je operativno okruženje adekvatno i

odgovarajuće zaštićeno.

15

4.1 Rezervne kopije

REZERVNE KOPIJE (ENG.BACKUPS)

Dva su glavna razloga zbog kojih su potrebne rezervne kopije

Dva su glavna razloga zbog kojih su potrebne rezervne kopije. Prvo i najvažnije jeoporaviti informacije koje se izgube ili oštete usled nekog kvara sistema,katastrofe ili kompromisa. Mnogi korisnici i organizacije trpe neku vrstu gubitkainformacija u određenom trenutku; to je uobičajeno iskustvo koje dele mnogi IT korisnici.Drugi razlog za pravljenje rezervne kopije je u svrhu zadržavanja informacija: dabi se omogućilo vraćanje kopija informacija u sistem koje su ranije kreirane iliobrađene.

POLITIKA

Treba izraditi politiku koja definiše poslovne zahteve za pravljenjerezervne kopije informacionih sredstava organizacije

Treba izraditi politiku koja definiše poslovne zahteve za pravljenje rezervne kopijeinformacionih sredstava organizacije. Slogan „napravite rezervnu kopiju pre nego što vasposao izgubi“ vrlo je jednostavan način ilustracije ovog osnovnog zahteva. Obavljanjeredovnih sigurnosnih kopija informacionog sistema je od vitalnog značaja kako bi se osiguraloda su podaci organizacije adekvatno zaštićeni i sačuvani od oštećenja ili gubitka. Politikatreba da navede poslovnu važnost pravljenja rezervnih kopija i posledične rizike koji bi mogliozbiljno uticati na poslovanje zbog neuspeha u primeni efikasnog procesa izrade rezervnihkopija. To bi trebalo da uključuje rizik od izlaganja pravnom postupku, nemogućnosti da seodgovori na porudžbine kupaca i plaćanja dobavljača, otkazivanje isporuka ili zaustavljanjeproizvodnih linija ili njihovo neefikasno funkcionisanje. S druge strane medalje, imati dobarsistem rezervnih kopija omogućava organizaciji da normalno funkcioniše - da nastavi datrguje i snabdeva kupce uslugama i / ili proizvodima, čak i ako su originalne informacijeoštećene ili izgubljene.

ULOGE I ODGOVORNOSTI

Vlasnici informacija odgovorni su za sigurnu i sigurnu zaštitu tihpodataka

Vlasnici informacija odgovorni su za sigurnu i sigurnu zaštitu tih podataka. Naravno,postavljanje kontrola rizika radi pružanja takve zaštite može se preneti na druge u praktičnesvrhe, ali vlasnik i dalje ostaje odgovoran. Treba naglasiti da je od ključne važnosti da sveinformacije koje obrađuju sva odeljenja, operativne grupe i osoblje, bilo da su vlasnici iličuvari informacione imovine, budu predmet redovnih rezervnih kopija. Mnogo informacijakoje organizacija ima i obrađuje neophodni su joj da bi poslovalo. Takođe, organizacija treba

Poglavlje 4 Operacioni procesi

16

da preuzme odgovornost za sve informacije kojima se bavi, čak i kada je vlasnik informacijadruga organizacija ili njeni kupci / klijenti. Posledice gubitka informacija ili njihovo uništavanjeili oštećenje mogu imati ozbiljne komercijalne i finansijske posledice, kao i strašne pravneposledice, tako da je sigurnosna kopija pre nego što vaše preduzeće izgubi to jasna ijednostavna poruka.

PROCESI PRILIKOM IZRADE REZEREVNIH KOPIJA

razvoju najbolja praksa je pratiti sledeća pitanja i treba uzeti u obzirkada se odlučuje o procesu izrade rezervne kopije informacija

U razvoju najbolja praksa je pratiti sledeća pitanja i treba uzeti u obzir kada se odlučuje oprocesu izrade rezervne kopije informacija:

• Koji su ciljevi organizacije za rezervne kopije?• Ko je odgovoran za postupak pravljenja rezervne kopije?• Kada se prave rezervne kopije?• Kako treba organizovati i upravljati skladištenjem podataka? Koje medije za skladištenje

treba koristiti?• Koji su ciljevi oporavka? Na primer, koji je željeni vremenski cilj između nastale katastrofe

i oporavka i obnavljanja informacija u sistemu?• Koji su zahtevi za performanse?• Koji su aranžmani za postupak izrade rezervne kopije za testiranje• proveriti valjanost oporavka podataka?• Da li se sigurnosne kopije čuvaju na sigurnom i izvan glavnih poslovnih prostora?• Da li osoblje pohađa određenu obuku u pravljenju rezervnih kopija kako bi zaštitilo

svoje osnovne informacije na sopstvenim računarima, a one nemaju centralnu rezervnukopiju, kao i znanje o tome kako da koriste centralni sistem za rezervne kopije premaprocedurama za rezervne kopije, ako je to potrebno i prikladno?

• Da li je potrebno da sigurnosne kopije budu šifrirane i / ili zaštićene lozinkom kako bi seosigurala njihova povjerljivost, integritet i dostupnost?

• Da li se uzorak rezervnih kopija arhivira svaka dva do tri meseca?• Na kraju, uvek razmotrite i planirajte najgori mogući scenario, kada se dogodi katastrofa

i informacije su oštećene, oštećene ili izgubljene: koliko je lako povratiti informacije?

4.2 Planiranje kapaciteta

PLANIRANJE KAPACITETA U ORGANIZACIJI

Cilj planiranja kapaciteta je izbeći probleme preopterećenja ismanjenja nivoa performansi zbog nedostatka kapaciteta srazmernogzahtevima korisnika i kupaca


17

U kontekstu upravljanja informacionom sigurnošću, planiranje kapaciteta je procesidentifikovanja trenutnih i predviđenih budućih zahteva za sistemskim resursima kako bi seosiguralo da organizacija ima dovoljno kapaciteta da svoje poslovanje obavlja na produktivan,efikasan i delotvoran način. Cilj planiranja kapaciteta je izbeći probleme preopterećenja ismanjenja nivoa performansi zbog nedostatka kapaciteta srazmernog zahtevima korisnika ikupaca. Planiranje kapaciteta pomaže da se smanji ovaj nesklad između kapaciteta i zahteva.

Zahtevi za obradom informacija i / ili umrežavanjem organizacije razlikuje se iz različitihrazloga:

• Proširenje operacija obrade preduzeća (npr. Zbog povećanja prodaje i proizvodnje,povećanja baze kupaca, širenja upotrebe lanaca snabdevanja);

• Dodaci ili modifikacije trenutnih Internet usluga koje nudi i / ili njihovih usluga prenosa;• Uvođenje novih radnih praksi i / ili metoda obrade, kao što je omogućavanje većem broju

zaposlenih da rade od kuće i omogućavanje udaljenijeg pristupa;• Novi računarski sistemi koji su umreženi zajedno ili nove mreže mogu biti uključene;• Preraspoređivanje osoblja ili veliko povećanje broja zaposlenih.

Pod pojmom kapacitet, za potrebe planiranja kapaciteta, može se podrazumevati, na primer,količina snage i sposobnosti obrade informacija koja je organizaciji potrebna u datomvremenskom periodu, količina e-pošte ili obim Internet transakcija organizacija treba da seangažuje tokom određenog vremenskog perioda.

Planiranje kapaciteta je od suštinske važnosti da bi se osiguralo da organizacija ima dovoljankapacitet da udovolji zahtevima poslovnog poslovanja i da bi se izbegli problemi kao štosu nedostatak raspoloživosti resursa, preopterećenja sistema, prekidi rada ili pogoršanjesposobnosti obrade sistema.

4.3 Upravljanje promenama

UPRAVLJANJE PROMENAMA ZA POTREBE POSLOVNIH PROCESA

Upravljanje promenama, za potrebe ovog poglavlja, pokriva promeneonih poslovnih procesa, sistema i usluga koji podržavaju obraduinformacija u operativnom okruženju

Upravljanje promenama, za potrebe ovog poglavlja, pokriva promene onih poslovnih procesa,sistema i usluga koji podržavaju obradu informacija u operativnom okruženju. Ovde nasbrine uticaj koji bi bilo koja promena mogla imati na bezbednost informacija u operativnomokruženju. Trebalo bi uspostaviti postupak upravljanja promenama koji identifikuje promenu,procenjuje potencijalni uticaj promene, osigurava formalni pristanak na promenu nakonpregleda potencijalnog uticaja i preduzima potrebne radnje za sprovođenje dogovorenepromene. Ovome dodajte da bi proces upravljanja promenama trebalo da uzme u obzir sveprobleme, zahteve, rizike i uticaje u vezi sa informacionom sigurnošću u vezi sa predloženompromenom i proverite da li bilo koja primena promene ispunjava ove aspekte informacionesigurnosti.


18

Naravno, postoji mnogo vrsta promena koje će organizacija možda morati da razmotri, biloprema unutrašnjem zahtevu ili kao rezultat spoljnog zahteva, poput promena koje se odnosena:

• Poslovna spajanja; smanjenje ili proširenje; povećanje broja zaposlenih;• Novi poslovni procesi; primena novih načina i metoda rada;

Usvajanje nove tehnologije; integracija novih sistema sa starijim sistemima; uvođenje novihmrežnih usluga;

• Pružanje usluga treće strane;• Lanci snabdevanja;• Ugovorne obaveze;• Novi ili revidirani zakoni i propisi.


19

Poglavlje 5

Upravljanje incidentom

DOGAĐAJI KOJI KOMPROMITUJUIncidenti informacione bezbednosti mogu prouzrokovati ozbiljneoštećenja sistema organizacije, njihov značajan prekid u radu ilipodložnost sudskim postupcima

Incidenti informacione bezbednosti mogu prouzrokovati ozbiljne oštećenja sistemaorganizacije, njihov značajan prekid u radu ili podložnost sudskim postupcima(kako građanskim tako i krivičnim). U najgorem slučaju, to čak može ugroziti njihovopstanak kao posla.

Opseg incidenata u vezi sa informacionom sigurnošću je prilično raznolik i uključuje bilokoji događaj koji bi mogao ugroziti zaštitu podataka organizacije. Ovo može biti incidentkoji je izazvao neko u organizaciji (pretnja iznutra) ili neko spolja, van organizacije. Incidentmože nastati namerno ili slučajno. Na primer, neiskusni zaposleni koji koristi loše napisanpostupak, čija je namera da daje uputstva za slanje priloga datoteka e-porukama, možeizazvati incident. Incident bi mogao biti kvar ili kvar sistema zbog nedostatka odgovarajućegodržavanja ili napad virusa ili drugog malvera zbog nedostatka ažurnog antimalverskogsoftvera. Incident bi se mogao odnositi na loš sistem kontrole pristupa, loše sprovedenuproceduru za sprečavanje krađe ličnih karata, pogrešan postupak za sprečavanje prevara ilinedostatak fizičke zaštite koji dozvoljava neovlašćenim licima da uđu u sigurno područje.

Ozbiljnost incidenta može biti manja ili veća, u zavisnosti od nivoa rizika i uticaja. Incidentise mogu dogoditi svakodnevno, nedeljno, mesečno i tako dalje zbog njihove neizvesnosti,pa je važno da organizacija ima uspostavljen postupak za rešavanje incidenta kada bise mogao dogoditi. Sa svim incidentima treba postupati na vreme, ali neki incidenti suozbiljniji od drugih i treba im dati veći prioritet u rešavanju. Što duže organizacija izbegavapreduzimanje odgovarajućih mera, problem može postati gori i veći troškovi koji nastaju time- pravovremenost je presudna za zaštitu organizacije.

5.1 Use Cases

EKSTERNI NAPAD POGAĐA LANAC SNABDEVANJA AUTO-INDUSTRIJE

Use Case 1

20

Srednja kompanija za snabdevanje auto-inženjeringom doživljava brojne spoljne neovlašćenepokušaje uspostavljanja svojih unutrašnjih mreža. Nijedan od njih nije bio uspešan, ali jeuprava bila zabrinuta zbog ovog koncentrisanog niza napada. Njihov zaštitni zid je potom tosledio i blokirao brzi porast broja pokušaja prodiranja u njihov sistem zasnovan na malveru.Istovremeno, sistem e-pošte kompanije bio je bombardiran neprekidnim protokom hiljadaneželjenih imejlova - dovoljno da preoptereti njegov sistem. Ovaj lanac događaja dodatnoje zabrinuo menadžment, jer se činilo da je kompanija na meti. Na sreću kompanije, njenpostupak upravljanja incidentima uspeo je da odvrati bilo kakav ozbiljan uticaj. Ispostavilo senakon konsultacija sa jednim od njihovih krajnjih kupaca da je jedan glavni kupac posebnoglavni cilj, a svi dobavljači kupaca bili su indirektno ciljani da prekinu lanac snabdevanja.U incidentu je došlo do narušavanja sistema upravljanja snabdevanjem kupca. Posle višenedelja istrage u kojoj su učestvovali krajnji kupac i tri njegova dobavljača, nekolikomuškaraca je optuženo za krivična dela, uključujući zaposlene u svim uključenimkompanijama. Uticaj na sve uključene kompanije bio je skup i resursno intenzivan.Izveštavanje u medijima takođe je uticalo na kompaniju i njene dobavljače.

KOMPANIJA ZA ONLINE SERVISE

Use Case 2

Kompanija Online Services nedavno je uvela strogu politiku korišćenja Interneta kako bipoboljšala produktivnost osoblja i korisničku uslugu i usmerila osoblje da provodi manjevremena surfujući Internetom iz ličnih razloga tokom zauzetosti u kancelariji. Činilo se daje ovo funkcionisalo kratko vreme, ali onda je mala grupa osoblja postala nezadovoljna i usuprotnosti sa rukovodstvom. Ubrzo nakon toga, činilo se da je kompanija doživela porastbroja pokušaja neovlašćenog pristupa tokom prva dva vikenda u martu. Takođe je zabeleženporast broja blokiranih virusa iz internih izvora.

Pregledom evidencije o korišćenju interneta, kompanija je primetila da postoji obrazac izmeđublokiranja pokušaja spoljnog pristupa i pokušaja internog pristupa. Detaljnija analiza ostalihevidencija o monitoringu koje je organizacija vodila pokazala je da su oni koji pokušavajuda pristupe unutrašnjem pristupu bili oni isti ljudi koji su izrazili snažno protivljenje nedavnouvedenoj politici, a tri od njih su radila tokom vikenda 3. i 4. marta.

Službenici kompanije obavili su razgovor sa osobljem, a zatim su započeli disciplinskepostupke. Tokom procesa konačno su se pojavila imena prijatelja koji su bili umešani uspoljne pokušaje. Takođe je otkriveno da se neki od neobjašnjivih gubitaka i oštećenja dosijeapreduzeća mogu pratiti unazad do aktivnosti koje su se odvijale tokom vikenda 3. i 4. marta.

Pozvani su nadležni organi da pomognu u slučaju i da podignu optužnice tamo gde je toprikladno. Ova grupa saradnika, osoblja i prijatelja bila je odgovorna za neovlašćen pristup,uništavanje datoteka i podmetanje virusa u sistem kompanije. Istraga je završena sa internimosobljem i spoljnim osobama koje policija tereti za kriminalne aktivnosti.

Poglavlje 5 Upravljanje incidentom

21

Slika 5.1.1 Proces upravljanja incidentom

5.2 Procesi

OPŠTI PROCESI UPRAVLJANJA

Proces upravljanja incidentom

Opšti proces upravljanja incidentima informacione bezbednosti prikazan je na slici 1.

PLANIRANJE

Pripremljenost je vitalna za efikasnost u slučaju većeg incidenta.

Pripremljenost je vitalna za efikasnost u slučaju većeg incidenta. Ovo je priličnozdravorazumsko, ali u praksi se često ne preduzimaju ispravne mere ka pripremi. U mnogimslučajevima, stvaranje niza postupaka za rukovanje incidentima i češće testiranje iprilagođavanje potrebama organizacije odvija se tek nakon što se desi nekoliko većihincidenata. Neke organizacije se delimično bave problemom (na primer, možda imajuinstaliran sistem nezgoda, ali ništa drugo za zaštitu od malvare-a ili softverskih ranjivosti, ane sveobuhvatan sistem koji se može nositi sa bilo kojim oblikom incidenta).

Dakle, važno je da postoji set politika i procedura koji definišu tipičan skup incidenata;postupak za njihovo identifikovanje i procenu; dogovoreni postupak odgovora, rešavanja ioporavka; proces „šta dalje“; utvrđivanje ko je odgovoran za koji deo procesa; i sredstvakomunikacije tokom incidenta dok se on dešava. Važno je da ovo nije samo vežba na papiru,već da se ovi procesi ispituju pre bilo kog potencijalnog incidenta koji se dogodi.

IDENTIFIKACIJA, DETEKCIJA I IZVEŠTAJ

Identifikacija detekcija i izveštaj

Proces treba da identifikuje, detektuje, prijavi i zabeleži:

• Šta je incident (da li je manji ili veći)?• Gde se u sistemu to dešava (interno, eksterno ili oboje)?• Na koje resurse se utiče (interne i / ili eksterne)?

Može postojati preteča, znak da se incident može dogoditi u budućnosti ili naznaka da seincident mogao dogoditi ili da se sada može dogoditi. Tačno izveštavanje i beleženje ovih


22

informacija na šablonu za izveštavanje o incidentima je od ključne važnosti za fazu analize ireagovanja.

ANALIZA I EVALUACIJA

Informacije koje se prijavljuju treba da ih analiziraju i procene kako biprocenili obim i razmere incidenta i težinu incidenta

Informacije koje se prijavljuju treba da ih analiziraju i procene kako bi procenili obim i razmereincidenta, težinu incidenta i postavili pitanja kao što su:

• Da li je ono što se prijavljuje stvarni incident bezbednosti informacija ili neki drugi tipdogađaja?

• Da li su informacije tačne? Da li prijavljeni podaci pružaju potpunu sliku situacije? Nekiindikatori mogu davati netačne ili netačne, nepotpune, obmanjujuće, dvosmislene iunositi lažne pozitivne ili lažne negativne posledice.

• Kakva je priroda incidenta? Koje su njegove karakteristike? Da li su simptomi jasni,očigledni i lako razumljivi?

• Koliki je obim incidenta? Obim treba da naznači koji• to utiče na delove posla; na koje informacione sisteme i poslovne procese se utiče; na

koje mreže, IT sisteme, aplikacije i usluge to utiče; i ko, šta i kako (tj. izvor i uzrokincidenta i kako se događa).

• Da li je sadržano u jednom području ili se širi?• Ako se širi, koliko brzo se širi?• Da li je izolovan samo od unutrašnjih sistema, da li je ušao spolja ili se širi spolja?

ODGOVOR

Kao odgovor na incident, tim treba da radi blagovremeno i da što prevrati sistem u prvobitno operativno stanje

Kao odgovor na incident, tim treba da radi blagovremeno i da što pre vrati sistem u prvobitnooperativno stanje. Vreme je od suštinske važnosti da se zaustavi širenje problema i da seosigura da organizacija može nastaviti da funkcioniše pravilno kako ne bi oštetila ili izgubilasvoje poslovanje zbog prevelikih kašnjenja izazvanih postupkom reagovanja.

Neke ključne tačke:

• Od presudnog je značaja davanje prioriteta onome sa čim se prvo mora odgovoritina incident; svrsishodno donošenje odluka upravljanja je presudno za uspeh odgovora,rešavanja i oporavka. Incidenti koji će se rešavati kao visoki prioritet zavisiće odposlovnog uticaja i zahteva za oporavkom; operativni uticaj; uticaj informacionebezbednosti; korporativni, finansijski i pravni uticaj; i mogućnost oporavka - ali, naravno,sigurnost i zaštita ljudi treba da dobiju najveći prioritet, pre svega.

• Priroda, težina i širenje incidenta i resursi na koje utiče određuju vreme i trud koji supotrebni da se poslovne operacije, procesi, sistemi i mreže vrate u normalu. Vreme iresursi za oporavak mogu biti obimni.


23

• Započnite tim za upravljanje informacionom sigurnošću da se pozabavi oporavkom.• Obradite procenjene rezultate i dokaze o incidentu.• Preduzmite akciju da sprečite incident.

OPORAVAK

Oporavak od incidenta podrazumeva vraćanje sistema na koji je touticalo u normalno operativno stanje kako bi preduzeće moglo danastavi sa radom

Oporavak od incidenta podrazumeva vraćanje sistema na koji je to uticalo u normalnooperativno stanje kako bi preduzeće moglo da nastavi sa radom. Opet, vreme je od suštinskevažnosti da se izbegnu nepotrebni gubici organizacije tokom vremena kada je incident bioaktivan i organizacija nije bila u potpunosti operativna. Neke ključne tačke:

• Sadržati, iskoreniti i rešiti problem.• Vrati.• Ponovo uspostavite sve pogođene računarske sisteme i drugu IT opremu, mogućnosti

umrežavanja računara i veze. Oporavak može uključivati:• Vraćanje iz rezervnih kopija svih izgubljenih, oštećenih ili oštećenih podataka koji su se

desili tokom incidenta;• Obnova sistema;• Zamena ugroženih datoteka;• Instaliranje zakrpa;• Promena lozinki i računa i poboljšanje sistema i• mrežna sigurnost;• Rekonfigurisanje sistema i umrežavanje;• Ponovo uspostavite i vratite poslovne sisteme, procese i usluge u normalno operativno

stanje - proverite da li sve funkcioniše ispravno i kako se očekuje; preneti ovo osoblju imenadžmentu, kupcima, dobavljačima i drugim odgovarajućim dionicima.

• Potpuno dokumentovati slučaj incidenta i promene koje treba uvesti u sistem, politike,procedure i procese; preduzeti sve poslednje radnje u cilju zatvaranja spisa slučaja.


24

Slika 6.1 Incident - Uzrok i efekat

Poglavlje 6

Tim za upravljanje incidentima

TIM ZA UPRAVLJANJE INCIDENTOMProces upravljanja incidentima inf.bez. uključuje aktivnosti radiidentifikovanja, analize i ispravlnjanja problema

Proces upravljanja incidentima informacione bezbednosti uključuje te aktivnosti radiidentifikovanja, analize i ispravljanja problema i olakšavanja odgovora i oporavka sistemakoji su pretrpeli incident. Ovaj proces treba da uključi multidisciplinarni tim, sa nizom veštinapotrebnih za rešavanje niza problema. Tipično, u incidentu bi moglo biti potrebno uključivanjeuprave, osoblja za informacionu bezbednost, IT i ne-IT osoblja, osoblja za fizičko obezbeđenje,ljudskih resursa, pravnih savetnika, onih koji se bave spoljnim odnosima i štampom, aponekad i spoljnih službi za vanredne situacije, politike i možda čak i sindikati.

Tim treba da bude u stanju da analizira situaciju, utvrdi obim i težinu kompromisa, pokreneodgovarajuću akciju kako bi se problem rešio i sprečio da se ponovi i povezao i komuniciraosa svim relevantnim unutrašnjim i spoljnim stranama. Tim za rukovanje incidentima treba daima vođu čiji je zadatak da koordinira proces i olakšava i upravlja timom koji je raspoređen uprocesu.

25

Poglavlje 7

Standardi

ISO/IEC , NISTUpravljanje incidentima

• ISO / IEC 27035 (Upravljanje incidentima informacione bezbednosti):• Prvi deo: Principi upravljanja incidentima;• Deo 2: Smernice za planiranje i pripremu za odgovor na incident;• Deo 3: Smernice za operacije reagovanja na incidente.• ISO / IEC 27037 smernice za identifikaciju, prikupljanje, pribavljanje i čuvanje digitalnih

dokaza;• ISO / IEC 27038 Specifikacija za digitalnu redakciju;• ISO / IEC 27041 (Smernice za obezbeđivanje pogodnosti i adekvatnosti metoda istrage

nezgoda);• ISO / IEC 27042 Smernice za analizu i tumačenje digitalnih dokaza;• ISO / IEC 27043 (Principi i procesi istrage nezgoda);• ISO / IEC 27044 smernice za bezbednosne informacije i upravljanje događajima (SIEM)

(još uvek u izradi);• ISO / IEC 27050 Elektronsko otkriće (još uvek u izradi);• ISO / IEC 30121 Upravljanje digitalnim okvirom za forenzički rizik.

NIST standard

• SP 800-61 Vodič za rukovanje incidentima u računarskoj bezbednosti;• SP 800-83 Vodič za sprečavanje i rukovanje incidentima od malvera;• SP 800-86 (NACRT) Vodič za primenu forenzičkih tehnika na reagovanje na incidente.

26

Poglavlje 8

Dostupnost ISMS-a i kontinuitetposlovanja

VREDNOST I ZNAČAJNe bi trebalo biti sumnje u značaj i vrednost dostupnosti ISMS-a,upravljanje incidentima informacione sigurnosti i kontinuitetposlovanja u pružanju podrške organizaciji.

Ne bi trebalo biti sumnje u značaj i vrednost dostupnosti ISMS-a, upravljanje incidentimainformacione sigurnosti i kontinuitet poslovanja u pružanju podrške organizaciji.

Imamo mnogo primera na globalnom nivou kako poslovni sistemi, procesi i usluge propadajui satima ne rade, što onemogućava poslovanje čije se poslovanje zaustavlja. Uzroci ovihincidenata mogu se kretati od prirodnih katastrofa do internetskih napada s namjernomnamjerom da se sistem sruši. Današnje oslanjanje poslovanja na Internet i IT trebalo bi dastavi veći naglasak na preduzeća koja su spremna da odgovore na takve incidente i dase oporave što je pre moguće kako bi se osigurao prihvatljiv nivo kontinuiteta poslovanja.Poslovni efekti nepostojanja odgovarajuće otpornosti, reagovanja, nepredviđenih događajai postupaka zaštite mogu se previše dobro videti po raznim stvarnim slučajevima koji suse našli na naslovima, od čovekovih situacija do prirodnih opasnosti ili kombinacije oboje(tj. prirodna opasnost izaziva katastrofu u vezi sa nekom situacijom koju je čovek stvorio).Glavne vesti podižu svest o tome koliko naši sistemi mogu biti ranjivi i uticaj na poslovanjekada stvari pođu po zlu. Ova povećana svest skreće pažnju i brige organizacija, građanai potrošača. To pokreće neke organizacije da preispitaju kako bi se snašle ako bi im se todogodilo. Oni treba da ispitaju i ispitaju koliko bi njihovi procesi i sistemi bili dobri u rešavanjuovih problema.

UTICAJ NA POSLOVANJEJedno od važnih pitanja koje treba postaviti je: „Koje su ključne stvarikoje su ključne za organizaciju kako bi joj se omogućilo da nastavi saradom?“

Jedno od važnih pitanja koje treba postaviti je: „Koje su ključne stvari koje su ključne zaorganizaciju kako bi joj se omogućilo da nastavi sa radom?“ Jednom kada ovo saznamo,možemo ih testirati gledajući neke primere koji mogu odgovarati organizaciji koja posluje. Onise zatim mogu koristiti za izračunavanje poslovnih efekata sa kojima bi organizacija mogla dase suoči u slučaju katastrofalnih incidenata.

27

Ako organizacija nije pripremljena i nema pripremljene planove kontinuiteta za pojavukatastrofe, poremećaja u njenom poslovanju, velike kvarove sistema ili spoljne uticaje satržišta na kojima je uključena, onda ostavlja organizaciju širom otvorenom da bude izloženaveliki uticaji koji bi mogli da upropaste posao. Na primer:

• Kvarovi i poremećaji u lancu snabdevanja;• Zaustavljanje napada uskraćivanjem usluge ili grubo ograničavanje operacija u

zavisnosti od IKT sistema, usluga i mogućnosti umrežavanja;• Kritični gubitak prateće infrastrukture (npr. Snabdevanje električnom energijom, gasom

ili vodom) i usluga (npr. Telekomunikacione usluge, ISP usluge, outsourcing objekti);• Veliki ekonomski neuspesi i gubici, uključujući kritičnu depresiju u tržišnim uslovima (npr.

Cene akcija, kamatne stope, ekonomije sveta / zemlje);• Štrajkovi, političke aktivnosti ili prekidi u odnosima radne snage;• Opasnosti po životnu sredinu i katastrofe;• Bombe, eksplozije i teroristički napadi;• Veliki pravni, regulatorni ili ugovorni propusti koji dovode do kazni i obaveza.

PLANOVINeophodno je da organizacija treba da ima uspostavljen plankontinuiteta poslovanja

Neophodno je da organizacija treba da ima uspostavljen plan kontinuitetaposlovanja. Ovaj plan treba da sadrži dokumentovane procedure koje će dati jasneinstrukcije šta treba preduzeti da se odgovori, oporavi, nastavi i obnovi na prihvatljiv nivooperacija nakon prekida, katastrofe, vanrednog stanja ili neuspeha. Ovaj plan treba da sadržiinformacije o potrebnim resursima, uslugama i aktivnostima koje treba preduzeti kako bi seosigurala kontinuirana upotreba kritičnih poslovnih funkcija, procesa i sistema.

PROCESIProcesi planiranja i podrške kontinuitetu poslovanja imaju za ciljosiguravanje dostupnosti pravih resursa i preduzimanje pravihaktivnosti kako bi se održao kontinuitet kritičnih elem.posl.

Procesi planiranja i podrške kontinuitetu poslovanja imaju za cilj osiguravanje dostupnostipravih resursa i preduzimanje pravih aktivnosti kako bi se održao kontinuitet kritičnihelemenata poslovanja koji se vode i rade, i ako ti kritični elementi postanu nedostupni ineoperabilni tokom katastrofe koja postoje procesi za njihovo hitno vraćanje.

U današnjem poslovnom okruženju, gde su IKT vitalni alat za pravilno funkcionisanjeposlovanja, važno je u skladu sa tim zaštititi IKT u slučaju katastrofe. Kada IKT propadnu,budu ugroženi, oštećeni ili postanu nedostupni tokom katastrofe, tada je od vitalnog značajablagovremeni oporavak IKT, što može značiti zamenu oštećene IKT.

Poglavlje 8 Dostupnost ISMS-a i kontinuitet poslovanja

28

Osnovni proces uključen u upravljanje kontinuitetom poslovanja je sprovođenje analizeuticaja. To uključuje prikupljanje, analizu i procenu ovih informacija kako bi se procenio uticajs obzirom na gubitak poverljivosti, integriteta i dostupnosti. Rezultati ovoga onda mogu daidu prema pregledu i procesu donošenja odluka kako bi se utvrdili zahtevi organizacije i štatreba preduzeti da bi se zaštitili od takvih poslovnih uticaja.

Poglavlje 8 Dostupnost ISMS-a i kontinuitet poslovanja

29

Poglavlje 9

Zaključak

ZAKLJUČAKRezime

U ovoj lekciji upoznali smo se sa razlićitim ISMS operacijama, gde uključujemo sledeće:

• Operacione ISMS procedure ( gde smo mogli da vidimo kako one funkcionišu kroz datprimer )

• Operacione pretnje ( Pretnje koje mogu da naškode organizaciji kao što su malveri,neautorizovani pristup, unutrašnje pretnje, dostupnost sistema i socijalni inženjering.

• Operacione procese• Upravljanje incidentima kao i• Dostupnost ISMS-a i nastavak poslovanja

LITERATURAReference

1. https://www.isms.online/iso-27001/annex-a-12-operations-security/2. Humphreys, Edward. Implementing the ISO/IEC 27001: 2013 ISMS Standard. ArtechHouse, 2016.3. Williams, Barry L. Information Security Policy Development for Compliance: ISO/IEC27001, NIST SP 800-53, HIPAA Standard, PCI DSS V2. 0, and AUP V5. 0. CRC Press,2016.4. Maarop, Nurazean, N. Mustapha, Rasimah Yusoff, Roslina Ibrahim, and NorzihaMegat Mohd Zainuddin. "Understanding success factors of an information securitymanagement system plan phase self-implementation." International Journal of Social,Behavioral, Educational, Economic, Business and Industrial Engineering 9, no. 3(2015): 884-889.

30

https://www.isms.online/iso-27001/annex-a-12-operations-security/


Evaluacija performansiLekcija 07

www.princexml.com




EVALUACIJA PERFORMANSI

Evaluacija performansiPoglavlje 1: Performanse, promene i poboljšanjaPoglavlje 2: Nadgledanje i operativni preglediPoglavlje 3: ISMS program meraPoglavlje 4: Trenutno upravljanje rizikomPoglavlje 5: ISMS interna revizijaPoglavlje 6: Pregled upravljanja ISMS-omZaključak




Uvod

UVODUvod

Da li je moj ISMS pogodan za svrhu za koji ga koristimo? Šta tačno ovo znači? Ovdepodrazumevamo da je delovanje ISMS-a efikasno, adekvatno i pogodno za ispunjavanjepolitike, strategije, ciljeva i poslovnih i zakonskih zahteva organizacije. To dovodi do pitanjakako da procenim ISMS kako bih proverio njegove performanse ?

Ovim pitanjima bavićemo se u ovoj lekciji, kao i mnogim drugim kao što su nadgledanje ioperacioni pregledi, nadgledanje rizika, ISMS interne revizije i pregledi upravljanja ISMS-om.

3

Poglavlje 1

Performanse, promene i poboljšanja

PERFORMANSE, POBOLJŠANJA I PROMENE ISMSSISTEMAPitanja na koja mora odgovoriti sistem

Da li je moj ISMS pogodan za svrhu? Šta tačno ovo znači? Ovde podrazumevamo da jedelovanje ISMS-a efikasno, adekvatno i pogodno za ispunjavanje politike, strategije, ciljevai poslovnih i zakonskih zahteva organizacije. To dovodi do pitanja kako da procenim ISMSkako bih proverio njegove performanse, a odgovor je praćenjem aspekata ISMS-a, vršenjemISMS merenja i pregleda. Dakle, da li ISMS procesi uspešno pružaju zaštitu informacionihresursa organizacije? Da li su politike i procedure pogodne? Da li su resursi ISMS adekvatniza upravljanje rizicima? Ova i mnoga druga pitanja pojavljuju se kada započnemo daprocenjujemo performanse ISMS-a kako bismo proverili da li donosi željeni i predviđenirezultat (tj. ISMS se bavi svim zahtevima i pitanjima o kojima se raspravljalo u L04; onupravlja rizicima kao što je razmatrano u L05 ; implementirao je ISMS sa odgovarajućim iadekvatnim politikama, procesima, procedurama i drugim kontrolama za upravljanje rizikom.

PROMENE I SIGURNOST PROMENA„Ništa nije toliko konstantno kao promena“ stara je izreka koja je vrloprikladna

„Ništa nije toliko konstantno kao promena“ stara je izreka koja je vrlo prikladna. Čestose kaže da je promena kvalitet nestalnosti, a sve na ovoj zemlji je prolazno, u stanju stalnogfluksa. Grčki filozof Heraklit video je promene kao i uvek prisutne, neprestano tekuće isveobuhvatne. Promena je u osnovi kontinuiranog poboljšanja i osiguravanja da organizacijaupravlja svojim rizikom kako bi osigurala da svoje podatke štiti u svakom trenutku. Praćenjei pregled promena, uzroci i posledice omogućavaju organizaciji da na odgovarajući načinupravlja nastalim promenama u rizicima i uticajima.

Promene se mogu dešavati polako ili brzo, smanjiti ili povećati, ići napred ili unazad ilinapredovati u istom ili drugom smeru; sve u jednom trenutku će se promeniti, bilo daje reč o nečemu što je fizički jako ili slabo, opipljivo ili nematerijalno. Promena može bitisekvencijalna, nesekvencijalna ili posledična. Organizacije treba da promene vide kao prirodniproces i treba da nadgledaju i preispituju obrasce promena, brzinu i pravac - njegovu brzinu -i sve druge aspekte koji će uticati i uticati na organizaciju.

4

Kako reči Sun Cea odražavaju da organizacija koja poznaje sebe i svoje poslovanje, kao ipoznavanje okruženja i tržišta na kojima posluju, može dovesti do većih šansi za postizanje100% uspeha. Naravno, nastavak ovog uspeha zahteva da organizacija zna, razume iprilagodi se na odgovarajući način i unutrašnjim i spoljnim promenama. Organizacija kojazna svoje snage i slabosti (ranjivosti) informacione sigurnosti, kao i pretnje koje bi ih mogleiskoristiti, daje joj veće šanse da upravlja svojim rizicima informacione sigurnosti. Redovnopraćenje i pregled bilo kakvih promena ovih snaga, slabosti i pretnji omogućava mu da bude uboljoj poziciji da nastavi da poboljšava i održava efikasnu sposobnost informacione sigurnosti.

UPRAVLJANJE PROMENAMAPostoje dva osnovna oblika promena: promena koju organizacijaplanira promena koju organizacija nenamerno ili neplanira i nije podnjenom kontrolom

Postoje dva osnovna oblika promena: promena koju organizacija planira (organizacijaplanira da usvoji novu tehnologiju) i promena koju organizacija nenamerno ili neplanirai nije pod njenom kontrolom (promene na tržištu, zakoni koje organizacija treba odgovoritii prilagoditi se). U oba slučaja, informaciona sigurnost je presudan element u prilagođavanjui / ili odgovoru na promenu.

Upravljanje promenama je put prelaska iz trenutnog stanja u buduće stanje poslovanja.Proces tranzicije može ići relativno glatko ili bi mogao biti ispunjen poteškoćama. Kao takvo,upravljanje promenama uključuje članove osoblja, poslovne i operativne timove,menadžment i samu organizaciju. Način na koji se organizacija prilagođava procesu promenamože značajno promeniti njeno poslovanje. Ako postoji otpor promenama, onda to možeometati ukupan uspeh tranzicije i krajnji rezultat. Pojedinci uopšte mogu biti zabrinuti zbogpromena i možda imaju urođeni osećaj da se odupru. U slučaju velike poslovne promene(npr. Smanjenja broja, spajanja, automatizovanih poslovnih procesa), organizacija treba dapomogne svom osoblju da se pripremi i učini tranziciju što glatkijom, istovremeno pomažućiu ublažavanju svih strepnji.

Uvek će se naći pojedinci ili određene poslovne grupe, a ne cela organizacija koja se opirepromenama: ova situacija je normalna. Kretanje putem najmanjeg otpora dobra je strategijaza mnoge teške situacije u svim sferama života. Korišćenje područja poslovanja za koje znada je otvoreno i prijemčivo i koje pruža najmanji otpor predloženoj promeni, dobra je polaznaosnova za uvođenje i testiranje promene. Jednom kada ovo područje poslovanja steknesamopouzdanje primenom promene i drugi delovi organizacije vide svoj uspeh i vrednost zaposao, organizacija tada može početi da primenjuje promenu u ostatku organizacije.

Rečeno je da je ključ uspeha svesti promene na minimum i ne ići na promene radi promena.Neke stvari možda neće ili ne treba menjati kako bi se osigurala doslednost i kontinuitetposlovanja. Usvajanje promena trebalo bi da bude u skladu sa poslovanjem, a pristup„velikom prasku“ nije nužno najbolji potez; bolje je strategiju promeniti putem linije najmanjegotpora.

Poglavlje 1 Performanse, promene i poboljšanja

5

PROCESIProcesi upravljanja promenama moraju uzeti u obzir sledeće:

Procesi upravljanja promenama moraju uzeti u obzir:

• Kako se promene uklapaju u veće poslovno okruženje u kome organizacija deluje,osiguravajući da primena promena deluje na organizaciju;

• Nema sukoba sa implementacijom ISMS-a, a uzeti su u obzir svi potrebni rizici i uticaji;• Postoji odgovarajuća svest i obuka osoblja u vezi sa promenama, uključujući bilo koju

obuku u vezi sa informacionom sigurnošću;• Komuniciranje promena sa svim zainteresovanim stranama;• Dobijanje podrške i saradnje osoblja za usvajanje promena.

TIPOVI PROMENAPostoji nekoliko vrsta promena, uključujući one koje pokreću spoljnesile na koje organizacija treba da odluči kako će reagovati i reagovati, ione koje organizacija planira i podstiče

Postoji nekoliko vrsta promena, uključujući one koje pokreću spoljne sile na koje organizacijatreba da odluči kako će reagovati i reagovati, i one koje organizacija planira i podstiče (npr.Gde može biti proaktivnija u vožnji i vođenju tržišta sa novi kupci, usluge i / ili proizvodi). Uoba slučaja moraju se uzeti u obzir poslovni rizici (npr. Rizici usvajanja od strane organizacijenove tehnologije da bi joj se dala veća prednost na tržištu ili preuzimanje rizika radi vođenjatržišta sopstvenim razvojem novih tehnologija). Ostali primeri uključuju sledeće:

• Promene poslovne politike, strategije i ciljeva;• Spajanja, smanjenje broja preduzeća i širenje poslovanja;• Promene u poslovnim procesima i operativnoj praksi;• Promene u pogledu prirode, upotrebe i primene informacija i informacionih sistema;• Spoljne promene - političke i ekonomske, tržišta, baza kupaca, životna sredina i socijalne;• Visok promet ljudskih resursa;• Izmene zakona i propisa koje organizacija treba da razmotri kako bi izbegla rizik od

zakonskog nepridržavanja;• Nove ili promene postojećih ugovornih obaveza, SLA ili ugovori na koje organizacija treba

da uzme u obzir da reaguje kako bi izbegla rizik od zakonskog nepridržavanja ili kršenjaugovora;

• Promene u lancu snabdevanja koje pokreću organizaciju ili time što su• vođena organizacijom;• Promene tehnoloških rizika;• Promene u ukupnom profilu rizika usled unutrašnjih ili spoljnih događaja i aktivnosti.• Ponovo, u svim ovim primerima promena mogu postojati zahtevi za bezbednost

informacija, rizici i uticaji koje treba razmotriti.


6

PRAĆENJE I PREGLED TEKUĆIH PROMENASveukupni proces praćenja ISMS-a odnosi se na dobijanje informacija osvim vrstama promena i da li postoji porast nivoa rizika i uticaja

Sveukupni proces praćenja ISMS-a odnosi se na dobijanje informacija o svim vrstamapromena i da li postoji porast nivoa rizika i uticaja. Nadgledanje rezultata promena može sepojaviti praćenjem incidenata i traženjem trendova i obrazaca - bez obzira da li je došlo dopoboljšanja ili pogoršanja performansi informacione bezbednosti.

Nekoliko procesa se može koristiti za pružanje informacija o promenama i efektima promena.Očigledan je postupak upravljanja incidentima, koji pruža informacije o promenama rizika iuticaja, zajedno sa sposobnošću organizacije da na njih odgovori. Ponovna procena rizika iuticaja i analiza nedostataka takođe pružaju slične informacije.

Kartice rezultata, povratne informacije osoblja i slične vrste ljudskih metoda mogu i dajuneke dragocene informacije. Tehnologija u obliku zaštitnih zidova, IDS uređaja, aplikacija zanadzor staza, različitih alata za nadgledanje mreža, usluga, pregledavanja Veba i aplikacijazasnovanih na vebu takođe može dodati značajnu vrednost u ovom procesu prikupljanjainformacija, sve vreme gradeći bolju sliku o promene, trendovi i obrasci koji omogućavajubuduće planiranje i dobro informisano upravljanje i donošenje odluka. Takođe, organizacijane bi smela zanemariti dragocene informacije koje bi mogle biti dostupne u povratniminformacijama kupaca i dobavljača.


7

Poglavlje 2

Nadgledanje i operativni pregledi

NADGLEDANJE ( ENG. MONITORING )Nadgledanje ISMS-a jedno je od glavnih područja zahteva i aktivnosti uISO / IEC 27001

Nadgledanje ISMS-a jedno je od glavnih područja zahteva i aktivnosti u ISO / IEC 27001,a ono spada pod naslov ocenjivanja performansi. Postoji nekoliko aspekata ISMS-a koje biorganizacija trebalo da razmotri, uključujući nadzor i pregled sledećeg:

• Performanse ISMS-a u pogledu njegove efikasnosti, adekvatnosti i pogodnosti;• Promene, rizici i uticaji i njihov uticaj na performanse ISMS-a;• ISMS procesi i kontrole bezbednosti informacija kako bi se proverila njihova efikasnost,

adekvatnost i podobnost; to uključuje procese za upravljanje incidentima, procenu /tretman rizika, obradu informacija, kontrolu pristupa i upravljanje ljudskim resursima;

• Svest osoblja, kompetentnost i upotreba ISMS-a;• Efikasnost, efikasnost i efektivnost IT i mrežnih usluga i infrastrukture;• Upravljanje odnosima sa dobavljačima, uslugama, ugovorima i SLA-ima;• Usklađenost sa politikama i procedurama organizacije, ugovornim obavezama, zakonima

i propisima.

Organizacija treba da nadgleda i pregleda učinak svog ISMS-a u smislu svojih:

• EFikasnost: Da li ISMS uspešno daje željeni ili namjeravani rezultat?• Adekvatnost: Da li ISMS pruža prihvatljiv kvalitet i količinu informacione sigurnosti?• Pogodnost: Da li je ISMS tačan i prikladan za organizacij upotrebe, svrha i priroda posla?• Nadgledanje i pregled performansi ISMS-a pomaže organizaciji da održi i poboljša ISMS.

To takođe znači praćenje i pregled ISMS-a u organizacionom kontekstu - osiguravanje daISMS bude efikasan, adekvatan i pogodan za rešavanje kako unutrašnjih tako i spoljnihpitanja i poslovnog konteksta i da ISMS ispunjava potrebe i očekivanja zainteresovanihstrana.

• Do sada bi trebalo da bude jasno da se bilo koja aktivnost koja uključuje ISMS moraobavljati uz znanje i upoznavanje sa poslovnim zahtevima i sposobnošću da se timzahtevima udovolji. Ovo bi trebalo da bude prava suština i etos iza čega organizacijaprimenjuje svoje ISMS. Bilo koji pregled koji se odnosi na ISMS mora to uvek imati naumu.

8

NADGLEDANJE I PREGLED SVESNOSTI OSOBLJA,KOMPETENTNOSTI I UPOTREBE ISMS-AKompetentnost osoblja se generalno smatra znanjem, veštinama iponašanjem koje organizacija zahteva od pojedinca da bi pravilnoobavljao određenu radnu funkciju ili ulogu

Kompetentnost osoblja se generalno smatra znanjem, veštinama i ponašanjem kojeorganizacija zahteva od pojedinca da bi pravilno obavljao određenu radnu funkciju ili ulogu.Na primer, uloga prodaje i marketinga može zahtevati veštinu uticaja i pregovaranja, dokbi uloga mrežnog administratora trebalo da uključuje tehničko znanje i analitičke veštine.Neko ko radi u kadrovskoj grupi koja je odgovorna za sve kadrovske evidencije mora dobropoznavati zakonodavstvo koje se odnosi na rukovanje kadrovskim podacima, informacionusigurnost radi zaštite podataka, znanje o predaji kadrovskih problema, veštinu rukovanjarazličitim osobljem vrste i dobre veštine komunikacije. Ovo je nekoliko neophodnih zahtevaza kompetencijom.

Često se kaže da deo ljudske prirode i psihologije teži da ljudi nateraju sebe da ispitajusebe ili pod- ili preterano procene svoju kompetentnost: oni koji su nesposobni za zadatkeponekad precenjuju, dok se ti vrlo kompetentni ljudi ponekad potcenjuju. Dobar menadžmentuvek treba da motiviše, a ne da demotiviše svoje osoblje, jer je osoblje jedno od najvažnijihbogatstava koje organizacija ima. Pružanje dobrog rukovodstva i motivacije rukovodstvu,davanje odgovarajuće količine odgovornosti i podsticaja i omogućavanje dobrih kanalakomunikacije između menadžmenta i osoblja put je ka uspehu.

Praćenje nivoa resursa osoblja, njihovih skupova veština, razvoja karijere, potrebe za obukom/ prekvalifikacijom i tako dalje glavni je zadatak koji rukovodstvo treba da preduzme.

BEZBEDNOSNA KULTURAČlanovi osoblja su značajni pokretači sopstvene produktivnosti ikolektivne produktivnosti i efikasnosti poslovanja

Članovi osoblja su značajni pokretači sopstvene produktivnosti i kolektivne produktivnosti iefikasnosti poslovanja. Stoga je važno imati dobre prakse u pogledu ljudskih resursa, kaoi usaditi dobru bezbednosnu kulturu. Razvijanje zdrave bezbednosne kulture u organizacijitreba da bude jedan od glavnih ciljeva organizacije. Ova tema bezbednosne kulture toliko jevažna kao kontrola upravljanja informacionom sigurnošću da joj se bave razne međunarodneinstitucije i organizacije, uključujući OECD u svom radu „Smernice za bezbednostinformacionih sistema i mreža - ka kulturi bezbednosti, Jula 2002. “

Dobro upravljanje ljudskim resursima trebalo bi da postoji za rešavanje internih problema ilisukoba osoblja (npr. Bavljenje nezadovoljnim ili nezadovoljnim osobljem, onima koji rade podlošim radnim uslovima ili pod neprimerenim pritiskom ili onima koji nisu prošireni na nivosvojih veština i kompetencija) . Rešavanje ovih problema što je pre moguće može da izbegne

Poglavlje 2 Nadgledanje i operativni pregledi

9

neke od ranije pomenutih insajderskih rizika, istovremeno podržavajući produktivnost iefikasnost osoblja.

Neke organizacije već dugi niz godina imaju svoju kulturu bezbednosti. Ove organizacijesu shvatile značaj i koristi koje takva kultura može ponuditi sveukupnoj svesti i kasnijojinformacionoj sigurnosti njihovog poslovanja u celini. Često se kaže da IT nije probleminformacione sigurnosti; nego ljudi koji koriste IT. Ovo se podudara sa mnogim bezbednosnimanketama, pregledima, revizijama i izveštajima koji ukazuju da su ljudi uzrok mnogihnarušavanja bezbednosti i incidenata.

NADGLEDANJE OSOBLJANadgledanje i pregled osoblja u odnosu na njegove odgovornosti iuloge u vezi sa informacionom sigurnošću je izuzetno važno

Nadgledanje i pregled osoblja u odnosu na njegove odgovornosti i uloge u vezi sainformacionom sigurnošću je izuzetno važno. Međutim, to bi trebalo uraditi kao deouobičajenog upravljanja linijama i procesa ljudskih resursa koji već postoje. To ne bi trebaloraditi na način „starijeg brata“, jer će se zbog toga osoblje osećati loše, demotivisano ilipreterano ograničeno, što može dovesti do grešaka ili nezgoda u radu. To bi moglo uticatina njihovu efikasnost i efikasnost, a u nekim slučajevima bi moglo dovesti do nezadovoljnogzaposlenog koji je pokrenuo insajderski napad. Dakle, treba postići ravnotežu između laissezfaire i drakonskog stila upravljanja ljudskim resursima.

Mnoge organizacije su usvojile AUP za kontrolu upotrebe organizacionih resursa i objekata(npr. IT, Internet usluge i e-pošta).

Svi oblici praćenja i pregleda aktivnosti osoblja moraju se vršiti u skladu sa lokalnim zakonimai propisima.

NADGLEDANJE I PREGLED PROCESA BEZBEDNOSTIINFORMACIJAISO / IEC 27001 definiše mnoge procese, uključujući one na nivouupravljanja, revizije i usaglašenosti, kao i na nivou ljudskih resursa i natehničkom nivou

ISO / IEC 27001 definiše mnoge procese, uključujući one na nivou upravljanja, revizije iusaglašenosti, kao i na nivou ljudskih resursa i na tehničkom nivou. Ove procese će trebatinadgledati i pregledati kako bi se proverile performanse, a ako se čini da su performanseispod standarda, onda postupak treba poboljšati. Na primer, ako rezervna kopija nefunkcioniše ispravno, ne dovrši se pravilno, ne isporučuje se u skladu sa očekivanjima, otkrijeda je oporavak podataka težak ili neuspešan, redovno generiše greške ili mnoge drugemoguće probleme, tada je potreban proces koje treba pregledati i neophodna su poboljšanjaprocesa. Ostali primeri praćenja uključuju proces regrutovanja osoblja, postupak upravljanjakorisničkim pristupom (dodeljivanje i uklanjanje računa, dodeljivanje prava pristupa,


10

privilegija i lozinki, atributa za potvrdu identiteta i tako dalje), proces upravljanja uslugama ilirazne aktivnosti u vezi sa obradom informacija.

Sam proces upravljanja rizikom treba povremeno pregledati. Efikasnost ISMS-a zavisi odkvaliteta upravljanja rizikom: praćenje i pregled rezultata procene rizika, kriterijumi i metodekoji se koriste, metoda za određivanje kontrola koje se sprovode, donošenje odluka o lečenjurizika, izračunavanje rezidualni rizik - sve ovo treba da bude deo vežbe praćenja ipreispitivanja.

NADGLEDANJE I PREGLED KONTROLABEZBEDNOSTI INFORMACIJAU ISO / IEC 27001 definisano je mnogo kontrola dizajniranih za različitesvrhe: upravljanje, ljudski resursi, politike i postupci, revizija,usaglašenost, fizička i tehnička

U ISO / IEC 27001 definisano je mnogo kontrola dizajniranih za različite svrhe: upravljanje,ljudski resursi, politike i postupci, revizija, usaglašenost, fizička i tehnička. Ponovo, redovnopraćenje i pregled kontrola omogućava organizaciji da prati svoje performanse i da preduzmeodgovarajuće mere za sprovođenje poboljšanja kontrola po potrebi i kada je to potrebno.Na primer, politika prihvatljive upotrebe može biti loše napisana, nejasna i zbunjujuća upogledu toga šta jeste, a šta nije dozvoljeno ponašanje u vezi sa upotrebom e-pošte. Dogodilose nekoliko incidenata pri kojima su korisnici slučajno zloupotrebili sistem e-pošte čiji jeosnovni uzrok ova loše napisana politika. Drugi primer može biti nadgledanje nivoa resursapotrebnih za bavljenje svakodnevnim upravljanjem nekim od ISMS procesa. Ako procesupravljanja incidentima smatramo predmetnim slučajem i nivoom timskih resursa potrebnihza obavljanje posla: može se dogoditi da se broj incidenata neprestano povećava ili daorganizacija doživljava veoma velike nalete aktivnosti. Ovo bi moglo zahtevati ekstrakvalifikovanu podršku za postojeći tim za incidente bilo na puno ili na određeno vreme, bezobzira na to kakva je potreba za praćenjem situacije za ljudskim resursima ISMS-a. U nekimkritičnim slučajevima to može značiti razliku između preživljavanja i potpunog poremećaja ineuspeha. Važno je nadgledanje potreba i zahteva u svim oblastima delovanja ISMS-a.

U ISO / IEC 27001 postoji mnogo upravljačkih kontrola, uključujući kontrole politika iprocedura, koje sve mogu biti predmet nekog oblika praćenja. Dokumentacija, kao što supolitike i postupci, biće stvorena, odobrena, korišćena u svakodnevnim operacijama i u nekomtrenutku ih treba ažurirati i pregledati. Ovo je uobičajena praksa i deo je usaglašenosti ISO/ IEC 27001. Nadzor je izuzetno potreban da bi se proverilo da li je sva dokumentacija uvezi sa ISMS-om prikladna i adekvatna; dostupan je svima onima kojima je potreban pristup;je odgovarajuće i efikasno zaštićen; ima odgovarajuću odgovarajuću kontrolu verzija; i naadekvatan i efikasan način se čuva, arhivira i odlaže po potrebi.

Neke kontrole, poput onih koje su podržane upotrebom IT-a, mogu se nadgledati pomoćuautomatizovanih ili poluautomatizovanih sredstava (npr. Softvera koji se koristi zanadgledanje neovlašćenog pristupa ili otkrivanje upada ili za generisanje revizorskih tragova).


11

NADGLEDANJE I PREGLED IT-A, MREŽNIH USLUGA IINFRASTRUKTUREISO / IEC 27001 nije IT bezbednosni standard; to je standardupravljanja informacionom sigurnošću

ISO / IEC 27001 nije IT bezbednosni standard; to je standard upravljanja informacionomsigurnošću. Bavi se direktno sigurnošću informacija, a ne direktno informatičkom sigurnošćuili mrežnom sigurnošću. Bez obzira na to, IT i mrežne usluge i infrastruktura danas su važanalat za upravljanje i kao takvi, kao i druga podrška za upravljanje i poslovni alati, metode iprocesi, takođe imaju implikacije na efikasnost, adekvatnost i pogodnost ISMS-a organizacije.

Kada nadgledate i pregledate upotrebu ISMS-a i primenu IT i mrežnih usluga i infrastrukture,sledeće su neke stvari koje treba pokriti:

• Politike i procedure za korisnike i upravljanje koji uključuju sigurno i prihvatljivo korišćenjei primenu IT-a i mrežnih resursa, upravljanje korisničkim pristupom, sigurnu obraduinformacija koja uključuje upotrebu IT-a, poslovne komunikacije i transakcije pomoćumrežnih usluga i tako dalje;

• Aspekti upravljanja informacionom bezbednošću u vezi sa upotrebom poslovnog,operativnog i aplikativnog softvera;

• Upravljanje bezbednošću informacija vezano za upotrebu IT-a za poslovne procese;• Upravljanje incidentima informacione bezbednosti vezano za upotrebu IT i mrežnih

usluga i infrastrukture;• Aspekti upravljanja informacionom sigurnošću povezani sa upotrebom IT i mrežnih

usluga i infrastrukture za kontinuitet poslovanja, dostupnost i elastičnost.


12

Poglavlje 3

ISMS program mera

ISMS METRIKA I MERENJAMetrika je standard ili sistem merenja, a merenje je rezultat merenjanečega u odnosu na metriku

Metrika je standard ili sistem merenja, a merenje je rezultat merenja nečega u odnosu nametriku. Na primer, litar imamo kao standard za merenje kapaciteta tečnosti, sekunde kaomerenje vremena ili stepene Celzijusa kao merenje temperature.

U pogledu informacione sigurnosti, postoji mnogo vrsta metrika ili mera koje se mogudefinisati (npr. Broj u procentima sistemskih ranjivosti koje se rešavaju u određeno vremenakon određenog vremena otkrivanja ili broj u procentima rešenih incidenata u okviruodređenog vremena nakon postavljenog vremena otkrivanja). Još jedan primer može bitiefikasnost službe za bezbednost: broj (%) primljenih, odgovorenih ili napuštenih poziva;prosečno vreme obrade upita i prosečno vreme čekanja; broj (%) rešenih / nerešenihproblema; zadovoljstvo korisnika / kupaca. Koji god pokazatelji bili izabrani, oni moraju biti uskladu sa zahtevima organizacije da bi se isporučio i održao efikasan, adekvatan i pogodanISMS.

ISMS merenja

U pogledu ISMS-a, organizacija treba da definiše koje metrike / mere treba da koristi ikako, kada, gde i ko / koja merenja treba preduzeti. Izbor metrika / mera u potpunosti je urukama organizacije, kao i kako, kada, gde i šta u vezi sa merenjima. Naravno, mora uvekbiti usredsređen na cilj merenja (tj. Na proveru performansi ISMS-a s obzirom na njegovuefikasnost, adekvatnost i pogodnost). Ova merenja će pružiti dragocene ulazne podatke uvezi sa praćenjem i pregledom ISMS-a i, shodno tome, pomoći će da se utvrdi koja poboljšanjatreba izvršiti na ISMS-u.

Izvođenje merenja i njihova analiza je obavezni zahtev ISO / IEC 27001 ako organizacija želida zatraži usaglašenost sa ovim standardom. Pored toga, merenje ima brojne poslovne koristiza organizaciju (npr. U velikoj meri pomaže u upravljanju rizicima i raspodeli resursa i budžetaza kontrolu rizika). Takođe pomaže u demonstriranju usaglašenosti (tj. Organizacija ispunjavapotrebe i očekivanja zainteresovanih strana). Takođe pomaže povećanju odgovornosti iproveri primene.

13

3.1 Program merenja

ISMS PROGRAM MERENJA

ISMS program merenja treba da bude dizajniran da obezbediorganizaciji sledeće

ISMS program merenja treba da bude dizajniran da obezbedi organizaciji sledeće:

• Procenjena procena koliko dobro rade, koliko se ISMS procesi i kontrole koriste i kolikodobro rade;

• Postavite referentne vrednosti i pokazatelje učinka koji će se postaviti;• Bolje informisano donošenje odluka o efikasnosti, adekvatnosti i pogodnosti ISMS-a;

rešenja za lečenje rizika; poboljšanja;• Pokazati izvršnom direktoru, direktorima, višem rukovodstvu, zainteresovanim stranama

i odboru vrednost ISMS-a u smislu da se efikasno upravlja rizicima i uticajima da bi sepostigli željeni ISMS rezultati, postoji odgovarajući nivo zaštite koji pruža ISMS , ISMS jepogodan da udovolji potrebama organizacije i da takav i ostane.

• Merenje treba posmatrati kao aktivnost od velike važnosti za postizanje, održavanje ipoboljšanje efikasnosti, adekvatnosti i pogodnosti ISMS-a. Aktivnost merenja treba dabude povezana sa aktivnošću nadgledanja, jer treba da se mere na stvarima koje seprate radi efikasnosti, adekvatnosti ili pogodnosti. Prema tome, sve što je rečeno u OU2primenjuje se ovde u Odeljku OU3. Podjednako su praćenje i merenja vezani za pregledemenadžmenta.

Jedan od načina za tumačenje zahteva iz L08 ISO / IEC 27001 o proceni učinka je reći daorganizacija treba da uzme u obzir sledeće:

• Mora se definisati skup merila (unapred definisani standardi merenja - vrste mera) zamerenje.

• Deo zadatka definisanja mernog sistema biće definisanje ciljeva i pragova informacionebezbednosti - ključnih pokazatelja učinka i načina na koji se ti ciljevi izračunavaju,preispituju i ažuriraju, imajući u vidu da bi merenja trebalo da budu objektivna,pouzdana, tačna, ponovljiva , proverljiv, relevantan i kvantificiran u odnosu na poslovneciljeve.

• Koje procese, postupke i metode treba koristiti za preduzimanje i procenu ovih merenja.• Učestalost vršenja merenja - kada treba vršiti merenja, kome osoblju je dodeljen zadatak

merenja i ko treba da obezbedi njihovo merenje (imajući u vidu da neka merenja mogubiti ručna, poluautomatizovana ili automatizovana).

• Kada je merenje potrebno proveriti, proceniti, analizirati, oceniti i pregledati i kojem članuosoblja je dodeljena ova funkcija posla.

Poglavlje 3 ISMS program mera

14

METODE MERENJA

Standard ISO / IEC 27001 ne definiše nijednu metodu merenja, jer jebroj načina merenja veliki

Standard ISO / IEC 27001 ne definiše nijednu metodu merenja, jer je broj načina merenjaveliki. Takođe, sistem merenja veoma zavisi od unutrašnjih standarda, procesa, načina rada iposlovne kulture organizacije. Verovatno je da će organizacija imati vežbe za procenu učinkau drugim oblastima svog poslovanja (npr. Upravljanje projektima, upravljanje kvalitetom iliupravljanje problemima). Metode koje se koriste u ovim drugim oblastima za procenu učinkamogu biti prihvaćene za upotrebu ISMS-a. Ali opet, ovo u potpunosti zavisi od organizacije injenog višeg rukovodstva koji će odlučiti koje metode, metriku i merni sistem treba usvojitida bi zadovoljili zahteve ISO / IEC 27001.

Neke metode upravljanja podacima se primenjuju na proces merenja i mogu se koristiti zaprikupljanje i prikupljanje mernih podataka, a neke metode takođe mogu pomoći u proverikvaliteta, integriteta i validnosti mernih podataka. Ali opet treba naglasiti da je na organizacijida odluči i upravlja svojim mernim sistemima i koje metode su adekvatne i pogodne zasopstvenu upotrebu. Takođe treba naglasiti da su sistemi i metode praćenja i merenja kojisu korišćeni sami predmet procene učinka. To znači da koje god metrike, metode i ko, kadai kako vrši merenje takođe spadaju pod lupu procene i pregleda, jer će možda biti potrebnapoboljšanja ako sistem za nadzor i merenje koji je usvojen sam po sebi ne funkcionišedobro (tj. , pokazuje se neefikasnim, neadekvatnim ili neprikladnim). Dakle, sistem praćenjai merenja treba pregledati u planiranim intervalima kako bi se proverila njegova efikasnost,adekvatnost i pogodnost.

ZAŠTITA, PRIKUPLJANJE I KOLEKCIJA PODATAKA

Važno je napomenuti da neki podaci koji se prikupljaju u okvirunadzora i merenja mogu sadržati detalje stvarnih ili potencijalnihslabosti ili ranjivosti u oper.sist. i procesima org.

Važno je napomenuti da neki podaci koji se prikupljaju u okviru nadzora i merenja mogusadržati detalje stvarnih ili potencijalnih slabosti ili ranjivosti u operativnim sistemima iprocesima organizacije. Kao takva, ova vrsta osetljivih podataka, u obliku zapisa i drugedokumentacije, mora biti adekvatno zaštićena kako bi se izbeglo curenje, neovlašćeni pristupi neovlašćene izmene.

Prikupljanje i kolekcija podataka

Ono što ćemo ovde predstaviti su neke od osnovnih metoda prikupljanja informacija zamerenje performansi. Često se kaže da organizacija dobija samo ono što meri, pa ako ne meriprave stvari, ne postavi najprikladnije ciljeve i pokazatelje učinka ili ne postavi najprikladnijapitanja, možda neće doći do pravih odgovora da joj kaže kako pa njegov ISMS radi. Naravno,ovo je lakše reći nego učiniti; otuda i razlog za stalno korišćenje poboljšanja, što pomaže upraćenju, pregledu i poboljšanju procesa, uključujući one koji se koriste za merenja. Stoga


15

će pažnja i pažnja u dizajniranju ovih metoda i merenja izbeći nepotreban rad i obezbeditiodgovarajuće rezultate donošenja odluka.

Pored toga, kvalitet, integritet i validnost podataka zavise od uzetog uzorka (npr. Loš uzorak,mali uzorak ili uzorak koji nije istinski reprezentativan za određeni aspekt ISMS-a). Da birezultati programa merenja bili korisni, adekvatni i pogodni da bi bili od koristi za organizaciju,tada treba prikupiti podatke iz zaista reprezentativnog, statistički značajnog, doslednoguzorka.


16

Poglavlje 4

Trenutno upravljanje rizikom

ODGOVORNOST I POSVEĆENOST RIZIKUSrž ovoga kao i svih drugih aspekata ISMS-a je tema rizika

Ovo poglavlje govori o proceni učinka ISMS-a, a srž ovoga kao i svi drugi aspekti ISMS-a je tema rizika - ne možemo se izvući ili ukloniti iz ove važne i kritične teme. Merenjabi nas mogla obavestiti da postoji problem sa ISMS-om (tj. Postoje rizici koji uzrokuju ovajproblem): novi rizici, varijante starih rizika ili stari rizik koji je postao virulentniji, neprijateljskiraspoložen, verovatniji ili nosi veću uticaj. U takvom slučaju, organizacija treba ponovo daproceni svoje rizike. Istovremeno, procena rizika, sama po sebi, predstavlja merenje koliko jeISMS dobar u pogledu efikasnosti, adekvatnosti i pogodnosti.

Poduzimanje odgovarajuće akcije i reagovanje na upravljanje rizicima informacionebezbednosti sa kojima se organizacija suočava presudno je za postizanje efikasnog,adekvatnog i pogodnog ISMS-a. Procesi procene rizika, lečenja rizika i izbora kontrola čineprvu fazu postupka kontrole rizika. Druga faza obuhvata sprovođenje kontrola i podržavajućeakcije za uspostavljanje sistema kontrola i njihovo postavljanje u ISMS, a treća faza uključujenapredovanje, prisustvo sa najnovijim promenama, reagovanje na promene gde je topotrebno i održavanje efikasan režim bezbednosti informacija (tema ovog poglavlja).

U svim fazama procesa upravljanja rizicima potrebno je čvrsto zalaganje od strane višegmenadžmenta, operativnih menadžera i osoblja. Svi imaju svoju ulogu u suprotstavljanjupretnjama i incidentima koji rezultiraju neželjenim poslovnim rizicima i uticajima. Slika 1prikazuje pojednostavljeni prikaz tipičnih nivoa posvećenosti i odgovornosti.

17

Slika 4.1 Nivo posvećenosti

REDOVNE PROCENE RIZIKAPovremeno profil rizika organizacije treba pregledati i ažurirati

Povremeno profil rizika organizacije treba pregledati i ažurirati. Ovo je od suštinske važnostida bi se išlo u korak sa promenama, radilo se na poboljšanjima i održavalo efikasno,adekvatno i pogodno sprovođenje ISMS-a. To je ključni deo procesa kontinuiranog poboljšanja.

To znači da procene rizika treba da se sprovode redovno. Pored toga, procena rizika bićepotrebna i u slučaju većeg incidenta ili promene u poslu. To će uključivati pregled trenutnogstanja prethodno identifikovanih rizika i uticaja, kao i razmatranje novih rizika i uticaja. Tadaće biti potrebno ažuriranje registra rizika. Tada će biti potrebno ažuriranje registra rizika. Kaoprimer, ovo obično uključuje sledeće:

• Prethodno identifikovani rizici i uticaji:◦ Pregledati, ponovo proceniti i preračunati prethodno identifikovane rizike i uticaje,

proveravajući nivoe i prikladnost statusa,◦ Dodajte, izmenite i / ili izbrišite unose ili detalje svih relevantnih promena u registru

rizika• Novo identifikovani rizici i uticaji:

◦ Proceniti novootkriveni rizik uzimajući u obzir informacije sadržane u izveštajimao incidentima; revizorski izveštaji; provere bezbednosti; povratne informacije i

Poglavlje 4 Trenutno upravljanje rizikom

18

izveštaji kupaca, korisnika i uprave; svi promenjeni uslovi i sve nove informacijepovezane sa rizikom;

◦ Izračunajte uticaje povezane sa novim rizicima. Ponovno procijenite prioritete rizika.

MERENJE I METRIKE RIZIKADostupne su različite vrste metrika i merenja koja se odnose na proceszasnovan na uprav.rizicima

Dostupne su različite vrste metrika i merenja koja se odnose na proces zasnovan naupravljanju rizicima. Kvantitativne metrike i merenja zasnivaju se na upotrebi statističkih iliistorijskih podataka i novčanih vrednosti. To uključuje imovinu u kojoj se stvarne količinemogu koristiti za direktno povezivanje štete sa nekom numeričkom vrednošću:

• Troškovi oporavka od kvara sistema, napada virusa, uskraćivanja usluge i drugihincidenata;

• Troškovi zamene oštećenog sistema ili dela opreme;• Podaci o pouzdanosti kvarova opreme ili komponenata (npr. MTBF);• Evidencija koja se odnosi na vreme zastoja sistema, pokušaje pristupa, mrežne podatke

(npr. Kašnjenja u prenosu, kašnjenja u pristupu, padovi poziva i sesija i stope grešaka);• Statistika koja se odnosi na zemljotrese, cunamije, erupcije vulkana, poplave, tajfune i

druge prirodne pretnje, pandemije i tako dalje.

Nekoj imovini je teško dodeliti kvantitativnu meru rizika (npr. Same informacije, imidž ireputacija kompanije, veštine ljudskih resursa ili kompetencija napadača i njihov kapacitet iresursi za izvođenje napada). Stoga kvantitativne metode za rizike ISMS-a i merenje nije uvekmoguće primeniti zbog nedostatka dostupnih podataka, u kom slučaju se obično primenjujukvalitativne metode.

Kvalitativne metrike i merenja ne uključuju upotrebu statističkih ili istorijskihpodataka, već koriste sistem ocenjivanja kao što je nizak, srednji, visok i vrlovisok da bi se izrazila vrednost rizika, uticaja ili verovatnoće. Iako se ovo možečiniti nepreciznom metodom, to je uglavnom dobra metoda za bavljenje širokimspektrom objekata kojima se obrađuje ISMS - ljudi, menadžment, procesi iinformacije. Stoga su kvalitativne metode uglavnom prikladnije za ISMS, jer ječesto više nesigurnosti u proceni okruženja informacione sigurnosti. U praksi,složenost pitanja informacione bezbednosti zahteva kombinaciju kvalitativne ikvantitativne procene, posebno jer će imovina pokriti materijalne i nematerijalne,upravljačke i neupravne vrste imovine.

Polukvantitativne metode se bave potrebom da se kvalitativna merenja izraze uobliku brojeva (npr. Nizak rizik = 0, srednji rizik = 1, visok rizik = 2 i vrlo visokrizik = 3). Sami brojevi mogu se dalje kvantifikovati značajnijim terminima, kaošto su novčane vrednosti, degradacija nivoa usluge i dostupnosti, smanjenje nivoaperformansi i smanjenje efikasnosti i produktivnosti.

