SVEUČILIŠTE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
DIPLOMSKI RAD br. 1716
Standardna uspostava upravljanjasigurnosti u informacijskim sustavima
Ivan Poljak
Zagreb, ožujak 2008.
Zahvaljujem prof. dr. sc. Nikoli Bogunoviću na strpljenju
i podršci koju mi je iskazao tijekom izrade ovog rada.
Hvala roditeljima na razumijevanju i iskazanoj
dobroj volji tijekom svih godina studija.
Zahvaljujem prijateljima na korisnim
savjetima koji su pridonijeli kvalitetnijem radu.
Posebno zahvaljujem Anici na pomoći koju je
iskazala u kritičnim trenucima izrade rada.
Mentor: prof. dr. sc. Nikola Bogunović
Student: Ivan Poljak
Matični broj: 36338429
Datum: 25. ožujak 2008.
i
Sažetak
Sigurnost informacija u nekom sustavu je realnost i potreba. Izgradnja
upravljivog sustava sigurnosti je nužnost u poslovnom svijetu, ali sve više i u
ostalim organizacijama. Ovaj rad opisuje uspostavu sustava upravljanja
sigurnošću informacija (ISMS) na realnom primjeru srednje škole, sukladno
preporukama normi ISO/IEC 27001 i ISO/IEC 27002. U radu su istaknuti koraci
izgradnje i uspostave sustava upravljanja sigurnošću kao i izvršene pripreme za
certificiranje.
ii
Sadržaj
1. Uvod .........................................................................................................1
2. Općenito o ISMS-u....................................................................................2
2.1. ISO ........................................................................................................2
2.2. ISO/IEC 27001:2005 Sustav upravljanja informatičkom sigurnošću
(eng. Information Security Menagment System – ISMS )......................4
2.2.1. Povijest ISO 27001:2005 ...................................................................4
2.2.2. ISMS..................................................................................................6
3. Primjer uspostave ISMS-a ......................................................................10
3.1. Uvod....................................................................................................10
3.1.1. NKG – Nadbiskupska klasična gimnazija ........................................10
3.2. Uspostava ISMS-a (PDCA model – PLAN) .........................................12
3.2.1. Uvodno o uspostavi ISMS-a ............................................................12
3.3. Analiza informacijskog sustava NKG-a ...............................................13
3.3.1. Sigurnosna politika ..........................................................................14
3.3.2. Organizacija sigurnost .....................................................................15
3.3.3. Upravljanje imovinom ......................................................................17
3.3.4. Sigurnost ljudskog potencijala .........................................................19
3.3.5. Fizička sigurnost ..............................................................................20
3.3.6. Upravljanje komunikacijama i operacijama ......................................21
3.3.7. Kontrola pristupa..............................................................................29
3.3.8. Nabava, razvoj i održavanje informacijskog sustava .......................32
3.3.9. Upravljanje sigurnosnim incidentom ................................................34
3.3.10. Upravljanje poslovnim kontinuitetom ........................................35
3.3.11. Sukladnost ................................................................................36
iii
3.4. Upravljanje Rizikom.............................................................................37
3.4.1. Procjena rizika .................................................................................37
3.4.2. Metodologija procjene rizika ............................................................38
3.4.3. Klasifikacija podataka – vlasnički aspekt .........................................41
3.5. Probojnost sustava NKG-a..................................................................42
3.6. Rezultati Analize..................................................................................43
3.7. Smanjivanje i evaluacija rizika.............................................................51
3.8. Izjava o primjenjivosti (engl. Statement of Applicability - SOA) ...........53
4. Implementacija i rad ISMS-a (PDCA model – DO)..................................66
4.1. Troškovi implementacije ISMS-a .........................................................68
4.2. Mjerenje efikasnosti ISMS-a i upravljanje sustavom ...........................69
4.3. Upravljanje imovinom (resursima) i dokumentacijom ISMS-a .............69
5. Nadgledanje i kontrola ISMS-a (Check)..................................................70
6. Održavanje i unapređivanje ISMS-a (eng. Act , Improve) .......................71
7. Osnovno o dokumentiranju .....................................................................72
8. Zaključak.................................................................................................77
9. Literatura.................................................................................................78
Dodatak A: Dokumenti ISMS-a u Nadbiskupskoj klasičnoj gimnaziji ...........80
Dodatak B: Inventura imovine NKG-a .......................................................105
iv
Popis oznaka i kratica
ISMS Sigurnosno upravljivi informacijski sustavISO Svjetska organizacija za standardizacijuNKG Nadbiskupska klasična gimnazijaCARNet Hrvatska akademska i istraživačka mrežaOS Operativni sustavAD Active DirectoryUPS Uređaj neprekinutog izvora napajanja (eng. Uninterruptable Power
Supply)DSL Digitalna pretplatnička petlja (eng. Digital Subscriber Loop)Wi-Fi Bežična mreža (eng. Wireless-Fidelity - IEEE 802.11)LAN Lokalna mreža ili „unutarnja mreža“ (eng. Local area network)
Uvod
1
1. UvodPoznavanjem informacija čovjek postaje uspješniji u svom radu i kreativnom
stvaranju, sprječava nezgode, loša rješenja i odluke, neutralizira greške, smanjuje
utjecaj nepredviđenih situacija. Pravodobna informacija u današnjem svijetu
predstavlja pravo zlato, pogotovo u financijskom svijetu. Informacija postaje
sredstvo trgovanja. Naravno, kako informacija ima neku vrijednost, ona postaje
metom krađa, zloupotrebe, diskreditacije. Kao što nas povijest uči, informacije se
moraju čuvati te pohranjivati za buduće naraštaje.
Što je informacija? Na početku, koliko god ovaj pojam bio sam po sebi
razumljiv, mora imati svoju definiciju. Informacija je podatak s određenim
značenjem, odnosno saznanje koje se može prenijeti u bilo kojem obliku
(pisanom, audio, vizualnom, elektronskom ili nekom drugom). Da bi se informacije
što lakše i jednostavnije obrađivale potrebno ih je na adekvatni način klasificirati,
potanko im odrediti svrhu, vrijednost, dostupnost i ostale atribute. U takvom
okruženju, razvojem računala, sustavi za upravljanjem informacijama postaju
stvarnost i obveza organizacija kojima je informacija srž djelovanja. Takve
organizacije su među prvima uvele i pojam informacijske sigurnosti. Taj pojam se
ne odnosi isključivo na tehničke mjere zaštite (korisnička imena, zaporke,
enkripciju, prava pristupa i sl.), već podrazumijeva i administrativne mjere
(sigurnosna politika, pravilnici, procedure) i fizičke mjere (video nadzor, zaštita
prostorija, fizička kontrola pristupa). Kako bi informacijski sustav bio zaštićen na
pravi način, potrebno je uspješno uskladiti, implementirati i nadzirati sve potrebne
mjere zaštite.
U današnje vrijeme uspostava sigurnog informacijskog sustava je
prepoznata kao potreba pa se razvijaju brojni standardi koji uključuju najbolju
praksu i preporuke o upravljanju sigurnosti informacijama. Sama uspostava
sigurnog informacijskog sustava tema je ovog rada gdje će se na konkretnom
primjeru srednje škole objasniti sama implementacija i rad sustava.
Općenito o ISMS-u
2
2. Općenito o ISMS-u
2.1. ISOISO – Svjetska organizacija za standardizaciju (eng. International Organization
for Standardization )
ISO je mreža nacionalnih organizacija (institucija) za standardizaciju, a uključuje
više od 157 zemalja sa sjedištem u Ženevi (Švicarska) gdje se koordinira rad
čitavog sustava.
Na temeljima Međunarodne elektrotehničke komisije (eng. International
Electrotechnical Commission, IEC), osnovane 1906 g., i Međunarodne federacije
nacionalnih udruženja za standardizaciju (eng. International Federation of the
National Standardizing Associations, ISA),osnovane 1926 g., nakon drugog
svjetskog rata 1946 g., u Londonu predstavnici 25 zemalja stvaraju novu
organizaciju ISO koja započinje s radom 23. veljače 1947.
U povijesti ljudskog razvoja uvijek postoje prijelomne godine. Tako je 1987. bila
prijelomna u ISO organizaciji.
Tehnički komitet ISO 176 kroz višegodišnji rad predstavio je i realizirao sustav
normi pod nazivom ISO 9000ff. Osnova tog sustava bila je zaštita kupca i
korisnika kroz propisan, implementiran, dokumentiran i redovito analiziran sustav
za upravljanje kvalitetom u kojem je bila integrirana i klasična služba kontrole
kvalitete proizvoda i usluge bilo koje i bilo kakve organizacije. Kupac i kvalitetan
proizvod postaju okosnica daljnjeg razvoja, a ne kao prije količina. Sve je
podređeno što kvalitetnijem proizvodu i zadovoljstvu kupca.
U ostvarivanju te ideje bilo je potrebno i ostvariti još neke ciljeve koje je ISO TC
176 na kraju implementirao u standard ISO 9000ff :
Uspostava takvog sustava upravljanja kvalitetom koji će biti unificiran, strogo
dokumentiran i jednako primjenljiv za materijalnu i nematerijalnu proizvodnju
Postizanje istih početnih uvjeta za sve zainteresirane i maksimalno smanjiti
protekcionizam
Izjednačavanje tretmana proizvoda i usluga
Općenito o ISMS-u
3
Osiguranje jedinstveno sustava nadzora, ocjena i procjena sustava kvalitete
kroz strogo propisani oblik analize.
Nakon prvih problema i „dječjih bolesti“ napravljena je i prva revizija ISO
standarda (1994 g.) danas opće poznata ISO 9001 norma.
Pri izradi te norme željeli su se postići sljedeći ciljevi:
Kompletirati seriju normi (rezultiralo pojavom tzv. križa normi, vidi sliku 1)
Izraditi dodatne norme, upute i smjernice
Izbjegavati nedorečenosti i poboljšati nejasna mjesta
Proširivati područja specijalističkim uputama za druge norme
Unificirati nazivlja i definicije
Slika 1 Križ normi
Općenito o ISMS-u
4
2.2. ISO/IEC 27001:2005 Sustav upravljanjainformatičkom sigurnošću (eng. Information SecurityMenagment System – ISMS )
2.2.1. Povijest ISO 27001:2005
U zadnjih desetak godina, kada u svijetu doživljavamo veliku ekspanziju
Interneta i primjenu istog na većinu poslovnih procesa, nužno je razmišljati i o
sigurnosnim aspektima informatičkog sustava.
Velike i nagle promjene na tržištu kapitala zahtijevaju vrlo fleksibilne sustave.
