Politika Informacione Bezbjednosti

1. UVODNE NAPOMENE

Informacija je podatak sa određenim značenjem,koji ima upotrebnu

vrijednostodnosno saznanje koje se može prenijeti u bilo kojem obliku (pisanom,

audio, vizualnom,elektronskom ili nekom drugom). Da bi se informacijama moglo

kvalitetno upravljati potrebno ih je na adekvatan način klasifikovati, precizno im

odrediti svrhu, vrijednost, dostupnost i ostale atribute. Vlasništvo nad informacijama i

njihova upotreba postali suključni za funkcionisanje države, privrede, javnih službi i

svakodnevni život građana.

Količina i vrijednost informacija u svakodnevnom životu i radu neprekidno

raste.Informacije su danas najvrjednija imovina svakog poslovnog sistema, njegov

intelektualni kapital. Nalaze se u različitim oblicima i na različitim medijima. U

postindustrijskom društvu dominantna vrijednost kompanija nije u njenim finansijskim

sredstvima već u znanju, ljudima i informacijama. Informaciona imovina danas čini

najveći dio vrijednosti organizacije. Kvalitetno upravljanje informacijama zahtijeva

upotrebu savremenih informaciono komunikacionih tehnologija. Brzi razvoj primjene

tih tehnologija uzrokuje i sve većemogućnosti napada na informacione sisteme i

zloupotrebu informacija. Upravo zato, informacije se moraju štititi i mogu ih koristiti

samo ovlašćeni korisnici.

Opasnosti za naše društvo koje proizvode kvarovi, zloupotrebe ili sabotaže

informacionih sistema danas mogu proizvesti mnogo veću štetu nego ikad ranije.

Postoje brojni i uglavnom dostupni izvori koji govore statistički o ovom problemu (FBI

CSI, SANS Institute i dr.). Lako je uočiti da je problem vrlo ozbiljan i da broj

novootkrivenih oblika ranjivosti informacionih sistema raste eksponencijalno. Dejstvo

spoljašnjih i unutrašnjih prijetnji na informacioni sistem može dovesti do neželjenih

posledica koje mogu ugroziticijelu društvenu zajednicu. Činjenica da ICT u današnje

vrijeme utiče na sve vidove života i rada logično proizvodi moguću opasnost

ponacionalnu bezbjednost. Ugrožavanje dolazi od zloupotreba ICT-a, prije svega

računarskih virusa, sajber kriminala, sajber terorizma, sajber špijunaže, zloupotrebe

ličnih podataka i drugih napada na informacije.

Sa porastom broja korisnika informacionih tehnologija nameće se potreba

rješavanja brojnih pitanja vezanih zainformacione bezbjednosti. Taj pojam se ne

odnosi isključivo natehničke mjere zaštite, već podrazumijeva i administrativne mjere

(bezbjednosna politika, pravilnici, procedure) i fizičke mjere (video nadzor, zaštita

prostorija, fizička kontrola pristupa). Kako bi informacioni sistem bio zaštićen na pravi

način, potrebno je uspješno uskladiti, implementirati i nadzirati sve potrebne mjere

zaštite.

Informaciona bezbjednost u savremenim uslovima postala je jedan od ključnih

faktora razvoja, zbog čega se uspostavljaju brojni standardikoji uključuju najbolju

praksu i preporuke o bezbjednom upravljanju informacijama. Standardi predstavljaju

smjernice za izradu bezbjednosne politike. Ponekad imaju uopšten sadržaj pa

samim tim ne odgovaraju specifičnim potrebama organizacija.

Bezbjednost informacionih sistema vrlo je kompleksna i široka tema.

Činjenica je da bez kvalitetnog programa bezbjednosti informacioni sistem nije

moguće u potpunosti zaštiti. Kvalitetan program omogućava uspostavljanje

bezbjednosti na svim kritičnim tačkama sistema, u bilo kojem segmentu

bezbjednosti, a jedan od najboljih programa za postizanje navedenog cilja jeste

kreiranje bezbjednosne politike.

2. PRIJETNJE INFORMACIONIM SISTEMIMA

Prijetnja po bezbjednost nekom informacionom sistemu je svaki događaj koji

može dovesti do narušavanja povjerljivosti, integriteta i raspoloživosti podataka.

Važno je napomenuti da svaka prijetnja i neovlašćeni pristup informacionom

sistemu, imaju različiteposljedice, npr. uništavanje podataka ili narušavanje

ispravnog rada cijelog informacionogsistema.

Postoji nekoliko podjela prijetnji informacionim sistemima. Pitanje je da li

svaka podjela dovoljno detaljno razmatra sve uslove i mogućnost nastanka štete na

informacionom sistemu. Važnost detaljne podjele je u pronalasku primjerenih načina

zaštite i standardizaciji podjele. Prema klasifikaciji NIST-a (NationalInstituteof

Standards andTechnology) prijetnje informacionim sistemima se mogu podijeliti na:

1. Greške i kvarove - ova prijetnja sečesto podcjenjuje, ali može nanijeti

značajnuštetu informacionom sistemu. Najčešći uzrok greškama i kvarovima su

ljudske radnje. Mogu ih prouzrokovati zaposleni, proizvođači programskih paketa ili

administratori informacionih sistema. Procjenjuje se da je gotovo 65% napada

prouzrokovano greškama i kvarovima.

2. Prevare i krađe- zlonamjerna aktivnost kojom napadač pokušava

stećifinansijsku ili neku drugu dobit. Prevare i krađe se mogu dogoditi aktivnostima

unutar (zaposleni) ili izvan (udaljeni napad) organizacije. Međutim, češći suslučajevi

aktivnosti prevare i krađe unutar organizacije. Na primjer, zaposleni ima pristup

određenim finansijskim podacima i lako može upravljati iznosima koje je potrebno

obraditi. Vrlo lako je navesti razloge zbog kojih se prevare i krađedogađaju češće od

strane zaposlenog nego udaljenim napadima:

zaposleni imaju pristup podacima i informacionom sistemu,

zaposleni znaju koje podatke sistem sadrži i koje su bezbjednosne

provjere, i zaposleni znaju koje su prilike za prevaru i krađu, te kolika je

vrijednost mogućeg plijena.