Poglavlje 4 Trenutno upravljanje rizikom

19

Poglavlje 5

ISMS interna revizija

INTERNA REVIZIJADa bi se usaglasile sa ISO / IEC 27001, organizacije treba da izvršeinterne revizije

Da bi se usaglasile sa ISO / IEC 27001, organizacije treba da izvrše interne revizije. Svrhainterne revizije je da proveri da li ISMS zadovoljava zahteve ISO / IEC 27001. Ovo će razmotritiefikasnost, adekvatnost i prikladnost ISMS-a. Ova revizija može identifikovati slabe veze ipraznine u ISMS-u i potencijalne mogućnosti za poboljšanja.

Ove revizije treba provoditi u planiranim intervalima kao dio programa revizije. Svaka revizijatreba da ima plan revizije koji detaljno opisuje ciljeve i opseg revizije, kriterijume revizije.Ciljevi revizije su utvrđivanje šta revizijom treba postići, uključujući usaglašenost ISMS-a sakriterijumima revizije, i utvrđivanje da li ISMS ispunjava relevantne zakonske, regulatorne iliugovorne zahteve. Obim revizije definisaće obim i ograničenja revizije - delove ISMS-a koji ćebiti obuhvaćeni: koje aktivnosti, sistemi, procesi, kontrole, lokacije, poslovne jedinice i takodalje. Kriterijumi za reviziju uključuju zahteve iz ISO / IEC 27001 i sve standarde ili zahtevespecifične za organizaciju.

Reviziju će provoditi kvalifikovani revizor ISMS-a ili tim revizora ISMS-a, u zavisnosti odveličine i obima revizije. Kvalifikovani ISMS revizor (ili revizorski tim) imaće potrebno znanje,veštine, kompetencije i revizorsko iskustvo za sprovođenje ISMS revizija. Ako postoji revizorskitim, tim će voditi vodeći revizor, a obično bi glavni revizor trebalo da ima još nekoliko godinaiskustva u reviziji ISMS-a. Oni koji vrše našu ISMS reviziju nisu trebali biti uključeni u razvojISMS-a niti su trenutno uključeni u aktivnosti ISMS-a. Drugim rečima, oni treba da izbegavajubilo kakav sukob interesa i moraju da ostanu nepristrasni. Samo nepristrasnošću revizijemože se zajamčiti povjerenje u rezultate. Stoga interne revizije ISMS-a i nezavisne revizijesertifikata moraju biti objektivne, nepristrasne, bez predrasuda, uravnotežene i poštene.

Opšti postupak revizije, koji je primenljiv na interne revizije, opisan je u L09. Takođe, višedetalja i smernice o revizijama mogu se naći u ISO 19011, ISO 17021 i ISO / IEC 27007.Rezultati i nalazi interne revizije, dokumentovani u izveštaju o reviziji, pružaju se kao ulazna sastanke revizije rukovodstva. Rezultati takođe pružaju povratne informacije višemrukovodstvu i zainteresovanim stranama. Interne revizije su ključni element u procesupraćenja i pregleda i korisno su sredstvo upravljanja za identifikovanje problema, rizika ineusaglašenosti povezanih sa ISMS-om.

20

Poglavlje 6

Pregled upravljanja ISMS-om

PREGLED UPRAVLJANJADrugi aspekt vežbe procene učinka je menadžerski pregled ISMS-a

Drugi aspekt vežbe procene učinka je menadžerski pregled ISMS-a. Viši rukovodiociće redovno vršiti preglede rukovodstva u planiranim intervalima. Svrha ovih, kao i ukupnogcilja procene učinka, je da se proveri efikasnost, adekvatnost i prikladnost ISMS-a. Ovisastanci treba da pregledaju sve relevantne informacije: izveštaje iz revizija i procenabezbednosti i rezultate merenja, procene rizika, povratne informacije, promene koje utiču naorganizaciju, promene zahteva i razmatranje drugih vrsta ulaznih podataka koji mogu imatiuticaja na efikasnost, adekvatnost i prikladnost ISMS-a.

Ovim sastancima treba da prisustvuju zainteresovane strane i svi oni koji treba da se prijavena takve sastanke, zbog njihove funkcije posla ISMS-a ili zbog radnje koja im je postavljena(npr. Prošli sastanci). Drugi će možda trebati da prisustvuju tim sastancima, ne redovno,ali tamo gde određena tačka dnevnog reda zahteva njihove specifične veštine ili znanje orelevantnoj temi ISMS-a.

ULAZ ZA PREGLED UPRAVLJANJAPrikupljanje informacija u vezi sa promenama trebalo bi da bude deoprocesa praćenja, pregleda i izveštavanja organizacije

Prikupljanje informacija u vezi sa promenama trebalo bi da bude deo procesa praćenja,pregleda i izveštavanja organizacije. Organizacija može dobiti informacije, na primer, izsledećeg:

• Evidencija o rukovanju incidentima• ISMS merenja• Kartice rezultata, Analiza praznina i Benchmarking procesi, Alati i vežbe• Interne revizije i pregledi i nezavisne revizije• Povratne informacije korisnika, zaposlenih, kupaca i dobavljača

21

IZLAZ ZA PREGLED UPRAVLJANJAPrikupljanje informacija i njihova procena i analiza u pogleduefikasnosti, adekvatnosti i pogodnosti primene ISMS-a organizacije jeključna vežba

Prikupljanje informacija i njihova procena i analiza u pogledu efikasnosti, adekvatnosti ipogodnosti primene ISMS-a organizacije je ključna vežba i ona koja dokazuje suštinskidoprinos reviziji menadžmenta. Sledeća faza je odlučivanje da li je potrebno izvršitipoboljšanja na osnovu ovog unosa. Ono što je odlučiti - preporuke i radnje koje trebapreduzeti - glavni su rezultati revizije menadžmenta.

Sve preporučene promene trebale bi biti poboljšanje ISMS-a - promena ISMS-a na bolje.Svaka promena na ISMS-u radi poboljšanja imaće uticaja i uticaja na poslovanje. Stoga svepreporuke treba pažljivo razmotriti, iako iako imaju za cilj poboljšanje ISMS-a, to može imatidruge uticaje na druge delove sistema i procesa organizacije.

Mogu se dati preporuke koje zahtevaju korektivne mere za rešavanje postojećih problemai za poboljšanje. Takođe je prilika za preduzimanje preventivnih radnji (za sprovođenjepreventivnih kontrola) kako bi se sprečilo da se pojave dalji problemi, bilo da se ponavljajustari problemi ili predviđaju novi problemi.

PLAN AKCIJESve preporuke i radnje za primenu korektivnih i preventivnih radnjiISMS-a radi unapređenja ISMS-a moraju imati punu posvećenost ipodršku upravljanja

Sve preporuke i radnje za primenu korektivnih i preventivnih radnji ISMS-a radi unapređenjaISMS-a moraju imati punu posvećenost i podršku upravljanja. Potrebno je izraditi akcioni plansa prioritetom za rad. Nakon sprovođenja akcionog plana, treba potvrditi da nova poboljšanjadeluju efikasno i da se pravilno primenjuju u radnom okruženju. Možda će biti potrebnouspostaviti preradu, reviziju i ažuriranje politika i procedura. Faza poboljšanja možda ćemorati da potvrdi da li određene procese treba poboljšati i modifikovati u skladu s tim.

Ne samo da treba poboljšati ISMS kontrole, već i same ISMS procese možda će biti potrebnopoboljšati i preispitati - procenu rizika i postupak lečenja, program merenja i tako dalje. Tomože da podrazumeva promene kriterijuma rizika, primenu različitih metoda procene rizikaili će možda biti potrebno definisati nove mere i pokazatelje učinka ili modifikovati postojeće.

Poglavlje 6 Pregled upravljanja ISMS-om

22

Poglavlje 7

Zaključak

ZAKLJUČAKRezime

Ključ za bilo koju akciju koju bi više rukovodstvo moglo preduzeti, u ovom slučaju u pogledupoboljšanja ISMS-a, je efikasna komunikacija sa svim menadžerima i osobljem i svimzainteresovanim stranama: svest i obuka i primena procedura. Korisnici i zaposleni morajubiti svesni promena kako bi primenili poboljšanja i kako su oni povezani sa njihovim vlastitimradnim funkcijama i radnim odgovornostima koje su im dodeljene. Zapravo, oni morajuuvežbati primenu procedura i procesa koje treba da slede u vezi sa upravljanjem rizikom usvojim oblastima rada.

Možda će biti potrebno prekvalifikovanje ako poboljšanja u potpunosti uključuju nove kontroleili nadogradnje postojećih kontrola, posebno kod onih zaposlenih na koje su ove promenedirektno pogođene.

Komunikacija mora biti dvosmerna. Rukovodstvo postavlja politiku i strategiju, donosi odlukei obezbeđuje resurse za upravljanje rizikom. S druge strane, korisnici i osoblje treba daizveštavaju o incidentima sa rukovodstvom, dajući povratne informacije i pružajućiinformacije o potencijalnim rizičnim situacijama i mogućim poboljšanjima u upravljanju; ovoje dragocen ulaz za samu organizaciju i za donošenje informisanih odluka o tome kakonajbolje upravljati rizicima i preduzeti najprikladniji kurs akcije.

LITERATURAReference

1. Chang, Hangbae. "Is ISMS for financial organizations effective on their business?."Mathematical and Computer Modelling 58, no. 1-2 (2013): 79-84.2. Calder, Alan, and Steve Watkins. IT governance: A manager's guide to data securityand ISO 27001/ISO 27002. Kogan Page Ltd., 2008.3. Humphreys, Edward. Implementing the ISO/IEC 27001: 2013 ISMS Standard. ArtechHouse, 2016.4. Surcel, Traian, and Cristian Amancei. "The Information Security ManagementSystem, Development and Audit." Informatica Economica 11, no. 4 (2007): 111-114.5. https://www.isms.online/iso-27001/9-2-internal-audit/

23

https://www.isms.online/iso-27001/9-2-internal-audit/


Poboljšanja ISMS-aLekcija 08

www.princexml.com




POBOLJŠANJA ISMS-A

Poboljšanja ISMS-aPoglavlje 1: Stalno poboljšanjePoglavlje 2: Usklađenost i neusklađenostPoglavlje 3: PoboljšanjaPoglavlje 4: Objašnjenje zahteva ( tačaka ) datih u predavanjuZaključak




Uvod

UVODuvod

U ovoj lekiciji govorićemo o poboljšanjima ISMS-a, njegovom stalnom poboljšanju, koliko jeefektivno njegovo održavanje, njegova holistička efikasnost kao i to koliko je zapravo ISMSusklađen zapravo neusklađen. Za sve ovo, daćemo i posebne studije slučaja kroz koje ćetebolje upoznati sva ova poboljšanja.

3

Poglavlje 1

Stalno poboljšanje

STALNO POBOLJŠANJE ISMS-AProces poboljšanja naziva se kontinuiranim poboljšanjem u ISO / IEC27001: 2013

Proces poboljšanja naziva se kontinuiranim poboljšanjem u ISO / IEC 27001: 2013i obavezan je aspekt usaglašenosti sa ovim standardom. Stalno poboljšanje ISMS-a predstavlja obavezu najvišeg menadžmenta koji bi trebalo da bude vođen ciljevimapostavljenim od strane najvišeg menadžmenta da bi imao ISMS koji je efikasan, adekvatani pogodan za njegove poslovne svrhe. To znači da bi se postiglo kontinuirano poboljšanje,organizacija treba da razmotri pitanja i zahteve definisane u ISO / IEC 27001: 2013. Toznači da se obezbedi odgovarajuća zaštita za lečenje rizika - to bi mogle biti kontrole iprocesi informacione bezbednosti za otkrivanje, sprečavanje, smanjenje i reagovanje naneželjene efekte (npr. Od bezbednosnih incidenata, kršenja, katastrofa, kompromisa). Totakođe podrazumeva da ISMS proizvodi očekivane rezultate i rezultate.

Najviše rukovodstvo organizacije uvek treba da traži mogućnosti za kontinuirano poboljšanje.Jedan aspekt ovoga je kroz aktivnosti ocenjivanja učinka organizacije (npr. Sa sastanaka zapregled rukovodstva, tačka 9.3 [ISO / IEC 27001: 2013]). Moglo bi biti da je organizacija dobilapovratne informacije od zainteresovanih strana, poput svojih poslovnih partnera ili kupaca, opružanju usluga i dostupnosti. Na primer, poslovni partneri ili kupci sada mogu zahtevati dase uzmu u obzir zahtevi za bezbednost informacija pored onih koji su već utvrđeni prethodnimrazmatranjem odredbe 4.2 (ISO / IEC 27001: 2013). Moguće je da poslovni partneri imajupritužbe ili zabrinutosti zbog nedavnog niza incidenata u koje je organizacija umešana i želeda uvere da organizacija čini nešto da poboljša svoju informacionu sigurnost. Na primer,organizacija doživljava povećanje broja sati prekida rada i posledično nedostupnost pristupainformacijama za poslovne procese. Ovaj problem je zatim uticao na poslovnu efikasnost inezadovoljstvo kupaca. Nakon analize nezgoda i problema, čini se da je do zastoja došlozbog nedostatka dostupnosti brojnih poslovnih procesa koji se oslanjaju na IT sisteme. Uzrokproblema je zbog nedostatka redovnog održavanja, što je posledica nedostatka ljudskihresursa i prioritizacije poslova (tj. Održavanja kritičnih poslovnih sistema). U ovom slučaju suočigledno potrebna poboljšanja i potrebno je preduzeti mere pre nego što problem izmaknekontroli i prekid poslovanja dođe do tačke kada je uticaj veoma štetan za produktivnost,efikasnost i reputaciju organizacije (u slučaju kada je problem ima efekta spoljni kupci).Može biti da su tokom preispitivanja rukovodstva rezultati aktivnosti praćenja i merenja istaklibrojna područja u kojima postoji mogućnost da se poboljšaju performanse ISMS-a. To bimogao biti slučaj sa rezultatima interne revizije ili spoljne revizije treće strane.Stoga je održavanje i poboljšanje efikasnosti, prikladnosti i adekvatnosti ISMS-a ključnoza osiguravanje odgovarajućeg nivoa zaštite podataka organizacije. Njegova informativna

4

politika i ciljevi se usklađuju kako bi bili kompatibilni sa njenim poslovnim pravcem istrategijom.

ODRŽAVANJE EFIKASNOSTI, POGODNOSTI IADEKVATNOSTIAko organizacija ništa ne preduzme (tj. Ne izvrši poboljšanja ISMS-a),zaštita njenih informacija vremenom gubi na efikasnosti

Ako organizacija ništa ne preduzme (tj. Ne izvrši poboljšanja ISMS-a), zaštita njenihinformacija vremenom gubi na efikasnosti. To se može dogoditi tokom meseci, nedelja iličak dana, i što je duže problem bez nadzora, to je veći uticaj. Kao što je diskutovano uovom OU, događaju se promene - neke su pod kontrolom organizacije, a neke ne. Stepenneizvesnosti u vezi sa rizicima informacione bezbednosti u današnjem poslovnom okruženjukoje se brzo menja znači da organizacije moraju da budu proaktivne i prilagodljive rizicimakoje takve promene donose. Potrebno je izvršiti poboljšanja kako bi se osiguralo da ISMSostaje efikasan u svetlu takvih promena i naknadnih rizika sa kojima se organizacija suočava.Rizici informacione bezbednosti sa kojima se organizacije suočavaju rastu u učestalosti isloženosti. Zbog neizvesnosti uključenih rizika, oni bi mogli biti uzrokovani promenama kojese javljaju mesečno, nedeljno ili svakodnevno u nekim slučajevima. Potrebna su poboljšanjakako biste bili u toku sa promenama u njegovom profilu rizika. Neke promene možda samepo sebi neće biti klasifikovane kao rizici bezbednosti informacija, ali bez obzira na to moguimati uticaja na organizaciju i efikasnost ISMS-a u zaštiti podataka. Ove promene bi mogle davode spoljni faktori (npr. Promene dobavljača, životne sredine, infrastrukture, uslova, zakonaili tržišnih uslova). Promene bi takođe mogle biti vođene unutrašnjim faktorima rizika (npr.Promene poslovne politike, strategije, kadrovskih resursa, spajanja, upravljačkih odluka ilipromene tehnologije).

Stalno poboljšanje je suštinski element u životnom ciklusu ISMS-a kroz sve faze životnogciklusa implementacije, organizacione i operativne primene, praćenje, merenja, pregledi,održavanje, ažuriranje i poboljšanje ISMS-a radi postizanja efikasnog upravljanja bezbednošćuinformacija.

HOLISTIČKA EFEKTIVNOSTStalno poboljšanje ISMS-a ne znači samo poboljšanje efikasnostikontrola ili procesa informacione sigurnosti

Stalno poboljšanje ISMS-a ne znači samo poboljšanje efikasnosti kontrola ili procesainformacione sigurnosti. Koncept se odnosi na celokupan ISMS. Stalno poboljšanje je takođeponavljajuća korak po korak aktivnost poboljšanja, a ne kontinuirani proces poboljšanja.Ovo je važno jer organizacija treba da postigne pravu ravnotežu između utvrđivanja kadasu neophodna poboljšanja i kada ih treba primeniti (na osnovu dostupnih resursa i nivoarizika i poslovnog uticaja), za razliku od kontinuiranog unapređenja iz sata u dan, iz dana udan . Jasno je da ako su identifikovani rizici i uticaji koji mogu ugroziti organizaciju i njenu

Poglavlje 1 Stalno poboljšanje

5

sposobnost da zaštiti svoje informacije, tada treba da preispita svoju situaciju i preduzmemere koje su najprikladnije za upravljanje rizikom. Naravno, ako je došlo do većeg incidenta,poslovne krize ili vanrednog stanja, koji bi mogao imati neposredan uticaj na dobrobit ilipreživljavanje poslovanja, tada treba preduzeti mere koje mogu, ali ne moraju uključivatipoboljšanja ISMS-a.

Poglavlje 1 Stalno poboljšanje

6

Poglavlje 2

Usklađenost i neusklađenost

NEUSKLAĐENOST I KOREKCIJENeusklađenost ISMS-a je neispunjavanje zahteva ISO / IEC 27001:2013.

Neusklađenost ISMS-a je neispunjavanje zahteva ISO / IEC 27001: 2013. To znači daneispunjavanje bilo kog zahteva „mora“ u ISO / IEC 27001: 2013 predstavlja neusaglašenost.Na primer, postoji zahtev da rukovodstvo pregleda ISMS organizacije u planiranimintervalima. U stvari, svi zahtevi u ISO / IEC 27001 uključuju reč „moram“. Organizacija ćeizvršiti procenu rizika prema planiranom rasporedu, preduzeće postupak lečenja rizika kakobi odabrala odgovarajuće opcije za lečenje rizika (upravljanje rizicima), utvrdiće odgovarajućiskup kontrola i tako dalje. (Tačnu formulaciju ovih izjava čitalac upućuje na tekst u samomstandardu.) Jedan od zadataka revizije (interne ili treće strane) je da proveri da li postojeneusaglašenosti i ako se utvrde neusaglašenosti, tada organizacija treba da učini sve što jepotrebno za uklanjanje takvih neusaglašenosti.Jednom kada je neusaglašenost otkrivena ili prijavljena, tada se može primeniti korekcijaradi uklanjanja neusaglašenosti ili se preduzeti korektivne mere radi uklanjanja uzrokaneusaglašenosti. Na primer, ako trenutna smernica nije u skladu sa zahtevima standarda,onda bi se ovaj problem mogao ispraviti zamenom ove politike onom koja je u skladu. Istotako, ako je program podizanja svesti osoblja nedovoljan i što rezultira neusaglašenošću,program bi trebalo zameniti poboljšanim programom.

KOREKTIVNE MERE I OSNOVNI UZROCIU slučaju korektivnih mera, neophodno je prvo utvrditi uzrokneusaglašenosti

U slučaju korektivnih mera, neophodno je prvo utvrditi uzrok neusaglašenosti.Utvrđivanje ovog uzroka zavisi od složenosti problema. U nekim slučajevima je potrebnasamo jednostavna vežba mozga; u drugim slučajevima, osnovni uzrok se može pronaćirazmatranjem nekoliko različitih faktora koji doprinose (lanac uzroka i posledica), a moždaće biti potrebna i detaljnija analiza. Osnovni uzrok mogu biti ljudi, proces, metod, upravljanjeili tehnički problem ili njihova kombinacija. Efikasnost korektivne akcije zavisiće naravno odtoga da li su uzrok (ili uzroci) tačno identifikovani. Uzrok je možda bio slučajan (jednokratnagreška ili greška), ili je mogao biti namerni ili sistematičan, što može biti ponavljajući problemako se ne reši. Ako uzrok nije pravilno identifikovan ili analiziran, tada se sistematski uzrokmože tretirati kao da je reč o jednokratnom problemu ili nesreći, a onda postoji verovatnoćada se problem ponovi.

7

Nakon utvrđivanja uzroka (a) neusaglašenosti, potrebno je preduzeti korektivne mere kako bise uklonio uzrok neusaglašenosti. Generalno, odgovor organizacije na neusaglašenost, prematome, treba da bude korekcija, analiza uzroka i korektivna radnja ili alternativno analiza,korekcija i korektivna akcija. Ali puko ispravljanje postojeće neusaglašenosti možda neće upotpunosti rešiti problem - osnovni uzrok - pa će se problem možda ponoviti.

UOBIČAJENI UZROCI NEUSAGLAŠENOSTINe postoji konačna lista uzroka neusaglašenosti

Neki uobičajeni uzroci neusaglašenosti

Ne postoji konačna lista uzroka neusaglašenosti. Slede neki primeri neusaglašenosti:

• Neuspeh uprave da razume unutrašnja i spoljna pitanja i zahteve zainteresovanih stranakoji su relevantni za ISMS, što bi naknadno moglo imati uticaja na postizanje očekivanihrezultata ISMS-a u skladu sa ISO / IEC 27001, tačkama 4.1 i 4.2;

• Neuspešno određivanje opsega ISMS-a u skladu sa ISO / IEC 27001, tačka 4.3 - posebnoneuspeh u ispravnom adresiranju interfejsa i zavisnosti;

• Nedostatak adekvatne ili efikasne procene rizika i postupka lečenja u skladu sa ISO / IEC27001, tačka 6;

• Neuspeh uprave da se obaveže ili postigne kontinuirano poboljšanje ISMS ISO / IEC 27001tačaka 5.2 i 6.1.1;

• Nedostatak resursa za podršku ISMS-u u skladu sa ISO / IEC 27001, tačka 7;• Nedostatak obuke i svesti u skladu sa ISO / IEC 27001, tačka 7.3;• Neuspeh u primeni i kontroli procesa neophodnih za efikasno i adekvatno adresiranje

rizika i prilika u skladu sa ISO / IEC 27001, tačka 6;• Neuspeh menadžmenta da adekvatno odgovori na zahteve za ocenu učinka u skladu sa

ISO / IEC 27001, tačka 9,• uključujući nepoštovanje rezultata unutrašnje revizije, nedostatak posvećenosti

preispitivanjima rukovodstva i neuspeh u određivanju odgovarajućeg programa praćenjai merenja, što sve može propustiti da identifikuje mogućnosti za poboljšanja ISMS-a.

2.1 Studije slučaja

STUDIJE SLUČAJA 1. I 2

Studija slučaja

Studija slučaja 1:

Dogodi se incident u vezi sa operativnom upotrebom bezbednosnih postupaka za postizanjebezbednosnih ciljeva organizacije. Incident predstavlja neuspeh u zaštiti komercijalnihpodataka. Novi neiskusni član osoblja koristi politiku i postupak „prihvatljive upotrebe“ koji suutvrđeni prema potrebi iz prethodne procene rizika i aktivnosti lečenja rizika (ISO / IEC 27001

Poglavlje 2 Usklađenost i neusklađenost

8

6.1.2 i 6.1.3). Neiskusni član osoblja nezaštićeno komercijalne informacije šalje nezaštićenimputem e-pošte na osnovu njihovog tumačenja smernica. Prvobitna reakcija bila je da je uzrokupotreba postupka od strane neiskusnog osoblja, ali nakon pregleda postupaka utvrđeno jeda su uputstva data po ovom pitanju nejasna - zapravo loše napisana. Dakle, trebalo biizvršiti poboljšanja koja uključuju reviziju postupaka i, pored toga, pružanje bolje obuke novimregrutima (ISO / IEC 27001 tačka 7.3).

Studija slučaja 2:Revizor navodi neusaglašenost u vezi sa upravljanjem ne pružajući odgovarajući nivo resursaza održavanje ISMS-a (ISO / IEC 27001, tačka 7.1), posebno merenja za procenu performansiISMS-a. To rezultira nedostatkom odgovarajućeg doprinosa sastancima revizije menadžmenta(ISO / IEC 27001, tačka 9.3.c). Nedostaje ljudskih resursa za sprovođenje merenja učinka iza analizu i procenu efikasnosti ISMS-a kao uzroka problema. Stoga, rukovodstvo treba darazmotri ovaj problem sa resursima kako bi poboljšalo proces pružanja podataka o učinkuISMS-a sastancima o pregledu menadžmenta.

STUDIJA SLUČAJA 3

Studija slučaja3

Studija slučaja 3

Dogodi se incident povezan sa upotrebom društvenih medija u organizaciji u okviru njenemarketinške kampanje. U proceni rizika organizacija je identifikovala, analizirala i procenilaniz rizika (ISO / IEC 27001, tačka 6.1.2) koji se odnose na upotrebu društvenih medija uposlovne svrhe, a zatim je utvrdila niz kontrola (ISO / IEC 27001 Tačka 6.1.3b) za lečenjei upravljanje ovim rizicima. Nažalost, nakon šest meseci, organizacija je sprovela samonekoliko ovih kontrola, ostavljajući organizaciju širom otvorenom za procenjene rizike.Međutim, organizacija nije uspela da primeni kontrole (ISO / IEC 27001 tačka 8.1) utvrđeneu (ISO / IEC 27001 tačka 6.1.3b) da bi postigla bezbednosne ciljeve organizacije (ISO / IEC27001 tačka 6.2). Nedostatak primene odgovarajućih kontrola zasnovanih na riziku bio jeglavni uzrok incidenta (tj. Nedostatak kontrola koje treba primeniti za lečenje identifikovanihrizika).

Poglavlje 2 Usklađenost i neusklađenost

9

Poglavlje 3

Poboljšanja

PLANIRANJE I IMPLEMENTACIJA POBOLJŠANJAInformacije o tome koja su poboljšanja potrebna, kada poboljšanjatreba / mogu da se izvrše i koji su resursi potrebni treba svedokumentovati kao deo plana poboljšanja

Informacije o tome koja su poboljšanja potrebna, kada poboljšanja treba / mogu da seizvrše i koji su resursi potrebni treba sve dokumentovati kao deo plana poboljšanja. Procespoboljšanja treba da osigura da:

• Poboljšanja koja se sprovode saopštavaju se svim zainteresovanim stranama; naročitokomunicirati sa svima onima koji trebaju znati detalje o poboljšanjima (na nivou detaljakoji je odgovarajući i relevantan za njih i njihovu radnu funkciju), bilo da se radi o novimbezbednosnim metodama i merama, novim / revidiranim politikama i procedure ili drugepromene. Komunikacija možda nije samo za interno osoblje, već takođe mora biti i zatreće strane, kupce i druge spoljne strane koje trebaju znati o promenama (tj. Na nivoudetalja „potrebno je znati“ koji je prikladan i relevantan njima u skladu sa važećimugovorima i SLA) (videti ISO / IEC 27001, tačka 7.4).

• Preduzimaju se mere za reviziju i ažuriranje politika i procedura tamo gde je to potrebnoi prikladno kao deo postizanja stalnih poboljšanja.

• Preduzimaju se mere za reviziju procesa gde je to potrebno i prikladno kao deo postizanjastalnih poboljšanja (videti ISO / IEC 27001, tačka 8.1).

• Preduzima se odgovarajuća svest da se informišu o poboljšanjima. To može uključivatipromene / revizije politika i procedura, druge kontrole ili procese rizika, a takođe možeobuhvatiti i obuku određenog osoblja (videti ISO / IEC 27001, tačke 7.2 i 7.3).

• Dostupni su odgovarajući resursi za primenu i korišćenje primenjenih poboljšanja (videtiISO / IEC 27001, tačka 7.1).

POBOLJŠANJA U PROCESUPostoje razne situacije u kojima procese treba poboljšati i moguprouzrokovati probleme u performansama ili rezultiratineusaglašenostima

Postoje razne situacije u kojima procese treba poboljšati (npr. Kada se procesi nekoriste pravilno ili se ne prate, teško ih je koristiti, nisu dobro dizajnirani iliimplementirani) i mogu prouzrokovati probleme u performansama ili rezultirati

10

neusaglašenostima. Može biti slučaj da i sam postupak procene rizika treba poboljšati, jerne daje konzistentne ili validne rezultate. Još jedan primer može biti proces koji organizacijakoristi za komunikaciju sa spoljnim stranama koji treba poboljšati. Takođe, procesi kojeorganizacija koristi za spoljno angažovanje nisu pravilno ili neadekvatno kontrolisani. Procesinterne revizije će možda trebati pregledati i poboljšati kako bi se osiguralo da se nepristrasnoizvrše revizije. Postoji mnogo procesa, kako procesa informacione sigurnosti, tako i poslovnihprocesa, gde bi moglo biti mogućnosti za poboljšanje.

POBOLJŠANJA U POLITIKAMA I PROCEDURAMAPostoje razne situacije u kojima politike i procedure treba poboljšati

Postoje razne situacije u kojima politike i procedure treba poboljšati. Politike i postupcimogu biti napisani na načine koji su zbunjujući ili teški za upotrebu; mogu sadržati greške,greške ili pružati pogrešne informacije; mogu biti nepotpuni ili ne pokrivati sve mogućesituacije; možda će im trebati ažuriranje kako bi se uzeli u obzir novi razvoj događaja.Svi ovi faktori mogu i stvaraju probleme u postizanju bezbednosnih ciljeva organizacije ipredviđenog proizvoda ISMS-a. Da li je politika bezbednosti informacija primerena ciljevimai strateškoj misiji organizacije? Da li politika pokriva prave stvari? Da li organizacija imaodgovarajući skup procedura neophodnih za sprovođenje ciljeva bezbednosti informacija? Dali su procedure dovoljno jasne i razumljive da se izbegnu bilo kakve greške ili greške kadase koriste? Da li treba proširiti obim procedura i ažurirati sadržaj kako bi se obuhvatila novapodručja razvoja i promena u poslovanju?

IMPLEMENTACIJA POBOLJŠANJA U SVESTI I OBUCINedostatak obuke, kao što je ranije pomenuto, čest je uzrokneusaglašenosti i uvek je područje u kojem postoji mogućnost zapoboljšanje

Nedostatak obuke, kao što je ranije pomenuto, čest je uzrok neusaglašenosti iuvek je područje u kojem postoji mogućnost za poboljšanje. Da li organizacija trebada poboljša kompetentnost nekog osoblja uključenog u aktivnosti povezane sa ISMS-omkroz odgovarajuće obrazovanje i / ili obuku i iskustvo na poslu? Da li je osoblju potrebnaosvježavajuća obuka koja je relevantna za njihov rad? Da li je program svesti i obukeorganizacije dovoljno sveobuhvatan da obuhvati opseg njegove primene ISMS-a?

Poglavlje 3 Poboljšanja

11

Poglavlje 4

Objašnjenje zahteva ( tačaka )datih u predavanju

ZAHTEV BROJ 4. – KONTEKST ORGANIZACIJEZahtev 4

4.1 Razumevanje vaše organizacije i njenog poslovnog konteksta

Vi i vaš tim treba da započnete identifikovanjem ključnih unutrašnjih i spoljnih faktora kojidefinišu način na koji vaša organizacija funkcioniše. To će vam pomoći da razumete šta trebada zaštitite da biste održali kontinuitet tokom kritičnih situacija, pa planirajte i budite spremniza njih.

Spoljni faktori koje treba obratiti pažnju uključuju vaše radno okruženje, ugovorne zahteve isve relevantne propise i zakonske zahteve. Interni faktori uključuju vašu poslovnu strategiju,politike i standarde. I moraćete da uzmete u obzir svoje proizvode, usluge, opšte poslovneciljeve i opšti stav prema riziku.

Razumevanje kako kritične situacije mogu ometati nesmetano funkcionisanje vašeorganizacije tako što će uticati na neke ili sve ove, pomoći će vam da ih zaštitite od svogBCMS-a.

4.2 Definisanje potreba i očekivanja zainteresovanih strana

4.2.1. - Uopšteno

Identifikovaćete sve strane koje bi mogle biti zainteresovane ili biti relevantne za BCMS vašeorganizacije. Tada biste trebali tačno definisati šta im treba od vaše organizacije, što običnoznači da im držite svoje proizvode i usluge dostupnim. To će vam pomoći da osigurate da vašaorganizacija i dalje pruža ono što im je potrebno u kriznim vremenima.

4.2.2. Pravni i regulatorni zahtevi

Da bi postigla ISO 22301 sertifikat, vaša organizacija će morati da razvije, sprovede i održiproces pravne i regulatorne procene.

Trebalo bi da vam pomogne da identifikujete, pristupite, procenite i delite sve relevantnezakonske i regulatorne zahteve. Oni se odnose na kontinuitet svih proizvoda, usluga,aktivnosti i resursa koje pokrivate u vašem BCMS-u.

Moraćete da budete sigurni da ćete te zahteve uzeti u obzir dok vaša organizacija prihvata iupravlja vašim BCMS-om. Trebali biste redovno ažurirati dokumentaciju kako biste joj pomoglida se uskladi sa njima i dokaže da je u skladu sa njima.

12

ZAHTEV BROJ 4. – KONTEKST ORGANIZACIJE -NASTAVAKZahtev 4 - nastavak

4.3 Odlučivanje o dometu vašeg BCMS -a

4.3.1. Uopšteno

Klauzula 4.3.1 traži od vaše organizacije da definiše širok opseg vašeg BCMS-a razmišljajućišta on uključuje i kada treba da se primeni. Dok to radite, trebali biste razmotriti:

• Spoljni i unutrašnji izazovi identifikovani u 4.1• Svi relevantni, pravni ili regulatorni kriterijumi povezani sa zainteresovanim stranama

identifikovani u 4.2• Svrha, ciljevi vašeg BCMS-a i spoljni i unutrašnji ciljevi

Trebali biste dokumentovati i biti spremni da podelite svoje zaključke.

4.3.2 Obim sistema upravljanja kontinuitetom poslovanja

Definisali ste svoju organizaciju. Razmislili ste o svim različitim kontekstima koji utiču na to.Shvatili ste potrebe i zahteve zainteresovanih strana. To vam daje širok osećaj kada i kakotreba primeniti vaš BCMS.

Sada morate da odlučite koje delove vaše organizacije i koje njene proizvode ili usluge želiteda uključite u nju. To znači da pogledate lokaciju ili lokacije vaše organizacije, veličinu, prirodui složenost. Takođe biste trebali izvršiti analizu poslovnog uticaja i / ili bilo koju relevantnuprocenu rizika.

Tada ćete morati da dokumentujete i objasnite svoje odluke. To znači da razjasnite šta jeu dometu vašeg BCMS-a, šta ste odlučili da izuzmete i zašto ste to izuzeli. I moraćete dapokažete da svako izuzeće neće stvoriti nikakve izazove kontinuiteta u kriznim vremenima.

4.4 Vaš sistem upravljanja kontinuitetom poslovanja

Ova klauzula napominje da vaša organizacija sada treba da bude spremna za razvoj, a zatimza usvajanje, upravljanje i kontinuirano unapređivanje BCMS-a. Moraćete da razmislite oprocesima koje ćete morati da uspostavite da biste to uradili i postarajte se da oni međusobnokomuniciraju na konstruktivan način.

I završićemo završnim podsetnikom da bi vaš BCMS trebalo da :

• Udovoljite potrebama svoje organizacije• Pridržavajte se zahteva ISO 22301

Poglavlje 4 Objašnjenje zahteva ( tačaka ) datih u predavanju

13

ZAHTEV BROJ 5 – LIDERSTVOBilo kojem BCMS-u je potreban upad za više korisnike da bi bio zaistaefikasan. Klauzula

Bilo kojem BCMS-u je potreban upad za više korisnike da bi bio zaista efikasan. Klauzula 5ISO 22301 traži od višeg rukovodstva vaše organizacije da pokaže jasno vođstvo i stalnuposvećenost vašem BCMS-u.

Utvrđuje kako bi to trebalo funkcionisati u ove tri podklauze:

1. Vođstvo i posvećenost2. Politika3. Uloge, odgovornosti i ovlašćenja

Ispunjavanje njihovih potreba pomoći će vašoj organizaciji da pokaže svojim kupcima iključnim zainteresovanim stranama da vaš BCMS ima snažnu podršku odozgo. To stvarasigurnost da će vaš BCMS raditi kako treba i u kriznim vremenima, štiteći osnovnofunkcionisanje vaše organizacije.

ZAHTEV BROJ 5 - VOĐSTVO I POSVEĆENOSTvođstvo i posvećenost

5.1 Vođstvo i posvećenost

Ovaj odeljak podvlači koliko je funkcionalna i finansijska podrška višeg rukovodstva važna zakontinuitet poslovanja. Identifikuje specifična područja u kojima viši rukovodioci moraju dapokažu vođstvo i posvećenost na jasno definisane, praktične načine.

Ako vaši menadžeri nisu aktivno uključeni, ne uključuju se u procene učinka ili ne mogu dapokažu revizoru da su tokom revizije ozbiljno shvatili upravljanje kontinuitetom poslovanja,malo je verovatno da ćete postići ISO 22301 sertifikat.

Da biste to izbegli, moraćete da pokažete da vaši viši rukovodioci u potpunosti podržavajuBCMS vaše organizacije. Ako efikasno upravljate procesom, to će biti vrlo lako. Potrebno jesamo da dokumentujete njihove smernice i doprinose, spremne za deljenje sa revizorima.

Napravili smo primer strategije koja će vam pomoći u tome. Sadrži preporučenu izjavu oaktivnostima višeg rukovodstva unutar i izvan BCMS-a, opisujući sve oblasti u kojima bi seoni obično uključili. Možete ga precizno pratiti ili modifikovati prema sopstvenim potrebama.Pomoći će vam da prikupite svu dokumentaciju koju će revizori morati da vide.

Kada se završi, to će vam pomoći da pokažete da je vaš viši menadžerski tim bio uskouključen u razvoj vašeg BCMS-a i da je spreman da se pobrine da postigne svoje ciljeve.Takođe će vam pomoći da procenite i ilustrirate koliko će vaš BCMS verovatno biti uspešan uodnosu na te ciljeve.


14

Ta poslednja tačka je veoma važna. Održavanje BCMS-a je stalni izazov, ali plan kontinuitetaposlovanja koji on mapira koristićete samo kada se dogodi najgore. Do tada, najbolje štomožete da uradite je da testirate taj plan. Naši alati će vam pomoći da osigurate da suti testovi što ubedljiviji i temeljitiji, stvarajući visok nivo sigurnosti i sigurnosti za vašuorganizaciju, kupce i ostale ključne zainteresovane strane.

ZAHTEV 5.2 POLITIKAKlauzula 5.2 precizira da viši menadžment mora razviti idokumentovati strategiju kontinuiteta poslovanja

5.2 Politika

Klauzula 5.2 precizira da viši menadžment mora razviti i dokumentovati strategijukontinuiteta poslovanja. Takođe ćete morati da pokažete da ste primenili zahteve te strategijena svoj BCMS i uvereni ste da sve zainteresovane strane znaju da mogu da mu veruju.

Viši menadžeri moraju biti sigurni da vaša strategija kontinuiteta poslovanja:

• Relevantno je za ciljeve i ciljeve vaše organizacije• Ispunjava potrebe kontinuiteta poslovanja vaše organizacije

U potpunosti je pregledan i koordiniran sa vašom organizacijom i zainteresovanim stranama

• Ponovo, naši sistemi vam olakšavaju prikupljanje, organizovanje i deljenje svih dokazakoji su vam potrebni da biste dokazali da politika kontinuiteta poslovanja vašeorganizacije pogađa te ciljeve. Naš okvir uzoraka je lako usvojiti i prilagoditi i pomoćiće vam da i revizorima i zainteresovanim stranama uverite u preciznost i temeljitostplaniranja vaše organizacije.

ZAHTEV 5.3 ULOGE, ODGOVORNOSTI IOVLAŠCENJAUloge, odgovornosti i ovlašćenja

5.3 Uloge, odgovornosti i ovlašćenja

Konačno, vaši viši menadžeri će morati da garantuju da su uloge, odgovornosti i ovlašćenjasvih aktera BCMS-a jasno definisani i dobro razumeti. I još jednom, sva relevantnadokumentacija mora biti na svom mestu i videti da postoji.

To će osigurati pravovremeni, fokusirani i dosledni odgovor na sve poslovne krize. Takođe imajasne praktične koristi u nekritičnim vremenima. Mogućnost demonstriranja visokog nivoaspremnosti omogućiće vašim kupcima ili drugim ključnim zainteresovanim stranama da znajuda su svi pravi ljudi spremni da preduzmu prave akcije u pravo vreme, bez obzira na izazovesa kojima se suočavaju.


15

Naravno, ISMS.online čini snimanje, ažuriranje i deljenje svih relevantnih informacijajednostavnim i lakim. Omogućava vam da definišete i dodelite vlasništvo nad svime, odaktivnosti politike, procene rizika i uticaja do određenih kritičnih radnji, ponašanja i odgovora.

ZAHTEV BROJ 6 - PLANIRANJEZahtev 6 pokazuje vam kako da razmislite o rizicima i mogućnostima,planirate svoj odgovor na njih i postavite ciljeve kontinuitetaposlovanja

Zahtev 6 pokazuje vam kako da razmislite o rizicima i mogućnostima, planirate svoj odgovorna njih i postavite ciljeve kontinuiteta poslovanja. Takođe se od vas traži da definišete kakoćete uneti bilo kakve promene u svoj BCMS.

6.1 Akcije za adresiranje rizika i prilika

Ovaj odeljak specifikacije ISO 22301 pomaže vam da razmislite o rizicima ili mogućnostimakoji bi vas mogli ometati ili vam pomažu dok se brinete da vaš BCMS:

• Radi kako treba• Ne stvara nikakve neočekivane ishode• Neprekidno će se razvijati i poboljšavati

Da biste uspešno prošli kroz ovaj deo ISO procesa, morate se oslanjati na svoja ranijarazmišljanja u tački 4. Sada ćete razjasniti rizike i mogućnosti koji proizlaze iz zakonskih iregulatornih zahteva, pitanja zainteresovanih strana i opsega BCMS-a koji ste tamo definisali..

Moraćete da planirate kako ćete identifikovati, proceniti i tretirati ove rizike i mogućnosti.Tada ćete morati da razmislite kako ćete integrisati bilo koje radnje koje nastanu u vaš BCMS.Takođe morate gledati unapred, navodeći kako ćete proceniti efikasnost tih radnji i nadgledatiih tokom vremena.

Savetujemo vam da dokumentujete procese identifikacije, procene i lečenja rizika kakobiste pokazali kako ćete upravljati svakim novim rizikom čim se pojavi. Morate planirati datolerišete svaki rizik, da ga prekinete ili prenesete na drugu stranu. Takođe ćete morati dadokažete da su vaše procene rizika dosledne, validne i daju „uporedive rezultate“, što značida imate jasnu metodologiju rizika.

Svaki rizik takođe morate dodeliti vlasniku rizika u vašoj organizaciji. Trebaće da utvrde nivo,procene „realnu verovatnoću“ da se to dogodi i procene moguće posledice ako to zaistapostane stvarnost. Kada se to uradi, svaki rizik mora biti prioritet za lečenje i upravljati uskladu sa dokumentovanim procesima.

ZAHTEV BROJ 6 - PLANIRANJE - NASTAVAKCiljevi kontinuiteta poslovanja i planiranje njihovog postizanja


16

6.2 Ciljevi kontinuiteta poslovanja i planiranje njihovog postizanja

Verovatno već znate zašto želite da razvijete svoj BCMS i imate neke strateške ciljeve najvišegnivoa koji vam govore kako izgleda uspeh.

Sada morate da postavite ciljeve kontinuiteta poslovanja svoje organizacije i pobrinite se dase usklade sa njenom politikom kontinuiteta poslovanja. Ti ciljevi takođe moraju biti merljivi(gde je to moguće), nadgledati se, komunicirati i razumeti i uvek biti u toku. I naravno, morateih u potpunosti dokumentovati.

Ciljevi vašeg kontinuiteta poslovanja takođe moraju uzeti u obzir zahteve postavljene utačkama 4.1 i 4.2. To znači:

• Jasno odrediti definiciju, strukturu i poslovni kontekst vaše organizacije• Definisanje potreba i očekivanja kontinuiteta poslovanja vaših zainteresovanih strana• Bar da započnete sa sprovođenjem procene rizika i lečenja.

Kada dovršite ciljeve kontinuiteta poslovanja, moraćete da odlučite koje radnje ćete preduzetii koje alate ćete koristiti za njihovo postizanje. Takođe ćete morati da dodelite odgovornost iodredite vremenske okvire za svaki cilj i odlučite kako ćete ga proceniti.

ZAHTEV 7. - PODRŠKAUpravljanje obimnim, efikasnim BCMS-om stvara neke vrlo praktičneizazove

Upravljanje obimnim, efikasnim BCMS-om stvara neke vrlo praktične izazove. Da biste ihprevazišli, morate biti sigurni da je vaša organizacija stavila na raspolaganje prave resurse.

Oni uključuju kompetentan tim za kontinuitet poslovanja, opremljen odgovarajućom obukomi podrškom, i efikasne komunikacije koje pokreću svest o vašim politikama i kontrolamakontinuiteta poslovanja. Naravno, takođe morate da dokumentujete svoje smernice i akcije ibudete spremni da je delite po potrebi i kada je to potrebno.

7.1 Resursi

Ova klauzula traži od vas da budete sigurni da ste dodelili prave resurse razvoju,implementaciji, održavanju i kontinuiranom poboljšanju svog sistema upravljanja privatnimklijentima. To je vrlo širok izazov, jer ti resursi mogu da uključuju ljude, prostorije, tehnologije,informacije, dobavljače i partnere.

Ako naiđete na bilo kakav kapacitet ili probleme sa njegovom sposobnošću, rado ćemo vampomoći. Možemo se oslanjati na široku mrežu specijalizovanih partnera za podršku. Samo nasobavestite sa kakvim problemom se suočavate i postavićemo vam pravu osobu koja će vampomoći da se rešite.

ZAHTEV 7. - PODRŠKA - NASTAVAKKompetencija


17

7.2 Kompetencija

Da biste postigli ISO 22301 sertifikat, moraćete pažljivo da procenite kompetentnostzaposlenih koji igraju ulogu u održavanju vašeg BCMS-a i sprovođenju vašeg planakontinuiteta poslovanja. Ako već imaju odgovarajuće veštine ili iskustvo, to jednostavnomorate dokumentovati. Ako to ne učine, moraćete da ih obučite ili da preusmerite njihoveodgovornosti kako bi se podudarali sa njihovim mogućnostima i pronašli nekog drugog dapopuni prazninu.

Sve to morate zabeležiti opštom izjavom o svojim ljudima i njihovim kompetencijama. Trebalobi da opiše ulogu svakog u vašem BCMS-u i pokaže njegovu pogodnost za njega, beležećirelevantno iskustvo, obuku ili obrazovanje.

Preporučujemo da ove informacije date u obliku tabele, rezimirajući prave detalje na jasan,jednostavan način. To vam omogućava da lako pokažete da imate prave timove koji će senositi sa izazovnim vremenima.

Takođe je vredno napomenuti da postupak procene kompetencija može biti veoma izazovan.Može da pokrije vrlo širok spektar veština i iskustva i stvoriće vam potrebu za obukompostojećih zaposlenih ili čak zapošljavanjem novih. Kao i uvek, ako vam je potrebna pomoć uvezi s tim, možemo vam preporučiti partnera koji će izvrsno odgovarati vašoj organizaciji.

7.3 Svest

Ako ljudi iz vaše organizacije ne znaju ili ne razumeju vaš BCMS, ne mogu po njemu da deluju.Dakle, morate biti sigurni da svako od njih ima jasno, specifično znanje o svojim ulogama iodgovornostima u kontinuitetu poslovanja.

Oni takođe moraju imati dobar osećaj za širu sliku, razumevajući:

• Vašu politika kontinuiteta poslovanja• Kako doprinose njegovoj efikasnosti i zašto je to dobro za vašu organizaciju• Šta neprilagođavanje tome znači za njih i za organizaciju

ZAHTEV 7. - PODRŠKA - NASTAVAK2Komunikacija, dokumentovane informacije

7.4 Komunikacija

Efektivna komunikacija je veliki deo uspešnog BCMS-a. Trebaće vam biti jasno isplanirane svekomunikacije relevantne za vaš BCMS. To znači da definišete šta ćete reći, s kim razgovaratei kako planirate da ih kontaktirate.

Verovatno ćete tražiti da dosegnete širok spektar interne i eksterne publike na razne načine.Takođe morate biti vrlo jasni u vezi s tim ko je tačno odgovoran za koju komunikaciju.

Naša platforma može pomoći vama i vašim ljudima da bez napora podele prave informacijesa pravim ljudima u pravo vreme. Njegova funkcija Grupe vam omogućava da organizujetesvoju comms publiku i trenutno delite prave podatke ili sadržaj sa njima. Uz Notes možete


18

ugostiti i voditi jasne i transparentne diskusije, tako da se pojedinci ili timovi mogu okupljatikako bi pregledali, razumeli, poboljšali, pa čak i izvršili vaše planove kontinuiteta poslovanja.

7.5 Dokumentovane informacije

7.5.1 Opšte

Dokumentacija je ključni aspekt usaglašenosti sa ISO 22301. Da biste postigli sertifikat zasvoju organizaciju, morate dokumentovati sledeće detalje:

• Zahteva sam standard• Definisano je kao neophodno za efikasnost BCMS-a vaše organizacije

Taj drugi zahtev znači da različite organizacije mogu imati vrlo različite potrebe za BCMSdokumentacijom. Potrebe vaše vlastite organizacije biće funkcija njenog opšteg opsega,aktivnosti i odnosa i specifičnih poslovnih praksi, politika, usluga, proizvoda i imovine.

ZAHTEV 7. - PODRŠKA - NASTAVAK3Kreiranje i ažuriranje , Kontrola dokumentovanih informacija

7.5.2 Kreiranje i ažuriranje

Efikasna kontrola dokumenata je veoma važan deo postizanja i održavanja vašeg ISO 22301sertifikata.

Morate biti sigurni da su svi vaši dokumenti jasno naslovljeni i opisani. Moraju se čuvati uformatu koji olakšava pristup, čitanje i ažuriranje. Svaki dokument moraće biti pregledan iodobren kako bi se osiguralo da sadrži prave informacije i da ih deli na pravi način.

7.5.3 Kontrola dokumentovanih informacija

Kada su prave informacije na pravom mestu, to može imati vrlo moćan uticaj. Ali ako ga nikone može pronaći ili ga pročitaju pogrešni ljudi ili se jednostavno izbriše, to može stvoriti velikeprobleme.

ISO 22301 traži da to imate na umu dok kreirate svoj BCMS. Moraćete da budete sigurnida su dokumentovane informacije koje su joj potrebne sigurno sačuvane na pravom mestu,spremne za čitanje od pravih ljudi i nikoga drugog.

To je jednostavan skup ishoda, ali za njihovo postizanje potrebno je pažljivo razmišljanje.Moraćete pažljivo da planirate distribuciju dokumenata, pristup i upotrebu. Moraćete dabezbedno skladištite i čuvate dokumente pomoću odgovarajućih medija i kontrolišete svepromene na njima. Moraćete da budete jasni kada zadržavate ili odlažete pojedinačnedokumente.

Takođe ćete morati da identifikujete i - tamo gde je potrebno - kontrolišete pristup bilo kojimspoljnim dokumentima potrebnim za upravljanje vašim BCMS-om.


19

Poglavlje 5

Zaključak

ZAKLJUČAKRezime

Generalno, višestruki faktori koji podržavaju primenu ISMS-a nisu značajno primenjeni. Nekestvari koje se moraju preduzeti kako bi se podržala primena ISMS-a u budućnosti su sledeće:(1). Vodeće rukovodstvo je aktivnije u sprovođenju upravljačkih pregleda pružajući povratneinformacije za buduće poboljšanje ISMS-a, (2). Redovno družite politike i postupke koji seodnose na upravljanje incidentima informacione bezbednosti za sve zaposlene, (3). Sprovoditiperiodične preglede u vezi sa primenom ISMS-a u skladu sa godišnjim programom ISMS-a, planom upravljanja rizikom informacione sigurnosti, planom kontrole informacionebezbednosti primenjenim u organizaciji, (4). Svake godine obavestite sve zaposlene u vezi sapostojećim programom plana poboljšanja kako bi svi zaposleni uvek unosili poboljšanja u vezisa primenom ISMS-a u organizaciji, (5). Komunicirati sve uloge, odgovornosti i s tim povezanaovlašćenja ISMS-a svim zaposlenima redovno, (6). Napravite program rada u primeni ISMS-asvake godine, a zatim redovno saopštavajte program rada svom osoblju koje treba optimalnoprimeniti, (7). Redovno saopštavajte politike i ciljeve bezbednosti informacija koji su dodeljenisvim zaposlenima.

LITERATURAReference

1. Broderick, J. Stuart. "ISMS, security standards and security regulations."information security technical report 11, no. 1 (2006): 26-31.2. Surcel, Traian, and Cristian Amancei. "The Information Security ManagementSystem, Development and Audit." Informatica Economica 11, no. 4 (2007): 111-114.3. Humphreys, Edward. Implementing the ISO/IEC 27001: 2013 ISMS Standard. ArtechHouse, 2016.4. Ghazouani, Mohamed & Medromi, Hicham & Boulafdour, Brahim & Sayouti, Adil.(2013). A model for an Information security management system (ISMS Tool) basedmulti agent system.5. Calder, Alan, and Steve Watkins. IT governance: A manager's guide to data securityand ISO 27001/ISO 27002. Kogan Page Ltd., 2008.6. Van, Haren. Implementing Information Security Based on ISO 27001 and ISO17799: A Management Guide. Van Haren Publishing, 2006.7. https://www.isms.online/iso-27001/

20

https://www.isms.online/iso-27001/


Akreditovana ISMS sertifikacijaLekcija 09

www.princexml.com




AKREDITOVANA ISMS SERTIFIKACIJA

Akreditovana ISMS sertifikacijaPoglavlje 1: Internacionalna sertifikacijaPoglavlje 2: Sertifikacija i akreditacijaPoglavlje 3: Uključeni standardiPoglavlje 4: ISMS RevizijeZaključak




Uvod

UVODUvod

Ova lekcija istražuje svet nezavisne ISMS sertifikacije: osnovne ideje, koje su strane uključenei koje su njihove uloge, šta uključuje proces, ko vrši reviziju i koje su kvalifikacije potrebne dabiste bili revizor i konačno trenutni međunarodni trend za ISMS sertifikat.

3

Poglavlje 1

Internacionalna sertifikacija

ISO/IEC INTERNACIONALNA SERTIFIKACIJAISO / IEC 27001 ISMS sertifikati se izvode u više od 70 zemalja

ISO / IEC 27001 ISMS sertifikati se izvode u više od 70 zemalja, uključujući organizacije male,srednje i velike, iz različitih poslovnih sektora. Neki primeri su sledeći:

• Telekomunikacije i mrežne usluge i dobavljači;• Finansijske institucije i sektor osiguranja;• Proizvodni sektor,• Komunalije (struja, gas i voda);• IT prodavci, dobavljači i usluge;• Vladine službe i agencije;• Sektor maloprodaje;• Industrija zabave;• Istraživanje i razvoj;• Profesije (npr. Pravna profesija);• Akademski sektor.

Trenutni trend rasta je Azija, zatim Evropa, zatim Amerika i konačno Afrika i Bliski Istok.Trenutna raščlamba (u vreme pisanja ovog teksta) je sledeća:

• Azija (uključujući Australiju i Novi Zeland): 47%;• Evropa: 29%;• Amerika: 15%;• Afrika i Bliski Istok: 9%.

Iako ovaj procenat izgleda asimetrično, stopa rasta u svim delovima sveta neprekidno sepovećava, a predviđanja sa tržišta su da će bliska budućnost predstaviti uravnoteženijiglobalni rast.

MOTIVACIJAUticaj motivacije

Ova raznolikost ne samo da pokazuje važnost informacione sigurnosti u svakom poslovnomsektoru, već i široku primenljivost serije standarda ISO / IEC 27000 kako bi se udovoljilozahtevima preduzeća za „zajedničkim jezikom“ za rešavanje pitanja bezbednosti informacija.Motivacija za odlazak na nezavisnu reviziju ISMS-a takođe je različita; na primer:

4

• Da se pridržava zakona i propisa (npr. Privatnost i zaštita podataka, upravljanje izloupotreba računara i hakovanje);

• Kao deo ugovora o lancima kupaca i dobavljača (više tendera i RFP sada uključujeklauzule o usaglašenosti sa ISO 27001);

• Da se pokaže „prikladnost za svrhu“ (vidi poglavlje 2);• Razlozi osiguranja (postoje slučajevi kada su premije osiguranja snižene jer organizacije

mogu pokazati da imaju efikasan sistem upravljanja rizikom);• Tržišna konkurencija (pokazivanje izvrsnosti ISMS-a u određenom sektoru).

TROŠKOVI I RESURSITroškovi organizacije krajnjeg korisnika za primenu ISMS-a i izdavanjeISMS sertifikata raščlanjuju se na komponente: troškovi rada nasertifikaciji tela za sertifikaciju i internog rada

Troškovi organizacije krajnjeg korisnika za primenu ISMS-a i izdavanje ISMS sertifikataraščlanjuju se na komponente: troškovi rada na sertifikaciji tela za sertifikaciju (početnarevizija, naknadne revizije nadzora i revizija revizije) i troškovi internog rada (priprema zasertifikaciju, tekuće nadzorne revizije i troškovi održavanja i rada). Način izračunavanja ovihtroškova varira i zavisi od nekoliko faktora (tj. Složenosti ISMS-a koji se primenjuje). U AneksuA.1 i A.3 ISO / IEC 27006, postoje neki primeri onoga što čini ovu složenost, kao i nekauputstva za izračunavanje vremena revizora. Što se tiče internih troškova, ovo uključujesledeće:

• Pregled rizika i merenje efikasnosti ISMS-a;• Implementacija i primena ISMS kontrola;• Izrada dokumentacije;• Svest i obuka;

Resursi za određene bezbednosne funkcije (npr. Službenik / menadžer za bezbednost,administrator zaštitnog zida ili menadžer fizičke bezbednosti). Naravno, ovo može izgledatiskupo, ali treba shvatiti da bi neke od ovih stavki trebale biti svakodnevni troškovi zamnoge kompanije, jer su u drugim oblastima poslovanja neophodni dokumentacija, obukai informisanje. Takođe, u zavisnosti od veličine i složenosti sistema, ovi troškovi moždauopšte neće biti veliki. U stvari, ako je bezbednost integrisana, kako bi trebalo, sa ostalimdelovima poslovanja, tada će neke od ovih troškova apsorbirati i podeliti druge poslovnefunkcije i operacije. Ako se na informacionu sigurnost gleda kao na važan aspekt poslovanja,a retko se može naći kompanija u kojoj nije potreban neki aspekt informacione sigurnosti,tada će resursi morati da budu deo poslovnog budžeta bez obzira da li organizacija idena sertifikaciju . Naravno, to je komercijalni bilans i kompromis između primene samoodgovarajućeg nivoa sigurnosti i prelaska preko vrha sa nepotrebnim troškovima. Zbog togaje važno izvršiti procenu rizika od informacione bezbednosti - tako da rukovodstvo možedoneti ispravne odluke o tome gde će potrošiti novac (videti ISO / IEC 27001, tačka 6). Otudane smemo izgubiti iz vida činjenicu da preduzeće treba da opstane na današnjim dinamičnimi konkurentnim tržištima, a što je tačnija analiza rizika sa kojima se kompanija suočava, to jebolje informisano rukovodstvo da donosi ispravne odluke kako bi učinilo najbolje za kompanijui kako najbolje uložiti u informacionu sigurnost.

Poglavlje 1 Internacionalna sertifikacija

5

Poglavlje 2

Sertifikacija i akreditacija

ZAINTERESOVANE STRANEAkreditovana ISMS sertifikacija uključuje sledeće zainteresovanestrane: tela za akreditaciju (AB), tela za sertifikaciju (CB) i organizacijukrajnjeg korisnika

Akreditovana ISMS sertifikacija uključuje sledeće zainteresovane strane: tela za akreditaciju(AB), tela za sertifikaciju (CB) i organizaciju krajnjeg korisnika (čiji ISMS treba da budesertifikovan). Svaka od ovih zainteresovanih strana igra različite uloge u procesu i imarazličite odgovornosti.

AKREDITACIJAAkreditacija je formalni postupak koji sprovodi nacionalno telo zaakreditaciju (AB)

Akreditacija je formalni postupak koji sprovodi nacionalno telo za akreditaciju (AB). AB jetelo koje pruža formalno priznanje nezavisnih kompetencija nezavisnih banaka za obavljanjeodređenih zadataka sertifikacije i revizije i isporuku usluga sertifikacije krajnjem korisniku.Za krajnju korisničku organizaciju (CB klijent) pruža sredstvo za identifikovanje dokazane,kompetentne CB, tako da je izbor informisani izbor. To takođe znači da CB može da dokažesvojim kupcima da je uspeo da se uskladi sa zahtevima navedenim u međunarodnimstandardima akreditacije za sisteme upravljanja.

Proces sertifikacije ISMS koristi isti model kao i drugi sistemi upravljanja, kao što je ISO 9001za upravljanje kvalitetom, ISO 14001 za upravljanje životnom sredinom i ISO 220002 zaupravljanje sigurnošću hrane.

Prilikom procene adekvatnosti CB za sprovođenje ISMS sertifikata u skladu sa ISO 17021 i ISO/ IEC 27006, AB će:

• Sprovoditi posete sedišta CB da bi se proverilo da li CB ima potrebne sistemske procesei procedure i da li funkcionišu ispravno za preduzimanje takvih revizija ISMS-a;

• Proceniti da li CB ima odgovarajući broj kvalifikovanih revizora za sprovođenje ISMSsertifikata;

• Nošenje ISMS-a na licu mesta prisustvovalo je revizijama radi procene kompetentnostirevizora koji rade u praksi.

6

Nakon akreditacije, CB može svojim klijentima ponuditi usluge sertifikacije ISMS. Ovaakreditacija traje tri godine, tokom kojih će AB kontinuirano pratiti i ocenjivati njihovukompetentnost i učinak redovnim svedočenjem. Nakon tri godine, AB može ponovo daakredituje CB, produžavajući svoj sertifikat o akreditaciji za još tri godine.

Na veb lokaciji Međunarodnog foruma za akreditaciju (IAF) (vvv.iaf.nu) nalazi se spisakpriznatih tela za akreditaciju i vvv.european-akreditacija. org daje spisak evropskih tela zaakreditaciju. Primeri AB su UKAS u Velikoj Britaniji, SVEDAC u Švedskoj, ANAB u SAD-u, EMA uMeksiku, TGA u Nemačkoj, SCC u Kanadi i JAB i JIPDEC u Japanu.

CB koji nudi akreditovane usluge sertifikacije treba da bude akreditovan od strane AB.Trenutno veliki broj CB može pružiti akreditovane usluge sertifikacije ISMS.

SERTIFIKACIJADa bi verifikovala usaglašenost ISMS-a sa ISO 27001, kompanija morada prođe postupak sertifikacije kojim upravlja ovlašćena organizacijaza sertifikaciju

CB sprovodi sertifikacione revizije ISMS-a svojih klijenata. U ovom poglavlju, tačka 11.5opisuje proces revizije, koji je dvostepeni proces. CB izdaje klijentima sertifikate na osnovuuspešne revizije koja se sprovodi. Ovaj sertifikat traje tri godine. Tokom ovog trogodišnjegperioda, CB će vršiti redovne nadzorne revizije, svakih 6 do 12 meseci. Na kraju tri godine,sertifikat ističe. Ako klijent želi da i dalje ima važeću potvrdu, klijent mora pre datuma istekada se prijavi CB-u za reviziju ponovne sertifikacije. Klijent će biti ponovo izdat sa sertifikatomnakon uspešne revizije ponovne sertifikacije.

Uopšteno o sertifikaciji

Da bi verifikovala usaglašenost ISMS-a sa ISO 27001, kompanija mora da prođe postupaksertifikacije kojim upravlja ovlašćena organizacija za sertifikaciju (Registrovana tela zasertifikaciju RCB), ISO daje listu RCB-a. Kompanija pokreće postupak odabirom RCB. Upreliminarnom ispitivanju uz podršku RCS-a može se doneti odluka da se utvrdi u kojoj meriveć postoji usaglašenost prema standardu i koje potrebe za aktivnostima i dalje postoje zauspešno sertifikovanje. Shodno tome, mere neophodne za usaglašenost sa ISMS-om trebalebi se sprovesti u pripremnom projektu. Za to su neophodna odgovarajuća znanja i iskustvasa postupcima sertifikacije, kao i posebna stručnost u informacionoj sigurnosti, koja bi se popotrebi mogla dobiti pozivanjem spoljnih stručnjaka.U prvom slučaju ispit za sertifikaciju (reviziju) sastoji se od provere svih dokumenata(bezbednosne politike, opisa procesa, itd.) Od strane RCB, zbog čega će dokumenti biti poslatisertifikacionoj organizaciji. Provera dokumentacije služi kao priprema za glavnu reviziju, gdepredstavnici organizacije za sertifikaciju sprovode detaljan pregled tokom višednevne posetelokaciji. To će obuhvatiti intervjue koji se vode sa svim odgovornim osobama, pri čemu ćeoni objasniti svoje razumevanje bezbednosne politike, opisati procese, nasumično predstavitidetalje i karakteristike, objasniti procesnu dokumentaciju, kao i razgovarati o poznatimslabostima i započetim merama poboljšanja.

Poglavlje 2 Sertifikacija i akreditacija

7

Tada će organizacija za sertifikaciju izraditi izveštaj u kome će biti objašnjeni rezultati revizijei mere poboljšanja koje će se nužno primeniti pre nego što se navede sledeća revizija. Uslučaju pozitivnog ukupnog rezultata, kompanija dobija zvanični sertifikat kojim se potvrđujeusaglašenost ISMS-a sa zahtevima ISO 27001.

SERTIFIKACIJA - NASTAVAKNastavak

Primena odgovarajućeg ISMS-a može potrajati nekoliko meseci do nekoliko godina, u velikojmeri zavisno od zrelosti upravljanja IT bezbednošću u organizaciji. Kada su procesi u skladusa okvirom poput COBIT, ISO 20000 ili ITIL već uspostavljeni, vreme i troškovi primene bićeniži. Proces sertifikacije trajaće nekoliko meseci dodatno.

Sertifikat važi 3 godine; nakon ovoga se može primeniti ponovna sertifikacija za koju je običnopotrebno manje napora od početne sertifikacije. Stalno poštovanje zahteva standarda ISO27001 i kontinuirano unapređivanje ISMS-a osigurava se godišnjim nadzornim revizijama. Overevizije vrše revizori iz RCB, pri čemu se prva nadzorna revizija mora obaviti pre nego štoprođe 12 meseci od izdavanja sertifikata. Ako tokom nadzorne revizije treba otkriti ozbiljnaodstupanja od zahteva standarda, RCB može suspendovati ili čak povući sertifikat dok seodstupanja ne otklone.

Postoje neke nacionalne alternative. Za nemačke kompanije savezna kancelarija zainformacionu bezbednost (BSI) nudi od 1994. proceduralne smernice - takozvane„ITGrundschutz“ - za podršku vlastima i kompanijama u pogledu bezbednosti. U 2006. godiniove specifikacije su revidirane na osnovu ISO 27001 i zvanično je verifikovana podudarnostizmeđu „IT Grundschutz“ BSI-a i ISO 27001 standarda. Od 2006. godine BSI dodeljuje ovaj„ISO 27001 sertifikat zasnovan na IT-Grundschutz-u“, kojim su sertifikovani i usaglašenost saISO 27001 i ocena mera IT bezbednosti prema IT Grundschutz katalozima.

Poglavlje 2 Sertifikacija i akreditacija

8

Poglavlje 3

Uključeni standardi

UKLJUČENI STANDARDI U POSTUPKU AKREDITACIJEI SERTIFIKACIJEGlavni standardi uključeni u postupak akreditacije i sertifikacijenavedeni su u sledećim odeljcima

Glavni standardi uključeni u postupak akreditacije i sertifikacije navedeni su u sledećimodeljcima.

Akreditacija

Slede trenutni standardi koje AB koristi za procenu i akreditaciju CB:

• ISO 17021-1: Procena usaglašenosti - zahtevi za tela koja pružaju reviziju i sertifikacijusistema upravljanja;

• ISO / IEC 27006: Međunarodne smernice za akreditaciju za akreditaciju tela koja vršesertifikaciju / registraciju sistema upravljanja bezbednošću informacija;

• ISO 19011: Smernice za reviziju sistema upravljanja.

Sertifikacija

Slede trenutni standardi koje CB koristi za reviziju i sertifikaciju ISMS-a kupca:

• ISO / IEC 27001: Sistemi upravljanja informacionom sigurnošću - zahtevi;• ISO 19011: Smernice za reviziju sistema upravljanja;• ISO / IEC 27007: Smernice za reviziju sistema upravljanja informacionom bezbednošću;• ISO / IEC 27008: Smernice za revizore o ISMS kontrolama.

UKLJUČENI STANDARDI U POSTUPKU AKREDITACIJEI SERTIFIKACIJE - NASTAVAKOrganizacije krajnjih korisnika

Organizacije krajnjih korisnika (vlasnici ISMS-a)

Organizacije naravno mogu da koriste sve ostale standarde iz ISO / IEC 27000 ISMS serijekao prateće smernice i savete o primeni ISO / IEC 27001. To uključuje ISO / IEC 27002— Kodeks prakse za kontrolu bezbednosti informacija; ISO / IEC 27003 Sistem upravljanjainformacionom sigurnošću - Smernice; ISO / IEC 27004 - Upravljanje bezbednošću informacija- Nadgledanje, merenje, analiza i procena; 27005— Upravljanje rizikom informacione

9

sigurnosti. Pored toga, one organizacije koje rade u određenim poslovnim sektorima, kao štosu telekom ili energetika, mogu odlučiti da koriste relevantne sektorske standarde za dodatnekontrole i savete o primeni - na primer, ITU Ks.1051 | ISO / IEC 27011 (telekomunikacije), ISO/ IEC 27013 (upravljanje uslugama i ISMS), ISO / IEC 27015 (sektor finansija), ISO / IEC 27017i 27018 (usluge u oblaku) i ISO / IEC 27019 (energetski sektor). Međutim, treba naglasiti daje usklađenost (u ISO terminima) sa zahtevima ISO / IEC 27001 i da svi ostali standardi nisuobavezni.

Poglavlje 3 Uključeni standardi

10

Poglavlje 4

ISMS Revizije

OBIM SERTIFIKACIJEOpseg ISMS-a definiše organizacija.

Opseg ISMS -a (kako je detaljno opisano u ISO / IEC 27001) definiše organizacija.Organizacija koja želi da ima ISMS sertifikat takođe treba da definiše obim sertifikacije (opsegISMS ne treba mešati sa obimom sertifikata koji obuhvata opseg ISMS i bilo koje isključenezahteve ISO / IEC 27001). Uloga CB-a je da proveri da li je ovaj opseg u skladu sa njenimposlovanjem i da ne isključuje ništa iz njihovog delovanja, što bi moglo uticati na sposobnosti / ili odgovornost organizacije, da pruža informacionu sigurnost koja ispunjava sigurnosnezahteve utvrđene procenom rizika i važećim regulatornim zahtevima.

CB treba da osigura da procena rizika od informacione bezbednosti organizacije pravilnoodražava njene aktivnosti i proteže se do granica njenih ISMS aktivnosti, uzimajući u obzirsve interfejse i zavisnosti kako je definisano u ISO / IEC 27001 (poglavlje 4.3), i treba dapotvrdi da ovo ogleda se u Izjavi o primeni organizacije (SoA); videti ISO / IEC 27001 Poglavlje6.1.3.d. Ako se ISMS poveže sa uslugama ili aktivnostima koje nisu u potpunosti u njegovomdelokrugu sertifikacije, rizici povezani sa tim interfejsima ipak treba da budu uključeni uprocenu rizika informacione bezbednosti organizacije.

PROCES REVIZIJE - PRVA FAZAPrva faza

Sertifikacija sistema upravljanja informacionom sigurnošću organizacije (ISMS) premastandardu ISO / IEC 27001 je dvostepeni postupak revizije kako je detaljno opisano u ISO / IEC27006.