Kako to obično biva neke nacionalne organizacije za standardizaciju znaju izaći sa
svojim prijedlozima. Konkretno, Velika Britanija je zbog svojih potreba već 1995.
donijela prvu verziju standarda BS 7799, koji se mijenjao 1999./2000., 2002. i
2005. ISO kao krovna organizacija većinu standarda preuzela je iz britanskog
modela. Danas se još uvijek, unatoč postojanju ISO standarda, u razgovorima
može čuti o BS 7799 kao začetku sigurnosnih pravila i procedura. (vidi sliku 2)
ISO 27001:2005 usvojen je kao međunarodna norma 15.10.2005.
Slika 2. Povijest ISO 27001 i ISO 27002 standarda
Općenito o ISMS-u
5
ISO/IEC 27001:2005 pripremila je zajednička komisija Joint Technical
Committee ISO/IEC JTC 1, Information Technology, Subcommittee SC 27, IT
Security tehniques.
Uz ISO 27001 standard spominje se i ISO 27002:2007 (prijašnji naziv ISO
17799:2005) kao skup preporuka i smjernica izrađen prema najboljoj praksi. ISO
27001 kao krovni dokument sadrži popis zahtjeva obaveznih za certifikaciju i
direktno se referencira na ISO 27002 kao skup smjernica i kontrola za realizaciju
sigurnosti.
ISO 27001 pripremljen je na način da se odlično integrira sa poslovnim
procesima organizacije i već postojećim standardima ISO 9001 i ISO 14001 te
kroz prizmu poslovne opravdanosti upravlja procesima informacijske sigurnosti u
organizaciji. Ovaj standard je vrlo dobro prihvaćen jer osigurava fleksibilnost,
definira upravljački okvir, a ne zadire u konkretnu tehničku implementaciju, što ga
čini primjenjivim u različitim organizacijama.
ISO 27001 standard je prvi u porodici ISO 27000.
Popis standarda vezanih uz problematiku zaštite i sigurnosti informacijskog
sustava koji su već doneseni ili su planirani u narednom razdoblju jesu:
ISO 27000 – Rječnik termina koji se koriste unutar ISO 27000 serijestandarda
ISO 27001:2005 – Sustav upravljanja informatičkom sigurnošću (ISMS)
ISO 27002:2007– Kodeks postupaka za upravljanje informacijskomsigurnošću
ISO 27003 – Vodič za implementaciju ISMS-a
ISO 27004 – Mjerenje i metrika efikasnosti sustava informacijske sigurnosti
ISO 27005 – Upravljanje rizicima informacijske sigurnosti(baziran na BS 7799-3)
ISO 27006:2007 – Zahtjevi za postupkom analize i certificiranja standarda
ISO 27007 – Upute za analizu ISMS-a
ISO 27011 – Upute za uspostavu ISMS u telekomunikacijskom sektoru
ISO 27031 – Specifikacije za ICT odjel pripremljenosti poslovneneprekinutosti rada
ISO 27032 – Upute za cyber- sigurnost
Općenito o ISMS-u
6
ISO 27033 – Upute za mrežnu sigurnost
ISO 27034 – Upute za sigurnost aplikacija
ISO 27799 – Sigurnosni sustav u zdravstvu
2.2.2. ISMS
Norma ISO/IEC 27001:2005 opisuje proces uvođenja sustava upravljanja
sigurnošću informacija (engl. Information Security Management System (ISMS)).
Takav proces pruža sistematski pristup upravljanju osjetljivim informacijama s
ciljem očuvanja njihove sigurnosti.
Informacijska sigurnost je zaštita bilo kakvih informacija u svrhu očuvanja:
povjerljivosti (eng. Confidentiality) – osiguranje da je informacija dostupnasamo onima koji imaju ovlašteni pristup istoj,
integriteta (eng. Integrity) – zaštita postojanja, točnosti i kompletnostiinformacije kao i procesnih metoda,
raspoloživosti (eng. Availability) – osiguranje da autorizirani korisnici imajumogućnost pristupa informaciji i pripadajućim sredstvima kada se uslugazahtijeva.
Radi što lakše zaštite informacije, evidentiranja ranjivosti, gore navedenih
svojstava, u organizacijama se pristupa stvaranju sustava kojim bi se moglo na što
jednostavniji način rješavati sigurnosni problemi. Takav sustav bi sadržavao
uravnoteženi skup sigurnosnih mjera: sigurnosnih provjera osoblja, fizičke
sigurnosti, sigurnosti podataka, sigurnosti informacijskih sustava te koordiniranog
uvođenja formalnih procedura poput procjene rizika, certifikacije osoblja i uređaja,
kao i akreditacije tehničkih sustava za primjenu u određenom segmentu poslovnog
i svakog drugog procesa. Uravnoteženost i koordinacija takvih bitnih mjera i
postupaka postižu se organizacijom i upravljanjem informacijskom sigurnošću.
ISO 27001 jest takav standard koji sadrži strukturirani set smjernica i
specifikacija za pomoć organizacijama u razvoju sustava upravljanja
informacijskom sigurnošću.
Implementacijom ISO 27001 standarda organizacija osigurava zaštitu svojih
informacija korištenjem kontrola koje su prihvaćene u najvećim i najuspješnijim
poslovnim sustavima.
Općenito o ISMS-u
7
ISO 27001 standard uključuje zahtjev za identificiranje postojećih i budućih
zakona i propisa koji direktno utječu na posao koji obavljamo i na način na koji ga
obavljamo. Time se osigurava usklađenost operacija unutar organizacije s
važećom regulativom i kontinuirani rad na sigurnosti.
Sam standard tu kontinuiranost prikazuje preko PDCA modela (eng. Plan-Do-
Check-Act). Ovaj model ističe važnost pažljivog planiranja programa uspostave
sustava, što rezultira efikasnim mjerama za njegovo trajno poboljšanje i pravilnu
uporabu. PDCA model je prikazan na slici 3 i 4.
Slika 3. Procesni pristup PDCA modela
Uspostavljanje ISMS-a (eng. Plan)Uspostavljanje ISMS politike, ciljeva, procesa i procedura važnih za upravljanje
rizikom i povećanje informacijske sigurnosti kako bi dali rezultate u skladu s
ukupnom politikom i ciljevima organizacije
Implementacija i pokretanje ISMS-a (eng. Do)Implementiranje i pokretanje ISMS politike, kontrola i procedura
Nadgledanje i kontrola ISMS-a (eng. Check)Procjena i gdje je primjenjivo, mjerenje performansi procesa u odnosu na ISMS
politiku, ciljeve i praktično iskustvo te izvještavanje uprave o rezultatima.
Održavanje i unapređivanje ISMS-a (Act , Improve)Izvođenje korektivnih i preventivnih akcija zasnivanih na rezultatima ISMS-a
procjene, analize (eng. audit), procjeni uprave i ostalim bitnim informacijama, kako
bi se ISMS kontinuirano usavršavao.
Općenito o ISMS-u
8
Slika 4 - PDCA model
Standard ne podrazumijeva implementirane ostale standarde iz ISO porodice,
ali u svakom slučaju pojednostavnjuje i ubrzava uspostavu ako neka
implementacija već postoji. To se posebno odnosi na sustav upravljanja
dokumentima koji je sastavni dio svih ISO standarda. Početak implementacije
podrazumijeva odluku tijela uprave organizacije o samom početku implementacije
takvog sustava. Daljnja procedura je dana na slici 5 koja prikazuje ISMS opseg
(eng. Framework ISMS-a) implementacije. Sigurnosni opseg, može pokriti bilo
pojedine odjele organizacije, bilo cjelokupnu organizaciju.
Slika 5. - ISMS opseg implementacije
Općenito o ISMS-u
9
Kako se standardi ISO 27001 i ISO 27002 međusobno nadopunjuju, tako je za
određivanje propusta i ugroza najbolje koristiti sadržajne cjeline ISO standarda
27002 međutim naravno dozvoljene su ostale metode.
Standard ISO 27002 se sastoji od 11 područja, 39 kontrolnih ciljeva i ukupno133 kontrola tj. mjera zaštite koje pomažu u identifikaciji, upravljanju i smanjenjucijelog niza prijetnji kojima su informacije svakodnevno izložene.
Popis područja koja su obuhvaćena standardom ISO 27002:
Sigurnosna politika
Organizacija informacijske sigurnosti
Upravljanje imovinom
Sigurnost ljudskog potencijala
Fizička zaštita i sigurnost okruženja
Upravljanje komunikacijama i operacijama
Kontrola pristupa
Nabava, razvoj i održavanje informacijskog sustava
Upravljanje sigurnosnim incidentom
Upravljanje kontinuitetom poslovanja
Sukladnost
Provjera usklađenosti nekog sustava je dana na kraju standarda ISO 27001 u
obliku kontrolnih ciljeva i postavljenih zadataka provjere (poglavlje Annex A).
Dodatak je tablica s cjelina iz ISO 27002 standarda i u kratkim crtama je opisano
koji su to potrebne akcije nužne za provedbu samog certificiranja dotičnog
standarda, a time i sukladnosti istog. Detaljnija objašnjenja i sam postupak
certificiranja su određeni standardom ISO 27006:2007.
Primjer uspostave ISMS-a
10
3. Primjer uspostave ISMS-a
3.1. UvodNa konkretnom primjeru srednje škole, objasnit će se sama implementacija i rad
informacijskog sigurnosnog sustava. Riječ je o Nadbiskupskoj klasičnoj gimnaziji
(kraće NKG). Škola je jedinstvena u Republici Hrvatskoj jer jedina ima astronomski
laboratorij ili kupolu s teleskopom. Dugo vremena škola je informatički bila van
svih tokova, ali upravo školske godine 2002./2003. dobivanjem sredstava za
obnovu (donacija katoličke udruge iz inozemstva), dobivanje statusa pridružene
članice CARNet-a, započela je razdoblje informatičkog prosvjetljenja. Obnovom
kupole, modernizacijom teleskopa, započinje informatička era te škole.
Uspostavljena je računalna infrastruktura koje bi se mogle postidjeti i manje tvrtke.
Cilj ovog diplomskog rada je uspostaviti ISMS u NKG-u. Dogovorena je podrška i
suradnja škole. Školi nije bio cilj certificiran sustav, koliko zaštita podataka,
dokumentiranost sustava i uspostavljen nadzor računalne mreže. Rješenje
školskih interesa je pronađeno u uspostavi ISMS-a.
3.1.1.NKG – Nadbiskupska klasična gimnazija
Nadbiskupska klasična gimnazija započela je svoje djelovanje 1920. s adresom
na Kaptolu br. 29. Kad je dobrotom i marom nadbiskupa Bauera i biskupa
Akšamovića dovršena gradnja impozantnog kompleksa na Šalati, gimnazija je
promijenila adresu i od te davne 1928. do danas, nalazi se u Voćarskoj cesti br.
106.