3. Sabotaže od strane zaposlenih-što je česta prijetnjabezbjednosti i

podacimainformacionog sistema. Kao što je već naglašeno, zaposleni imaju pristup,

tako da znaju u kojim djelovima sistema je moguće prouzrokovati najveću štetu. Ako

je u pitanju nezadovoljstvo zaposlenog, sabotaža je vrlo čest slučaj, bilo da se radi o

sadašnjem ili bivšem zaposlenom. Najčešći primjeri sabotaže su: fizičko

uništavanje djelova informacionog sistema,

postavljanje logičke bombe (logic bomb), tj. zlonamjernog programskog

koda čija je namjena izbrisati, premjestiti ili izmijeniti podatke,

namjerni unos neispravnih podataka, „rušenje“ informacionih sistema,

brisanje i uništavanje podataka,

krađa podataka i ucjena pod prijetnjom otkrivanja tih podataka široj

javnosti ili konkurenciji, ili namjerno mijenjanje podataka.

4. Gubitak fizičke i infrastrukturne podrške -je vrsta prijetnje koju nije moguće

upotpunosti provjeriti, ponekad ni spriječiti, a može nanijeti veliku štetu sistemima.

Takvi slučajevi mogu biti npr. prekid u napajanju električnom energijom, prekid

komunikacija, poplava, požar, zemljotresi, itd.

5. Napadače (hackers)-namećese kao najopasnija zbog razvoja Interneta

ikomunikacija, poslovanja i drugih aktivnosti putem Interneta. Napadačem se smatra

osoba koja svoj znanje koristi kako bi ugrozila bezbjednost računara ili podataka.

6. Zlonamjerne programe (malware) -vrsta prijetnje koja

narušavabezbjednostinformacionog sistema zlonamjernim programima poput crva,

virusa, trojanskih konja, logičkih bombi i drugih. Među najčešćim i najopasnijim

prijetnjama suvirusi, trojanski konji i crvi.

7. Otkrivanje privatnosti korisnika -postaje vrlo česta prijetnja s obzirom da

sveveći broj informacionih sistema sadrži veliki broj ličnih podataka korisnika.Primjeri

takvih ustanova su banke, državne institucije i sve veći broj kompanija.

Takođe, treba pomenuti i podjelu prema ISO/IEC 17799:2000 standardu

(Code ofPractice for Information Security Management) koji definišeispravne i

bezbjedne načineupravljanja nekim informacionim sistemom. Prijetnje su podijeljene

obzirom na uzroke nastanka:

prirodne katastrofe -sve pojave koje su nepredvidive ili ih je

nemogućeprovjeriti, npr. potresi, poplave, oluje, zagađenja, požari, itd.

tehnički uzroci -tehničke greške, kvarovi, komunikacijske greške,

različiti oblicizračenja, itd.

nenamjerne ljudske radnje -neposlušnost, kršenje pravila,

upotrebaneprimjerenih programa, itd.

Computer Security Institute (CSI) je naveo vrlo jednostavnu podjelu prijetnji,

uzevši poziciju prijetnje u odnosu na poziciju informacionog sistema, tj. prijetnje je

podijelio na unutrašnje ispoljašne. Unutašnjim prijetnjama smatraju se sve

namjerne i nenamjerneradnje korisnika koji imaju direktan pristup informacionom

sistemu. Spoljašnje prijetnje su definišu kao pokušaji nanošenja bilo kakvog oblika

štete udaljenim napadima ili ubacivanjem zlonamjernih programa u informacioni

sistem sa udaljenih lokacija.

3. STANDARDI INFORMACIONE BEZBJEDNOSTI

Uspostavljanje politike informacione bezbjednosti u organizaciji zahtijeva

primjenu standarda za bezbjednost informacionih sistema. Uspostavljanje

bezbjednosne informacione politike prema raspoloživim standardima obezbjeđuje

sve aspekte zaštite nekoginformacionog sistema. Na taj način se obezbjeđuje i

kvalitet uspostavljenih mjera informacione bezbjednosti.

Standardi iz ISO/IEC 27000 serije organizacijama pružaju smjernice za

izradu, primjenu i provjeru bezbjednosti informacionih sistema čime se

obezbjedjujepovjerljivost, integritet i raspoloživost informacionog sadržaja,

sistema i procesa unutar organizacije.

Ovi standardi su proizvod ISO/IEC JTC1 (Joint Technical Committee 1) SC27

(Sub Committee 27), ISO tehničkog tijela, koje preuzima najbolju praksu i standarde

iz oblasti informacione bezbijednosti i donosi ih kao međunarodne standarde.

Za područje bezbjednosti informacionih sistema najčešće se koriste sledeći

ISOstandardi:

ISO/IEC 27001 Information Security Management Systems Requirements

(Bivši standard BS 7799-2). Osnovni standard za ustanovljavanje, implementaciju,

kontrolu i unapređenje ISMS-a u organizaciji bilo koje vrste.

ISO/IEC 27002 Code of practice for Information Security Management (Bivši

standard ISO/IEC 17799). Standard sa smjernicama za sprovođenje bilo koje od 133

preporučane mjerezaštite (kontrole) i koristi se zajedno sa standardom ISO/IEC

27001.

ISO/IEC 27005 Information Security Risk Management (Nastao na bazi

standarda BS 7799-3).Standard koji detaljno opisuje na koji način treba sprovesti

procjenu i ovladati informacionim rizicima u bilo kojoj vrsti organizacije.

ISO/IEC 27006 Guide to the certificaion / registration process. Daje zahtjeve

za akreditaciju za sertifikaciona tijela koja sertifikuju ISMS prema ISO/IEC 27001

zahtjevima, navodi specifične zahtjeve za sertifikaciju i zajedno sa ISO/IEC 17021

predstavlja osnovni standard za akreditaciju.

ISO/IEC 27011 - Information Security Management Guidelines for

thetelecommunications industry (published by ISO/IEC in 2008 and also published

by the ITU as X.1051).U pripremi su sledeći standardi:

ISO/IEC 27003 -ISMS Implementation Guide Obezbeđuje uputstvo za

procesno orijentisani pristup i uspešnu primenu ISMS u skladu sa ISO/IEC 27001.

ISO/IEC 27004 - Information Security Management measurement Daje

uputsva i savete kako sprovesti merenja u cilju ocene efektivnosti ISMS.

ISO/IEC 27007 - A Guideline for Information Security Management

auditing Obezbjediće uputstva za interne i eksterne provjere ISMS i program

provjera u skladu sa standardom ISO/IEC 27001.