Prva faza revizije

Tokom ove faze, CB vrši pregled ISMS-a organizacije u vezi sa obimom sertifikata i njegovedokumentacije. To će uključivati razmatranje definicije obima ISMS-a i njegove politike ISMS-a, izveštaj o proceni rizika i plan lečenja rizika, Izjavu o primenljivosti i druge osnovneelemente ISMS-a. Ovaj pregled omogućava revizorima da steknu razumevanje i ocenu ISMS-aorganizacije. Ovo će onda pružiti fokus za planiranje narednih delova revizije. Daje pokazateljstanja spremnosti organizacije za reviziju. Jednom kada se ovaj pregled završi i sačini izveštajo reviziji, CB je u mogućnosti da odluči da li će nastaviti sa fazom 2 revizije. Pre nego štopređe na sledeću fazu, CB treba da okupi revizorski tim sa potrebnim kompetencijama da sepozabavi revizijom obima sertifikacije ISMS-a organizacije.

11

PROCES REVIZIJE - DRUGA FAZATokom ove faze, revizorski tim CB posećuje mesta (mesta) organizacijeda bi izvršio reviziju ISMS-a.

Tokom ove faze, revizorski tim CB posećuje mesta (mesta) organizacije da bi izvršio revizijuISMS-a. Cilj ove faze je da potvrdi da je organizacija u skladu sa zahtevima standarda ISO /IEC 27001 i da se pridržava sopstvenih politika i poslovnih ciljeva. Revizorski tim bi se trebaojasno usredsrediti na glavna područja obaveznih zahteva standarda, uključujući:

• ISMS u organizacionom kontekstu (ISO / IEC 27001, tačka 4);• Predanost, vođstvo i podrška najvišeg rukovodstva organizacije (ISO / IEC 27001, tačke 5

i 7);• Procena rizika i procesi lečenja rizika (ISO / IEC 27001, tačka 6);• Dobijeni ISMS dizajn i primena (ISO / IEC 27001, tačka 8);• Postupak procene performansi (ISO / IEC 27001 klauzula 9) i kontinuirano poboljšanje

(ISO / IEC 27001 klauzula 10). Revizorski tim takođe treba da uzme u obzir specifičnosti(npr. Šta je organizacija postavila za praćenje i merenje učinka i efikasnosti ISMS-a, kao iizveštavanje i pregled u odnosu na svoje poslovne ciljeve).

Procena će obuhvatiti proveru:

• Ono što je planirano i sprovedeno je u operativnoj upotrebi kako bi se osigurala tasigurnost;

• Da se vrše revizije menadžmenta;• Da postoji interni postupak revizije ISMS-a;• Kakva je upravljačka odgovornost definisana za primenu i primenu njegove politike

bezbednosti informacija.

Revizorski tim takođe treba da uzme u obzir specifičnosti u vezi sa procesom upravljanjarizikom: metode procene rizika koje se koriste, kriterijumi rizika, postupak određivanjakontrola, SSP i izjave o opravdanosti u SSP.Važan aspekt revizije je predstavljanje i ispitivanje objektivnih dokaza kako bi se pokazaleveze revizorskog traga između politike informacione sigurnosti, rezultata procena rizika,bezbednosnih ciljeva i odgovornosti, odgovornosti za informacionu sigurnost, sistemakontrola i postupaka. i šta je postavljeno za praćenje učinka i bezbednosne preglede.

NEUSAGLAŠENOSTICB može definisati stepene nedostatka i područja za poboljšanje

U slučaju ISO / IEC 27001 neusaglašenost je odsustvo ili neuspeh u primeni i održavanjujednog ili više zahteva koje standardi definišu za ISMS ili situacija koja bi na osnovuobjektivnih dokaza dovela do značajne sumnje u pogledu sposobnost ISMS-a da postignebezbednosnu politiku i ciljeve organizacije.

Poglavlje 4 ISMS Revizije

12

CB može definisati stepene nedostatka i područja za poboljšanje (npr. Velike ili manjeneusaglašenosti i zapažanja). Ako se koriste takvi stepeni nedostatka, međutim CB ih možedefinisati, sa svim vrstama neusaglašenosti treba postupati kako je navedeno u ISO 17021-1i ISO / IEC 27006.

REVIZORSKI IZVEŠTAJRevizorski tim je dužan da rukovodstvu CB pruži izveštaj o svojimnalazima i preporukama u vezi sa usaglašenošću ISMS-a organizacijesa svim zahtevima standarda ISO / IEC 27001.

Revizorski tim je dužan da rukovodstvu CB pruži izveštaj o svojim nalazima i preporukamau vezi sa usaglašenošću ISMS-a organizacije sa svim zahtevima standarda ISO / IEC 27001.Svaka neusaglašenost mora da se isprazni kako bi se udovoljilo svim zahtevima ISO / IEC27001. Na ove neusaglašenosti treba odmah skrenuti pažnju organizacije i usvojiti akcioniplan za njihovo rešavanje.

CB će zatražiti od organizacije da komentariše izveštaj i da opiše konkretne korektivnemere koje će preduzeti ili planove koje će preduzeti u određenom roku kako bi otklonilasvaku neusaglašenost. Za zatvaranje takvih naknadnih radnji možda će biti potrebna puna ilidelimična ponovna procena ISMS-a ili će se smatrati odgovarajućom pismena izjava koja ćebiti potvrđena tokom nadzora.

Ovaj izveštaj treba da sadrži identifikaciju ISMS elemenata koji se revidiraju, procenjeniopseg ISMS-a koji se revidira, komentare o usaglašenosti ISMS-a organizacije sa zahtevimastandarda sa jasnom izjavom o svakoj neusaglašenosti i, gde je primenljivo, korisnuupoređivanje sa rezultati prethodnih procena organizacije.

Odluku o tome da li će dodeliti sertifikat u vezi sa ISMS-om neke organizacije donosi CBna osnovu podataka prikupljenih tokom revizije, izveštaja o reviziji i svih drugih relevantnihinformacija. Oni koji pregledaju izveštaj i donesu odluku o potvrđivanju neće biti oni koji suučestvovali u reviziji ISMS-a kako bi se osigurala nepristrasnost procesa.

Na sertifikatu koji se dodeljuje organizaciji nalazi se logo CB, kao i logo akreditacionog telakoje je akreditovalo CB.

OBNOVA SERTIFIKACIJEObnova sertifikacije se obično vrši svake tri godine

Obnova sertifikacije se obično vrši svake tri godine, a svrha joj je da verifikuje ukupnu trajnuusaglašenost ISMS-a organizacije sa zahtevima standarda ISO / IEC 27001 i da li je ISMSpravilno primenjen i održavan.

Programi ponovne potvrde i nadzorne revizije obično treba da uključuju sledeće:

• Provera da li odobreni ISMS nastavlja da se primenjuje.


13

• Razmatranje implikacija promena sistema kontrole ISMS pokrenutih kao rezultatpromena u radu organizacije i obezbeđivanje ukupne efikasnosti ISMS-a u celini u svetlupromena u operacijama. To uključuje promene u dokumentovanom sistemu ISMS.

• Potvrda kontinuirane usaglašenosti sa zahtevima ISO / IEC 27001 i demonstracijaposvećenosti održavanju efikasnosti ISMS-a i efektivne interakcije između svihelemenata ISMS-a.

• Aspekti održavanja sistema, a to su interna revizija ISMS-a, unutrašnji pregledbezbednosti, pregled menadžmenta i preventivne i korektivne mere.

ISMS procesi, kako je precizirano u standardu ISO / IEC 27001, pružaju upravljački okvir zaorganizaciju da realizuje program stalnog poboljšanja. Ovo bi trebalo da obezbedi organizacijiefikasnu primenu i primenu ISMS-a za opšte dobro i upravljanje njenim poslovanjem, a štotakođe odgovara ciljevima prethodno pomenutih aktivnosti ponovne sertifikacije i nadzornerevizije.

TRAGOVI REVIZIJEVažan aspekt sertifikacione revizije je prikupljanje objektivnih dokaza.

Važan aspekt sertifikacione revizije je prikupljanje objektivnih dokaza. Prikupljajući takvedokaze, revizor obično traži uzorak revizijskih tragova. Na primer, organizacija je trebalo daizvrši procenu rizika, lečenje rizika i odabir kontrolnih vežbi koje vode do SoA. Revizor trebada ima mogućnost praćenja ovog procesa kako bi pronašao dokaze da je organizacija pravilnosprovela postupak. Na primer:

• SoA pokazuje da je za pitanje implementacije izabran određeni kontrolni skup, šta jedonošenje odluka išlo iza ovog izbora?

• Prateći unazad, revizor će možda želeti da razgovara o ovom procesu donošenja odlukau vezi sa odabranim opcijama lečenja rizika;

• Da bi pratio dalje, revizor bi onda mogao pitati, koji su rizici identifikovani u izveštaju oriziku koji su doveli do mogućnosti lečenja rizika za smanjenje rizika?

• Da bi se vratio unazad, revizor će možda želeti da pogleda izveštaj o proceni rizika irazgovara o kontrolnom skupu koji je srazmeran imovini, pretnjama i ranjivosti na koju seodnose i povezanim rizicima koji su identifikovani.

Revizor će želeti da proveri prikupljanjem odgovora i dokaza da postoji kontrola u SSP-u do procene rizika koja je izvršena. Drugi primeri uključuju proveru procesa upravljanjaincidentima koji je na snazi od:

• Otkrivanje, prijavljivanje i snimanje incidenta;• Na analizu incidenta;• Na korektivne mere preduzete radi rešavanja i oporavka od incidenta;• Do zatvaranja akcije incidenta;• Da bi se nastavile radnje i aktivnosti kako bi se osigurale primjene preventivnih mera

kako bi se izbegla ponovna pojava incidenta.


14

TRAGOVI REVIZIJE - NASTAVAKRevizor bi mogao stvoriti revizorski trag objektivnih dokaza da suuspostavljeni tačni postupci i primena kontrola informacionebezbednosti za upravljanje rizicima od prošlosti, sadaš. i budućn.

Ponovo, revizor bi mogao stvoriti revizorski trag objektivnih dokaza da su uspostavljeni tačnipostupci i primena kontrola informacione bezbednosti za upravljanje rizicima od prošlosti,sadašnjosti i budućnosti. Postoji mnogo primera u primeni i primeni kontrola iz Aneksa AISO / IEC 27001 (tj. Izjave o kontroli iz ISO / IEC 27002). To može uključivati uspostavljanjerevizorskih tragova koji se odnose na:

• Mere i postupci kontrole pristupa;• Rezervne kopije;• Planovi i ispitivanje kontinuiteta poslovanja;• Politike e-pošte i Interneta;• Pravne i regulatorne kontrole;• Ugovori treće strane, SLA i upravljanje pružanjem usluga;• Mere fizičkog obezbeđenja.

Kao i dva prethodno data primera, revizor bi trebalo da nastoji da izgradi revizorske tragoveobjektivnih dokaza da postoje tačni postupci i primena kontrola za upravljanje rizicimaposlovanja. Revizor će takođe razmotriti tekuće upravljanje ovim procesima i kontrolamatražeći indikacije i dokaze da organizacija nadgleda i preispituje svoje sisteme kako biproverio koliko je efikasna njena sigurnost i koje mere se planiraju poboljšati u oblastima ukojima bezbednost nije tako efikasan.

KOMPETENCIJECB će takođe imati uspostavljen postupak i kriterijume za proverukompetentnosti osoblja

Poverenje i oslanjanje u procesu sertifikacione revizije zavise o nekoliko stvari, posebnoo opštoj kompetenciji osoblja uključenog u svaku od sertifikacijskih funkcija i specifičnijojkompetentnosti revizora koji provode ISMS revizije. Funkcije sertifikacije uključujusprovođenje pregleda klijentskih prijava, reviziju, vodećeg revizora, pregled izveštaja o revizijii donošenje odluka o sertifikaciji.Akreditacija zahteva da CB ima uspostavljen postupak koji definiše neophodne zahtevekompetencije svog osoblja u funkcijama sertifikacije. To uključuje tehnološko, pravno iregulatorno znanje relevantno za ISMS klijenta koji se revidira.

CB će takođe imati uspostavljen postupak i kriterijume za proveru kompetentnosti osoblja -njegovog iskustva, obuke i znanja. Opšte i specifično iskustvo, znanje i obuka u vezi sa ISMSsertifikatima uključuju sledeće:

• Sistemi upravljanja i revizija;


15

• Principi revizije i procesa revizije (ISO 19011 i ISO / IEC 27007);• Principi sistema upravljanja, filozofija, procesi koji su specifični za ISMS;• Opšta znanja o informacionoj sigurnosti;• ISMS standard ISO / IEC 27001;• Specifični procesi kao što su procena rizika i lečenje rizika (npr. Poznavanje principa i

metoda definisanih u ISO / IEC 27005);• Praćenje, merenje, analiza i procena ISMS-a (npr. Poznavanje principa i metoda

definisanih u ISO / IEC 27004);• Kontrole bezbednosti informacija relevantne za primenu ISMS standarda ISO / IEC 27001

(npr. ISO / IEC 27002):• - Politike i procedure;• - Bezbednost ljudskih resursa;• - Metode kontrole pristupa;• - Sigurnost rada;• - Bezbednost komunikacija;• - Fizička i ekološka sigurnost.• Tehničko znanje o aktivnosti koja se revidira.

KOMPETENCIJE - NASTAVAKCB treba da ima kompetenciju za odabir revizora sa potrebnimznanjem, veštinom i iskustvom kako bi se osiguralo da se revizijesprovode efikasno i ujednačeno

CB treba da ima kompetenciju za odabir revizora sa potrebnim znanjem, veštinom i iskustvomkako bi se osiguralo da se revizije sprovode efikasno i ujednačeno. Opšti kriterijumi zakompetentnost revizora zasnivaju se na demonstraciji sposobnosti primene niza znanja iveština stečenih formalnim obrazovanjem, IT i ISMS radnim iskustvom, ISMS obukom revizorai iskustvom revizije.

Od revizora se očekuje da razvijaju, održavaju i unapređuju svoje kompetencije kroz programkontinuiranog profesionalnog usavršavanja i redovnim učešćem u ISMS revizijama.

Međunarodni registar revizora sertifikata definisao je skup kriterijuma za sertifikaciju revizorana osnovu ISO 19011 (opšta kompetencija revizora) i ISO / IEC 27006 (kompetencijaspecifična za ISMS). Ovo pokriva minimalne zahteve koje revizori moraju da zadovolje upogledu formalnog obrazovanja, radnog iskustva, obuke za revizora i iskustva u reviziji dabi bili sertifikovani ili kao ISMS revizor ili kao vodeći revizor ISMS-a (videti vvv.irca. Org).Takođe, IRCA je definisala kriterijume za ISMS kurseve obuke zasnovane na ISO / IEC 27000seriji standarda. Organizacije za obuku mogu se prijaviti IRCA-i za odobrenje kurseva premakriterijumima. ISO razvija standard o zahtevima za stručnost za profesionalce ISMS-a (ISO /IEC 27021). Očekuje se da će ovaj standard biti objavljen najranije 2017. godine.


16

Poglavlje 5

Zaključak

ZAKLJUČAKRezime

ISMS se ne bi trebao tretirati kao statički sistem. Treba ga tretirati kao živi, dinamični sistemkoji će se promeniti. Ako se ISMS tretira kao statički sistem, onda će nakon određenogvremenskog perioda sigurno postati neefikasan u zaštiti informativne imovine organizacije,pružiće neadekvatan kvalitet zaštite i biće neprikladan za ispunjavanje zahteva, potreba,svrhe i ciljevi organizacije i zainteresovanih strana. Takav ISMS obezvrediće ulaganjeorganizacije u dizajn, razvoj i primenu njenog ISMS-a.

LITERATURAReference

1. Disterer, Georg. "ISO/IEC 27000, 27001 and 27002 for information securitymanagement." (2013).2. Calder, Alan, and Steve Watkins. IT governance: A manager's guide to data securityand ISO 27001/ISO 27002. Kogan Page Ltd., 2008.3. Humphreys, Edward. Implementing the ISO/IEC 27001: 2013 ISMS Standard. ArtechHouse, 2016.

17


Upravljanje imovinomLekcija 10

www.princexml.com




UPRAVLJANJE IMOVINOM

Upravljanje imovinomPoglavlje 1: Vlasnici imovinePoglavlje 2: Bezbednost ljudskih resursaPoglavlje 3: Fizička i ekološka bezbednostPoglavlje 4: Javni pristup, isporuka i utovarPoglavlje 5: Bezbednost opremeZaključak




Uvod

UVODUvod

Kontrola A.8 standarda bavi se upravljanjem imovinom, uključujući klasifikaciju i prihvatljivuupotrebu. Cilj ove kontrole je „postizanje i održavanje odgovarajuće zaštite organizacioneimovine“. Klauzula 7 ISO27002 se nadovezuje na ovo.

3

Poglavlje 1

Vlasnici imovine

VLASNICI IMOVINE/AVlasnik imovine takođe može biti određeno odeljenje ili „entitet“ uokviru organizacije, a u nekim okolnostima može biti prikladno davlasnik imovine bude odeljenje ili rukovodilac

Kontrola A.8.1.2 ( koja će biti objašnjena detaljnije nakon ovog objekta učenja ) kaže da bisva informaciona imovina trebalo da ima nominovanog vlasnika („fizičko ili pravno lice kojeje odobrilo upravljačku odgovornost za ... imovinu“) i da bi trebalo da se obračunava. Jasnoje da je „vlasnik“ osoba ili funkcija koja je odgovorna za imovinu; „vlasnik“ nema imovinskaprava nad sredstvom. Ova kontrola zahteva od organizacije da, među ISMS dokumentacijom,održi raspored koji prikazuje sva informaciona sredstva organizacije. To bi trebalo da buduisti oni koji su identifikovani tokom procene rizika, o čemu smo ranije razgovarali. Svakaod ove imovine treba da ima nominovanog vlasnika, člana osoblja čiji je staž primerenvrednosti imovine koju on ili ona ’poseduje’. Odgovornost ove osobe za imovinu treba da budenavedena i opisana u pismu ili memorandumu njemu ili njoj. On ili ona treba da ga potpišukako bi potvrdili saglasnost sa tim dokumentom, a ovaj potpisani original treba da se stavi unjegov karton. Ili kopiju treba zadržati zajedno sa rasporedom imovine ili rasporedom trebaimenovati vlasnika i uputiti se u dosije osoblja.

Ovo pismo treba da opiše imovinu (sredstva) za koju je lice odgovorno i njeno (njihovo)mesto (a). Trebalo bi da opiše bezbednosne kontrole (uključujući bezbednosnu klasifikacijui ograničenja pristupa) koje su potrebne za sredstvo i da navede odgovornost vlasnika zanjihovo održavanje (i povremeni pregled). Vlasniku može biti dozvoljeno da odgovornost zasprovođenje ili održavanje kontrola prenese na osoblje direktno odgovorno njemu ili njoj, aline bi trebalo da mu se dozvoli da prenese odgovornost. Ovo bi trebalo da bude jasno i jasnos imenovanim vlasnikom.

Vlasnik imovine takođe može biti određeno odeljenje ili „entitet“ u okviruorganizacije, a u nekim okolnostima (gde može biti velika fluktuacija osoblja,na primer u call centru) može biti prikladno da vlasnik imovine bude odeljenjeili rukovodilac odgovoran za to područje. Ključno razmatranje prilikom dodeljivanjavlasništva odeljenju je osigurati da će pojedinac izvršavati tu odgovornost - u suprotnom jemalo verovatno da će se primenjivati zahtevi za bezbednost podataka.

4

PRINCIPI UPRAVLJANJA IMOVINOMUpravljanje imovinom je holistički pogled koji može objediniti različitedelove organizacije

Upravljanje imovinom je holistički pogled koji može objediniti različite deloveorganizacije zajedno u ostvarivanju zajedničkih strateških ciljeva. Ključni principi iatributi uspešnog upravljanja imovinom mogu se objasniti na sledeći način:

• Holistički: sagledavanje celokupne slike, tj. Kombinovanih implikacija upravljanja svimaspektima (to uključuje kombinaciju različitih vrsta imovine, funkcionalnu međuzavisnosti doprinos imovine u sistemima imovine i različite faze životnog ciklusa imovine iodgovarajuće aktivnosti), nego kompartmentalizovani pristup.

• Sistematski: metodički pristup, koji promoviše dosledne, ponovljive i revizijske odluke iakcije.

• Sistemski: razmatranje imovine u kontekstu njihovog sistema imovine i optimizacijavrednosti sistema imovine (uključujući održive performanse, troškove i rizike), umesto dase pojedinačna imovina optimizuje u izolaciji.

• Zasnovano na riziku: fokusiranje resursa i rashoda i postavljanje prioriteta,odgovarajući identifikovanim rizicima i povezanim troškovima / koristima;

• Optimalno: uspostavljanje najboljeg kompromisa u vrednosti između konkurentskihfaktora, kao što su performanse, troškovi i rizik, povezani sa imovinom tokom njihovihživotnih ciklusa.

• Održivo: uzimajući u obzir dugoročne posledice kratkoročnih aktivnosti kako bi seosiguralo da se obezbede odgovarajuće mere za buduće zahteve i obaveze (kao što suekonomska ili ekološka održivost, performanse sistema, društvena odgovornost i drugidugoročni ciljevi).Integrisano: prepoznavanje da su međuzavisnosti i kombinovani efekti od vitalnogznačaja za uspeh. Ovo zahteva kombinaciju gore navedenih atributa, koordiniranih kakobi se dobio zajednički pristup i neto vrednost.

Poglavlje 1 Vlasnici imovine

5

Slika 1.1.1 Principi upravljanja imovinom

1.1 Inventar

INVENTAR ORGANIZACIJE

Kontrola A.8.1.1 izričito zahteva od organizacije da identifikuje svavažna informativna sredstva i da ih sastavi i vodi popis.

Kontrola A.8.1.1 izričito zahteva od organizacije da identifikuje sva važna informativnasredstva i da ih sastavi i vodi popis. Naravno, opšteprihvaćena računovodstvena praksai zakoni već zahtevaju od kompanija da vode registre svih osnovnih sredstava u okviruorganizacije. Međutim, ovaj zahtev se u praksi ne odnosi automatski na organizacije javnogsektora. Štaviše, imovina koja je obuhvaćena registrom osnovnih sredstava ne uključujenužno svu informacionu imovinu preduzeća, posebno ne nematerijalnu informacionu imovinu.

Informaciona imovina organizacije treba da se identifikuje tokom procesa procene rizika (vidipoglavlje 6), a rezultujući raspored treba proveriti u odnosu na registar osnovnih sredstavakako bi se osiguralo da nijedna imovina nije propuštena. Inventar treba da ima nominovanogvlasnika, a postupci za njegovo održavanje, a posebno za pristup u slučaju oporavka odkatastrofe, moraju biti jasno dokumentovani. Registar osnovnih sredstava takođe može dapruži istorijske informacije o ceni imovine, a ove informacije mogu biti korisne uidentifikovanju relativne važnosti i vrednosti imovine. BS7799–33 pruža detaljnija uputstva otome kako proceniti imovinu na osnovu uticaja koji na organizaciju mogu imati ugrožavanjenjihove dostupnosti, poverljivosti i integriteta.

Popis imovine treba da identifikuje svako sredstvo, uključujući sav softver, i da ga opišeili obezbedi takvu drugu identifikaciju da se sredstvo može fizički identifikovati (gde godje to moguće, ima smisla ponovo koristiti bilo koji fiksni broj imovine koji je već dodeljen)i sve detalje (uključujući proizvođač, model, generički tip, serijski broj, datum sticanja ibilo koji drugi brojevi) uključeni u inventar. Treba navesti njegovo trenutno mesto. Trebada budu navedene sve druge informacije potrebne za oporavak od katastrofe (uključujućiformat, rezervne kopije i informacije o licenci). Imenovani vlasnik (i, ako se ovo razlikuje, imeoperatora (i)) sredstva treba da bude prikazano na rasporedu, kao i njegova bezbednosnaklasifikacija (vidi dole). Inventar treba ažurirati radi odlaganja (kada i kome). Provere fizičkoginventara treba da vrši najmanje jednom godišnje neko ko nije imenovani vlasnik imovine, dabi se potvrdila tačnost registra.

INVENTAR - NASTAVAK

Vrste imovine

Vrste imovine za koje ISO27002 identifikuje da ih treba popisati uključuju sledeće:

• Informaciona imovina: podaci u bilo kom formatu. Datoteke i kopije planova, sistemskedokumentacije, originalnih korisničkih priručnika, originalnog materijala za obuku,


6

operativnih ili drugih postupaka podrške, planova kontinuiteta i drugih rezervniharanžmana, arhiviranih podataka, ličnih podataka, finansijskih i računovodstvenihinformacija.

• Softverska sredstva: aplikativni softver, softver operativnog sistema, razvojni alati iuslužni programi, sredstva za e-učenje, mrežni alati i uslužni programi.

• Fizička imovina: računarska oprema (uključujući radne stanice, beležnice, PDA uređaje,monitore, modeme, mašine za skeniranje, štampače), komunikaciona oprema (ruteri,mobilni telefoni, PABX, faks mašine, telefonske sekretarice, jedinice za glasovnukonferenciju itd.), Magnetni mediji ( CD ROM-ovi, trake i diskovi), ostala tehnička oprema(napajanja, klima uređaji), nameštaj, grejači, svetla, druga oprema.

• Usluge: opšte komunalne usluge, npr. Plin, struja, voda.• Ljudi: njihove kvalifikacije, veštine i iskustvo - kapital i znanje i veštine organizacije. Ovo

je posebno složen proces za koji se može zatražiti pomoć spoljnih konsultanata.• Nematerijalna imovina poput reputacije i brenda. Postoje uspostavljene metode

vrednovanja nematerijalne imovine i niz pitanja koja treba uzeti u obzir, uključujući to dali bi nematerijalna imovina trebalo da bude navedena u bilansu stanja ili ne. Svakako,reputacija je jedna od najvažnijih nematerijalnih dobara i odbori bi trebalo da uložekonstruktivan napor da utvrde njenu vrednost. Uključivanje reputacije kao imovine nesprečava vas da uvrštavanje štete zbog reputacije kao deo procene uticaja u procenirizika uzimate u obzir posledice ugrožavanja pojedinačne imovine.

Obično će onaj ko je odgovoran za upravljanje objektima u organizaciji biti imenovani vlasnikusluga (videti „Usluge“ na gornjoj listi) i određenog broja fizičke imovine. IT menadžeri pojedinačni administratori sistema obično će biti odgovorni za ostala fizička sredstva iimovinu softvera, mada će određeni broj pojedinačnih korisnika verovatno biti odgovoran zabeležnicu ili mobilni telefon ili bilo koju drugu sličnu stavku koja im je dodeljena.

PRIHVATLJIVA UPOTREBA IMOVINE

Kontrola A.8.1.3 standarda zahteva od organizacija da dokumentuju iprimene pravila za prihvatljivo korišćenje informacionih sredstava,sistema i usluga

Kontrola A.8.1.3 standarda zahteva od organizacija da dokumentuju i primene pravila zaprihvatljivo korišćenje informacionih sredstava, sistema i usluga. Ova pravila trebalo bi da seprimenjuju na zaposlene jednako kao i na dobavljače i treće strane, a posebno važna područjaza koja treba izraditi politike prihvatljive upotrebe uključuju upotrebu e-pošte i interneta,mobilnih uređaja (telefona, PDA i laptopa) i upotrebu informacioni sistemi izvan fiksnogopsega organizacije. Lekcija 12 se detaljno bavi ovim pitanjem i pruža dovoljno smernica daomogući organizaciji da izradi i primeni odgovarajuće politike prihvatljive upotrebe.


7

Slika 1.2.1 Upravljanje imovinom

1.2 Klasifikacija informacija

KLASIFIKOVANJE INFORMACIJA

Klasifikacija informacija je ključni koncept u strukturiranju i razvojuefikasnog ISMS-a

Kontrola A.8.2 standarda precizira da organizacija mora da ima postupak za klasifikacijuinformacija koja će osigurati da njena informaciona sredstva dobiju odgovarajući nivo zaštite.Kontrola A.8.2.1 standarda daje smernice za klasifikaciju, a one su dalje proširene klauzulom7.2.1 ISO27002. Standard jednostavno zahteva da klasifikacije treba da budu prilagođeneposlovnim potrebama (uključujući zakonitost, vrednost, osetljivost i kritičnost) kako bi seograničile i delile informacije, tako i na poslovne uticaje povezane sa tim potrebama. Važnoje napomenuti da je deljenje jednako važan cilj ovog odeljka kao i ograničenje; moguće jeizraditi set smernica koje su previše restriktivne za poslovanje i koje se zbog toga redovnokrše. Ovo nije koristan ishod. Organizacije (posebno u današnjem okruženju) zavise odrazmene informacija; neophodno je da se informacije klasifikuju na takav način da se to možedosledno i na odgovarajući način. Kakvu god šemu klasifikacije organizacija usvojila, trebalobi je proširiti tako da pokriva nivo na kojem korisnici mogu pristupiti podacima u sistemu(samo za čitanje, pisanje i brisanje).

Klasifikacija informacija je ključni koncept u strukturiranju i razvoju efikasnog ISMS-a.Klasifikacija data određenoj informativnoj imovini može odrediti kako treba da se zaštiti, kotreba da joj ima pristup, na kojim mrežama može da radi, itd. „Poverljivost“ je, na krajukrajeva, jedan od tri ključna cilja sistem upravljanja informacionom sigurnošću.

Prednosti usvajanja konzistentnog postupka su jasne. Organizacija će:


8

• smanjiti rizik od oštećenja njegove reputacije, profitabilnosti ili interesa usled gubitkaosetljivih podataka;

• smanjiti rizik od sramote ili gubitka posla koji nastaje gubitkom osetljivih informacijadruge organizacije;

• povećati poverenje u trgovinska i finansijska partnerstva i u prenošenje osetljivihaktivnosti;

• pojednostaviti razmenu osetljivih informacija sa trećim stranama, istovremenoosiguravajući pravilno upravljanje rizicima.

KLASIFIKOVANJE INFORMACIJA - NSATAVAK

Niovi klasifikacije

Klasifikovani podaci su označeni tako da izvor i primalac znaju kako da primene odgovarajućusigurnost na njih. Klasifikacija se zasniva na verovatnom uticaju na organizaciju akoinformacije procure ili budu otkrivene pogrešnim nezavisnim organizacijama ili ljudima. Nijevažno koji sistem organizacija usvaja, pod uslovom da je jasan, jasno dokumentovan i jasnorazumljiv od strane svih zaposlenih i svih koji ga koriste.Najjednostavniji pristup je obično onaj koji ima samo tri nivoa klasifikacije. Prvi nivo bimogao biti identifikovanje informacija koje su toliko poverljive da moraju biti ograničenena odbor i određene profesionalne savetnike. Informacije koje spadaju u ovu kategorijumogu biti označene sa „Poverljivo“, a na dokumentu će biti navedena imena ljudi kojimasu ograničena. Neke organizacije takođe broje dokumente koji imaju ovaj nivo klasifikacije,tako da svaka osoba kojoj se pošalje kopija dobija numerisanu kopiju. Obično bi sve stranicetakvog dokumenta prikazivale klasifikaciju velikim slovima visine najmanje 5 milimetara i,ako postoji, pojedinačni broj. Ove informacije treba da budu uključene u zaglavlje dokumenta,koje treba postaviti na sve stranice dokumenta. Primeri poverljivih informacija moguuključivati informacije o potencijalnim akvizicijama ili korporativnoj strategiji ili o ključnomorganizacionom osoblju, kao što je izvršni direktor.

Drugi nivo klasifikacije može obuhvatati dokumente koji će biti dostupni samo višim ilidrugim određenim nivoima menadžmenta u organizaciji. Oni mogu biti označeni kao„Ograničeni“; povezana procedura treba da navede nivo zaposlenog iznad kojeg svako možepristupiti dokumentu. Primeri mogu uključivati nacrte statutarnih računa, koji bi mogli bitidostupni svima u višem menadžmentu, ili planove za sprovođenje korporativnogrestrukturiranja, na kojima stariji menadžeri moraju da rade pre nego što budu objavljeni. Ovidokumenti obično nisu numerisani, ali odluka o njihovom objavljivanju (što je, po definiciji,odluka o njihovom objavljivanju svima u organizaciji koji imaju pravo da dobijaju informacijeovog nivoa) ne treba se uzimati olako.Konačni nivo klasifikacije mogao bi biti jednostavno „privatni“ i ovo bi trebalo da obuhvatisve ono što ima vrednost, ali što ne treba da spada ni u jednu od ostalih kategorija. Svizaposleni u organizaciji treba da imaju pravo na pristup informacijama sa ovom klasifikacijom.Istovremeno sa usvajanjem takvog sistema, organizacija treba da razjasni kako će postupatisa bilo kojim dokumentima sa internim poreklom koji sadrže klasifikacije (npr. „Privatno ipoverljivo“ ili „Ograničeno - komercijalno poverljivo“ ili bilo koje druge varijacije teme) ) osimonih opisanih u postupku. Takvi netačno klasifikovani dokumenti mogu se automatski uništitiili automatski prekvalifikovati ili automatski tretirati kao da nemaju nikakvu klasifikaciju;


9

odluka o politici treba da odražava rizik i kulturno okruženje u okviru kojeg se usvaja novisistem klasifikacije. Organizacija takođe treba da razmotri kako će na odgovarajući načinreklasifikovati dokumente osetljive na treće strane koje prima i da će biti odgovorna zazaštitu.

JEDINSTVENE KLASIFIKACIONE OZNAKE

Grupa organizacija izradila je set pravila o klasifikaciji informacija

Grupa organizacija, koja je radila u ime tadašnjeg Ministarstva trgovine i industrijeUjedinjenog Kraljevstva, izradila je set pravila o klasifikaciji informacija. Oni senazivaju jedinstvenim klasifikacionim oznakama, a princip koji stoji iza njih sličanje gore navedenom. Uticaj je, međutim, drugačiji i odražavao bi drugačiju organizacionukulturu u poređenju sa onom koja odgovara gornjoj verziji. Organizacija mora da izaberesistem klasifikacije koji je sebi prikladan ili da ga razvije na osnovu opcija navedenih u ovojknjizi. Svakako, s obzirom da su ove oznake nadaleko poznate, mogu se dodati internojklasifikaciji kada se dokument prosledi van organizacije kako bi se primaocu pomoglo daprimeni odgovarajuću zaštitu.

SEC1 se definiše kao informacija čije bi neovlašćeno otkrivanje, posebno izvan organizacije,bilo neprimereno i nezgodno. Ovo su rutinske informacije koje organizacija jednostavno želida ostane privatna. Ova klasifikacija možda neće trebati biti označena na informacijama;odnosi se na veći deo informacija organizacije. Ove informacije su obično komercijalno vrednei iako SEC1 može biti odgovarajuća klasifikacija u poslovnom okruženju sa malim rizikom,postojaće i druga poslovna okruženja u kojima je ovo možda preniska klasifikacija.

SEC2 se definiše kao informacija čije bi neovlašćeno otkrivanje (čak i unutar organizacije)prouzrokovalo značajnu štetu interesima organizacije. To bi obično nanelo štetu finansijskimgubicima, gubitkom profitabilnosti ili mogućnosti, sramotom ili gubitkom ugleda. Takveinformacije mogu uključivati:

• pregovaračke pozicije;• marketinške informacije;• procene konkurenata;• informacije o osoblju;• informacije o kupcima;• materijal sa „ograničenom“ oznakom vlade UK.

JEDINSTVENE KLASIFIKACIONE OZNAKE - NASTAVAK

Informacije SEC3 definišu se kao informacije čije bi neovlašćenootkrivanje prouzrokovalo ozbiljnu štetu interesima organizacije

Informacije SEC3 definišu se kao informacije čije bi neovlašćeno otkrivanje (čak i unutarorganizacije) prouzrokovalo ozbiljnu štetu interesima organizacije. Obično bi naneo štetunanošenjem ozbiljnog finansijskog gubitka, ozbiljnog gubitka profitabilnosti ili mogućnosti,teške sramote ili gubitka ugleda. Ove informacije mogu da uključuju:


10

• detalji glavnih akvizicija, spajanja ili dezinvestiranja;• poslovna strategija ili konkurencija na visokom nivou;• vrlo osetljive procene partnera, konkurenta ili dobavljača;• poslovni planovi i scenariji na visokom nivou;• tajni podaci o patentu;• materijal sa oznakom „poverljivo“ vlade Velike Britanije.

Organizacije koje rukuju znatnom količinom informacija koje spadaju u kategorije SEC2 iliSEC3 treba da posete veb lokaciju BERR i izvuku kopiju smernica pod nazivom „Zaštitaposlovnih podataka - čuvanje tih podataka u poverljivosti“. Ova brošura je besplatna i uformatu je Adobe Acrobat; opisuje objedinjene klasifikacione oznake i detaljnije postavljaradnje koje bi organizacije trebale razmotriti u pogledu infrastrukture, distribucije poverljivihinformacija, postavljanja radnih stanica i drugih pitanja. Verovatno će biti posebno korisnovladinim organizacijama i organizacijama koje se bave vladom. Za većinu drugih organizacijapokazaće se da je sažetak naveden u odeljku o označavanju i rukovanju informacijama unastavku prikladan.

1.3 Označavanje i rukovanjeinformacijama

OZNAČAVANJE I RUKOVANJE RAZLIČITIM INFORMACIJAMA

Kontrola A.8.2.2 standarda zahteva od organizacije da primeni nizpostupaka za obeležavanje i rukovanje informacijama koji odražavajušemu klasifikacije informacija

Kontrola A.8.2.2 standarda zahteva od organizacije da primeni niz postupaka za obeležavanjei rukovanje informacijama koji odražavaju šemu klasifikacije informacija (kao gore) koju jeusvojila. Kao što kaže ISO27002, ovi postupci moraju da obuhvate sve formate informacionihsredstava, kako fizičkih tako i elektronskih. Trebalo bi da postoje procedure za sledeće vrsteaktivnosti obrade informacija:

• sticanje informacija;• kopiranje (elektronskim putem, ručno i čitanjem i memorisanjem);• skladište, kako u elektronskoj tako i u štampanoj kopiji;• prenos faksom, poštom, e-poštom i infracrvenom sinhronizacijom;• prenos izgovorenom rečju, uključujući mobilni telefon, govornu poštu i automatske

sekretare;• lanac starateljstva i evidentiranje sigurnosnih događaja - posebno važno kada se radi o

kriminalu povezanom sa računarom;• uništavanje kada više nije potrebno.


11

SEC1

SEC1 klasifikacija

• Podaci koji nemaju oznaku mogu se tretirati i kao podaci koji imaju SEC1 klasifikaciju.Može se izdati svima izvan organizacije prema nahođenju vlasnika podataka. Njime trebarukovati i obrađivati u sigurnom krugu, a na kraju dana treba ga očistiti. Odstranljivimaterijal treba odložiti kada se ne koristi, a elektronsku opremu koja se ne koristi trebaisključiti.

• Spoljnu poštu treba zapečatiti.• Elektronska pošta treba da se šalje samo preko mreža za koje se smatra da su bezbedne

bar do ovog nivoa (SEC1) i ne smeju da sadrže priloge koji su klasifikovani na višemnivou.

• Uništavanje papira trebalo bi da obavi odobrena kompanija za odlaganje kancelarijskogotpada koja ima ugovor koji ispunjava prethodno pomenute zahteve.

Konačne stavke koje treba razmotriti u pogledu klasifikacije informacija su faksovi i e-pošta.Faksovi se široko koriste, a e-pošta je sveprisutna; oboje su toliko nepouzdani da bi se sigurnidokumenti lako mogli dostaviti pogrešnoj osobi. Dio suočavanja sa ovim rizikom je upotrebastandardnih izjava o odricanju odgovornosti na faksovima i e-mailovima, iako se time nekontroliše vjerovatnoća takve prijetnje i od male su praktične koristi za rješavanje uticajatakvog incidenta. Politike o korišćenju faksova, sprovedene na odgovarajući način, trebajudopuniti izjavu o odricanju odgovornosti kao kontrolu. Izjava o odricanju odgovornosti zafaks treba biti jasno odštampana na naslovnom listu faksa i to bi trebalo biti proceduralnizahtev da svi faksovi koriste standardni naslovni list. Poželjno je da izjava o odricanjuodgovornosti bude uključena u standardni obrazac naslovne stranice faksa na računaru; tamogde organizacija koristi unapred odštampane naslovne listove, na njima bi očigledno trebalounapred odštampati izjavu o odricanju odgovornosti.očigledno trebalo unapred odštampatiizjavu o odricanju odgovornosti.

SEC2

SEC2 klasifikacija

SEC2 materijalu trebaju strože kontrole:

• Sve stranice i fizički mediji koji sadrže materijale SEC2 trebaju biti jasno označeni. Pristupnjemu treba biti ograničen na one koji to trebaju znati i treba ga čuvati na način koji činimalo verovatnim da će biti ugrožen slučajno ili oportunizmom, a to bi trebalo da odvratiod namernog kompromitovanja istog.

• Uništavanje treba izvršiti na način koji otežava njegovo rekonstituisanje.• Za osoblje koje će se baviti ovom klasifikacijom materijala potrebno je izvršiti

odgovarajuće bezbednosne provere.• Njime treba rukovati u sigurnom opsegu i preduzeti korake da neovlašćene osobe ne

mogu da posmatraju materijal.• IT sistemi koji rukuju ovim nivoom informacija sami bi trebalo da se nalaze unutar

upravljanog sigurnosnog perimetra; efikasne kontrole pristupa treba da budu na snazi i


12

odgovarajuće procedure praćenja koje sprečavaju neovlašćeni pristup takođe treba dabudu uspostavljene.

• Ovaj materijal treba otkrivati samo na osnovu potrebe da se zna i treba preduzeti korakekako bi se osiguralo da primalac bude upoznat sa nivoom osetljivosti i implikacijama nanjegovu zaštitu.

• Informacije SEC2 ne bi trebalo verbalno otkrivati na javnom mestu gde bi ih drugi mogličuti.

• Pisma treba zapečatiti i poslati na takav način da se nivo osetljivosti informacija nemože utvrditi sa spoljne strane pisma; takva pisma mogu biti označena sa „Otvoriti samoprimalac“. Ako se šalje spolja, verovatno bi trebalo da se nalazi u omotu sa omotom kojine otkriva nivo bezbednosti njegovog sadržaja.

• Faksove treba slati tek kada se potvrdi da je prijemna stanica ispravna i da je spremnaza prijem, osigurana na nivou SEC2 i kojoj prisustvuje osoba od poverenja. Faks treba dapošalje samo osoba sa odgovarajućim poverenjem.

• Treba preduzeti korake da se ne čuju razgovori i da se ne koriste telefoni u javnostiili u hotelima ili na očigledno nesigurnim lokacijama (u inostranstvu ili kancelarijamakonkurenata) jer ih je lako slušati ili slušati.

• Sve poruke poslate putem Interneta treba poslati tek nakon što su na odgovarajućinačin zaštićene odobrenim načinom šifrovanja. Internet veze treba uspostaviti samoputem odobrenog i sigurnog zaštitnog zida. Interno, informacije treba deliti samo uelektronskom sistemu koji je osiguran na najmanje SEC2 nivou.

SEC2 - NASTAVAK

Nastavak SEC2

• Materijal SEC2 treba da uništi odobrena osoba ili organizacija koja će ga uništiti ili nadrugi način efikasno uništiti. Uklonjivi medij treba prepisati pre ponovne upotrebe; medijekoji se ne mogu prepisati treba da uništi odobrena kompanija i ne upotrebljavaju ponovo.Sve rezervne kopije takođe treba uništiti u trenutku uništenja originala.

• Dokumenti SEC2 i prenosni računari koji nose informacije ovog nivoa osetljivosti trebada budu nadgledani u svakom trenutku, a kada se ne koriste, moraju biti bezbednozaključani, uključujući i bezbedne objekte u hotelima tokom putovanja.

SEC3

Materijal SEC3 zahteva mnogo strože mere zaštite.

Materijal SEC3 zahteva mnogo strože mere zaštite. Potrebne su SEC2 kontrole, plus dodatne,kao što je opisano u nastavku:

• Materijal SEC3 treba da bude tako označen. Pristup bi, jasno, trebao biti ograničen naone koji su ovlašćeni da vide i koriste informacije. To se ne sme otkrivati ukoliko za tone postoji dobra poslovna, ugovorna ili zakonodavna potreba. Od primaoca treba tražitiuverenje (putem potpisanog obrasca) da se razume osetljivost informacija i da je naraspolaganju odgovarajuća zaštita.


13

• Kopiranje bi trebalo da se vrši samo uz dozvolu vlasnika podataka, a trebalo bi da ga vršiosoblje koje je ovlašćeno da vidi i obrađuje informacije sa ovim nivoom sigurnosti. Morase voditi računa da se unište dodatne ili pokvarene kopije. Trebale bi postojati jasne listedistribucije sa numerisanim primercima, a mogle bi biti označene i „Ne kopirati dalje“.

• SEC materijal treba skladištiti pod uslovima koji čine malo verovatnim slučajnikompromis, pružaju određeni stepen otpora namernom kompromisu i čine stvarnimili pokušajem kompromisa verovatno otkriveni. Praktično je prikazati upozorenje daće bilo koji kompromis biti otkriven i da će se počinitelji prekršiti. Način na koji serukuje materijalom, koristi ga ili prenosi treba da čini neverovatnim slučajni ili namernikompromis.

• Kada se ne koristi, materijal treba zaključati u odobrenu zaštitu• kontejnere, unutar upravljanog sigurnosnog perimetra. Jasna politika radnog stola treba

se strogo sprovoditi.• IT sistemi, u okviru upravljanog sigurnosnog perimetra, trebaju biti snažno zaštićeni

odobrenim kontrolama pristupa koje su vrlo otporne na prodor sposobnog hakera. Moralibi postojati visoko efikasni postupci praćenja radi otkrivanja neovlašćenog pristupa.

• Diskusije o informacijama sa ovim nivoom sigurnosti treba da se vode samo tamo gde nepostoji verovatnoća da će ih nadgledati ili nadgledati oprema za nadzor.

• Pošta treba da bude zatvorena i poslata na način koji osigurava da se iz koverte nevidi njen nivo osetljivosti. Trebale bi postojati zaštitne mere za sprečavanje i otkrivanjepokušaja čitanja informacija. Stoga ga treba dostaviti poverljivo lice ili odobreni kurir udvostruko zatvorenoj koverti, a za to treba da postoji i račun.

SEC3- NASTAVAK

Nastavak SEC3

• Faksovi treba da prelaze samo preko sigurnih veza, a telefonski razgovori samo prekosigurnih veza. Treba preduzeti korake kako bi se osiguralo da nijedna strana takvograzgovora ne može biti preslušana.

• IT sistemi bi trebali biti potpuno fizički sigurni i sve poruke poslate putem Internetatrebale bi biti šifrirane. Informacije se ne smeju čuvati na mreži koja je povezana naInternet, koliko god jaka bila veza zaštitnog zida.

• Uništavanje SEC3 materijala treba izvršiti na način koji otežava pokušaj ili stvarnikompromis, slučajan ili namerni, malo verovatan, rekonstituciju i svaki pokušajkompromisa koji će verovatno biti otkriven. Uništavanje treba evidentirati.

• Čvrsti diskovi ( HDD ) bi trebali biti zamenjeni sigurnim odobrenim uslužnim programom.Medije koje treba uništiti treba da uništi odobrena kompanija i evidentira njihovouništavanje. Sve rezervne kopije i datoteke takođe moraju biti uništene.


14

Slika 2.1.1 PDCA

Poglavlje 2

Bezbednost ljudskih resursa

UVODNE NAPOMENEKlauzula 5.2.2 zahteva da onaj ko dobije zadatak vezan za ISMS imapotrebne kompetencije

Klauzula 5.2.1 standarda zahteva od organizacije da obezbedi odgovarajuće i adekvatneresurse za sprovođenje svih faza upravljanja planiranim postupkom (PDCA) upravljanjainformacionom sigurnošću. Klauzula 5.2.2 zahteva da onaj ko dobije zadatak vezan za ISMSima potrebne kompetencije. Ove dve klauzule mogu se ispuniti istovremeno sa izradompotrebnih kontrola. U dokumentaciji će biti potrebno pokazati kako su utvrđene kompetencijei zašto.

Prethodni odeljak ISO27002 strukturiran je tako da se bavi sigurnošću ljudskih resursa nanačin koji pokriva tri faze zaposlenja: pre, tokom i posle zapošljenja.

Kontrola A.7.1 standarda bavi se pitanjima bezbednosti pre zapošljavanja. Cilj ove klauzule jesmanjiti rizik od gubitka informacija ljudskom greškom, prevarom ili zloupotrebom objekata.Kontrola A.8.1.1 zahteva od organizacije da definiše i dokumentuje, za zaposlene, kao i zadobavljače i druge nezavisne korisnike, njihovu ulogu i odgovornosti u pogledu ISMS-a iinformacione sigurnosti u organizaciji.ISO27002 jasno navodi da ova izjava treba da uključuje i opšte i posebne odgovornosti.

15

OPIS POSLA I ZAHTEVI ZA KOMPETENCIJOMSvaki opis posla treba da sadrži: 1) opis kompetencija potrebnih zaulogu; i 2) izjava da se od svakog zaposlenog zahteva da bude upoznatsa politikom organizacije o informacionoj sigurnosti

Svaki opis posla treba da sadrži: 1) opis kompetencija potrebnih za ulogu; i 2) izjavada se od svakog zaposlenog zahteva da bude upoznat sa politikom organizacijeo informacionoj sigurnosti (kopija politike može biti priložena opisu posla) i dapreduzme sve radnje koje se s vremena na vreme mogu zahtevati njega ili nju poduslovima ISMS-a organizacije. Posebno treba skrenuti pažnju zaposlenom na odgovornostda zaštiti imovinu od neovlašćenog pristupa, otkrivanja, modifikovanja, uništavanja iliometanja, pravila klasifikacije i rukovanja informacijama, kontrole pristupa (kako fizičke takoi logičke), postupak izveštavanja o incidentima, zahtevi za sprovođenjem bilo kojih drugihspecifičnih postupaka i procesa, zahtev za ličnim poboljšanjem kompetencija i veština u ovojoblasti i činjenica da će zaposleni odgovarati za svoja dela izvršenja i propusta. U opisu poslatreba da bude jasno naznačeno da se kršenje kontrola bezbednosti podataka može smatratiprekršajem prema disciplinskoj politici organizacije i da bi njihovo kršenje, u određenimokolnostima, moglo dovesti do otkaza.

Pored toga, posebni zahtevi trebaju biti uključeni u opise poslova određenih pojedinaca. Akoorganizacija ne želi da identifikuje potrebne kompetencije za sve uloge, to će biti neophodnoučiniti onima koji su uključeni u ISMS. Ljudi koje treba uzeti u obzir zbog takvih specifičnihzahteva uključuju:

• glavni službenik za informisanje;• savetnik za informacionu bezbednost;• članovi foruma za upravljanje informacionom sigurnošću;• IT menadžment;• upravljanje mrežom i veb stranicama;• IT, veb stranice i pomoćno osoblje službe za pomoć;• osoblje obezbeđenja prostorija;• HR, regrutovanje i obuka;• generalni menadžeri;• finansijsko osoblje;• sekretar kompanije / pravno osoblje; i• tim za kontinuitet poslovanja / reagovanje u vanrednim situacijama.

Poglavlje 2 Bezbednost ljudskih resursa

16

2.1 Uslovi zaposlenja

UGOVOR O POVERLJIVOSTI

Ugovor o poverljivosti osmišljen je tako da pokriva situacije u kojima jeosoba izložena poverljivim informacijama tokom redovnog zaposlenjaili projekta i utvrđuje zahteve organizacije

Kontrola A.8.1.3 standarda zahteva od organizacije da obezbedi da se zaposleni, ugovarači itreće strane saglase i potpišu ugovor o radu koji sadrži odredbe i uslove koji, između ostalog,pokrivaju njihove i odgovornosti organizacije za bezbednost informacija. Ovi uslovi treba dauključuju ugovor o poverljivosti, napravljen u skladu sa lokalnim pravnim smernicama, kojiobuhvata informacije stečene pre i tokom zaposlenja i čiji efekat treba da se nastavi i nakonzavršetka radnog odnosa.

Ovaj ugovor o poverljivosti treba da naprave pravnici organizacije, kao što je opisano upoglavlju 8. Treba da čini sastavni deo ugovora o radu, tako da prihvatanje uslova zaposlenjaautomatski uključuje prihvatanje sporazuma o poverljivosti.

Postoje okolnosti u kojima neko ko radi za organizaciju neće imati potpisan ugovor o radu;on ili ona mogu, na primer, raditi na privremenoj ili privremenoj upravljačkoj osnovi, ili čakna kratkotrajnom radnom iskustvu. Svako ko nije potpisao ugovor o radu treba da potpišeugovor o poverljivosti nekog opisa. Ovo može biti deo ugovora o pružanju usluga ili može bitisamostalni ugovor o poverljivosti. Trebalo bi da odražava postavljene termine u ugovoru oradu, uz sve dodatne uslove i sankcije koje preporučuju advokati organizacije u vezi sa ovimodnosima sa trećim stranama.

Ovaj ugovor o poverljivosti osmišljen je tako da pokriva situacije u kojima je osoba izloženapoverljivim informacijama tokom redovnog zaposlenja ili projekta i utvrđuje zahteveorganizacije u ovim okolnostima. Treba da pokriva zakonske odgovornosti i prava u zaštitiautorskih prava, intelektualne svojine, zakonodavstva o zaštiti podataka, poverljivih iosetljivih (posebno finansijski osetljivih) informacija i bilo kog drugog relevantnog pitanjau vezi sa informacijama. Bilo koja organizacija kojoj će poverljive informacije biti otkriveneu skladu sa poslovnom transakcijom treba da potpiše drugačiji i specifični ugovor oneotkrivanju (NDA).

UGOVOR O POVERLJIVOSTI - NASTAVAK

Sporazum treba potpisati i datirati ( zavesti sporazum pod određenimdatumom ), a original vratiti organizaciji pre nego što se pojedincuodobri bilo kakav pristup poverljivim inform.

Sporazum treba potpisati i datirati ( zavesti sporazum pod određenim datumom ), a originalvratiti organizaciji pre nego što se pojedincu odobri bilo kakav pristup poverljiviminformacijama. Uslove posebnih sporazuma treba pregledati kada se promene okolnosti


17

zaposlenog, posebno kada treba da napusti organizaciju. Često je razumno podsjetitiodlazećeg zaposlenog (posebno nekoga ko je imao pristup značajnim količinama povjerljivihinformacija tokom zaposlenja) na svoje obaveze po ugovoru o radu, a posebno na to kojeće obaveze preživjeti prestanak zaposlenja. Uobičajena je praksa da se kompromisnimsporazumima ponavljaju ključne klauzule o poverljivosti.

Standardne sporazume o poverljivosti i NDA treba pregledati nakon određenih slučajevau kojima se čini da su pronađene rupe u postojećem sporazumu, a trebalo bi preduzeti ikorake za izmenu dokumenta za budućnost i, ukoliko je rupa značajna, za zamenu i ponovnokorišćenje -potpisati postojeće sporazume o poverljivosti i NDA.

2.2 Tokom zaposlenja

OBUKA TOKOM ZAPOSLENJA

Obuka

Odredba 5.2.2 standarda i kontrole A.8.2 zahteva od organizacije da obezbedi da njenizaposleni, izvođači i nezavisni korisnici budu upoznati sa pretnjama informacionojbezbednosti, kao i sa svojim odgovornostima i odgovornostima, i da je svoje osoblje obučilana odgovarajući način. Cilj ove klauzule je jednostavno osigurati da svi korisnici informacionihsredstava organizacije ili oni kojima su dodeljene odgovornosti u ISMS-u znaju za pretnjeinformacionom sigurnošću i da su kompetentni i adekvatno opremljeni da izvršavaju traženezadatke i podržavaju organizacionu politika bezbednosti informacija u svom radu.

Kontrola A.8.2.1 je nova klauzula koja zahteva od menadžmenta da osigura da svi primenjujubezbednosne politike i procedure organizacije; to je, drugim rečima, proširenje principa darukovodstvo treba da bude vidno posvećeno podršci ISMS-u.

Smernice ISO27002 o ovoj kontroli uključuju obezbeđivanje da se osoblje (zaposleni,ugovarači, treće strane) na odgovarajući način informišu o svojim ulogama i odgovornostimapre nego što im se odobri pristup osetljivim informacijama ili informacionim sistemima (štodokazuje njihov potpis na dokumentu o pravima pristupa ; motivisani su da ispunjavaju svojeuloge i usklađuju se sa politikama (dokazano kroz proces interne revizije) i svesni su pretnji,rizika i ranjivosti u pogledu informacione bezbednosti.

Tradicionalna obuka, koja se oslanja na to da neko iz predmeta predaje ispred učionice, nijenaročito efikasan metod kojim se osigurava da sav veliki broj zaposlenih stekne potrebneinformacije, veštine ili kompetencije. To sigurno nije metoda koja pouzdano pokazuje da jeovaj zahtev standarda ispunjen. Najbolji način izvođenja ove vrste obuke je e-učenje koje seizvodi na priznatom sistemu upravljanja učenjem (LMS).

E-učenje se može isporučiti direktno na radnu stanicu radne površine ciljnog zaposlenog.Može se isporučiti na način koji poboljšava usvajanje i zadržavanje u poređenju satradicionalnim učionicama u učionici. Može se isporučiti putem Interneta ili brzo razvitipomoću korporativne mreže. Može se isporučiti po doslednom standardu u celoj organizaciji,a geografija nije prava prepreka. Zaposleni mogu pristupiti učenju istovremeno kako njima


18

odgovara, a pošto polaznici ne moraju da odlaze na kurs obuke, e-učenje ne utiče naproduktivnost. U stvari, elektronsko učenje može biti jeftinije kao metoda uvođenja obuke odtradicionalnog u učionicama, kako zbog ovih prednosti produktivnosti, tako i zbog toga što nemoraju nastati uobičajeni troškovi pohađanja kurseva (bilo internih ili eksternih). Postoji velikibroj dobavljača proizvoda za e-učenje; onaj koji može isporučiti odgovarajući paket proizvodaISO27001 gotovo sa police verovatno će biti jeftiniji od organizacije koja pravi paket po meriposebno za svog klijenta.

OBUKA TOKOM ZAPOSLENJA - E-UČENJE

E-učenje je posebno isplativo za obuku velikog broja osoblja

Veb-zasnovano e-učenje i bilo koji priznati LMS podržaće e-učenje zasnovano na mreži ipružiće pravi trag revizije koji stvara evidenciju o tome ko je prihvatio određene politike i koje dovršio koji moduli e-učenja i kada su završeni. LMS takođe može da pokrene testove kojimogu da pokažu nivo kompetencije koju je polaznik stekao u predmetu. Administracija ovihsistema može se isplativo izvršiti na mreži.

E-učenje je posebno isplativo za obuku velikog broja osoblja. Mali broj osoblja, posebnoonih kojima je potrebna detaljna i opsežna obuka, koja često uključuju povratne informacije,pitanja i odgovore, podučavanje itd., Je bolje rešiti u učionici. Oblasti informacione sigurnostii ISMS-a koja se najbolje rješavaju putem e-učenja i koja započinju kao dio procesa uvođenjasu sljedeća:

• brifing za celokupno osoblje - svest o ISMS-u, poznate pretnje i značaj informacionebezbednosti i ISMS-a, uključujući opšte kontrole;

• klasifikacija i kontrola imovine;• izveštavanje o događajima i reagovanje na bezbednosne incidente i kvarove;• svest i pravila o pristupu e-pošti i vebu;• kontrola pristupa i odgovornosti korisnika;• mobilno računanje i rad na daljinu;• svest o poštovanju zakona i srodna pitanja; i• svest o kontinuitetu poslovanja i postupci.

Takođe postoji određeni broj osoblja kojem će biti potrebna obuka specifična za korisnika. Touključuje osoblje za koje je na početku ovog poglavlja utvrđeno da trebaju posebne izjave usvojim opisima poslova i ugovorima o radu o svojim odgovornostima u vezi sa informacionomsigurnošću. Ovi uključuju:

• glavni službenik za informisanje;• savetnik za informacionu bezbednost;• članovi foruma za upravljanje informacionom sigurnošću;• IT menadžment;• upravljanje mrežom;• IT osoblje i pomoćno osoblje;• vebmasteri;• osoblje obezbeđenja prostorija;• HR, regrutovanje i obuka;


19

• generalni menadžeri;• finansijsko osoblje;• sekretar kompanije / pravno osoblje;• interni revizori osiguranja kvaliteta / sistema; i• timovi za kontinuitet poslovanja / reagovanje u vanrednim situacijama.

OBUKA TOKOM ZAPOSLENJA - E-UČENJE - NASTAVAK

Ovo osoblje treba da bude izloženo istoj obuci za celokupno osoblje okojoj je ranije bilo reči

Ovo osoblje treba da bude izloženo istoj obuci za celokupno osoblje o kojoj je ranije biloreči. Pored toga, biće potrebna posebna obuka za korisnika. Neophodna obuka se najboljeidentifikuje kroz analizu potreba za pojedinačnom obukom (Individual Training needs analysis- TNA). Organizacija će verovatno imati uspostavljen TNA proces, a to bi trebalo primenitina pitanja bezbednosne obuke. Organizacije koje još uvek nemaju uspostavljen TNA procesimaju izbor između dizajniranja i primene procesa koji će ubuduće pokrivati sva pitanjaobuke i primene onog koji jednostavno odgovara potrebama obuke za informacionu sigurnost.Treningima iz oblasti informacione sigurnosti se bolje baviti kontinuirano, kao deostrukturiranog pristupa obuci zaposlenih. Međutim, u situacijama kada je potrebno započetiodređenu obuku, biće najjednostavnije primeniti TNA proces koji će se posebno baviti obukomo informacionoj bezbednosti.

2.3 Disciplinski postupak

VOĐENJE DISCIPLINSKOG POSTUPKA

Nijedan disciplinski postupak ne može započeti dok se ne potvrdipostojanje kršenja i možda će biti potrebno dokumentovati formalnekriterijume početka koji su legalni u lokalnoj nadležnosti

Kontrola A.8.2.3 standarda zahteva od organizacije da se suoči sa kršenjem politike ipostupaka bezbednosti informacija i postupaka zaposlenih (i dobavljača i nezavisnihkompanija) formalnim disciplinskim postupkom. Očigledno je da bi organizacija trebalo dakoristi svoj postojeći disciplinski postupak, a u ugovorima zaposlenih (o čemu je ranijeraspravljano u ovom poglavlju) i u samom ISMS-u ovo bi trebalo da bude jasno.

Jasno je da nijedan disciplinski postupak ne može započeti dok se ne potvrdi postojanjekršenja (a kontrola A.13.2.3 bavi se prikupljanjem dokaza) i možda će biti potrebnodokumentovati formalne kriterijume početka koji su legalni u lokalnoj nadležnosti.Organizacija treba da osigura da onima koji vode disciplinsku raspravu u vezi sa prijavljenimkršenjem postupka zaštite podataka pruži se stručna i tehnička podrška koja će im bitipotrebna kako bi se pošteno bavili osobom i problemom. To može zahtevati da savetnikza informacionu bezbednost organizacije bude uključen u proces. Neiskusni, neupućeni


20

rukovodioci ni u kom slučaju ne bi trebalo da pokušavaju da se bave pitanjima bezbednostiinformacija koja su izvan njihovog znanja ili iskustva, jer bi to bilo nepravedno premadotičnom zaposlenom i potencijalno opasno za organizaciju ako se pune implikacije incidentane shvate dovoljno brzo. . Takođe, moglo bi, u zavisnosti od ishoda disciplinskog saslušanjakoje je vodio neiskusan rukovodilac, potencijalno izložiti organizaciju dugotrajnim i skupimradnjama industrijskog suda ili sindikalnim izazovima zbog nepravičnog tretmana zaposlenog.

PRESTANAK ILI PROMENA ZAPOSLENJA

Kontrolno područje (A.8.3) koje se bavi otkazom ili promenomzaposlenja ima tri važne kontrole

Kontrolno područje (A.8.3) koje se bavi otkazom ili promenom zaposlenja ima tri važnekontrole. U mnogim organizacijama iskustvo sugeriše da je administriranje prestankomradnog odnosa, u smislu zaštite informacija, često traljavo; kao rezultat toga, organizacijestvaraju nove ranjivosti koje je trebalo proceniti. Kontrolni cilj ovog poglavlja je osiguratida se prestanak radnog odnosa (ili promena uloge posla) izvrši na uređen, kontrolisan isistematičan način, uz vraćanje sve opreme i uklanjanje svih prava pristupa.

Kontrola A.8.3.1 bavi se odgovornostima za raskid ugovora i jednostavno zahteva odorganizacije da jasno dokumentuje ko je odgovoran za izvršavanje prekida i koje su toodgovornosti. Ove odgovornosti treba da jasno uključuju bavljenje važećim klauzulamaugovora o radu. Obično će služba za ljudske resurse biti odgovorna za osiguravanje dasu obrađeni svi aspekti otkaza ugovora o radu (obično zajedno sa direktnim menadžerombivšeg zaposlenog), a to mogu biti standardni aspekti razgovora o otkazu koji se obavlja nastandardni način, koristeći standardnu kontrolnu listu.

Takođe treba rešiti raskid ugovora sa dobavljačima i trećim licima; organizacija jednostavnotreba da odredi kako će sa ovim osobljem postići istu jasnoću kao što traži sa bivšimzaposlenima i ko će (agencija, nezavisna organizacija) biti odgovoran za izvršavanje zadatka.

Kontrola A.8.3.2 zahteva od svih zaposlenih, trećih lica i ugovarača da vrate svuorganizacionu imovinu po prestanku. Kao i finansijska imovina (npr. Kreditne kartice i naloziza kupovinu) i HR / osnovna sredstva (npr. Motorni automobili), ova imovina spada u četirikategorije: softver, hardver, informacije i znanje. U skladu sa lokalnim zakonima o radu,ugovor o radu treba da sadrži klauzulu koja omogućava poslodavcu da zadrži sve neisplaćeneuplate bilo kog opisa sve dok se ne dokaže da su sva organizaciona sredstva vraćena i, nakonodgovarajućeg intervala, da od tih neotplaćenih iznosa odbije troškovi zamene imovine kojanije vraćena. Naravno, ovo će težiti većini ostavki na dan odmah nakon što mesečne ili drugeznačajne isplate očiste bankovni račun zaposlenog, ali takav je život.

Sa prve dve vrste imovine najbolje se postupa proceduralno kroz centralizovani postupakevidentiranja i autorizacije; za svakog zaposlenog treba da postoji evidencija (koju održavaHR ili IT) koja navodi sve prenosne računare, PDA uređaje, mobilne telefone i drugi hardverizdat zaposlenima. Ova lista bi mogla biti povezana sa popisom imovine o kome se ranijeraspravljalo, a nominovani vlasnik bi jasno trebalo da bude osoba kojoj je imovina izdata.Trebalo bi da postoji prihvatljiv upotrebni dokument za svako sredstvo koji opisuje šta jeobezbeđeno (a prenosni računari bi trebalo da imaju standardni, dokumentovani „komplet“;dok se prenosni računari često vraćaju, dodatna oprema često nedostaje), jasno navodeći


21

očekivanja organizacije u pogledu pravilna upotreba imovine i uključivanje (na primer, zamobilne telefone) svih očekivanja u vezi sa podelom troškova između zaposlenog iorganizacije.


22

Poglavlje 3

Fizička i ekološka bezbednost

SIGURNA PODRUČJAKontrola A.11.1 standarda bavi se sigurnim područjima

Kontrola A.11 ISO27001 bavi se fizičkom i ekološkom sigurnošću. Bavi se onim što bi semoglo nazvati geografskom ili područnom sigurnošću, zaštitom opreme i opštim kontrolamaza zaštitu fizičkih dobara. Velike ili višestranske organizacije možda će morati da se raščlanena brojne fizičke domene (uzimajući u obzir sve komunikacione veze između njih), a zatim dasvaki domen razmotre u meritumu.

Kontrola A.11.1 standarda bavi se sigurnim područjima. Njegov cilj je sprečiti neovlašćenifizički pristup, oštećenje ili ometanje poslovnog prostora i informacija. Ima šestpod-klauzula. Kritične ili osetljive informacije i uređaji za obradu informacija treba da budusmešteni u zaštićenim prostorima zaštićenim definisanim sigurnim obodom, saodgovarajućim sigurnosnim preprekama (npr. Zidovi, fiksni podovi i plafoni, ulazne kapijepod kontrolom kartice) i kontrolama (npr. Recepcije sa osobljem) koje pružaju zaštitu protivneovlašćenog pristupa ili oštećenja papira, medija ili uređaja za obradu informacija.Primenjena zaštita treba da bude srazmerna procenjenim rizicima i klasifikaciji informacija itreba da uzme u obzir rad izvan radnog vremena i slična pitanja.

PERIMETAR FIZIČKE BEZBEDNOSTIKontrola A.9.1.1 standarda zahteva od organizacije da koristisigurnosni opseg za zaštitu područja koja sadrže uređaje za obraduinformacija

Kontrola A.9.1.1 standarda zahteva od organizacije da koristi sigurnosni opseg za zaštitupodručja koja sadrže uređaje za obradu informacija. U zavisnosti od procene rizika iklasifikacije podataka koji se štite, može biti prikladno da organizacija koristi više od jednefizičke barijere, jer svaka dodatna barijera može povećati ukupnu pruženu zaštitu.

Prvi korak je upotreba lokacije ili tlocrta za identifikovanje područja koje treba obezbediti.Kopiju ovog dokumenta treba naći uz vlasničke listove. Plan koji se odnosi na tapije postoji dajasno prikaže prostorije koje organizacija poseduje ili daje u zakup, a najprikladniji je osnovnidokument koji se koristi za definisanje sigurnog perimetra jer jasno identifikuje imovinu nadkojom organizacija ima kontrolu.

Oko prostorija na planu lokacije treba povući kontinuiranu crtu, uključujući sve informacijei uređaje za obradu informacija koje treba zaštititi. Ova linija treba da prati postojeći fizički

23

perimetar (a perimetar je u ovom kontekstu nešto što pruža fizičku prepreku ulazu) izmeđuorganizacije i spoljnog sveta: zidovi, vrata, prozori, kapije, podovi, fiksni plafoni (lažni plafoniskrivaju mnoštvo pretnji), svetlarnici, itd. Posebnu pažnju takođe treba posvetiti liftovima ioknima za podizanje, usponima, oknima za održavanje i pristup itd. Ovaj plan lokacije, kojiprikazuje definisani fizički obim, treba da bude deo ISMS zapisa. Revizor ISO27001 će gotovosigurno želeti da ga vidi, a zatim da testira efikasnost perimetra.

Treba izvršiti sveobuhvatnu procenu rizika kako bi se identifikovale slabosti, ranjivosti ilipraznine u ovom obodu, a iz ove procene mogu se izvršiti odgovarajuće fizičke kontrole -dodatne fizičke barijere, kao što su vrata, kapije sa kontrolisanim karticama, recepcija saosobljem itd. - počinju da se identifikuju. Iako neće sve organizacije imati toliko vredneinformacije kao one koje je dobio lik Toma Cruisea, Ethan Hunt, u filmu Nemoguća misija,način na koji je dobio pristup sobi u kojoj je čuvana ukazivao je na to da procena rizikaorganizacije koja čuva nije bili dovoljno temeljni. Postojala je ranjivost u fizičkom obodu kojuje Ethan Hunt identifikovao, a zatim je iskoristio na način koji pokazuje da je „teško zamislitinekoga ko ulazi tamo“ neadekvatan pristup obezbeđivanju fizičkog perimetra. RevizorISO27001 bi trebalo da želi da vidi dokumentovanu procenu rizika i analiziraće njenutemeljnost i efikasnost, u početku izazivanjem osobe odgovorne za njenu definiciju, a zatim,nakon inspekcije verovatno osetljivih područja, ispitivanjem da bi utvrdio koliko je onazapravo sigurna.

FIZIČKE KONTROLE ULASKAPosetioce zaštićenih područja - bilo da se radi o samoj lokaciji ili oodređenim delovima unutar lokacije - treba unapred nadgledati iliočistiti i zabeležiti njihov datum i vreme dolaska i odlaska.