U početku, jer je tako i zamišljena, ova je gimnazija odgajala i obrazovala
buduće svećenike. Ustrajala je i održala se u teškim danima rata i poraća. U
komunizmu je, makar bez prava javnosti, čuvala i prenosila poruku ljubavi i znanja.
S hrvatskom samostalnošću vraća joj se pravo javnosti, a ona zauzvrat otvara
vrata svim mladićima, kasnije i djevojkama, znanju,antičkom i kršćanskom duhu.
Ove su tri vrijednosti temelj europske kulture i po njima je Nadbiskupska
klasična gimnazija škola za novo doba. Danas škola broji četiristotinjak učenika i
Primjer uspostave ISMS-a
11
učenica te pedesetak profesora i profesorica. Školska je baština bogata: od
osnivača naslijeđen je duh vjere, ufanja i ljubavi; od prethodnika upornost, mudrost
i znanje.
Raskošan prostor u zelenilu pod zvjezdarnicom, a nadomak centru grada
Zagreba uči mnoge gimnazijalce skladu prirode i čovjeka.
Nadbiskupska gimnazija ima klasični obrazovni program. To znači da su kroz
sve četiri godine obavezni predmeti latinski i grčki jezik s književnošću. Osim
učenika početnika, onih koji se nikad nisu susreli s tim jezicima, primaju se i
učenici nastavljači koji su u osnovnoj školi već učili klasične jezike.
Škola daje širok uvid u početak i razvoj ljudskih misli, temelje mnogih prirodnih i
društvenih znanosti. Time klasična naobrazba osigurava i upis na mnoge fakultete.
Neke važne godine u povijesti NKG-a:
1920. osnivanje NKG
1928. preseljenje na Šalatu, Voćarska cesta , uspostava Zvjezdarnice
1991. godine postaje škola s pravom javnosti
2002. godine postaje pridružena članica CARNet-a.
2003. godine obnavlja se Zvjezdarnica, Informatička učionica
- početak e-revolucije u školi.
2004. godine dozvoljen upis djevojka u školu.
2004. godine postaje punopravna članica CARNet-a.
Primjer uspostave ISMS-a
12
3.2. Uspostava ISMS-a(PDCA model – PLAN)
3.2.1.Uvodno o uspostavi ISMS-a
PDCA model podrazumijeva sljedeće korake unutar ove faze:
1. Podrška uprave
Implementacija bilo kojeg efikasnog sustava upravljanja zahtjeva činjenicu da
uprava u potpunosti razumije korisnost uvođenja sustava, da podrži njegovo
uvođenje, da je svjesna mogućih problema i prepreka koje se mogu pojaviti.
U svrhu uspješno ispunjenih ciljeva i zahtjeva informacijske sigurnosti, važno je
da izvršno tijelo organizacije preuzme inicijativu u promicanju informacijske
sigurnosti.
2. Definiranje opsega sustava upravljanja sigurnošću informacija
Drugi korak je definiranje područja koje će pokrivati implementirani sustav
upravljanja sigurnošću informacija. Područje opsega sustava upravljanja
sigurnošću informacija pokriva sve one domene za koje organizacija smatra da
trebaju adekvatnu informacijsku zaštitu.
3. Kreiranje dokumenta sigurnosne politike
Dokument sigurnosne politike je potpisan od strane uprave organizacije, te
prezentiran svim zaposlenicima. Namjena dokumenta je iskazivanje potpune
potpore poslovodstva uvođenju sustava upravljanja sigurnošću informacija.
Dokumentom se nedvojbeno izražava politika organizacije da ce osigurati
tajnost informacija, štititi njihov integritet, te osigurat njegova dostupnost samo
autoriziranim korisnicima. Svi drugi relevantni dokumenti, pravne i zakonske
odredbe od specifične važnosti za organizaciju, kao i ostali dokumenti
sigurnosne politike namijenjene određenim aspektima informacijskog sustava,
trebaju biti navedeni u krovnom dokumentu sigurnosne politike.
4. Kreiranje strukture sigurnosne organizacije
Organizacija mora uspostaviti upravljačku strukturu za provedbu mjera i
strategija sustava upravljanja sigurnošću informacija. Struktura se brine za
Primjer uspostave ISMS-a
13
provedbu, kreiranje i održavanje ažurnosti sigurnosnih politika, kao i
relevantnih standarda, procedura i planova. Sastoji se od različitih tijela i
timova zaduženih za specifične sigurnosne aspekte.
5. Izvođenje procjene rizika
U odluci o tome koje je informacijske resurse potrebno zaštititi, nužno je
provesti detaljnu analizu organizacije u cilju utvrđivanja lokacije, načina
postupanja i odgovornosti za pojedine informacijske resurse. Informacijski
resursi svakog dijela organizacije trebaju se klasificirati unutar aspekata
tajnosti, integriteta i dostupnosti.
6. Odabir sigurnosnih kontrola
Preporučuje se upotreba samo onih kontrola koje su u procesu analize rizika
identificirane kao nužne za primjenu. Nakon odabira sigurnosnih kontrola,
specifične sigurnosne politike definiraju se za svaku pojedinu kontrolu, kako bi
se osigurala željena razina sigurnosti. Preporuke i procedure za
implementaciju sigurnosnih politika specificiraju se u posebnoj dokumentaciji o
implementaciji sigurnosne politike, te se sama implementacija mjera definiranih
politikama provodi u fazi održavanja i nadgledanja PDCA ciklusa (eng. Act).
7. Kreiranje Izjave o primjenjivosti
Standard ISO/IEC 27001 zahtijeva postojanje dokumenta zvanog Izjava o
primjenjivosti (engl. Statement Of Applicability, SoA), koji sadrži popis
sigurnosnih kontrola s objašnjenjima zašto su pojedine kontrole uključene
odnosno isključene iz sustava. Norma podrazumijeva da je opseg sustava
upravljanja sigurnošću informacija specifičan za svaku pojedinu organizaciju i
samim tim je opravdano isključivanje pojedinih kontrola iz sustava.
3.3. Analiza informacijskog sustava NKG-aAnaliza informacijskog sustava se vrši po poglavljima iz ISO 27002 standarda.
Na početku svakog poglavlja dane su opće informacije o samom poglavlju radi
lakšeg praćenja analize. Sama analiza je potrebna radi lakšeg detektiranja
propusta i ranjivosti sustava, tj. određivanja rizika. Određene pretpostavke, tj.
dokumenti koji se podrazumijevaju, a dio su plana uspostave ISMS-a nisu
Primjer uspostave ISMS-a
14
ispunjeni. Ovdje se prvenstveno misli na pisani trag podrške uprave i kreiranja
sigurnosne strukture organizacije.
U jednoj ustanovi kao što je škola teško je definirati i kreirati sigurnosnu
strukturu kada je broj ljudi uključenih u sigurnosni proces vrlo mali (1-2 osobe).
Dokument o podršci uspostave sigurnosnog sustava nije napravljen iako je
usmeno podrška istaknuta.
3.3.1.Sigurnosna politika
Općenito
U ovo područje spadaju svi relevantni dokumenti iz područja upravljanja
informatičkog sustava. Naglasak je prvenstveno na sigurnosnim procedurama i
radnim akcijama te njihovoj dokumentiranosti, pristupu istima, pohrani.
Opažanja
Nadbiskupska klasična gimnazija je članica CARNet-a i kao takva podliježe
određenim preporukama sigurnosne politike te ih je dužna i provoditi unutar
ustanove. Sama provedba je u ovoj ustanovi malo zakazala. Sigurnosna politika i
dokumenti su preuzeti od strane CARNet-a.
Dokumenti koje je CARNet proslijedio svim svojim članicama služili su samo
kao osnova da svaka članica tj. ustanova prilagodi svojim potrebama.
NKG je veći dio dokumenata prilagodio i pridržavao se istih, međutim određene
dokumenti vezani uz sigurnost i opću organiziranost ustanove nedostaju. Ovdje se
prvenstveno misli na korištenje usluga treće strane, samog pristupa i nadzora
dokumenata, njihovo skladištenje.
U praksi se nedostatka takvih procedura i dokumenata reflektiralo u
neuskladištenju dokumenata, nenadziranju pristupa istima itd.
Ukratko dokumentima koji i postoje ne pridaje se neka važnost. Neki od tih
dokumenata su bili u primjeni, a neki samo djelomično (Pravilnik o rješavanju
sigurnosnih incidenata i Pravilnik o upravljanju povjerljivim informacijama).
Suradnja CARNet-a i NKG je vrlo dobra. Upozorenja o sigurnosnim propustima
su promptno primjenjivana.
Primjer uspostave ISMS-a
15
Problemi sustava su:
Nedostatak osnovnih parametara za postizanje sukladnosti s ISO
standardom (izrada, revizije, skladištenje, pristup dokumentima)
Za „treće osobe“ nema odgovarajućih smjernica kao ni pokazatelja
vrednovanja u izvršavanju svojih usluga.
Nedostatak pravilnika o ponašanju korisnika (profesora, učenika, drugog
osoblja) kao i njegovo usklađivanje s statutom škole. Naravno u nedostatku
takvog pravilnika koristi se odredbe statuta škole o ponašanju učenika i
profesora koje u današnje vrijeme nisu dovoljne.
Nedostatak pravilnika o klasifikaciji informacija i dokumenata vezanih uz
školu. Na načelnoj razini ovaj dio je preuzet u sklopu CARNet-ovih
dokumenata, međutim nedostaju smjernice same škole o informacijama.
Preporuke
Izrada i promjena nedostajuće dokumentacije. Izrada sustava dokumentiranosti
radi lakšeg praćenja, arhiviranja i izrade dokumenta.
3.3.2.Organizacija sigurnost
Općenito
U ovom području potrebno je imati dokumentaciju vezanu uz samu
organizacijsku strukturu ustanove, tj. potrebno je imati upravljačku strukturu za
pokretanje i kontrolu primjene informacijske sigurnosti, imati jasne upute o
imenovanjima obvezama i odgovornosti pojedinih djelatnika u sigurnosnom lancu
odlučivanja.
Opažanja
U NKG sama struktura organizacije je definirana u sklopu statuta škole (vidi
sliku 6).
Primjer uspostave ISMS-a
16
Slika 6 Organizacijska struktura NKG-a
Također u sklopu samog dokumenta sigurnosne politike definirani su odnosi
između razina odlučivanja i donošenja pojedinih sigurnosnih odluka. Najveći
problem u cijelom lancu je needuciranost ravnatelja o sigurnosnim problemima
informacijskog sustava. Očit je izostanak dokumenata iz ovog područja.
Dokumenti vezani uz vanjske suradnike i „treće osobe“ trenutno ne predstavljaju
problem međutim ovo područje može biti problematično u budućnosti, zbog sve
većeg obima korištenja teleskopa u edukacijske svrhe, velike fluktuacije ljudi,
daljnje obnove školskog prostora.