ISO/IEC 27008 -A Guideline for Information Security Management

auditing(focusing on the security controls)

Daje uputstva za ISMS metode i tehnike upravljanja rizikom kao podrška

ISO/IEC 27001

ISO/IEC 27013 -A Guideline on the integrated implementation of

ISO/IEC20000-1 and ISO/IEC 27001

ISO/IEC 27014 -An information security governance framework

ISO/IEC 27015 -Information security management guidelines for the finance

andinsurance sectors

ISO/IEC 27031 -A specification for ICT readiness for business continuity

ISO/IEC 27032 -A Guideline for cyber security (essentially, 'being a goodneighbor'

on the Internet

ISO/IEC 27033 -IT network security, a multi-part standard based on

ISO/IEC18028:2006

ISO/IEC 27034 -A Guideline for application security

3.1 ISO/IEC 27001

ISO/IEC 27001 standard (ISO/IEC 27001 Informacione tehnologije– Tehnike

zaštite-Specifikacije za sistem upravljanja informacionim sistemom) jeizrađen

2005.godine, a nastaoje na osnovu standarda BS 7799 (British Standards). Sadašnji

standard je pod revizijom, jer su se donošenjem novih standarda iz iste ISO/IEC

27000 serije, neka pravila preklopila. Kako bi se izbjegle zabune, očekuje se da će

ISO i IEC 2010. godine objaviti novu reviziju ovogstandarda.

ISO/IEC 27001 je službena grupa specifikacija na osnovu kojih organizacije

imaju pravo zatražiti postupak sertifikacije, naravno ukoliko su primijenile taj

standard na sistemupravljanja bezbijednosti informacija. Ovaj standard propisuje

zahtjeve za ustanovljavanje, implementaciju, kontrolu i unapređenje ISMS-a, sistema

za upravljanje bezbijednošću informacija. Standard je primjenjiv na sve vrste

organizacija (komercijalne, neprofitne, državne institucije, itd.) i sve veličine

organizacija, od malih pa do velikih svjetskihorganizacija.

Standard se sastoji od 5 dijelova:

1. Sistem za zaštitu informacija,

2. Odgovornost rukovodećih ljudi,

3. Unutrašnje provjere sistema za zaštitu informacija,

4. Provjera valjanosti sistema za zaštitu informacija,

5. Poboljšanja na sistemu za zaštitu informacija.

6. Takođe u standardu su navedeni ciljevi provjere koje je potrebno ostvariti i

provjere koje je potrebno sprovesti kako bi se ostvarili ti isti ciljevi.

Postoje institucije akreditovane za sertifikaciju prema ISO/IEC 27001

standardu, ali isto tako i velik broj organizacija koje su sertifikovale svoje

informacione sisteme prema

ISO/IEC 27001 standardu ili standardima pojedinih država. Sertifikacija je

stvar izbora organizacije, ali vrijedi spomenuti da poslovni partneri ponekad traže da

organizacija s kojom sarađuju ima sertifikat.

3.2 ISO/IEC 27002 (ISO/IEC 17799)

ISO/IEC 27002 standard je nastao na osnovu BS 7799-1 standarda. ISO/IEC

27002 je zvaničan standard, ali bolje ga je protumačiti kao skup smjernica koje je

moguće upotrijebiti. Trenutno ovaj standard je pod revizijom, kako bi se u budućnosti

mogao uskladiti sa izmijenjenim standardom ISO/IEC 27001. Standard sadrži 39

bezbjednosnih odredbi što ga čini vrlo detaljnim i temeljnim.

Suštinski, standard sadrži polazno poglavlje „Procjena i upravljanje ICT

rizikom“ sa 11 djelova u kojima su grupisane bezbjedonosne odredbe:

Struktura ISO/IEC 27002 standarda

Svaki od djelova sadrži određeni broj glavnih bezbjednosnih kategorija, a

podbezbjednosnim kategorijama navodi se cilj provjere koji je potrebno ostvariti i

provjere koje je moguće primijeniti radi ostvarivanja cilja. ISO/IEC 27002 sadrži i

predloge organizacijesistema za zaštitu informacija. U standardu nije naglašeno koje

specifične bezbjednosne provjere je potrebno raditi, već samo kako sistem za

upravljanje mora funkcionisati jer od svake organizacije se očekuje da sprovede

detaljnu procjenu rizika kako bi seodredile specifične potrebe prije izbora sistema

provjere, nemoguće je nabrojati sve moguće provjere u standardu za opštu primjenu.

6. PROCES USPOSTAVLJANJA BEZBJEDNOSNE POLITIKE

Organizacija može svoju politiku informacione bezbjednosti bazirati na

unaprijed izrađenim standardima, čime se uveliko smanjuju operativni troškovi i

vrijeme potrebno za sprovođenje iste. Bezbjednosnu politiku organizacije moguće je

izraditi samostalno, procjenom mogućih prijetnji informacionom sistemu, te

procjenom i zaštitom slabih tačakasistema. Ovaj proces je dugotrajniji i skuplji, ali

obezbjeđuje način zaštite koji potpuno odgovara potrebama organizacije. Iako se na

prvi pogled samostalna izrada bezbjednosne politike čini kao bolje rješenje,

preporučuje se izrada bezbjednosne politike organizacije nabazi standarda kako bi

se obratila pažnja na sve moguće prijetnje koje mogu ugroziti informacioni sistem.

Kao što je u poglavlju o standardima rečeno, bezbjednosna politika

organizacije može se zasnivati na ISO/IEC 27001 standardu. Međutim, potrebno je

pomenuti da ISO/IEC 27001 standard opisuje sve šta je potrebno napraviti, ali ne i

kako. Da bi se odgovorilo na pitanje kako, koristi se standard ISO/IEC 27002 kroz

potrebne smjernice. Upravo na bazi ovogstandarda opisan je proces uspostavljanja

bezbjednosne politike, tj. koraci i postupci koje je potrebno napraviti.

6.1 PROCJENA RIZIKA

Procjena rizika je bitan korak prilikom uspostavljanju bezbjednosti u informacionom

sistemu organizacije. Procjena rizika je usko povezana s definisanjem politike bezbjednosti.

Proces procjene rizika nije nimalo jednostavan, ali najlakše bi se mogao opisati kao

davanje odgovora (za svaku vrijednost koju organizacija posjeduje) na sljedeća četiri pitanja:

šta se može dogoditi (događaj prijetnje)?

ako se dogodi, kolika šteta može nastati (učinak

prijetnje)?koliko često se može dogoditi (frekvencija

prijetnje)? koliko su tačni odgovori na prva tri pitanja?

Odgovori na navedena pitanja mogu biti vrlo opsežni, lista onoga što bi trebalo da se

uradi je vrlo dugačka, zato je navedena četiri pitanja često potrebno proširiti sa još tri:

što se može

učiniti?koliko će učinjeno

koštati?da li je utrošeno

isplativo?

Odgovori na ova pitanja uravnotežuju potrebe i mogućnosti organizacija za

implementacijom bezbjednosnih kontrola. Kako bi se postigla ravnoteža potreba i

mogućnosti neke je rizike čak potrebno i prihvatiti. Rizik je prihvatljiv ukoliko je on vrlo

malen ili ukoliko su posljedice prihvatljive za organizaciju.