Kontrola A.11.1.2 standarda zahteva da zaštićena područja budu zaštićena odgovarajućimkontrolama ulaska kako bi se osiguralo da samo ovlašćeno osoblje ima pristup prostorijama.ISO27002 preporučuje određene kontrole, od kojih su neke teže za manje kompanije, ali kojeipak vredi razmotriti i, gde god je to moguće, primeniti:

• Posetioce zaštićenih područja - bilo da se radi o samoj lokaciji ili o određenimdelovima unutar lokacije - treba unapred nadgledati ili očistiti i zabeležitinjihov datum i vreme dolaska i odlaska. Pristup treba da se odobri samo u određene,ovlašćene svrhe, a svi takvi posetioci treba da dobiju uputstva o bezbednosnimzahtevima područja i o hitnim postupcima evakuacije. Ova uputstva se obično beleže nastandardnoj propusnici za posetioce, koja sama beleži datum i vreme dolaska u knjigu nakojoj se mogu zabeležiti detalji odlaska kada posetilac ode. Dobra praksa obično zahtevada osoblje obezbeđenja koje izdaje propusnicu za posetioce telefonski potvrdi da seposetilac očekuje i svrha posete. Sigurnije postavljanje bi bilo da se detalji o posetiocimaunapred obaveste na recepciji i da se telefonska provera vrši kada posetilac stigne. Upodručjima visoke sigurnosti, ove liste posetilaca možda će morati da odobri viši linijskirukovodilac pre nego što se proslede bezbednosnom odeljenju. Posetioce svuda treba daprati član osoblja, a po potrebi njihov identitet treba ponovo da se potvrdi pre pristupadrugim odeljenjima zaštićenog područja koje im se odobrava. Propusnice za posetiocetreba da koriste neki vidljivi sistem dokazivanja da li su i dalje validne ili ne; na primer,

Poglavlje 3 Fizička i ekološka bezbednost

24

sve propusnice izdate u ponedeljak mogu imati crnu tačku, one izdate utorkom crvenikvadrat itd.

• Izbor bezbednosnih usluga sam po sebi predstavlja sigurnosni rizik. Nisu sve takvekompanije preduzele odgovarajuće korake za proveru i obuku svojih operativaca, upogledu spoljnih strana, u potpunosti se sprovode. Bez obzira na prethodnu obuku iliiskustvo, zaštitari bi takođe trebalo da prođu obuku iz postupaka unutrašnje bezbednostiorganizacije za koju pružaju usluge obezbeđenja.

• Tamo gde se pristup neovlašćenim osobama lokaciji ili zgradi kontroliše daljinski sarecepcije, trebalo bi da postoji efikasan alat za komunikaciju koji recepcionaruomogućava da identifikuje (i verbalno i vizuelno) posetioca pre nego što mu dozvolipristup.

FIZIČKE KONTROLE ULASKA - NASTAVAKPristup osetljivim informacijama i objektima za obradu informacijatreba kontrolisati i ograničiti samo na posebno ovlašćena lica

• Pristup osetljivim informacijama i objektima za obradu informacija trebakontrolisati i ograničiti samo na posebno ovlašćena lica. Ovo je posebno važno zaračunarske servere (e), kojima pristup mora biti ozbiljno ograničen. Kontrole za potvrduidentiteta, kao što su kartica za prevlačenje i / ili pojedinačni PIN kodovi, treba da sekoriste za odobravanje i potvrđivanje pristupa zaštićenim zonama i za zaštitu područjaunutar sigurnosnog perimetra. Ako je moguće (i ako to zahteva procena rizika), sistemza uvlačenje kartice sa prevlačenjem takođe treba da obezbedi trag pristupa koji semože revidirati. Evidencija izdatih propusnica za posetioce treba da se čuva na sigurnommestu, jer bi u nekom trenutku u budućnosti mogla biti potrebna za identifikaciju uljeza.

• Od čitavog osoblja treba tražiti da nosi neki vidljivi vid (koji bi mogao biti ugrađen upristupnu karticu - što bi moglo funkcionisati bilo prevlačenjem ili fizičkom blizinom) itrebalo bi ga podsticati da izazove ili prijavi nepoznate osobe bez pratnje ili nekogako nije nosio vidljivu identifikaciju. Vidljiva identifikaciona značka kontrola je koja jemnogo važnija u velikoj organizaciji nego u maloj, ali u bilo kojoj veličini organizacijeneidentifikovani posetioci i posetioci bez pratnje uvek treba da budu izazvani. Postojemnoge organizacije za koje će ovo samo po sebi zahtevati značajnu promenu kulture,a to bi moglo značajno da doprinese poboljšanoj bezbednosti. Naravno, čak iu malojorganizaciji činjenica da posetioci moraju da nose značke deluje odvraćajuće odoportunističkih prestupnika / uljeza, jer će shvatiti da su očigledno van mesta bezodgovarajućeg vizuelnog „pečata“ odobrenja (pod pretpostavkom ove kontrole seefikasno primenjuje i propusnice se preuzimaju od posetilaca i osoblja koje napuštaosoblje koje više nemaju potrebu za njima).

• Prava pristupa zaštićenim oblastima treba redovno pregledavati, ažurirati i po potrebiopozvati. Ovo je posebno važno za prava pristupa sobama računarskih servera. Zapis bitrebalo redovno da pregleda forum za upravljanje informacionom sigurnošću, a zapis opregledu foruma trebalo bi da bude deo dokumentacije ISMS-a.

• Nezavisno osoblje za podršku trebalo bi da ima prava pristupa koja su u najvećoj mogućojmeri ograničena na ona zaštićena područja ili uređaje za obradu informacija kojima trebada pristupe određeno vreme, a ta prava pristupa treba nadgledati, pregledati i, po potrebiopozvan.


25

ZAŠTITA OD SPOLJNIH I EKOLOŠKIH PRETNJIKontrola A.11.1.4 podstiče organizacije da se zaštite od štete usledpožara,poplave,zemljotresa, eksplozije,građanskih nemira i drugihoblika prirodnih katastrofa koje je stvorio čovek

Kontrola A.11.1.4 podstiče organizacije da se zaštite od štete usled požara, poplave,zemljotresa, eksplozije, građanskih nemira i drugih oblika prirodnih katastrofa ili nesrećakoje je stvorio čovek. Gornju raspravu o spoljnim pretnjama zaštićenim oblastima trebaprimeniti na opšte fizičke lokacije organizacije. U određenom smislu, ova kontrola traži odorganizacije da obezbedi da se pridržavala propisa o zdravlju i bezbednosti i zaštiti odpožara i da je izvršila sve relevantne procene rizika koje zahtevaju ovi propisi, dok su gorenavedeni komentari o kontrolama protiv pretnji sigurna područja primenjuju se uopšteno.Naročito bi trebalo da postoji odgovarajuća procena rizika na nivou lokacije koja pokrivamogućnost svih ovih prirodnih katastrofa ili katastrofa koje su stvorili ljudi; prostorije upoznatom zemljotresnom području, na primer, suočavaju se sa većom prijetnjom od onih nadrugim mjestima, a plan kontinuiteta poslovanja organizacije moraće na odgovarajući načinuzeti u obzir prijetnju. Slično tome, treba razmotriti verovatne lokalne aktivnosti (uključujućii aktivnosti suseda), kao i rizike lokacija posebno istaknutih - na primer, u blizini vladinihkancelarija mogu biti protestni marševi, teroristička zlodela ili policijske aktivnosti. Konkretno,izbor rezervnih lokacija trebao bi se voditi uzimajući u obzir vjerovatne posljedice određenihdogađaja: prečnik područja na koji će verovatno uticati eksplozija bombe, verovatni efekatpolicijskog kordona itd.


26

Poglavlje 4

Javni pristup, isporuka i utovar

JAVNI PRISTUP,ISPORUKA I UTOVARKontrola A.11.1.6 standarda zahteva od organizacije da kontrolišepodručja isporuke i utovara

Kontrola A.11.1.6 standarda zahteva od organizacije da kontroliše područja isporuke iutovara, kao i bilo koja druga područja kojima bi neovlašćena lica (kao što su pripadnicijavnosti) mogla imati pristup i, ako je moguće, da ih drži izolovanim od informacijaprerađivačke objekte kako bi se ograničila opasnost od neovlašćenog pristupa tim objektima.Ova kontrola će imati različit značaj za različite tipove organizacija. Na primer, proizvodna ilimaloprodajna organizacija verovatno će imati značajnija pitanja u vezi sa javnim pristupom,utovarom i isporukom od direktne kancelarije sa sedištem u kancelariji. Rizici se kreću odneovlašćenog osoblja (kupci, vozači, itd.) Do opasnih isporuka (npr. Bombe, antraks), od kojihbilo koja može ugroziti informacionu sigurnost organizacije. Procena rizika treba da se koristi,kao i za svako drugo područje koje treba kontrolisati, za određivanje bezbednosnih zahteva.

Kontrole - koje su prvenstveno za veće organizacije koje imaju značajne aktivnosti isporuke -koje ISO27002 želi da razmotri su sledeće:

• Pristup prostoru za zadržavanje izvan sigurnog perimetra treba da bude ograničen naidentifikovano i ovlašćeno osoblje za dostavu ili drugo osoblje.

• Prostor (i) za dostavu i zadržavanje treba da budu dizajnirani tako da dostavljači ne mogupristupiti njima drugim delovima zgrade.

• Spoljna vrata prostora za isporuku ili zadržavanje treba zatvoriti kada su unutrašnjaotvorena.

• Dolazni materijal treba pregledati na potencijalne opasnosti ili pretnje pre nego što seprebaci negde drugde ili na mesto upotrebe.

• Dolazni materijal treba, ako je potrebno, registrovati po dolasku.• Dolazne i odlazne pošiljke trebale bi, gde je to moguće, biti fizički odvojene.

Sprovođenje ovih kontrola može zahtevati značajnu reorganizaciju postojećih objekata iprocedura za isporuku sa potencijalno značajnim kapitalnim izdacima za fizičko postavljanje.Procena rizika treba da odražava činjenicu da kako se bezbednosne kontrole poboljšavajuu drugim delovima organizacije, tako preostale ranjivosti postaju značajnije jer pružajupreostalih nekoliko načina na koje se može doći do neovlašćenog pristupa informacijama.Drugim rečima, jednom kada organizacija krene putem ISO27001, trebalo bi da budetemeljna i da završi putovanje.

27

Poglavlje 5

Bezbednost opreme

BEZBEDNOST(SIGURNOST) OPREMEKontrola A.11.2.1 standarda zahteva da se oprema postavi ili zaštiti natakav način da se smanje rizici od opasnosti i opasnosti po životnusredinu ili neovlašćeni pristup

Kontrola A.11.2.1 standarda zahteva da se oprema postavi ili zaštiti na takav način da sesmanje rizici od opasnosti i opasnosti po životnu sredinu ili neovlašćeni pristup. ISO27002identifikuje brojne kontrole koje treba razmotriti, uključujući:

• Oprema treba biti postavljena tako da se minimalizuje nepotreban, neovlašćen pristupradnim mestima. Na primer, jedinice za osveženje ili kancelarijske mašine dizajniraneza upotrebu od strane posetilaca prostorija treba da budu smeštene u određenom inadziranom javnom prostoru; neovlašćeno osoblje ne bi trebalo da pristupa sigurnimkancelarijama da bi koristilo ove objekte. Potrebno je razmotriti način na koji će seupravljati pristupom toaletima u odnosu na posetioce prostorija. Jasno je da ako su jedinitoaleti u sigurnom području, posetiocima će ili biti zabranjeno da ih koriste ili će ihmorati pratiti u svakom trenutku! Vrata u računarskim kabinetima treba da imaju, uzavisnosti od procene rizika, mehanizme kojima se obezbeđuju da budu stalno zatvorenai zaključana, sa svim odstupanjima prijavljenim na alarmnom sistemu.

• Objekti za obradu i skladištenje podataka koji rukuju osetljivim podacima treba da budupostavljeni tako da smanjuju rizik od previde tokom upotrebe. To se, na primer, odnosina monitore radnih stanica u prizemlju kancelarije, gde bi prolaznici mogli da pogledajukroz prozor i vide šta se nalazi na ekranu. Ovo možda nije relevantno ako informacijekoje će se verovatno pojaviti na ekranu računara nisu osetljive, ali ako jesu, jednostavnorešenje može biti postavljanje prozorskih zavesa. Primenjivao bi se na zidni ili podnisef, u maloprodajnim prostorijama, čiju bi lokaciju mogao videti pripadnik javnosti uprostorijama, osim ako nije skriven u drugoj sobi. Ulazi u računarske servere i sigurnosnebrave koje ih štite ne bi trebalo da budu vidljivi sa ulice ili kroz prozor koji bi nekomesa teleskopom mogao da vidi kod koji se unosi u bravu vrata. Sve zavisi od procenerizika; treba sprovesti za svaku okolnost u kojoj bi možda trebalo sprovesti ovu kontrolui preduzeti mere u svetlu te procene i srazmerno utvrđenom riziku. Odluke treba, kao iobično, dokumentovati.

• Predmete koji zahtevaju posebnu zaštitu treba izolovati kako bi se smanjio opšti nivozaštite. Samo procena rizika utvrdiće koja vrsta opreme spada u ovu kategoriju; jasno jerazumno da, na primer, ploča osigurača koja kontroliše napajanje u računarskoj serverutreba da bude udaljena od javnih mesta i dalje od mesta kojima čak i ovlašćeno osobljeredovno pristupa. Oportunistički lopov koji prolazi pored kancelarije koja sadrži svesku

28

koja je usidrena na radnoj stanici, ali koja nije na drugi način obezbeđena, možda ćeteško odoleti iskušenju da te beležnice doda u svoju aktovku.

BEZBEDNOST(SIGURNOST) OPREME - NASTAVAKNastavak

• ISO27002 predlaže da se takođe usvoje kontrole kako bi se smanjio rizik od potencijalnihpretnji, uključujući požar, krađu, eksploziv, dim, vodu (ili opskrbu), prašinu, vibracije,hemijske efekte, smetnje ili kvarove u električnom napajanju i elektromagnetnozračenje! Jedini način na koji se ovo može postići je da se, u pogledu svakog od glavnihsistema i komponenti sistema, uzme u obzir koliki će biti rizik od kompromisa za svakiod rizika identifikovanih u ovom odeljku i, u svetlu te procene sprovesti odgovarajućekontrole.

PODRŠKA U USLUŽNIM PROGRAMIMABesprekidno napajanje (UPS) je neophodno za podršku opremi kojapokreće ključne poslovne aplikacije

Kontrola A.9.2.2 standarda zahteva od organizacije da zaštiti svoju opremu od nestankastruje, kvarova u održavanju komunalnih preduzeća i drugih električnih anomalija. Ovoje očigledan zdrav razum, jer se sva oprema za obradu informacija napaja električnimpogonom i zavisi od jednog ili više sistema za snabdevanje vodom, kanalizacijom, grejanjem/ ventilacijom i klimatizacijom, ali većina organizacija pravi neodgovarajuće planove zavanredne situacije da bi se rešila nestanka struje. Sve komunalne službe treba da redovnopregledaju odgovarajuće kvalifikovani inženjer kako bi se osiguralo da i dalje rade po potrebii da će verovatno i dalje to raditi. Za početak, svaki element opreme treba da ima napajanjeu skladu sa preporukama proizvođača.

Besprekidno napajanje (UPS) je neophodno za podršku opremi koja pokreće ključneposlovne aplikacije. UPS bi trebao omogućiti neprekidno pokretanje ili, pod određenimokolnostima, uredno zatvaranje. UPS će morati da bude adekvatne snage da podrži opremukoja se na njega oslanja onoliko dugo koliko je potrebno da bi se omogućilo urednoisključivanje ili obezbeđivanje (ako je moguće i prikladno) alternativnog napajanja, a akoje potrebno, treba konsultovati proizvođače oba uređaja. Trebalo bi da postoje planovi zaslučaj neispravnosti UPS-a; to može uključivati pružanje rezervnog UPS-a. UPS opremu trebaredovno testirati u skladu sa preporukama proizvođača i svakako je potrebno testirati na stresu simulaciji najgore moguće kombinacije okolnosti prekida napajanja i servisa o kojima semože sanjati, kako bi se osiguralo neprekidno pokretanje ili zatvaranje sistema. donji planovirade efikasno.

UPS-evi se takođe moraju uzeti u obzir za radnike u kućnim kancelarijama. Korisnicimakućnih kancelarija treba obezbediti odgovarajuću opremu kako bi se osiguralo da se podacine izgube; to može uključivati USB stickove, čitati / pisati CD ROM pogone ili diskete,podržane standardnim postupkom koji od korisnika kućnih kancelarija zahteva da prave

Poglavlje 5 Bezbednost opreme

29

barem dnevne rezervne kopije podataka. Korisnici (i u kućnoj kancelariji i na mobilnimuređajima, sa prenosnim računarima) treba da budu obučeni da ručno čuvaju dokument nakojem rade, u unapred definisanim intervalima, ili da imaju mogućnost automatskog čuvanja(što je standardno kod nekih kasnijih Microsoft paketa) koji to čini ovo; ovo će smanjiti količinuizgubljenog posla u slučaju naglog nestanka struje ili otkaza baterije. UPS-ove za kućnekancelarije takođe treba redovno testirati, a postupak za to će morati da se osmisli i primeni.

SIGURNOST KABLOVAKontrola A.11.2.3 standarda nastoji da zaštiti sve kablove koji prenosepodatke ili podržavaju informativne usluge od presretanja ili oštećenja.

Kontrola A.11.2.3 standarda nastoji da zaštiti sve kablove koji prenose podatke ili podržavajuinformativne usluge od presretanja ili oštećenja. Uz malo sreće, neke od kontrola kojepreporučuje ISO27002 biće primenjene u vreme postavljanja vaše zgrade, jer da nisu, bićeteško primeniti ih sada. Kontrole koje ISO27002 želi da razmotri su sledeće:

• Energetski i telekomunikacioni vodovi u objektima za obradu informacija trebali bi,kad god je to moguće, biti pod zemljom ili podložni alternativnoj adekvatnoj zaštiti.Ako već nisu u podzemlju, verovatno je kasno. Međutim, još uvek je moguće osiguratida kablovi budu adekvatno zaštićeni; specijalne informacije iz dotičnog komunalnogpreduzeća biće potrebne kako bi se utvrdio način njihove zaštite. Ozbiljno, tamo gdese rukuje vrlo osetljivim podacima, način na koji komunalno preduzeće rukuje svojimtelekomunikacionim kablovima može biti presudan. Tamo gde procena rizika ističe ovopitanje, trebalo bi razgovarati sa komunalnim preduzećem o tome koju dodatnu zaštitumože pružiti. Ova zaštita je važna; u objekte koji su inače zaštićeni moglo bi se prodretijednostavno zato što je moguće dodirnuti kabl telekoma ili preseći kabl za napajanje.Sama poteškoća u primeni odgovarajućih kontrola znači da ovo postaje posebno osetljivopodručje, kao i svuda drugde, sve sigurnije.

• Kablovi na radnim mestima treba da budu na odgovarajući način organizovani i zaštićeni.Komplet kablova koji često visi sa zadnjeg dela radnih stanica i leži na podu podložanje lomljenju i, naravno, može predstavljati rizik po zdravlje i bezbednost. Kablove trebavezati kablovskim uredjajima, razvodne kutije treba razumno postaviti i, gde je tomoguće, treba koristiti stolove sa sistemima za rukovanje kablovima.

• Mrežni kabl treba zaštititi korišćenjem vodova ili izbegavanjem ruta kroz javne površine.Ovo je mnogo jednostavnije izvršiti; izvođaču mrežnih kablova može se naložiti dainstalira novo kabliranje - ili da ukloni i ponovo instalira stari kabl - na takav način dabude zaštićen od neovlašćenog presretanja ili oštećenja.

• Kablove za napajanje treba odvojiti od komunikacionih kablova kako bi se sprečilesmetnje. Iako se rizik od električnih smetnji očigledan, držanje dve službe jasno odvojenoosigurava smanjenje rizika od istovremenog gubitka električne energije itelekomunikacija


30

ODRŽAVANJE OPREMEOprema koja dugo radi besprekorno može iznenada da otkaže; u tomtrenutku je važno da postoje detaljne evidencije kvalifikovanihorganizacija za održavanje i popravke

Kontrola A.11.2.4 standarda zahteva od organizacije da održava svu svoju opremu za obraduinformacija u skladu sa uputstvima proizvođača i / ili dokumentovanim organizacionimprocedurama kako bi se osiguralo da ona ostane na raspolaganju i da radi. To jasno znači da biorganizacija trebalo da zadrži kopije svih uputstava proizvođača i da identifikuje preporučeneservisne intervale i specifikacije i da omogući brzi poziv za korektivne mere u slučajukvara koji bi trebali biti prikazani zajedno sa kontaktom dobavljača. detalji o opremi. Samoovlašćeno i obučeno osoblje treba da vrši popravke ili usluge; evidencija o svim obavljenimradovima treba da se zadrži (u knjizi priloženoj uz mašinu) i treba da postoje odgovarajućipostupci (koji se bave čuvanjem, brisanjem ili brisanjem podataka, posebno osetljivih ilipoverljivih podataka) za kontrolu opreme koja se šalje van lokacije radi popravke . Bilo kojiuslovi osiguranja treba da budu identifikovani i poštovani.

Postoji važnije pitanje oko starije ili starije opreme. Oprema koja dugo radi besprekorno možeiznenada da otkaže; u tom trenutku je važno da postoje detaljne evidencije kvalifikovanihorganizacija za održavanje i popravke. Što je razumnije, treba voditi dokumentovanuevidenciju istorije servisa opreme, tako da se starenjem mogu donositi pravilno informisaneodluke o pravom vremenu za zamenu.


31

Poglavlje 6

Zaključak

ZAKLJUČAKRezime

Biće okolnosti u kojima organizacija treba da deli poverljive informacije, bilo na nivou SEC2ili SEC3, sa nezavisnom organizacijom. Ovo bi moglo biti deo niza komercijalnih pregovoraili drugih važnih okolnosti. Trebalo bi izvršiti odgovarajuću procenu rizika pre nego što bilokakve informacije podelite sa nezavisnom organizacijom, a rezultati ove procene rizika trebada se odražavaju u sporazumu o neotkrivanju podataka (NDA) koji se od treće strane tražida potpiše. NDA treba da sastavi pravni stručnjak i treba da sadrži odgovarajuće kontroleidentifikovane u ovom poglavlju.

Kontrola A.8.3.3, uklanjanje prava pristupa, presudna je, jer prava pristupa mogu omogućitinezadovoljnom bivšem zaposlenom da ugrozi sistem; . Organizaciji je potrebna jasnadokumentovana procedura kako bi se osiguralo da po otkazu (a ponekad - podložno procenirizika i lokalnom zakonodavstvu - pre otkaza), prava pristupa zaposlenog (ili dobavljača ilitreće strane) takođe se ukidaju. Slično tome, svaka promena u zaposlenju takođe treba dadovede do pregleda i prilagođavanja postojećih prava pristupa. Ova prava pristupa uključujulozinke, tokene i druga prava za potvrdu identiteta, korisničke naloge e-pošte i Internetai korisnička imena, elektronske datoteke itd., I trebalo bi ih proširiti tako da uključuju sveidentifikacione kartice, uključujući pozivne kartice i zabeleženi papir. Možda će biti potrebnoda se računi e-pošte bivših zaposlenih nastave koristiti tokom perioda nakon ukidanja, a tobi trebalo da bude pokriveno standardnom politikom koja određuje kako treba da se postaviautomatski odgovor e-pošte, koji treba da ima vlasništvo nad računom i način na koji trebapostupati sa dolaznom e-poštom.

LITERATURAReference

1. Calder, Alan, and Steve Watkins. IT governance: A manager's guide to data securityand ISO 27001/ISO 27002. Kogan Page Ltd., 2008.2. Van, Haren. Implementing Information Security Based on ISO 27001/27002: AManagement Guide. Van Haren Publishing, 2009.3. https://www.isms.online/iso-27001/annex-a-7-human-resource-security/ .4. https://www.isms.online/iso-27001/annex-a-8-asset-management/5. https://www.isms.online/iso-27001/annex-a-11-physical-and-environmental-security/

32

https://www.isms.online/iso-27001/annex-a-11-physical-and-environmental-security/

https://www.isms.online/iso-27001/annex-a-11-physical-and-environmental-security/

6. https://isoconsultantkuwait.com/2019/12/08/iso-270012013-a-8-asset-management/

Poglavlje 6 Zaključak

33

https://isoconsultantkuwait.com/2019/12/08/iso-270012013-a-8-asset-management/

https://isoconsultantkuwait.com/2019/12/08/iso-270012013-a-8-asset-management/


Komunikacije i upravljanjeoperacijama, Kontrole protiv

zlonamernog softvera i rezervnihkopija i Upravljanje mrežnombezbednošcu i rukovanjem

medijimaLekcija 11

www.princexml.com




KOMUNIKACIJE I UPRAVLJANJE OPERACIJAMA, KONTROLEPROTIV ZLONAMERNOG SOFTVERA I REZERVNIH KOPIJA IUPRAVLJANJE MREŽNOM BEZBEDNOŠCU I RUKOVANJEMMEDIJIMA

Komunikacije i upravljanje operacijama, Kontrole protiv zlonamernog softvera irezervnih kopija i Upravljanje mrežnom bezbednošcu i rukovanjem medijima

Poglavlje 1: Dokumentovane operativne procedurePoglavlje 2: Odvajanje razvojnih, ispitnih i operativnih objekaPoglavlje 3: Planiranje i prihvatanje sistemaPoglavlje 4: Kontrole protiv zlonamernog soft. i rezer.kopijaPoglavlje 5: Rezervne kopijePoglavlje 6: Upravljanje mrežnom bezb. i rukovanje medijimaZaključak




Uvod

UVODUvod

Kontrola A.10 standarda ima niz glavnih podtačaka. Prva od njih je kontrola A.10.1, kojase bavi operativnim procedurama i odgovornostima. Cilj mu je osigurati ispravnu i sigurnuupotrebu objekata za obradu informacija.

3

Poglavlje 1

Dokumentovane operativneprocedure

DOKUMENTOVANJE OPERATIVNE PROCEDUREKontrola A.10.1.1 standarda zahteva od organizacije da dokumentujeoperativne postupke

Kontrola A.10.1.1 standarda zahteva od organizacije da dokumentuje operativne postupkekoji su identifikovani kao neophodni u bezbednosnoj politici i o kojima se detaljno raspravljau ovom predavanju. Kao što je ranije rečeno (sistemska integracija), principi kontroledokumenata ISO9000 primenljivi su na ISO27001 i svi operativni postupci koji su deo ISMS-a organizacije treba da se tretiraju u skladu sa ovim zahtevima, uključujući odgovarajućeodobrenje uprave.

Iako će organizacija usvojiti one postupke koje smatra najkorisnijim u sprovođenju svojepolitike bezbednosti informacija, ISO27002 preporučuje da postoje detaljni postupci iuputstva za rad (ili rad) (a nivo detalja treba da odgovara veličini organizacije, sa više detaljapotrebnih za veće i složenije), koje bi trebalo razraditi između savetnika za informacionubezbednost i odgovornog operativnog osoblja, za:

• Obrada i rukovanje informacijama - koje posebno pokrivaju zahteve o poverljivosti iklasifikaciju informacija

• Rezervna kopija, koja je detaljnije obrađena u kontroli A.10.5.• Zahtevi za raspoređivanje poslova, objašnjavajući tamo gde je potrebno međuzavisnosti

sa drugim sistemima (tako da niko to ne mora da otkriva na teži način) i najraniji početakrada / poslednja vremena završetka posla (na primer, za rezervne postupke).

• Uputstva za rukovanje greškama ili drugim izuzetnim uslovima, uključujući ograničavanjeupotrebe sistemskih uslužnih programa, mada bi organizacija trebalo da uzme u obzirkomentare u poglavlju 4 i drugde o potrebi regrutovanja i zadržavanja stručnjaka zainformacionu bezbednost koji ima dovoljno veštine i iskustva da fleksibilno odgovoritina nove i neobične okolnosti. Stoga bi ova uputstva mogla da postave zahteve zaizveštavanje i opšte smernice, sa konkretnijim uputstvima za mlađe operativce ineiskusno osoblje koje treba slediti.

• Kontaktiranje odgovarajuće podrške u slučaju neočekivanih operativnih ili tehničkihpoteškoća i koja evidencija treba da se vodi o kontaktima.

• Uputstva za rukovanje posebnim izlazima, kao što su posebne dopisnice, ili šta raditisa neuspelim izlazom za posebne poslove. Nekontrolisane verzije ovih uputstava trebapostavljati u blizini mašina na čiju se upotrebu odnose.

• Detaljne procedure ponovnog pokretanja i oporavka sistema koje treba slediti u slučajukvara sistema. Ovi postupci bi trebali biti u ISMS-u, a kontrolisane kopije trebale bi biti

4

vidljivo postavljene u blizini opreme na koju se odnose, kako bi se omogućila njihova lakaupotreba kada je to potrebno.

UPRAVLJANJE PROMENAMAPotrebno je uspostaviti formalne, dokumentovane procedure kontrolepromena, koje bi se mogle usvojiti ili biti iste kao postojeće upravljanjeprojektom ili procedure kontrole promena u organ.

Kontrola A.10.1.2 standarda zahteva od organizacije da kontroliše promene u svojimobjektima za obradu informacija, operativnim sistemima i aplikacionom softveru. Ovepromene obično uzrokuju velike poremećaje u poslu čak i kada dobro prođu. Neadekvatnakontrola ove vrste promena je čest uzrok sistemskih kvarova ili ranjivosti. Takođe je čestuzrok nepotrebnih izdataka. Potrebno je uspostaviti formalne, dokumentovane procedurekontrole promena, koje bi se mogle usvojiti ili biti iste kao postojeće upravljanje projektom iliprocedure kontrole promena u organizaciji. Ono što je važno je da za sve promene opremeza obradu informacija, softvera ili sigurnosnih procedura postoji formalni metod kontrole,po mogućnosti u okviru odgovarajuće strukture upravljanja projektom. Dalje informacije oupravljanju projektima nalaze se na vvv.itgovernance.co.uk/ project_governance.aspk.

Promenom postupka lako je upravljati, posebno ako je ISMS uspostavljen sa forumom zaupravljanje informacionom sigurnošću kao telom koje upravlja implementacijom ISMS-a.Morat će odobriti sve proceduralne promene koje bi trebale biti izdate pod formalnomkontrolom dokumenata i podržane, po potrebi, dodatnom obukom osoblja.

Promene operativnih programa i aplikacija mogu uticati jedna na drugu, a postupak kontrolepromena treba da osigura da se uzme u obzir ovaj rizik. Specijalistički doprinos IT menadžeraili stručnjaka ovlašćenih od strane dobavljača, ako je potrebno, treba uzeti u obzir kao deoprocesa upravljanja promenama. Potrebno je da postoji jasno formulisana politika koja će sebaviti ispravkama, zakrpama i popravcima za glavni operativni i aplikativni softver; ne možeuvek postojati valjan razlog za poslovnu ili informacionu sigurnost za izvršenje nadogradnje,pa stoga politika organizacije treba da navede kriterijume za odluke o nadogradnji i njihovraspored.

POSTUPAK KONTROLE PROMENA ZA OPERATIVNEPROGRAME I APLIKACJEPostupak kontrole promena za operativne programe i aplikacije mogaobi biti na standardnom dokumentu od jedne stranice

Generalno, postupak kontrole promena za operativne programe i aplikacije mogao bi biti nastandardnom dokumentu od jedne stranice koji uključuje:

1. identifikacija značajnih promena i poslovnih razloga2. (uključujući, ako je potrebno, procenu troškova i koristi);

Poglavlje 1 Dokumentovane operativne procedure

5

3. proces planiranja za testiranje promena i sticanje korisničkog prihvatanjaizmenjenog sistema;4. procena njihovih potencijalnih (bezbednosnih i drugih) uticaja, uključujući njihovuticaj na drugi operativni ili aplikativni softver i sve promene hardvera koje bi moglebiti potrebne;5. formalno odobrenje za promene koje treba izvršiti;6. obaveštavanje svih relevantnih ljudi o promenama, možda kopiranjem ili slanjeme-pošte, njima nekontrolisane verzije obrasca za kontrolu promena;7. procedure za prekid i oporavak od planiranih promena koje pođu po zlu.

PODELA ZADATAKAKupovina IT opreme ili IT usluga jedan je od očiglednijih primerapodručja u kojima bi prevara mogla uticati na informacionu sigurnost

Kontrola A.10.1.3 standarda zahteva od organizacije da nametne kontrolu koja bi već trebaloda bude osnovna za njen sistem finansijskog upravljanja, a to je podela dužnosti. ISO27001nastoji da razdvoji upravljanje i izvršavanje zadataka ili područja odgovornosti kako bi sesmanjile mogućnosti za neovlašćeno menjanje ili zloupotrebu informacija ili usluga.

Ovu kontrolu je teško postići u manjim organizacijama, ali bi je, kao i kod finansijske verzije,trebalo primeniti u najvećoj mogućoj meri. Gde god je to teško sprovesti, nametanje nadzoranad upravljanjem, praćenje aktivnosti i prikupljanje revizorskih tragova je od suštinskevažnosti. Revizija (i finansijska i sigurnosna) bi u svakom trenutku trebala biti nezavisna.

Ključni cilj razdvajanja dužnosti je odvojiti pokretanje događaja od njegovog odobrenja. Ovoje dizajnirano da spreči vršenje prevara bez otkrivanja u oblastima s jednom odgovornošću.Ključ je razdvajanje aktivnosti koje zahtevaju dosluh ako se želi počiniti prevara (npr.Izdavanje naloga i potpisivanje da je roba primljena), a gde procena rizika ukazuje na toda bi informativna imovina mogla biti u opasnosti zbog prevara, onda bi dva ili potrebno jeuključiti više ljudi kako bi se ova ranjivost ograničila smanjenjem verovatnoće zavere izmeđujedne osobe u kompaniji i jedne osobe izvan nje. Kupovina IT opreme ili IT usluga jedan je odočiglednijih primera područja u kojima bi prevara mogla uticati na informacionu sigurnost.

Poglavlje 1 Dokumentovane operativne procedure

6

Poglavlje 2

Odvajanje razvojnih, ispitnih ioperativnih objeka

OPŠTE NAPOMENEKontrola A.10.1.4 zahteva od organizacije da odvoji razvojne i ispitneobjekte od svojih operativnih kako bi smanjila rizik od slučajnihpromena ili neovlašćenog pristupa operat.softv.

Kontrola A.10.1.4 standarda zahteva od organizacije da odvoji razvojne i ispitne objekteod svojih operativnih kako bi smanjila rizik od slučajnih promena ili neovlašćenog pristupaoperativnom softveru i poslovnim podacima. Ova klauzula biće relevantna prvenstveno zakompanije za razvoj softvera, a drugo za bilo koju organizaciju koja poseduje softver razvijenpo meri za upotrebu, umesto da kupuje komercijalni paket polisa (COTS), u sopstvenomposlovanju. Moglo bi se očekivati da će bilo koja renomirana kompanija za razvoj softveradobiti certifikat za TickIT, verziju softverske industrije ISO9001.

Ovo je ključna segregacija aktivnosti; treba definisati i dokumentovati pravila za prenossoftvera iz razvojnog u operativni status. ISO27002 vrlo jasno postavlja načine na koje razvojsoftvera treba odvojiti od poslovanja; bilo koja organizacija koja je uključena u razvoj softveratreba se izričito pozvati na klauzulu 10.1.4 ISO27002 za uputstva o najboljoj praksi kako toučiniti. Programeri softvera takođe mogu razmotriti šemu osiguranja TickIT u ovom kontekstu.

Mnoge kompanije koje nisu softverske kompanije će verovatno raditi neki ograničeni razvojniposao, čak iako je ograničen samo na intranet i veb lokacije. Kontrole iz ove klauzuleISO27001 su relevantne u ovim okolnostima. U suštini, zahtev je da aktivnosti razvijanjai testiranja treba da budu odvojene u najvećoj mogućoj meri, po mogućnosti pokrećućiih na različitim računarima ili na različitim domenima, a svakako pokrećući ih u različitimdirektorijumima. Metode pristupa i lozinke treba da se razlikuju u razvojnom, testnom ioperativnom okruženju. Test okruženje treba da bude poznato, stabilno, koje što je mogućebliže oponaša živo, operativno (produkcijsko) okruženje i u kojem se mogu sprovesti značajnatestiranja i svaki pokušaj programera ili vebmastera da uvede zlonamerni kod ili trojanskeprograme ili da ugradi ranjivosti se mogu otkriti. Programeri nikada ne bi trebalo da imajupristup veb lokaciji uživo.

7

2.1 Nezavisno upravljanje pružanjemusluga

NEZAVISNO UPRAVLJANJE PRUŽANJEM USLUGA ( TREĆE LICE )

Kontrola 10.2 bavi se upravljanjem uslugama i informacionomsigurnošću u skladu sa ugovorima spoljnih strana

Kontrola 10.2 bavi se upravljanjem uslugama i informacionom sigurnošću u skladusa ugovorima spoljnih strana. Kontrola A.10.2.1 zahteva od organizacije da obezbedida se izvršavaju sve bezbednosne kontrole, definicije usluga i nivoi isporuke identifikovaniu ugovoru o nezavisnoj usluzi. To obično zahteva posvećivanje adekvatnih, odgovarajućekvalifikovanih resursa bilo na puno ili nepuno radno vreme. Značajni ugovori trećih stranamogli bi zahtevati stvaranje upravljačkog tima i mehanizama za praćenje izvršenja ugovora.

Kada se zaključi ugovor o prenosu izvođača, bitne informacije moraće se prenijeti dobavljačuizvođača iz organizacije, a taj prenos treba detaljno planirati i osigurati odgovarajućasredstva. Potpuni inventar one informativne imovine (hardver, softver i informacije) koji seprenose treba da se dogovore između strana pre finalizacije sporazuma i ove liste inventara(koja može biti u skladu sa izgledom i detaljima sadržaja identifikovanim u poglavlju 8). )treba koristiti za osiguranje da se sva imovina stvarno prenese.

Pre prenosa, trebalo bi da se izvrši procena rizika kako bi se identifikovali rizici koji bi moglipostojati u procesu prenosa. Oni mogu da se kreću od pristupa neovlašćenog osoblja doslučajnih oštećenja ili gubitka. Trebali bi biti navedeni u registru rizika na nivou projekta (kojije povezan i supsidijaran sa registrom rizika na nivou preduzeća), a za svaki od ovih rizikatreba usvojiti odgovarajuću kontrolu (u okviru tretmana rizika organizacije).

Pravilno, organizacija treba da izvrši procenu rizika pre zaključenja ugovora sa spoljnomkompanijom za upravljanje objektima i, nakon što se dogovori sa dobavljačem, uključi uugovor one kontrole identifikovane procenom rizika. Pored toga, ugovor treba da sadržiklauzulu koja omogućava poboljšanje bezbednosti u slučaju kršenja bilo koje od dogovorenihkontrola tokom perioda trajanja ugovora. Procena rizika mora uzeti u obzir činjenicu da će sepodaci čuvati u prostorijama dobavljača i razmotriti mogućnost njihovog oštećenja tamo.

NEZAVISNO UPRAVLJANJE PRUŽANJEM USLUGA ( TREĆE LICE ) -NASTAVAK

Pitanja koja treba posebno razmotriti

Pitanja koja treba posebno razmotriti uključuju:

• osetljive ili kritične aplikacije sa kojima bi se možda bolje rešavati u kući;• odobrenje vlasnika aplikacija i dobavljača softvera za postupak prenosa spoljašnjih

izvođača;• implikacije na planove kontinuiteta poslovanja;

Poglavlje 2 Odvajanje razvojnih, ispitnih i operativnih objeka

8

• sigurnosne standarde koji se zahtevaju od treće strane i kako se meri usklađenost;• kako se prate aktivnosti i pojedinačne odgovornosti; i• kako se treba rešavati bezbednosni incidenti i kako se ugovorni postupak koji treba

usvojiti uklapa u organizacionu politiku koja je usvojena ranije u ovom poglavlju.

2.2 Nadgledanje i pregled nezavnisnihusluga

NADGLEDANJE I PREGLED NEZAVNISNIH USLUGA ( USLUGA TREĆESTRANE )

Kontrola A.10.2.2 zahteva da spoljna organizacija redovno nadgleda ipregleda učinak svog nezavisnog ugovarača

Kontrola A.10.2.2 zahteva da spoljna organizacija redovno nadgleda i pregleda učinak svognezavisnog ugovarača. Kao što je gore pomenuto, ključni zahtev je stvaranje nezavisnogresursa i procesa upravljanja ugovorima (uključujući standardne izveštaje, sastanke itd.)Sa imenovanom osobom ili (u zavisnosti od veličine i složenosti ugovora) odeljenjem kojeje odgovorno radi osiguranja ispunjenja uslova iz ugovora. Ključne odgovornosti treba dauključuju:

• Praćenje učinka kako bi se osiguralo da su ugovoreni nivoi usluga zaista postignuti,identifikovanje nedostataka i dogovaranje kako ih treba ispraviti.

• Pregled svih evidencija sigurnosnih incidenata (uključujući revizijske staze), operativnihproblema, kvarova, traženja grešaka i bilo čega drugog što može stvoriti rizik zaorganizaciju i osiguravanje preduzimanja odgovarajućih korektivnih mera. To ponekadmože dovesti do eskalacije putem ugovornih klauzula o eskalaciji, a tim za upravljanjeugovorima treba da ima veštine i iskustvo da upravlja takvom eskalacijom.

Važno je da treća strana odredi pojedinca ili, u zavisnosti od važnosti, tim sakojim može da radi ugovorno osoblje organizacije za upravljanje ugovorima. Jedinicatreće strane treba da ima dovoljno ovlašćenja da obezbedi da se treća strana pridržavauslova ugovora i dovoljno veštine i iskustva za efikasno rešavanje problema koji se pojave.Dogovoreni postupak upravljanja ugovorima bi, preferencijalno, trebalo da budedokumentovan u ugovoru o prenosu spoljnih poslova; ovo osigurava da nema mestanejasnoćama u vezi sa onim što se zahteva, i u svakom slučaju će organizacija možda moratida navede svoje pravo da nadgleda treće procese upravljanja promenama, izveštavanje irukovanje incidentima i procese identifikacije i ispravke ranjivosti.


9

UPRAVLJANJE PROMENAMA NEZAVISNIH USLUGA

U trenutku prenosa usluga na treću stranu, organizacija gubi moć daizvrši direktne promene na tim uslugama, bilo da odgovori napromenljive poslovne potrebe

U trenutku prenosa usluga na treću stranu, organizacija gubi moć da izvrši direktne promenena tim uslugama, bilo da odgovori na promenljive poslovne potrebe ili da odgovori na noverizike bezbednosti informacija. Jednako tako, jednom kada su pod kontrolom treće strane,moguće je da promene koje odgovaraju trećoj strani mogu biti neprimerene. Stoga je važnoda ugovor o prenosu spoljnih izvođača osigurava da se bilo kojim promenama pravilnoupravlja, a to je ono što zahteva kontrola A.10.2.3.

Ova kontrola, koja prepoznaje centralni značaj procene rizika za efikasno upravljanjeinformacionom sigurnošću, takođe prepoznaje da promene treba procenjivati u svetlu togakoliko su pogođeni poslovni sistemi i procesi zapravo kritični. Proces upravljanja promenamatrebalo bi da bude produžetak onoga o čemu smo ranije razgovarali, sa izuzetkom da ćeto biti proces međuorganizacionih promena. Stoga mora omogućiti odobrenja sa obe straneorganizacione barijere, a sve prepreke procesu moraju biti identifikovane i osmišljene štoje ranije moguće. Profesionalni, iskusni saveti o upravljanju promenama u okviru funkcijeprenete spoljnim saradnicima trebalo bi da se primene rano u procesu pregovora.


10

Poglavlje 3

Planiranje i prihvatanje sistema

PLANIRANJE KAPACITETAKontrola A.10.3.1 standarda zahteva od organizacije da nadgleda svojezahteve za kapacitetom, a zatim da pravi projekcije budućih zahtevaza kapacitetom

Kontrola A.10.3.1 standarda zahteva od organizacije da nadgleda svoje zahteve zakapacitetom, a zatim da pravi projekcije budućih zahteva za kapacitetom, tako da možeda obezbedi da ima na raspolaganju odgovarajuće kapacitete za napajanje i skladištenjepodataka. Korišćenje ključnih sistemskih resursa (serveri datoteka, serveri domena, serverie-pošte, štampači i drugi izlazni uređaji) treba nadgledati kako bi se dodatni kapacitet mogaouključiti u tok kada je to potrebno. Projekcije bi očigledno trebale uzeti u obzir predviđanjanivoa poslovne aktivnosti, te bi stoga trebalo da postoji otvorena veza između ove aktivnosti igodišnjeg ciklusa poslovnog planiranja. Trendovi koje treba razmotriti su povećanje poslovneaktivnosti, a samim tim i obrada transakcija; i povećanje broja osoblja, a samim tim i brojaradnih stanica i drugih objekata. Preduzeća za elektronsku trgovinu takođe treba da uzmu uobzir očekivani porast aktivnosti veb stranica i planiraju dovoljan kapacitet da obezbede dalokacija ostane operativna, posebno u doba vršne aktivnosti.

Sve ovo treba da omogući mrežnim menadžerima i vebmasterima da identifikuju i izbegnupotencijalna uska grla koja mogu ugroziti bezbednost sistema ili dostupnost mreže ilisistemskih resursa ili podataka.

PRIHVATANJE SISTEMAKontrola A.10.3.2 standarda zahteva od organizacije da uspostavikriterijume prihvatljivosti za nove informacione sisteme, zanadogradnje i za nove verzije i da sprovede odgov. ispit.pre prih.

Kontrola A.10.3.2 standarda zahteva od organizacije da uspostavi kriterijumeprihvatljivosti za nove informacione sisteme, za nadogradnje i za nove verzije i dasprovede odgovarajuća ispitivanja pre prihvatanja . Ovo je klauzula koja je važnija zaorganizaciju koja koristi softver po meri ili se oslanja na treću stranu (ili internog dobavljača)da bi isporučila veliki IT projekat nego za organizaciju koja koristi komercijalni gotov softver.Pa ipak, važno je, čak i za takvu organizaciju, da uspostavi osnovu na kojoj će prihvatitinadogradnje i nove verzije. Ključni zahtev mora biti da je dogovoreno i dokumentovano.Trebalo bi da postoji značajan element korisničkog testiranja prema ovim kriterijumima, koji

11

bi trebao biti jasno povezan sa specifikacijom zahteva koja je korišćena u pokretanju projekta.Kriterijumi za prihvatanje moraju biti sposobni za objektivno i, ako je potrebno, nezavisnoispitivanje kako bi se utvrdilo da li su ispunjeni ili ne. Trebalo bi da postoji formalni postupakprihvatanja novog softvera, nakon što se kaže da je ispunio svoje kriterijume prihvatanja; ovajproces treba da uključuje ovlašćenje uprave.

Svi gotovi paketi se redovno nadograđuju, a Microsoft nastoji da izdaje nove verzije svogsoftvera svakih nekoliko godina, redovno servisne pakete i zakrpe mesečno. Brojni drugiglavni dobavljači usvojili su slične profile isporuke nadogradnje. Jedno pitanje koje treba rešitije pitanje kada će se primeniti nadogradnje ili nove verzije. Mnogi IT menadžeri smatraju daje sigurnije nadograditi na novu verziju (posebno Microsoft paketa) tek nakon što je na tržištuprošao period tokom kojeg se početni skup grešaka može dijagnostikovati i otkloniti.

Mreže koje pokreću aplikacije koje nisu Microsoft-ove (npr. ERP softver) treba da potvrdekod svog dobavljača da nadogradnja neće negativno uticati na softver. Ako postoji bilokakva sumnja, potrebno je izvršiti test nadogradnju u izolovanom okruženju pre nego što senadogradi sam sistem pod naponom.

PRIHVATANJE SISTEMA - NASTAVAKIspravke i zakrpe imaju mali ili nikakav uticaj na korisnike, osim štonastavljaju sa osiguravanjem njihovih podataka

Ispravke i zakrpe imaju mali ili nikakav uticaj na korisnike, osim što nastavljajusa osiguravanjem njihovih podataka. Širom Veba su obično besplatni. Međutim,nadogradnje verzija, osim antivirusnog softvera, mogu imati značajne uticaje na korisnike iobično postoje implikacije na troškove. Postoji niz kontrola koje bi stoga trebalo razmotriti.Prva je budžetska. Organizacija treba da osigura da ima dovoljno budžetskih sredstavaza rešavanje nadogradnji koje planiraju dobavljači softvera. Strateški je razumljivo da seorganizacije relativno brzo krenu nakon izdanja nadogradnje na njegovu primenu, jer setežina resursa i podrške programera tokom vremena preusmerava sa starijih paketa nanove, a na kraju podrška za starije verzije teži da se biti povučen. Takođe će verovatno bitiproblema sa kompatibilnošću između organizacija koje koriste značajno različita izdanja istogsoftvera. Takođe bi trebalo da postoji konkurentna prednost za organizacije u nadogradnji, jeromogućava osoblju da poveća svoju produktivnost. Korisnici takođe treba da budu uključenirano u bilo koji postupak nadogradnje, kako bi se osiguralo da se identifikuju njihove potrebei želje i, ako je moguće, prilagode.

Poglavlje 3 Planiranje i prihvatanje sistema

12

Poglavlje 4

Kontrole protiv zlonamernog soft. irezer.kopija

KONTROLE PROTIV ZLONAMERNOG SOFTVERA IREZERVNIH KOPIJAUvodne napomene

Aneks A.10.1 govori o kriptografskim kontrolama. Cilj kontrole u ovom Aneksu A je osiguratipravilnu i efikasnu upotrebu kriptografije za zaštitu poverljivosti, autentičnosti i / ili integritetainformacija. To je važan deo sistema upravljanja informacionom sigurnošću (ISMS), posebnoako želite da postignete sertifikat ISO 27001/2

4.1 Virusi,crvi i trojanci

VIRUSI, CRVI I TROJANCI ( TROJANSKI KONJ )

Sveukupno razumevanje sveta računarskih virusa, njihovih različitihvrsta i njihovih karakteristika, bilo bi korisno uoči rasprave o tome kakoim se odupreti.

Sveukupno razumevanje sveta računarskih virusa, njihovih različitih vrsta i njihovihkarakteristika, bilo bi korisno uoči rasprave o tome kako im se odupreti. Tehnički, najkorisnijigenerički termin koji se koristi je „zlonamerni softver“. „Malver“ je termin koji označavasoftver dizajniran za neke zlonamerne svrhe. Može biti napisan na gotovo bilo komprogramskom jeziku i smešten u gotovo bilo koju vrstu datoteke. Uobičajeni oblici malverauključuju viruse, crve i trojanske programe. „Antivirus“ i „anti-malvare“ su termini koji se uovoj knjizi koriste naizmenično.

Virus ima najmanje dve osobine: to je program koji se može replicirati - to jest,stvara svoje funkcionalne kopije - i zavisi od datoteke hosta (dokumenta ili izvršnedatoteke) koja nosi svaku kopiju. Može ili ne mora imati „korisni teret“:sposobnost da učini nešto smešno, destruktivno ili pametno kada stigne.

Crv je, međutim, autonoman. Ne oslanja se na datoteku hosta da bi je nosila. Možese replicirati, što čini pomoću medijuma za prenos kao što su e-pošta, trenutneporuke, Internet Relai Chat, mrežne veze itd. Polimorfni crvi su sposobni da se

13

razvijaju u divljini, tako da mogu efikasnije da prevaziđu evoluciju odbrana odvirusa.

Trojanac je neprijateljski kod skriven unutar i koji se pretvara u verodostojni kod.Dizajniran je da kradom dođe do cilja i nehotice se izvrši. Možda je bio instaliranu vreme kada je softver razvijen. Cilj je često postizanje kontrole nad ciljnimsistemom.

Ove definicije se mogu preklapati. Neki zlonamerni softver može pokazivati svojstva i virusai crva. Neki crvi isporučuju trojance. Bez obzira na zlonamerni softver, on je obično dobrodefinisan entitet, u okviru jedne datoteke ili dela datoteke. Međutim, predviđa se da ćezlonamerni softver nove generacije podrazumevati saradnju između nekoliko entitetapodeljenih na nekoliko datoteka. Ovo je zastrašujuće.

Pisci virusa to uglavnom čine iz zabave i zato što uživaju u izazovu pisanja pametnog koda.Ponekad to čine iz usamljenosti ili zato što žele da imaju neki uticaj na svet. Često radezajedno i imaju mrežne grupe, veb stranice i zajednice putem kojih dele rad i ideje. Takođese takmiče jedni sa drugima, a njihov odnos sa antivirusnim kompanijama je često izuzetnoneprijateljski raspoložen. Kompleti virusa su sada dostupni na mreži, tako da svako ko imaograničene veštine pisanja koda takođe može stvoriti virus.

VIRUSI, CRVI I TROJANCI ( TROJANSKI KONJ ) - NASTAVAK

Pisci virusa sve češće sarađuju sa hakerima i neželjenim sadržajem(eng. Spammers ).

Pisci virusa sve češće sarađuju sa hakerima i neželjenim sadržajem (eng.Spammers ). Pošiljaoci neželjene pošte žele da svoje poruke proslede korporativnimfilterima za zaštitu od neželjene pošte; pisci virusa i hakeri dobro razbijaju odbranu; aindustrija neželjene pošte je vrlo unosna - iako u velikoj meri nelegalna -. Naravno, mnogeelektronske poruke su zapravo samo sredstva za isporuku virusa i zato su ionako vrlo sličnaneželjenoj pošti. A životna sredina postaje sve složenija kako ’mal-maileri’ razvijaju novenačine kako da pobede odbranu mrežnog mrežnog prolaza, a phishing i pharming imejlovipostaju sve sofisticiraniji.

Rezultat toga je da je u današnjem računarskom okruženju jedini način da se u potpunostiizbegne opasnost od virusa da uđu u mrežu organizacije odbijanje omogućavanja pristupamreži. Internet veza, USB fleš memorija, čitač CD ROM-a, disketa, pojedinačni korisnik - svesu to mogući izvori zaraze virusom. Većina infekcija je slučajna; drugim rečima, virus nije biousmeren konkretno na sada zaraženu organizaciju. Upravo se desilo. Odbijanje pristupa svimaočigledno nije poslovno orijentisano rešenje koje bi se moglo očekivati od većine procenarizika, a mera u kojoj odbrambeni prolaz blokira legitimni ulaz e-pošte jer sadrži Adobe prilogili vezu za preuzimanje sugeriše da je većina procena rizika ne uzimajući u obzir aspekt„dostupnosti“ informacione sigurnosti.

Poglavlje 4 Kontrole protiv zlonamernog soft. i rezer.kopija

14

SPYWARE

Špijunski softver (i adver) i dalje su dva najznačajnija problema samalverom sa kojima se organizacije moraju suočiti.

Špijunski softver (i adver ) i dalje su dva najznačajnija problema sa malveromsa kojima se organizacije moraju suočiti. Špijunski softver je softver koji se preuzimana radnu stanicu sakriven u paketu besplatnog softvera ili advera. To je pogubno i stvaraznačajne probleme sa zaštitom podataka i dostupnošću sistema za korisnike. Može dauključuje trojanske programe i automatska biranja brojeva. Svakoj organizaciji su potrebnepolitike i procedure za postupanje sa špijunskim softverom - ne samo zato što mnogidobavljači antivirusnih programa još uvek ne proizvode softver koji se na odgovarajući načinbavi ovom pretnjom.

SOFTVER PROTIV MALVERA

Uobičajeno rešenje je instaliranje odgovarajućeg softvera za zaštitu odmalvera

Uobičajeno rešenje je instaliranje odgovarajućeg softvera za zaštitu od malvera. Odabirsoftvera protiv malvera mora biti pažljiv, jer loš softver neće pružiti odgovarajućupokrivenost. Zaštita od malvera je složeno pitanje i korisnicima amaterima nije lako da sekreću. Tvrdi se da je verovatno nemoguće da obični korisnici izvedu značajan test proizvodaprotiv malvera, da procene svoju uporednu efikasnost ili da izvrše procenu kvaliteta mnogihkonkurentskih proizvoda za otkrivanje malvera. Takođe nema velike korelacije između cene ikvaliteta kada je reč o softveru za zaštitu od malvera.

Proizvode protiv zlonamernog softvera potrebno je testirati tokom dužih vremenskih periodakako bi se osiguralo da se mogu neprestano nositi sa promenom prirode pretnji odzlonamernog softvera. Međutim, većina organizacija mora da donosi odluke o tome šta ćekupiti i instalirati u mnogo kraćim vremenskim okvirima. Tržišni materijal samog prodavcanije iznenađujuće neodgovarajuća osnova za odabir softvera. Iako postoje neke komercijalnešeme odobrenja za proizvode protiv zlonamernog softvera, one obično samo testiraju stopeotkrivanja bez sprovođenja odgovarajuće naučne procene. Stoga nisu najbolje veb lokacijesa kojima treba početi pri odabiru softvera protiv zlonamernog softvera. Potrebno je pribavitiuporedne podatke o testovima za proizvode protiv zlonamernog softvera, a veb lokacijekoje proizvode ove informacije trebale bi biti polazna osnova za svakoga ko vrši početnuili ponovljenu procenu ovih proizvoda i ko želi da vidi podatke iz nezavisnih laboratorijskihtestova.

Verovatno postoje samo neka tri ili četiri proizvoda koja neprekidno dobro rade u ovimtestovima. Među tim kompanijama bi trebalo odabrati proizvod protiv zlonamernog softvera,koji svi imaju resurse da se takmiče i opstanu na ovom tržištu. Veličina organizacije, međutim,nije garant kvaliteta anti-malvare-a, a postoje neke značajne organizacije čije se stopeotkrivanja neprestano pokazuju kao vrlo loše. Ni u kom slučaju ne bi trebalo izabrati softverskiproizvod malog ili novog proizvođača. Organizacija treba da ima resurse za razvoj svoje


15

tehnologije, za istraživanje zlonamernog softvera, da bi bila u toku sa razvojem u dinamičnomokruženju i da bi razvila i proizvela protivmere.

Softver za zaštitu od malvera mora biti integrisan u mrežni ili sistemski zaštitni zid i morase baviti neželjenom poštom i trenutnim porukama, kao i biti sposoban da efikasno rešavasigurnosne probleme krajnjih tačaka. „Krajnja tačka“ je tačka u kojoj se bezbednostorganizacije potencijalno ruši: sopstveni računar kućnog radnika, laptop, pametni telefon,BlackBerry ili drugi PDA, USB stick ili čak digitalna kamera ili MP3 plejer.

OBMANA PUTEM PORUKA ( HOAX MESSAGES )

Obmane putem poruka postaju manje poznate svim korisnicima e-pošte, ali ipak ih treba biti svestan

Obmane putem poruka postaju manje poznate svim korisnicima e-pošte, ali ipak ih treba bitisvestan. Igraju na neznanju ljudi. Korisnici su razumljivo zabrinuti zbog virusa, pa ih smatraju„korisnim“ ako, kako sugeriše većina podvala, poruku proslede u ceo svoj adresar.

Takva akcija, iako dobronamerna, nije korisna. Pored nametnutog mrežnog opterećenja,posledica je da podvala postaje „dobro poznata“ i navedena na veb stranicama na kojimasu navedeni obmanski virusi. Ova (vrsta) slave nesumnjivo dovodi do određenog stepenazadovoljstva počinioca podvale.

Organizacija bi trebalo da obuči sve svoje korisnike da pravilno reaguju ako prime porukuupozorenja „novi virus“. Nove virusne podvale su, najčešće, samo reciklirane stare podvaleuz dodatak nekoliko manjih promena. Kao takav, moguće je uočiti kontrolne znakove podvale.Tipične fraze u telu virusne podvale mogu biti:

• ‘Ne otvaraj! To će dovesti do brisanja svih datoteka na vašem tvrdom disku! ’• ‘Prosledite ovu poruku svim prijateljima!’

Poruke upozorenja koje podstiču primaoca da prosledi informacije svim svojim kontaktima e-pošte obično su podvale.

Postupanje po standardnoj proceduri omogućiće organizacijama da brzo utvrde da li jeupozorenje izvorno i odluče koje akcije treba preduzeti. Od korisnika bi trebalo tražiti da virus(prevara) odmah prijave svom savetniku za informacionu bezbednost, telefonom ili lično, i niu kom slučaju se poruka ne sme prosleđivati ili kopirati nikome, bilo da se nalazi unutar iliizvan mreže.

VAZDUŠNODESANTNI ( ENG. AIRBONE ) VIRUSI

Lični digitalni asistenti (PDA-ovi, BlackBerries), pametni telefoni i 3G ilimobilni telefoni sa 4G mrežom (zajedno često nazivani „ručni uređaji“)sve su više meta hakera i pisaca virusa.

Lični digitalni asistenti (PDA-ovi, BlackBerries), pametni telefoni i 3G, 4G ili mobilni telefonisa 4G mrežom (zajedno često nazivani „ručni uređaji“) sve su više meta hakera i pisaca


16

virusa. Iako još uvek postoji samo relativno mala količina malvera (trojanskih programa ivirusa) koji cilja ručne uređaje u divljini, on se povećava. Virusi mogu ući u PDA uređajesa računara domaćina, kada se PDA i PC datoteke sinhronizuju. Takođe mogu da prebacesa PDA na PDAvia infracrveni port i Bluetooth tehnologiju. Mogu se podići bežičnim putemmodema. Mogu se širiti telefonskom vezom, a pametni telefoni su posebna meta. Međutim,rizik od oštećenja podataka uskladištenih na ručnim ručnim uređajima mnogo je manji odrizika oštećenja mreža usled virusa (napisanih da su bezopasni za ručne uređaje, ali zarazniza radne površine i mreže) koji se ručnim prenosnicima prenose na mreže kada se korisnicisinhronizuju PDA i PC računari. Ručni uređaji koji imaju bežične veze sa Internetom mogu sekoristiti za pokretanje napada uskraćivanja usluge i mogu se koristiti za prevaru telefonskihmreža ili druge zlonamerne aktivnosti.

Većina korisnika ručnih računara je relativno nesofisticirano u razumevanju problema sazlonamernim softverom i preduzeće malo ili nimalo akcija da bi zaštitilo svoje ručne uređaje.Više platformi znači da je teško proizvesti generički softver za zaštitu od malvera (AM).Ručni uređaji su mali, sa ograničenom memorijom i procesorskom snagom, što ograničavamogućnosti za razvoj anti-malvera. Jedini siguran pristup koji organizacija treba da usvojije slojeviti, koji instalira AM softver na ručni uređaj (krajnju tačku) kako bi se koncentrisaona ručne viruse i instalirao AM rešenje na radnoj površini koje skenira ručne uređaje tokomsvake sinhronizacije. Ove potrebe moraće se uzeti u obzir pri odabiru AM softverskog paketa,a mreža će morati biti odgovarajuće konfigurisana. Organizacije takođe treba da razmotre,kao deo izjave o pristupu korisnika, uključujući upozorenje o virusima u vazduhu i potrebu dakorisnici budu upozoreni na moguće infekcije na radnoj površini.

KONTROLE PROTIV MOBILNIH KODOVA

Najjednostavniji način bavljenja mobilnim kodom je postojanjesmernica koje ga zabranjuju i instaliraju softver za blokiranje nazaštitni zid koji zaustavlja sav mobilni kod

Mobilni kod je u Rečniku Internet bezbednosti definisan kao „program koji se može izvršitina udaljenim lokacijama sa bilo kojom modifikacijom koda. [Može] da putuje i izvršava sajedne mašine na drugu na mreži tokom svog životnog veka “. Mobilni kod uključuje ActiveX,Java, JavaScript, VBScript, MS Word makronaredbe i PostScript. Ovi kodovi se mogu koristitiza prikupljanje informacija iz ciljnog sistema, uvođenje zlonamernog koda ili trojanca ili zamodifikovanje ili uništavanje informacija. Makro naredbe se obično nalaze u dokumentima;JavaScript radi na veb lokacijama i pokreće većinu iskačućih prozora i mnoštvo drugih,važnijih karakteristika; ActiveX omogućava računaru da preuzme kritične dodatke i njihovetajne korisne podatke. Kontrola A.10.4.2 standarda zahteva da izvršavanje mobilnog kodabude ograničeno na predviđeno okruženje tako da neće kršiti politike bezbednostiinformacija.

Najjednostavniji način bavljenja mobilnim kodom je postojanje smernica koje gazabranjuju i instaliraju softver za blokiranje na zaštitni zid koji zaustavlja savmobilni kod. Nedostatak ovoga je što korisnicima takođe otežava pravilnu upotrebu mnogihlegitimnih veb lokacija koje se oslanjaju na mobilni kod za efikasan rad.


17

Organizacija stoga treba da izradi politiku (u kontekstu procene rizika i trenutnih tehničkihsaveta) koja omogućava korisnicima pristup veb lokacijama i smanjuje rizik od izvršavanjaopasnih mobilnih kodova. To može uključivati blokiranje celokupnog koda za mobilne uređajeili jednostavno njegovo blokiranje na nekim veb lokacijama - u tom slučaju bi verovatnotrebalo da postoji veza između načina na koji organizacija kontroliše surfovanje i smernicaza mobilne kodove. Jednom kada se odluči o politici i instalira (i pravilno konfiguriše)odgovarajući softver na korisničkim mašinama i mreži, smernice za autorizaciju korisnika iInternet prihvatljivu upotrebu treba prilagoditi kako bi se postavili zahtevi u vezi sa mobilnimkodom. Biće potrebna obuka o svesti korisnika, a moraće da se planira i nadgledanjesistemskih resursa kako bi se otkrili i eliminisali svi nevaljali mobilni kodovi koji su zaobišli ovekontrole.


18

Poglavlje 5

Rezervne kopije

REZERVNE KOPIJE (ENG. BACKUPS )Kontrola A.10.5 standarda zahteva od organizacije da pravi redovnekopije osnovnih poslovnih informacija i softvera

Kontrola A.10.5 standarda zahteva od organizacije da pravi redovne kopijeosnovnih poslovnih informacija i softvera. Ovo je jedna od najosnovnijih i najvažnijih odsvih kontrola. Važno je ne samo zato što omogućava organizaciji da se oporavi od katastrofeili medijskog kvara, već i zbog toga što može da omogući pojedinačnim korisnicima da seoporave od neforsiranih grešaka. Tamo gde rezervne kopije nisu napravljene, oporavak odkatastrofe može biti nemoguć.

Suštinski prvi korak u stvaranju rezervnog dela politike u većini kancelarija je osigurati dase većina informacija arhivira na serverima organizacije, a ne na C: diskovima pojedinaca.Iako se na serverima mogu praviti rezervne kopije automatski i centralno; C: Rezervne kopijediskova mogu se napraviti samo ako je usluga rezervne kopije posebno konfigurisana zato. To je teško uraditi sa uslugama izrade rezervnih kopija na traci, a posebno je teškokod korisnika prenosnih računara, koji često rade u pokretu i kojima je potreban trenutnipristup njihovim datotekama. Zahtev za redovnim pravljenjem rezervnih kopija sa prenosivihuređaja na mrežnim serverima datoteka (ili pružanjem usluge izrade rezervnih kopija na nivouprenosnog računara) i za korišćenjem servera datoteka, a ne fiksnog C: pogona, trebalo bida bude deo početne obuke osoblja o podacima sigurnost. Jedan od koraka koji bi se mogaorazmotriti kako bi se ilustrovala važnost ove posebne kontrole mogao bi biti pretvaranjeskladištenja digitalnih podataka na radnu površinu u disciplinski prekršaj.Drugi važan korak je osiguravanje da rezervna politika bude sveobuhvatna. Korisnici mobilnihuređaja imaju informacije uskladištene u mobilnim telefonima i na PDA uređajima. KorisniciOffice-a koriste čitav niz softverskih proizvoda, ponekad samo na pojedinačnim mašinama,koji mogu biti izvan uobičajenog opsega Microsoft proizvoda. Organizacije imaju veb lokacije,intranete i ekstranete. Koriste računovodstvene sisteme, ERP sisteme i sisteme za upravljanjeprojektima. Imaju sisteme govorne pošte, koji takođe prenose podatke, posebno u svim onimokvirima govorne pošte koji sve više zamenjuju stvarne ljude. Organizacije sve češće koristeusluge dobavljača usluga aplikacija (ASP), a to dovodi do toga da se podaci čuvaju izvansigurnog perimetra organizacije u situacijama kada organizacija nema direktnu kontrolu nadsigurnošću svojih informacija. U tim odnosima je presudno da se pažljivo razmotre kontrole okojima se govori u A.6.2.3. Potrebno je uzeti u obzir sve digitalne podatke.

19

REZERVNE KOPIJE - NASTAVAKJednom kada je organizacija identifikovala svu imovinu podataka zakoju treba napraviti rezervnu kopiju, može da odluči o načinu iučestalosti izvršavanja rezervne kopije.

Papirne datoteke takođe. Činjenica da se podaci čuvaju u papirnim datotekama ili u drugimknjigama ne čine ih manje važnim za organizaciju od podataka u digitalnom obliku. Požar,poplava, eksplozija ili čak jednostavna direktna krađa mogu lišiti organizaciju njenih papirnihdosijea. Moraju se uzeti u obzir, a oni koji se procenjuju kao važni za organizaciju moraju sena neki način podržati.

Jednom kada je organizacija identifikovala svu imovinu podataka za koju treba napravitirezervnu kopiju, može da odluči o načinu i učestalosti izvršavanja rezervne kopije. Ovavežba treba da bude sveobuhvatna i da se poveže na listu imovine koja je sastavljenakao deo početnog popisa imovine. Svaka od ovih metoda izrade rezervnih kopija i čuvanjapodataka treba proceniti rizik u svetlu najvišu bezbednosnu klasifikaciju koja će verovatno bitidata podacima sačuvanim u ovom medijumu ili određenoj datoteci ili uređaju. Postoji ranaodluka da se za elektronske podatke donese odluka između dvostrukog pisanja (izrada kopijeistovremeno sa originalom) i kopiranja jednom dnevno. Jednom kada se donese odluka o tomekoje podatke treba zaštititi i kada se definiše neophodni nivo rezervnih informacija, kontrolekoje ISO27002 želi da vidi su sledeće:

• Minimalni nivo rezervnih informacija, zajedno sa tačnim i potpunim evidencijama o čemuje napravljena rezervna kopija i kopija dokumentovanog postupka oporavka, treba čuvatina udaljenom mestu.

• Rezervnim informacijama treba dati isti nivo fizičke i ekološke sigurnosti kao i originalnimpodacima; podjednako je važan, pa se stoga kontrole o kojima smo govorili u prethodnojlekciji moraju primeniti i na rezervne podatke. Po potrebi rezervne kopije treba zaštititišifrovanjem.

• Rezervne medije (npr. Kasetu) treba redovno testirati kako bi se osiguralo da rade. Izradarezervnih kopija treba da se vrši u redovno vreme svaka 24 sata, ili bilo koji kraći ili dužiciklus koji organizacija odabere u svetlu svoje procene rizika od gubitka podataka.

REZERVNE KOPIJE - NASTAVAK 2Nastavak

• Postupke restauracije, koji bi trebalo dokumentovati u ISMS-u, treba redovno testirati.Testiranje treba da uključi osoblje koje će biti odgovorno za izvođenje restauracije, jer jepresudno da obnova zaista može biti završena u predviđenom roku.

• Takođe bi trebalo napraviti rezervne kopije kritičnih datoteka na papiru, sa kompletnimfotokopijama koje se čuvaju na udaljenom mestu. Treba primeniti komentare o fizičkojsigurnosti rezervnih dokumenata i kontrolu nad kopiranjem papirnih dokumenata okojima je bilo reči u prethodnoj lekciji.

Poglavlje 5 Rezervne kopije

20

• RAID (Redundant Array of Independent Disks) treba uzeti u obzir za sve servere kojipokreću kritične aplikacije. Ovo će pružiti nivo zaštite ako jedan od serverskih diskovane uspe. Postoji šest osnovnih RAID nivoa koji pružaju različite nivoe zaštite podatakai poboljšanja performansi. Procena rizika treba da bude osnova na kojoj se vrši izbori primena RAID rešenja. RAID 5 je uobičajeni nivo RAID niza koji se primenjuje, a ovokombinuje dobar nivo zaštite i performansi. Treba primeniti stručne savete o primeniRAID niza.