IT odjel koji je zadužen za sigurnost trenutno se sastoji samo od IT
administratora. U raznim incidentnim situacijama administratoru pomažu kolege
profesori nastave informatike i astronomije.
Preporuke
Sadašnje stanje trebalo bi doraditi u obliku jasnije i eksplicitnijeg određivanja
nadležnosti u sustavu odlučivanja. Potrebno je izraditi sporazume o povjerljivosti s
djelatnicima koji su zaduženi u provedbi informacijske sigurnosti.
Jasnije odrediti granice i prava pristupa informacijama vanjskim suradnicima i
„trećim osobama“. Izraditi dokumente vezane uz vanjske suradnike i „treće osobe“,
npr. Izjava o čuvanju povjerljivih informacija, Ugovora o načinu rada vanjskih
suradnika i „ trećih osoba“ unutar ustanove. Vrednovanje izvršenih usluga vanjskih
Primjer uspostave ISMS-a
17
suradnika ili „trećih osoba“ prepušta se da potankom objašnjenju unutar ugovora ili
nekog drugog oblika dokumenata, bilo pravilnika, procedure ili radne akcije vezane
uz pojedini projekt.
Potrebna je izrada dokumenata vezanih uz nezavisnu provjeru informacijske
sigurnosti.
3.3.3.Upravljanje imovinom
Općenito
Imovina ili resurs je sve što ima bilo kakvu vrijednost za organizaciju, poslovneoperacije ili njihov kontinuitet.
Cilj je postizanje i održavanje zaštite imovine ustanove. Potanko odrediti svu
imovinu i imenovati vlasnike i korisnike. Izrađuje se inventar imovine unutar
opsega ISMS-a, kao i procjena vrijednosti iste. Određuje se odgovornost za
održavanje imovine preko predviđenih kontrola. Potanko se određuje sigurnosna
klasifikacija imovine (vidi tablicu 1) i dodjeljuju pristupna prava istima.
Kategorija Opis
Informacija
Informacije predstavljaju najvažniji tip resursa koji je potrebno zaštitit i bez
obzira u kojem se obliku nalazi, npr. baze podataka, podatkovne datoteke,
dokumentacija o sustavu , ugovori, priručnici, smjernice, planovi kontinuiteta,
obrazovni materijali i sl.
Procesi i uslugeProcesi i usluge uključuju poslovne procese, aplikacijske aktivnosti,
operativne usluge, komunikacijske usluge i ostale usluge koje omogućuju
procesiranje informacija, npr. grijanje, rasvjeta, struja i sl.
Programska
podrška
Programska oprema uključuje aplikacijske programe, sustavske programe,
razvojne alate,pomoćne aplikacije i sl.
SklopovljeUključuje računala, komunikacijsku opremu, medije (papire, CD-ove,
diskove), tehničku opremu (izvore napona, klimatizaciju) i sl.
LjudiU ovu kategoriju spada osoblje, klijenti, korisnici usluga i svi ostali koji imaju
bilo kakvu ulogu u pohrani i procesiranju informacija.
LokacijaOva kategorija podrazumijeva sam smještaj svih gore navedenih kategorija,
pogotovo ako se ustanova sastoji od više zgrada na različitim lokacijama
Tablica 1 - Kategorizacija imovine
Primjer uspostave ISMS-a
18
Opažanja
Jedan od važnijih zadataka uspostave ISMS-a je inventura imovine. NKG do
sada nije imao napravljenu inventuru. Kako je ovo nužan preduvjet bilo kakvog
razgovora o sigurnosti, sukladno tome je utrošeno i najviše vremena na ovaj
posao. Naime o kvalitetnoj klasifikaciji imovine kao i određivanju veza među
pojedinih resursa ovisi određivanje rizika informacijskog sustava kao centralnog
dijela sustava.
Preporuke
Primjer dokumenta o inventuri NKG-a, kao i klasifikacija te imovine nalazi se u
prilogu, Dodatak B. U dokumentu se nisu posebno isticale tehničke karakteristike
imovine. Taj dio je napravljen automatski u sklopu procesa automatskog
prepoznavanja računala i popunjavanja GLPI baze podataka Potrebno je također
definirati održavanje popisa imovine (resursa), tj. vremenski odrediti provjeru.
U sklopu inventure potrebno je odrediti vlasništvo imovine. Kako se ovdje radi o
školi, vlasnik svih resursa je škola i taj se dio podrazumijeva, međutim pod ovim
terminom će se kasnije u tekstu upotrebljavati naziv onog korisnika koji
neposredno radi s imovinom i kojemu se indirektno ili direktno nameće briga o toj
imovini. U sklopu inventure određuje se i klasifikacija informacija. Ovo područje je
određeno u sklopu preuzete CARNet-ove politike, međutim nedostaje primjena te
klasifikacije na školske informacije. Na žalost, u ovom dijelu je vrlo teško bilo
odrediti i klasificirati školske informacije, jer su sve informacije bile klasificirane po
principu Važno / Nevažno. Daljnje ulaženje u samu bit tih informacija bi zahtijevalo
daleko dublji ulazak u školsku problematiku, što trenutno nema smisla. Zbog toga
se, u kasnijem poglavlju kod određivanja rizika, može uočiti neizdvajanje pojedinih
informacija nego se one grupiraju po principu funkcije koju određeni korisnik
izvršava i na temelju ukupne vrijednosti sigurnosnih atributa resursa.
Primjer uspostave ISMS-a
19
3.3.4.Sigurnost ljudskog potencijala
Općenito
Ovo poglavlje služi za definiranje, razumijevanje odgovornosti te provjeru
podobnosti za izvršenje posla i namjena je smanjenju rizika od krađe, prijevare ili
zloupotrebe opreme.
Ukratko ovo poglavlje je orijentirano prema prijetnjama samih korisnika sustava
(eng. insider) odnosno sve većim problemima krađe informacija unutar ustanove
radi ostvarivanja osobne dobiti.
Opažanja
Sigurnosna politika dobivena od strane CARNet-a se djelomično provodi u
praksi. Naime pojedine odrednice o čuvanju informacija o ustanovi nigdje nisu
evidentirane u obliku dokumenta koji su zaposlenici trebali svojim potpisom
prihvatiti. Isto tako ne postoji niti definirane kazne ili sankcije za ne pridržavanje
sigurnosnih načela, osim onih potanko objašnjenih unutar statuta. Naime iako se
većina zaposlenika pridržava sigurnosnih načela, nedostatak pravila se očituje u
radu s učenicima koji vole istraživati granice nedozvoljenog ponašanja.
Odgovornost u ovom području je prvenstveno na ravnatelju, needuciranosti
profesora, a time i učenika.
Sigurnosnih pravila ili provjera u obliku dokumenta, prilikom zaposlenja
profesora u školi nema. Edukacija profesora, učenika i ostalog osoblja vezano uz
sigurnost se ne provodi.
Preporuke
Potrebna je izrada dokumenta koji bi na jedan jednostavniji način potaknuli
profesore , učenike i ostale zaposlenike škole na pridržavanje pravila vezanih uz
sigurnost.
Potrebna je izrada dokumenta sigurnosne provjere vezane uz zapošljavanje
profesora, a pogotovo djelatnika u IT odjelu.
Izrada planova edukacije korisnika sustava. Unutar dokumenta Sigurnosna
politika NKG-a nalazi se klasifikacija korisnika sustava.
Primjer uspostave ISMS-a
20
Poboljšanje dokumenata vezanih uz prestanak ili promjenu zaposlenja
djelatnika iz škole, prvenstveno se ovdje misli o ukidanju prava pristupa.
3.3.5.Fizička sigurnost
Općenito
Sprečavanje neovlaštenog fizičkog pristupa, oštećenja, ometanje prostora i
informacija organizacije. Potrebno je voditi računa o zaštiti od prirodnih prijetnji,
npr. požara, poplave ili potresa.
Oprema bi trebala biti smještena u prostoru zaštićenom od krađe, vandalizma,
prašine, kemijskih efekata, elektromagnetske radijacije i sl. Pomoćna oprema
poput grijanja, ventilacije, klimatizacije, vodovoda i sl. treba odgovarati sustavu za
koji je predviđena. Svi kablovi trebaju biti zaštićeni od oštećenja. Opremu je
potrebno servisirati i održavati u planiranim intervalima kako bi se smanjio rizik od
kvarova.
Pružena zaštita trebala bi biti proporcionalna definiranim rizicima.
Opažanja
Poslužitelji kao centralne jedinice su smještene na 5. katu zgrade škole u
prostoru zvjezdarnice. Većina poslužitelja i komunikacijske opreme smješteno je
unutar računalnog ormara. Dva poslužitelja su izvan ormara i kao takvi
predstavljaju rizik (mogućnost požara, krađe, poplava). Naime iako je prostor na 5.
katu, fizički je krađa teško izvediva ali mogućnost postoji. Video nadzor škole ili
samo ovog prostora ne postoji.
Najveća opasnost dakako najviše prijeti od vatre i poplave. Protupožarni aparat
ne postoji unutar prostorije niti se nalazi u neposrednoj blizini. Poplava prijeti od
pucanja cijevi centralnog grijanja ili od mogućnosti prokišnjavanja iz same
astronomske kupole. Iako je takva mogućnost mala zbog nedavne obnove, ne
smije se zanemariti.
Posebne evidencije oko pristupa tom prostoru nema jer se taj prostor koristi i u
edukacijske svrhe (nastava, tečajevi itd.) i velika je fluktuacija učenika i profesora.
Primjer uspostave ISMS-a
21
Kat ispod nalazi se informatička učionica gdje se nalazi najveći dio ostale
računalne opreme. Toj učionici pristup je ograničen samo za vrijeme nastave i
samo profesori informatike imaju ključeve dotične učionice. Protupožarni aparat
također ne postoji unutar prostorije ili u neposrednoj blizini. Mrežna oprema se
također nalazi unutar računalnog ormara smještenog u samoj učionici.
Ostala oprema je raspoređena po ostalim katovima. Mrežni kablovi se nalaze u
odgovarajućim kanalima.
Škola ima protupožarni certifikat.
U sklopu ovog područja detektiran je nedostatak sljedećih dokumenta:
Dokumenti vezani uz ekološko zbrinjavanje računalnog otpada.
Dokumenti za održavanje opreme
Dokumenti iznošenja i korištenja opreme izvan škole.
Vođenje evidencije pristupa u pojedine prostore, prvenstveno se ovdje misli
na učionice informatike i astronomije.