Dakle, pored osnove - upravljanja bezbjdenošću informacija, drugi važan dio sistema

je predstavlja upravljanje rizikom, odnosno uspostavljanje odnosa između ranjivosti,

potencijalnih prijetnji i posljedica, to jest uticaja na informacioni sistem.

Proces upravljanja rizikom sastoji se od sljedećih koraka:

identifikacije

resursa, analize

rizika,

tumačenja rezultata i preduzimanja odgovarajućih protivmjera.

6.1.1 Identifikacija resursa

Jedan od uslova za uspješno upravljanje bezbjednošću informacionog sistema jeste

identifikacija resursa koji su dio tog sistema. Bez precizne identifikacije resursa nije moguće

sprovesti njegovu kvalitetnu zaštitu.

Kroz proces identifikacije resursa potrebno je evidentirati sve resurse unutar

informacionog sistema te procijeniti njihovu relativnu vrijednost za organizaciju. Kako bi se

mogla odrediti vrijednost resursa za organizaciju, potrebno je poznavanje poslovnih procesa

koji se odvijaju u organizaciji. Na osnovu toga je kasnije u procesu upravljanja rizikom,

odnosno prilikom analize rizika moguće ocijeniti potreban nivo zaštite za svaki pojedini

resurs bitan za funkcionisanje poslovnih procesa unutar organizacije.

Kvalitetnom identifikacijom resursa nužno je postići sledeće

zahtjeve:ustanoviti vlasnike poslovnih procesa, odnosno odgovorne

osobe, identifikovati pojedine resurse bitne za funkcionisanje poslovnih

procesa, procijeniti vrijednost resursa,

ustanoviti njihovo fizičko ili logičko mjesto u

sistemu, napraviti odgovarajuću dokumentaciju.

U načelu, vlasnik procesa je taj koji bi morao da zna da procijeni vrijednost

resursabitnih za funkcionisanje poslovnih procesa, no u praksi to često i nije slučaj. To

ukazuje na probleme u organizaciji i u takvim slučajevima uspostvljanje sistema za

upravljanje informacionom bezbjenošću obično je jalov posao.

Podjelu resursa moguće je napraviti prema raznim pravilima. U informacionim

sistemima resurse je moguće podijeliti u sljedeće kategorije:

informacije (baze podataka, dokumentacija, autorska djela

itd.), programska podrška (aplikacije, operativni sisteni, razvojni

alati itd.),

oprema (računarska oprema, mrežno-komunikaciona oprema, mediji za

čuvanje podataka i ostala oprema nužna za rad informacionog sistema),

servisi (računarski i komunikacioni i uopšteno servisi kao što su

klimatizacija, osvjetljenje itd.).

Za svaki od identifikovanih resursa potrebno je napraviti procjenu njegove relativne

vrijednosti unutar sistema bez obzira u koju kategoriju pripada. Često se naglasak prilikom

upravljanja bezbjednošću informacionog sistema polaže na same informacije, dok su, na

primjer servisi zanemareni. Gubitak nekog od tih resursa može dovesti do narušavanja rada

sistema, pa čak i potpunog zastoja poslovnog procesa.

Resurse koji pripadaju različitim kategorijama moguće je klasifikovati na razne

načine. Obzirom na to da je u informacionom sistemu ipak najvažnija sama informacija,

potrebno je uspostaviti odgovarajući sistem podjele.

Unutar sistema su smještene informacije različitih vrijednosti za organizaciju: od

potpuno nevažnih do onih ključnih, pa i kritičnih. Cilj podjele informacija je

obezbjedanjenjihove odgovarajuće zaštite.

Uz procjenu rizika potrebno je odrediti kako postupati s rizicima. Mogući postupci

uključuju:

ugrađivanje odgovarajućih kontrola koje smanjuju rizik,

svjesno i objektivno prihvatanje rizika, udovoljavajući bezbjednosnoj

politici organizacije i kriterijumimama prihvatljivog rizika,

izbjegavanje rizika zabranama, tj. onemogućavanjem akcija koje

prouzrokuju rizik.

Za rizike čiji postupci uključuju implementaciju odgovarajućih kontrola, te kontrole

moraju biti odabrane i implementirane zadovoljavajući zahtjeve definisane procjenom rizika.

Kontrole moraju obezbijediti da su rizici dovedeni na prihvatljiv nivo

uzimajući u

obzir:

ograničenja i zahtjeve definisane nacionalnim i internacionalnim zakonima

i propisima,

ciljeve organizacije,

operativne potrebe i

ograničenja, cijenu

implementacije.

6.1.2 Analiza rizika

Analiza rizika je postupak kojem je cilj da se ustanove ranjivosti sistema, uočiti

potencijalne prijetnje (rizike) te na odgovarajući način kvantifikovati moguće posljedice kako

bi se mogao odabrati najprimjereniji način zaštite, odnosno procijeniti opravdanost uvođenja

dodatnih protivmjera.

Postoje dva osnovna pristupa analizi rizika:

Kvantitativna analiza;

Kvalitativna analiza.

Kvantitativna analiza podrazumijeva iskazivanje rizika u očekivanim novčanim

troškovima na godišnjem nivou, dok rezultat kvalitativne analize iskazuje samo relativan

odnos vrijednosti šteta nastalih djelovanjem neke prijetnje i uvođenja protivmjera.

Pritomvalja imati na umu da je ta procjena subjektivne prirode pa je stogapodložna greškama.

U načelu kombinacija kvantitativne i kvalitativne analize predstavlja pristup

primjeren za većinu organizacija. Čista kvantitativna analiza uglavnom se primjenjuje samo u

finansijskim institucijama poput banaka i osiguravajućih društava.

6.1.3 Tumačenje rezultata

Analizom rizika moraju se utvrditi sljedeće činjenice:

kritični resursi i prijetnje i vjerovatnost njihove

pojave,potencijalni gubici koje uzrokuje ostvarenje

prijetnje,

preporučene protivmjere i njihova vrijednost (relativna ili novčana),

nadzor i zaštita.

Na osnovu dobivenih rezultata potrebno je odlučiti kakve treba preduzeti protivmjere.

Postoje tri mogućnosti djelovanja koje nužno nijesu međusobno isključive:

smanjenj

e rizika, prenos

rizika,

prihvatanje

rizika.

Jedini važan parametar prilikom izbora načina djelovanja je isplativost zaorganizaciju.