Poglavlje 5 Rezervne kopije

21

Poglavlje 6

Upravljanje mrežnom bezb. irukovanje medijima

UPRAVLJANJE MREŽOMKontrola A.10.6.1 standarda zahteva od organizacije da primeni čitavniz kontrola kako bi postigla i održala bezbednost u svojim mrežama,posebno u onim koje prelaze organ. granice

Kontrola A.10.6.1 standarda zahteva od organizacije da primeni čitav niz kontrola kako bipostigla i održala bezbednost u svojim mrežama, posebno u onim koje prelaze organizacijskegranice. Ovo je takođe dizajnirano da zaštiti prateću infrastrukturu i zaštiti povezane uslugeod neovlašćenog pristupa. Četiri kontrole su preporučene za razmatranje prema ISO27002:

1. Sledeći princip podele dužnosti, operativna odgovornost za mreže treba, gde godje to moguće, biti odvojena od računarskih operacija. Organizacija treba da opiše uokviru svog ISMS-a (možda kroz minut foruma ili opise poslova pojedinaca) kako se topostiže.2. Trebale bi postojati jasne odgovornosti i postupci za upravljanje udaljenomopremom, uključujući i udaljena korisnička područja.3. Trebalo bi, ako je potrebno (tj. Ako ga procena rizika identifikuje tako), postojatiposebne kontrole za zaštitu podataka koji prelaze preko bežičnih i javnih mreža.To može uključivati kriptografske tehnike, kontrole za zaštitu mreže od pristupa ikontrole za održavanje dostupnosti računara povezanih na mrežu.4. Uska koordinacija upravljačkih aktivnosti treba da obezbedi doslednu primenu ISMSkontrola u celoj mreži

Niti jedan standard pa ni ISO27002 ne pomažu mnogo u ovom odeljku u pogledu upravljanjamrežom. To je delimično zbog brzine kojom se umrežavanje razvijalo od izrade standarda.Mnoge zahteve ove klauzule ispunjavaju kontrole uvedene kao odgovor na druge zahtevestandarda, kao što je gore navedeno. Upravljanje mrežom je, međutim, jedna od najvažnijihuloga u organizaciji, i, naravno, kako će se sprovoditi, u velikoj meri zavisi od vrste mrežekoja se instalira. Na početku 13 lekcije raspravlja se o mrežama. Arhitektura mreže treba daodražava potrebe i resurse organizacije, a za njeno dizajniranje i primenu može biti potrebnastručna pomoć.

22

BEZBEDNOST MREŽNIH SERVISAKontrola A.10.6.2 standarda zahteva od organizacije da pruži jasanopis u svom ISMS-u i u sporazumu o mrežnim uslugama sigurnosnihatributa svih mrežnih usluga koje koristi

Kontrola A.10.6.2 standarda zahteva od organizacije da pruži jasan opis u svom ISMS-u iu sporazumu o mrežnim uslugama (čak i tamo gde se usluge pružaju interno) sigurnosnihatributa (kao i očekivanih nivoa usluga i zahteva upravljanja). ) svih mrežnih usluga kojekoristi. Ovo se odnosi na širok spektar dostupnih javnih ili privatnih mrežnih usluga, kojemogu imati jednostavne ili složene bezbednosne karakteristike. Treba pružiti jasan opisovih karakteristika kako bi se mogle izvršiti odgovarajuće procene rizika i kako bi, kadase dese bezbednosni incidenti koji uključuju ove usluge, bile na raspolaganju odgovarajućeinformacije za njihovo rešavanje. Sve je češći izvor mrežne usluge Internet, a njegovebezbednosne karakteristike ne postoje.

Pored toga, kako organizacije prepuštaju tehnologiju i kupuju druge ključne usluge namodelima dobavljača usluga aplikacija (ASP), ovi zahtevi za kontrolom postaju sve važniji.Provajderi Internet usluga (ISP), farme servera, usluge hostinga, upravljani dobavljači usluga,namenske informativne usluge i tako dalje mogu biti presudni za bezbednost organizacije.Zbog toga je neophodno identifikovati i dokumentovati njihove sigurnosne karakteristike.

Karakteristike za koje organizacija treba da bude zainteresovana uključuju:

• sigurnosna tehnologija, kao što su šifrovanje, potvrda identiteta i mreža• kontrole veza;• tehničke parametre za sigurno povezivanje sa dobavljačem usluga;• procedure za ograničavanje pristupa uslugama, tamo gde je to potrebno; i• kontrole u vezi sa bilo kojim podacima (posebno ličnim podacima) koji se čuvaju u

sistemu.

6.1 Upravljanje medijima

UPRAVLJANJE MEDIJIMA - UVODNE NAPOMENE

Kontrola A.10.7 standarda nastoji da spreči oštećenje iliobelodanjivanje imovine organizacije i svaki posledični prekid njenihposlovnih aktivnosti.

Kontrola A.10.7 standarda nastoji da spreči oštećenje ili obelodanjivanje imovineorganizacije i svaki posledični prekid njenih poslovnih aktivnosti. Sadrži četiri pod-klauzule, koje se odnose na prenosive računarske medije, njihovo uklanjanje, postupkerukovanja informacijama i sigurnost dokumentacije sistema.

Poglavlje 6 Upravljanje mrežnom bezb. i rukovanje medijima

23

UPRAVLJANJE PRENOSNIM RAČUNARSKIM MEDIJIMA

Kontrola A.10.7.1 zahteva od organizacije da kontroliše prenosiveračunarske medije, poput traka, diskova, kaseta i štampanih izveštaja,kako bi sprečila oštećenje, krađu ili neovlaš.pristup

Kontrola A.10.7.1 standarda zahteva od organizacije da kontroliše prenosive računarskemedije, poput traka, diskova, kaseta i štampanih izveštaja, kako bi sprečila oštećenje, krađuili neovlašćeni pristup. ISO27002 preporučuje da dokumentovane procedure budu uključeneu ISMS na sledeći način:

• Trebalo bi zahtevati da prethodni sadržaj bilo kog višekratnog medija koji treba uklonitiiz organizacije treba da bude izbrisan. Brisanje mora delovati na celokupnom mediju, ane samo na onome što se čini kao postojeći sadržaj, jer u suprotnom postoji opasnost dainformacije mogu procuriti u spoljni svet.

• Trebalo bi tražiti odobrenje za sve medije koji se uklanjaju iz zgrade i zadržati tragrevizije. Neki mediji, poput rezervnih traka, uklanjaju se svakodnevno, a odobrenje zatakva standardna uklanjanja trebalo bi dokumentovati u ISMS-u. Ostali mediji, poput USBstickova, lakše se prenose i moraće se utvrditi ukupna politika organizacije u vezi s njima.

• Svi mediji treba da budu bezbedno i sigurno uskladišteni u skladu sa preporukamaproizvođača. Treba instalirati medijske sefove koji imaju odgovarajuću vatrootpornost, uskladu sa smernicama. Treba razmotriti bibliotečke procedure kako bi se osiguralo da semediji pravilno prate i kontrolišu.

• Informacije koje će verovatno biti potrebne u nekom trenutku nakon životnog vekamedija (proverite izjavu proizvođača o dugotrajnosti medija) moraće da imajuodgovarajuće mere kako bi se osigurala njihova buduća dostupnost - uključujućialternativno skladištenje, kako bi se izbegao uticaj propadanja medija.

ODLAGANJE MEDIJA

Kontrola A.10.7.2 standarda zahteva od organizacije da bezbedno isigurno odlaže medije kada više nisu potrebni

Kontrola A.10.7.2 standarda zahteva od organizacije da bezbedno i sigurno odlaže medijekada više nisu potrebni. Nepažljivo odlaganje medija (što uključuje bacanje disketau kante za otpatke ili gubljenje USB stickova) moglo bi omogućiti da poverljiveinformacije procure do spoljnih osoba. U ISMS-u trebaju postojati dokumentovaneprocedure koje osiguravaju sigurno odlaganje.

Stavke koje bi trebalo uzeti u obzir za sigurno odlaganje u skladu sa takvom proceduromsu papirni dokumenti, glasovni ili drugi snimci, karbonski papir, izlazni izveštaji, jednokratnetrake štampača, magnetne trake, prenosivi diskovi, USB stickovi ili CD ROM-ovi, optičkimedijumi za skladištenje, spiskovi programa, podaci o testovima i sistemska dokumentacija.Mediji poput ovih, koji sadrže osetljive informacije, treba bezbedno odlagati. Nekeorganizacije će možda želeti da odvoje medije koji nose osetljive informacije od onih koji ihnemaju, pa će morati da izvrše procenu rizika i praktičnosti da bi odlučile kako da postupe


24

s njima. Druge organizacije će jednostavno postupati sa svim medijima za jednokratnuupotrebu na isti način, kako bi se izbegao rizik od osetljivih podataka zaobilazeći bezbednoodlaganje. To znači usitnjavanje ili spaljivanje ili, za magnetne medije, prepisivanje.

POSTUPCI RUKOVANJA INFORMACIJAMA

Kontrola A.10.7.3 standarda zahteva od organizacije da uspostavipostupke rukovanja informacijama i skladištenja koji će zaštititi njeneinformacije od neovlašćenog otkrivanja ili zlo

Kontrola A.10.7.3 standarda zahteva od organizacije da uspostavi postupkerukovanja informacijama i skladištenja koji će zaštititi njene informacije odneovlašćenog otkrivanja ili zloupotrebe. Ovi postupci bi trebalo da se primenjuju na sveinformacije: dokumente, računarske sisteme, mreže, mobilne računare i PDA uređaje, puževupoštu, e-poštu i govornu poštu, sve ostale oblike komunikacije, multimediju, faksove, čekoveitd. Kontrola zahteva da organizacija uradi nekoliko stvari s kojima se već pozabavio u drugimnaslovima i jedna ili dve nove. Kao polaznu tačku, informacije treba označavati i njima serukovati u skladu sa njihovom klasifikacijom, bez obzira na medije koji ih sadrže. Pored toga,ISO27002 preporučuje da postupak treba da obuhvati:

• Mediji u tranzitu.• Ograničenja pristupa radi identifikovanja neovlašćenog osoblja.• Neformalni zapis koji identifikuje ovlašćene primaoce podataka, što se poklapa sa

klasifikacijom podataka.• U operacijama obrade podataka, osiguravajući da su ulazni podaci kompletni, pravilno

obrađeni, izvršena validacija izlaza i spool podaci zaštićeni do nivoa koji je u skladu sanjihovom osetljivošću.

• Osiguravanje da se mediji čuvaju u skladu sa preporukama proizvođača, koje su običnozdrav razum.

• Smanjenje distribucije podataka na minimum, u skladu sa njihovom klasifikacijom, i jasnoobeležavanje svih kopija medija za pažnju ovlašćenog primaoca.

• Redovni pregled spiskova distribucije i autorizacija kako bi se osiguralo da oni i daljesadrže odgovarajuće ljude. Ovo je posebno važno kod automatizovanih lista cirkulacijei imenika e-pošte, koji lako mogu preživeti odlazak jednog ili više članova. Direktorskedirektorijume e-pošte treba redovno revidirati (mesečno za organizacije bilo kojeveličine) kako bi se osiguralo da je uklonjeno celo osoblje koje je napustilo kompaniju ida su i dalje prisutna jedina imena koja se pojavljuju u direktorijumu.

BEZBEDNOST SISTEMSKE DOKUMENTACIJE

Kontrola A.10.7.4 standarda zahteva da sistemska dokumentacija budezaštićena od neovlašćenog pristupa

Kontrola A.10.7.4 standarda zahteva da sistemska dokumentacija bude zaštićenaod neovlašćenog pristupa. To se ne odnosi na priručnike i sličnu dokumentaciju koja bi bilastandardno dostupna za svaku instancu softvera. Odnosi se na dokumentaciju po meri koja bi


25

sadržala opise aplikacija, procesa, procedura, struktura podataka i procesa autorizacije. Takvadokumentacija treba da se sigurno čuva, sa spiskom ograničenog pristupa koji je odobriovlasnik aplikacije; a tamo gde se drži na javnoj mreži ili je opskrbljuje javna mreža, možda ćebiti potrebna druga zaštita (poput kontrole pristupa ili šifriranja).


26

Poglavlje 7

Zaključak

ZAKLJUČAKRezime

Kontrola A.10.4 standarda zahteva od organizacije da zaštiti integritet softvera i informacijaprimenom kontrola otkrivanja i prevencije protiv zlonamernog softvera i mobilnog koda i daobezbedi da su primenjene odgovarajuće procedure za podizanje svesti korisnika. Važnostove kontrole istaknuto je otkrićem, još u FBI / CSI 2002 istraživanju, da je 85 postoorganizacija otkrilo pretnje računarskim virusima. Mnoge organizacije misle da zato štoimaju neki oblik antivirusnog softvera imaju sistem za zaštitu podataka. Ova knjiga i samISO27001 jasno pokazuju da su antivirusne kontrole samo jedan deo efikasnog sistemazaštite podataka; oni su, međutim, izuzetno važan deo.Svaka organizacija koja sledi ISO27001 verovatno će biti prilično složena, sa jednom ili višeračunarskih mreža, obično na više geografskih lokacija. Efikasno upravljanje mrežom je odsuštinske važnosti za stabilnost njenog poslovanja, i stoga je ovo ključno područje za kontrolu.

LITERATURAReference

1. Calder, Alan, and Steve Watkins. IT governance: A manager's guide to data securityand ISO 27001/ISO 27002. Kogan Page Ltd., 2008.2. Disterer, Georg. "ISO/IEC 27000, 27001 and 27002 for information securitymanagement." (2013).3. Fenz, Stefan, Stefanie Plieschnegger, and Heidi Hobel. "Mapping informationsecurity standard ISO 27002 to an ontological structure." Information & ComputerSecurity (2016).4. http://bcc.portal.gov.bd/sites/default/files/files/bcc.portal.gov.bd/page/adeaf3e5_cc55_4222_8767_f26bcaec3f70/ISO_IEC_27002.pdf5. https://www.isms.online/iso-27001/annex-a-10-cryptography/

27


Razmena informacijaLekcija 12

www.princexml.com




RAZMENA INFORMACIJA

Razmena informacijaPoglavlje 1: Politike i postupci razmene informacijaPoglavlje 2: Poslovni informacioni sistemiPoglavlje 3: E-commerce servisiPoglavlje 4: Bezbednost serveraPoglavlje 5: Onlajn transakcijePoglavlje 6: E-mail i korišćenje internetaZaključak




Uvod

UVODUvod

Kontrola A.10.8 standarda postoji da bi se sprečio gubitak, modifikacija ili zloupotrebainformacija koje se razmenjuju unutar ili između organizacija. Takva razmena informacijatakođe treba da bude u skladu sa svim relevantnim zakonodavstvom. Postoji pet podklauzula,od kojih jedna (10.8.4: elektronske poruke) ima više aspekata i o njoj će biti reči kasnije u ovojlekciji.

3

Poglavlje 1

Politike i postupci razmeneinformacija

POSTUPCI RAZMENE INFORMACIJA I POLITIKEKontrola A.10.8.1 standarda zahteva od organizacije da uspostaviprocedure i kontrole koje štite razmenu informacija upotrebom bilokojih komunikacionih uređaja, uključujući e-poštu itd.

Kontrola A.10.8.1 standarda zahteva od organizacije da uspostavi procedure ikontrole koje štite razmenu informacija upotrebom bilo kojih komunikacionihuređaja, uključujući pismo, e-poštu, glas, faks i video komunikaciju. Rizici povezanisa ovim metodama komunikacije razmatrani su ranije u ovoj knjizi i ovde su sumirani. E-adrese mogu zalutati i takođe su široko korišćeni medij za uznemiravanje, curenje informacijaitd. Čuje se tokom razgovora putem mobilnog telefona na javnom mestu, kao što je voz.Telefonske sekretarice može da čuje neko ko je fizički prisutan u sobi dok pozivalac ostavljaporuku. Neovlašćeni pristup sistemima govorne pošte putem dial-a predstavlja očiglednuopasnost, kao i neovlašćeni dial-in za telekonferencije. Faksimili se mogu slučajno poslati napogrešno odredište i pogrešnu osobu.

Dakle, bilo koji od ovih događaja može ugroziti informacionu sigurnost. Takođe bi mogaobiti ugrožen krađom ili nestankom kritičnih mobilnih telefona ili neuspehom komunikacionihobjekata (bilo preopterećenjem, prekidom ili mehaničkim kvarovom ili čak neuspehom dase blagovremeno identifikuju i plate fakture odgovarajućeg dobavljača usluga). Informacijetakođe mogu biti ugrožene ako im mogu pristupiti neovlašćeni korisnici. Mobilni telefon kojisadrži listu unapred programiranih brojeva telefona za kontakt može u pogrešnim rukamaotkriti osetljive informacije.

Zbog toga bi trebalo da postoji jasna, formalna politika, postupci i kontrole u ISMS-u kakobi se razmena informacija zaštitila svim mogućim rutama i iznela zaposlenima šta se odnjih očekuje kada koriste bilo koji od ovih načina komunikacije. Ovi zahtevi bi trebalo dabudu deo obuke za celo osoblje o kojoj je bilo reči u prethodnoj lekciji 10. Korisnici mobilnihtelefona trebalo bi da dobiju mini ponovni prikaz trenutne verzije postupka kada im se izdajukorporativni mobilni telefoni.

KONTROLEDelokrug kontrola

Kontrole treba da pokrivaju sledeće:

4

• Treba da postoje postupci dizajnirani da zaštite razmenjene informacije od presretanja,kopiranja, modifikovanja, pogrešnog rutiranja i uništavanja. Podložno proceni rizika, oneće verovatno uključivati tehnološke kontrole kao što su digitalni vodeni žig ili šifrovanje idruge kriptografske tehnike za zaštitu poverljivosti, integriteta i autentičnosti itd. Politikaorganizacije treba da poveže metod zaštite sa nivoom klasifikacije i trebalo bi da uzme uobzir sve važeće zakonske zahteve.

• Već smo razgovarali (u prethodnoj lekciji) o potrebi za postupcima za zaštitu od malvera,a organizaciona politika o razmeni informacija treba da se odnosi na politiku i kontroleprotiv malvera, baš kao što se treba pozivati na politike prihvatljive upotrebe i formalnesmernice za zadržavanje i raspolaganje informacijama. Osetljivi dokumenti ne bi trebaloda se štampaju ili ostavljaju na široko dostupnim štampačima ili faks mašinama;uobičajeni način za rešavanje ovog problema je postojanje malog broja ličnih (ili nadrugi način nadziranih) namenskih faks mašina i štampača na kojima se mogu štampatiosetljive informacije.

• Opasnosti bežičnih komunikacija treba da budu jasno identifikovane, a politike i kontroleprimenjene u tom pogledu moraju se jasno navesti u izjavi o primenljivosti (SoA).

• Politike prihvatljive upotrebe i bilo koji sporazumi spoljnih strana za korišćenje objekataorganizacije treba jasno da odrede odgovornosti da se ne ugrozi organizacijauznemiravanjem, nepristojnim porukama, klevetom, lažnim predstavljanjem,prosleđivanjem lanca e-pošte, neovlašćenim kupovinama itd.

• Podsetite osoblje da ne smeju da otkrivaju poverljive informacije (za pitanja klasifikacijepogledajte poglavlje 8) kada koriste mobilne ili fiksne telefone osim sa sigurnih lokacija.Javna mesta, otvorene kancelarije, kancelarije sa tankim zidovima, prostorije takmičara iprenatrpani vozovi su mesta od ili do kojih se poverljive informacije ne smeju prenositi.Najbolji način da to uradite je izbegavanje takvih vrsta razgovora osim sa sigurnelokacije. U stvari, ista pravila važe i za poverljive diskusije: zaista bi se trebalo odvijatisamo u sigurnim sobama koje imaju zvučno izolovane zidove. U zavisnosti od procenerizika, postoji mnogo razgovora koji ne bi trebalo da se vode dok određeno mesto zadiskusiju ne bude uklonjeno za prisluškivanje i druge špijunske uređaje.

KONTROLE - NASTAVAKNastavak kontrola

• Izbegavajte upotrebu komunikacione opreme koja može biti ugrožena; telefonski sistemiu prostorijama takmičara mogu da se prisluškuju ili da se na drugi način snimajurazgovori. Mnogi telefonski pozivi ka i iz investicionih banaka i drugih institucijaautomatski se beleže („u svrhu obuke“). Analogni mobilni telefoni mogu se skenirati ipresresti poruke.

• Poruke koje sadrže osetljive informacije ne bi trebalo ostavljati na automatskimsekretaricama ili sistemima govorne pošte gde bi ih neovlašćene osobe mogle preslušatiili reprodukovati ili poruke preusmeriti neprimerenoj osobi ili sačuvati u nekoj komunalnojbazi podataka. Čak je moguće da pozivalac pogrešno nazove i ostavi kompromitujućuporuku na nepoznatom sistemu govorne pošte.

• E-mail poruke se lako pogrešno preusmeravaju. Dva najčešća problema su, prvo,nehotično isticanje i odabir netačnog primaoca sa predmemoriranih lista u Outlook-ovimpoljima „Do“ i, drugo, nehotičan odgovor „svima“, a ne samo originalnom pošiljaocu sa

Poglavlje 1 Politike i postupci razmene informacija

5

informacijama koje su namenjene samo taj pojedinac. Oni koji su u stanju da izvrše ovegreške sa osetljivim informacijama, trebalo bi da budu obučeni za pregled adresa e-pošteu poljima „Za“ i „Kopiraj u“ pre nego što pritisnu „Pošalji“.

1.1 Ugovor o razmeni

UGOVORI O RAZMENI

Klasifikacija osetljivosti podataka

Kontrola A.10.8.2 standarda zahteva od organizacije da ima (prvenstveno) formalnesporazume o elektronskoj ili ručnoj razmeni informacija (uključujući lične podatke) i softveraizmeđu organizacija. To može uključivati depozitne ugovore, koji su posebno važni tamo gdese jedna organizacija oslanja na softver koji je razvila druga, a postoji čak i najmanja šansada programer u određenom trenutku može prestati poslovati.Klasifikacija osetljivosti podataka koji se razmenjuju treba da uređujebezbednosne uslove koji će biti obuhvaćeni sporazumom. Tamo gde je potrebno(odnosno tamo gde postoji nesigurnost u pogledu odgovarajućeg nivoa zaštite), treba izvršitiprocenu rizika. Pitanja koja treba rešavati u međuorganizacionim sporazumima o razmeniinformacija zavise od osetljivosti informacija. Ugovori o razmeni informacija treba da upućujuna bilo koju relevantnu politiku i postupak koji organizacija primenjuje na razmenu informacijai mogli bi, prema klauzuli 10.8.2 ISO27001, da uključuju:

• identifikacija ko je odgovoran za kontrolu i obaveštavanje o prenosu, otpremi i prijemu sabilo koje strane sporazuma;

• postupci obaveštavanja kako bi se osiguralo da druga strana zna to osetljivo• informacije su otpremljene ili primljene i povezane (prvenstveno tehničke) kontrole kako

bi se osigurala sljedivost i neporecivanje;• minimalni tehnički standardi za pakovanje i prenos;• postupci identifikacije kurirske službe;• odgovornosti i odgovornosti ako se podaci izgube ili postoje incidenti informacione

sigurnosti;• dogovoreni sistem označavanja, kako bi se osiguralo da je odgovarajuća potrebna zaštita

odmah očigledna i pružena; preferirani sistem treba (praktično) da bude isti kao onajkoji organizacija koja prima interno koristi, jer će to osigurati postojanje doslednostirazumevanja;

• po potrebi odgovornosti za vlasništvo nad informacijama i softverom, kao i za zaštitupodataka, autorska prava i vlasništvo nad softverom i slična pitanja;

• tamo gde je relevantno, tehnički standardi za snimanje i čitanje informacija i softvera;• bilo koje posebne kontrole (poput kriptografskih) koje su možda potrebne za posebno

osetljive informacije.

Od lica odgovornih u organizaciji za održavanje, otpremu i prijem takvih informacija i softveratreba tražiti da naprave procedure; možda će biti potrebno nakon toga osigurati da postupci


6

budu što praktičniji. Možda postoje i druge kontrole koje bi takođe trebalo da budu uključeneu takve sporazume.

1.2 Fizički medijumi u tranzitu

FIZIČKI MEDIJUMI (MEDIJI) U TRANZITU

Kontrola A.10.8.3 standarda zahteva od organizacije da zaštiti odneovlašćenog pristupa, zloupotrebe ili oštećenja bilo koji medij koji seprevozi van fizičkih granica organizacije

Kontrola A.10.8.3 standarda zahteva od organizacije da zaštiti od neovlašćenog pristupa,zloupotrebe ili oštećenja bilo koji medij koji se prevozi van fizičkih granica organizacije. Kakosu CD ROM-ovi i rezervne trake među medijima koji se najčešće redovno prevoze,a kako bi opstanak organizacije mogao zavisiti od njihove zaštite, posebno jevredno dobiti ovo pravo za ove medije. Poštanske i povremene kurirske službe nisunužno sigurne usluge prevoza. Postoji čitav niz kontrola, čije su koristi očigledne, a kojepreporučuje ISO27002 u odnosu na bezbednosne zahteve za medije u tranzitu:

• Treba razmotriti šifrovanje, posebno tamo gde mediji sadrže lične ili osetljive informacije.• Treba uspostaviti spisak ovlašćenih, pouzdanih i pouzdanih kurira i ugovoriti po obrascu

opisanom u jednoj od prethodnih lekcija. Ugovor treba da sadrži neku metodu kojomse organizacija može zadovoljiti u pogledu postupaka provere prošlosti koje kurirskakompanija primenjuje na svo svoje osoblje, posebno na privremeno i nepuno radnovreme. Treba da postoji dogovorena metoda identifikovanja kurira po dolasku udispečersku organizaciju i dobijanje potpisa za medije.

• Pakovanje hardvera treba da bude u skladu sa specifikacijama proizvođača i da usvakom slučaju bude dovoljno da zaštiti sadržaj od bilo kakvih mogućih fizičkih oštećenja,uključujući faktore okoline kao što su toplota, vlaga ili elektromagnetizam.

• Tamo gde je potrebno, treba usvojiti odgovarajuće fizičke kontrole radi zaštite posebnoosetljivih informacija. To može uključivati ručnu dostavu, upotrebu posebnih zaključanihkontejnera (sa ključevima koji se šalju alternativnim putevima), pakovanje saevidencijom neovlašćenog korišćenja, podeljene isporuke (tako da niti jedna isporukaneće dati celu priču) i upotrebu naprednih kriptografskih kontrola.


7

Poglavlje 2

Poslovni informacioni sistemi

POSLOVNI INFORMACIONI SISTEMI ( BUSINESSINFORMATION SYSTEMS )Kontrola A.10.8.5 standarda zahteva od organizacije da pripremi iprimeni politike i smernice za kontrolu poslovnih i bezbednosnih rizikapovezanih sa međusobnim povezivanjem posl.inf.sist.

Kontrola A.10.8.5 standarda zahteva od organizacije da pripremi i primeni politike i smernice(i samim tim dokumentovane procedure u okviru ISMS-a) za kontrolu poslovnih ibezbednosnih rizika povezanih sa međusobnim povezivanjem poslovnih informacionihsistema. Moderna distribuirana mreža dramatično poboljšava komunikaciju izmeđuzaposlenih u organizaciji i pruža česte mogućnosti za elektronsko deljenje informacija koje suprethodno zahtevale komunikaciju licem u lice.

Komunikacija licem u lice je po sebi sigurnija od korišćenja elektronskih poslovnihinformacionih sistema. Opseg odgovarajućih kontrola za elektronsku razmenu informacijakoje treba razmotriti pokriva brojne načine na koje se informacije mogu izgubiti, prisvojitiili nepravilno koristiti. Spektar metoda komunikacije koje bi trebalo uzeti u obzir uključujupapirne dokumente, stone računare, mobilno računanje, internet komunikaciju (Internet RelayChat (IRC), trenutne poruke, veb prezentacije (kao što je Vebek), sobe za ćaskanje i internetforume, peer-to vršnjačko umrežavanje i veb lokacije za društvene mreže), mobilnekomunikacije (telefoni i pejdžeri), PDA uređaji, pošta, govorna pošta, multimedija, poštanskeusluge / objekti, faks mašine, štampači i fotokopir aparati. Mnogi od ovih rizika povećavaju seako organizacija ima kancelariju otvorenog plana.

Procene rizika identifikovaće ranjivosti u kancelarijskim sistemima organizacije, posebnotamo gde se informacije dele između dva (ili više) dela organizacije. To uključuje snimanjetelefonskih poziva, konferencijskih poziva, poverljivost poziva, prijem i čuvanje faksa,otvaranje i distribuciju pošte, fotokopiranje, štampanje itd. Svi ovi sistemi pružajujednostavne mogućnosti da informacije zalutaju, bilo slučajno ili namerno. Nehotičnopogođena komanda za štampanje može dovesti do toga da se poverljivi dokument odštampana nesigurnom štampaču, a da njegov vlasnik toga ne zna; kopija poverljivog dokumentamože se greškom ostaviti u fotokopirnom aparatu; poverljivi faks se mogao primiti nanesigurnoj faks mašini; poverljivu govornu poštu mogao bi da sluša neko ko nije ovlašćenda prima informacije; Prisutni na konferenciji mogu da prikažu Vebek prezentacije; zajedničkisistemi dnevnika mogli bi razotkriti poverljivo kretanje starijeg osoblja angažovanog nasticanju ili otuđivanju itd. Takve rizike treba uzeti u obzir.

8

SUOČAVANJE SA POTENCIJALNIM RIZICIMAJedan od načina suočavanja sa potencijalnim rizicima je, naravno,dramatično poboljšanje u meri u kojoj se zaposleni u organizacijipreuzimaju na poverenje uprave

Jedan od načina suočavanja sa potencijalnim rizicima je, naravno, dramatično poboljšanje umeri u kojoj se zaposleni u organizaciji preuzimaju na poverenje uprave. Ovaj pristup, koji jenaznačen u dokumentu L04 u kontekstu klasifikacije podataka, oslanja se na menadžmentkoji uspostavlja kulturu poverenja unutar organizacije usled čega se svaki član osoblja veomazalaže za održavanje poverljivosti, integriteta i dostupnosti svojih informacija. Novizaposlenici i potencijalni nezavisni ugovarači podvrgnuti su rigoroznoj proveri bezbednosti, aorganizacija koncentriše značajne resurse na održavanje svog sigurnog perimetra i mrežnusigurnost. Takav pristup može dobro funkcionisati u manjoj kompaniji gde je menadžment uvrlo ličnom i neposrednom odnosu sa većinom zaposlenih, ali je teže primeniti u većem posluili preduzeću na više lokacija.

Ključna poruka, u današnjem poslovnom okruženju, je da je manje verovatno da će zaposlenikoji veruju da znaju šta se dešava i koji su uključeni u održavanje bezbednosti podatakaorganizacije pretpostaviti unutrašnju bezbednost nego osoblje koje nije povezano,nezadovoljni i neopredeljeni, a to se može uzeti u obzir u proceni rizika.

DODATNE ISO KONTROLEDodatne ISO 27002 kontrole

Dodatne kontrole koje ISO27002 preporučuje treba razmotriti su sledeće:

• Treba da postoji jasno navedena i sprovedena politika razmene informacija koja odražavapolitiku klasifikacije informacija i koja se posebno bavi onim informacijama koje seobjavljuju na oglasnim tablama, elektronskim informativnim biltenima i korporativnimintranetima ili u e-pošti objavljenoj na jedan ili više opštije liste tiraža.

• Tamo gde sistem pruža neadekvatnu zaštitu od spoljnog ometanja ili pristupainformacijama čiji nivo klasifikacije zahteva takvu zaštitu, tada ne bi trebalo da budedostupan na unutrašnjim oglasnim tablama, čak iako bi njegova klasifikacija to mogla dadozvoli.

• Internet komunikacije su same po sebi rizične. Njihova efikasnost kao sredstvokomunikacije je takođe njihova ranjivost, a trebalo bi izvršiti procenu rizika i odabrati iprimeniti odgovarajuće kontrole pre nego što osoblju bude dozvoljeno da koristi bilo kojuod ovih tehnologija.

• Podaci dnevnika koji u programu Microsoft Outlook mogu biti dostupni bilo kom drugomkorisniku sistema trebaju biti ograničeni za one koji rade na osetljivim projektima. To jezato što će neko ko želi da pristupi dokumentima ili evidencijama takvog projekta radijeplanirati pokušaj da to učini kada vlasnik nije na licu mesta ili je na drugi način zauzet.

• Poslovni informacioni sistemi uključuju aplikacije za tok posla, kao što su sistemi zakupovinu, sistemi za ulazak robe, sistemi za ugovaranje prodaje i fakturisanje, sistemi

Poglavlje 2 Poslovni informacioni sistemi

9

za planiranje i raspoređivanje resursa, sistemi za zarade (uključujući povećanje plata idruge promene u platnom spisku) itd. Bilo koji od ovih sistema je potencijalno Cilj je nekoko želi da izvrši prevaru ili se na drugi način umeša u rad organizacije. Stoga je važnoda se razviju prikladnost i sigurnost postojećeg sistema pre nego što se takve aplikacijepokrenu. Ako su ovi sistemi već uspostavljeni, potrebno je izvršiti procenu ranjivostii primeniti odgovarajuće kontrole. Oni bi mogli da uključuju nadogradnje hardvera isvakako bi trebali pregledati korake toka posla, pristup sistemu i nivoe autorizacije iautentifikaciju korisnika.

• ISMS treba da identifikuje kategorije osoblja, izvođača i partnera kojima je dozvoljenpristup sistemu i lokacije sa kojih mu se može pristupiti.

DODATNE ISO KONTROLE - NASTAVAKNastavak ISO kontrola

• Verovatno će biti potrebno ograničiti određene ustanove na određene članove ilikategorije osoblja. Na primer, platnom spisku bi trebalo da pristupa samo osoblje platnogspiska i osoblje i rukovodstvo na određenim računima. Računovodstvenim evidencijamatrebalo bi da pristupi samo osoblje koje izveštava glavnog finansijskog službenika, aodređene funkcije bi verovatno trebalo da budu ograničene samo na finansijskogdirektora. Administracija softvera za automatizaciju Salesforce-a i upravljanje odnosimasa kupcima treba da bude ograničena na administratora prodaje; prodavci mogu samoželeti da izvrše promene u sistemu koje neće u potpunosti odgovarati organizaciji.

• Direktorijumi e-pošte i korisničkog pristupa treba da prave razliku između korisničkihimena zaposlenih i nezavisnih korisnika i korisničkih grupa koje sadrže spoljne članove;takođe treba da prave razliku između internih i eksternih adresa e-pošte. Takvarazlikovanja omogućavaju korisnicima da preduzmu odgovarajuće korake zaograničavanje cirkulacije informacija.

• O sigurnosnoj kopiji i zadržavanju informacija govori se u L11.• Rezervni zahtevi se razmatraju u L14.

Poglavlje 2 Poslovni informacioni sistemi

10

Poglavlje 3

E-commerce servisi

E-COMMERCE SERVISI - DEO1Elektronska trgovina može uključivati elektronsku razmenu podataka(EDI), kao i e-poštu i, sve više, trgovinu zasnovanu na Internetu imrežne transakcije.

Elektronska trgovina može uključivati elektronsku razmenu podataka (EDI), kao i e-poštu i,sve više, trgovinu zasnovanu na Internetu i mrežne transakcije. Postoji niz pitanja koja trebarešiti uvođenjem kontrola; veb transakcije se odvijaju u okruženju koje se brzo menja, u kojempočinju da se pojavljuju neki temeljni principi bezbednosti. Postoje i specifična pitanja kojapreduzeća moraju razmotriti prilikom upotrebe ekstraneta u trgovini sa partnerima u lancusnabdevanja.

Svet e-trgovine se brzo menja. Ovo ima trenutne i neprestano se menja implikacije nainformacionu sigurnost. Organizacije se menjaju, postaju otvorenije; postaju i složeniji. Kakokompanije stiču druge ili razvijaju poslovna partnerstva, tako žele da dele informacije naprostorima koji više nisu striktno ograničeni na organizacioni domen. Težnja ka otvorenijimposlovnim modelima vodi ka većoj međusobnoj povezanosti i većoj razmeni informacija.Tehnologija doprinosi ovim promenama, jer se razvijaju sve snažnije aplikacije za potiskivanjeinformacija širom sveta i prevazilaženje svih prepreka na njegovom putu. Sadržaj više nijeograničen na tekst; sada uključuje dokumente i aktivni sadržaj (kod za mobilne uređaje, poputJava ili ActiveX) koji se preuzimaju i pokreću na radnim površinama korisnika; uključuje glas,zvuk, animaciju, striming videa, trenutne poruke, prenose datoteka i čitav niz multimedijalnihaplikacija. Sve ove promene pomažu razvoju e-trgovine, tako da organizacije i korisnici unjima žele da odgovore i iskoriste sve nove mogućnosti; oni takođe stvaraju potpuno novu ibrzu seriju rizika i ranjivosti i vrlo porozan organizacioni sigurnosni opseg.

Tehnološke promene su u srcu ovih pretnji koje se menjaju. Aplikacije se sve više pišukako bi pretpostavile da će se informacije deliti između mreža, bez obzira na organizacionegranice ili zaštitni zid između njih. Mnogi dobavljači sada zapravo grade svoje aplikacije zaprevazilaženje ili zaobilaženje kontrola zaštitnog zida, na koje se često gleda kao na preprekee-trgovini, na prepreke koje se moraju prevazići u potrazi za otvorenim, umreženim radom.Jedna stalna promena je ta da sve veći broj programera internetskih aplikacija omogućava dase nove aplikacije pokreću preko porta zaštitnog zida koji je uglavnom otvoren (port 80, koji jetradicionalno omogućen na 99,9 procenata zaštitnih zidova za pokretanje HTTP-a). To znači daraznolikost vrsta medija pokušava da se kreće kroz port 80, što otežava zaštitnim zidovima dafiltriraju malver ili da kontrolišu pristup određenim kanalima podataka. Naravno, kako se noveaplikacije razvijaju i zaštitni zidovi zaostaju u svojoj sposobnosti da efikasno rukuju novom

11

aplikacijom, tako će organizacije ionako riskirati otvaranjem svojih zaštitnih zidova - posebnotamo gde se aplikacija smatra kritičnom za poslovanje.

E-COMMERCE SERVISI - DEO2Rizik od hakera neprestano raste

Rizik od hakera neprestano raste. Detaljna rasprava o svetu hakera data je u L13 u kontekstukontrole pristupa, a ovo je takođe veoma važno za razmatranje e-trgovine. Organiziranikriminal, kao što je opisano u poglavlju 1, okreće se internetu i e-trgovini kao unosnomposlovnom području, a rast „phishing“ i „pharming“ napada i sve sofisticiranije neželjenepošte su dva najvidljivija i najviša -profilirajte pokazatelje u kojoj meri je e-trgovina takođeopasno područje za potrošače i preduzeća. Jednako su važni rizici koji proizlaze iz industrijskešpijunaže i vrednost koju informacije o transakcijama mogu imati za konkurenta, čak i ako susamo nehotično otkrivene.

Neporečivost je glavno pitanje internet trgovine. Kako se komercijalne transakcije odvijajuputem Interneta, iste vrste sporova koje nastaju u analognom svetu nastaju i u digitalnom.Sporovi mogu uključivati specifičnosti dogovora i učinka, a postoje digitalni ekvivalentipoštanskih maraka, evidentiranih računa o isporuci i overenih dokumenata koji postoje uanalognom svetu. Postoje tri ključne komponente za pitanje neporečivosti:

• Neporečivost porekla. Moraju postojati dokazi za primaoca da je pošiljalac stvaran, a nevaralica. Prodavač bi, na primer, želeo da bude siguran da je porudžbina bila od stvarnogkupca.

• Neporečivost podnošenja ( eng. Submission ). Moraju postojati dokazi (poput poštanskogžiga) da je stvar stvarno poslata u određeno vreme.

• Neporečivost računa. Mora biti moguće dokazati da je primalac zaista primio ono što jeposlato. Manja pitanja uključuju proveru vremena i mesta prenosa.

E-COMMERCE SERVISI - DEO3Nastavak e-commerce servisa

U tom kontekstu treba razmotriti probleme identifikovane u tački 10.9.1 ISO27002. Ciljkontrole standarda, u A.10.9.1, je da elektronske informacije koje prelaze javnim mrežamatreba da budu zaštićene od prevara, spora oko ugovora i neovlašćenog otkrivanja imodifikovanja. U sprovođenju ovoga, postoji niz međusobno povezanih pitanja, od kojih bimnoga trebalo rešiti u formalnim sporazumima između strana:

• Autentifikacija, kako bi se osiguralo da postoji određeno poverenje da su kupci ili trgovcioni koji kažu da jesu.

• Ovlašćenje ( autorizacija ), kako bi se osiguralo da trgovinski partneri znaju da je nekoovlašćen za to utvrdio utvrđene cene ili ugovorene ugovore i da trgovinski partneri znajukoji su međusobni postupci autorizacije.

• Suočavanje sa internetskim ugovorima i tenderskim postupcima, bez odricanja, sapoverljivošću, integritetom, dokazom o otpremi i primanju dokumenata.

Poglavlje 3 E-commerce servisi

12

• Koliko su poverljivi aranžmani za popuste i koliko su pouzdane oglašavane cene?• Kako se štiti poverljivost podataka o transakciji (uključujući detalje o plaćanju i isporuci)?• Koje provere podataka o plaćanju su neophodne?• Koji je najsigurniji način plaćanja i kako se rešavaju prevare sa kreditnim karticama?• Kako se izbegavaju duplirane transakcije ili gubitak transakcija?• Ko snosi rizik u bilo kakvim prevarama i kako se postupa sa osiguranjem?

Kao što se može videti, ova pitanja i kontrole koje bi oni trebalo da podstaknu su posebnodizajnirani za poslovanje između preduzeća (b2b); trgovinski partneri treba da ugrade svojeodgovore na ova pitanja u sporazum između njih. Trgovinski partneri koji posluju putemInternet razmene ili preko ekstraneta takođe moraju da reše ova pitanja. Mnoga, ali nesva gore navedena pitanja mogu se rešiti primenom efikasnih kriptografskih kontrola.Kriptografske kontrole, šifrovanje, digitalni potpisi, usluge nerepudiranja i upravljanjeključevima su predmeti kontrole A.12.3 standarda i opširno su razmatrani u lekciji 14.

Ove kontrole treba proširiti kako bi pokrile trgovinu od preduzeća do potrošača (b2c) za sveorganizacije koje prodaju putem Interneta, posebno u pogledu implikacija zakona o zaštitipodataka, „phishing“ napada i prevara sa kreditnim karticama. Kao što je razmatrano u L 15,koje se bavi usklađenošću, organizacija takođe treba da utvrdi koji se zakoni i čija nadležnostprimenjuju na transakciju.

3.1 Bezbednosne tehnologije na web-u

BEZBEDNOSNE TEHNOLOGIJE

Brzina promena, opseg pretnji i raznolikost dostupne tehnologije značeda je praktično nemoguće da stručnjak za informacionu bezbednost uorganizaciji bude adekvatno inf.o toj temi

Brzina promena, opseg pretnji i raznolikost dostupne tehnologije znače da je praktičnonemoguće da stručnjak za informacionu bezbednost u organizaciji, a kamoli poslovnimenadžer odgovoran za informacionu sigurnost, bude na adekvatan način informisan o tojtemi. Neophodno je da bilo koja organizacija koja primenjuje usluge zasnovane na Internetuzatraži stručne savete od bezbednosne organizacije koja je tehnološki agnostična i kojamože pružiti potpuno ažurne savete o odgovarajućim tehnološkim koracima. Pri procenisavetnika, treba razmotriti njegovu finansijsku i poslovnu održivost na isti način na koji bi semogla proceniti kreditna sposobnost potencijalnog klijenta. Ovo je izuzetno važno za svakogpotencijalnog dobavljača sigurnosne tehnologije; ne samo da treba imati određenu sigurnostda će kompanija preživeti da bi servisirala i razvijala svoju tehnologiju, već mora postojati iizvesnost da je sama tehnologija ili će zaista biti deo glavnog toka.

Radna grupa za internet inženjering (IETF) je otvorena, međunarodna zajednica praktičarakoja se bavi razvojem internet arhitekture i njenim nesmetanim radom. Ima niz radnih grupa,koje razmatraju i predlažu zvanične standarde i protokole za upotrebu na Internetu. Njegovomveb mestu se može pristupiti na vvv.ietf.org. Činjenica da su protokol usvojili IETF i brojne


13

podržavajuće organizacije ne znači, međutim, da ga svaka pojedinačna organizacija u tomprostoru mora - ili će zaista i koristiti -. Internet je i dalje divlji. U nastavku su ukratko opisanečetiri ključne sigurnosne tehnologije (SSL, IPSec, S / MIME i PKIX). Postoji čitav niz drugihtehnologija, sa različitim izvedenicama, ali ove četiri su i dalje tehnološka osnova većineInternet bezbednosnih sistema.

SSL

SSL je protokol rukovanja koji je razvio Netscape Communications kakobi pružio sigurnost i privatnost internet transakcijama.

SSL je protokol rukovanja koji je razvio Netscape Communications kako bi pružiosigurnost i privatnost internet transakcijama. Nezavisno je od primene; nakon štoSSL sesija započne, drugi protokoli (poput HTTP-a i FTP-a) mogu se transparentnoslojiti na nju. Postao je jedan od najpopularnijih sigurnosnih protokola na Internetu.Instalacija ID-a servera ili digitalnog sertifikata automatski će aktivirati SSL na serveru, ato omogućava toj veb lokaciji da bezbedno komunicira sa bilo kojim posetiocem koristećiMicrosoft Internet Ekplorer, Netscape Navigator ili bilo koji drugi ugledni pregledač. Klijentskii dobavljački serveri mogu automatski da se autentifikuju. Kada se ovo završi, SSL će šifriratisvu komunikaciju (podatke poput brojeva kreditnih kartica i drugih ličnih podataka) izmeđuveb servera i pregledača koji posećuje jedinstvenim ključem sesije. Ključ sesije se ne koristiponovo. SSL je dizajniran da obezbedi da čak i ako se informacije presretnu, neko ko nijeovlašćen da ih vidi ne može ih pregledati.

Međutim, Achilles je novija alatka, dostupna svima na Internetu, koja može da presretne httpi https podatke (delujući kao posrednik koji sedi između pregledača i servera) i potencijalnoomogući napadaču da izmeni te podatke pre nego što ih pošalje na . Na SSL se ne možepouzdano oslanjati; ove vrste „napada praćenja sesija veb aplikacija“ se neprestano razvijajui odbrana organizacije mora da se razvija jednako brzo. Kolačići, koji su najčešće korišćenimehanizmi praćenja sesija i koji se čuvaju u pregledaču, mogu se uređivati na takav načinda napadač može uzurpirati sesiju drugog korisnika, na primer, na veb lokaciji e-banke.Savetnik za informacionu bezbednost organizacije i specijalistički savetnici za tehnologijutreba da (pod pretpostavkom da procena rizika to identifikuje kao problem) preduzmu korakeda obezbede procenu bezbednosti mehanizama za praćenje sesija veb aplikacija i otklanjanjesvih slabosti pre nego što ih napadač iskoristi .

Podrazumevana podešavanja na Microsoftu i drugim renomiranim pregledačima treba daprikažu korisniku upozorenje da je veb lokacija kojoj će se dostaviti podaci nesigurna, da bikomunikaciju mogla da nadgleda treća strana i da lozinke, brojevi kreditnih kartica ili drugepoverljive informacije ne treba podnositi. Upozorenje se ne pojavljuje tamo gde postoji važećaSSL veza. Postoje i drugi znakovi da postoji SSL veza: prefiks URL-a će se promeniti iz http uhttps i na traci na dnu prozora pretraživača pojaviće se zatvoreni katanac.

INTERNET PROTOCOL SECURITY ( IPSEC )

Tamo gde SSL omogućava dva sistema da bezbedno komunicirajupreko nesigurne veze, IPSec stvara sigurnu vezu između dva sistema


14

Tamo gde SSL omogućava dva sistema da bezbedno komuniciraju preko nesigurneveze, IPSec stvara sigurnu vezu između dva sistema. IPSec definiše kolikointeroperabilne, sigurne veze domaćin-domaćin i klijent-domaćin (poznate kao virtuelneprivatne mreže, VPN-ovi) rade, stvarajući šifrovani tunel preko javne mreže koji pružaprivatnost jednako dobru kao i ona na privatnoj mreža. Detaljnije informacije o tehničkinastrojenim dostupne su na www.ietf.org/html.charters/ipseccharter.html.

S/MIME I PKIX

Višenamensko proširenje Internet pošte (MIME) je specifikacija kojapruža standardni metod za pridruživanje osnovnih datoteka e-poštedodatnim datotekama

Višenamensko proširenje Internet pošte (MIME) je specifikacija koja pruža standardni metodza pridruživanje osnovnih datoteka e-pošte dodatnim datotekama kao što su slike, audio idatoteke aplikacija. Sigurni MIME dodaje sigurnosne funkcije kao što su digitalni potpisi iusluge šifriranja osnovnoj MIME specifikaciji, štiteći tako privatnost e-pošte i njenih priloga.S / MIME obezbeđuje autentifikaciju, integritet poruka i neporecivanje porekla (korišćenjemdigitalnih potpisa), kao i privatnost i sigurnost podataka (korišćenjem šifriranja) za e-poštu, augrađen je u većinu savremenih sistema e-pošte.

PKIX

PKIX radna grupa IETF-a nastavlja rad na definisanju standardne, interoperabilneinfrastrukture javnih ključeva i na podsticanju korišćenja usluga bezbednosti javnih ključeva.Precizirao je mehanizme za šifrovanje i opisao strukture javnih i privatnih ključeva, sertifikatai digitalnih potpisa. Takođe se pozabavilo načinom na koji treba upravljati sertifikatima,obraćati se hostovima, pokretati autoritete za izdavanje sertifikata (CA) i tako dalje. Mnogoviše informacija dostupno je na veb lokaciji IETF (vvv.ietf.org/html.charters/pkix-charter.html).Pored toga, i koji je posebno važan za trgovinu putem e-trgovine, postoji protokol SET (SecureElectronic Transaction), koji su zajednički razvili Visa i MasterCard kao metod koji omogućavasigurne, isplative transakcije banaka i kreditnih kartica putem otvorenih mreža. SET uključujeprotokole za kupovinu robe i usluga elektronskim putem, za odobravanje plaćanja i zatraženje i dobijanje digitalnih sertifikata. SET se, međutim, ne koristi široko, jer zahteva ikupca i trgovca da se unapred registruju sa „platnim prolazom“. Visa i MasterCard su stogauveli novu bezbednosnu tehnologiju koju kupci lakše koriste za autentifikaciju, koja se naziva3-D Secure.


15

Poglavlje 4

Bezbednost servera

BEZBEDNOST SERVERA - DEO1Kontrola A.10.9 standarda takođe zahteva da se organizacija zaštiti odmodifikovanja informacija.

Kontrola A.10.9 standarda takođe zahteva da se organizacija zaštiti od modifikovanjainformacija. To ukazuje na potrebu da organizacije preduzmu određene korake da zaštitesvoje veb servere od napada. Postoji niz osnovnih sigurnosnih mera za koje ISMS trebada zahteva da se redovno sprovode, a koje treba dokumentovati. Oni su posebno važniza organizacije koje još uvek koriste Microsoft Internet Information Server (IIS) i MS Server2016. Microsoft Internet Explorer (IE) pretraživač takođe ima značajne ranjivosti i korisnici bitrebalo da se pobrinu da uvek koriste njegovu najnoviju verziju, sa najnoviji servisni paket ilialternativni, očigledno manje ranjivi pregledač. Bilo bi logično da postoji određena procenarizika pregledača i da organizacija dokumentuje politiku kao rezultat iste.

U kontekstu sistema Microsoft (ili bilo kog drugog servera), osnovne kontrole treba dauključuju sledeće:

• Trebalo bi da neko bude imenovan za posebno odgovornog za sigurnost veb servera. Ovaosoba treba da ima odgovarajuću specijalističku obuku i treba da ima na raspolaganjupotpuno ažuran izvor informacija o ranjivostima, pretnjama, napadima i odbrani.

• Organizacija treba da pokrene najnoviju verziju i IIS-a i IE-a. Što je verzija novija, to jemanje grešaka povezanih sa bezbednošću.

• Organizacija treba da instalira najnoviji servisni paket (SP) na svaki Windows NT / 2000/ Server2003 / XP domaćin koji sadrži svaki IIS server. Servisni paketi su dostupnibesplatno putem Interneta na adresi vvv.microsoft.com/dovnloads.

• Organizacija treba da instalira najnovije hitne ispravke čim postanu dostupne. Obično sudostupni i direktno sa Microsoft veb lokacije.

• Organizacija treba da izbegava instaliranje IIS servera na istoj fizičkoj platformi kaokontroler domena.

• Organizacija treba da pribavi i primeni specijalne tehničke savete o bezbednojkonfiguraciji IIS-a, barem do nivoa identifikovanog na Microsoftovoj kontrolnoj listi„Zaštita vašeg veb servera“.

• Organizacija treba da obezbedi da je IIS host pravilno konfigurisan i zakrpljen tako da sebilo koje ranjivosti operativnog sistema ne mogu iskoristiti za pristup veb serverima.

• Koristite CIS referentne vrednosti (www.cisecurity.org), koje prolaze kroz „Alat zaocenjivanje bezbednosti“ koji se može preuzeti da biste osigurali da njihova stvarnakonfiguracija zadovoljava industrijska konsenzusna merila bezbednosti.

16

http://www.cisecurity.org

BEZBEDNOST SERVERA- DEO2PCI DSS je posebno zabrinut zbog ranjivosti veb servera na spoljninapad.

PCI DSS je posebno zabrinut zbog ranjivosti veb servera na spoljni napad. Svaka organizacijaza e-trgovinu bi, naravno, trebalo da dobije kopiju PCI DSS-a (preuzmite sawww.itgovernance.co.uk/pci_dss.aspx). Dve ključne kontrole koje on propisuje su, prvo, da seranjivosti veb servera moraju identifikovati i zakrpati, i, drugo, da sama veb lokacija treba dabude predmet redovnog testiranja penetracije od strane odobrenih kompanija za testiranjeprobojnosti.

Poglavlje 4 Bezbednost servera

17

Poglavlje 5

Onlajn transakcije

ONLINE TRANSAKCIJEKontrola A.10.9.2 standarda posebno se odnosi na mrežne transakcije.

Kontrola A.10.9.2 standarda posebno se odnosi na mrežne transakcije. Standardtraži iste ishode koje želi bilo koji mrežni kupac, kompanija koja izdaje kreditne kartice ilidobavljač: mrežne informacije treba zaštititi tako da ostanu autentične, potpune, nepravilnopreusmerene, izmenjene, obelodanjene ili duplirane i, posebno, ne kradu se tako da semože koristiti u prevarenoj transakciji bilo gde drugde. PCI DSS je posebno zabrinut zbogpotencijalne zloupotrebe podataka o vlasnicima kartica i nalaže niz kontrola oko nesnimanjai neskladištenja osetljivih podataka o vlasnicima kartica, kao što su brojevi kreditnih kartica,autorizacioni kodovi, lozinke itd.

Koraci koje predlaže ISO27002 treba razmotriti, podložno proceni rizika i troškova i koristi,uključuju sledeće:

• Elektronski potpisi. To nisu uvek praktično za potrošačke transakcije, jer toliko punopotrošača nije postavilo digitalne potpise; pogodniji su za komercijalne transakcije.

• Tehničke kontrole za verifikaciju korisničkih podataka, uključujući zahteve za nasumičnekomponente (jakih) lozinki, radi održavanja poverljivosti transakcije (korišćenjem SSLtehnologije) i zaštite privatnosti (u skladu sa politikom privatnosti, koja treba da budeprikazana na veb lokaciji).

• Šifrovanje komunikacija, bilo da se koriste tehnologije šifrovanja dostupne u okviruMicrosoft Windows paketa (u meniju Alatke za zaštitu e-pošte / Bezbednost) ilikomercijalna tehnologija šifrovanja poput PGP (Pretty Good Privacy).

• Skladištenje ličnih podataka ne bi trebalo da bude dostupno sa Interneta; to jest, trebalobi da se čuva na sigurnom serveru unutar organizacionog perimetra.

• Bezbednost treba da bude ugrađena od kraja do kraja u odnos pouzdanog autoriteta.• Pravna pitanja moraju se pažljivo razmotriti: u kojoj se jurisdikciji transakcija odvija i koji

pravni aranžmani moraju biti doneti da bi se ona legalno zaštitila? Kao što je razmatranou L15, ovom pitanju je potreban stručni pravni savet.

Standard se ne bavi mrežnim prevarama ili „phishing“ napadima, ali, jasno je da bilo kojaorganizacija (posebno finansijska) koja vodi veb stranicu sa velikim obimom mora biti sklonatakvom napadu. Takve organizacije moraju, naravno, upozoriti svoje kupce na neotkrivanjelozinki i imati brz mehanizam odgovora za identifikovanje prevarantskih veb lokacija iprijavljivanje njihovog ISP-u, kako bi ih mogli ukloniti.

18

JAVNO DOSTUPNE INFORMACIJEKontrola A.10.9.3 standarda

Kontrola A.10.9.3 standarda zahteva da organizacija u svom ISMS-u ima formalni postupakovlašćenja za informacije koje se objavljuju i da zaštiti integritet ovih informacija kako bi sesprečila neovlašćena promena. Ključni aspekti ove kontrole su:

• pouzdanost i sigurnost sistema o kojem će informacije biti dostupne;• kontrolu informacija objavljenih u intervjuima i, direktno ili indirektno, na javno poprište;

i• kontrola elektronski objavljenih informacija.

Prvim izdanjem treba se pozabaviti u smislu načina na koji je organizacija konfigurisala iobezbedila svoje veb servere, i kao što je diskutovano na drugim mestima na ovom kursu.Pristup sistemu za objavljivanje ili veb lokaciji ne bi trebalo da dozvoljava pristup mrežina koju je povezan. Segregacija bi trebala biti dokazano efikasna. Na ovo se odnosilo uodeljku o sigurnosti servera iznad; princip sigurnog mrežnog dizajna je da svaka mašina udemilitarizovanoj zoni (DMZ) treba da bude dostupna bez zavisnosti od pristupa bilo kojojdrugoj mašini u mreži. Sistemi su trebali biti testirani na kvarove, u skladu sa njihovomprocenom rizika i poznatim ranjivostima.

Drugo izdanje je relativno jednostavan za dizajn i primenu. Organizacija unapred ovlašćujeodređene pojedince da objave određene klasifikacije materijala, osigurava da imajuodgovarajuću obuku za štampu i iskustvo i kombinuje ove aranžmane sa određenimpostupkom za dokumentovanje ovlašćenja za objavljivanje određenih izuzetno poverljivihinformacija, kao što su informacije koje mogu uticati na udeo cena, na primer.

Treće izdanje je složenije. Elektronski objavljene informacije (na primer, na veb serveru kojije dostupan putem Interneta) moraće da budu u skladu sa zakonodavstvom, a verovatno i sazakonima u zemlji u čijoj je nadležnosti veb server smešten i u zemlji u čijoj se nadležnostitransakcija odvija. Ovo je i dalje siva zona, posebno za organizacije koje svoje proizvode iusluge međunarodno isporučuju putem Interneta, i treba potražiti specijalni pravni savet otome koja pravila, propise i zakone treba poštovati i gde i kako.

Ovaj savet treba ugraditi u procenu rizika. Moguće je, na primer, da neka organizacijaodluči da je rizik od krivičnog gonjenja u brojnim jurisdikcijama takav da neće preduzetiposebne korake u skladu sa lokalnim zakonima. Ono što je važno je da, kroz procenurizika, organizacija odluči koje kontrole treba da uspostavi kako bi zaštitila informacije kojeobjavljuje.

Poglavlje 5 Onlajn transakcije

19

Poglavlje 6

E-mail i korišćenje interneta

E-POŠTAIako se e-pošta obrađuje u ISO27001 kao pod-klauzula kontrole A.10.8,ona je suštinska i fundamentalno važna tema u informatičkom dobu

Iako se e-pošta obrađuje u ISO27001 kao pod-klauzula kontrole A.10.8, ona je suštinska ifundamentalno važna tema u informatičkom dobu. Aspekti politike e-pošte kontrola A.10.8.1i A.10.8.4 standarda obrađeni su zajedno u ovom kursu, a ovo poglavlje će obuhvatiti svapitanja u vezi sa e-poštom i njenom upotrebom.

Standard zahteva da organizacija razvije i primeni politiku i uspostavi kontrole kako bismanjila bezbednosne rizike stvorene e-poštom. Očigledno je da će stepen do kojeg će ovekontrole biti potrebne diktirati nalazi procene rizika.

E-pošta je gotovo u potpunosti zamenila telekse i na dobrom je putu da zameni faksove itradicionalnu, ili „puževu“ poštu. Ključne razlike između e-pošte i puževe pošte su brzinaprve, njena struktura poruka, neformalnost, lakoća pogrešnog usmeravanja, lakoćadupliciranja, lakoća presretanja i lakoća s kojom može nositi priloge. To znači da postoji nizpitanja koja treba razmotriti oko naslova bezbednosnog rizika i korisničkih politika.

Pristup Internetu stoji uz e-poštu kao pitanje koje je direktno povezano sa aktivnostimapojedinačnih zaposlenih, a postoje sličnosti između nekih principa kontrole u svakoj oblasti.Stoga se ovo poglavlje takođe bavi politikama prihvatljive upotrebe interneta (AUP).

BEZBEDNOSNI RIZICI U E-MAILUISO27002 identifikuje brojne sigurnosne rizike u e-pošti

ISO27002 identifikuje brojne sigurnosne rizike u e-pošti. Oni uključuju:

• ranjivost poruka na neovlašćen pristup, neovlašćeno modifikovanje i napadeuskraćivanja usluge;

• ranjivost poruka na greške kao što su netačno adresiranje, pogrešno usmeravanje ilisamo nepouzdanost interneta;

• problemi oko razmene trenutnih poruka i deljenja datoteka;• pravna pitanja, poput potencijalne potrebe za dokazom o poreklu, otpremanjem i

prijemom; i• nekontrolisani pristup udaljenog korisnika i Interneta računima e-pošte.

20

Važniji od bilo kog od ovih je rizik za kompaniju da e-pošta koju pojedinačni članovi osobljašalju između organizacija može dovesti do neovlašćenog izlaganja poverljivih ili osetljivihinformacija i kršenja poverljivosti, što dovodi do lošeg oglašavanja i moguće pravne radnje.Istorija slučaja već pokazuje da organizacije mogu biti izložene pisanju klevete kao rezultatonoga što je član osoblja napisao u e-poruci, verovatno neformalno i samo za internudistribuciju. Takođe postoji zahtev za organizacije da osiguraju da poverljive informacije kojemogu uticati na cene akcija ne procure i da se poštuju svi propisi o berzi.

Organizacije bi trebalo da naprave jasne smernice za upotrebu e-pošte. Oni bi trebali bitiuključeni u ISMS, a od svih članova osoblja trebalo bi da se, kao deo formalne izjave opristupu korisnika, slože da ih se pridržavaju. Prva odluka koju organizacija mora da doneseodnosi se na privatno korišćenje usluga e-pošte od strane zaposlenih. Činjenica je da jeupotreba e-pošte sada toliko sveprisutna da je praktično nemoguće sprečiti zaposlene dakoriste radnu e-poštu za privatne komunikacije; pokušaji da se to zaustavi mogu biti veomateški za sprovođenje, pa je praktičnije koncentrisati se na kontrolu rizika.

SPAM – NEŽELJENA POŠTANeželjena pošta je značajno pitanje e-pošte.

Neželjena pošta je značajno pitanje e-pošte. Neželjena pošta potiče izvan organizacije ipostoji u takvoj količini da može ograničiti dostupnost informacija, kao i da troši skupupropusnost. Organizacija stoga treba da razvije odgovarajuće kontrole da bi se nosila s tim.Ove kontrole moraju uzeti u obzir mogućnost da nije sva neželjena pošta zaista neželjena;neka neželjena pošta je legitimna i korisna marketinška komunikacija. Štaviše, mnogestandardne informacije o e-trgovini - kao što su potvrde o kupovini, dokumenti koji se mogupreuzeti i druge automatizovane usluge - mogu se identifikovati kao neželjena pošta premapreširoko postavljenim filterima za neželjenu poštu, a organizacije moraju da uzmu u obzirnjihove zahteve o dostupnosti informacija zajedno sa propusnošću i drugim zahtevima. .

Kontrole neželjene pošte organizacije moraju stoga biti kombinacija ograničenja mrežnogprolaza (softver ili spoljno rešenje), obuke korisnika (koja obuhvata i konfiguraciju filteraneželjene pošte, upotrebu belih lista i dužni oprez sa e-adresama) i pritiska na ISP-a .

6.1 Zloupotreba interneta

ZLOUPOTREBA INTERNETA - DEO1

Postoji veliki broj problema povezanih sa surfovanjem mrežom tokomradnog vremena i iz organizacionih objekata

Postoji veliki broj problema povezanih sa surfovanjem mrežom tokom radnog vremena i izorganizacionih objekata. Sedamdeset i osam posto ispitanika u istraživanju FBI / CSI 2002

Poglavlje 6 E-mail i korišćenje interneta

21

otkrilo je zloupotrebu privilegija na Internetu od strane zaposlenih. Svako od ovih pitanja imaimplikacije na poverljivost, integritet ili dostupnost informacija.

Produktivnost zaposlenih može se znatno smanjiti (neka istraživanja sugerišu da30–40% aktivnosti na Internetu zaposlenih nije povezano sa poslom) do vremenakoje zahteva širok spektar zanimljivih aktivnosti, od berzi do igara do soba zaćaskanje, koje je dostupno na Internet. Mrežni saobraćaj može značajno uticati, štorezultira smanjenim poslovnim performansama, kombinacijom rekreativnog surfovanjazaposlenih i aktivnosti koje zahtevaju propusni opseg, poput pristupa streaming video iaudio zapisima, MP3 preuzimanja, preuzimanja slika, deljenja digitalnih fotografija (poputprazničnih snimaka), veb lokacije za društvene mreže kao što su Facebook itd. Propusni opsegkoji je organizacija stavila i platila je dizajniran za organizacionu upotrebu, a ne za ličnu korist.

Kao što smo već naveli, internet je divlji; omogućavanje pristupa zaposlenima na Internetomogućava zauzvrat svim vrstama zlonamernog softvera da pristupe organizacionomsistemu. Postoji diskusija o tome kako se može odbiti odbrana organizacije u odeljku OU 5 obezbednosti elektronske trgovine.

Rekreativno surfovanje može dovesti zaposlenike do pristupa neprimjerenim veb lokacijama,poput pornografskih (očigledno se nešto od oko 70 posto internetskog porno prometa odvijaizmeđu 9:00 i 17:00) i veb lokacija koje promovišu nasilje, diskriminaciju i sve drugeneprikladne stvari. Takođe mogu pristupiti veb lokacijama koje će preuzimati ilegalni ilipiratski softver, piratske igre, piratske video zapise ili piratsku muziku ili alate za hakovanje.Organizacija preko čije mreže se vrši takvo preuzimanje može se nehotice naći odgovornomza kriminalno ponašanje svojih zaposlenih. Besplatan pristup Internetu može dovesti dotužbi i optužbi za uznemiravanje (optužbe za seksualno uznemiravanje mogu nastati zbogneprimjerenog ili seksualno eksplicitnog materijala koji jedan zaposlenik donosi na radnomjesto, a drugi ga vidi, čak i tamo gdje druga osoba nije trebala da ga vidi) pa čak i krivičnogonjenje (zaposleni koji preuzima ilegalni materijal ili ga prosleđuje sa računara organizacijemože stvoriti upravo takav rizik).

ZLOUPOTREBA INTERNETA - DEO 2

Jasno je da organizacije koje se nađu primorane otpustiti zaposlenezbog pristupa ilegalnom ili uvredljivom materijalu mogu biti ozbiljnooštećene rezultirajućim negativnim publicitetom

Jasno je da organizacije koje se nađu primorane otpustiti zaposlene zbog pristupailegalnom ili uvredljivom materijalu mogu biti ozbiljno oštećene rezultirajućimnegativnim publicitetom, ne samo zato što bi otpuštanjem u Ujedinjenom Kraljevstvu, podvećim brojem okolnosti, mogao da presudi industrijski sud. biti „nepravedan“.

Organizacije treba da se suprotstave ovim rizicima kombinacijom tehnologije za kontrolusurfa i dobro osmišljene i sprovedene politike prihvatljive upotrebe (AUP). Tehnologija kontrolesurfovanja ili filtriranja je široko dostupna i može se instalirati kako na organizacionimmrežama, tako i na pojedinačnim radnim stanicama. Softverski paket treba odabrati u svetluAUP-a; AUP ne bi trebalo da se gradi na ograničenjima izabranog paketa. Odgovarajućipaket treba da omogući organizaciji da nameće različita ograničenja u različito doba dana


22

(npr. Moguće malo blaže van uobičajenog radnog vremena) i za različite grupe korisnika(npr. Možda malo blaže za više rukovodstvo ili istraživačko osoblje). Trebalo bi da omogućiblokiranje određenih veb lokacija, kao i širih kategorija ili grupa veb lokacija, tako da seograničenja mogu usredsrediti u svetlu poslovnih potreba, umesto prekomernog blokiranja nanačin koji je u suprotnosti sa poslovnim potrebama.

6.2 Politika prihvatljive upotrebeinterneta

POLITIKA PRIHVATLJIVE UPOTREBE INTERNETA - AUP

Politika prihvatljive upotrebe Interneta (AUP) treba da kombinuje izjaveo upotrebi interneta i korišćenju e-pošte

Politika prihvatljive upotrebe Interneta (AUP) treba da kombinuje izjave o upotrebi internetai korišćenju e-pošte. Problemi sa e-poštom obrađivani su ranije u ovom poglavlju. Varijacijeonoga što je izloženo u nastavku zavisiće od zaključka koji organizacija donese u vezi saprivatnim korišćenjem svojih Internet objekata; ova izjava odražava dalekosežno ograničenjei neće svi poslodavci smatrati da su sve njene komponente neophodne. Važno je da, kao i zasve ostale komponente ISMS-a, organizacija usvoji i razvije AUP koji detaljno odražava kulturuorganizacije, ali koji takođe pruža nivo sigurnosti koji se zahteva procenom rizika:

• Opšta izjava: ovo bi trebalo početi od podsećanja na opasnosti interneta i reći dakompanija neće biti odgovorna za bilo koji materijal koji je pregledan ili preuzet. Trebalobi nastaviti rekavši da upotreba interneta mora biti u skladu sa standardima poslovnogponašanja organizacije i mora se odvijati kao deo normalnog izvršavanja radnih obavezazaposlenog. Svako kršenje AUP-a može dovesti do disciplinskih mera i mogućeg prekidaradnog odnosa. Ilegalne aktivnosti se takođe mogu prijaviti odgovarajućim vlastima.

• Identifikacioni brojevi korisnika organizacija ili veb lokacije (ili nalozi e-pošte) treba da sekoriste samo za organizacijski sankcionisanu komunikaciju.

• Korišćenje interneta / intraneta / e-pošte / trenutnih poruka može biti podložno praćenjuiz bezbednosnih razloga i / ili upravljanja mrežom, a korisnici mogu da upotrebe ovihresursa podležu ograničenjima.

• Distribucija bilo kojih informacija putem Interneta (uključujući e-poštu, sisteme trenutnihporuka i bilo koji drugi sistem zasnovan na računaru) može biti pod nadzoromorganizacije, a organizacija zadržava pravo da utvrdi prikladnost informacija.

• Korišćenje organizacionih računarskih resursa podleže (engleskom ili škotskom) zakonu isvaka zloupotreba će se na odgovarajući način rešiti.

• Korisnici ne smeju posećivati internet stranice koje sadrže opsceni, mržnjivi ili druginepoželjni materijal, ne smeju pokušavati da zaobiđu organizacionu tehnologiju kontrolesurfovanja na internetu i ne smeju davati ili objavljivati nepristojne primedbe, predlogeili materijale na Internetu.

• Korisnici neće tražiti e-poštu koja nije povezana sa poslovnom aktivnošću ili koja je zaličnu korist, neće slati ili primati bilo koji materijal koji je nepristojan ili klevetnički ili koji


23

ima za cilj da nervira, uznemirava ili zastrašuje drugu osobu i neće predstavljati ličnamišljenja kao i mišljenja kompanije

AUP - NASTAVAK

AUP

• Korisnici ne smeju učitavati, preuzimati ili na bilo koji drugi način prenositi komercijalnisoftver ili bilo koji materijal zaštićen autorskim pravima koji pripada kompaniji ili bilokojoj trećoj strani, ne smeju otkrivati ili objavljivati poverljive informacije i ne smeju slatipoverljive e-mailove bez nivoa šifriranja koji je potreban u smislu navedene smernice uISMS-u.

AUP treba, ako je moguće, razviti na način koji uključuje osoblje iz organizacije; sigurno će sveosoblje morati da bude obučeno kako bi se osiguralo da se ono razume. Aktivnost obuke trebada bude detaljna i u toku i treba da uključuje obaveštavanje zaposlenih o promenama politikei njenoj primeni. Svi zaposleni treba da prihvate AUP u trenutku potpisivanja korisničke izjaveo pristupu (kontrola A.11.2.1). Kopije AUP-a takođe treba istaknuti na bilo kom mestu u bilokojem resursnom centru zaposlenih ili u internet kafeu osoblja, odakle će se odvijati aktivnostna koju se AUP odnosi. Naravno, pravi softver za filtriranje, pravilno instaliran i kojim sedinamički upravlja, trebalo bi da pomogne organizaciji da izbegne potrebu za disciplinskimmerama u vezi sa ponašanjem zaposlenih na mreži.