Preporuke
Potrebno je postaviti protupožarne aparate u školi, a naročito u prostoru
zvjezdarnice i informatike. Zbog starosti centralnog grijanja potrebno je učestalo
provjeravanje cijevi, osim u prostoru zvjezdarnice gdje je nedavno postavljena
nova instalacija.
Potrebna izrada nedostajuću dokumentacije.
3.3.6.Upravljanje komunikacijama i operacijama
Općenito
Slijede dva najkompleksnija područja. Ona zadiru u samu srž ISMS-a. Naime u
sklopu ovog područja osigurava se ispravan i siguran rad opreme za obradu
informacije kao i sam protok informacija i njena zaštita, skladištenje i uništavanje.
Primjer uspostave ISMS-a
22
Ovo područje je po ISO 27002 standardu podijeljeno na 10 potkategorija:
Operativne procedure i odgovornosti
Opisuje se važnost i način dokumentiranja operativnih procedura. Sve
dokumentirane procedure trebaju biti dostupne korisnicima koji ih trebaju.
Sve promjene u informacijskom sustavu trebaju biti identificirane kako bi se
njima moglo sustavno upravljati.
Upravljanje uslugama treće strane
Implementirati i održavati sigurnosne mjere kako bi se osigurala sigurnost
usluga koje pruža „treća osoba“.
Planiranje i prihvaćanje sustava
Minimizirati rizik od pogrešaka u sustavu. Planiranje i pripremanje je
potrebno kako bi se osigurala raspoloživost sustava i zadovoljavanje
odgovarajućih performansi sustava.
Zaštita od malicioznog i mobilnog koda
Mjere opreza su nužne u zaštititi integriteta programske opreme i
informacija. Programska oprema i informacije su osjetljivi na umetanje
zloćudnog koda poput virusa, crvi, trojanskih konja i sl.
Sigurnosne kopije
U zaštititi integriteta i raspoloživosti informacija potrebno je redovito
izrađivati sigurnosne kopije. Potrebno je utemeljiti procedure u kojima ce se
definirati strategija izrade sigurnosnih kopija, frekvencija izrade kopija,
načini testiranja kopija i sl.
Upravljanje mrežnom sigurnošću
Osigurati i zaštiti informacije u mrežama, kao i pripadne mrežne
infrastrukture.
Rukovanje medijima
Kontrola svih vrsta medija i fizička zaštita. Nakon što mediji više nisu
potrebni organizaciji preporuča se njihovo uništenje. Poželjno je utemeljiti
procedure za odlaganje medija. Sva sustavska dokumentacija također treba
biti zaštićena od neovlaštenog pristupa.
Primjer uspostave ISMS-a
23
Razmjena informacija
Omogućiti sigurnu razmjenu informacija i programa unutar organizacije ili s
nekim vanjskim entitetom. Potrebno je utemeljiti formalne procedure
razmjene informacija svim vrstama komunikacijskih kanala.
E-trgovina
Informacije uključene u elektroničku trgovinu koje prolaze javnim mrežama
trebaju biti zaštićene od neovlaštenih aktivnosti, osporavanja ugovora i
neovlaštenog razotkrivanja ili modificiranja.
Nadziranje
Sustave je potrebno nadzirati i bilježiti događaje vezane za sigurnost.
Datoteke sa zapisima o korištenju sustava i greškama sustava se
upotrebljavaju kako bi se identificirali problemi informacijskog sustava.
Nadzor sustava služi za provjeru efikasnosti kontrola i verifikaciju
usklađenosti s modelom sigurnosne politike. Potrebno je voditi dnevnike o
aktivnostima korisnika, iznimkama, sigurnosnim događajima i sl.
Opažanja
Operativne procedure i odgovornosti
Opaža se problem nedokumentiranosti sustava. Ne postoje operativne
procedure tj. radne akcije niti za jedno važnije računalo (poslužitelji), kao ni za
implementirane usluge u sustavu, obradu i rukovanje informacijama, sigurnosnim
kopijama, uputama u slučaju greške sustava, uputama ponovnog pokretanja
sustava, dnevnika sustava i sl.
Upravljanje uslugama treće strane
Problem nedokumentiranosti sustava i ovdje iskače u prvi plan.
CARNet pružatelj usluge Interneta zahtijeva od svojih članica da imenuju
odgovornu osobu koja će ujedno biti i glavna kontakt osoba. Naime bilo kakvi
sigurnosni dopisi i upozorenja dobivena od strane CARNet-a promptno su bila
provedena. Komunikacija vezana uz sam odnos sa CARNet-om je odlična. Manjak
je jedino nedostatak dokumenata o komunikaciji, izvršenju sigurnosnih zahtjeva.
Na godišnjoj razini odgovorna osoba NKG-a izrađuje dokument o radu ustanove,
Primjer uspostave ISMS-a
24
problemima i rješenjima tijekom rada sustava, kao i zadovoljstvo korištenjem
usluge koju CARNet pruža.
NKG za sada nekom trećem ne pruža nikakve usluge, postoje dakako
mogućnosti i indicije oko pružanja astronomskih usluga međutim zbog slabijih
financijskih mogućnosti sve je ostalo samo u fazi razmatranja.
Planiranje i prihvaćanje sustava
Sustav se nije razvijao na temelju plana nego se računalna mreža razvijala po
principu potreba. Takav pristup se primjenjuje i danas, a glavni uzrok tome su
nedostatak sredstava. Naime često se dešava da ravnatelj dozvoljava postavljanje
računala na mjesta gdje ne postoje tehnički preduvjeti. Tada se hitno stvaraju
preduvjeti, najčešće samo mrežna utičnica, ali bilo je primjera da nisu
zadovoljavajuće i električne instalacije. Takav sustav sada je kompleksniji, što se
očituje na izradi potrebne dokumentacije vezane uz održavanje, nadzor, oporavak
od pogreške, nadogradnju i sl. Uslijed neplanske izgradnje računalne mreže
postoji u školi nekoliko mrežnih preklopnika koji bi pravilnim planiranjem bili
nepotrebni, a funkcionalnost sustava bi bila na većoj razini
Zaštita od malicioznog i mobilnog koda
Kao što se može vidjeti iz popisa imovine, škola ima definiranu programsku
podršku u obliku korištenja Symantec Corporate Edition Antivirus v.10. Ta
aplikacija (eng. software) ima jasno podijeljenu podršku na poslužitelja i klijenta. U
sklopu poslužiteljske komponente definiran je i nadzor klijenta. Taj dio zaštite je
vrlo dobro odrađen. Manjak se očituje u nedostatku potrebne dokumentacije.
Zaštita na Linux poslužiteljima je postavljena u obliku besplatnog anti -virus
rješenja Clam, dok je u sklopu e- pošte uključena i anti spam zaštita.
Sigurnosne kopije
Nad informacijama koje su nužne za sustav, izrađivane su sigurnosne kopije.
Izrada je zamišljena da svaki djelatnik vrši svoje arhiviranje, osim knjižničara i
računovodstva koji su dužni po službenoj dužnosti vršiti arhiviranje službenih
informacija na medij disketu. Izrada sigurnosnih kopija poslužitelja postoji, ali
ažuriranost istih je vrlo upitna. Uvidom u arhivu, na nekim poslužiteljima,
sigurnosne kopije sustava nisu rađene i po 6 mjeseci. Arhiviranje e-pošte je
interno dogovoreno da će se vršiti svaki mjesec, međutim prilikom pregleda
Primjer uspostave ISMS-a
25
ustanovljeno je da su kopije stare i više od 3 mjeseca. Takav način izrade
sigurnosnih kopija je neprihvatljiv i nužno ga je potrebno mijenjati. Za sve važnije
informacije postoji dupliciranje podataka. Međutim to dupliciranje je na razini
dinamičke zaštite. Zbog same strukture windows okruženja, svaki korisnik ima tzv.
putujuće postavke (eng. roaming profile). Na taj način se na računalu gdje se
korisnik zadnji put prijavio u sustav čuvaju informacije kao i na poslužitelju.
Dodatne pohrane tih informacija i podataka nema.
Upravljanje mrežnom sigurnošću
Osiguranje računalne mreže je izvedeno na više razina. Internetski pristup
ostvaren je preko bežičnog prijenosa (eng. Wireless access point), kraće AP.- Dva
takva uređaja su u prospojenom režimu rada (eng.bridge mod) između ustanova
Prirodoslovno-matematičkog fakulteta, Matematički odjel i NKG-a. Zaštita tih
uređaja je klasificirana kao visoka i ona se provodi.
Sljedeća razina su poslužitelji koji imaju direktan pristup od strane „vanjske
mreže“, filtrirajući promet prema „unutarnjoj mreži“. Zadnja razina su korisnički
računi na „unutarnjoj mreži“ i pristup ostaloj mrežnoj opremi. Zaštita i postavke
uređaja bežičnog prometa AP su dobro postavljene, nedostaje dokumentacija o
tim postavkama, dok je sam pristup preko internih korisničkih računa slabija strana
zaštite.
Zaštita „unutarnje mreže“ od utjecaja „vanjske mreže“ postavljena je preko dva
poslužitelja, koja su postavljena u usmjereni način (eng. router). Poslužitelji nisu
spojeni u redundantni režim rada, već djeluje zasebno. Ovo rješenje je zamišljeno
da bude redundantno i napravljeno je kao zaštita od ispadanja Interneta, koja se u
prošlosti dešavala zbog problema s starijim tvrdim diskovima. Sama izvedba je
vrlo upitna. Ispadanje jednog od tih računala drugo preuzima promet na sebe, ali
ono ne zadržava i osigurava nastavak sjednica (eng. session).
Na oba računala nalazi se operativni sustav Linux, ili kraće Linux.
Dokumentiranost postavki ne postoji. Treće računalo koje također koristi Linux ima
funkciju poslužitelja baze podataka MySQL i koristi se isključivo u edukativne
svrhe i kao takav nije sigurnosni problem.
Svi Linux poslužitelji su direktno spojeni na „vanjsku mrežu“. Nema DMZ zone i
to stvara problem kod nadzora, nadogradnji OS-a, podešavanja i sl.
Primjer uspostave ISMS-a
26
„Unutarnja mreža“ nema neki poseban nadzor nad korisnicima osim sustava
autorizacije koju vrši Windows poslužitelj i imenički sustav (eng. Active Directory ili
kraće AD) Svi poslužitelji su podvrgnuti tzv. testu probojnosti (eng. penetration
test). Na temelju tog testa će se kasnije i odrediti rizik. Istiće se propust na jednom
preklopniku gdje se može s početnim postavkama (Admin/bez lozinke) ući u
postavke preklopnika i narušiti njegova funkcionalnost.