Smanjenje rizika predstavlja proces u kojem se na temelju provedene analize rizika nastoje

sprovesti odgovarajuće protivmjere i uvesti bezbjednosni nadzor da bi se zaštitili resursi

organizacije. U tom postupku nastoji se smanjiti vjerovatnost prijetnje i(ili)njen uticaj na

organizaciju. Ukoliko se pokaže isplativijim, rizik je moguće prenijeti na treću stranu (na

primjer, osiguravajuće društvo). Isto tako moguće je da implementacija protivmjera ili

prijenos rizika nijesu isplativi. U tom slučaju organizacija može odlučiti da prihvati rizik,

odnosno troškove koji iz toga proizlaze.

Jedini pristup koji u upravljanju rizikom nije prihvatljiv je ignorisanje ili

zanemarivanje rizika. Upravljanje rizikom je stalan proces i odnos vrijednosti resursa,

ranjivosti i prijetnji sa vremenom se mijenja.

6.2 POLITIKA INFORMACIONE BEZBJEDNOSTI ORGANIZACIJE

Politikom informacione bezbjednosti organizacije uspostavlja se niz pravila i

smjernica dobijenih od strane rukovodećih ljudi organizacije kako bi se obezbijedila

povjerljivost, integritet i raspoloživost informacija. Da bi bezbjednosna politika bila efikasna

potrebno je tu politiku primijeniti na svaki dio organizacije.

6.2.1 Dokument bezbjednosne politike

Dokument politike informacione bezbjednosti je službeni dokument organizacije

imoraju ga odobriti vodeći ljudi unutar te organizacije. Dokument je potrebno objaviti i

poslatisvim zaposlenim i korisnicima. Bezbjednosnu politiku potrebno je napisati kako bi bila

razumljiva svim stranama kojih se tiče. Dokument bezbjednosne politike mora sadržati:

definicije bezbjednosti informacija, ciljeve i opseg i važnost bezbjednosti,

stavove rukovodioca kojima se podržavaju ciljevi i principi informacione

bezbjednosti,

okvire uspostavljanja ciljeva i provjera,

objašnjenje bezbjednosne politike, načela i standarda,

saglasnost sa zakonodavnim, nadzornim i ugovornim

zahtjevima, zahtjeve o edukovanju po pitanju bezbjednosti,

posljedice nepridržavanja pravila bezbjednosne politike,

definicije opštih i specifičnih odgovornosti rukovodioca informacione

bezbjednosti i

reference na literaturu koja podržava uvedenu bezbjednosnu politiku.

6.2.2 Provjera bezbjednosne politike

Pojavom novih prijetnji informacionim sistemima, ugradnjom nove opreme u

informacioni sistem, i drugim radnjama mijenjaju se parametri na kojima je uspostavljena

bezbjednosna politika. Kako bi postojeća bezbjednosna politika bila jednako efikasna kao i u

trenutku kada je uvedena, potrebno je uzeti u obzir promjene koje su se dogodile, te

prilagoditi pravila i procedure. Nastale promjene nijesu nužan uslov za poboljšanje

bezbjednosne politike. Bezbjednosnu politiku potrebno je prilagođavati na godišnjoj bazi čaki

ako se ni jedan parametar u okruženju organizacije nije promijenio jer je moguće da uvedena

bezbjednosna politika ne odgovara organizaciji u potpunosti. Provjeru bezbjednosne politike

preporučeno je izvoditi u razmaku od godinu dana, ali u slučaju incidenata, otkrivanja

ranjivosti i ugradnje nove opreme čak i češće. Provjera bezbjednosne politike ne uslovljava

nužno i promjenu, ali je potrebno uzeti nove okolnosti u obzir kako bi informacioni sistem

bio primjereno zaštićen.

Neke od činjenica koje treba uzeti u obzir pri provjeri bezbjednosne politike

su:rezultati nezavisnih ispitivanja,

promjene koje mogu pozitivno uticati na bezbjednost

informacija, promjene vezane uz ranjivosti i prijetnje

informacionim sistemima, izvještaje o bezbjednosnim incidentima

i

preporuke stručnih organizacija.

6.3 ORGANIZACIJA INFORMACIONE BEZBJEDNOSTI

Pri organizaciji informacione bezbjednosti potrebno je jasno odrediti sve

odgovornosti u skladu s bezbjednosnom politikom. Rukovodeći ljudi organizacije treba da

podržavaju efikasno sprovođenje bezbjednosne politike, i na propisan način kažnjavaju one

koji kršepravila. Takođe, bitno je ispravno koordinirati zaposlene kako bi sprovedena

bezbjednosnapolitika bila uspješna. Dalji koraci koji se preduzimaju pri organizaciji

informacione bezbjednosti su:

proces autorizacije - odnosi se na procjenu nivoa bezbjednosti nekog

dijelaopreme, npr. laptop-a.

ugovor o povjerenju - popisivanje vrijednostikoje organizacija posjeduje

na načinda se svako korišćenje dokumentuje sa ciljem zaštite vrijednosti od

kopiranja,uništavanja i zamjene od strane zaposlenih, partnera ili treće strane.

savjeti stručnjaka za informacionu bezbjednost- potrebno je savjetovati se

saorganizacijama koje se bave računarskom bezbjednošću kako bi se u slučaju

bezbjednosnih incidenata dobili primjereni savjeti i smjernice koje upućuju kako

djelovati.

saradnja s drugim organizacijama -održavanje kontakta sa

drugimorganizacijama zbog unapređenja znanja o bezbjednosti informacionih

sistema ili brzih obavještenja u slučaju bezbjednosnog incidenta.

provjera bezbjednosti sistema - potrebno je redovno provjeravati

bezbjednostinformacionog sistema zbog obezbjedjenja u smislu ispravnog

funkcionisanja sistema zaštite.

bezbjednost pristupa treće stane-održati jednaknivo bezbjednosti i

kodinformacija kojima treća strana ima pristup.

identifikacija rizika kod pristupa treće strane -prije dodjele prava pristupa

trećojstrani potrebno je provjeriti moguće rizike kako bi se informacioni sistem

primjereno zaštitio.

zahtjevi bezbjednosti u ugovorima s trećom stranom- ukoliko postoji

dogovor satrećom stranom koja ima pristup informacionom sistemu, potrebno je

formalnimdokumentom odrediti pravila zaštite koja su u skladu sa bezbjednosnom

politikom organizacije.