24

Poglavlje 7

Zaključak

ZAKLJUČAKRezime

Rast elektronske trgovine doveo je, prema ISO27002, do podizanja onoga što je bila jednakontrola u sveobuhvatno područje kontrole. Kontrola A.10.9 standarda zahteva od bilo kojeorganizacije koja je uključena u e-trgovinu da osigura sigurnost svojih aktivnosti e-trgovine ida zaštiti svoje usluge od prevara, sporova oko ugovora i otkrivanja ili izmene informacija.

Ovo je takođe područje od velikog interesa za davaoce plaćanja kreditnim karticama i zabanke. Standard zaštite podataka industrije platnih kartica (PCI DSS) (za više informacijapogledajte vvv.itgovernance.co.uk/pci_dss.aspk) je izuzetno važan za sve trgovce e-trgovinei ukršta se sa zahtevima ISO27001.

LITERATURAReference

1. Calder, Alan, and Steve Watkins. IT governance: A manager's guide to data securityand ISO 27001/ISO 27002. Kogan Page Ltd., 2008.2. Calder, Alan, and Steve Watkins. IT Governance 6th edition: an international guideto data security and ISO27001/ISO27002. Kogan Page Publishers, 2015.3. Bastos, Alberto Mourao, Alvaro de Silva Lima Filho, and Joao Fernando Nery deOliveira. "Continuous governance, risk and compliance management." U.S. PatentApplication 12/518,082, filed December 23, 2010.4. Mayayise, Thembekile, and Isaac Olusegun Osunmakinde. "E-commerce assurancemodels and trustworthiness issues: an empirical study." Information Management &Computer Security (2014).

Ovde možete pročitati nešto više o Kontroli 10.9 kao i o drugim kontrolama:

1. http://bcc.portal.gov.bd/sites/default/files/files/bcc.portal.gov.bd/page/adeaf3e5_cc55_4222_8767_f26bcaec3f70/ISO_IEC_27002.pdf2. https://www.praxiom.com/iso-17799-2005.htm

25


Kontrola pristupaLekcija 13

www.princexml.com




KONTROLA PRISTUPA

Kontrola pristupaPoglavlje 1: HakeriPoglavlje 2: Konfiguracija sistemaPoglavlje 3: Kontrola pristupa mrežiPoglavlje 4: Kontrola pristupa OS-aPoglavlje 5: Kontrola pristupa aplikacijamaZaključak




Uvod

UVODUvod

Kontrola A.11 standarda je izuzetno važna; njegov cilj je kontrola pristupa informacijama, apravilno promišljena i temeljno sprovedena politika kontrole pristupa, u okviru ISMS-a, odključne je važnosti za efikasnu informacionu sigurnost. Ova se klauzula odnosi na upravljanjei odgovornosti za pristup korisnicima, kontrolu pristupa mreži, kontrolu pristupa operativnomsistemu i kontrolu pristupa aplikacijama. Omogućava odgovarajuće nadgledanje, a bavi se imobilnim računarstvom. To je glavna klauzula u standardu i glavna komponenta ISMS-a.

3

Poglavlje 1

Hakeri

HAKERI (ENG.HACKERS)Termin „kreker“ evoluirao je da identifikuje hakere sa crnim šeširimakoji upadaju u računarske sisteme posebno da bi naneli štetu ili ukralipodatke

Argumentirano je da hakeri imaju četiri glavna motiva: izazov, rešavanje sigurnosnezagonetke i nadmudrivanje sa utvrđenim sigurnosnim postavkama; nestašluk, želeći dananesu stres ili štetu pojedincu ili organizaciji; okolo, zaobilaženje grešaka ili drugih blokovau softverskom sistemu; i krađa, krađa novca ili informacija. Hakeri vole da razgovaraju ohakerima „beli šešir“ i „crni šešir“; argument je da su hakeri „crnog šešira“ zlonamerni idestruktivni, dok hakeri „beli šešir“ jednostavno uživaju u izazovu i zaista su na strani dobra,nudeći svoje veštine kako bi pomogli organizacijama da testiraju i odbrane svoje mreže.Ova razlika je pogodna za hakere, koji izgledaju u stanju da menjaju kape tako lako kaošto izbegavaju većinu mrežnih odbrana. Jedini razuman pristup bilo koje organizacije koja sebavi bezbednošću je pretpostavka da su svi hakeri potencijalno u pogrešnim bojama šešira,međutim kako bi se u početku mogli predstaviti. „Sivi šeširi“ je pojam koji je evoluirao daprepozna nesigurnu opasnost takozvanih „etičkih“ hakera.

Sertifikat „Certified Ethical Hacker“ (CEH) evoluirao je tako da prepoznaje određeni nivoveštine hakovanja na osnovu završetka intenzivnog petodnevnog kursa obuke. Oni koji idu natakav kurs u početku se ne provjeravaju zbog svoje etičke predrasude, a zapošljavanju CEH-atreba pristupiti vrlo otvorenih očiju.

Termin „kreker“ evoluirao je da identifikuje hakere sa crnim šeširima koji upadaju uračunarske sisteme posebno da bi naneli štetu ili ukrali podatke. Hakeri vole da kažu daprovalnici upadaju u računare, ali da hakeri prvo dobiju dozvolu i da će objaviti svoja otkrića.Naravno, hakeri postaju krekeri, krekeri postaju hakeri, a bilo ko bi mogao postati savetnik zabezbednost. „Djeca s skriptama“ nisu ništa od navedenog; većina IT odeljenja sadrži jednog iliviše pojedinaca čiji interes za testiranje sistema koje su zaposleni da bi ih zaštitili povremenoih nadilazi zakon. Nisu toliko sofisticirani kao hakeri, pa se još nisu kvalifikovali za šešir, ali,koristeći svoj vrlo jednostavan kod ili, obično, programe pronađene na Internetu, mogu bitijednako ubojiti za nezaštićene sisteme kao i 'Kult mrtve krave '. Kult mrtve krave (cDc) smatrase najuticajnijom hakerskom grupom na svetu; posluje od 1984. godine, objavljuje e-zinei veruje da pruža neverovatnu uslugu računarskoj zajednici izlažući slabosti u računarskimsistemima i primoravajući organizacije i programere da ojačaju svoje sisteme.

4

1.1 Hakerske tehnike

HAKERSKE TEHNIKE - DEO1

Hakerske tehnike koje hakeri koriste za dobijanje pristupa mrežama

Neke od najčešćih, osnovnih tehnika koje hakeri koriste za dobijanje pristupa mrežama datesu po abecedi u nastavku. Spisak, koji uključuje uobičajene termine hakera, raste i stoganikada nije ažuran:

• Zloupotreba softvera. Kada hakeri dobiju pristup sistemu, instalirani softver koriste zasvoje ciljeve. To može da uključuje upotrebu administrativnih alata za otkrivanje slabihtačaka mreže za eksploataciju, zloupotrebu programa CGI (Common Gatevai Interface)na veb serverima, eksploataciju ranjivosti na Microsoft-ovom Internet Information Server-u (IIS) i tako dalje. Treba potražiti savet stručnjaka za mrežnu bezbednost kako bi seosiguralo da organizacija u potpunosti razume trenutni nivo i vrstu rizika koji proizilaze izove vrste aktivnosti.

• Zadnja vrata. Programeri ili administratori namerno ostavljaju put u softverske sistemekoji se kasnije mogu koristiti za omogućavanje pristupa sistemu uz zaobilaženjeautorizovane korisničke datoteke. Ponekad programeri zaborave izvaditi nešto što jetamo stavljeno samo da bi olakšali razvojni rad ili pomogli u rutini otklanjanja grešaka.Ponekad ih namerno ostave da pomognu terenskim inženjerima da održe sistem. Kakogod stignu, mogu neovlašćenim korisnicima pružiti pristup sistemu.

• Zadnji otvor. Ovaj program je razvio i objavio cDc. To je alat za daljinsko administriranjekoji ima veliki potencijal za zlonamernu upotrebu. Veoma je jednostavan za upotrebu,tako da deci skripta neće biti problem da ga koriste. Takođe je ‘rastegljiv’, što znači da serazvija i poboljšava sa godinama. Većina sistema protiv zlonamernog softvera trebalo bida otkrije i ukloni otvor, ali nove verzije postaju redovno dostupne.

• Prelivanje bafera. Bafer je oblast memorije koja sadrži podatke za obradu. Ima fiksnu,unapred određenu veličinu. Ako se u bafer stavi previše podataka, oni se mogu izgubitiili prepisati druge, legitimne podatke. Ranjivosti prelivanja bafera već nekoliko godinapredstavljaju glavni izvor upada. Oni pružaju hakerima priliku da učitaju i izvršezlonamerni kod na ciljnoj radnoj stanici.

• Odbijanje usluge. Ovakva vrsta napada dizajnirana je da na određeno vreme zaustaviorganizaciju zamrzavanjem njenih sistema. To se obično radi preplavivanjem veb serverae-porukama ili drugim podacima, tako da on ne može da pruži normalnu usluguovlašćenim korisnicima. Distribuirani napad uskraćivanja usluge koristi računare drugihnezavisnih organizacija ili pojedinaca (kojima je kreker i sam naredio) da montirajunapad.


Deo2

Poglavlje 1 Hakeri

5

• Eksploatacija. Ovo je ili metodologija napada na identifikovanu ranjivost (imenica)ili radnja (glagol) napada ili eksploatacije ranjivosti. Ekploiti se često objavljuju naInternetu, bilo crnim ili sivim šeširima, koji tvrde da je ovo dobar način primoravanjadobavljača softvera da razviju sigurniji softver ili da obezbede popravke za postojećisoftver.

• „Čovek u sredini’.Hacker neprimećen između dve strane u internet transakciji, bilo nalokalnoj mreži (LAN) ili na nesigurnoj internet vezi. Haker presreće i čita poruke izmeđudve strane i može ih izmeniti, a da primalac ne zna šta se dogodilo. Ovo se čestoprepoznaje kao oblik maskiranja.

• Maskiranje. Haker će se pretvarati da je legitiman korisnik koji pokušava da pristupilegitimnim informacijama, koristeći lozinku ili PIN koji se lako može dobiti ili kopirati, azatim će pokušati da pristupi poverljivijim informacijama ili izvrši naredbe koje običnonisu javno dostupne.

• Nadzor mreže. Ovo je takođe poznato i kao „njuškanje“ i podrazumeva postavljanjenekog koda na Internet za nadgledanje celokupnog saobraćaja u potrazi za lozinkama.Ove, i druge prividno poverljive informacije, često se šalju „na čisto“, pa se stoga lakomogu pronaći i upisati na hakersku radnu stanicu za buduću upotrebu.

• Probijanje lozinke. Ovo je u stvari vrlo lako. Većina korisnika ne postavlja lozinke ili, akojesu, koristi vrlo jednostavne lozinke kojih se lako mogu setiti, poput „tajne“ ili „lozinke“,ili imena svoje dece, rođendana, sportskih timova, određenih godišnjica ili prezimena.Iako neki hakeri mogu brzo identifikovati lozinke određenih korisnika, na Internetu jesada dostupan softver koji će primeniti „grubu silu“ kako bi automatski i velikom brzinompokušao svaku teoretski moguću alfanumeričku kombinaciju korisničkog imena i lozinkei, obično uz pomoć rečnik uobičajenih lozinki, ovo može brzo omogućiti hakeru pristupsistemu. Jednom kada haker locira listu šifrovanih lozinki na bezbednosnom serveru,može da koristi softverske alate dostupne na Internetu da bi ih dešifrovao.

• Polimorfni napadi. Polimorfni napad koristi napredne tehnike za prikrivanjezlonamernog koda koji se izvršava kada napad uspešno iskoristi ranjivost sistema daugrozi sistem. Oni kontinuirano menjaju (ili „menjaju“) nebitne komponente svog koda,istovremeno zadržavajući algoritam jezgra napada, da bi prevarili sisteme za otkrivanjeupada.


Deo3

• Rootkit. Prvobitno je rootkit bio skup alata koji su omogućavali pristup na nivouadministratora (koji se u Unik svetu naziva „root“ pristup) računaru ili mreži. Napadačbi takođe mogao da koristi ove alate da sakrije dokaze o svom upadu. Termin se stogarazvio da bi opisao prikriveni zlonamerni softver - zlonamerni softver poput trojanskogvirusa, virusa ili crva - koji aktivno prikriva svoje postojanje od korisnika računara isistemskih procesa.

• 'Socijalni inženjering'. Najlakši i najčešći način dobijanja pristupa mreži je prevaritinekoga da pruži poverljive informacije. Na primer, haker se predstavlja kao mrežniadministrator ili kolega zaposleni sa hitnim problemom koji zaposlenik može rešiti samopružajući poverljive informacije (poput korisničkog imena ili lozinke). Alternativno, hakerima lažnu vizitkartu, za koju tvrdi da je ključni predstavnik tehničke ili poslovne podrške

Poglavlje 1 Hakeri

6

ili za novog zaposlenog koji pokušava da ubrza posao. Osoblje ne bi trebalo da otkrivalozinku nikome, čak ni osoblju IT podrške. Za hitni pristup ograničenim sistemima iadministrativnim aplikacijama, menadžer bezbednosti informacija možda će želeti daadministratorske lozinke u zatvorenim kovertama drži u sefu. Treba da se izvršineregularno testiranje, tako da ukoliko administrator iz bilo kog razloga bude otpušten,sistem (i) kojem je on ili ona imao pristup mogu se održati i promeniti lozinke.

• Spoofing. Lažno predstavljanje IP-a stiče neovlašćen pristup sistemu maskirajući sekao važeća Internet (IP) adresa. Lažno predstavljanje („krađa identiteta“) podrazumevahakersko preusmeravanje saobraćaja sa važeće veb adrese na lažnu, izglednu veblokaciju na kojoj se podaci o kupcima (a posebno podaci o kreditnim karticama)prikupljaju radi kasnije nezakonite ponovne upotrebe.

• Trojanski konji su programi koji su, iako se mogu činiti korisnim uslužnim programima,u tajnosti dizajnirani da oštete sistem domaćina. Neki će takođe pokušati da otvoredomaćinske sisteme za spoljne napade.

Hakeri ne postoje samo izvan organizacije. Često ih zapošljava organizacija koju ciljaju. Onibi takođe mogli biti nezadovoljni bivšim (ili će uskoro biti) zaposlenima koji se žele osvetitiorganizaciji koja ih pušta. Interni hakeri mogu biti opasniji od spoljnih, ne samo zato štopočinju da znaju mnogo više od svih izvan organizacije. Oni možda već imaju prava pristupakoja ih mogu odvesti do mesta koja organizacija ne želi da posećuju. Jednako tako, moguće jeda napadač dobije neovlašćen pristup prostorijama organizacije i, jednom u fizičkom obodu,da pristupi relativno nesigurnoj mašini preko koje se može doći do cele mreže. Činjenica dainformacioni sistem nije direktno povezan sa Internetom ne znači da ne može biti napadnut.Takvi sistemi moraju biti podložni istom nivou sigurnosti kao i oni koji su povezani na Internet,a procena rizika mora uzeti u obzir sve moguće rizike.

Poglavlje 1 Hakeri

7

Poglavlje 2

Konfiguracija sistema

PRAVILNA KONFIGURACIJA SISTEMAPrvi korak koji bi svaka organizacija trebalo da preduzme da bi seizborila sa pretnjom hakovanja je uklanjanje što većeg broja ranjivosti

Prvi korak koji bi svaka organizacija trebalo da preduzme da bi se izborila sapretnjom hakovanja je uklanjanje što većeg broja ranjivosti koje mogu biti izvorneza Microsoft (i druge) pakete raspoređene na radnom mestu. To se postižeosiguravanjem da su sistemi učitani i konfigurisani u skladu sa Microsoftovim smernicama(kako su navedene na www.microsoft.com/ security) i izmenjeni ili ojačani preporukamanavedenim na veb lokaciji CERT koordinacionog centra ( www.cert.org), Institut za softverskoinženjerstvo Univerziteta Carnegie Mellon. Njihove preporuke za konfiguraciju su nezavisnei, podložne proceni rizika same organizacije, njihove preporuke treba usvojiti kao osnovnudobru praksu u konfiguraciji servera i radne stanice.

Kakve god tehničke zahteve organizacija usvojila, treba ih dokumentovati i preduzetiodgovarajuće korake kako bi se obezbedilo redovnim neovisnim tehničkim pregledom da seodržavaju.

POLITIKA KONTROLE PRISTUPAKontrola A.11.1.1 standarda zahteva od organizacije da definiše i jasnodokumentuje svoje zahteve i politiku kontrole pristupa, a zatim daograniči pristup onome što je definisano u politic

Kontrola A.11.1.1 standarda zahteva od organizacije da definiše i jasno dokumentuje svojezahteve i politiku kontrole pristupa, a zatim da ograniči pristup onome što je definisano upolitici. Kontrole pristupa su i fizičke i logičke i, budući da bi se trebale dopunjavati, a nesukobljavati, trebalo bi ih razmatrati zajedno. Ovo razmatranje mora uzeti u obzir opseg rizikaod hakera i krekera, i, ako je potrebno, kao deo procesa procene rizika treba uzeti stručnesavete o najnovijim pretnjama krekerom i tehnološkoj odbrani.

Pravila kontrole pristupa i korisnička prava za pojedinačne korisnike i grupe korisnika trebada budu povezana sa poslovnim ciljevima i jasno dokumentovana, a korisnici bi ih trebaliznati. Neuspešno sprovođenje politike dovešće do toga da previše ljudi ima pristup previšeinformacija i na previsokom nivou poverljivosti. To dovodi do neovlašćenog pristupainformacijama, otkrivanja poverljivih informacija trećim licima itd.

8

Obuka o politici kontrole pristupa i pravilima kontrole pristupa trebalo bi da bude deo osnovneobuke korisnika. Nivo zavisnosti od drugih, visoko individualizovanih komponenata ISMS-aznači da svaka organizacija mora da razvije svoju jedinstvenu politiku.

Politika kontrole pristupa u ISMS-u treba, uzima ISO27002, da uzme u obzir niz faktora:

• Različite poslovne aplikacije imaju različite bezbednosne zahteve. Oni se utvrđujuidentifikovanjem svih informacija koje poslovni sistemi nose i kroz pojedinačne procenerizika izvršene za svaki kritični poslovni sistem; ove procene rizika ukazuju na to kometreba, a ne treba da se dozvoli pristup sistemu.

• Neke informacije potrebne za određene poslovne aplikacije mogu obrađivati ljudi kojimanije potreban pristup samoj aplikaciji (princip „potrebno je znati“ na delu). Primer bimogao biti kancelarijski sistem toka posla, gde osobi koja unosi dostavnicu u aplikaciju zakupovinu i plaćanja nije potreban pristup stvarnim funkcijama računovodstva ili plaćanjasistema. Takvoj osobi bi trebala različita prava pristupa od onih koja zahteva osoba kojapokreće stvarna plaćanja dobavljača.

POLITIKA KONTROLE PRISTUPA - DEO2Deo2 politike kontrole pristupa

• Sistem klasifikacije informacija. Korisnička prava pristupa treba da odražavaju nivoinformacija koje korisnici smeju da vide.

• Treba postojati doslednost između politike pristupa i politike klasifikacije informacijarazličitih mreža unutar iste organizacije; nedoslednost dovodi do neusklađenosti, štodovodi do toga da ljudi prelaze na prečice (zbog prevelikog broja korisničkih imena ilozinki i prevelike razlike u odgovornosti), a to brzo dovodi do kvarova u informacionojsigurnosti.

• Relevantno zakonodavstvo, posebno zakonodavstvo o zaštiti podataka i sve ugovorneobaveze koje organizacija mora da zaštiti određene podatke treba analizirati i uzeti uobzir.

• Trebalo bi da postoje standardni profili korisničkog pristupa za uobičajene kategorijeposlova, jer je to lako za upravljanje i pružanje obuke. U situacijama kada ljudi sasličnim poslovima imaju različita prava pristupa, sigurnost će se pokvariti jer pojedincinezvanično dele najkorisnije profile pristupa. Ovlašćenje za kreiranje novog korisničkogimena trebalo bi da navede područja mreže kojima korisnik treba da ima pristup.

• Distribuirano, umreženo okruženje koje prepoznaje brojne različite tipove vezatrebalo bi da razmotri sve, tako da, na primer, korisnik koji može pristupiti nečemuna radnoj površini to može učiniti i na daljinu. Profil Microsoft Windows u romingu toomogućava.

Poglavlje 2 Konfiguracija sistema

9

2.1 Upravljanje pristupom korisnika

UPRAVLJANJE PRISTUPA KORISNIKA

Kontrola A.11.2 standarda postavlja sprečavanje neovlašćenogpristupa informacionim sistemima

Kontrola A.11.2 standarda postavlja sprečavanje neovlašćenog pristupa informacionimsistemima. Imačetiri kontrole, sve usmerene na to kako je podešen pristup korisnika i kako sudodeljena prava pristupa sistemima.

Važno je imati pregled trenutne tehnologije autentifikacije korisnika. Pre pet godina bila jeopravdana pretpostavka da je bilo šta izvan perimetra mreže opasno dok se ne dokažesuprotno, ali da se može verovati bilo kome u mrežnom perimetru (sa mrežnim prolazimadefinisanim hardverom, poput modema i RAS (Remote Access Service) portova) . Promenekoje pokreće Internet, a o kojima se raspravljalo u Uvodu i prvim poglavljima, nagrizale suovu pretpostavku i, iako je mrežna odbrana i dalje presudna, u doba poroznog perimetrasada je slučaj da praktično svako može da komunicira sa povezanim računarima povezaneorganizacije, od poslovnih partnera koji pristupaju ekstranetu do kupaca koji pristupaju javnojveb lokaciji za e-trgovinu. Stoga više nije slučaj da je svako ko se uspešno prijavio na mrežunužno pouzdana strana.

Sigurnosna tehnologija je evoluirala da odražava ovu promenu i sve više se koncentriše naprimenu orijentisanu i na zaštitu krajnje tačke koja se razlikuje od bezbednosti cele mreže,tako da svaki kritični resurs, aplikacija ili uređaj na mreži ima i može primeniti odgovarajućebezbednosne politike.

Za potrebe ovog poglavlja, srodni - ali različiti - koncepti autentifikacije i identifikacijekorisnika su osnovni. Autentifikacija korisnika je utvrđivanje autentičnosti korisnikau kontekstu računarske interakcije. Postoje tri glavna pristupa.

Prva je upotreba lozinke ili nekih drugih podataka (poput devojačkog prezimena majke)koje bi u teoriji samo korisnik mogao znati. Ovo je najlakši pristup i ujedno i najlakši zapodmetanje, što je rezultiralo time što je zaštita lozinkom postala neadekvatna za osetljiveinformacije i resurse. Postoje dva tehnološka protokola koji se bave autentifikacijom lozinke,TACACS + i RADIUS. Potonji je postao standard IETF (Internet Engineering Task Force) isve ga više prihvataju kompanije koje pružaju internet usluge; koristi se zajedno sa jakomautentifikacijom (vidi dole). Sistemi bi trebalo da koriste jedan ili drugi protokol i da obrađujuzahteve za potvrdu identiteta pomoću CHAP (Challenge Authentication Protocol) pre nego štose vrati na upotrebu manje jakog PAP (Password Authentication Protocol), postavljenog dakoristi opciju šifrovanja lozinki u tranzitu, pre nego što odbije korisnik kao nevažeći.

UPRAVLJANJE PRISTUPA KORISNIKA - DEO2

Drugi i treći pristup


10

Drugi pristup je zahtevati od korisnika da prezentuje dokaz putem nečega fizičkog, najčešćenamenskog autentifikatora koji generiše pristupne kodove (obično se naziva „žeton“),pametne kartice, posebnog softvera za potvrdu identiteta ili digitalnog sertifikata. Popularnisu tokeni koji generišu promenljivu numeričku šifru za potvrdu identiteta svakog minuta.Sigurnosni server je u stanju da potvrdi da je trenutno važeći kod onaj koji je prikazan natokenu, a prisustvo važećeg koda plus korisnička lozinka obično se uzima kao adekvatnaautentifikacija korisnika. Ovaj oblik dvofaktorske autentifikacije postaje sve rasprostranjenijijer troškovi proizvodnje tokena imaju koristi od ekonomije obima, iako napadač može izgubitiili preuzeti autentifikatore. Kako se tehnologija pametnih kartica poboljšava i pojavljuje jedanzajednički standard za njihovu upotrebu, organizacije će imati mogućnost kombinovanjadvofaktorske potvrde identiteta sa dozvolama fizičkog pristupa na istoj kartici.

Treći način je testiranje nečega što je fizički deo korisnika. Ovaj pristup, poznat kaobiometrija, testira otiske prstiju ili glasovne otiske ili vrši skeniranje mrežnjače. Ovi sistemi sesmatraju vrhunskim u snažnoj autentifikaciji korisnika. Međutim, visoka cena i nametljivostznače da takvi sistemi nisu trivijalni za primenu.

REGISTRACIJA KORISNIKA

Kontrola A.11.2.1 standarda zahteva da organizacija ima formalnuproceduru registracije i odjave korisnika koja omogućava pristup svimvišekorisničkim informacionim uslugama i sistemi

Kontrola A.11.2.1 standarda zahteva da organizacija ima formalnu proceduru registracijei odjave korisnika koja omogućava pristup svim višekorisničkim informacionim uslugama isistemima. Gde god je to moguće, organizacija treba da primeni sistem upravljanja pristupomsa jedinstvenom prijavom, koji osigurava da jedno korisničko ime i lozinka omogućavajukorisniku pristup svim onim sredstvima kojima on ili ona smeju da pristupe. Korisničkipristupni profil koji sadrži određeni broj sistemskih prava i prava pristupa informacijamamože pojednostaviti život korisnika (postoji samo jedan skup informacija koje treba upamtiti,a samim tim i manje pisanih zapisa koje treba kompromitovati) i administratora sistema(lakše je kontrolisati i nadgledaju prava pristupa pojedinca i koncentrišu se na pooštravanje ipoboljšanje bezbednosti umesto na administriranje višestruke prijave). Jednokratna prijava jedostupna sa sistemima Microsoft, a svi detalji srodnih bezbednosnih problema dostupni su naveb lokaciji Microsoft. Windows 2000 i novije verzije (XP, Vista, Windows 10) koriste sigurnosniprotokol nazvan Kerberos da bi korisnicima pružili jedinstvenu mrežnu mogućnost prijave, štočini tako što koristi infrastrukturu javnog ključa za zaštitu informacija koje se razmenjuju uprocesu prijavljivanja.

ISO27002 preporučuje da postupak registracije korisnika organizacije treba da obuhvatisledeće:

• Jedinstvene identifikacije korisnika (ID-ovi) treba da se izdaju tako da korisnici mogu bitipovezani i odgovorni za svoje postupke. Što je organizacija veća, to će biti važnije imatistandardne protokole koji se bave odvojenim identifikovanjem ljudi koji imaju isto ime iličija bi korisnička imena inače mogla biti ista. Korisnička imena ne bi trebalo lako pogoditi,mada što je veća organizacija, napadaču će biti lakše da putem društvenog inženjeringasazna strukturu i stvarna pojedinačna korisnička imena.


11

• ID-ovi grupa nikada ne bi smeli biti dozvoljeni. Ovo je posebno važno za imena„administratora“ i, često, „gostiju“. Microsoft dokumentacija (dostupna na veb lokacijiMicrosoft) ili priručnici za sistemske administratore (dostupni za svaki softverski paket,kao što su Windows XP ili Vista, ili SQL Server, ili Server 2003 itd., U svim dobrimknjižarama) određuju kako se korisničko ime administratora sistema treba postupati(povući se i čuvati pod odgovarajućom fizičkom sigurnošću) i objasniti kako postavitisistemske administratore sa pojedinačnim korisničkim imenima.

REGISTRACIJA KORISNIKA - DEO2

Drugi deo registracije korisnika

• Prava pristupa korisnika treba dokumentovati i opisati kojim sredstvima i sistemimakorisnik sme da pristupi. Vlasnici sistema bi trebalo da odobre predložene korisnike dakoriste sistem, a dokument o pravima pristupa takođe treba da odobri linijski menadžerpojedinca, kako bi se osiguralo da je to prikladno.

• Dodeljena prava pristupa treba da odražavaju politiku pristupa na način da su u skladusa definicijama u njima kome treba pristupiti čemu. Politika takođe ne bi trebalo da pravikompromise u pogledu razdvajanja dužnosti.

• Osigurajte da korisnici dobiju pisanu izjavu o svojim pravima pristupa. Ovonajjednostavnije može biti kopija dokumenta opisanog u tački 3) gore. Od korisnika bitakođe trebalo tražiti da potpišu kopiju ovog dokumenta, čime potvrđuju da razumejui prihvataju njihova prava i da razumeju da njihovo kršenje, a posebno svaki pokušajpristupa uslugama ili imovini kojima nisu ovlašćeni da pristupe, može dovesti dodisciplinske mere i posebne sankcije.

• Ova izjava o korisničkom pristupu takođe treba izričito da se odnosi na upravljanjelozinkom, na posebne privilegije koje su dodeljene, na prihvatljive strukture lozinki i nazahtev za zaštićenim lozinkom čuvarom ekrana i isključivanjem kada se ne koristi.

• Uverite se da pružaoci usluga ne pružaju pristup dok se formalni postupci autorizacije nezavrše. Bolje je dovršiti ovaj proces pre nego što se neko pridruži kompaniji i to što je premoguće, jer će u suprotnom biti pritiska da se osobi omogući pristup sistemima koji bitada mogli biti ugroženi.

• Kopija potpisanog dokumenta treba da se stavi u pojedinačni dosije zaposlenog (ilinezavisnog ugovarača). Administrator mreže koji izdaje korisničko ime takođe treba dazadrži kopiju kako bi u bilo kom trenutku mogao da dokaže da su sva navedena korisničkaimena u njegovom sistemu ovlašćena.

• Prava pristupa ljudima koji promene posao ili napuste organizaciju treba odmah ukloniti.Trebalo bi da postoji odgovarajući dokument koji to utvrđuje, a koji pokreće HR, odjavljujuga svi zainteresovani i koristi za odobrenje uklanjanja korisničkog imena.

• Treba ukloniti višak korisničkih ID-ova; registar korisničkih imena treba povremenoproveravati u odnosu na trenutni obračun zarada i datoteke HR-a i nezavisnih dobavljačakako bi se osiguralo da samo trenutno ovlašćena lica imaju korisnička imena. Uorganizacijama sa čak ograničenom redovnom fluktuacijom osoblja, ovu proveru biverovatno trebalo vršiti svakog meseca, a parafiranu kopiju proverenog registrakorisničkih imena podneti u evidenciju revizije.


12

REGISTRACIJA KORISNIKA - DEO3

Prekomerni korisnički ID nikada ne bi trebalo da se izdaje

• Prekomerni korisnički ID nikada ne bi trebalo da se izdaje. Osoba koja ga je koristilamožda ga se seća i možda želi da pokuša neovlašćen pristup sistemu; neće biti mogućeutvrditi da je napadač bio zaposleni, a ne trenutni član osoblja.

UPRAVLJANJE PRIVILEGIJAMA

Kontrola A.11.2.2 standarda zahteva od organizacije da ograniči ikontroliše dodeljivanje i upotrebu privilegija

Kontrola A.11.2.2 standarda zahteva od organizacije da ograniči i kontroliše dodeljivanje iupotrebu privilegija. Povlastica je bilo koji objekat u višekorisničkom sistemu koji omogućavajednom korisniku da zameni kontrole sistema ili aplikacija. Neadekvatna kontrola privilegijauvek dovodi do njihove neprimerene upotrebe; jednako tako, ova zloupotreba dovodi dokršenja sistema i glavni je faktor koji doprinosi kvarovima sistema. Najkritičnije privilegije suone koje omogućavaju sistemskim administratorima da rade svoj posao.

Organizacija treba da razvije u svom ISMS-u pravila za dodelu privilegija koje započinjuidentifikovanjem, za svaki sistem (operativni sistem, aplikaciju, bazu podataka itd.), Privilegijapovezane sa njim i kategorijama osoblja kojima bi ove privilegije mogle biti potrebne dase dodeli. Privilegije se obično identifikuju u smislu kategorija korisnika (npr. Sistemskiadministratori), a korisnicima se dodeljuju privilegije pridruživanjem korisničkim grupamakoje imaju određene privilegije. Priručnici za proizvode, dostupni u svim dobrim knjižarama,sadržaće ove informacije. Korisnici kojima bi mogle biti potrebne ove privilegije, u prvom redubi trebali imati korisnička imena za svakodnevnu upotrebu koja im praktično nisu dodijeljena.Privilegije treba dodeliti odvojenom korisničkom imenu kako bi napadač teže mogao da vidinjegovu upotrebu, a teže da korisnik nenamerno izvrši jednu od privilegija. Privilegije trebadodeljivati na osnovu „potrebe za korišćenjem“ i, tamo gde je to moguće, od događaja dodogađaja, tako da korisnici imaju samo minimalne zahteve za svoju funkcionalnu ulogu i samoonoliko dugo koliko je potrebno.

UPRAVLJANJE KORISNIČKIM LOZINKAMA

Kontrola A.11.2.3 standarda zahteva od organizacije da kontrolišedodeljivanje lozinki kroz formalni i upravljani proces.

Kontrola A.11.2.3 standarda zahteva od organizacije da kontroliše dodeljivanje lozinki krozformalni i upravljani proces. Iako će ISMS zahtevati specifična ponašanja korisnika lozinki(koja su potrebna u kontroli A.11.3.1), ova kontrola se odnosi na organizacionu stranuupravljanja lozinkom i prepoznaje da je najlakši način zlonamernog pristupa mrežiorganizacije putem pribavljanje lozinke:


13

1. Korisnici treba da pismeno prihvate da će lozinke čuvati u tajnosti i da će koristitisve lozinke za grupe samo u skladu sa pravilima koja su im pridodata; ova izjava trebada čini deo izjave o korisničkom pristupu identifikovane gore u A.11.2.1.2. Tamo gde se od korisnika traži da sami odaberu i održavaju svoje lozinke, upočetku im treba izdati sigurnu privremenu lozinku, koju su primorani da odmahpromene prilikom prve prijave. Kada se korisnicima izdaju privremene lozinke nakonšto zaborave vlastite lozinke, to bi trebalo uraditi tek nakon što je korisnik pozitivnoidentifikovan, po mogućnosti licem u lice. Ovo želi da spreči nekoga ko je stekaovažeće korisničko ime i da neovlašćeno pristupi sistemu jednostavno tvrdeći da jezaboravio svoju lozinku (oblik socijalnog inženjeringa).3. Privremene lozinke treba da budu jedinstvene za pojedinca i da se ne mogupogoditi, i treba ih bezbedno isporučivati korisnicima; ne bi ih trebalo slati jasnoputem Interneta ili preko nepoverenih trećih strana. Treba koristiti neki oblik sigurnogkovertiranog dokumenta. Korisnici treba da potvrde primanje lozinki u pisanoj formi.4. Funkciji službe za pomoć koja se bavi izgubljenim ili neuspelim lozinkama potrebnoje efikasno upravljanje, pažljiva obuka i revizija kako bi se osiguralo da se bilo kojimnapadom na sistem ovom rutom može kontrolisati.5. Lozinke nikada ne smeju biti uskladištene u ili na računarskim sistemima - porukaPost-it na ekranu računara je klasična pomoć neovlašćenom pristupu - apodrazumevane lozinke dobavljača za svaku pojedinu stavku računarskog hardveraili softvera treba menjati prilikom instalacije . Trebalo bi da postoji postupak revizijekako bi se osiguralo da su ove lozinke promenjene.


14

Poglavlje 3

Kontrola pristupa mreži

MREŽEKontrola pristupa mreži je izuzetno važna, ali je treba razumeti ukontekstu promenljivih potreba korisnika i organizacija za pristupom

Rasprava na početku OU1 ukratko opisuje kako je razvoj interneta pokretao razvojinformacionog sistema. Kontrola pristupa mreži je izuzetno važna, ali je treba razumetiu kontekstu promenljivih potreba korisnika i organizacija za pristupom. Cilj ovog odeljkastandarda je da kontroliše pristup internim i eksternim mrežnim uslugama tako da korisnicikoji imaju pristup ne ugrožavaju sigurnost tih usluga. To, prema tome, znači da treba dapostoje odgovarajući interfejsi između mreže organizacije i drugih mreža, posebno Interneta,da postoje odgovarajući mehanizmi za potvrdu identiteta za korisnike i opremu i da sekontroliše pristup korisnika informacionim uslugama.

Pitanje mrežne sigurnosti ima više od pukog razmatranja fiksnih privatnih mreža, bilo lokalnihmreža (LAN) ili širokopojasnih mreža (WAN). WAN-ovi i LAN-ovi su obično diskretne mreže kojekoriste fiksno privatno kabliranje u objektima organizacije za povezivanje svojih objekata zaobradu informacija (LAN) ili koriste privatne zakupljene ili u vlasništvu fiksne veze podatakaza sigurno povezivanje LAN-a na više različitih lokacija. Virtuelne privatne mreže (VPN-ovi),ekstraneti i bežične mreže sada su važni delovi mrežnog univerzuma.

VIRTUELNE PRIVATNE MREŽEVPN

Virtuelne privatne mreže su u stvari alternativni WAN-ovi koji zamenjuju ili uvećavajupostojeću fiksnu privatnu mrežu. Postoje dve vrste VPN-a: udaljeni pristup VPN-ovima, kojimrežu proširuju na telekomutere, kućne kancelarije i mobilne radnike, omogućavajući im dase sigurno prijave na korporativnu mrežu preko Interneta; i VPN-ovi od lokacije do lokacije,koji sigurno povezuju udaljene lokacije sa poslovnom ili centralnom veb lokacijom, koristećiveze dobavljača usluga ili Internet. VPN-ovi koriste specifične tehnologije, kao što je InternetProtocol Securiti (IPSec), koja koristi prednosti tehnologije digitalnog šifriranja. VPNtehnologija postala je relativno sveprisutna, ali za instalaciju VPN-a možda će biti potrebanspecijalistički tehnički savet, kao i specijalistička tehnologija. Organizacija će morati da izvršiprocenu rizika u vezi sa svojim VPN-om, očekujući da bi za svoj VPN trebalo da koristi istestandarde bezbednosti i upravljanja kao i za bilo koju fiksnu mrežu.

15

EXTRANETEkstraneti podržavaju poslovanje između preduzeća (b2b) i saradnjuizmeđu nezavisnih entiteta, obično putem Interneta.

Ekstraneti podržavaju poslovanje između preduzeća (b2b) i saradnju između nezavisnihentiteta, obično putem Interneta. Kako se tržišta konsoliduju, a osnovne uslugeeksternalizuju, organizacije moraju sigurno da komuniciraju sa mrežom spoljnih partnerakoja uključuje outsourcing kompanije, partnere u lancu tražnje i snabdevanja, konsultantei dobavljače. Ekstraneti moraju biti izuzetno fleksibilni i moraju se brzo primeniti (u„internetsko vreme“), bez potrebe za ponovnim razvojem ili ponovnom arhitekturompostojećih aplikacija uz korišćenje postojeće infrastrukture. Oni takođe moraju biti skalabilnikako bi se omogućilo da se budući rast podržava brzo, lako i jeftino. Istovremeno, ekstranetimoraju osigurati da poverljive informacije ostanu poverljive i da ovjereni korisnici mogupristupiti samo uslugama kojima su ovlašćeni. To treba da se uradi bez zahteva od partnera,kupca ili dobavljača da promeni svoje bezbednosne politike, mrežnu infrastrukturu ili bilo kojiaspekt postojeće postavke u korist ekstraneta.

Čini se da se ove potrebe suočavaju sa nekim zahtevima ISO27001; međutim, organizacijemoraju odgovoriti pokretačima tržišta bez ugrožavanja poverljivosti, integriteta ili dostupnostisvojih informacija. To znači da ekstranete treba primeniti u skladu sa poslovnim ciljevima; nepostoji ekstranet „one size for all“. Neki ekstraneti su dizajnirani za korisničke grupe samo zaprikaz statičkih informacija, dok su drugi dizajnirani za dinamičniju interakciju sa preduzećem.Ekstranet će možda trebati da komunicira sa masom kupaca, masom dobavljača ili malimbrojem partnera uključenih u razvoj proizvoda, ili nekom njihovom kombinacijom.

BEŽIČNE MREŽEBežične mreže su sve važnije pitanje, u smislu bezbednostiinformacija.

Bežične mreže su sve važnije pitanje, u smislu bezbednosti informacija. Bežične mrežesu pogodne, jeftine za postavljanje (nema optičkih kablova kategorije pet za polaganje ilipomeranje) i omogućavaju grupni rad i deljenje podataka da se odvijaju lako i jednostavno.Sastoje se od prenosnih računara, radnih stanica, PDA uređaja i drugih perifernih uređajakoji pristupaju korporativnoj mreži koristeći zajedničke radio talase, bežične pristupne tačkei Vired Ekuivalent Privaci (WEP) protokol u Institutu inženjera elektrotehnike i elektronike(IEEE) 802.11 grupa standarda za bežično povezivanje. umrežavanje. VEP i 802.11 grupastandarda stvoreni su za borbu protiv ranjivosti koja dolazi od korišćenja zajedničkih radiotalasa za prenos podataka, u teoriji čineći bežični prenos sigurnim kao i upotreba fiksne mrežešifrovanjem bežičnog prometa i korišćenjem VEP-a za potvrdu identiteta čvorova.

Međutim, mnoge bežične mreže nemaju sigurnost, WEP je izuzetno ograničen kao sigurnosnatehnologija, a bežične mreže su izuzetno ranjive. I dalje se pronalaze propusti („ratni vozači“i „ratni krekeri“ i bežični hakeri), što znači da se bežični sigurnosni standard nastavljarazvijati, a VPA (ViFi zaštićeni pristup), WPA2 i 802.11i novi sigurnosni standardi. Specijalistički

Poglavlje 3 Kontrola pristupa mreži

16

sigurnosni postupci biće neophodni za bežične i mrežne radnike. To uključuje naprednoupravljanje ključem za šifrovanje i, što je još značajnije, postavljanje bežične mreže izvanzaštitnog zida organizacije, bez ruta do spoljnog Interneta osim putem sigurnog VPN-a.Detaljna procena rizika koja se oslanja na savete stručnjaka koji odražavaju rizike od krađepropusnog opsega, zaobilaženja bezbednosnog prolaza, krađe identiteta, ilegalnih aktivnostii špijunaže trebalo bi da donese odluku o ovom pitanju.

3.1 Mrežna bezbednost

POLITIKA KORIŠĆENJA MREŽNIH SERVISA

Kontrola A.11.4.1 standarda zahteva od organizacije da kreira i primenipolitiku, u okviru svog ISMS-a, koja osigurava da korisnici imaju pristupsamo uslugama za koje su posebno ovlašćeni

Kontrola A.11.4.1 standarda zahteva od organizacije da kreira i primeni politiku,u okviru svog ISMS-a, koja osigurava da korisnici imaju pristup samo uslugama zakoje su posebno ovlašćeni.

Politika treba da identifikuje kojim mrežama i mrežnim uslugama je dozvoljen pristup,postupke autorizacije neophodne pre bilo kog takvog pristupa i kontrole neophodne zazaštitu pristupa mrežnim vezama i mrežnim uslugama - koje bi trebalo da se protežu nanačin na koji sredstva za pristup tim mrežama se kontrolišu. Ova politika treba da bude uskladu sa politikom kontrole pristupa o kojoj se raspravlja u A.11.1.1 i treba da prepozna iomogući budući razvoj mrežnih tehnologija na način koji pruža smernice organizaciji kako dabezbedno odgovori na ove promenljive okolnosti. To sve znači da bi korisnici na svojim radnimpovršinama trebali videti samo ikone za one usluge kojima su ovlašćeni da pristupe; ne trebadavati informacije o drugim uslugama koje su na mreži, jer ne treba podsticati pokušajeprovale u njih. Zaštitni zid i ruteri su ključne komponente sigurnosnog opsega mreže.

ZAŠTITNI ZIDOVI I SIGURNOST PERIMETRA MREŽE

Kada se izabere zaštitni zid, politike koje on primenjuje moraće dabudu odabrane i dokumentovane na način koji odražava određenuprocenu rizika.

Bezbednost mrežnog perimetra kontroliše pristup mreži tako da samo ovlašćeni korisnicimogu pristupiti aplikacijama, podacima i uslugama pokrenutim na mreži. Zaštitni zidovi sugeneralno prvi sigurnosni proizvod koji organizacije postavljaju kako bi zaštitile svoje mrežneperimetre. Zaštitni zid pruža prepreku saobraćaju koji želi da pređe obod i dozvoljava prolazaksamo ovlašćenom saobraćaju, u skladu sa unapred određenom politikom pristupa. Zaštitnizidovi takođe obično pružaju određeni nivo usluga prevođenja mrežnih adresa (NAT), zaštituod napada odbijanjem usluge (DoS), IPSec VPN usluge i usluge otkrivanja upada. Možda će


17

biti potrebno da se zaštitni zid na obodu integriše sa zaštitnim zidovima na nivou uređaja namobilnim prenosnim računarima i PDA uređajima.

Na tržištu je dostupan veliki broj zaštitnih zidova, a organizacija bi trebalo da temeljno istražitržište pre nego što odluči. Zajednički kriterijumi (razmotreni u poglavlju 4) mogu biti korisnareferentna tačka. Generalno, treba favorizovati dobavljače koji posluju već nekoliko godinai koji očigledno imaju resurse adekvatne za održavanje razvoja svojih proizvoda. Važno jeda izabrani softver za zaštitu od malvera (vidi poglavlje 13) bude u mogućnosti da radisa poželjnim zaštitnim zidom. U isto vreme, imajući na umu brzinu promena na tržištubezbednosti, treba se konsultovati sa trenutnim bezbednosnim lokacijama kako bi se utvrdilokoje proizvode zaštitnog zida hakeri najlakše osvajaju ili su neadekvatni trenutnim zahtevimaperformansi.

Kada se izabere zaštitni zid, politike koje on primenjuje moraće da budu odabranei dokumentovane na način koji odražava određenu procenu rizika. Važno je da suoni izabrani kao rezultat informisane analize rizika koja je u skladu sa politikom kontrolepristupa organizacije, jer će se u suprotnom naći u nemogućnosti da efikasno posluje. Postojeinternetski izvori koji su potrebni organizaciji, a politika najsigurnijeg perimetra, koja jejednostavno zatvaranje svih portova zaštitnog zida, nije nužno najrazumnija.

RUTERI I SVIČEVI ( MREŽNI RAZDELNICI )

Organizacije sa većim mrežama takođe treba da razmotre tehnološkarešenja koja im omogućavaju da centralno definišu, distribuiraju,sprovode i revidiraju bezbednosne politike

Pored toga, organizacionu mrežnu infrastrukturu treba izgraditi koristeći rutere i svičeve kojisami imaju odgovarajuće sigurnosne karakteristike. Izbor rutera i prekidača trebalo bi dabude podvrgnut istoj pažnji kao i odabir zaštitnog zida i, iako su to tehnički jednostavnijiuređaji, oni takođe mogu napadaču pružiti pristup u mrežu. Ruteri i prekidači treba da budukonfigurisani u skladu sa preporukama proizvođača (uključujući promenu podrazumevanelozinke dobavljača) i da imaju ispravno konfigurisane i ažurne liste za kontrolu pristupa (ACL).ACL osiguravaju da samo legitimni korisnici mogu proći kroz ruter ili prebaciti se. Ruteri isvičevi takođe mogu da imaju ugrađenu osnovnu tehnologiju zaštitnog zida, a čiji prekidačii ruteri treba da se izvrše treba da se donese u svetlu procene rizika i pregleda nezavisnihprocena proizvoda dobavljača.

Organizacije sa većim mrežama takođe treba da razmotre tehnološka rešenja koja imomogućavaju da centralno definišu, distribuiraju, sprovode i revidiraju bezbednosne politikeza veliki broj rutera, svičeva i zaštitnih zidova. Na primer, Cisco nudi tehnološka rešenja kojaposebno omogućavaju ovu vrstu centralizovane kontrole bezbednosti. Što je mreža veća,takvo rešenje je važnije - i isplativije. Pored toga, veće organizacije treba da razmotre (usvetlu procene rizika) primenu sistema za otkrivanje upada (IDS) koji mogu da nadgledajui reaktivno reaguju na upade kako se dese, kao i mrežne skenere ranjivosti koji proaktivnoidentifikuju područja slabosti. To je važno jer, iako zaštitni zidovi pružaju prinudnu kontroluputanje za spoljne korisnike, oni ne analiziraju aktivno saobraćaj na napade niti pretražujumrežu na osnovu ranjivosti. Zaštitni zidovi se posebno ne bave pretnjama koje upućujuupućeni. IDS paketi se mogu nabaviti kod glavnih dobavljača proizvoda za zaštitu i putem


18

bezbednosnih lokacija na Internetu. Pri razmatranju IDS paketa, bit će važni ukupni troškovivlasništva (TCO) i organizacija mora biti jasna kako će se praktično nositi sa izlazom sistemaza otkrivanje.

SISTEMI ZA OTKRIVANJE UPADA NA MREŽU ( NIDS )

Sistem za otkrivanje upada u mrežu je hardver ili softver kojiautomatizuje proces nadgledanja događaja u sistemima ili mrežamaradi otkrivanja upada

Sistem za otkrivanje upada u mrežu je hardver ili softver koji automatizuje procesnadgledanja događaja u sistemima ili mrežama radi otkrivanja upada. Upad je pokušajprovale ili zloupotrebe informacionog sistema ili zaobilaženja njegovih bezbednosnih kontrola,kako bi se ugrozila poverljivost, integritet i dostupnost podataka koji se na njemu čuvaju.

Postoje različite vrste sistema za otkrivanje upada. NIDS, poznat i kao „mrežni njuškač“,nadgleda pakete na mreži i pokušava da otkrije da li haker pokušava da provali u sistem (ilida izazove napad uskraćivanjem usluge).

AUTENTIFIKACIJA KORISNIKA ZA SPOLJNE KONEKCIJE

Kontrola A.11.4.2 standarda zahteva od organizacije da obezbedi dapristup mreži udaljenim korisnicima podleže potvrdi identiteta

Kontrola A.11.4.2 standarda zahteva od organizacije da obezbedi da pristup mreži udaljenimkorisnicima podleže potvrdi identiteta. Procena rizika treba da bude osnova za odabirodgovarajuće kontrole za potvrdu identiteta na daljinu; jasno je da bilo kakav dial-up ilibežični pristup mreži napadačima nudi potencijalni put u nju. Postoji čitav niz pristupa itehnologija koje bi, u zavisnosti od procene rizika, mogle biti odgovarajuće.

O najjednostavnijim metodama autentifikacije udaljenih korisnika govori se u OU1. RADIUS(Remote Access Dial-In User Service), TACACS + i Kerberos protokoli, u kombinaciji sa CHAP iPAP protokolima, osnova su sigurnog daljinskog pristupa putem Interneta. Snažna dvostrukaautentifikacija takođe je efikasna komponenta autentifikacije na daljinski pristup i postojiveliki broj dobavljača koji pružaju efikasne usluge zasnovane na ovim tehnologijama.

SEGRAGACIJA U MREŽI

Kontrola A.11.4.5 standarda zahteva od organizacije da uvede kontroleu svoje mreže (mreže) za odvajanje grupa informacionih usluga,korisnika i informacionih sistema

Kontrola A.11.4.5 standarda zahteva od organizacije da uvede kontrole u svoje mreže (mreže)za odvajanje grupa informacionih usluga, korisnika i informacionih sistema. Kako organizaciješire svoje informativne usluge izvan tradicionalnih granica fiksne LAN mreže ili WAN mreže,


19

tako im je sve više potrebno da dele mogućnosti za obradu informacija i umrežavanje.Ovakve vrste proširenja povećavaju rizik da napadač pronađe način da pristupi objektimaili informacijama koje su poverljive, pa stoga neke komponente mreža trebaju zaštitu oddrugih korisnika mreže. Potpuna procena rizika i analiza troškova i koristi (uzimajući u obziri vrednost imovine koja se obezbeđuje i kako bi možda trebalo zaštititi njihovu međusobnupovezanost - segregacija, na primer, mogla bi smanjiti ukupan uticaj prekida usluge) trebalobi izvršiti pre donošenje konačne odluke o načinu rešavanja ovih pitanja, a možda će bitipotrebni i specijalni spoljni saveti kako bi se osiguralo da izbor tehnologija i arhitektureodgovara potrebama organizacije. Postojeće organizacione politike o kontroli pristupa,zahtevima za pristup i klasifikaciji informacija trebale bi da budu unakrsne reference uodvojenim mrežama.

KONTROLA MREŽNIH KONEKCIJA

Kontrola A.11.4.6 standarda zahteva od organizacije da ograničimogućnost povezivanja korisnika na deljenim mrežama u skladu sapolitikom kontrole pristupa specificiranom u A.11.1.

Kontrola A.11.4.6 standarda zahteva od organizacije da ograniči mogućnost povezivanjakorisnika na deljenim mrežama u skladu sa politikom kontrole pristupa specificiranom uA.11.1.1. O ovom pitanju se već raspravljalo. Mreže za odvajanje zaštitnog zida treba filtriratisaobraćaj između mreža u skladu sa unapred definisanim pravilima koja se zasnivaju napolitici kontrole pristupa i proceni rizika. Ruteri bi se trebali (podložni procjeni rizika) koristitiza kontrolu određenih tokova transakcija (npr. E-mailovi, transfer datoteka, pristupaplikacijama, interaktivni pristup). Kao i kod svih bezbednosnih politika, pravila zaštitnog zidai rutera treba redovno pregledavati i ažurirati. Tipovi aplikacija na koje ISO27002 veruje da bitrebalo da se primenjuju ova ograničenja uključuju e-poštu, sve prenose datoteka, interaktivnipristup i bilo koji drugi oblik mrežnog pristupa, a možda će biti i neke koristi od povezivanjaprava pristupa sa određenim doba dana (ili noći) ) ili dane u nedelji itd.


20

Poglavlje 4

Kontrola pristupa OS-a

KONTROLA PRISTUPA OPERATIVNOM SISTEMUObjekti zaštite

Objekti zaštite operativnog sistema (O / S) trebali bi (prema ISO27002) biti sposobni (tamogde je to potrebno i / ili prikladno):

1. 1) da ograniče pristup računarskim resursima identifikovanjem i verifikacijomidentiteta, terminala ili lokacije svakog ovlašćenog korisnika;2. 2) evidentiranje uspešnih i neuspelih pokušaja pristupa sistemu;3. 3) pružanje odgovarajuće potvrde identiteta;4. 4) ograničavanje vremena povezivanja korisnika; i5. 5) izdavanje alarma kada su prekršene bezbednosne politike sistema.

4.1 Sigurne procedure prijavljivanja

BEZBEDNE PROCEDURE PRIJAVLJIVANJA

Sigurni proces prijave je onaj koji otkriva minimum informacija osistemu kako bi se izbeglo pružanje bilo kakve pomoći neovlašćenomkorisniku

Sigurni proces prijave je onaj koji otkriva minimum informacija o sistemu kako bi seizbeglo pružanje bilo kakve pomoći neovlašćenom korisniku. Trebao bi biti dizajniranda smanji mogućnost neovlašćenog pristupa sistemu, imajući u vidu da je loša kontrolalozinke jedan od najlakših načina za pristup napadačima. Proceduru bi trebalo da konfigurišeadministrator sistema, koristeći opcije podešavanja koje pruža Microsoft paket kao odgovorna nalaze procene rizika, kako bi se mogle ispuniti preporuke ISO27002:

• Na ekranu ne bi trebalo da se prikazuju identifikatori sistema ili aplikacije dok seprijavljivanje ne završi uspešno.

• Prikaz na ekranu za prijavljivanje treba da sadrži opšte upozorenje da računaru trebada pristupaju samo ovlašćeni korisnici, sa kratkim opisom kriterijuma po kojima suidentifikovani (npr. Zaposleni u organizaciji X).

• Ekran ne bi trebalo da pruža poruke pomoći tokom postupka prijavljivanja (posebno neupozorenja o tome koliko je netačnih unosa dozvoljeno).

21

• Sistem treba da potvrdi podatke za prijavu samo po završetku unosa, a zatim, ako postojigreška, sistem ne bi trebalo da objašnjava koji je deo podataka netačan, već jednostavnozahteva od korisnika da pokuša ponovo.

IDENTIFIKACIJA I AUTENTIFIKACIJA KORISNIKA

identifikacija i autentifikacija

Kontrola A.11.5.2 standarda zahteva da organizacija izda svim korisnicima jedinstveniidentifikator ili korisnički ID za njihovu ličnu i isključivu upotrebu, tako da se aktivnostina mreži mogu pratiti odgovornom pojedincu. Ova kontrola se posebno odnosi na celo ITosoblje, od kojih niko, na primer, ne bi smeo da koristi korisničko ime administratora za svojeuobičajene aktivnosti. Korisnički ID-ovi takođe ne bi trebalo da daju nikakve naznake o nivouprivilegija dodeljenih korisniku, pa se iz tog razloga sve smernice korisnog korisničkog imenazasnivaju na korišćenju jednog ili drugog oblika stvarnog imena pojedinca.

4.2 Sistem za upravljanje lozinkama

SISTEM ZA UPRAVLJANJE LOZINKOM

Kontrola A.11.5.3 standarda zahteva da organizacija ima sistem zaupravljanje lozinkom koji osigurava kvalitetne lozinke.

Kontrola A.11.5.3 standarda zahteva da organizacija ima sistem za upravljanjelozinkom koji osigurava kvalitetne lozinke . Ponovo, ovu klauzulu treba čitati zajedno sakontrolom A.11.3.1 za situacije u kojima korisnici biraju lozinke. Kao što ISO27002 navodi,dobar sistem nameće upotrebu pojedinačnih lozinki i omogućiće korisnicima da sami birajui menjaju lozinke, uključujući postupak potvrde za uklanjanje grešaka. Treba izvršiti izborznakova lozinke minimalne dužine, kao i redovne promene lozinke.

Pored toga, sistem treba da vodi evidenciju prethodnih lozinki i ne sme da dozvoli njihovoponavljanje tokom određenog perioda (npr. 12 meseci ili zauvek), ne bi trebalo da prikazujelozinke na ekranu dok se unose, treba da čuva lozinke u šifrovanom obliku koristećijednosmerni algoritam i odvojeno od podataka aplikacionog sistema, i svakako bi trebalo daizmeni zadate lozinke dobavljača odmah nakon instalacije softvera i hardvera bilo kog opisa.

UPOTREBA SISTEMSKIH USLUŽNIH PROGRAMA

Kontrola A.11.5.4 standarda zahteva od organizacije da ograniči istrogo kontroliše upotrebu sistemskih uslužnih programa.

Kontrola A.11.5.4 standarda zahteva od organizacije da ograniči i strogo kontrolišeupotrebu sistemskih uslužnih programa. Sistemski uslužni programi, koji su tu da

Poglavlje 4 Kontrola pristupa OS-a

22

pomognu sistemskim administratorima, mogu nadjačati sistemske i aplikacijske kontrole.Njihova upotreba stoga mora biti ograničena. Savetnik za informacionu bezbednost iadministratori mrežnog sistema prvo bi trebalo da identifikuju sve dostupne sistemskeuslužne programe i sigurnosne rizike povezane sa njima. Ograničenja koja ISO27002preporučuje mogu se primeniti na neke ili sve komunalne usluge (i, opet, procena rizika ćeovde pomoći da se donesu odgovarajuće prosudbe), su:

• procedure identifikacije, autentifikacije i autorizacije za sistemske uslužne programe;• odvajanje sistemskih uslužnih programa od aplikativnog softvera i ne stavljanje

sistemskih uslužnih programa na raspolaganje korisnicima koji imaju pristup aplikacijamagde je potrebna podela dužnosti;

• ograničenje njihove upotrebe na mali broj pouzdanih korisnika;• ad hoc ovlašćenje za upotrebu komunalnih usluga sistema u određenim okolnostima i /

ili na unapred određeni period;• evidentiranje i praćenje svake upotrebe sistemskih uslužnih programa;• uklanjanje iz sistema ili onemogućavanje svih nepotrebnih uslužnih programa.

VREME ISTEKA SESIJE

Kontrola A.11.5.5 standarda zahteva od organizacije da isključineaktivne sesije, posebno na terminalima smeštenim na lokacijama savisokim rizikom

Kontrola A.11.5.5 standarda zahteva od organizacije da isključi neaktivne sesije, posebno na terminalima smeštenim na lokacijama sa visokim rizikom ili usistemima sa visokim rizikom, nakon određenog perioda neaktivnosti kako bisprečila neovlašćeni pristup. Iako čuvari ekrana zaštićeni lozinkom pružaju određenuzaštitu, oni ne zatvaraju aplikaciju ili mrežnu sesiju. Procena rizika za radne stanice koje senalaze na javnim površinama ili izvan spoljne granice fizičkog obezbeđenja ili su povezane sasistemima visokog rizika može ukazati na to da bi ovo bila neadekvatna zaštita od pokušajaneovlašćenog pristupa. U tim slučajevima radna stanica treba da bude konfigurisana tako dase nakon perioda neaktivnosti definisanog u proceni rizika isključi, očisti ekran i zatvori sesijeaplikacija i mreže. Ovo je sada prilično standardna bezbednost na svim veb uslugama kojeomogućavaju pristup osetljivim informacijama poput podataka o bankovnom računu.

Poglavlje 4 Kontrola pristupa OS-a

23

Poglavlje 5

Kontrola pristupa aplikacijama

KONTROLA PRISTUPA APLIKACIJAMA IINFORMACIJAMACilj kontrole A.11.6 standarda je sprečavanje neovlašćenog pristupainformacijama koje se čuvaju u informacionim sistemima

Cilj kontrole A.11.6 standarda je sprečavanje neovlašćenog pristupa informacijamakoje se čuvaju u informacionim sistemima. ISO27002 dalje objašnjava da pristup uaplikacionim sistemima treba da bude ograničen, koristeći sigurnosne uređaje, a logičnipristup softveru i informacijama treba da bude ograničen na ovlašćene korisnike. ISO27002navodi da bi najbolja praksa mogla da primeni sisteme primene:

• kontrola korisničkog pristupa informacijama i sistemima aplikacija u skladu sa jasnodefinisanom politikom kontrole poslovnog pristupa;

• pružanje zaštite od neovlašćenog pristupa bilo kom uslužnom programu ili operativnomsistemu koji je sposoban da zameni postojeće kontrole u sistemima ili aplikacijama;

• ne ugrožavajući sigurnost drugih sistema sa kojima se dele informacije ili resursi; i• mogućnost pružanja pristupa samo korisniku ili drugim ovlašćenim licima.

Implementacija ove kontrole zahteva, pre svega, proširenje postojeće politike kontrolepristupa na nivo pojedinačne aplikacije i, drugo, odgovarajuću konfiguraciju aplikacionogsoftvera koja odražava politiku. Postoje samo dva potklauzula u A.11.6.

OGRANIČENJE PRISTUPA INFORMACIJAMA IIZOLACIJA OSETLJIVIH SISTEMAKontrola A.11.6.1 standarda zahteva od organizacije da ograničipristup informacijama i funkcijama aplikativnog sistema u skladu sapolitikom kontrole pristupa

Kontrola A.11.6.1 standarda zahteva od organizacije da ograniči pristup informacijama ifunkcijama aplikativnog sistema u skladu sa politikom kontrole pristupa koja je navedena ukontroli A.11.1.1 (vidi poglavlje 18). Vlasnik preduzeća u aplikaciji (i bilo kojim povezanimpodacima) mora da definiše ko će imati pristup toj aplikaciji i, na osnovu svih podataka u njoj,na kom nivou (tj. Čitati, pisati, brisati, izvršavati). Korisnicima treba omogućiti samo minimalninivo pristupa aplikaciji ili njenim podacima, jer pristup previše može povećati rizik od kršenjapoverljivosti i / ili gubitka integriteta. U finansijskim aplikacijama prekomerno ovlašćenje

24

može dovesti do mogućnosti prevare. Posebno je važno definisati nivoe pristupa u pogleduzajedničkih baza podataka; svaka grupa korisnika treba da ima pristup samo podacima kojisu relevantni za njeno sopstveno poslovanje ili aktivnost.

Izolacija osetljivih sistema

Kontrola A.11.6.2 standarda zahteva da organizacija obezbedi osetljive sisteme sanamenskim (izolovanim) računarskim okruženjem. Procenom rizika identifikovaće se onisistemi koji su dovoljno osetljivi da im je potrebna izolacija, tako da je rizik od neovlašćenogpristupa (fizički, logički ili jednostavno nadzorom) ograničen. Ovo će verovatno obuhvatiti sveključne servere na mreži, zaštitni zid i usluge za zaštitu od malvera. Nivo osetljivosti možebiti takav da je potreban pojedinačni (namenski) računar (tj. Ne deli računare, posebno zaserverske aplikacije) ili da se resursi dele samo sa pouzdanim sistemima aplikacija.

Poglavlje 5 Kontrola pristupa aplikacijama

25

Poglavlje 6

Zaključak

ZAKLJUČAKRezime

Kontrola A.11.2 standarda postavlja sprečavanje neovlašćenog pristupa informacionimsistemima. Ima četiri kontrole, sve usmerene na to kako je podešen pristup korisnika i kakosu dodeljena prava pristupa sistemima. Nije prikladno da politiku pristupa korisnicima kreira injime upravlja isključivo IT odeljenje ili HR odeljenje. Kontrola A.11.5 standarda namenjena jesprečavanju neovlašćenog pristupa informacionim sistemima. Svih šest podklauza uglavnomse bave pitanjima tehničke konfiguracije i implementacije. Opet, procena rizika pokreće izborkontrola i opet će ih trebati redovno pregledavati.

Privatna mreža koja prenosi osetljive podatke između lokalnih računara zahteva odgovarajućemere bezbednosti kako bi zaštitila privatnost i integritet saobraćaja. Kada je takva mrežapovezana sa drugim mrežama ili kada joj je dozvoljen telefonski pristup, udaljeni terminali,telefonske linije i druge veze postaju proširenje te privatne mreže i moraju biti zaštićeni uskladu s tim. Pored toga, privatna mreža mora biti zaštićena od spoljnih napada koji bi mogliprouzrokovati gubitak informacija, kvarove u integritetu mreže ili kršenja sigurnosti.

LITERATURAReference

1. Calder, Alan, and Steve Watkins. IT Governance 6th edition: an international guideto data security and ISO27001/ISO27002. Kogan Page Publishers, 2015.2. Kamel, Michel, Abdelmalek Benzekri, François Barrère, and RomainLaborde. "Evaluating the conformity of an access control architecture for virtualorganizations with iso/iec 17799." In 2007 First International Global InformationInfrastructure Symposium, pp. 173-180. IEEE, 2007.3. Van, Haren. Implementing Information Security Based on ISO 27001/27002: AManagement Guide. Van Haren Publishing, 2009.Humphreys, Edward. Implementing the ISO/IEC 27001: 2013 ISMS Standard. ArtechHouse, 2016.4. https://www.isms.online/iso-27001/annex-a-9-access-control/ Više o kontrolipristupa i aneksu A.95. https://advisera.com/27001academy/blog/2016/04/26/how-to-implement-equipment-physical-protection-according-to-iso-27001-a-11-2-part-2/ - Više o aneksuA.11

26

6. https://www.isms.online/iso-27001/annex-a-11-physical-and-environmental-security/7. https://isoconsultantkuwait.com/2019/12/06/a-11-0-physical-and-environmental-security/

Poglavlje 6 Zaključak

27


Kriptografske kontroleLekcija 14

www.princexml.com




KRIPTOGRAFSKE KONTROLE

Kriptografske kontrolePoglavlje 1: EnkripcijaPoglavlje 2: Digitalni potpisiPoglavlje 3: Bezbednost i procesu razvoja i podrškePoglavlje 4: Nadzor i upravljanje incid. vezanih za bez.informPoglavlje 5: Događaji informacione bezbednostiPoglavlje 6: Upravljanje incid. infor. bezbed. i poboljšanjaZaključak




Uvod

UVODuvod

U L12 identifikovali smo osnovne probleme e-commerca.Ova lekcija iznosi rešenja za niz tamoidentifikovanih problema. Cilj kontrole A.12.3 standarda je zaštita poverljivosti, autentičnostii integriteta informacija. U A.12.3.1, ona zahteva da organizacija razvije i sledi politikuupotrebe kriptografskih kontrola za zaštitu informacija. Kao što ISO27002 sasvim s pravomkaže, svaka odluka o tome da li je kriptografsko rešenje prikladno ili ne, trebalo bi da bude deošireg procesa procene rizika i izbora kontrola. Procena opasnosti treba da odredi neophodninivo zaštite koji treba da se pruži informacijama i treba sprovesti vežbanje troškova i koristi.Ova procena rizika takođe treba da se bavi pitanjima kao što je neovlašćeno cirkuliranjeključeva šifriranja; možda bi bilo prikladno da organizacija zadrži kopije svih ključeva zašifrovanje zaposlenih, preti opasnost od gubitka ili nezadovoljstva zaposlenog, prvo šifriranjekritičnih informacija, a zatim uništavanje ključa ili njegovo uklanjanje i držanje organizacijepod otkupom.

3

Poglavlje 1

Enkripcija

ŠIFROVANJEŠifrovanje omogućava organizaciji da zaštiti poverljivost osetljivih ilikritičnih informacija.

Šifrovanje omogućava organizaciji da zaštiti poverljivost osetljivih ili kritičnih informacija.Postoje dve vrste šifrovanja: simetrično šifrovanje, koje koristi isti ključ (ili kod) za šifrovanjei dešifrovanje podataka; i asimetrično šifrovanje, koje koristi jedan ključ za šifrovanjeinformacija i potpuno drugačiji (ali matematički povezan) ključ za njihovo dešifrovanje.

SIMETRIČNA I ASIMETRIČNA ENKRIPCIJAStandard šifrovanja podataka (DES) je široko korišćen simetričnistandard šifrovanja

Standard šifrovanja podataka (DES) je široko korišćen simetrični standard šifrovanja. Koristi seza duge komunikacije i relativno je brz za upotrebu. To je, međutim, prilično stari sistem i to jedovelo do trostrukog DES-a, u kojem se isti podaci šifruju tri puta, koristeći različite ključeve,što eksponencijalno povećava snagu enkripcije. Taster DES (ili tasteri) imaju samo kreatori primalac; ključevi se obično razmenjuju pomoću zajedničkog glavnog ključa ili postojećegprotokola za razmenu ključeva.

Asimetrička, ili enkripcija javnog ključa

Prema ovoj metodologiji, organizacija ima dva ključa, jedan privatni i jedan javni. Svakomože da koristi javni ključ za šifrovanje poruke za organizaciju, znajući da će samo posednikprivatnog ključa moći da ga dešifruje. Jednako tako, sve što se pravilno dešifruje pomoćujavnog ključa mora biti šifrovano pomoću komplementarnog privatnog ključa. Ključno pitanjeu kriptografiji javnog ključa je potvrda valjanosti para ključeva i, posebno, da je imenovanijavni ključ zaista javni ključ organizacije. To se radi sa digitalnim sertifikatom (ponekad senaziva i ID servera, ali tačnije identifikator predmetnog ključa, SKI).

Digitalni sertifikat je šifrovana datoteka koja svedoči o autentičnosti vlasnika;kreira ga pouzdana treća strana poznata kao telo za izdavanje sertifikata (CA).Organ za izdavanje sertifikata pregledaće akreditive bilo koje organizacije koja želi digitalnisertifikat pre nego što ga izda. Ovaj pregled će obuhvatiti Dun & Bradstreet broj ili statut itemeljnu proveru prošlosti kako bi se osiguralo da je organizacija ona za koju tvrdi da jeste.Prijave se obično mogu izvršiti na mreži, putem veb stranice CA, a postupak verifikacijeobično traje između jednog i tri dana.

4

Dokazano je da je digitalni sertifikat autentičan jer sadrži prepoznatljivo ime CA i pravilno sedešifruje pomoću javnog ključa CA. CA može biti sigurni server na mreži (jedinstveni modelpoverenja) ili spoljna organizacija koju mnogi prepoznaju (višestranački model poverenja).Tasteri koji se koriste su 40-bitni ili 128-bitni. Kasnije je podrazumevani standard američkeVlade.