Cijela računalna mreža izgrađena je na UTP kablovima 5e kategorije. Zbog
problema sa dužinom kabla i količinom koja se spušta s petog kata zgrade po
cijeloj školi, preporuča se zamjena tih kablova optičkim. Na taj način bi se sigurno
poboljšali sigurnosni uvjeti (smanjenje utjecaja električne instalacije) kao i ostali
elementi mreže (protočnost, dostupnost, brzina).
U sklopu akcije Ministarstva znanosti, obrazovanja i športa „NET u školi“, škola
je dobila i DSL priključak na Internet. Trenutno on nije u funkciji, međutim možda
bi trebalo razmišljati kao o pričuvnoj varijanti veze prema Internetu.
Rukovanje medijima
Mediji koji služe za pohranu i arhiviranje nakon uporabe se ne spremaju na
fizički zaštićena mjesta i u odgovarajućim uvjetima (vlažnost, temperatura, ne
izloženost suncu ili magnetskom polju). Također mediji koji služe za arhiviranje ne
obilježavaju se na adekvatan način. Uklanjanje takvih medija ne vrši se na siguran
i ekološki prihvatljiv način. Kontrola arhiviranih medija se ne izvršava.
Moguće je pokretati s USB promjenljive memorije nepoćudne aplikacije. Nadzor
nad korištenjem USB promjenljivih memorija ne postoji.
Razmjena informacija
Detektiran je nedostatak dokumentacije. Najčešće se razmjena informacija
izvodi preko e-pošte. Ovisno o pojedinom korisniku ti zapisi se čuvaju ili brišu. Do
sada najviše povjerljivih informacija je bilo vezano uz nadogradnju teleskopa.
Unutar projekta HUSOŠ povjerljive informacije škole se prenose u bazu podataka
koja je nadzirana od strane CARNeta. CARNet je preuzeo odgovornost o zaštiti
podataka. Sam prijenos se vrši preko https pristupa web stranicama aplikaciji koja
je napravljena od strane Ministarstvo znanosti, obrazovanja i športa i CARNeta.
Primjer uspostave ISMS-a
27
E-trgovina
Ovo područje je direktno u suprotnosti sa osnovnom djelatnosti škole. U ovom
područja jedino je detektirana primjena on-line transakcija koje računovodstvo
obavlja sa svojom matičnom bankom.
Taj proces bi trebalo dokumentirati jer u njemu nema sigurnosnih propusta, a
sam pristup i autorizacija korisnika (računovođe) se vrši preko token uređaja i
pametnih kartica. O samoj fizičkoj sigurnosti kartica i uređaja zadužen je
računovođa.
Nadziranje
Nadzor se vrši na više mjesta. Za potrebe „unutarnje mreže“ provjera se vrši na
windows poslužitelju preko aplikacije pregleda sustava (eng. Event Viewer).
Provjeravaju se prvenstveno obavijesti iz sigurnosnog područja (eng. Security) ali i
ostale obavijesti vezane uz rad samog poslužitelja. Ta provjera se vrši jednom
dnevnom i to najčešće ujutro.
Nadzor nad Linux poslužiteljima različit je od windows okruženja. Obavijesti se
spremaju u datoteke „logove“. Ti „logovi“ se provjeravaju jednom mjesečno. Svaki
od Linux poslužitelja ima svoj sustav „logova“. Provjera „logova“ je vrlo iscrpljujuća
zbog nedostatka alata za pregled. Često se dešava da pokušaji upada u sistem
ostanu neregistrirani. Detekcija napada za sada je jedino moguća na web
poslužitelju i to preko programske podrške za statistiku stranica. Naime u toj
statistici se očituju upiti prema datotekama koje se nalaze na poslužitelju samo
nisu dio „web strukture“. Zapisi o zastojima, aktivnostima administratora i
operatera nema.
Preporuke
Nužna je izrada potrebne dokumentacije.
Educirati profesore i učenike o sigurnosnim problemima i pridržavanju
postavljenih pravila ponašanja unutar računalne mreže.
Pokušati planirati i projektirati buduće zahvate na sustavu.
Optimizirati informacijski sustav.
Primjer uspostave ISMS-a
28
Pohrana informacija na diskete kao medij je zastario, poželjna je
promjena medija pohrane.
Potrebno je u sklopu procedure o klasifikaciji informacija potanko odrediti
koje će se informacije pohranjivati i na koji način će se vršiti izrada
njihove sigurnosne kopije.
Potrebna izrada DMZ-a (demilitarizirane zone), odrediti način nadzora
računalne mreže i provođenja nadzora.
Ukloniti sigurnosne propuste na poslužiteljima.
Implementirati dodatni windows poslužitelj radi replikacije AD-a.
Bolje implementirati redundantnih postavki na Linux poslužiteljima.
Potrebno obilježavanje medija za pohranu, izrada lista kontrole
arhiviranih medija, određivanje samog smještaja medija (posebni ormari
za čuvanje) i sl.
Nadzor učenika u korištenju USB promjenljivih memorija, pogotovo je
kritično pokretanje neželjenih aplikacija.
Izrada sustava praćenja, analize i automatskog odlučivanja na
poslužiteljima u sklopu nadzora računalne mreže.
Dokumentirati upotrijebljene sigurnosne postavke.
Promjena svih početnih postavki autentifikacije na mrežnim
komponentama sustava.
Izrada i bilježenje aktivnosti administratora, zastoja sustava.
Sinkronizacija satova kod svih odgovarajućih sustava za obradu
informacija unutar ustanove.
Primjer uspostave ISMS-a
29
3.3.7.Kontrola pristupa
Općenito
Ovo područje sadrži 7 potkategorija. Uz prethodno poglavlje čini okosnicu
sigurnosti informacijskog sustava.
Poslovni zahtjevi kontrole pristupa
Kontrola pristupa informacijama u skladu s poslovnim i sigurnosnim
zahtjevima. Pravila kontrole pristupa trebaju uzeti u obzir politike
autorizacije i pružanja informacija. Potrebno je utemeljiti, dokumentirati i,
u određenim vremenskim intervalima, revidirati politiku kontrole pristupa.
Kontrole pristupa su logičke, ali i fizičke, te se zajedno razmatraju.
Upravljanje pristupom korisnika
Omogućavanje autoriziranog pristupa informacijskom sustavu i
sprječavanje neautoriziranog pristupa. Potrebne su formalne procedure
za kontrolu prava pristupa informacijskom sustavu i uslugama.
Procedure trebaju obrađivati cijeli ciklus pristupa korisnika, počevši od
inicijalne registracije novog korisnika do ukidanja prava pristupa.
Posebna pozornost posvećuje se kontroli privilegiranih pristupnih prava
koje korisniku omogućuju promjenu sustavskih kontrola. Dodjeljivanje i
uporaba privilegija treba biti ograničena i kontrolirana. Dodjeljivanje
lozinki treba se kontrolirati kroz formalni proces. Uprava revidira
korisnička prava pristupa u redovitim intervalima.
Obveze korisnika
Korisnici trebaju biti svjesni svojih odgovornosti kako bi se održala
učinkovitost pristupnih kontrola. Potrebno je utemeljiti politiku za čuvanja
informacija na radnom mjestu kako bi se spriječio neautoriziran pristup
informacijama i informacijskim sredstvima. Potrebno je poticati korisnike
da slijede dobru sigurnosnu praksu za odabir i uporabu lozinki)
Kontrola pristupa mreži
Sprječavanje neovlaštenog pristup mrežnim uslugama. Potrebna je
kontrola pristupa, kako unutarnjim, tako i vanjskim mrežnim uslugama.
Primjer uspostave ISMS-a
30
Pristup korisnika mreži i mrežnim uslugama ne smije narušiti sigurnost
mrežnih usluga. Potrebno je formulirati politiku za korištenje mreže i
mrežnih usluga.
Kontrola pristupa operacijskim sustavima
Sigurnosne kontrole trebaju ograničiti pristup neautoriziranim
korisnicima. Te kontrole trebaju imati sljedeće značajke: autentifikacija
korisnika u skladu s politikom kontrole pristupa; snimanje uspješnih i
neuspješnih pokušaja autentifikacije; snimanje uporabe specijalnih
sustavskih privilegija; podizanje alarma u slučaju kršenja sigurnosne
politike; ograničavanje vremena povezivanja korisnika i sl.
Aplikacijska i informacijska kontrola pristupa
Sprječavanje neautoriziranog pristupa informacijama koje se nalaze u
aplikacijskim sustavima. Pristup informacijama i funkcijama aplikacijskih
sustava treba biti ograničen u skladu s politikom kontrole pristupa.
Osjetljivi sustavi trebaju biti smješteni u izoliranom okruženju.
Mobilno računarstvo i udaljeni rad
Pružanje sigurnosti kod uporabe mobilnih naprava i kod rada na daljinu.
Zaštita treba odgovarati rizicima koje ovakav način rada uzrokuje. Kod
uporabe mobilnih naprava potrebno je primijeniti odgovarajuće kontrole
za zaštitu od rizika rada u udaljenom okruženju.
Opažanja
Active Directory je tijekom ove analize postao jedini imenički servis za cijelu
školu. Prije su postojala 3 takva servisa (CARNet AAI, Active Directoy, Mail). Zbog
usklađivanja srednjih škola na razini ministarstva je odlučeno da od početka
školske godine 2007/2008 započne sa radom baza podataka HUSOŠ koja
objedinjuje sve učenike i profesore srednjih i osnovnih škola. CARNetov sustav
AAI će se dalje primjenjivati samo za visoko školstvo. Zbog ove odluke i zbog želje
za jedinstvenim korisničkim računom odlučeno je u školi imati samo jedan
korisnički servis tj. AD ili Active Directory. Naravno, ova odluka je donesena na
razini IT odjela i, na žalost, ne postoji pisani trag odluke. Korisnici mogu također
Primjer uspostave ISMS-a
31
koristiti i CARNetov korisnički račun (HUSOŠ bazu) te na taj način koristiti usluge
CARNeta.
AD je imenički servis u kojem se nalaze podaci o svim korisnicima sustava
(prvenstveno se ovdje misli o korisničkom imenu i lozinki). Politika oko kreiranja
korisničkih imena i lozinki postoji, međutim ne postoji redundancija windows
poslužitelja i replikacija AD-a. Korisnički račun Administrator nema promijenjeno
ime pa time olakšava posao mogućem napadaču sustava.
Korisnici su u AD-u podijeljeni na grupe: profesori, učenici, ostalo osoblje,
administratori. Učenici su podijeljeni u organizacijske jedinice „razrede“ radi lakšeg
praćenja rada korisnika.
U sklopu datotečnog poslužitelja (eng. file server) koji je ujedno i windows
poslužitelj, dozvoljeno je određivanje, na razini grupe korisnika, prava pristupa
pojedinim datotekama i direktorijima.