6.4 UPRAVLJANJE IMOVINOM

Kako bi se obezbijedila zaštita imovine organizacije potrebno je sprovesti

sljedeće

korake:

popis imovine - identifikacija imovine organizacije u svrhu procjene

vrijednosti ivažnosti, i shodno tome primjerenog nivoa zaštite.

vlasništvo nad imovinom -kako ne bi došlo do mijenjanja ili otuđivanja

imovine,potrebno je odrediti vlasnika, tj. osobu odgovornu za bezbjednost i zaštitu

imovine.

prihvatljivo korišćenje imovine - definisanje jasnih pravila

ispravnogkorišćenjaimovine kako ne bi došlo do gubitka informacija ili

bezbjednosnog incidenta.

klasifikacija informacija -primjena odgovarajućeg nivoazaštite na

informacije.

smjernice za klasifikaciju - klasifikacija se izvodi na osnovu

vrijednosti,osjetljivosti, važnosti za organizaciju i zakonodavnih okvira.

označavanje i rukovanje informacijama - definisanje procedura za

označavanje irukovanje informacijama, npr. procedure za kopiranje, snimanje,

prenos, itd.

6.5 ZAŠTITA OD ZAPOSLENIH

Zaposleni često rade nesvjesne greške, ali jednako tako i svjesne zlonamjerne radnje.

Kako bi se zaštitile informacije i imovina organizacije potrebno je uzeti u obzir sljedeće:

uloge i odgovornosti - potrebno je definisati uloge i odgovornosti

zaposlenih,radnika pod ugovorom i treće strane.

provjera -provjeravaju se potencijalni zaposleni, ulagači ili poslovni

partneri kakobi se povećala bezbjednost informacionog sistema.

uslovi zaposlenja -prije zapošljavanja ili ugovaranja posla sa ulagačima ili

trećomstranom potrebno je u ugovor uključiti dio koji sve strane obvezuje na

poštovanjebezbjednosne politike organizacije.

odgovornost rukovodioca - informisanje zaposlenih o ulogama i

odgovornostimau sprovođenju bezbjednosti.

edukacija o informacionoj bezbjednosti - zaposlenihili treće strane kako

bi sepostigli zadovoljavajući rezultati, tj. kako bi svi bili svjesni važnosti zaštite

informacionog sistema.

raskid ugovora - potrebno je jasno definisati procedure koje je potrebno

izvršiti poraskidu radnog odnosa, ili ugovora, tj. odrediti pravila o vraćanju

imovine organizacije koja je zaposlenom data na korišćenje, ukidanje prava

pristupa informacionom sistemu, itd.

6.6 FIZIČKA ZAŠTITA I ZAŠTITA OD OKOLINE

Cilj definisanja ovog poglavlja unutar bezbjednosne politike je sprječavanje

nastankafizičke štete od strane zaposlenih ili bilo kojeg pojedinca koji je s organizacijom

potpisaougovornu obavezu.

Potrebno je odrediti sljedeće:

područje fizičke zaštite - djelovi organizacije kojisadrže povjerljive

informacijemoraju biti zaštićeni nekom vrstom fizičke prepreke, npr. zidovima,

vratima,autentifikacijskim uređajima, itd,

fizička provjera ulaska - kako bi se obezbijediloda pravo pristupa

određenimprostorijama unutar organizacije imaju samo ovlašćene osobe, potrebno

je postaviti odgovarajuće metode provjere ulaska,

bezbjednost opreme -kako ne bi došlo do gubitaka, štete ili prekida

poslovnihaktivnosti potrebno je obezbijediti zaštitu primjerenu vrijednostima

organizacije,

smještaj i zaštita opreme -opremu je potrebno smjestiti u skladu sa

uputstvimaproizvođača opreme,

bezbjednost instalacija -kako ne bi došlo do oštećenjainformacionog

sistemapotrebno je voditi računa o ispravnosti instalacija u prostorijama

organizacije,

bezbjednost kod kabliranja - kablovi za napajanjeelektričnom energijom

ilitelekomunikacioni kablovi moraju biti zaštićeni u skladu s propisima, i

održavanje opreme - potrebno je redovnoodržavati opremu prema

uputstvimaproizvođača, a održavanje smiju raditi samo ovlašćene osobe.

6.7 UPRAVLJANJE KOMUNIKACIJAMA I OPERACIJAMA

Komunikacije i operacije (aktivnosti) organizacije su vrlo važni procesi. Stoga je

potrebno jasno definisati pravila upravljanja komunikacijama i operacijama. Područja koja je

potrebno obraditi su:

procedure rada i odgovornosti -potrebno je odrediti procedure i

odgovornosti zaispravno upravljanje i rad jedinica za obradu informacija čime se

smanjuje rizik od namjerne i nenamjerne greške,

dokumentovane procedure rada -operativne procedure moraju

bitidokumentovane, održavane i dostupne svim korisnicima kojima su potrebne,

nadzor promjena u operativnim sistemima i objektima -promjene vezane

uzobjekte i sisteme moraju biti provjerene,

razdvajanje dužnosti-postupak razdvajanja obveza i odgovornosti

zaposlenihkako bi se mogućnosti obavljanja neovlašćenih i neželjenih radnji svele

na minimum,

razdvajanje objekata za razvoj, ispitivanje i operativni rad -potrebno je

odvojitirazvojne i aktivnosti vezane za ispitivanje, isto kao i aktivnosti vezane uz

operativni rad. Npr. program koji se provjerava ili razvija može biti opasan za

ispravno funkcionisanje informacionog sistema, pa je potrebno odvojiti sisteme na

kojima se obavlja razvoj i ispitivanje od onih na kojima se radi,

planiranje i prihvatanje sistema -radi obezbjeđenja dostupnosti

potrebnihkapaciteta i računarskih i drugih resursa,

zaštita od zlonamjernih programa -potrebno je uvesti zaštitu koja će

odgovorneljude u organizaciji upozoriti da je informacioni sistem ugrožen

zlonamjernim programom kako bi se zaštitio integritet podataka,

provjere protiv zlonamjernih programa -ugraditi određene alate i mjere

koji ćeredovno pregledati da li u sistemu postoje zlonamjerni programi,

izrada bezbjednosnih kopija -potrebno je redovno izrađivati bezbjednosne

kopijepodataka radi očuvanja integriteta i raspoloživosti istih,

upravljanje bezbjednošću mrežnog sistema -potrebno je obezbijediti

zaštituinformacija koje mrežni sistem sadrži, te zaštititi sam mrežni sistem,

rukovanje i bezbjednost medija -potrebno je uspostaviti procedure za

zaštitudokumenata, računarskih medija i dokumentacije od krađe, neovlašćenog

pristupa, uništavanja, itd.,

upravljanje prenosnim medijima - uspostavljanje pravila za rukovanje

prenosnimmedijima i podacima koje sadrže,

uklanjanje medija -ukoliko višenijesu potrebni, mediji se moguuništiti, ali

naispravan način kako treća strana ne bi otkrila informacije koje medij sadrži,

procedure za rukovanje informacijama -odrediti pravila za ispravno

rukovanjeinformacijama kako bi se zaštitile od neovlašćenog otkrivanja i

zloupotrebe, razmjena informacija -obezbijediti zaštitu pri razmjeni podataka i

programaunutar organizacije ili izvan nje, i

nadgledanje -kako bi se pravovremeno uočile neovlašćene aktivnosti.