INFRASTRUKTURA JAVNOG KLJUČAX,509 standard

Dobavljači tehnologija javnih ključeva rade na stvaranju industrijske standardne primene kojastandardizuje tipove sertifikata, kao i principe koji se koriste za prepoznavanje i upravljanjeCA, poverljiva strana koja izdaje sertifikate identifikovanim i poznatim trećim stranama.Kritična pitanja u razvoju infrastrukture javnih ključeva (PKI) uključuju usluge direktorijumaza pronalaženje sertifikata za određene pojedince i sredstva za efikasno komuniciranjeopozivanja sertifikata, posebno kada organizacija prestaje da trguje, a njen sertifikat itehnologiju pribavlja manje savesni operater nego onaj koji je prvobitno dobio sertifikat.X.509 je trenutni standard za PKI; definiše standardne formate za sertifikate i algoritam zapotvrdu sertifikata.

Organizacija bi, opet, trebalo da koristi procenu rizika da bi utvrdila da li je šifrovanje ključnakomponenta njenog ISMS-a. Dve glavne oblasti za koje treba razmotriti šifrovanje su zaštitaosetljivih informacija na prenosnim računarima i zaštita informacija koje se šalju preko javnihmreža. Samo najosetljiviji podaci (u zavisnosti od njihove klasifikacije) koji putuju javnimmrežama treba da budu šifrovani, a takva politika treba da se usvoji samo ako se sve njihovekomponente mogu u potpunosti primeniti. Opasnosti uključuju zaposlene koji gube ključeve(što bi učinilo beskorisnim i potencijalno nepovratnim bilo šta šifrovano sa njima).

Ako je rezultat procene rizika da je šifrovanje odgovarajuća zaštita, tada treba potražiti savetstručnjaka za odabir odgovarajuće tehnologije i razmatranje bilo kakvih pravnih implikacijakoje bi mogle da postoje u korišćenju šifriranja ili kriptografske tehnologije. Poznati dobavljačusluga organa za izdavanje sertifikata je Verisign (www.verisign.com). Većina velikih,specijalizovanih bezbednosnih organizacija mogle bi da pruže specijalne savete okriptografiji. Ovaj savet treba da odražava najnoviju situaciju u pogledu vladinih ograničenja(u Ujedinjenom Kraljevstvu, Zakon o elektronskim komunikacijama iz 2000. godine) u pogleduupotrebe kriptografske tehnologije i zemalja u kojima se ona može i ne može koristiti.

Poglavlje 1 Enkripcija

5

Poglavlje 2

Digitalni potpisi

DIGITALNI POTPISDigitalni potpisi se mogu primeniti da bi se zaštitila autentičnost iintegritet elektronskih informacija.

Digitalni potpisi se mogu primeniti da bi se zaštitila autentičnost i integritetelektronskih informacija. Digitalni potpisi se mogu primeniti na bilo koji oblik elektronskogdokumenta, poput elektronskog plaćanja, transfera sredstava, ugovora i sporazuma.Simetrični sistemi kriptografije ne podržavaju poboljšani dokaz integriteta podataka koji jepotreban za digitalni potpis. Metodologija javnog ključa je idealna za ovo; digitalni potpis sekoristi kako pošiljaocu tako i primaocu da osetljivi dokument potiče onako kako je predstavljeni da u njega nije došlo do neovlašćenih promena od njegovog nastanka.

To se postiže upotrebom jednosmerne heš funkcije za transformisanje dokumenta ujedinstveni niz znakova fiksne dužine (ili sažetka) koji je uključen u prenos i šifrovandokument. Sve promene izvršene na originalnom dokumentu promeniće sažetak i kadaprijemnik pokrene heš funkciju na primljenoj datoteci, neće duplirati sažetak. Digitalni potpisisu stoga snažni dokaz da je datoteka izvorna i u svom izvornom obliku, te stoga digitalnipotpisi moraju igrati ulogu u odbacivanju.

Međutim, organizacije takođe treba da dobiju pravne savete o statusu digitalnih potpisa uokviru jurisdikcije za koju će želeti da se pridržavaju osnovnog sporazuma. Nisu sve zemljena istom nivou prepoznavanja digitalnih potpisa, pa bi stoga mogli biti potrebni dodatnisporazumi između organizacija, koji jasno postavljaju osnovu na kojoj će koristiti i priznavatidigitalne potpise. To znači da bi organizacije trebale razmotriti jednačinu troškova i koristi upogledu upotrebe digitalnih potpisa i ne bi smele lagano krenuti ovim putem.

Jasno je da poverljivost privatnog ključa mora biti zaštićena, a organizacija to mora posebnoda adresira kako bi mogla da obezbedi da mu pristup ima samo ovlašćeno osoblje i da sevodi evidencija o njegovoj upotrebi. Javni ključ treba logično zaštititi korišćenjem jednog odpriznatih autoriteta za izdavanje sertifikata.

6

2.1 Upravljanje ključevima

UPRAVLJANJE KLJUČEVIMA - DEO1

Za simetričnu tehniku šifrovanja organizacija će morati da drži utajnosti svoj ključ, jer će svako ko dobije ključ moći da dešifruje sveinformacije šifrovane njime

Kontrola A.12.3.2 standarda zahteva da organizacija u svom ISMS-u postavi sistemupravljanja ključem za šifrovanje koji se zasniva na dogovorenom skupu standarda, procedurai metoda koje podržavaju upotrebu kriptografskih tehnika. Kao što ISO27002 ističe, svakikompromis ili gubitak kriptografskog ključa može dovesti do ugrožavanja poverljivosti,integriteta ili dostupnosti informacija. Očigledno, stoga, organizacija treba da uspostavisistem upravljanja koji odražava procenu rizika i prikladan za kriptografsku tehniku kojukoristi. Kao što je gore objašnjeno, postoje dve vrste šifriranja, a organizacija može da koristijednu ili obe.

Za simetričnu tehniku šifrovanja organizacija će morati da drži u tajnosti svoj ključ, jer ćesvako ko dobije ključ moći da dešifruje sve informacije šifrovane njime. Privatni ključ zaasimetrični sistem takođe se mora čuvati u tajnosti iz istog razloga, mada je očigledno daje javnom ključu namenjen javni pristup. Svi ključevi, i tajni i javni, trebaju biti zaštićeni odneovlašćenih modifikacija ili uništavanja. Treba razmotriti fizičku zaštitu svake opreme koja sekoristi za generisanje ili čuvanje kriptografskih ključeva.

UPRAVLJANJE KLJUČEVIMA - DEO2

ISMS treba da odredi kako se ovim ključevima treba upravljati

ISMS treba da odredi kako se ovim ključevima treba upravljati. Tehnički ulaz u ovaj odeljakISMS-a treba da pruži savetnik za informacionu bezbednost ili dobavljač kriptografskih alatakoje je odabrala organizacija. ISO27002 postavlja niz pitanja za koja preporučuje da ih trebarazmotriti kako bi se uključila u postupak za upravljanje privatnim ili tajnim ključem. Pitanjana koja treba odgovoriti u okviru postupka procene rizika su sledeća:

• Kako se generišu ključevi za različite kriptografske sisteme i različite aplikacije?• Kako se generišu i pribavljaju sertifikati javnih ključeva?• Kako ključeve distribuirati predviđenim korisnicima i kako ih aktivirati?• Kako treba da se čuvaju ključevi i kako da pristupe ovlašćeni korisnici njima?• Kako i kada treba menjati ili ažurirati ključeve? (Poželjno je da ključevi imaju definisane

datume aktiviranja i deaktiviranja kako bi se smanjio rizik od kompromisa.)• Kako treba postupati sa ugroženim ključevima?• Kako i kada ključeve opozvati, povući ili deaktivirati? (Na primer, kada ključni korisnik

napusti organizaciju.)• Kako treba povratiti izgubljene ili oštećene ključeve (tako da se mogu dobiti šifrovane

informacije)?

Poglavlje 2 Digitalni potpisi

7

• Kako treba arhivirati ključeve (jer će kasnije možda biti potrebno dešifrovati informaciješifrovane njima)?

• Kako ključevi treba da budu uništeni, ako uopšte, i kada i na osnovu kojih ovlašćenja?• Kako treba evidentirati, nadgledati i revidirati aktivnosti povezane sa ključem?• Kako treba postupati po zakonskim zahtevima za pristup kriptografski kodiranom

materijalu? (Nešifrovana verzija trenutno šifrovanih informacija može, na primer, bitipotrebna kao dokaz u sudskom postupku!)

Javni ključevi takođe moraju biti zaštićeni. Ako se ne koristi sertifikat javnog ključa, uvekpostoji opasnost da neko falsifikuje digitalni potpis zamenom javnog ključa organizacije. Jedinizaista pouzdan način za izradu takvog sertifikata javnog ključa je upotreba priznatog tela zasertifikaciju.

Poglavlje 2 Digitalni potpisi

8

Poglavlje 3

Bezbednost i procesu razvoja ipodrške

BEZBEDNOST UPROCESU RAZVOJA I PODRŠKEOvo poglavlje se bavi dvema kontrolama seta: sigurnošću sistemskihdatoteka (A.12.4) i sigurnošću u procesima razvoja i podrške (A.12.5).

Ovo poglavlje se bavi dvema kontrolama seta: sigurnošću sistemskih datoteka (A.12.4) isigurnošću u procesima razvoja i podrške (A.12.5). Cilj prvog je da se osigura da se IT projektii aktivnosti podrške sprovode na siguran način (i bez izlaganja osetljivih podataka u testnomokruženju), dok je cilj drugog da održi sigurnost softvera i informacija aplikativnog sistema.Ne postoji duboka, strukturna veza između ove dve kontrole.

3.1 Sistemski fajlovi

KONTROLA OPERATIVNOG SOFTVERA

Kontrola A.12.4.1 standarda zahteva od organizacije da primenikontrole za primenu softvera u operativnim sistemima

Kontrola A.12.4.1 standarda zahteva od organizacije da primeni kontrole zaprimenu softvera u operativnim sistemima. Ovo je očigledna potreba: organizacije suranjive kada se neovlašćeni softver instalira ili ažurira, a rezultat bi mogao biti gubitakpodataka ili gubitak integriteta. Glavni novi softverski paketi treba da se uvode tek nakonšto su opsežno testirani u skladu sa unapred utvrđenim kriterijumima, koji bi trebalo da buduidentifikovani procenom rizika. Obično je razumno imati planirane rezervne kopije, uključujućiobimne kopije podataka, za uvođenja koja utiču na najvažnije funkcije organizacije. Pazitese uvođenja „velikog praska“ gde se uvodi čitav novi sistem i on pušta u rad bez opsežnih istresnih testova.

Softver dobavljača, kakav se nalazi u mnogim organizacionim sistemima, treba održavati nanivou koji podržava njegov dobavljač. To znači da bi organizacija trebalo da prati nadogradnjei, čim se uveri da je nadogradnja bezbedna, treba da je primeni. Zakrpe i hitne ispravketreba primenjivati čim postanu dostupni, osim ako postoji značajan razlog da ih ne primenite.To se može utvrditi pozivanjem na veb lokaciju dobavljača i bilo koji od redovnih izvorainformacija identifikovanih u Poglavlju 4. Dobavljači bi trebali dobiti fizički ili logički pristup

9

softveru instaliranom na sistemima organizacije uz prethodno odobrenje linijskog menadžerai, možda, menadžer informacione bezbednosti takođe. Treba pratiti aktivnosti dobavljača.Organizacija takođe mora da odluči ko će biti odgovoran za obezbeđivanje ažuriranja sistema,a ta odgovornost treba dokumentovati u skladu sa principima.

Organizacija takođe treba da obezbedi da se svi novi softverski proizvodi (uključujućinadogradnje) pribavljaju prema ovlašćenim i jasno identifikovanim poslovnim potrebama i dase pribavljaju odgovarajuće kopije softverskih licenci za stvarni broj korisnika (osiguravajućida se pravi razlika između „ režimi licenciranja istovremenih korisnika i „po sedištu“).

ZAŠTITA PODATAKA O SISTEMSKIM TESTOVIMA

Kontrola A.12.4.2 standarda zahteva od organizacije da zaštiti ikontroliše podatke o ispitivanju.

Kontrola A.12.4.2 standarda zahteva od organizacije da zaštiti i kontroliše podatkeo ispitivanju. Kao što ISO27002 jasno govori, ovo je kontrola koja se prvenstveno odnosi narazvoj operativnih programa. Međutim, čak i uvođenje „gotovih“ softverskih paketa trebalobi da se izvrši tek nakon opsežnog testiranja da li su ispravno konfigurisani, a to bi mogloda uključuje upotrebu podataka o testiranju. Ako će se koristiti lični podaci, tada će njihovaupotreba (u Ujedinjenom Kraljevstvu) biti predmet Zakona o zaštiti podataka iz 1998. Takvipodaci bi trebalo da budu lični. Ako će se koristiti stvarni operativni podaci (a ovo jenajrealniji oblik ispitivanja), postoje potencijalne ranjivosti koje ISO27002 preporučuje da seprepoznaju u proceni rizika i zaštite uvođenjem odgovarajućih kontrola. Oni treba da uključujupostupak autorizacije, postupak kojim se osigurava da se operativni podaci brišu iz sistemaza testiranje nakon upotrebe i revizorski trag svih povezanih aktivnosti.

KONTROLA PRISTUPA PROGRAMSKOM IZVORNOM KODU

Kontrola A.12.4.3 standarda zahteva od organizacije da održava strogukontrolu nad pristupom izvornom kodu programa i povezanimstavkama, koji se obično čuvaju u progr. bibli.izvora

Kontrola A.12.4.3 standarda zahteva od organizacije da održava strogu kontrolu nadpristupom izvornom kodu programa i povezanim stavkama, koji se obično čuvaju uprogramskim bibliotekama izvora. ISO27002 vrlo jasno postavlja korake koje bi organizacijatrebalo da preduzme da bi zaštitila svoju biblioteku izvornih programa. To nije direktnorelevantno za sistem koji pokreće COTS ili unapred upakovani softver, pa stoga ovde nedobija dalje rasprave. Izjava o primenljivosti može sebi priuštiti davanje ovog ili sličnogkomentara protiv ove kontrole u dokumentaciji. Tamo gde izvorni kodovi programa i srodnestavke postoje, pristup njima treba kontrolisati u skladu sa ISO27002, A.12.4.3.

Poglavlje 3 Bezbednost i procesu razvoja i podrške

10

3.2 Proces razvoja i podrške

PROCES RAZVOJA I PROCES PODRŠKE

Kontrola A.12.5.1 standarda zahteva da organizacija strogo kontrolišesprovođenje promena korišćenjem formalnih postupaka kontrolepromena

Kontrola A.12.5.1 standarda zahteva da organizacija strogo kontroliše sprovođenje promenakorišćenjem formalnih postupaka kontrole promena kako bi se minimalizovao potencijal zakvarenje informacionih sistema. Sve promene na sistemima, čak i pravilno ovlašćene, moguoštetiti sistem, što rezultira gubitkom integriteta, dostupnosti i poverljivosti. Postupci zaprijavu i operativne promene treba da budu integrisani, radi jednostavnosti. Postoji niz stavkiza koje ISO27002 preporučuje da ih treba razmotriti za uključivanje u ovaj postupak, kojimogu koristiti standardni obrazac sa prostorom za označavanje polja ili umetanje dodatnihinformacija po potrebi. Tamo gde organizacija već ima formalnu proceduru upravljanjaprojektima (npr. Zasnovana na Prince2 (metod zasnovan na procesima)), sledeći zahtevi ćeverovatno već biti uključeni:

• Trebalo bi da postoji centralna evidencija o odobrenim nivoima ovlašćenja, koja seredovno ažurira za osobe koje napuste ili pridružuju ili promene nivoa vlasti.

• Predloge za izmene sistema treba da podnose samo ovlašćeni korisnici sistema putemcentralizovane šeme, a trebalo bi da postoji revizorski trag zahteva za izmenama,ukazujući koja je odluka doneta za svaki od njih i zašto.

• Postojeće kontrole i procedure treba redovno pregledavati kako bi se osiguralo dapredložene promene neće ugroziti njih.

• Treba identifikovati sav računarski softver, hardver, informaciona sredstva i unose u bazupodataka koji će možda morati da se izmene kao rezultat promene.

• Pre početka rada trebalo bi da bude formalno odobreno za promenu, a verovatno bitrebalo da ga odobri linijski rukovodilac, da bi se pokazalo da postoji poslovna potreba zatim, i savetnik za informacionu bezbednost, da bi pokazao da svi pitanja su procenjenai rešena. Možda će biti potrebno i tehničko odobrenje za dokazivanje da će se promenaili novi softver pokretati na postojećem sistemu i sa ostalim softverom koji je raspoređenna mreži. Značajne promene treba da odobri entitet kao što je forum za upravljanjeinformacionom sigurnošću ili odbor za upravljanje IT-om.

PROCES RAZVOJA I PROCES PODRŠKE - DEO2

Nastavak.

• Promene koda osetljivih aplikacija treba da proveri druga osoba. To bi moglo biti potrebnoza nešto tako jednostavno kao skup promena računovodstvenih ili projektnih kodova, kaoi za složenije aplikacije.

• Primena treba da se sprovodi na način i u vreme koje minimalizuje prekide poslovanja ine remeti poslovne procese.


11

• Dokumentaciju sistema i korisničke procedure treba ažurirati čim se promena primeni, azavršetak ovog koraka treba navesti na obrascu za odobrenje.

• Trebalo bi da postoji neki oblik kontrole verzija za sve ispravke (koristeći sistemnumerisanja dobavljača za ažuriranja softvera dobavljača), a to treba evidentirati ucentralnom registru.

• Pre bilo kakve promene koja se sprovodi treba identifikovati jednostavan put do statusakuo pre promene (možda kroz najnovije rezervne kopije ili kroz postojeći postupakoporavka od katastrofe) i definirati postupak za identifikovanje i ispravljanje bilo kakvegreške ili izgubljeni rad koji su možda posledica neuspele promene.

TEHNIČKI PREGLED APLIKACIJA NAKON PROMENA OPERATIVNOGSISTEMA

Kontrola A.12.5.2 standarda zahteva od organizacije da pregleda itestira (kritične za poslovanje) sisteme aplikacija kada se promenepromene

Kontrola A.12.5.2 standarda zahteva od organizacije da pregleda i testira (kritičneza poslovanje) sisteme aplikacija kada se promene promene. Kao što je navedeno ugornjem odeljku o postupcima kontrole promena, možda će biti potrebno i tehničko odobrenjeza promene. ISO27002 prepoznaje da je ovo kako bi se osiguralo da neće biti negativnihuticaja na bezbednost ili rad sistema. Možda će biti potrebno testiranje sistema kako bi seosiguralo da je to slučaj. Možda će biti potrebno izmijeniti budžet i plan održavanja kakobi se te promjene uzele u obzir, a možda će biti potrebno izmijeniti i planove kontinuitetaposlovanja.

CURENJE INFORMACIJA

Kontrola A.12.5.4 zahteva od organizacije da kontroliše i proveri svojekupovine, upotrebu i modifikaciju softvera kako bi se zaštitila odmogućeg curenja informacija preko tajnih kanala.

Kontrola A.12.5.4 standarda zahteva od organizacije da kontroliše i proveri svojekupovine, upotrebu i modifikaciju softvera kako bi se zaštitila od mogućeg curenjainformacija preko tajnih kanala ili trojanskog koda . Gotovo sav softver dobavljačasadrži tajne kanale koji se uvode u vreme proizvodnje; mnogi od njih su bezopasni, alineki nisu. Organizacije treba da prihvate trenutne savete o verovatnoći postojanja tajnihkanala u softveru koji pokreću i o mogućim ranjivostima koje bi oni mogli stvoriti. Naosnovu ovog saveta (a jedna od blagodati korišćenja uobičajenog softvera proizvedenog odstrane proizvođača je da bi većina takvih tajnih kanala trebalo da se identifikuje priličnobrzo nakon objavljivanja), organizacije bi trebalo da odluče koju akciju, ako uopšte postoje,žele preduzeti u vezi tajnih kanala. Istraživanje za identifikovanje tajnih kanala u kupljenomsoftveru verovatno će biti i skupo i dugotrajno. Mnogo je bolje jednostavno usvojiti politikukupovine softvera samo od renomiranih proizvođača, koji distribuiraju renomirani distributeri,a koji dolazi sa bilo kojim pečatom ili drugom autentifikacijom (od, na primer, nezavisnog


12

ocenjivača koji radi na ISO / IEC 15408, standardu za IT procena sigurnosne tehnologije)netaknuta, a zatim omogućava samo pouzdano osoblje u njenoj blizini.

U zavisnosti od procene rizika, možda će biti potrebno primeniti protivmere kao što suskeniranje odlaznih medija radi identifikovanja skrivenih informacija, maskiranje ili šifrovanjeodlaznih aktivnosti kako bi se trećim licima otežalo tumačenje informacija i redovno praćenjeaktivnosti osoblja i upotrebe sistemske resurse za identifikovanje sumnjivog ponašanja kojebi moglo identifikovati curenje informacija.

Trojanci su malo drugačija stvar. O njima je prvobitno bilo reči u jednoj od prethodnih lekcija,koja je raspravljala o malveru i zaštiti od njega. Trojanske programe je najbolje zaštititipokretanjem odgovarajućih savremenih antimalverskih softverskih programa koji su ocenjenikao efikasni protiv svih poznatih trojanskih programa koji rade u „divljini“.

3.3 Upravljanje ranjivostima

UPRAVLJANJE RANJIVOSTIMA U ORGANIZACIJI

Kontrola A.12.6 standarda dizajnirana je da osigura da organizacijepreduzmu odgovarajuće korake kako bi sprečile štetu koja bi moglanastati eksploatacijom objavljenih softverskih ranjiv.

Kontrola A.12.6 standarda dizajnirana je da osigura da organizacije preduzmuodgovarajuće korake kako bi sprečile štetu koja bi mogla nastati eksploatacijomobjavljenih softverskih ranjivosti. Redovno se ažuriraju centralne prodavnice ranjivosti naBugtrak (www.securitifocus.com/archive/1) i CVE (www.cve.mitre.org). Kao što je diskutovanou prethodnim poglavljima, živimo i radimo sada u eri kada je proteklo vreme izmeđuobjavljivanja (od dobavljača softvera ili, verovatnije, treće strane) detalja o novootkrivenojranjivosti i pojavi prvog virusa ili hak za eksploataciju smanjio se na nekoliko sati - štose naziva "nulti dan". U ovom okruženju, organizacije ne mogu sebi priuštiti da prođu bezsmernica i procesa za pravovremeno, sistematsko, sveobuhvatno i pouzdano ažuriranje svojihsistema svim zakrpama i hitnim ispravkama koje su izdali njihovi proizvođači softvera.

Naravno, preduslovi za takav proces su popis imovine i pravovremeni i pouzdani informativnisistem upozorenja. Popis imovine mora biti potpun i aktuelan i mora sadržati odgovarajućesoftverske informacije: ime dobavljača i detalje za kontakt; serijski broj i broj verzije softvera;detalji trenutno nadograđenih nadogradnji, ispravki i hitnih zakrpa; i lice odgovorno za stvar.

UPRAVLJANJE RANJIVOSTIMA U ORGANIZACIJI - 2

Treba razviti četvorostepeni sistem upravljanja ranjivošću.

Treba razviti četvorostepeni sistem upravljanja ranjivošću. Trebalo bi da osigura dase ranjivosti identifikuju, da se donese odluka o tome kako reagovati na te ranjivosti, da se


13

pažljivo testira pre zakrpe i da se prate radnje kako bi se uspeh (ili na drugi način) mogaonadgledati. Ovaj sistem treba da:

• Dajte prioritet visoko rizičnim sistemima .• Dajte prioritet ranjivosti visokog rizika. Top 20 SANS-a su, konsenzusom, najčešće i

najčešće eksploatisane ranjivosti. Prvo treba da se pozabave njima.• Definisati uloge i odgovornosti u vezi sa upravljanjem ranjivostima, uključujući

nadgledanje i identifikovanje (za sav softver i hardver) ranjivosti i izdavanje zakrpa,procenu rizika, identifikovanje hitnosti sa kojom zakrpa treba da se primeni, sprovođenjestvarnih ažuriranje (pogledajte kontrolu A.12.5.1) i bavljenje bilo kojom koordinacijom.

• Za svaki softver i druge tehnološke stavke identifikujte odgovarajući izvor informacija oidentifikaciji ranjivosti (moguće putem Bugtrak-a ili CVE-a) i izdanju zakrpe (obično veblokacija dobavljača ili upotrebom odgovarajuće konfigurisane mogućnosti automatskogažuriranja), i ovo informacije treba redovno pregledavati i po potrebi ažurirati.

• Osigurajte da postoje unapred određeni vremenski okviri (takvi vremenski okviri koji ćese razviti u svetlu procene rizika na nivou procesa) za identifikovanje rizika od nastavkai nepodnošenja bilo koje zakrpe, za odlučivanje o tome šta treba preduzeti korake i zasprovođenje te odluke - a to bi obično trebalo da bude instaliranje zakrpe, osim akopostoje dobri razlozi da to ne učinite.

• Dozvoliti, pod određenim hitnim okolnostima, zakrpu da se instalira nakon procesareagovanja na incident (vidi poglavlje 25), umesto upravljanja promenama; svaka takvaodluka treba pravilno pratiti i sve zapise ažurirati na odgovarajući način.

• Osigurajte da se, tamo gde je potrebno (proces procene rizika pokreće ovo), i preprimene, zakrpe testiraju i procene kako bi se osiguralo da nema neželjenih efekata nadruge sisteme.

UPRAVLJANJE RANJIVOSTIMA U ORGANIZACIJI - 3

Nastavak3

• Dozvolite, u okolnostima kada zakrpa za identifikovanu ranjivost još uvek nije dostupnaili neželjeni efekti njene primene nisu prihvatljivi, da organizacija usvoji alternativnekontrole, poput isključivanja usluga koje su pogođene njom, modifikovanja zaštitnog zidaili drugog pristupa kontrole, povećavajući svest korisnika o otkrivanju i reagovanju nanapade ili pojačano nadgledanje aktivnosti radi identifikovanja napada na ranjivost.

• Uverite se da uvek postoji dnevnik revizije aktivnosti u vezi sa upravljanjem ranjivostima.• Obezbediti redovno praćenje i pregled procesa upravljanja ranjivošću, ne samo kroz

funkciju interne revizije kako bi se osiguralo da radi u skladu sa specifikacijama, veći od savetnika za informacionu bezbednost kako bi se osiguralo da ta specifikacijaostane adekvatna u svetlu razvoja organizacije procena rizika i plan lečenja rizika, upromenljivom bezbednosnom okruženju.


14

Poglavlje 4

Nadzor i upravljanje incid. vezanihza bez.inform

NADGLEDANJE I ZAPISIVANJE REVIZIJECilj kontrole A.10.10 standarda je otkrivanje neovlašćenih aktivnosti

Cilj kontrole A.10.10 standarda je otkrivanje neovlašćenih aktivnosti. Monitoring će otkritiodstupanja od usvojenih kontrola, uključujući politiku kontrole pristupa, sprečavajućiponavljanje zloupotrebe; prateći događaji treba da se evidentiraju kako bi se obezbedilibudući dokazi u radu sa bezbednosnim događajima. Takav pristup omogućava organizaciji daproveri efikasnost svojih kontrola. Klauzula ima šest pod-klauzula.

Zapisivanje revizije

Kontrola A.10.10.1 standarda zahteva od organizacije da izrađuje i čuva evidentiranednevnike revizije u dogovorenom periodu koji beleže izuzetke i druge događaje povezanesa bezbednošću kako bi pomogli u budućim istragama i praćenju kontrole pristupa. Tragovirevizije su neophodni kada se istražuje šta je pošlo po zlu. Oni pomažu u uspostavljanjudogađaja koji vode ka incidentu, kao i u utvrđivanju nesporne odgovornosti za događaj.

Stoga politiku evidentiranja događaja treba da utvrđuje odgovarajući nivo upravljanja,verovatno predložen od strane savetnika za informacionu bezbednost i saglasan sa forumomza bezbednost informacija o upravljanju. Opsežni i detaljni dnevnici (koje mogu da proizvedumnogi sistemi, uključujući Microsoft) mogu pružiti više informacija nego što je korisno,jer može biti teško analizirati masu podataka kada se traži moguća zloupotreba. Politikabi, prema tome, trebalo da odražava kako ovo treba prilagoditi potrebama organizacije itreba da odražava smernice za najbolju praksu sadržane na veb lokaciji Microsoft Security(www.microsoft.com/security) i one dostupne putem CERT-a (www.cert). org) i NIST(www.csrc.nist.gov).

Evidencije revizije treba da sadrže najmanje korisničke ID-ove; datumi i vremena prijavei odjave; identitet ili lokacija terminala; detalji pokušaja i uspeha i / ili odbijanja pokušajapristupa sistemima, podacima ili aplikacijama; promene konfiguracija sistema; korišćenjeprivilegija, uslužnih programa i aplikacija; detalji datoteka i mreža kojima se pristupa ipokrenuti svi alarmi; i detalje o aktiviranju ili deaktiviranju sistema zaštite kao što je softverprotiv malvera. Evidencije treba čuvati određeno vreme u slučaju da su potrebne za istragu.Iako ovaj period može zavisiti od obima podataka, verovatno bi bio primeren minimalniperiod od jedne godine. Pristup evidencijama očigledno treba da bude zaštićen, i logički ifizički, od neovlašćenog pristupa dizajniranog da prikrije neovlašćene aktivnosti. Nije samopo sebi razumljivo da IT evidenciju treba da vodi evidencija; prikladnije je da ih prikuplja izadržava funkcija interne revizije organizacije. Svakako ne bi trebalo da bude moguće da

15

IT administratori izbrišu ili deaktiviraju evidencije sopstvenih aktivnosti, a organizacija trebada preduzme određene korake kako bi osigurala da se administratorska prava i privilegijeizgrade tako da isključe ovu mogućnost.

NADGLEDANJE KORIŠĆENJA SISTEMAKontrola A.10.10.2 standarda zahteva od organizacije da uspostavipostupke za nadgledanje upotrebe uređaja za obradu informacija i daredovno pregledava rezultate ovog nadgledanja.

Kontrola A.10.10.2 standarda zahteva od organizacije da uspostavi postupke zanadgledanje upotrebe uređaja za obradu informacija i da redovno pregledavarezultate ovog nadgledanja. Ovo je neophodno kako bi se osiguralo da korisnici obavljajusamo one aktivnosti za koje su ovlašćeni i deo je pristupa „prevencija je bolja od lečenja“bezbednosti podataka. Osigurajte da se ovo nadgledanje sprovodi u skladu sa relevantnimzakonodavstvom (u Ujedinjenom Kraljevstvu, Uredba o istražnim ovlašćenjima i aktima oljudskim pravima) i, jednako razumno, ta odredba je predviđena u politici prihvatljiveupotrebe interneta (vidi Poglavlje 17) za sporazum osoblja da se ovo dogodi. ISO27002preporučuje da se procena rizika koristi za određivanje odgovarajućeg nivoa praćenja zapojedinačne objekte i da evidentiranje događaja treba automatizovati. Stavke koje trebanadgledati uključuju detalje o autorizovanom pristupu, uključujući detalje poput korisničkihID-ova, datuma i vremena ključnih događaja i njihove prirode, datotekama kojima se pristupai korišćenim programima ili uslužnim programima. Sve privilegovane operacije (videtipoglavlje 18) treba nadgledati, uključujući upotrebu računa supervizora, pokretanje izaustavljanje sistema i pričvršćivanje ili odvajanje ulaznih ili izlaznih uređaja. Svi pokušajineovlašćenog pristupa treba da se evidentiraju, kao i kršenja smernica i obaveštenja mrežnimmrežnim prolazima ili zaštitnim zidovima, kao i sva upozorenja sistema za otkrivanje upada.Sistemska upozorenja ili kvarovi, poput upozorenja ili poruka na konzoli ili radnoj stanici,izuzeci sistemskih dnevnika i alarmi za upravljanje mrežom takođe bi trebalo da se prate.Funkcije revizije u operativnom sistemu Vindovs treba da se koriste za sprovođenje ovognadzora i konfigurisane tako da odražavaju procenu rizika i u svetlu saveta o konfiguracijikako od nezavisnih stručnjaka, tako i iz dokumentacije preuzete od organizacija kao što jeCERT (www.cert.org).

Rezultat praćenja treba redovno pregledati, a učestalost praćenja treba da zavisi od utvrđenihrizika. Faktori koji će na to uticati uključuju kritičnost aplikacija, klasifikaciju uključenihinformacija, prošlo iskustvo zloupotrebe sistema i obim međusobne povezanosti sistema(posebno sa Internetom).

ZAŠTITA INFORMACIJA LOGOVAU kontroli A.10.10.3, standard zahteva da se sve pažljivo prikupljeneinformacije dnevnika zaštite od neovlašćenog neovlašćenog ometanja ipristupa bilo koje vrste

Poglavlje 4 Nadzor i upravljanje incid. vezanih za bez.inform

16

U kontroli A.10.10.3, standard zahteva da se sve pažljivo prikupljene informacijednevnika zaštite od neovlašćenog neovlašćenog ometanja i pristupa bilo kojevrste. U svakom sudskom slučaju biće presudno da organizacija treba da bude u stanju dadokaže da su podaci iz njenog dnevnika pouzdani, a to se može postići samo ako je odpočetka na odgovarajući način zaštićena. Slično tome, ako se podaci dnevnika mogu menjatiili brisati, organizacija možda neće dobiti upozorenje na zlonamerne aktivnosti na koje seoslanja da bi pokrenula bezbednosne korake. Zaštita uključuje osiguravanje da se datotekednevnika ne mogu uređivati ili brisati, da se beleže sve promene u vrstama poruka i dakapacitet skladištenja datoteka dnevnika nikada nije premašen, jer to može pokrenuti iliprepisivanje prošlih događaja ili neuspeh u beleženju novih događaja.

Jedno od najvećih problema sa evidencijama revizije je što sadrže ogromnu količinuinformacija, od kojih je većina potpuno nevina, jer evidentira sve zaposlene kako rade ono štobi trebalo da rade. Stoga će možda biti neophodno (u zavisnosti od procene troškova i koristi iprocene rizika) da postoji postupak kopiranja određenih vrsta informacija u drugi dnevnik, kojibi, jer bi bili manji, bio lakše pretraživ. Čak i u ovom slučaju, originalni dnevnik treba zadržationoliko dugo koliko je navedeno u politici zadržavanja podataka organizacije i može zahtevatitehnološko rešenje kao što je trezor podataka.

LOGOVI ADMINISTRATORA I OPERATORAKontrola A.10.10.4 standarda zahteva od sistemskog administratora ioperativnog osoblja da vode dnevnik svojih aktivnosti

Kontrola A.10.10.4 standarda zahteva od sistemskog administratora i operativnogosoblja da vode dnevnik svojih aktivnosti. U većini organizacija ovaj se zahtev odnosina osoblje odgovorno za resurse mrežnog sistema. ISO27002 preporučuje da njihovi dnevnici,koji se obično čuvaju u prostoriji za servere i koji su u papirnom formatu (po mogućnosti ne uobliku slova, jer se na taj način stranice lako „gube“), treba da sadrže:

• vreme početka i završetka sistema ili događaja i ko je bio uključen;• informacije o događajima (obrađene datoteke, procesi koji su uključeni);• sistemske greške (šta, datum, vreme) i preduzete korektivne mere;• pravljenje rezervnih kopija, detalji razmene rezervnih traka, rukovanje bilo kojim drugim

kritičnim medijima; i• ime osobe koja vrši upis u log ( dnevnik ).

Ove evidencije treba da proveri funkcija interne revizije organizacije prema ISMS-u kako bi seosiguralo da se postupci pravilno poštuju. Takve provere mogu identifikovati greške koje nekone bi mogao smatrati mogućima, kao što je osiguravajuće društvo koje je rezervni deo svogglavnog servera za držanje podataka klijenta na kaseti za čišćenje glave izrađivalo duže od trinedelje. Jednom identifikovani problem je brzo otklonjen, ali da nije, mogao je pod određenimokolnostima imati velike posledice.Sistem za otkrivanje upada može se primeniti (ili postojeći konfigurisati) za nadgledanjesistema i aktivnosti mrežne administracije administratora sistema i mreže. Očigledno je dabi to trebalo da primeni i nadgleda neko drugi, a ne administratori, a sigurno ima troškove


17

vlasništva i rada koji bi trebalo proceniti kao deo procene rizika koji odlučuje da li je ovoisplativa kontrola ili ne.

EVIDENTIRANJE GREŠAKAKontrola A.10.10.5 standarda zahteva evidentiranje i analizu grešaka ipreduzimanje korektivnih mera

Kontrola A.10.10.5 standarda zahteva evidentiranje i analizu grešaka i preduzimanjekorektivnih mera. Ove greške treba evidentirati, a najefikasniji i najpraktičniji način da seto reši za mreže bilo koje veličine (ali možda će biti potrebna analiza troškova i koristi zaorganizaciju da bi se osiguralo da je to prikladno) je instaliranje nekog oblika softvera službeza pomoć. Ovi paketi evidentiraju detalje svih korisničkih izveštaja i prate radnje preduzeteradi njihovog rešavanja i zatvaranja.

ISMS treba da ima jasne procedure za postupanje sa greškama, određujući ko treba dapreduzme mere u vezi sa kojim greškama i vremenski period u kojem se problem trebarešiti. Ista vrsta detaljnih operativnih standarda pojavila bi se u ugovoru treće strane koji jeprecizirao nivo usluge koji treća strana treba da pruži.

Evidencije kvarova treba redovno pregledavati kako bi se osiguralo da su kvarovi nazadovoljavajući način rešeni. Redovnost će zavisiti od veličine mreže i broja prijavljenihkvarova. U nekim organizacijama bi moglo biti prikladno svakodnevno pregledavatievidenciju, dok bi u drugim mogao biti dovoljan i nedeljni. Treba izvršiti nezavisne proverekako bi se osiguralo da je rezolucija zadovoljavajuća za korisnika i da su zabeleženi detaljitačni.


18

Poglavlje 5

Događaji informacione bezbednosti

DOGAĐAJI VEZANI ZA INFORMACIONUBEZBEDNOSTOdeljak 16 standarda je nov; bavi se upravljanjem incidentimainformacione bezbednosti i pravi važnu razliku između događaja iincidenta

Odeljak 16 standarda je nov ( Link u literaturi za dodatno proučavanje ); bavi seupravljanjem incidentima informacione bezbednosti i pravi važnu razliku izmeđudogađaja i incidenta. Događaj nije nužno incident, dok će incident uvek biti događaj.Drugim rečima, postoji čitav niz događaja koji, budući da su ili očekivani ili neočekivani,možda neće ugroziti integritet, dostupnost ili poverljivost informacija organizacije. Događajise prijavljuju; upravlja se incidentima - što znači da za svaki događaj mora da se doneseodluka o tome da li je reč o incidentu ili ne. Cilj kontrole je osigurati da se događaji kojise odnose na informacionu sigurnost ili koji mogu ugroziti informacionu sigurnost ili slabostipovezane sa informacionim sistemima komuniciraju na način koji osigurava blagovremenekorektivne mere. Ključna perspektiva upravljanja je da koliko god da je ISMS dobar, bićedogađaja informacione sigurnosti. Oni mogu biti slučajni ili mogu biti namerni; namernokršenje može biti zlonamerno ili jednostavno radi zabave hakera. Važno je da organizacija imaproverenu i temeljnu metodu reagovanja na neizbežno. Samo na taj način organizacija možeosigurati dostupnost i integritet svojih podataka.

5.1 Prijavljivanje događaja informacionebezbednosti

PRIJAVLJIVANJE DOGAĐAJA INFORMACIONE BEZBEDNOSTI.

Kontrola A.13.1.1 standarda zahteva od organizacije da uspostavipostupak koji osigurava da se događaji bezbednosti informacijaizveštavaju upravi što je brže moguće

Kontrola A.13.1.1 standarda zahteva od organizacije da uspostavi postupak koji osigurava dase događaji bezbednosti informacija izveštavaju upravi što je brže moguće. Ovaj postupaktreba integrisati sa postupkom reagovanja na incidente i eskalacije kako bi se uspostavio

19

efikasan sveukupni proces. Postupak izveštavanja o događajima treba da započnepozivanjem na odgovornost svakog zaposlenog (i treće strane) u pogledu informatičkesigurnosti u organizaciji, kako je utvrđeno u njihovim ugovorima o radu ili drugom ugovoruo pružanju usluga. Organizacija bi od samog početka trebala razviti kulturu izveštavanja„bez krivice“. Ovo će podstaći osoblje da izveštava o bezbednosnim događajima bez obzirana uzrok ili ko može biti kriv. Ovo je važno, jer organizacija treba da želi da osigura daodgovarajuće osoblje bude upoznato sa događajima koji bi mogli ukazati na ranjivosti kojesu široko rasprostranjene ili kritične i kojima treba formalno pristupiti. Ranjivost je moždarezultat slabosti u obuci, upravljanju, dizajnu sistema ili bilo čemu drugom, ali ako sedrže skrivenim, ne može se rešiti. Bezbednosni događaji uglavnom se svrstavaju u četirikategorije: 1) kršenje bezbednosti (npr. Nepridržavanje smernica ili smernica,nekontrolisane promene sistema, kršenje pristupa, kršenje aranžmana fizičkebezbednosti); 2) pretnja (npr. Član osoblja identifikovan kao haker); 3) slabosti(npr. Neadekvatna kontrola zaštitnog zida ili filtriranje neželjene pošte); ili 4) kvar(npr. gubitak usluge, opreme ili objekata, kvarovi u sistemu ili preopterećenja,ljudske greške, kvarovi softvera ili hardvera). Organizacija može pružiti prikriveni alarmza prinudu u okruženjima sa visokim rizikom (npr. Šalteri banaka), čija upotreba ukazuje na toda član osoblja radi pod prinudom. Povezana procedura treba jasno da navede šta je potrebanodgovor na takav poziv alarma i treba da obezbedi da svako ko radi u izloženom, „rizičnom“okruženju ima odgovarajuću obuku.

Kako je informaciona sigurnost okruženje koje se brzo menja, u kojem se svakodnevnopojavljuju nove pretnje, bilo bi opasno da se postupak izveštavanja ograniči na posebnodefinisane događaje. Svaki zaposleni ili ugovarač treba da bude obučen da pazi na sumnjivedogađaje koji bi, prema njihovom mišljenju, mogli uticati na informacionu sigurnost, i daih prijavi što je pre moguće. Postupak izveštavanja može pružiti neekskluzivne primeredogađaja koji mogu spadati u svaku kategoriju.

Generalno, postupak izveštavanja treba da bude brz i da ima ugrađen višak. Takođe trebada omogući da se uočenim vanrednim problemima pribavi neposrednija pažnja. Trebalo bida postoji neki oblik eskalacije. Iako ISO27002 preporučuje da postoji jedna kontakt tačkaza prijavljivanje svih bezbednosnih događaja, verujemo da je to često neadekvatno. O svimincidentima moglo bi se izvesti najmanje dve osobe, od kojih bi obe trebale biti preduzeteodgovarajuće mere.

PRIJAVLJIVANJE DOGAĐAJA INFORMACIONE BEZBEDNOSTI - 2

Nastavak 2

Stoga bi postupak mogao zahtevati da se svi incidenti prijave neposrednom direktnommenadžeru (ili, za nezavisne dobavljače, ugovorno identifikovanom organizacionomkontaktu) ili, u njegovom odsustvu, njegovom zameniku. Istovremeno treba izvesti direktnosavetniku za informacionu bezbednost, koji treba da ima široko oglašeni broj mobilnogtelefona rezervisan posebno za prijem ovih izveštaja. Od ove dve osobe trebalo bi dase preduzmu neposredne, odgovarajuće mere (u granicama njihove obuke i dokazanekompetencije) da bi se rešile te teme i da bi komunicirale međusobno što je pre mogućekako bi koordinirale svoje akcije. Ova struktura bi omogućila linijskom menadžeru da izvučenekoga iz određenog zadatka, dok savetnik za informacionu bezbednost organizuje izolovanje

Poglavlje 5 Događaji informacione bezbednosti

20

očigledno zaražene radne stanice ili preduzimanje značajnijih akcija u slučaju napada većihrazmera.

Izveštavanje treba da se vrši e-poštom (osim ako se sumnja na incident sa zlonamernimsoftverom) i telefonom ili lično. Prednost e-pošte je u tome što kasnije pruža dokaze otome kada je tačno prijavljen događaj i, sa stanovišta zaposlenog, dokazuje da je prijavasastavljena odmah. Ako, međutim, radna stanica zaposlenog ne radi pravilno, elektronskaprijava ove činjenice ne mora nužno biti pametna! Savetnik za informacionu bezbednostorganizacije mora da odluči kako će se postupati sa ovom okolnošću i da u svetlu svojeprocene rizika uključi odgovarajuća uputstva u postupak izveštavanja.

Vreme u kojem se zahteva odgovor na neki događaj treba da bude jasno navedeno upolisama, za svaku vrstu događaja. Postupak treba da zahteva da se osobi koja je obavestiladogađaj saopšti ishod u tom roku ili, ako će biti sprovedena kasnija istraga, u određenomroku nakon njenog završetka. Trebalo bi da postoji postupak eskalacije, tako da zaposlenizna kome još treba da prijavi događaj, ako u odgovarajućem roku ne postoji odgovarajućiodgovor. Svaka organizacija će želeti da se eskalaciji pozabavi drugačije, u skladu sa drugimpostupcima eskalacije i postojećom kulturom. Ovo je prikladno; što se brže ISMS možeintegrisati u postojeća ponašanja, to će pre biti efikasan.

Postupak izveštavanja o događajima takođe treba da utvrdi koje korake treba preduzetikao odgovor na događaj i vremenske okvire u kojima ih treba preduzeti. Od savetnika zainformacionu bezbednost treba tražiti da izradi proceduru odgovora na događaj, kreirajućidokument izveštaja o događaju koji će se koristiti za opis događaja (i koji sadrži kontrolnulistu koja osigurava sve ključne informacije - datum, vreme, šta se dogodilo, poruke ekrana,ko je šta uradio, ključni udarci, itd. - o događaju se prikuplja), kao i ko ga je prijavio i kada, ato određuje radnju potrebnu za njegovo rešavanje i vremenski okvir u kojem treba preduzeti.Svim zaposlenima (i trećim stranama) trebalo bi da bude jasno da sami ne preduzimajunikakve radnje da bi se bavili događajem, a postupak bi trebalo da podseti sve na disciplinskipostupak koji će se primenjivati u slučaju kršenja ISMS-a .

5.2 Prijavljivanje kvara softvera

PRIJAVLJIVANJE KVARA SOFTVERA(APLIKACIJE)

Kontrola A.13.1.1 standarda uključuje zahtev za prijavljivanjesoftverskih kvarova.

Kontrola A.13.1.1 standarda uključuje zahtev za prijavljivanje softverskih kvarova .Očigledne neispravnosti softvera zabrinjavaju iz dva razloga. Prva je da utiču na sposobnostjednog (i potencijalno više od jednog) korisnika da koristi organizacione kapacitete za obraduinformacija. Druga je da očigledna neispravnost softvera može biti neki oblik infekcije(uključujući špijunski softver) koji može uništiti podatke, a nakon toga i integritet informacijana korisničkoj radnoj stanici i koji bi se takođe mogao, ako nije pravilno kontrolisan, proširitina druge radne stanice organizaciona mreža.


21

Stoga bi postupak izveštavanja o događajima trebalo da sadrži sledeće korake:

1. Korisnici bi za početak trebali biti obučeni da shvate da je svako neočekivano ilineobično ponašanje na radnoj stanici možda kvar softvera.2. Od korisnika treba tražiti da zabeleže simptome i, ako je moguće, sve poruke kojese pojavljuju na ekranu.3. Korisnici bi trebali, ako je moguće, odmah isključiti radnu stanicu sa mreže iprestati je koristiti. Treba identifikovati kontakte identifikovane u postupkuizveštavanja o događajima.4. Savetnik za informacionu bezbednost treba da nadgleda oporavak radne stanice,a posao treba da obavlja adekvatno obučeno i iskusno osoblje. Radna stanica se nesme ponovo napajati dok je povezana na organizacionu mrežu i sve diskete u njoj nebi trebalo prenositi na druge računare dok se incident ne završi i diskete ne očiste odnošenja nekog oblika zlonamernog softvera.

Jasno je da se ova vrsta incidenta ne može prijaviti putem e-pošte, jer postupak zahtevada se radna stanica što pre isključi sa mreže kako bi se izbegao mogući problem koji seširi mrežom. Potrebna je alternativna metodologija izveštavanja, na primer telefonom. Osobakoja prijavljuje incident treba da radi sa istim obrascem za prijavljivanje događaja kao i osobakoja ga je doživela; cilj je osigurati da se prikupi što je više moguće informacija neophodnihza bavljenje događajem.

5.3 Prijavljivanje bezb.slabosti

PRIJAVLJIVANJE BEZBEDNOSNIH SLABOSTI

Kontrola A.13.1.2 standarda zahteva od korisnika informacionihsistema organizacije da beleže i prijavljuju uočene ili sumnjivesigurnosne slabosti u sistemima ili uslugama.

Kontrola A.13.1.2 standarda zahteva od korisnika informacionih sistemaorganizacije da beleže i prijavljuju uočene ili sumnjive sigurnosne slabosti usistemima ili uslugama. Tamo gde se slabosti prijavljuju direktno dobavljaču usluga (štomože biti način na koji se postavlja ugovor o pružanju usluge), njih takođe treba prijavitiinterno. Treba pratiti odgovor dobavljača usluga i zabeležiti efikasnost njegove akcije zapopravljanje slabosti. Ove informacije imaju vrednost u praćenju ukupnih ugovornihperformansi pružaoca usluga; takođe postoji mogućnost da ako se slabost ne reši brzo,organizacija može biti izložena, pa je stoga neophodno da se prati napredak u suočavanju sanjom.

Odgovor na prijavljenu slabost trebao bi, baš kao i kod kršenja bezbednosti, razlikovati oneza koje postoji standardni odgovor i one za koje će morati da se odredi nestandardan, aliodgovarajući odgovor. Većina slabosti zahtevaće određeni korak ili niz koraka koji će sepreduzeti da bi se rešili. U slučaju nestandardnih slabosti, savetnik za bezbednost treba dapotpiše i datira obrazac za izveštavanje nakon što se preduzmu potrebni koraci i završe


22

testovi koji pokazuju njihovu efikasnost. Za standardne događaje, uzorak se može odjavitikada savetnik za informacionu bezbednost bude uveren, na osnovu sistematskoguzorkovanja, da se događaji na odgovarajući način obrađuju. Vremenom, a na osnovuzadovoljavajućeg uzorkovanja, nivo i učestalost uzorkovanja mogu se smanjiti. Jasno je da sviobrasci moraju biti numerisani i podneti kao deo ISMS evidencije.

Slabosti treba prijaviti kroz isti postupak izveštavanja o događajima kao i onaj koji se bavidogađajima. Drugim rečima, organizacija bi trebalo da ima samo jedan sveobuhvatan sistemizveštavanja o događajima koji se bavi čitavim nizom mogućih bezbednosnih događaja.Osoblju je lakše da nauči da koristi jedinstveni konsolidovani sistem, nego da im da niz razlikau pogledu vrste događaja i, prema tome, koji sistem da koriste pre nego što mogu da napraveizveštaj. Na ovaj sistem se treba pozivati u ugovorima o zaposlenima i trećim stranama, kaošto je ranije opisano.

Postupak izveštavanja o događajima treba jasno da kaže da oni koji otkrivaju potencijalnuslabost ne bi trebali sami pokušavati da to dokažu. Ne samo da njihove sopstvene veštine nebi mogle da budu kontrolisane, već bi organizacija takvu akciju mogla (i trebalo bi) da tretirakao potencijalnu zloupotrebu sistema i zbog toga bi verovatno dovela do disciplinskih mera.


23

Poglavlje 6

Upravljanje incid. infor. bezbed. ipoboljšanja

UPRAVLJANJE INCIDENTIMA INFORMACIONEBEZBEDNOSTI I POBOLJŠANJAOvaj novi kontrolni cilj uveden je kako bi se osiguralo da organizacijaima dosledno efikasan pristup u rešavanju događaja i slabostiinformacione bezbednosti,

Ovaj novi kontrolni cilj uveden je kako bi se osiguralo da organizacija ima dosledno efikasanpristup u rešavanju događaja i slabostiinformacione bezbednosti, posebno onih koji suidentifikovani kao „incidenti“. Takođe doprinosi pokazivanju da su ispunjeni zahtevi klauzulastandarda 7.2 (korektivna mera) i 7.3 (preventivna mera), pa bi postupci koji su razmotreniu daljem tekstu trebali biti uzeti u obzir zajedno sa zahtevima za nadgledanjem, revizijom ipregledom koji su razmatrani u lekciji 15. Postoje tri pod-klauzule.

6.1 Procedure i odgovornosti

PROCEDURE I ODGOVORNOSTI U VEZI SA INF.BEZB.

Kontrola A.13.2.1 zahteva od organizacije da uspostavi upravljačkeodgovornosti i odgovarajuće procedure kako bi se obezbedio „brz,efikasan i uredan odgovor“ na događaje u vezi sa inf.bez.

Kontrola A.13.2.1 zahteva od organizacije da uspostavi upravljačke odgovornosti iodgovarajuće procedure kako bi se obezbedio „brz, efikasan i uredan odgovor“ nadogađaje u vezi sa informacionom sigurnošću. Ovo je deo ukupnog zahteva za jasnimrazgraničenjem odgovornosti i jasno osmišljenim procedurama za postupanje sa događajimapre nego što postanu kritični.

Prvi korak je da savetnik za informacionu bezbednost odluči da li je događaj incident iline, i prema tome kakav bi mogao biti odgovarajući odgovor na njega. Događaji koji ćese verovatno klasifikovati kao incidenti, a prema tome podležu proceduri reagovanja naincidente, uključuju:

24

• Infekcije zlonamernim softverom (mora postojati razlika između onih nosača koji seuhvate i neutrališu na prolazu i onih koji uspešno zaraze mašinu).

• Prekomerna neželjena pošta.• Kvarovi informacionog sistema.• Odbijanje ili gubitak usluge, bilo hakerskim napadima ili radnjom ili nečinjenjem

dobavljača (korisnik možda neće uvek moći da napravi razliku između njih dvoje, i iakosimptomi imaju različite uzroke, vredi ih zajedno lečiti). Oporavak će podrazumevatiodređene radnje informatičkog osoblja i IT osoblja, a možda će biti potrebna upotrebarezervnih kopija, izvora neprekidnog napajanja (UPS) i rezervnih lokacija i sistema.

• Greške u poslovnim informacijama koje su rezultat grešaka u ulaznim podacima(nepotpune ili netačne).

• Kršenja poverljivosti ili integriteta.• Zloupotreba informacionih sistema.

POSTUPAK REAGOVANJA NA INCIDENT

Postupak reagovanja na incident treba da utvrdi kako se postupati sasvakom od ovih vrsta incidenata

Postupakreagovanja na incident treba da utvrdi kako se postupati sa svakom od ovih vrstaincidenata i treba da sadrži planove za vanredne situacije koji pomažu organizaciji da nastavida funkcioniše dok se incident rešava. Trebalo bi da odražava plan tretmana rizikaorganizacije, a kriterijume po kojima se rešavaju incidenti treba da formalno odobri forumza bezbednost informacija o upravljanju. Odbor će možda morati da se potpiše sa onimkriterijumima odgovora koji su podrazumevali značajan period ili širinu prekida ili za kojemogu biti značajni troškovi. Planove za vanredne situacije treba, u najvećoj mogućoj meri,testirati pre nego što budu potrebni. Korisnici bi trebalo da budu obučeni za njihovu upotrebui uključeni u redovan program testiranja u nepredviđenim situacijama. Nalazi ovog programaispitivanja treba da budu ugrađeni u sledeću verziju svake procedure, a sva dokumentacijakoja opisuje planirana ispitivanja i njihove ishode treba da bude deo ISMS zapisa. Procesupravljanja incidentima (planiranje u vanrednim situacijama) bi, prema tome, trebalo daobuhvati:

• neposredno ograničavanje ili ograničavanje svakog daljeg uticaja incidenta;• identifikovanje incidenta i njegove ozbiljnosti, uz bilo koju analizu neophodnu za

utvrđivanje njegovih uzroka, uključujući ranjivosti koje je iskoristio;• taktike (koje su u skladu sa organizacionim prioritetima i pristupačne) za suzbijanje

incidenta, tako da se šteta ne širi;• korektivne mere, koje bi trebalo sprovesti tek nakon odgovarajućeg planiranja (setite se

PDCA modela) i koje bi takođe trebalo da imaju za cilj sprečavanje ponovnog pojave;• komunikacija, svakako sa pogođenim i onima koji su uključeni u korektivne mere; i• Procedure i odgovornosti u vezi sa inf.bezb.

Poglavlje 6 Upravljanje incid. infor. bezbed. i poboljšanja

25

Slika 6.1.1 PDCA model

FAZE IDENTIFIKACIJE INCIDENTA I KOREKTIVNE AKCIJE

Faze identifikacije incidenta i korektivne akcije treba da uključujuprikupljanje svih dokaza koji bi kasnije mogli biti neophodni za analizunastanka problema

Faze identifikacije incidenta i korektivne akcije treba da uključuju prikupljanje svih dokazakoji bi kasnije mogli biti neophodni za analizu nastanka problema, za raspoređivanje kaoforenzički dokaz na sudu (krivični ili građanski) koji bi mogao uslediti ili u vezi sa bilo kojimkršenjem propisa. do toga moglo doći i za podršku u pregovorima o naknadi sa dobavljačimasoftvera ili usluga. Savetnik za informacionu bezbednost treba da bude svestan kako daprikupi i obezbedi dokaze koji mogu imati forenzičku vrednost, a ako on to nije, treba da sepreduzmu mere za odgovarajuće kvalifikovanog stručnjaka koji će prisustvovati sastanku zaplaniranje i oporavak upravljanja incidentima.

Sve u svemu, akcije oporavka od sigurnosnih incidenata i ispravljanja sistemskih kvarovatrebale bi biti pod formalnom kontrolom:

• Samo identifikovano i ovlašćeno osoblje treba da ima pristup pogođenim sistemima podnaponom tokom perioda upravljanja incidentima.

• Sve hitne akcije treba dokumentovati što je moguće detaljnije u to vreme - što možezahtevati da neko bude zamenjen da radi zajedno sa savetnikom za informacionubezbednost sa isključivom odgovornošću za evidentiranje odluka i radnji onako kako sedogode (ili ako to može obaviti tek nakon događaja, što je pre moguće, dok su uspomenejoš sveže).

• Procedura eskalacije mora biti jasna, a rukovodstvo treba obavestiti o događajima uskladu sa prethodno dogovorenim nizom kriterijuma, tako da se o najozbiljnijimdogađajima obaveštava odbor, a manje ozbiljnim samo forum za bezbednost informacijao upravljanju itd. Linijski rukovodioci i odgovarajući funkcionalni menadžeri trebalo bi dadobijaju izveštaje koje ISMS zahteva od njih.

• Glavni cilj mora biti da se poslovni sistemi što pre vrate u radni status i da se potvrdi daje njihov integritet ponovo uspostavljen i da sve neophodne kontrole ponovo rade. Čimje moguće nakon incidenta, savetnik za informacionu bezbednost mora biti u stanju dapotvrdi da je integritet sistema vraćen. Ova potvrda treba da bude vremenski određena,datirana i potpisana i unesena u evidenciju o incidentima u ISMS dokumentaciji.

• Moraju se predvideti rad izvan organizacionih i nacionalnih granica, jer neki bezbednosniincidenti nadilaze pojedinačne organizacije ili države.


26

6.2 Učenje iz incidenta i prikupljanjedokaza.

UČENJE IZ INCIDENTA I PRIKUPLJANJE DOKAZA

Ovo je glavni doprinos usklađivanju sa klauzulom 7.3 o preventivnomdelovanju, delu procesa kontinuiranog poboljšanja

Ovo je glavni doprinos usklađivanju sa klauzulom 7.3 o preventivnom delovanju, delu procesakontinuiranog poboljšanja. Kontrola A.13.2.2 standarda zahteva od organizacije danavede, kvantifikuje i nadgleda vrste, obim i troškove incidenata i kvarova. Tose lako može učiniti uključivanjem odeljaka u obrazac za odgovor na incidentkoji omogućavaju prikupljanje osnovnih informacija na mestu nastanka. Razumno jekoristiti standardizovani opis za većinu slabosti i incidenata, ali neće biti praktično mogućeizraditi standardnu listu dok organizacija nema 12 ili više meseci praktičnog iskustva otome kakva vrsta incidenata se dovoljno često dešava sama po sebi okruženje za usvajanjestandardnog skupa pojmova. Na početku će biti dovoljno analizirati incidente izmeđukategorija identifikovanih u standardu: incidenti, slabosti i kvarovi.

Informacije iz obrazaca za odgovor na incident treba redovno prikupljati, a svakih šestmeseci, ili najmanje jednom godišnje, forum za informacionu bezbednost treba da ihpregleda. Forum za upravljanje informacionom sigurnošću treba da želi da vidi analizu(mesečno, kvartalno ili godišnje, u zavisnosti od procene rizika) bezbednosnih incidenata,tako da se mogu identifikovati bilo kakvi trendovi, i resurse preraspodele kako bi se naodgovarajući način minimalizovao uticaj bilo kakvih budućih pretnji. Ovaj pregled takođetreba da identifikuje incidente koji se ponavljaju ili sa velikim uticajem, ili niz incidenata naniskom nivou, što kada se zajedno razmotre mogu biti simptomi mnogo većeg ili značajnijegpojedinačnog problema, od kojih bilo koji može ukazati na potrebu za pojačanim meramada ograniči učestalost, štetu ili troškove budućih pojava. Polugodišnji izveštaj takođe trebada bude jedan od dokumenata koji se uzimaju u obzir kad god se preispituju bezbednosnapolitika i sami ISMS. Zapisnik sa sastanka foruma treba da navede koje su odluke, ako su idonete, donete u vezi sa pregledom incidenata.

PRIKUPLJANJE DOKAZA

Kontrola A.13.2.3 standarda zahteva od organizacije da obezbedi dasvi dokazi koje ona izvede u akciji protiv pojedinca ili organizacije buduu skladu sa pravilima za dokaze utvrđenim u zak.

Kontrola A.13.2.3 standarda zahteva od organizacije da obezbedi da svi dokazi kojeona izvede u akciji (bilo građanskoj ili krivičnoj) protiv pojedinca ili organizacijebudu u skladu sa pravilima za dokaze utvrđenim bilo u relevantnom zakonu bilou pravila suda u nadležnosti u kome će se radnja održati. Ovaj zahtev uključujeusklađenost sa bilo kojim objavljenim standardom ili kodeksom prakse za izvođenje


27

prihvatljivih dokaza, tako da postoji razumna mogućnost da izvedeni dokazi budu i prihvatljivii odgovarajućeg kvaliteta.

Ovaj zahtev je prilično očigledan; advokati organizacije će verovatno pružiti ovaj podatak utrenutku pripreme slučaja. Stoga na jednom nivou u ovom trenutku nisu potrebne dalje akcije.Na drugom nivou, naravno, početno razumni sistemi će taj proces učiniti mnogo lakšim. Takvirazumni sistemi zasnivaće se na zadržavanju kopija svih dokumenata, osiguravajući da sepromene dešavaju u odgovarajućem okruženju za upravljanje promenama i osiguravajući dase politike i postupci razumeju i poštuju.

Takođe je važno osigurati da postupak za postupanje u slučaju bezbednosnih događaja iincidenata uključuje odeljak o prikupljanju i pripremi dokaza i da je celo osoblje koje ćeverovatno imati ulogu u istrazi takvih incidenata obučeno u ovom aspektu. Na početku istragebezbednosnog incidenta nije uvek jasno može li uslediti pravna radnja ili ne. Stoga je mogućeda se bez odgovarajućih postupaka u početku mogu izgubiti vitalni dokazi.

Kao što ISO27002 navodi (u tački 13.2.3), koraci koji bi trebali biti obuhvaćeni istražnimpostupkom su prikupljanje originala svih relevantnih dokumenata, uključujući detalje o tomeko ih je pronašao, gde i kada, sa detaljima svedoka ako su dostupni. Tada bi se te evidencijetrebalo sigurno čuvati kako bi im mogle pristupiti samo ovlašćene osobe i kako ih ne bi bilopetljanja. Kopije računarskih medija (informacije na čvrstim diskovima i prenosivim medijimakao što su CD ROM-ovi i USB stickovi) takođe treba da se zadrže, zajedno sa kopijamapristupnih logova i detaljima svih svedoka. Tamo gde se prave kopije bilo kog računarskogmedija, treba da postoji detaljan dnevnik preduzetih radnji (šta, kako, vreme itd.), I timradnjama treba prisustvovati; jedna kopija ovog dnevnika i računarski medij treba da budusigurno sačuvani.


28

Poglavlje 7

Zaključak

ZAKLJUČAKRezime

ISO27002 objedinio je sve različite aktivnosti praćenja i evidentiranja u novi kontrolni cilj(A.10.10, „Nadgledanje“) i učinio isto sa svim pitanjima izveštavanja i upravljanja incidentimau vezi sa informacionom sigurnošću (tačka A.13 uvedena je 2005. godine). Pritom jeobezbedio da se istakne značaj ove dve oblasti (koje su povezane).

Neophodno je da se od samog početka preduzmu odgovarajući koraci kako bi se osiguraloda će elektronski dokumenti biti prihvatljivi kao dokaz na sudu. Elektronski dokumenti (kojiuključuju svu e-poštu) uvek su presudni za bilo koji sudski slučaj, a organizacije morajupreduzeti odgovarajuće mere kako bi se osiguralo da mogu da se pridržavaju sudskih zahtevaza izvođenjem dokaza. Najbolja praksa u ovoj oblasti sadržana je u BIP 008, „Kodeksu prakseza pravnu prihvatljivost i dokaznu težinu informacija pohranjenih elektronskim putem“, kojaje sadržana u Priručniku o pravnoj prihvatljivosti.

LITERATURAReference

1. Calder, Alan, and Steve Watkins. IT Governance 6th edition: an international guideto data security and ISO27001/ISO27002. Kogan Page Publishers, 2015.2. ISO27k Toolkit, ISMS Auditing Guideline, Version 2, 20173. Sheikhpour, Razieh, and Nasser Modiri. "An approach to map COBIT processes toISO/IEC 27001 information security management controls." International Journal ofSecurity and Its Applications 6, no. 2 (2012): 13-28.4. https://www.isms.online/iso-27001/annex-a-12-operations-security/ Kontrola A.125. https://www.isms.online/iso-27001/annex-a-10-cryptography/ Kontrola – Aneksa.106. https://www.isms.online/iso-27001/annex-a-16-information-security-incident-management/ Aneks A.16

29


Upravljanje kontinuitetomposlovanja, saglasnost i revizija

Lekcija 15

www.princexml.com




UPRAVLJANJE KONTINUITETOM POSLOVANJA, SAGLASNOST IREVIZIJA

Upravljanje kontinuitetom poslovanja, saglasnost i revizijaPoglavlje 1: BS25999Poglavlje 2: Testiranje, održavanje i ponovna procena planovaPoglavlje 3: SaglasnostPoglavlje 4: Prava intelektuelne svojinePoglavlje 5: Regulacija kriptografskih protokolaPoglavlje 6: ISO27001 revizijaZaključak




Uvod

UVODUvod

Kontrola A.17 standarda bavi se kontinuitetom - osiguravajući da je organizacija sposobna dapreživi velike katastrofe, može da se suprotstavi većim poremećajima u svojim aktivnostimai da zaštiti ključne poslovne procese od posledica većih kvarova ili katastrofa i obezbedinjihov pravovremeni nastavak. Ovo je nekada bila jedna od 10 „ključnih kontrola“ originalneverzije BS7799, i iako je ISO27001 više odmeren ka informacionoj sigurnosti, to je i danaskritično. Previše preduzeća propadaju jer nisu imali pravilno promišljene i adekvatno testiranepostupke oporavka od katastrofe. Otprilike 80 procenata organizacija koje pretrpe katastrofujednostavno se ne oporave, već se muče i potom prestaju sa radom u roku od godinu ili dve.

3

Poglavlje 1

BS25999

BS25999 STANDARDLogična polazna tačka za svakoga ko razvija BCP je BS25999, dvodelnistandard kontinuiteta poslovanja koji pruža i specifikaciju sistemaupravljanja i kodeks prakse.

Iako se pet podtačaka kontrole A.17 standarda više bavi načinom na koji bi informacionabezbednost trebalo da bude uključena u plan kontinuiteta poslovanja (BCP), naše stanovišteje da čitalac obično mora istovremeno da se bavi celim problemom. Kontinuitet poslovanjamože se rešiti ugovaranjem sa jednim od mnogih specijalizovanih dobavljača kontinuitetaposlovanja koji će pomoći u razvoju takvog procesa (u tom slučaju ćete morati da obezbediteda su aspekti informacione bezbednosti adekvatno adresirani i da su specifične komponentezaštite i oporavka informacija ugrađen i integrisan sa svim ostalim komponentama plana)ili se može razviti u kući, eventualno koristeći spoljnog specijalnog dobavljača za testiranjeplana i za njegovu specijalizovanu reviziju.

Logična polazna tačka za svakoga ko razvija BCP je BS25999, dvodelni standard kontinuitetaposlovanja koji pruža i specifikaciju sistema upravljanja i kodeks prakse. Sertifikacija BS25999neće ni poboljšati ni umanjiti verovatnoću uspešnog sertifikovanja ISO27001 i nećegarantovati da ispunjavate zahteve kontrole kontinuiteta poslovanja iz Aneksa A ISO27001,iako može imati pozitivan efekat na kupce, dobavljače i zainteresovane strane.

PROCES UPRAVLJANJA KONTINUITETOMPOSLOVANJAKontrola A.17.1.1 standarda zahteva da organizacija ima upravljaniproces za razvoj i održavanje kontinuiteta poslovanja u celojorganizaciji

Kontrola A.17.1.1 standarda zahteva da organizacija ima upravljani proces za razvoj iodržavanje kontinuiteta poslovanja u celoj organizaciji, a mora se pozabaviti zahtevimaza kontinuitetom informacione sigurnosti. Savetnik za informacionu bezbednost mogao bida preuzme vođstvo u postavljanju ovog procesa, sa čim bi trebalo da se složi forum zaupravljanje bezbednošću informacija. ISO27002 preporučuje da postupak treba da:

4

• Osigurajte da se razumeju rizici sa kojima se organizacija suočava u smislu njihoveverovatnoće i potencijalnog uticaja i da se kritični poslovni procesi identifikuju pomoćuprocena rizika i njihova zaštita ima prioritet.

• Utvrdite svu imovinu koja je uključena u kritične poslovne procese.• Shvatite opseg uticaja koji prekidi mogu imati na organizaciju i prepoznajte da mali

incidenti (prekidi napajanja, napadi virusa) mogu biti jednako značajni u pogledudostupnosti podataka, integriteta i poverljivosti kao i veći, dinamičniji događaji (požari,bombe, poplave ).

• Osigurajte da su na raspolaganju odgovarajući finansijski, organizacioni, tehnički iekološki resursi za adresiranje identifikovanih zahteva.

• Osigurati sigurnost osoblja i zaštitu informacionih sistema i organizacione imovine.• Razmotrite mogućnost kupovine osiguranja koje pokriva identifikovane rizike i

obezbedite da premije budu ažurne.• Formulišite i dogovorite se sa linijskim menadžerima i svima koji će verovatno biti

pogođeni strategijom kontinuiteta poslovanja koja je u skladu sa dokumentovanimciljevima i strategijom organizacije. Ovo mora biti samo jedna stranica koja jasno navodisveukupni pristup kontinuitetu, određivanje prioriteta procesa i obim obuke ipreispitivanja.

• Formulišite i dokumentujte detaljne BCP koji su u skladu sa strategijom.• Osigurajte da se planovi redovno testiraju, nauče lekcije i ažuriraju.• Uverite se da je upravljanje kontinuitetom poslovanja ugrađeno u procese i kulturu

organizacije kao što je to uopšte informaciona bezbednost i da su posebne odgovornostiza kontinuitet poslovanja i njegovi aspekti informacione bezbednosti dodeljene naadekvatno visokom nivou u organizaciji.

Broj koraka u ovom procesu detaljnije će biti razmatran kasnije u poglavlju. Poenta oveklauzule je da sve ove aktivnosti treba integrisati u ceo proces, tako da se rupe ne razvijaju,a planiranje je koherentno i potpuno.