Pravilnik o rukovanju zaporki postoji i primjenjuju ga svi korisnici osim
administratora koji svoju lozinku ne mijenja u odgovarajućim vremenskim
intervalima. Također administrator dodjeljuje jedinstvenu inicijalnu lozinka svim
korisnicima sustava. Ovaj problem je vrlo veliki sa sigurnosnog gledišta.
Dodatno ga pospješuje činjenica da se takvim korisnicima, najčešće učenicima,
korisnički račun ne obustavlja zbog inaktivnosti.
U informatičkoj učionici prije godinu dana je uspostavljena tzv. e-učionica. Taj
projekt Ministarstva znanosti, obrazovanja i športa nije zaživio kako je bilo
zamišljeno. Zbog tehničko-organizacijskih propusta i grešaka u planiranju projekta,
u radu se očituju anomalije. Naime, zamisao je bila da se tanki klijenti zajedno s
poslužiteljem iskoriste kao sustav koji će biti upravljan, nadograđivan, nadgledan s
jedne lokacije. Upravo zbog te činjenice sam projekt se tijekom implementacije
mijenjao u svojim specifikacijama (promjena OS-a, načina autentifikacije,
korištenje dijeljenih podatkovnih resursa i sl.). Danas je ta učionica kao jedna
nezavisna računalna mreža i njen rad nije uklopljen u samu računalnu
infrastrukturu na optimalan način.
Zbog mogućnosti pokretanja aplikacija za otkrivanje lozinki i korisničkih računa
s USB promjenljive memorije aplikacija postoji mogućnost otkrivanja i zloupotrebe
podataka.
Primjer uspostave ISMS-a
32
Udaljeni rad na Linux računalima je dozvoljen jedino administratoru i to
korištenjem SSH protokola. Ostali korisnici imaju pristup forumu i e-pošti kao
uslugama baziranim preko web sučelja. Administratoru je također dozvoljen i
pristup GLPI bazi podataka preko web sučelja. Autentifikacija korisnika web
usluga vrši se preko prosljeđivanja upita AD-u za potvrdom dotičnog korisnika.
Posebne dokumentacije vezane uz uporabu mobilnih računala nema. U bliskoj
budućnosti to bi mogao biti jedan od glavnih izvora problema računalne sigurnosti.
Preporuke
Nužna je izrada potrebne dokumentacije.
Promjena prakse izdavanja zajedničkih inicijalnih lozinki.
Zaključavanje korisničkih računa zbog inaktivnosti.
Promjena naziva korisničkog imena administrator
Nadgledanje udaljenog pristupa informacijskom sustavu (nadzor,
evidencija, dodjela i uklanjanje prava).
Potanko određivanje pravila uporabe mobilnih računala.
3.3.8.Nabava, razvoj i održavanje informacijskog sustava
Općenito
Analiza i specifikacija sigurnosnih zahtjeva informacijskog sustava
Informacijski sustavi uključuju operacijske sustave, infrastrukture,
poslovne aplikacije, gotove proizvode i usluge i aplikacije razvijene
unutar organizacije. Sigurnosni zahtjevi trebaju biti definirani prije razvoja
i implementacije informacijskog sustava. Poslovni zahtjevi i specifikacija
novog informacijskog sustava ili nadogradnja već postojećeg sustava ,
treba uključivati i sigurnosne kontrole.
Ispravna obrada informacija u aplikacijama
Sprječavanje greške, gubitka ili neovlaštenih modifikacija informacija u
aplikacijama koje se razvijaju ili samo koriste.
Primjer uspostave ISMS-a
33
Kriptografske kontrole
Potrebno je razviti i implementirati kriptografske kontrole za zaštitu
informacija. Upravljanje kriptografskim ključevima osigurava ispravnu
uporabu kriptografskih tehnika.
Sigurnost sustavskih datoteka
Pristup sustavskim datotekama i izvornom tekstu programa treba biti
kontroliran, a IT projekti i vezane aktivnosti trebaju biti izvedeni na
siguran način. Potrebno je ugraditi procedure za kontrolu instalacije
programske opreme i operacijskih sustava. Testne podatke je potrebno
pažljivo birati, zaštititi i kontrolirati.
Sigurnost i razvoj programske opreme
Cilj je održati sigurnost aplikacijskih programa i pripadnih informacija.
Potrebno je kontrolirati razvoj programske opreme kao i pripadno
razvojno okruženje. Implementacija promjena treba biti kontrolirana
upotrebom formalnih procedura za kontrolu promjena.
Upravljanje tehničkom ranjivošću
Potrebno je smanjiti rizik od eksploatacije objavljenih tehničkih ranjivosti.
Upravljanje tehničkim ranjivostima treba biti obavljano sustavno i
efikasno. Potrebno je na vrijeme primati informacije o tehničkim
ranjivostima informacijskih sustava, procijeniti izloženost tim ranjivostima,
te poduzeti mjere za smanjenje rizika od tih ranjivosti.
Opažanja
Unutar ustanove koristi se više operacijskih sustava. Nadogradnja sigurnosnih
propusta unutar operacijskih sustava se ne provodi, osim onih za koje CARNet
izda obavijest. Nema popisa dozvoljenih aplikacija. Ne prati se ažuriranje tih
aplikacija. Postoji mogućnost instalacije nepoćudnih aplikacija na računalima
unutar mreže, koristeći zaobilazne putove u obliku dodatnih memorija (USB
promjenljivih memorija). Nadogradnja sistemskih aplikacija pojedine mrežne
opreme (eng. firmware) se ne provodi. Dokumentacija nema. Razvoj aplikacija se
svodi na izradu aplikacija u edukativne svrhe, jednostavne i bezazlene. Nadzora
Primjer uspostave ISMS-a
34
nad sustavskim datotekama osim onih koji su definirane početnim postavkama
nema.
Preporuke
Izrada dokumentacije. Integrirati u sustav mogućnost automatske nadogradnje
operacijskog sustava. Nadgledati korištenje usb promjenljivih memorija. U
proizvoljnim vremenskim intervalima provjeravati i nadograđivati sistemske
aplikacije mrežne opreme, najčešće kvartalno.
3.3.9.Upravljanje sigurnosnim incidentom
Općenito
Ovo područje određuje i regulira izvješćivanje o sigurnosnim problemima i
incidentima vezanih uz informacijski sustav na način koji omogućuje
pravovremeno izvođenje korektivnih mjera.
Potrebno je utemeljiti formalne procedure za prijavljivanje incidenata. Svi
korisnici sustava trebaju poznavati procedure za prijavljivanje različitih tipova
incidenata koji mogu imati utjecaja na sigurnost resursa organizacije, kao i prijaviti
sve sigurnosne slabosti koje su zapazili ili samo sumnjaju.
Potrebno je utemeljiti obveze i procedure za rješavanje sigurnosnih incidenata.
Kao rezultat nadzora, evaluacije i upravljanja sigurnosnim incidentima dolazi do
kontinuiranog poboljšavanja informacijskog sustava. U nekim slučajevima je
potrebno imati prikupljene dokaze o incidentu, kako bi se postiglo usklađivanje sa
zakonom. U nekim slučajevima je dokaze o sigurnosnom incidentu potrebno
sakupljati, čuvati i prezentirati kako bi se zadovoljili pravni zahtjevi.
Opažanja
Incidenti su se u prošlosti dešavali. Lista incidenata se nalazi u sklopu
dokumenta o Inventuri NKG-a. Uz listu nisu vezani datumi jer se nisu vodili, a
sjećanje administratora o događajima je nepouzdano.
Kako nema kvalitetnog nadzora nad mrežom, većina sigurnosnih incidenata je
prošla nezamijećeno. Međutim ono što je zabilježeno, a to su najčešće maliciozni
programi (eng. spyware i virusi) su uspješno uklonjeni. Jedan od značajnih
Primjer uspostave ISMS-a
35
incidenata koji se dogodio je bilo učestalo punjenje direktorija temp na računalu s
Linuxom koje je dovelo do zastoja računalu na kojem su bile instalirane usluge
foruma i chata. Naime zbog greške u postavkama sustava, svakim osvježavanjem
usluge chat stvarala su se privremene datoteke koje bi dovele do punjenja tvrdog
diska i time do zastoja računala, tj. operacijskog sustava. Do trenutka promjena
postavki neki od učenika su radi zabave iskoristila tu mogućnost i doveli do zastoja
dotično računalo. Nedostatak dokumentacije prisutan je u ovom području.
Preporuke
Praćenje svih incidenata u pisanom obliku, određivanje i klasifikacija
incidenata. Preko 80% svih incidenata se odnosi na organizacijske
propuste.
Sigurnosni propusti iako ih je malo zahtijevaju daleko veću
dokumentiranost. Zbog toga su izrada dokumentacije, praćenje i nadzor
rada mreže, prikupljanje dokaza u slučaja incidenta glavne odlike ovog
područja.
3.3.10. Upravljanje poslovnim kontinuitetom
Općenito
Ostvarivanje protumjere u slučaju prekida u odvijanju poslovnih aktivnosti,
zaštita ključnih poslovnih procesa od utjecaja velikih zastoja informacijskog
sustava, osiguranje što bezbolnijeg nastavka rada. Odrediti gubitak, štetu
nastankom prekida rada. Potrebno je razviti i implementirati plan poslovnog
kontinuiteta kako bi se osigurao kontinuitet poslovnih operacija. Upravljanje
poslovnim kontinuitetom treba uključivati kontrole za identifikaciju i smanjivanje
rizika, kao dodatak općenitim procesima procjene rizika, te osigurati da su
informacije potrebne za poslovne procese lako dostupne.
Opažanja
Gubitak rada računalne mreže u školi nije toliko sam po sebi problematičan jer
je velika količina dokumenata vezan uz papirnati oblik. Može se reći da i nekoliko
dana neupotrebe mreže neće stvoriti nepremostive probleme i štetu. Problem će
nastati u budućnosti kada se većina poslova prebaci u elektronski oblik.
Primjer uspostave ISMS-a
36
Kao najvažniji moment treba istaknuti nedostatak i neprikladnost postojećih
uređaja neprekinutog napajanja (eng. UPS). U radu su tri takva uređaja slabijeg
kapaciteta i trenutno nezadovoljavaju potrebe škole. Nedostatak dokumentacije je
vidljiv i u ovom području.
Preporuke
Nabava 3 uređaja za neprekinuto napajanje većeg kapaciteta, otprilike
svaki od 1500VA do 2500VA snage.
Postojeće uređaje za neprekinuto napajanje potrebno je provjeriti s
obzirom na kapacitet te zamijeniti bateriju ukoliko je potrebno.
Izraditi listu incidenata gubitka električne struje.
Odrediti vrijeme rada poslužitelja i ostalih značajnih uređaja sustava
prilikom nestanka struje i rada sustava na baterijama.