6.8 PROVJERA PRISTUPA

Važno je odrediti koji će korisnik imati pristup određenim informacijama. Stoga je

potrebno definisati sljedeće:

provjera pristupa u skladu s poslovnim zahtjevima -pristup informacijama

trebaodgovarati zahtjevima poslovnih dužnosti kako bi se spriječio neovlašćeni

pristup podacima,

politika provjere pristupa -potrebno je uspostaviti niz pravila kojima će

seodrediti nivo pristupa zaposlenih,

upravljanje pristupom korisnika -kako bi se spriječio neovlašćeni

pristupinformacijama,

registracija korisnika -uspostavljanje formalnog postupka registracije

radidobijanja prava pristupa višenamjenskim informacionim sistemima,

upravljanje privilegijama -potrebno je odrediti nivoe privilegija u

informacionomsistemu koje je potrebno obezbijediti zaposlenim,

upravljanje korisničkim lozinkama -potrebno je izraditi formalnu izjavu

kojomse korisnici obavezuju da dobijene lozinke čuvaju tajnim, i zabranu

odavanja lozinke tokom bilo kakvog oblika komunikacije (e-mailom, telefonom,

pismeno),

odgovornost korisnika -potrebno jepodstaćisvijest korisnika o

odgovornostivezanoj uz lozinke i opremu koja im je data na korišćenje radi

smanjenja mogućnosti neovlašćenog pristupa,

provjera pristupa mreži -potrebno je uspostaviti provjeru mrežnih servisa i

uslugakako bi se zaštitio mrežni sistem od nedozvoljenih aktivnosti,

provjera pristupa operativnom sistemu -kako bi se spriječio neovlašćeni

pristupračunarskim resursima potrebno je uspostaviti bezbjednosne mehanizme

unutaroperativnog sistema,

praćenje pristupa sistema-kako bi se pravovremeno uočili

pokušajinedozvoljenih aktivnosti potrebno je dokumentovati i provjeriti pristup

sistema,

bilježenje događaja -u slučaju pojavebezbjednosnog incidenta potrebno

jebilježiti prethodne aktivnosti u sistemu kako bi se moglo odrediti šta se

zapravodogodilo, i

praćenje upotrebe sistema-kako bi se obezbijedilo da korisnici sistema

izvodesamo one aktivnosti za koje su ovlašćeni potrebno je pratiti koliko i kako ga

koriste.

6.9 RAZVOJ I ODRŽAVANJE SISTEMA

Kako bi se obezbijedila dostupnost sistemu i njegovo funkcionisanje, potrebno je

održavati njegovu opremu. Takođe je potrebno definisati sve bezbjednosne zahtjeve koji se

nameću, uključujući niz postupaka za slučaj bezbjednosnih incidenata. Sve zahtjeve

jepotrebno dokumentovati.

Provjerom ulaznih podataka moguće je spriječiti namjerno ili nenamjerno unošenje

netačnih podataka. Provjera se može sprovoditi uzimajući u obzir:

nedozvoljene vrijednosti,

nedopuštene znakove u pojedinim

poljima, nepotpune podatke, ili

prekoračenje količine podataka za unos.

Najvažnija kategorija koju ovo poglavlje obuhvata je svakako provjera i održavanje

operativnog dijela sistema od kojeg se zahtjeva neprekidan i ispravan rad.

6.10 UPRAVLJANJE INCIDENTIMA U INFORMACIONOM SISTEMU

Svrha ovog poglavlja je dati smjernice na koji način u slučaju bezbjednosnog

incidenta brzo i efikasno djelovati. Takođe, potrebno je sve zaposlene edukovati kako bi znali

prepoznati da se radi o nekoj vrsti bezbjednosnog incidenta, te da odmah upozore nadležne.

Definisani su sljedeći koraci:

prijava bezbjednosnih incidenata -bezbjednosni incident potrebno je

prijavitiprema unaprijed određenoj proceduri u što kraćem vremenskom roku,

prijava ranjivosti sistema -po otkrivanju bezbjednosnog propusta

uinformacionom sistemu potrebno je prijaviti ranjivost u što kraćem vremenskom

roku,

upravljanje bezbjednosnim prijavama -potrebno je unaprijed definisati

procedureu slučaju bezbjednosnih incidenata ili ranjivosti kako bi se u što kraćem

vremenskom roku iste mogle riješiti, i

odgovornosti i procedure -potrebno je definisati procedure koje će

obuhvatitirazličite vrste učestalih bezbjednosnih incidenata, postupke koji će

sistem zaštititi od ponavljanja istog bezbjednosnog incidenta, i sačuvati i zaštititi

dokumentaciju o incidentu kako bi se upotrijebila kao dokaz u sudskom postupku.

6.11 UPRAVLJANJE POSLOVNIM KONTINUITETOM

Uslijed prekida rada u informacionom sistemu, organizacija može doživjeti znatne

financijske gubitke. Stoga je vrlo važno odrediti:

proces upravljanja kontinuitetom poslovanja -organizacija se mora

suočiti srizicima poslovanja i biti spremna primjereno reagovati ukoliko se dogodi

incident koji može prouzrokovati zastoj u poslovanju,

kontinuitet poslovanja i analiza učinka -potrebno je identifikovati i

analiziratidogađaje, tj. incidentne situacije, koji mogu prekinuti poslovni proces te

definisatiplan za kontinuirano poslovanje organizacije,

ispitivanje i održavanja -potrebno je kontinuirano sprovoditi ispitivanja

kako bise pravovremeno otkrili propusti uslijed promjena u sistemu,

identifikacija rizika -potrebno je odrediti potencijalne prijetnje

informacionomsistemu organizacije,

analiza rizika -potrebno je odrediti koje je mjere moguće primijeniti kako

bi sesmanjili rizici kojima je izložen informacioni sistem,

prirodne katastrofe -primjena provjera za minimiziranje štete nastale

prirodnimkatastrofama (zemljotresi, poplave, požari, itd.) i

korisnici - potrebno je preduzeti sve mjere zaštite i opreza kako

korisnicisistemane bi mogli prouzrokovati prestanak ispravnog rada

informacionog sistema.