KONTINUITET POSLOVANJA I PROCENA RIZIKAKontrola A.17.1.2 standarda zahteva od organizacije da razvije svojustrategiju i planove za kontinuitet poslovanja na osnovu odgovarajućihprocena rizika

Kontrola A.17.1.2 standarda zahteva od organizacije da razvije svoju strategiju iplanove za kontinuitet poslovanja (i za događaje informacione bezbednosti kojimogu prekinuti kritične poslovne procese) na osnovu odgovarajućih procena rizika(verovatnoće i uticaja). Oni zaista zahtevaju početnu identifikaciju svih događaja koji bimogli prekinuti kontinuitet poslovanja. Postoje i veći i manji potencijalni prekidi i oba trebauzeti u obzir. Glavne spoljne uključuju bombe, terorističke aktivnosti, nerede, vatru i poplave.Takođe treba uzeti u obzir neposredno spoljno okruženje i proceniti moguće rizike. Postojeodređene lokacije na kojima su neki takvi rizici očigledni - na primer, opasnost da vozilo nagloskrene sa puta i prođe kroz zid poslovnog prostora upravo tamo - i na drugim mestima gde tonisu - poput mogućnost da član osoblja odnese dnevne prenose u banku i da mu se opljačka.Svaka moguća spoljna, fizička opasnost, događaj ili pojava treba da budu navedeni u sesiji

Poglavlje 1 BS25999

5

moždanih udara. Tada postoje moguće sistemske opasnosti. Zlonamjerni softver, hakerskeaktivnosti i prekidi napajanja sve su moguće opasnosti.

Jednom kada se sastavi iscrpna lista, trebalo bi izvršiti procenu rizika za svaki od njih i za svakiod kritičnih sistema i procesa (ne samo za one informatičke) u okviru preduzeća, i trebalobi da uključi vlasnike procesa. Procene rizika treba izvršiti koristeći proces i dokumentacijurazvijenu za ISMS i treba da utvrde verovatnoću i verovatni uticaj na organizaciju svakog odovih mogućih prekida. Uticaji bi trebalo da uključuju vremenske periode koji potencijalno nedeluju i troškove preduzeća u smislu popravljanja gubitka i izgubljenog posla, kao i drugumoguću štetu koju takvi prekidi mogu prouzrokovati. Posebno treba razmotriti informativneaspekte i uticaje ovih prekida.

Nije najmanji rizik rizik od povrede ili smrti kupaca, dobavljača ili zaposlenih dok su uključeni(ili ne) u organizacione aktivnosti. Postoje potencijalni uticaji nedostupnosti dobavljača,partnera ili osoblja (štrajk javnog prevoza ili zabrana letova aviona mogu imati krajnjeremetilačke efekte na organizaciju). Procena rizika treba da ’identifikuje, kvantifikuje iprioritet postavi u odnosu na kriterijume i organizacione ciljeve’; to znači, na primer, daprocena rizika treba da identifikuje vreme u kojem se sistem mora ponovo pokrenuti ipokrenuti ako će šteta biti ograničena. Verovatno je da će za određeni broj sistema postojatiniz opcija gde će, na primer, ako sistem bude pokrenut nakon pet minuta, šteta iznositi 5procenata ukupnih troškova ili gubitaka, dok ako se poveća tek nakon Za 30 minuta (ili trisata ili tri dana) šteta će biti 30 procenata od ukupne štete.

Ova vrsta analize (koja može zahtevati eksterne smernice stručnjaka) pomaže upreispitivanju inicijalnih prioriteta i doprinosi razvoju strategije kontinuiteta poslovanja.Jednom kada se strategija razvije, odbor treba da je potpiše, a zatim može započeti rad naizradi plana primene.

RAZVIJANJE I IMPLEMENTACIJA PLANOVAKONTINUITETAKontrola A.17.1.3 standarda zahteva od organizacije da blagovremenorazvije planove za održavanje i / ili obnavljanje poslovanja - i osiguravadostupnost info.sistema na potrebnom nivou

Kontrola A.17.1.3 standarda zahteva od organizacije da blagovremeno razvije planove zaodržavanje i / ili obnavljanje poslovanja - i osigurava dostupnost informacionih sistema napotrebnom nivou (to jest u određenom vremenskom roku, koji je do kojih je došlo kaorezultat analize uticaja) nakon prekida ili neuspeha kritičnog poslovnog procesa. Za svakiod identifikovanih procesa treba napisati pojedinačne planove i napisati ih u skladu saprioritetima koji su stigli nakon završetka analize uticaja. To će korisno pružiti organizacijiplanove za rani oporavak zasnovane na njenim najvećim rizicima i poslovnim ciljevima, a nena interesima i veštinama pojedinačnog menadžera. Treba uzeti u obzir svo osoblje i resursekoji bi mogli biti potrebni za izradu određenog plana za vanredne situacije. Vlasnici procesaili imovine, u skladu sa postupkom planiranja, treba da izrade planove, a zatim ih predajusavetniku za informacionu bezbednost na pregled.

ISO27002 preporučuje da proces planiranja kontinuiteta poslovanja treba da osigura da:

Poglavlje 1 BS25999

6

• Postoji jasan opis (koji je odbor potpisao) okolnosti u kojima će postupak biti sproveden.• Postoji jasan opis (koji je odbor potpisao) šta predstavlja maksimalno prihvatljivi nivo

gubitka informacija ili usluga, i ovaj kriterijum treba da pokreće sve aktivnosti.• Sve odgovornosti i detaljni hitni postupci za sve identifikovane prekide sami se

identifikuju i dogovaraju interno.• Postupci u hitnim slučajevima se primenjuju dovoljno brzo da omoguće oporavak i

obnavljanje usluge u navedenom vremenskom okviru. Imajte na umu da oni moraju daomoguće bilo kakve interne ili eksterne poslovne zavisnosti i spoljne ugovore koji mogubiti na snazi. Trebalo bi identifikovati usluge ili resurse - osoblje, druge resurse, spoljneugovore, rezervne aranžmane - neophodne da bi se posao ili informacioni sistemi vratilina prihvatljiv nivo, kao i metode za pristup njima.

• Dogovoreni postupci i procesi su dokumentovani i oni koji su uključeni u sprovođenjepostupaka moraju biti uključeni u njihovo stvaranje. Ovi planovi, koji moraju da sebave organizacionim ranjivostima, i sami će biti izuzetno osetljivi dokumenti i zato imje potrebna odgovarajuća zaštita. Njihove kopije treba bezbedno čuvati na udaljenommestu izvan obima oštećenja lokacije na koju se odnose. Jedan od efikasnih metoda zato je pružanje članova tima za hitne slučajeve odgovarajuće zaštićenim CD ROM-ovimaili USB memorijama (i laptopovima sa adekvatnim napajanjem) koji sadrže planove.

RAZVIJANJE I IMPLEMENTACIJA PLANOVAKONTINUITETA - 2Deo 2

• Osoblje je obučeno za hitne postupke (kako za oporavak, tako i za paralelne operativnepostupke), kao i za ukupnu situaciju upravljanja krizama. Ova obuka treba da budena radnom mestu i treba da uključuje sprovođenje različitih radnji navedenih u hitnimpostupcima sve dok se ne zapamte na odgovarajući način.

• Planovi se testiraju i ažuriraju.• Vlasnik procesa ili sistema odgovoran je za ažuriranje i održavanje plana oporavka i za to

da centralne kopije i one koje se čuvaju na daljinu budu ažurne.

PAS 77PAS 77: 2006 je javno dostupan standard koji se posebno baviupravljanjem kontinuitetom IT usluga

PAS 77: 2006 je javno dostupan standard (koji još uvek nije zvanično usvojen nacionalnistandard, ali ipak koristan javni standard) koji se posebno bavi upravljanjem kontinuitetom ITusluga. Pruža korisna uputstva za osiguravanje da se kontinuitet IT usluga planira i efikasnonjime upravlja u okviru ukupnog organizacionog okvira BCP.

Poglavlje 1 BS25999

7

1.1 Okvir planiranja kontinuitetaposlovanja

OKVIR PLANIRANJA I KONTINUITETA POSLOVANJA

Osnova ovog okvira može biti jednostavna kao matrica (proširenjepopisa imovine) koja identifikuje veze između imovine, procesa,vlasnika i rizika kontinuiteta

Kontrola A.17.1.4 standarda zahteva od organizacije da održi jedinstveni okvirGP-a kako bi se osiguralo da su svi planovi dosledni i da se svi na odgovarajućinačin bave zahtevima informacione sigurnosti, kao i da identifikuje prioritete zaispitivanje, održavanje i ponovnu procenu. Kada postoje promene planova (kao rezultatpersonalnih promena koje dovode do promena vlasnika planova ili ljudi koji su pogođeninjima, ili okoline ili sistema, na primer) ili imovine koju oni pokrivaju (na primer, ako se zakompaniju kreira nova lokacija farme servera) ili na okruženje u kome posluju, tada bi oviefekti mogli uticati na druge planove kontinuiteta. Stoga je neophodno imati okvir, posebnou okviru velike organizacije, kako bi se osiguralo da se svi uticaji bilo kojih promena prenosekroz sve planove. Ovaj okvir treba integrisati sa ukupnim okvirom organizacije za upravljanjepromenama u organizaciji.

Osnova ovog okvira može biti jednostavna kao matrica (proširenje popisa imovine) kojaidentifikuje veze između imovine, procesa, vlasnika i rizika kontinuiteta, tako da je, na primer,lako na prvi pogled videti svu imovinu ili procesi koji bi bili pogođeni požarom ili poplavom, ilida bi se videli svi procesi u vlasništvu određenih pojedinaca i uticaj na ukupni plan kvarova upojedinačnim planovima ili neuspeha u zavisnostima pojedinačnih planova. Takođe bi trebaloda omogući menadžeru informacione bezbednosti (ili, u nekim organizacijama, menadžerurizika) da identifikuje kritične zavisnosti, pri čemu više od jednog plana zavisi od jedne osobeili resursa čiji će sopstveni neuspeh imati značajne posledice za čitav organizacija.

Svaki vlasnik procesa treba da bude odgovoran za izradu i dogovaranje sa savetnikom zainformacionu bezbednost plana kontinuiteta za svoj proces. To bi trebalo da uključuje plan zavanredne situacije, rezervni plan i plan za nastavak, zajedno sa kriterijumima koji određujukada se treba pozvati na njih i pojedince odgovorne za svaki od njih. Vlasnik takođe trebada bude odgovoran za održavanje svog plana. Dobavljači bi trebali biti odgovorni za rezervnearanžmane za ugovorene tehničke usluge, iako bi vlasnik procesa organizacije trebao bitiodgovoran za planove za vanredne situacije.

OKVIR PLANIRANJA I KONTINUITETA POSLOVANJA - 2

Okvir, koji bi trebalo da bude u vlasništvu savetnika za informacionubezbednost, trebalo bi da obezbedi koordinaciju planova u celojorganizaciji

Poglavlje 1 BS25999

8

Okvir, koji bi trebalo da bude u vlasništvu savetnika za informacionu bezbednost, trebalobi da obezbedi koordinaciju planova u celoj organizaciji, postavljajući prioritete planiranja ikontinuiteta, i trebalo bi da pokriva pojedinačne planove domena, testiranje i kontinuiranoodržavanje. Takođe bi, kako identifikuje ISO27002, trebalo da sadrži:

• Postupak eskalacije, koji identifikuje kako proceniti situaciju, ko treba da učestvujeu odluci da se incident eskalira i kome se šta, kada i kriterijumi koji će pokrenutieskalaciju. To može uključivati stvaranje tima za hitne slučajeve (ERT). Trebalo bi dadozvoli mogućnost da nominovane osobe mogu biti odsutne kada se dogodi incidentkontinuiteta i stoga treba da identifikuje alternative. Ovim postupkom treba osigurati dase odgovarajući nivo menadžmenta informiše u određenim rokovima kontinuiteta.

• Interna procedura mobilizacije i brifinga kako bi se osiguralo da svi u organizacijikoji imaju ulogu u suočavanju sa incidentom budu upozoreni i odgovarajuće informisaniu određenom vremenskom roku. To uključuje stvaranje „stabla poziva“, koje identifikujekako menadžeri treba da prenose informacije kroz organizaciju razgovarajući sa njihovimdirektnim izveštajima, koji su zatim odgovorni za razgovor sa njihovim. Ključni pojedincina svim nivoima stabla koje poziva treba da imaju pristup celom stablu, tako da sekaskadni brif i dalje može dogoditi čak i ako neke ključne osobe nisu dostupne da igrajusvoje uloge. Ovo stablo poziva trebalo bi dokumentovati, a detalje o kontaktima ažuriratiu odeljenju za ljudske resurse, a trebalo bi da bude dostupno osoblju (posebno onima kojiimaju kritičnu ulogu u katastrofi) čak i kada mreža ne radi.

• Spoljni postupak mobilizacije i brifinga treba da obuhvati sve treće straneorganizacije koje mogu imati ulogu u suočavanju sa katastrofom i treba da uključirelevantne i odgovarajuće kontakte sa novinarima. Trebalo bi da postoji odgovarajućeobučen medijski tim sposoban da obrađuje sve medijske upite u vezi sa ovim događajem.Možda će biti potrebno uključiti detalje za kontakt za ključne kupce, partnere idobavljače, koji će svi možda trebati sigurnost ili druge informacije u slučaju katastrofe.Sve javne vlasti (npr. Službe hitne pomoći, vatrogasne službe) koje će možda trebati bitiobaveštene ili umešane u slučaju ozbiljnog prekida ili povrede ili gubitka života takođemoraju biti uključene u ovo stablo poziva.


Deo 3

• Savetnik za informacionu bezbednost treba da obezbedi da svi pojedinačni planovikontinuiteta budu predstavljeni u istom formatu. To ljudima olakšava da ih prate u hitnimslučajevima i ljudima koji nisu upoznati sa određenim planovima da ih brzo razumeju.Ovaj format treba jasno da prikazuje uslove pod kojima će se plan aktivirati, kako trebaproceniti situaciju, ko bi još mogao biti uključen i koja vrsta akcija može biti potrebna.Trebalo bi jasno pokazati ko je odgovoran za aktiviranje plana. Takođe treba uzeti u obzirveličinu potencijalnog rizika i uticaj vremena.

• Trebalo bi da postoji čitav niz hitnih postupaka, uključujući kako postupati sa napadimana sisteme, vatrom, poplavom ili drugim fizičkim uticajem na prostorije organizacije.Trebali bi postojati postupci hitne evakuacije, kao i odgovarajući postupci nesreće. Oni bitrebali precizno utvrditi šta ko mora učiniti i trebali bi biti jasno povezani sa gore opisanimstablima pozivanja.

Poglavlje 1 BS25999

9

• Rezervne procedure takođe treba planirati unapred. Za svaki od kritičnih sistemaidentifikovanih u analizi poslovnog uticaja trebalo bi da postoji plan koji omogućavaslužbi da se preseli u alternativne prostorije i radi iz njih u određenom vremenskomokviru i koji osigurava da se pogođeni poslovni procesi vrate u rad u tom vremenskomokviru. Nivo ulaganja u alternativne objekte i rezervne usluge treba da bude vođenanalizom rizika i procenom uticaja; jasno je da procesi i usluge koji su od suštinskogznačaja za opstanak organizacije moraju biti izuzetno operativni. Ovo rezervno planiranjetakođe treba da identifikuje minimalni nivo osoblja potrebnog za rad rezervnih službi i dautvrdi kako će ovo osoblje doći do rezervnog mesta. Rezervne lokacije treba da podležusopstvenoj proceni rizika i treba da obezbede nivo sigurnosti koji odgovara klasifikacijipodataka koji će se tamo obrađivati.

• Svaki plan treba da detaljno navede sve neophodne privremene operativne postupke kojiće se primenjivati dok se obnavljanje ne završi. Oni će se kretati od rukovanja dolaznimtelefonskim pozivima ili upita kupaca / osoblja do mesta za alternativnu dostavu robe.

• Svaki plan treba da sadrži nastavne postupke koji određuju kako se usluga vraća unormalan rad. (Možda će trebati uključiti utvrđivanje detalja o dobavljačima određeneopreme, kako će ta oprema biti konfigurisana i koje su njene zavisnosti i zavisni članovi.)„Normalno“ mora biti jasno definisano (broj transakcija, nivo konfiguracije, itd.), tako daje moguće utvrditi kada je to postignuto.


Deo 4

• Osoblje i ključno osoblje u dobavljačima trebalo bi da prođu obuku o planovimakontinuiteta koji će na njih uticati. Naročito bi trebalo da prođu obuku u prepoznavanjuokolnosti u kojima će možda biti potrebno pozivanje na plan i da budu svesni kojepromene okolnosti mogu uticati na nesmetano funkcionisanje plana kada se na njegapozove, a zatim da osiguraju da se plan revidira uzeti u obzir ove promenjene okolnosti.Proces kojim će se odvijati ova obuka treba biti dokumentovan, a možda postoji i internaveb stranica na kojoj oni koji imaju odgovornosti u skladu sa planovima kontinuitetamogu da razmenjuju iskustva i učenje.

• Odgovornosti svih pojedinaca koji će možda morati da preduzmu određene radnje kakoje utvrđeno u jednom od planova kontinuiteta treba posebno dokumentovati i dodatiopisu posla te osobe. Trebalo bi identifikovati alternative za rešavanje praznika i drugihizostanaka, uključujući neplanirane i nehotične. Proces izlaska osoblja treba da uključujekorak koji preispituje da li postoji uloga plana kontinuiteta i osigurava da se plan i svapovezana stabla poziva odgovarajuće ažuriraju. Slično tome, novi početni postupak trebada omogući identifikovanje uloge plana kontinuiteta u ovoj fazi i ažuriranje dokumenatastabla plana i poziva.

• Kritična sredstva i njihovo mesto boravka (zajedno sa svim informacijama neophodnimza pristup njima) moraju biti dokumentovani za svaku od komponenti svakog plana. Bilokoja posebna operativna veština ili znanje koja bi mogla biti potrebna za upravljanje bilokojom od ove imovine takođe treba da se identifikuje, zajedno sa odredbama o njenojdostupnosti.

Poglavlje 1 BS25999

10

Poglavlje 2

Testiranje, održavanje i ponovnaprocena planova

TESTIRANJE, ODRŽAVANJE I PONOVNA PROCENAPLANOVA KONTINUITETA POSLOVANJANeispitani planovi kontinuiteta samo su malo korisniji od toga da ihuopšte nema.

Kontrola A.17.1.5 standarda zahteva od organizacije da redovno testira planovekontinuiteta poslovanja i sprovodi redovne preglede kako bi se osiguralo da ostanuažurni i efikasni i da se bave zahtevima za informacionu sigurnost. Neispitaniplanovi kontinuiteta samo su malo korisniji od toga da ih uopšte nema. Realnost jetakva da kada se dogodi katastrofa, ljudi nemaju vremena da pretraže poslednjukopiju svog plana kontinuiteta, provere da li je on ažuran ili ne, razmisle šta bitrebalo da urade i zatim to urade.

Korisni plan kontinuiteta je onaj koji glatko i efikasno pokreće akciju kada je to potrebno. Toće se dogoditi samo ako su svi koji imaju ulogu u planu uvežbali ulogu jedan ili više puta i akose plan zatim redovno testira simulirajući okolnosti u kojima mora da funkcioniše i gledajućišta se dešava. Relativno je lako proveriti da li UPS radi ili ne, kao što je lako potvrditi da zvonoalarma radi. Trebalo bi da postoje redovna ispitivanja takve osnovne infrastrukture.

Složene situacije imaju više od jedne promenljive, pa planovi kontinuiteta i simulacijapokretačkih okolnosti moraju biti što realniji. Na primer, jednostavno isključivanje napajanjaserverske sobe da bi se proverilo da li UPS omogućava planirano zatvaranje serverskihsistema nije efikasan test sposobnosti sistema da prežive prekid napajanja. Generalninestanak struje uticaće na sisteme osvetljenja i klimatizacije, kao i na napajanje servera.Treba biti siguran da će se klima-uređaj ponovo pokrenuti nakon nestanka struje, inače će seserveri pregrejati; a ako bi se nestanak struje dogodio u petak uveče nakon radnog vremena,uticaj na poslovanje nastalog pada sistema mogao bi biti težak i sigurno skup. Simulacijatakvog događaja uživo otkrila bi ovaj rizik i dovela bi do revizija plana kontinuiteta tako daje klima uređaj postavljen za pravilno pokretanje i da je elektronski merač temperature uprostoriji za servere povezan sa uslugom upozorenja koja mogao da izvrši ljudsku intervencijupre nego što pregrevanje postane ekstremno.

Planovi kontinuiteta često ne uspevaju da se testiraju, možda zbog pogrešnih pretpostavkio ljudima, hardveru, softveru, redosledu u kome se stvari događaju, međuzavisnosti,promenama opreme ili osoblja ili previdima. Testiranje je stoga suštinska komponentaprocesa planiranja. To je takođe bitan deo procesa održavanja, jer organizacija mora bitisigurna da su promene opreme i osoblja uzete u obzir u revidiranim planovima.

11

TESTIRANJE, ODRŽAVANJE I PONOVNA PROCENAPLANOVA KONTINUITETA POSLOVANJA- 2Treba da postoji detaljan raspored ispitivanja koji jasno određuje kojekomponente plana kontinuiteta treba da se testiraju i ko je odgovoranza testiranje.

Treba da postoji detaljan raspored ispitivanja koji jasno određuje koje komponente planakontinuiteta treba da se testiraju i ko je odgovoran za testiranje. Uobičajene komponenteniza planova, kao i osnovne postupke za vanredne situacije i sisteme upozorenja, trebalobi testirati mnogo češće od onih složenijih i za koje je manje verovatno da će biti potrebni.Procenom rizika utvrđuje se koji planovi spadaju u koje kategorije.

Treba pratiti testove plana kontinuiteta; očekivani rezultati ispitivanja treba da sedokumentuju u vreme izrade plana ispitivanja, a stvarni rezultati se evidentiraju i upoređujusa očekivanim. Treba analizirati razlike i izvršiti odgovarajuće promene ili u planu ili uočekivanim rezultatima u budućnosti. Tada će možda biti potrebna dalja ispitivanja kako bi seosiguralo da promene plana sada daju očekivane rezultate.

ISO27002 preporučuje niz scenarija za upotrebu u ispitivanju planova kontinuiteta:

• Table-top testiranje različitih scenarija uključuje zamišljeno „prolazak“ plana kontinuitetau određenom nizu okolnosti, koristeći zamišljene događaje i predviđajući šta će severovatno dogoditi na terenu.

• Simulacije su jedan od najvažnijih pristupa testiranju, jer simulacije takođe služe zaobuku dotičnih ljudi i pomažu u identifikovanju drugih pitanja koja mogu biti kritična, alikoja nisu identifikovana kroz prolazni test.

• Tehničko testiranje oporavka dizajnirano je da osigura da se sistemi mogu efikasnooporaviti, a ovo bi trebalo započeti osiguravanjem da se sistem ili njegovi pojedinačnielementi mogu vratiti iz rezervne kopije, a zatim bi trebalo da se krene u testiranjerestauracije pojedinačnih servera , a zatim grupe servera, a zatim i celu server sobu.Slabosti u bilo kojoj od ovih oblasti mogu biti značajne, a procesi i veštine osoblja sukritični. U ovom trenutku treba testirati dostupnost rezervnog osoblja i usluga nezavisnihproizvođača, posebno van radnog vremena.

• Testiranje oporavka na alternativnom mestu (u zavisnosti od strategije oporavkaorganizacije) je važno. Pripremljena alternativna lokacija je od suštinskog značaja zavećinu organizacija, inače požar, poplava ili bilo koja druga veća prirodna katastrofamože prinuditi organizaciju da nestane. Važno je testirati sposobnost da nastavite saservisom i radom sa alternativne lokacije, pokrećući rezervne procese i rešavajući sveprobleme osoblja koji bi mogli postojati u takvom slučaju.

TESTIRANJE, ODRŽAVANJE I PONOVNA PROCENAPLANOVA KONTINUITETA POSLOVANJA- 3Nastavak 3

Poglavlje 2 Testiranje, održavanje i ponovna procena planova

12

• Objekte i usluge dobavljača treba testirati kako bi se osiguralo da će ispuniti svojeugovorne obaveze. Naročito je važno testirati one komponente njihovog ugovora koje seodnose na hitnu pomoć ili pomoć izvan radnog vremena, kao i testirati stres kako bi seotkrilo u kojem trenutku mogu propasti.

• Kompletne probe bavljenja velikim katastrofama trebale bi se izvoditi najmanje jednomgodišnje, a možda i dva puta godišnje. To se najbolje rešava korišćenjem spoljnespecijalizovane organizacije za postavljanje i upravljanje probom, koja bi trebalo datestira sve komponente plana i sve delove organizacije. Tačke učenja na takvoj probiverovatno će biti brojne, pa bi stoga pregled posle testa trebao biti sveobuhvatan itrebalo bi da uključuje povratne informacije svih ljudi koji su u njega uključeni.

• Savetovanje o traumi nakon događaja može biti razumna komponenta za plan oporavkaod katastrofe. Možda bi trebalo da bude dostupan i posle većih proba.

• Naravno, potreba za testiranjem BCP aranžmana u bilo kom području smanjuje se ako stebili dovoljno nesrećni da biste morali da se pozovete i testirate taj aspekt BCP aranžmanakao odgovor na stvarni incident. Ključno je ne zaboraviti učiti iz iskustva i nakon toganapraviti odgovarajuća poboljšanja.

• Upravljanje promenama je suštinska komponenta održavanja planova kontinuitetaposlovanja. Postupke upravljanja promenama u organizaciji treba proširiti kako bi seudovoljilo potrebama okvira kontinuiteta. Ovo produženje bi jednostavno trebalo da budeuslov da se za sve promene u hardveru, softveru i poslovnim procesima izvrši proveraneophodnih promena u povezanom planu kontinuiteta i da se one izvrše. Tamo gde supromene značajne (npr. Potpuna promena serverske tehnologije), tada će možda bitipotrebno izmeniti raspored testiranja kako bi se što pre obezbedilo da revidirani plankontinuiteta funkcioniše po potrebi.

Poglavlje 2 Testiranje, održavanje i ponovna procena planova

13

Poglavlje 3

Saglasnost

SAGLASNOST.Kontrola A.18.1.1 standarda zahteva od organizacije da izričito definišei dokumentuje zakonske, regulatorne i ugovorne zahteve za svaki odsvojih informacionih sistema

Kontrola A.18.1.1 standarda zahteva od organizacije da izričito definiše i dokumentujezakonske, regulatorne i ugovorne zahteve za svaki od svojih informacionih sistema, a ovadokumentacija treba da se ažurira kako bi odražavala sve relevantne promene u pravnomokruženju. Specifične kontrole i pojedinačne odgovornosti za ispunjavanje ovih zahtevatrebale bi biti slično dokumentovane i ažurirane. ISMS bi već trebalo da sadrži potpunulistu svih sredstava podataka i procesa u organizaciji, zajedno sa detaljima vlasništva. Ovumatricu treba proširiti tako da identifikuje, za svaki od procesa, zahteve za usaglašenošću.To onda omogućava identifikovanje potrebnih kontrola i individualnih odgovornosti i njihovododavanje u ovu matricu.

Strano zakonodavstvo takođe može biti primenjivo na poslovanje organizacije. Konkretno,zakoni doneti u Sjedinjenim Državama (kao što su Digital Millennium Copiright Act i drugi,o kojima se govori u nastavku) mogu uticati na međunarodno poslovanje organizacija sasedištem u Velikoj Britaniji ili mogu biti osnova na kojoj organizacija sa sedištem u SjedinjenimDržavama preduzima mere protiv Ujedinjenog Kraljevstva na osnovu jednog. Ponovo suneophodni stručni pravni saveti, a brzi, stalni razvoj zakona treba redovno pratiti putembiltena kao što je IT e-bilten Herberta Smitha.

Naravno, u integrisanom sistemu upravljanja postojao bi integrisani pristup praćenju razvojazakona i usklađenosti u svim komponentama sistema. Bezbednost informacija, zdravlje ibezbednost, životna sredina, kvalitet, ljudski resursi, komercijalna i druga pitanja svi bi sesistematski pratili i preduzimali odgovarajući koraci ka usklađenosti unutar organizacije.

ZAKONIEU i UK

Zakoni koje bilo koja organizacija možda treba da identifikuje mogu da uključuju, ali nisunužno ograničeni na:

• Uredba EU. Direktive EU bile su i biće i dalje značajni pokretači regulacije u VelikojBritaniji. Dva najvažnija instrumenta EU, iz perspektive ove klauzule standarda, jesuDirektiva EU o zaštiti podataka iz 1995. godine (imajte na umu da, iako su Sjedinjene

14

Države proglašene „sigurnom lukom“ u svrhe režima zaštite podataka EU 2000. godine,samo relativno mali broj američkih kompanija spada u „sigurnu luku“) i Direktivu oprivatnosti EU iz 2003. Ove direktive daju kontekst britanskom zakonodavstvuidentifikovanom i razmatranom u nastavku, kao i svim promenama koje bi se mogledogoditi u budućnosti.

• Zakonodavstvo UK. Prava intelektualne svojine (IPR), kroz Zakon o autorskim pravima,dizajnom i patentima iz 1988 (CDPA), jedno su od najočiglednijih pravnih pitanja zavećinu sistema za obradu informacija, ali postoji mreža drugih relevantnih zakona. Zakono kompanijama iz 2006. godine, koji objedinjuje i zamenjuje sve prethodne zakone okompanijama Ujedinjenog Kraljevstva, sadrži niz važnih odredbi u vezi sa elektronskomevidencijom, elektronskom trgovinom i elektronskim komunikacijama. Sledeći najvažnijiod ovih zakona je Zakon o zaštiti podataka iz 1998. (DPA), a pored ovog tu su iZakon o ljudskim pravima iz 1998. (HRA), Zakon o istražnim ovlašćenjima iz 2000.(RIPA), Zakon o zloupotrebi računara iz 1990. ( kako su ažurirani Zakonom o policiji ipravosuđu iz 2006. godine), Zakonom o elektronskim komunikacijama iz 2000. godine iPropisima o privatnosti i elektronskim komunikacijama iz 2003. godine. Zakon o slobodiinformacija (FOIA) donesen je 2000. godine i, iako je prvenstveno primenljiv na javnatela, ima potencijal prisiliti na javnu arenu poverljive komercijalne informacije o (naprimer) ugovorima iz javnog sektora.

U Ujedinjenom Kraljevstvu se donosi sve veća količina zakona o korporativnom upravljanju,koji će zahtevati prikupljanje i čuvanje komercijalno osetljivih podataka kako bi se ispunileobaveze izveštavanja. Da bi se pridržavali, direktori će takođe morati da se uvere da sam ITsistem ne predstavlja operativni rizik za kompaniju. Ovi zahtevi, prvobitno sadržani u opštemzakonodavstvu kao što je Zakon o kompanijama (revizija, istrage i preduzeća u zajednici)iz 2004. godine, sada su preneti na Zakon o preduzećima iz 2006. godine. Postoje i propisispecifični za sektor koji sprovode tela poput Uprave za finansijske usluge.

AMERIČKO ZAKONODAVSTVOZakonodavtsvo u USA

• Američko zakonodavstvo. Relevantno američko zakonodavstvo i propisi uključujuGramm-Leach-Blilei Act (GLBA), koji se bavi finansijskim podacima potrošača; Zakon opoštenom kreditnom izveštavanju (FCRA), osmišljen da zaštiti ljude od krađe; Zakono prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA), koji zahteva odzdravstvenih organizacija da štite - i redovno prate - zdravstvene kartone svojihpacijenata; Propis SEC-a, koji zabranjuje selektivno otkrivanje materijalnih nejavnihinformacija; pravilo SEC-a 17 a-4, koje od dilera brokera zahteva da evidenciju trgovanja(dakle, uključujući e-poštu, itd.) čuvaju šest godina; odeljak 404 Sarbanes-Oklei-a (čijije ukupni značaj mnogo veći od ovog pojedinačnog izdanja), koji zahteva od kompanijada čuvaju (između ostalog sredstva) svoje informacije, uključujući e-poštu, priloge itd.; zakon Kalifornijskog senata 1386, koji zahteva obaveštavanje o kršenju bezbednostiličnih podataka i koji se sada podudara sa sličnim zakonima o kršenju podataka nadržavnom nivou u većini američkih država; i Kalifornijski zakon o zaštiti privatnosti namreži iz 2004. (OPPA), koji zahteva da se veb lokacije koje opslužuju kalifornijce (bez

Poglavlje 3 Saglasnost

15

obzira na njihovo geografsko ili jurisdikciono mesto) pridržavaju strogih smernica oprivatnosti.

Banka za međunarodna poravnanja (BIS) je sporazumom Basel 2 postavila vrlo jasnesmernice za banke i finansijske institucije širom sveta, uključujući zahtev da (do 2007.) trebaevidentirati i čuvati tri godine operativnih podataka.

Naravno, ogroman rast propisa o sprečavanju pranja novca, uključujući zahtevemeđunarodne zajedničke radne grupe i američkog Patriot Act-a, proširuje zahtev organizacijada verifikuju podatke o klijentima, a samim tim i da te lične podatke čuvaju u skladu savažećim propisima o sigurnosti podataka..

Poglavlje 3 Saglasnost

16

Poglavlje 4

Prava intelektuelne svojine

INTELEKTUALNE SVOJINEOrganizacije se bave svim vrstama nezavisnih materijala, od kojihneke mogu sadržati prava intelektualne svojine u obliku autorskihprava, prava dizajna ili zaštitnih znakova

Kontrola A.18.1.2 standarda zahteva od organizacije da primeni odgovarajuće postupke kakobi osigurala poštovanje zakonskih ograničenja u vezi sa upotrebom materijala na koji se pravaintelektualnog vlasništva (IPR) mogu primeniti i upotrebom zaštićenih softverskih proizvoda.

Organizacije se bave svim vrstama nezavisnih materijala, od kojih neke mogu sadržati pravaintelektualne svojine u obliku autorskih prava, prava dizajna ili zaštitnih znakova. Kršenjeautorskih prava može dovesti do pravnih postupaka čak i uključujući krivičnipostupak ako je došlo do očiglednog kršenja CDPA. Organizacije bi zato trebale usvojitiodgovarajuće kontrole kako bi se to izbeglo. Široko govoreći, mogu se usvojiti tri kontrole.

Prva je edukativna, osiguravajući da svi u organizaciji razumeju probleme i preduzimajumere kako bi se izbeglo kršenje autorskih prava. Takav pristup zahtevao bi od svih dashvate gde leži granica između legalnog i ilegalnog kopiranja i koji su zahtevi, na primer, zaidentifikovanje izvora informacija sadržanih u novim publikacijama.

Druga je jednostavno zabraniti bilo kome u organizaciji upotrebu bilo kog materijala kojinije razvijen u organizaciji. Ovo, iako je održavanje ploče vrlo čisto, možda nepotrebnoograničava, a organizacija mora da odluči, u svetlu procene rizika, koji će biti njen najboljiput.

Treće je sticanje CLA licence.

4.1 Autorska prava na software

AUTORSKA PRAVA NA SOFTVER - 1

Najvažnije pitanje u bavljenju autorskim pravima je da organizacijaosigura da ne krši autorska prava dobavljača softvera koji koristi

Najvažnije pitanje u bavljenju autorskim pravima je da organizacija osigura da ne kršiautorska prava dobavljača softvera koji koristi. Bilo koji softver koji se pokreće na mreži

17

organizacije potencijalno podleže ograničenjima autorskih prava i neophodno je daorganizacija obezbedi tačan tip i broj licenci za ovaj softver.

Postoje dve vrste korisničke licence. Prva je poznata kao licenca „po sedištu“; drugi jeza „istovremene korisnike“. „Po sedištu“ zahteva da postoji licenca za svaku instalaciju iliinstancu softvera. Na primer, licence za Microsoft Office se isporučuju na osnovu toga.„Istovremeni korisnik“ omogućava maksimalan broj istovremenih korisnika i normalnije jeza deljeni softver, kao što su neke aplikacije baze podataka. To omogućava da se klijentskisoftver instalira na onoliko mašina koliko želi, ali obično je serverski softver podešen takoda neće dozvoliti da istovremeno radi više od dozvoljenog broja korisnika. Različiti softverskipaketi licenciraju se na različitim osnovama, a organizacija mora da bude jasna na koji načinje licenciran svaki njen softverski paket i da li je platila tačan broj licenci.

Na Internetu je dostupan i širok spektar „besplatnih programa“, a to je softver koji se možepreuzeti pod određenim uslovima licenciranja. Uključuje dodatke kao što su Real Plaier,Macromedia Flash itd. Kako ih obično nije moguće preuzeti, a da korisnik ne prihvati uslovelicence, ovde obično nema problema sa praćenjem licenci, iako bi organizacija trebalo da vodiregistar svih takvih licence kako bi se osiguralo da se poštuju njihovi uslovi.

Organizacije moraju da vode registar softverskih licenci koji sadrži sve licence koje poseduju,kao i datume kupovine i, prema potrebi, datume odlaganja. Registar treba ažurirati kadgod se instalira nadogradnja; migracija sa (recimo) MS Windows XP na MS Windows Vistatreba biti jasno zabeležena u registru. Isto tako, svaki put kada se novi računar kupi ili dodau mrežu, registar treba ažurirati tako da odražava bilo koji dodatni softver koji je kupljenili instaliran, a ovaj zahtev treba ugraditi u dokumentaciju o upravljanju promenama. Svelicence identifikovane u registru trebale bi biti uskladištene u registru i dostupne revizoru dapotvrdi njihovo postojanje.

AUTORSKA PRAVA NA SOFTVER - 2

Administrator mreže treba redovno da vrši reviziju softvera koji jestvarno instaliran na mrežnim računarima.

Organizacija treba da u ugovor o pristupu koji je potpisao svaki član osoblja pre nego štomu se dozvoli pristup bilo kom računaru organizacije izjavi da se na računarima organizacijemože koristiti samo licencirani i formalno odobreni softver i da svaka upotreba ilegalnodobijenih ili nelicenciranih softver će dovesti do disciplinskih mera. Organizacija će moratida odluči kako će se nositi sa širokim spektrom besplatnog softvera i sharevare softverakoji je dostupan na Internetu. Procena opasnosti je odgovarajući način za to; zadržavanjezabrane instaliranja softvera koji se može besplatno preuzeti može biti razumno, ali moždaneće biti isplativo. Ovom procenom rizika treba uzeti u obzir da dozvoljavanje bilo kome dapreuzme šta god želi može dovesti do toga da se programi koji nisu povezani sa preduzećem(uključujući špijunski softver i adver) pojave na mreži i oduzmu dragoceno vreme, propusniopseg i kapacitet skladištenja. Ako se ovi programi zatim interno cirkulišu e-poštom,potencijalno mogu prouzrokovati pad sistema kao rezultat preopterećenja sistema. Ovo bi biosigurnosni incident, jer podaci koji su potrebni organizaciji za postizanje svojih ciljeva mogupostati nedostupni.

Poglavlje 4 Prava intelektuelne svojine

18

Administrator mreže treba redovno da vrši reviziju softvera koji je stvarno instaliran namrežnim računarima. Ovo bi trebalo provoditi najmanje jednom godišnje, ali iskustvopokazuje da bi se (naročito u mrežama koje se brzo mijenjaju ili rastu) korisno moglo raditionoliko često koliko i svakog kvartala. Ove revizije mogu da se izvrše pomoću centralizovanogsoftvera za mrežnu administraciju, a iako će se to odnositi na trajno povezane računare,biće neophodno osigurati da se i sve sveske redovno skeniraju. O tim revizijama treba voditievidenciju, pokazujući da su sve mašine revidirane i pokazujući kakve su mere preduzete, akoje bilo preduzeto, radi uklanjanja ilegalnog softvera (ili pribavljanja dodatnih licenci, ako jepotrebno) i postupanja sa prestupnicima.

4.2 Zaštita organizacionih evidencija

ZAŠTITA ORGANIZACIONIH EVIDENCIJA ( ZAPISA )

Kontrola A.18.1.3 standarda zahteva od organizacije da zaštiti svojevažne zapise od gubitka, uništenja ili falsifikovanja

Kontrola A.18.1.3 standarda zahteva od organizacije da zaštiti svoje važne zapiseod gubitka, uništenja ili falsifikovanja. Kao što ISO27002 objašnjava, neke evidencije morajuse čuvati kako bi udovoljile zakonskim ili regulatornim zahtevima, dok će druge možda bitipotrebne za pružanje adekvatne odbrane od potencijalnih građanskih ili krivičnih radnji iliza dokazivanje finansijskog stanja organizacije nizu potencijalnih zainteresovanih strana,uključujući akcionarima, poreskim vlastima i revizorima, kao i za podmirivanje ugovornihobaveza. Evidencije se ne moraju (i ne bi trebale) čuvati zauvek, što može otežatipronalaženje zahtevanog kao i kada je potrebno.

Zbog toga treba odrediti vremenska ograničenja za zadržavanje pojedinih kategorijainformacija. Nakon ovog vremena, evidencije treba uništiti - u skladu sa postupkom koji jeorganizacija usvojila kako bi se osiguralo da bilo koji poverljivi podaci u tim evidencijamanenamerno ne budu objavljeni. Neka vremenska ograničenja biće utvrđena statutom iliuredbom, a organizacija bi sa pravnim savetnicima trebalo da utvrdi koje su trenutnekategorije dokumenata i zahtevi za zadržavanjem. U Ujedinjenom Kraljevstvu, HM Prihodii carine takođe treba da budu ispunjeni. Ostale kategorije i rokovi zadržavanja trebaju seodrediti kao rezultat procene rizika. Veb lokacija za zadržavanje podataka (http://www.e-ra.org.uk/data_retention.htm) daje pregled zahteva za zadržavanjem podataka u UjedinjenomKraljevstvu. Slika je slična za većinu kompanija u njihovim lokalnim jurisdikcijama, a mnogo jesloženija za multinacionalne kompanije ili organizacije koje posluju u više od jedne jurisdikcije.

Treba posvetiti dužnu pažnju mogućoj degradaciji medija tokom vremena i očigledno trebapoštovati sve preporuke proizvođača za skladištenje. U programima za promenu mogu dapostoje implikacije na podatke koji se čuvaju na medijima koji se zamenjuju ili su im dostupnisamo putem medija; možda će biti potrebno zadržati odgovarajuće resurse za pristup oviminformacijama tokom celog određenog perioda zadržavanja, a potrebu za tim treba procenitina početku bilo kog plana promene IT-a.


19

ZAŠTITA ORG.EVIDENCIJA - 2

Tamo gde će se koristiti objekti papirne arhive, važno je uzeti u obzirne samo fizičku sigurnost prostorija, već i to koliko su vodonepropusnei kakva je njihova protivpožarna zaštita

Tamo gde će se koristiti objekti papirne arhive, važno je uzeti u obzir ne samo fizičku sigurnostprostorija, već i to koliko su vodonepropusne i kakva je njihova protivpožarna zaštita. Trebarazmotriti kakav bi rezervni plan bio u slučaju da su same arhivske građevine predmetuništenja. Skladištenje treba pažljivo planirati i izvršiti; pojedinačne kutije ili kutije treba dabudu jasno označene sa njihovim sadržajem, vlasnicima sadržaja, datumom skladištenja iplaniranim datumom uništavanja. Potrebno je da postoji sistem indeksiranja koji omogućavabrzu identifikaciju okvira za skladištenje pojedinačnih dokumenata i preuzimanjedokumenata. Proces preuzimanja i vraćanja dokumenata takođe mora biti strogo kontrolisankako bi se osiguralo da uredni sistem arhiva ne propadne tokom upotrebe, pa je sve težepronaći dokumente. U idealnom slučaju, organizacija treba da imenuje nekoga ko će bitiodgovoran za održavanje arhive, a unutar ISMS-a treba da postoje jasno dokumentovaneprocedure o načinu korišćenja arhive, kao i redovna revizija kako bi se osiguralo da seevidencija vodi u skladu sa postupkom.ISO 15489–1 pruža dodatne informacije o upravljanju organizacionim evidencijama i, kako sena njega poziva ISO27001, bilo bi korisno da svaka organizacija koja ima značajne problemesa zadržavanjem evidencije barem bude upoznata sa smernicama ovog standarda.

4.3 Zaštita podataka i privatnost ličnihpodataka

ZAŠTITA PODATAKA I PRIVATNOST LIČNIH PODATAKA

Kontrola A.18.1.4 standarda zahteva od organizacije da razvije iprimenjuje politiku zaštite podataka i privatnosti, primenjujući kontroluradi zaštite ličnih podataka u skladu sa relev.zakon

Kontrola A.18.1.4 standarda zahteva od organizacije da razvije i primenjuje politiku zaštitepodataka i privatnosti, primenjujući kontrolu radi zaštite ličnih podataka u skladu sarelevantnim zakonodavstvom. Unutar Ujedinjenog Kraljevstva to pre svega znači usklađenostsa Zakonom o zaštiti privatnosti i Propisima o privatnosti i elektronskim komunikacijama,mada će organizacije koje posluju na međunarodnom ili globalnom nivou verovatno podlećidrugim zakonima u drugim zemljama, posebno američkim, kao što je utvrđeno ranije u ovompoglavlju. U tim okolnostima treba zatražiti pravni savet specijaliste.

DPA je naveden na početku ovog poglavlja, a Poverenik za informacije obično prihvatasertifikaciju sistema upravljanja informacionom sigurnošću organizacije prema ISO27001 kaodokaz da zaista štiti lične podatke u skladu sa zakonodavstvom i primenjuje „odgovarajuću


20

sigurnost“. Registracija kod Poverenika za informacije prema Zakonu o zaštiti podatakaapsolutni je uslov i nema odbrane od propusta da to učini, ostavljajući organizaciju otvorenomza krivično gonjenje i novčane kazne.

Obično će organizacija imenovati kontrolora podataka (DC), čija će odgovornost biti daobezbedi da se organizacija pridržava DPA. Svi zaposleni u organizaciji treba da budu svesničlana 55 krivičnih dela identifikovanih u odeljku o DPA gore. Ako se ne radi o veomavelikoj organizaciji, ulogu DC-a obično najbolje preuzima postojeći savetnik za informacionubezbednost. Međutim, ako organizacija zadrži spoljnog dobavljača da deluje kao savetnik zainformacionu bezbednost, ovo bi bio neprimeren korak i za tu ulogu bi trebalo da bude izabranneko drugi, zaposlen u organizaciji. Izjava o pristupu korisnika koju su potpisali svo osoblje idruga lica pre nego što im se odobri pristup organizacionim informacionim objektima trebada sadrži zahtev da svi predlozi za čuvanje ličnih podataka u bilo kojoj strukturiranoj datotecibudu odobreni od strane DC-a i održavani u skladu sa Zakonom o zaštiti podataka.

Organizacije bi posebno trebale biti svjesne ograničenja prenosa ličnih podataka u zemlje kojenisu u okviru Evropske unije. Transferi u zemlje koje nisu članice EU moraju biti obuhvaćenijednim od izuzeća prema Zakonu da bi bili legalni. Ovo ograničenje je posebno važno zaorganizacije koje „isključuju“ bilo koji deo svojih operacija korisničke podrške ili objedinjujuusluge na jednom mestu koje su prethodno pružane iz više nadležnosti.


21

Poglavlje 5

Regulacija kriptografskih protokola

REGULACIJA KRITPOGRAFSKIH PROTOKOLA UORGANIZACIJIKontrola A.18.1.6 standarda zahteva od organizacije da uspostavikontrole kako bi se osigurala usklađenost sa bilo kojim nacionalnimsporazumima, zakonima i propisima

Kontrola A.18.1.6 standarda zahteva od organizacije da uspostavi kontrole kako bi seosigurala usklađenost sa bilo kojim nacionalnim sporazumima, zakonima, propisima ili drugimzahtevima u vezi sa pristupom ili upotrebom kriptografskih kontrola. To je zato što su različitezemlje preduzele različite korake da spreče zloupotrebu kriptografije, uključujući kontrolunad uvozom i / ili izvozom hardvera i softvera koji imaju kriptografske mogućnosti ili koji bimogli da imaju takve mogućnosti, kao i zahteve u pogledu načina na koje vlasti treba daimaju pristup informacijama šifrovanim određenim hardverom ili softverom. U UjedinjenomKraljevstvu, relevantno zakonodavstvo uključuje Zakon o elektronskim komunikacijama iz2000. godine (sa Propisima o elektronskim potpisima iz 2002. godine i Propisima oelektronskoj trgovini iz 2002. godine) i RIPA. Takođe postoji zakonodavstvo koje se posebnobavi ograničenjima izvoza / uvoza kriptografije, uključujući propise o dvostrukoj upotrebi(kontrola izvoza) iz 2000.

Treba da se preduzmu specijalni pravni saveti kako bi se osiguralo da se organizacijapridržava zakona kakav trenutno postoji, a tamo gde se šifrovane informacije ili kriptografskaoprema ili kontrole premeštaju u drugu zemlju, takođe treba uzeti savete o toj zemlji. Kaošto je rečeno u prethodnoj lekciji koja se bavila kriptografskim kontrolama, vredi razmotriti,procenom rizika, troškove i koristi od primene takvog bezbednosnog pristupa.

USKLAĐENOST SA BEZBEDNOSNIM POLITIKAMA ISTANDARDIMA I TEHNIČKA PROVERAUSAGLAŠENOSTIKontrola A.18.2.1 standarda zahteva od menadžera organizacije daosiguraju da se svi bezbednosni postupci u okviru njihovih zonaodgovornosti sprovode ispravno;

Kontrola A.18.2 standarda zahteva od organizacije da osigura da njeni sistemi budu u skladusa njenim politikama i standardima i da se bezbednost njenih informacionih sistema redovnopreispituje u odnosu na politike i tehničke standarde koji su za njih utvrđeni. Ima dve

22

podklauze, jednu koja se odnosi na usklađenost sa politikom, a druga na proveru tehničkeusklađenosti.

Kontrola A.18.2.1 standarda zahteva od menadžera organizacije da osiguraju da se svibezbednosni postupci u okviru njihovih zona odgovornosti sprovode ispravno; organizacijatakođe mora osigurati da sva područja unutar organizacije podležu redovnom pregledukako bi se osiguralo da je u skladu sa njenim dokumentovanim bezbednosnim politikama,procedurama i standardima. Tačka 6.4 ISO27001 („Interne revizije ISMS-a“) utvrđuje širizahtev i treba da postoji pisani postupak i plan revizije koji opisuju kako treba da se sprovodipostupak revizije. Ovo će u osnovi biti slično planu interne revizije ISO9001.

Prvi zahtev se rešava uključivanjem odgovornosti za osiguravanje poštovanja bezbednosnihpolitika u opis posla svih linijskih menadžera. Pravo pitanje je da organizacija osigura da seto zaista događa. Jedini efikasan način za to je, kao što sve organizacije ISO9000 znaju, krozprogram internih revizija kvaliteta uz korišćenje odgovarajuće obučenog osoblja ili spoljnihkonsultanata ili drugih pružalaca usluga. Za ovu ulogu preporučujemo korišćenje sopstvenogosoblja organizacije, jer im interna revizija pruža dobru razvojnu priliku - ne samo u direktnomtreningu o revizorskim veštinama, već i u sticanju razumevanja o tome kako različite funkcijeorganizacije međusobno deluju i kako njihovi procesi funkcionišu. Komunikacijske veštinerevizora postaju veoma razvijene i njihovi profili se podižu kao posledica razgovora saosobljem na svim nivoima organizacije.

Trebalo bi podstaći jednog ili više članova svakog odeljenja u celoj organizaciji da sedobrovoljno jave na osnovnu obuku internog revizora (koju obično nude konsultantske kuće ilikompanije koje pružaju sertifikovane usluge sertifikovane revizije akreditovane po ISO27001),a zatim bi trebali interno da prođu bilo koju dodatnu obuku koja će im biti potrebna. Nećeim trebati značajan nivo tehničke veštine ili kompetencije. Oni bi trebali biti u mogućnosti daobavljaju ovu aktivnost revizije pored svog uobičajenog posla, a ova odgovornost bi se trebaladodati njihovim postojećim opisima poslova.

USKLAĐENOST SA BEZBEDNOSNIM POLITIKAMA ISTANDARDIMA I TEHNIČKA PROVERAUSAGLAŠENOSTI - 2Osoblje ne može vršiti reviziju sopstvenih odeljenja ili područja koja suu nadležnosti njihovog direktnog menadžera;

Osoblje ne može vršiti reviziju sopstvenih odeljenja ili područja koja su u nadležnosti njihovogdirektnog menadžera; mogu vršiti revizije drugih oblasti u okviru organizacije. Organizacijaće morati da uspostavi metod koji će osigurati da obuči dovoljno revizora za pokrivanjefluktuacije osoblja, praznika i ostalih odsustava, planiranih ili neplaniranih. Savetnik zainformacionu bezbednost treba da planira raspored revizije najmanje godinu dana unapred,zajedno sa postojećim odeljenjem za interni kvalitet, kako bi se osiguralo da se sva područjapokrivaju najmanje jednom godišnje, da se koordinišu aktivnosti i da nema sukoba ili prekida. Procenom rizika mogu se identifikovati neka područja kojima je potrebna češća revizija(područja u kojima organizacija ima najveći rizik), a to takođe treba uzeti u obzir.

Poglavlje 5 Regulacija kriptografskih protokola

23

Revizije treba dokumentovati, sa neskladnostima u pisanoj formi. Od menadžera se očekujeda utvrde uzrok neusaglašenosti, utvrde odgovarajuće mere kako bi se osiguralo da seneusaglašenost ne ponovi, sprovedu odluku i provere njenu efikasnost.

PROVERA TEHNIČKE USKLAĐENOSTIKontrola A.18.2.2 standarda zahteva od organizacije da redovno vršinezavisne provere svojih informacionih sistema

Kontrola A.18.2.2 standarda zahteva od organizacije da redovno vrši nezavisne provere svojihinformacionih sistema kako bi se osiguralo da su u skladu sa dokumentovanim bezbednosnimzahtevima i da su potrebni hardverski i softverski nadzor pravilno primenjeni i održavani.Ovo se odnosi na hardver i softver za mrežnu zaštitu (zaštitni zidovi, ruteri), kao i na mrežneresurse (servere, korisnička podešavanja, politike pristupa itd.). Trebalo bi da postoji plan zaove provere (koji bi trebalo da budu ponovljivi i dokumentovani) i trebalo bi ih izvoditi onolikočesto koliko je procena rizika neophodna. Ove provere treba da obavlja neko ko ima potrebnetehničke veštine, a sigurno ne tehničko osoblje organizacije.

Potrebna je specijalistička pomoć, koja se može dobiti od bilo koje od glavnih bezbednosnihorganizacija. Neke provere moraće ručno da obavi obučeni inženjer; druga provera možese obaviti pomoću automatizovanih softverskih alata čije izveštaje kasnije može analiziratiobučeni inženjer. Ova vrsta provere uključuje testiranje upada ili prodora mrežne odbrane.ISO27002 upozorava da ispitivanje probojnosti treba izvoditi pažljivo, jer to može dovesti dokompromisa sistema. U praksi, ispitivanje probojnosti ne bi trebalo zakazati dok organizacijane smatra da je sprovela kontrole identifikovane njenom procenom rizika i izjavom oprimenljivosti (SoA), a planiranje testova trebalo bi da uključuje obezbeđivanje odgovarajućihrezervnih kopija i aranžmana za kontinuitet poslovanja. unapred na mestu.

Brojnim organizacijama treba obratiti se rasporedom tehničke provere koja će biti potrebnai dobiti konkurentne cene. Reference treba temeljito istražiti. Ugovor na snazi sa bilo kojomorganizacijom zadržanom za vršenje ove vrste bezbednosne provere trebalo bi, naravno, dabude u skladu sa standardima o kojima je ranije bilo reči tokom kursa, a posebno trebarazmotriti kako će se od dobavljača tražiti da prijavi ranjivosti, osigurati da se prijave sviotkriveni.

Sva neslaganja koja su utvrđena u ovom procesu treba prijaviti u skladu sa postupkomneslaganja koji je razmatran ranije u ovom poglavlju i treba da podležu istom nivou praćenja,analize i praćenja kao i bilo koji drugi.

Poglavlje 5 Regulacija kriptografskih protokola

24

Poglavlje 6

ISO27001 revizija

ISO 27001 REVIZIJAOrganizacija mora da sprovodi interne revizije u planiranim intervalimakako bi pružila informacije o tome da li je sistem upravljanjainformacionom sigurnošću u skladu sa zahtevima

Organizacija mora da sprovodi interne revizije u planiranim intervalima kako bi pružilainformacije o tome da li je sistem upravljanja informacionom sigurnošću u skladusa zahtevima standarda ISO 27001, sopstvenim zahtevima organizacije za njensistem upravljanja informacionom sigurnošću; i efikasno se primenjuje i održava.Organizacija mora planirati, uspostaviti, primeniti i održavati program revizije, uključujućiučestalost, metode, odgovornosti, zahteve planiranja i izveštavanje. Program revizije morauzeti u obzir važnost dotičnih procesa i rezultate prethodnih revizija. Ona mora definisatikriterijume i opseg revizije za svaku reviziju. Ona mora odabrati revizore i provesti revizijekoje osiguravaju objektivnost i nepristrasnost procesa revizije. Ona mora osigurati da se orezultatima revizija izvještava nadležno rukovodstvo. Organizacija mora da vodi evidenciju oprogramu revizije i rezultate revizije kao dokaz.

IZBOR REVIZORAPostoje dva ključna pitanja koja treba uzeti u obzir prilikom odabira

Postoje dva ključna pitanja koja treba uzeti u obzir prilikom odabira. Prvi je relevantan zaorganizacije koje već imaju jedan ili više eksterno sertifikovanih sistema upravljanja, a drugise odnosi posebno na organizacije koje se bave ISO27001.

Prvo, neophodno je da vaš ISMS bude u potpunosti integrisan u vašu organizaciju; nećeefikasno funkcionisati ako je zaseban sistem upravljanja i postoji izvan i paralelno sa bilokojim drugim sistemima upravljanja. Logično, to znači da okvir, procesi i kontrole ISMS-amoraju biti u najvećoj mogućoj meri integrisani sa, na primer, vašim sistemom kvalitetaISO9001; želite jedan sistem kontrole dokumenata, jedan skup procesa za svaki deoorganizacije, itd. Jasno je da stoga i procena vaših sistema upravljanja mora biti integrisana:želite samo jednu reviziju koja se bavi svim aspektima vašeg sistema upravljanja .Jednostavno je previše narušava organizaciju, preskupo je i previše je destruktivno za dobruposlovnu praksu da biste imali bilo šta drugo. Ovo biste trebali uzeti u obzir prilikom odabiravašeg tela za sertifikaciju ISO27001 i osigurati da onaj ko se odluči može i nudi integrisanuuslugu ocenjivanja.

25

Drugo pitanje koje biste trebali uzeti u obzir prilikom izbora dobavljača usluga sertifikacijeje njihov pristup samoj sertifikaciji. ISMS je u osnovi dizajniran da odražava procenu rizikaorganizacije u i oko informacione sigurnosti. Drugim rečima, svaki ISMS će biti različit. Stogaje važno da svaka spoljna procena ISMS-a uzme u obzir tu razliku kako bi klijent dobio procenukoja dodaje vrednost njegovom poslovanju (koja uključuje pozitivne povratne informacije kaoi neusklađenosti), a ne onu koja je samo mehaničko poređenje ISMS u skladu sa zahtevimaISO27001.

Jednom kada je izabrano telo za sertifikaciju i dogovoreni uslovi, organizacija se možeokrenuti stvarnom procesu sertifikacije. Ovaj proces će biti potpuno poznat svakoj organizacijikoja je već prošla sertifikat ISO9000 ili bilo koji drugi standard sistema upravljanja. Telo zasertifikaciju će želeti da prođe kroz početni dvostepeni proces. Prva faza biće poseta presertifikacije, koja omogućava revizorima koji će izvršiti stvarnu formalnu početnu posetuda se upoznaju sa organizacijom, da izvrše pregled dokumenata i da se uvere da je ISMSdovoljno dobro razvijen da bi mogao da bude sposobni da izdrže formalnu reviziju i da dobijudovoljno informacija o organizaciji i predviđenom obimu sertifikata za efikasno planiranjenjihove revizije. Ova poseta je obično relativno kratka i, u zavisnosti od veličine organizacije,može vam trebati samo jedan ili dva dana.

POČETNA REVIZIJARevizija će započeti i završiti sastankom rukovodstva

Prva formalna revizija, poznata kao početna revizija, odvijaće se u dve faze. Procesrevizije uključuje testiranje dokumentovanih procesa organizacije (ISMS) prema zahtevimastandarda (Faza 1, revizija dokumentacije), kako bi se potvrdilo da je organizacija krenulau skladu sa standardom, a zatim testiranje stvarne usklađenosti od strane organizacije sasvojim ISMS-om (faza 2, revizija usklađenosti). Celokupna revizija će slediti unapred utvrđeniplan, a revizori će komunicirati sa bilo kim ko je njihova tačka za vezu (obično menadžer zainformacionu bezbednost) o kome će želeti da razgovaraju i kojim redosledom će želeti da tourade. Može postojati bilo šta do 12 nedelja između revizija faze 1 i faze 2. Ovde su mogućineki pregovori, ali obično oko vremena i raspoloživosti, a ne o temi.

Revizija će započeti i završiti sastankom rukovodstva. Revizorima će, baš kao i finansijskim,biti potrebna posebna soba za vreme trajanja revizije i odgovarajući aranžmani za osveženje.Mnoge revizije će uključiti najmanje dva revizora, koji mogu imati različita područja stručnosti.Biće glavni ili glavni revizor koji će biti odgovoran za ukupan napredak revizije. Organizacijakoja se revidira treba da osigura da njena veza bude na raspolaganju kako bi podržalarevizore tokom čitavog procesa; ovo

može uključivati vođenje revizora po prostorijama, upoznavanje sa onim osobljem koje jesledeće na njihovoj listi za razgovor i bavljenje pitanjima i problemima koji se pojavljuju.

Na kraju svakog dana, obično će se održati kratki završni sastanak na kojem će se (obično)identifikovati bilo koja područja neusklađenosti sa standardom ili ISMS-om. Ovaj deo procesaponovo će biti potpuno poznat svakoj organizaciji koja je prošla certifikat ISO9001.Neusaglašenosti mogu biti manje ili veće; na manje treba gledati kao na mogućnosti zapoboljšanje, ali one velike mogu vrlo lako značiti da organizacija (u ovoj fazi) nije sposobna

Poglavlje 6 ISO27001 revizija

26

za uspešno sertifikovanje. Često, nakon utvrđivanja veće nesaglasnosti, revizori predlažu dase postupak revizije obustavi i započne iznova kada organizacija ima dovoljno vremena dapopravi ovo glavno pitanje. Ovo može biti skupo i dugotrajno i imati negativan efekat namoral i posvećenost organizacije postizanju sertifikata.

Postoje dve komponente za sprovođenje uspešnih sertifikacionih revizija. Prvi je nivopripremljenosti ISMS-a organizacije, a drugi način na koji su zaposleni u organizaciji samipripremljeni za reviziju.

PRIPREMA ZA REVIZIJUNijedna revizija se ne može izvršiti dok organizacija ne prođe dovoljnovremena da pokaže usklađenost sa punim PDCA ciklusom i klauzulom7, zahtevom za kontinuiranim poboljšanjem.

Nijedna revizija se ne može izvršiti dok organizacija ne prođe dovoljno vremenada pokaže usklađenost sa punim PDCA ciklusom i klauzulom 7, zahtevom zakontinuiranim poboljšanjem . Drugim rečima, revizori će tražiti dokaze da ISMS nastavljada se poboljšava, a ne samo da je primenjen. To znači da će morati da prođe vremenski periodizmeđu završetka primene i početka revizije. Koliko dugo će zavisiti od složenosti organizacijei njenih ISMS-a, ali treba pretpostaviti da će za sve ključne procese i aranžmane biti potrebannajmanje jedan ciklus internih revizija.

Zatim treba izvršiti sveobuhvatnu reviziju nivoa pripremljenosti za reviziju. Detaljan posaotreba da obavljaju savetnik za informacionu bezbednost i funkcija kvaliteta, a sve to treba dapregleda forum za bezbednost informacija o upravljanju.

Izjava o primenljivosti zahteva posebno detaljan pregled. Trebalo bi biti moguće identifikovatiu kojoj je meri sprovedena svaka kontrola koja je utvrđena kao neophodna i, gde je primenabila samo delimična, utvrditi koji koraci (i koliko dugo će biti potrebni) će biti potrebni da sedovrši njena primena. Konkretno, svi slučajevi u kojima je organizacija odlučila da ne sprovodipreporučenu kontrolu treba detaljno pregledati kako bi se osiguralo da je ova odluka bilaodgovarajuća. Slično tome, svi slučajevi u kojima je kontrola sprovedena u većoj ili manjojmeri nego što je odgovarajućom procenom rizika naznačeno kao neophodno, a ako nijemoguće (preteško, skupo itd.) Poboljšati nivo na koji kontrola je sprovedena, rukovodstvo bitrebalo formalno da prihvati najviši nivo rezidualnog rizika.

Nakon što se završi sveobuhvatni pregled i upravljačka grupa se uveri da je ISMS kompletan,da je u skladu sa standardom i da je adekvatno primenjen (i najmanje jedan ciklus internihrevizija ključnih oblasti ISMS-a identifikovanih procenom rizika takođe treba da bude završen),tada organizacija može bezbedno da pređe na posetu spoljnih revizora pre sertifikacije.

Priprema osoblja u organizaciji, pre revizije, o tome šta mogu očekivati i kako postupatisa revizorima takođe je dragocen korak. Osoblje treba naučiti da se prema revizorimamora postupati potpuno iskreno i da se uvek daju direktni odgovori, čak i ako to zahtevapriznavanje nedostatka znanja ili druge greške. Jednako tako, osoblje treba da bude obučenoda odgovara na pitanje koje je postavio revizor i da ne pruža više ili manje informacija negošto je potrebno. Revizori će obično tražiti objašnjenje o tome kako funkcioniše određena


27

komponenta ISMS-a, a zatim će želeti da im se pokaže. To je normalno i tako se sprovodirevizija.

INTERNA REVIZIJAKriterijumi i obim svake revizije moraju biti definisani.

Interne revizije treba izvoditi u planiranim intervalima, uzimajući u obzir relevantnost procesai rezultate prethodnih revizija, kako bi se osigurala efikasna primena i održavanje, kaoi usklađenost sa zahtevima standarda i svim zahtevima koje definiše sama organizacija.Kriterijumi i obim svake revizije moraju biti definisani.

Revizori bi trebali biti neovisni i ne smiju imati sukob interesa u vezi sa predmetom revizije.Revizori takođe moraju izveštavati o rezultatima revizije relevantnom rukovodstvu i osiguratida neusaglašenosti podležu odgovornim menadžerima, koji zauzvrat moraju osigurati da sesve potrebne korektivne mere sprovode blagovremeno. Na kraju, revizor takođe mora daverifikuje efikasnost preduzetih korektivnih radnji. Svrha interne revizije je da testira vašeISMS procese na slabosti i identifikuje mogućnosti za poboljšanje. Takođe su prilika da sevrhunskom menadžmentu pruži provera stvarnosti o tome koliko snažno deluje ISMS. Kadase dobro urade, interne revizije mogu osigurati da na vašim spoljnim revizijama ne budeiznenađenja. Interne revizije koje obavljate treba da provere:

• kako se dosledno prate i primenjuju procesi, postupci i kontrole;• koliko su vaši procesi, procedure i kontrole uspešni u generisanju željenih rezultata; i• da li vaš ISMS ostaje usklađen sa ISO 27001 i zahtevima zainteresovanih strana.

INTERNA REVIZIJA - 2Revizija

Da bi se osiguralo da se revizije sprovode na visokom nivou i na način za koji se vidi da dodajevrednost, njih treba da preduzmu pojedinci koji:

• se poštuju;• kompetentan• razume zahteve ISO 27001; i• mogu brzo da protumače vašu dokumentaciju i dobro se uvežbavaju u

tehnikama i ponašanju zvučne revizije.

Najvažnije od svega je da im treba dodeliti dovoljno vremena za obavljanje revizije i da imse obezbedi saradnja relevantnih zaposlenih. Morate održavati plan za sprovođenje internerevizije. Spoljni revizor će očekivati da ovaj plan osigura da se svi vaši ISMS procesi revidirajutokom trogodišnjeg ciklusa i to procesi koji:

• pokazali dokaze o lošem učinku (tj. kroz prethodne revizije ili praćenjerezultata ili incidente u vezi sa informacionom sigurnošću); i / ili

• upravljati najznačajnijim rizicima bezbednosti informacija


28

• revidiraju se na većoj frekvenciji.

Spoljni revizor će takođe očekivati da se sve radnje identifikovane revizijama evidentiraju,pregledaju od strane odgovarajućih zaposlenih i blagovremeno sprovode akcije kako bise ispravili svi značajni problemi. Oni bi trebalo da dozvole u vreme zatvaranja sveidentifikovane mogućnosti za poboljšanje koje zahtevaju značajna ulaganja u resurse.

CILJ INTERNE REVIZIJECilj interne revizije ISMS-a

Cilj interne revizije ISMS-a je dvojak. Prvo, pokušava da proceni usklađenost ISMS-a sazahtevima standarda, sopstvenim politikama i procedurama organizacije i pravnimi regulatornim okruženjem pod kojim organizacija deluje. Ishod ovog elementaISMS revizije uključuje izjave o usklađenosti i neusklađenosti sa tim kriterijumima.Drugi cilj ISMS interne revizije je prilika da se identifikuju poboljšanja ISMS-a.Interne revizije se sprovode pod zastavom ISMS programa revizije. Ovaj programobično obuhvata period od nekoliko godina i opisuje obim svake od planiranih revizija uokviru programa. Revizije treba vršiti u planiranim intervalima. To ne znači redovne intervale.Program revizije mora se baviti svim obaveznim klauzulama i svim kontrolama navedenim uSSP. Svaka pojedinačna ISMS revizija može biti usredsređena samo na određene klauzule ikontrolne domene. Revizor za svaku od ovih revizija ne može vršiti reviziju izvan opsega teodređene revizije bez odobrenja. Fokus svake ISMS revizije je na sistemu, a NE na ljudima.Ako se utvrde bilo kakve slabosti resursa, to uvek mora biti povezano sa slabošću sistema.To bi mogle biti greške uvedene zbog nedostatka svesti o njihovim odgovornostima, jaza ukompetencijama ili loše politike i procedure podrške. To su nedostaci koje treba otkloniti. ISMSrevizija je više od kontrolne procene. Sistem upravljanja je ključan. Neuspeh kontrola običnoznači neuspeh u jednoj od osnovnih ISMS komponenti. Rešavanje osnovnog problema običnoće se baviti greškama u kontroli.


29

Poglavlje 7

Zaključak

ZAKLJUČAKRezime

Iako će neke, posebno veće organizacije, raspravljati o vrednosti stvarnog sertifikataISO27001 (tvrdeći da je najvažnija primena efikasnog ISMS-a, a ne značke), glavni cilj ovogkursa je pomoći onim organizacijama koje vrednost vide u sertifikaciji da bi bio uspešan unjegovom postizanju. Prva tri poglavlja su jasno objasnila sve prednosti koje proizilaze izuspešne sertifikacije i one ovde neće biti uvežbane.

Sertifikaciona revizija će koristiti negativno izveštavanje (to jest, identifikovaće nedostatkeumesto adekvatnosti) za procenu ISMS-a kako bi se osiguralo da njegovi dokumentovanipostupci i procesi, stvarne aktivnosti organizacije i evidencija o primeni ispunjavaju zahteveISO27001 i proglašen opseg sistema. Ishod revizije biće pisani revizorski izveštaj (običnodostupan po završetku revizije) i određeni broj neusklađenosti i zapažanja, zajedno saneophodnim korektivnim radnjama i dogovorenim rokovima..

LITERATURAReference

1. Calder, Alan, and Steve Watkins. IT Governance 6th edition: an international guideto data security and ISO27001/ISO27002. Kogan Page Publishers, 2015.2. ISO27k Toolkit, ISMS Auditing Guideline, Version 2, 20173. Aditya, B. R., and Y. Menzelthe. "IT Audit Guidance: Side by Side Comparison." InIOP Conference Series: Materials Science and Engineering, vol. 662, no. 2, p. 022055.IOP Publishing, 2019.4. Surcel, Traian, and Cristian Amancei. "The Information Security ManagementSystem, Development and Audit." Informatica Economica 11, no. 4 (2007)5. Queensland Government, Implementing an ISMS Participant Guide, 20176. https://www.isms.online/iso-27001/annex-a-17-information-security-aspects-of-business-continuity-management/ Kontrola A.177. https://www.isms.online/iso-27001/annex-a-18-compliance/ Kontrola A.188. https://isoconsultantkuwait.com/2019/12/04/iso-270012013-clause-9-performance-evaluation/9. https://advisera.com/27001academy/blog/2016/07/11/how-to-prepare-for-an-iso-27001-internal-audit/

30

CS530- Menadžment sistema bezbednosti

Documents