6.12 USKLAĐIVANJE

Važno ja da su bezbjednosna politika i pravila koja se primjenjuju na

informacionisistem neke organizacije usklađena sa zakonskim i ugovornim zahtjevima. Zbog

toga je potrebno uspostaviti pravila vezana uz:

intelektualno vlasništvo, autorska prava -potrebno je definisati

odgovarajućapravila koja će biti u skladu sa zakonskim odredbama koje su vezane

uz ugovore ointelektualnom vlasništvu i autorskim pravima,

čuvanje zapisa organizacije-zapise je potrebo primjereno zaštititi od

gubitka,oštećenja i krivotvorenja,

sprečavanje zlouporabe uređaja za obradu informacija -korišćenje

računarskihresursa u neposlovne ili neovlašćene svrhe potrebno je dokumentovati

kao neprimjereno, i

nadgledanje korisnika -ukoliko zakon tako nalaže, korisnike je

potrebnoobavijestiti o pravilima o nadgledanju.

Politika informacione bezbjednosti

7. ZAKLJUČAK

Usvajanjem Politike informacione bezbjednosti sa mandatom na najširu

društvenuzajednicu, Zakona o informacionoj bezbjednosti,međunarodnih standarda iz serije

ISO/IEC27000, Uredbe o mjerama informacione bezbjednosti i pravilnika o standardima za

pojedine oblasti, uz već usvojeni Program informacione bezbjednosti u Crnoj Gori i zakona

kojima se uređuje tajnost podataka, elektronska trgovina, elektronski potpis, elektronski

dokument, arhivsko poslovanje, krivični postupak, Crna Gora u potpunosti pravno uredjuje

ovu oblast.

Poštujući preporuke i najbolju praksu, utemeljenu na međunarodnim standardima

prilikomizrade navedenih propisa, stvara se ICT platforma neophodna za saradnju sa svim

relevantnim faktorima iz okruženja, u prvom redu sa EU i NATO. Saradnja bazirana na

povjerenju koje je normirano i realizovano u svim segmentima informacionog društva ima

perspektivu kontinuiranog razvoja i dobrobiti i za građane i za državu.

Činjenica da informaciona bezbjednost, kao dio ukupne nacionalne bezbjednosti, sve

više dobija na značaju nameće potrebu njenog daljeg razvoja, kako u teorijskom, tako i u

praktičnom smislu. U Crnoj Gorine postoji dovoljno razvijena svijest o

informacionojbezbjednosti, kao ni organizovana redovna edukacija bilo kojeg nivoa.

Podizanje svijesti opotrebi i neophodnosti uvođenja informacione bezbjednosti, kao i njeno

izučavanje kroz sistem redovnog visokoškolskog obrazovanja ima važnu ulogu u daljem

razvoju informacionog društva. S obzirom na kompleksnost, višeslojnost i

interdisciplinarnost, obučenost u sferi informacione bezbjednosti podrazumijeva određeni

fond tehničkih, upravljačkih i specijalističkih znanja. Sa svakim novim dostignućem u oblasti

informacionih tehnologija javljaju se novi aspekti informacione bezbednosti što mora biti

propraćeno naučno istraživačkim radom.

Ova politika informacione bezbjednosti u sebi sadrži i edukativnu komponentu. Na taj

način se htjelo ukazati da svaka organizacija u Crnoj Gori mora shvatiti neophodnost ipotrebu

realizacije sopstvene politike informacione bezbjednosti. Da bi se te politike mogle

realizovati neophodno je, paralelno sa normativnim uredjivanjem ove oblasti, raditi na

programima koji će u narednom periodu podići ukupnu svijest i kreirati neophodnu

kadrovsku i naučnu infrastrukturu. Planiranjem mjera i aktivnosti, ohrabrivanjem stručnog i

naučnog rada, organizovanjem stručnih debata, sistemskom promocijom novih tehnologija i

metoda informacione bezbjednosti, kao i ažuriranjem propisa, obezbijediće se uslovi za

brzo i kvalitetno priključenje Crne Gore razvijenom svijetu, a time i uslovi za poboljšanje

ukupnogkvaliteta života.

POJMOVI

Skup povezanih informacionih resursa namijenjenih

za

Informaciona

tehnologija (IT)

upravljanje informacijama – skladištenje, obradu,

prenos

i dijeljenje informacija.

Informaciono-

komnikaciona

Savremeni termin koji označava napredne

informacione i

komunikacione resurse za upravljanje i razmjenutehnologija

(ICT)

informacija.

Informaciona

bezbijednost

Zaštita povjerljivosti, integriteta i raspoloživosti

informacije.

Entitet bilo koje veličine ili složenosti koji djeluje

Organizacija samostalno ili kao dio veće organizacione cjeline

(privredni subjekat, državni organ, NVO, ...)

Osmišljeni način – metod da se namjerno iskoristi

neka

Izvor prijetnje

slabost ICT resursa / sistema. Određen je

motivacijom i

drugim karakteristikama.

Prijetnja

Potencijal (mogućnost) izvora prijetnje da ugrozi

ili uništi

integritet, povjerljivost i / ili raspoloživost

informacije.

Slabost, mana ili nedostatak kontrole u ICT sitemu

koji

Ranjivost

omogućava pojavu prijetnje informacijama,

servisima ili

drugim ICT resursima.

Veličina sa kojom se izražava odnos između

vjerovatnoće

Rizik (ICT rizik)

da će neka ranjivost ICT sistema biti uspješno

iskorišćena

od strane prijetnje i odgovarajućeg negativnog

uticaja

(štete) na sistem.

Pozitivni pristup prema potrebi korisnika da ima

pravo

Princip Need-To-Know

pristupa, upoznavanje sa ili posjedovanje

informacija koje

su mu potrebne za vršenje službene dužnosti

odnosno

obavljanje zadataka.

Raspoloživost

informacije

Osobina da je informacija pristupačna i upotrebljiva

na

zahtjev ovlašćenog korisnika ili entiteta.

Integritet informacije

Osobina da informacija nije izmijenjena ili uništena

na

nedozvoljen način.

Povjerljivost

informacije

Osobina da informacija nije dostupna odnosno da se

ne

otkriva neovlašćenim korisnicima ili entitetima.

COMPUSEC Bezbijednost podataka na računarima.

COMSEC Bezbijednost podataka u prenosnim sistemima.

INFOSEC Bezbijednost informacionih sistema.

TEMPEST

Skup standarda kojima se propisuju mjere zaštite od

elektromagnetnog prisluškivanja elektronske

opreme.

Bezbjednost informacione infrastrukture u

posebnim

TECSEC

kategorijama prostora od različitih vrsta pasivnog

ili

aktivnog prisluškivanja