Odrediti način gašenja poslužitelja prilikom nestanka struje.
Izraditi procedure ponovne uspostave sustava nakon dolaska električne
struje ili nekog drugog incidenta
3.3.11. Sukladnost
Općenito
Svi važeći zakonski i ugovorni zahtjevi trebaju biti definirani, dokumentirani i
ažurirani, kao i način na koji organizacija zadovoljava te zahtjeve. Potrebno je
implementirati procedure za usklađivanje sa zakonskim i ugovornim uvjetima
korištenja različitih materijala poštivajući prava intelektualnog vlasništva. Važne
zapise je potrebno čuvati od gubitka, uništenja, krivotvorenja u skladu sa
zakonskim, ugovornim i poslovnim zahtjevima. Zaštita podataka i privatnosti treba
biti osigurana u skladu s relevantnim zakonima, propisima i eventualnim uvjetima
ugovora. Potrebno je osigurati da su sve sigurnosne procedure implementirane
korektno, kako bi se postigla njihova usklađenost sa sigurnosnim politikama i
standardima. Informacijske sustave je potrebno redovito provjeravati kako bi se
utvrdila usklađenost sa sigurnosnim implementacijskim standardima.
Primjer uspostave ISMS-a
37
Opažanja
Kako većina dokumenta koje ovo područje pokriva nije izrađeno, ne može se ni
govoriti o potrebama za usklađivanjem sa zakonskim ili nekim drugim propisima
izdanih od Ministarstva znanosti, obrazovanja i športa ili CARNeta. Oni dokumenti
koji su izrađeni su sukladni trenutno važećim zakonima.
Preporuke
Izrada potrebne dokumentacije ISMS-a i njena provjera sukladnosti sa već
postojećim dokumentima.
3.4. Upravljanje RizikomUpravljanje rizikom je proces kojim se potvrđuje poslovna opravdanost odabira
sigurnosnih rješenja i kontrola koje ce osigurati dovoljnu razinu sigurnosti.
Također, proces upravljanja rizikom omogućuje razvoj strategije i postavljanje
ciljeva u području informacijske sigurnosti. Upravljanje rizikom uključuje tri
procesa:
procjenu rizika,
umanjivanje rizika i
evaluaciju rizika.
Proces upravljanja rizika omogućuje stvaranje ravnoteže između operativnog i
ekonomskog troška zaštitnih mjera te dobiti koja se ostvaruje zaštitom
informacijskih sustava i podataka. Dobro strukturirana metodologija upravljanja
rizikom jedan je od ključnih faktora pri odabiru prikladnih sigurnosnih kontrola koje
osiguravaju kontinuirano odvijanje poslovnih procesa.
3.4.1. Procjena rizika
Procjena rizika je identifikacija i određivanje vrijednosti resursa zasnovanih na
poslovnim potrebama organizacije. Prikladna zaštita nužno zahtjeva procjenu
vrijednost imovine ovisno o njihovoj važnosti za poslovni proces. U razmatranje
treba uzeti u obzir zakonske i poslovne zahtjeve, posljedice (eng. impact), gubitka
povjerljivosti, raspoloživosti i integriteta. (vidi slika 7)
Primjer uspostave ISMS-a
38
Slika 7. Procjena rizika
3.4.2.Metodologija procjene rizika
Metoda matrice predefiniranih vrijednosti je određena kao glavna metoda
procjene rizika u informacijskom sustavu. Varijacija ove metode eksplicitno je
navedena dodatku standarda ISO/IEC 13335-3. Također varijacija ove metode se
koristi i u BS 7799-3:2006.
Ova metoda vrijednost fizičkog resursa procjenjuje u odnosu na trošak zamjene
ili rekonstrukcije resursa (kvantitativna mjera). Taj trošak se zatim konvertira u
kvalitativnu skalu koja se upotrebljava za podatkovne resurse. Vrijednost
programske opreme se procjenjuje isto kao vrijednost fizičkih resursa. Dodatno,
ako neki aplikacijski program ima unutarnje zahtjeve povjerljivosti, integriteta ili
raspoloživosti, njegova vrijednost se procjenjuje kao i vrijednost podatkovnih
resursa. Vrijednost podatkovnih resursa se određuje intervjuiranjem vlasnika
podataka koji najbolje poznaju vrijednost i osjetljivost podataka.
Bitne pretpostavke kod određivanja vrijednosti podataka su:
sadrži li podatak osobne informacije,
koje su zakonske i ugovorne obveze vezane za podatak,
koji je ekonomski interes od podatka,
znaci li neraspoloživost podatka prekid neke poslovne aktivnosti,
Primjer uspostave ISMS-a
39
koji je financijski gubitak u slučaju kompromitiranja podatka i sl.
Ova metoda za procjenu rizika koristi tri parametra: vrijednost resursa, prijetnje i
ranjivosti. Svaki od tih parametara promatra se u odnosu na moguće posljedice,
dok se prijetnje promatraju u odnosu na odgovarajuće ranjivosti. Svi parametri se
kvantificiraju proizvoljno. Informacije o vrijednosti imovine određuju vlasnici tih
resursa.
AV – vrijednost resursa, imovine
V – ranjivost
T- prijetnja, ugroza
Za određivanje vrijednosti resursa koristi se numerička vrijednosti u rasponu od
0 (mala) do 4 (vrlo velika), dok se za kvantifikaciju ranjivosti i prijetnji koristi raspon
od 0 (niska razina) do 2 (visoka razina). Razina rizika se određuje sumom
vrijednosti parametara, tj.
R = AV +V +T (1)
Minimalna i maksimalna vrijednost procijenjenog rizika iznose:
RMIN = AVMIN +VMIN +TMIN = 0 (2)
RMAX = AVMAX +VMAX +TMAX = 8 (3)
Određivanje rizika nekog resursa se na kraju određuje tablicom predefiniranih
vrijednosti (vidi tablicu 2)
Vrijednost imovine se određuje u odnosu na sva tri atributa tzv. trojka
(povjerljivost, integritet, dostupnost – PID (eng. CIA)) (vidi tablice 4, 5 i 6)
Rizik se na kraju procesa također klasificira. Naime cilj određivanja rizika je
njegovo smanjivanje, prenošenje na „treću osobu“ ili prihvaćanje.
Primjer uspostave ISMS-a
40
Tablica 2 – Tablica predefiniranih vrijednosti rizika
Svaki rizik koji je visok nužno je smanjiti u što kraćem vremenskom razdoblju.
Za srednji rizik vrijeme reakcije se povećava ali još uvijek je bitno reagirati brzo
ovisno o procjeni imovine. Na kraju za nizak rizik bitno je da se njega ne zanemari
u procesu smanjivanja rizika.
Vrijednost Rizik Vrijeme djelovanja
0 – 2 Nizak < 6 mjeseci
3 – 5 Srednji < 2 mjeseca
6 – 8 Visok < 2 tjedna
Tablica 3 - Tumačenje rizika
Razina prijetnje Niska Srednja Velika
Razina ranjivosti N S V N S V N S V
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
Vrijednostimovine
4 4 5 6 5 6 7 6 7 8
Primjer uspostave ISMS-a
41
3.4.3.Klasifikacija podataka – vlasnički aspekt
a) Povjerljivost
Vrijednost Grupa Opis
0 ili mala (M) Javno Bez ograničenja
1 ili srednja (S) Povjerljivo Svi profesori i zaposleni imaju pravo pristupa uzodobrenje ravnatelja ili „vlasnika“ imovine
2 ili velika (V) Tajno Ograničeni pristup na ravnatelja i tajništvo
Tablica 4 - Određivanje vrijednosti imovine u odnosu na povjerljivost
b) Integritet
Vrijednost Stupanj Opis
2 iliveliki (V) Visok
Strateški podaci ne smiju imati pogrešne vrijednosti, što prijeotkriti i popraviti (Osobni podaci – učenici, profesori,ostali;Podaci o plaćama, Podaci ISMS-a i sl.)
1 ilisrednji (S) Srednji Značajni za poslovni proces ali bez bitnog utjecaja na odluke ili
druge IT sustave, otkriti i popraviti
0 ilimali (M) Nizak
Može se tolerirati pogrešan podatak, bit će popravljeno pribudućoj akciji ili će korisnik sam uvidjeti pogrešku(vlastiti podaci - učenici, profesori, ostali)
Tablica 5 - Određivanje vrijednosti imovine u odnosu na integritet
c) Raspoloživost
Stupanj
Opis Niska0 ili
mala (M)
Srednja1 ili
srednja (S)
Visoka2 ili
velika (V)
Radni dani Pon. – Pet. Pon. – Pet. 7 dana
Vrijeme rada resursa 07:30 – 16:00 07:30 – 16:00 24 sata
Vrijeme zastoja prikvaru 1 dan/tjedan 2 sata/tjedan 12 min/tjedan
Maksimalni zastoj pokvaru 1 tjedan 1 dan 1 sat
Očekivanaraspoloživost 80 % 95 % 99,9 %
Tablica 6 - Određivanje vrijednosti imovine u odnosu na raspoloživost
Primjer uspostave ISMS-a
42
Rezultati analize će se posebno istaknuti u sljedećem poglavlju, gdje će se
eksplicitnije odrediti sve prijetnje, ranjivost i vrijednost promatrane imovine.
Imovina će biti promatrana malo drugačije nego što je naznačena u popisu.
Naime u realnom svijetu operativnih sustava (kraće OS), njihove postavke i
računalo nužno je gledati kao jednu cjelinu, ali u dva slučaja (sklopovski i
aplikativno).
U sklopu rezultata analize rizika nalaze se ranjivosti i prijetnje dobivene testom
probojnosti u sustav.
3.5. Test probojnosti sustava NKG-aProvjera sigurnosti informacijskog sustava ispitivanjem ranjivosti i
penetracijskog testiranja (test probojnosti, eng. penetration) neizostavan je
postupak kojim organizacija identificira prijetnje informacijama i imovini, u svrsi
izračunavanja razine rizika i odabira odgovarajućih zaštitnih mjera.
Testiranje ranjivosti testom probojnosti u NKG-u je izvršeno besplatnim ili
probnim alatima. Test je izvršen udaljenim pristupom, za provjeru Linux
poslužitelja, ali i u prostoru NKG (eng. on-site) za provjeru „unutarnje mreže“.
Alati koji su korišteni u testu:
Nessus Security scanner 3
GFI LANguard Network Security Scanner 8.0
SANS Qualys top 20 scanner
Metasploit 3 i Nmap
ophcrack
Rezultati testiranja sustava su ubačeni u analizu sustava, a konkretne prijetnje
uvrštene postupak određivanja rizika. Izvješća dobivena iz pojedinih aplikacija iz
sigurnosnih razloga neće se nalaziti u prilogu ovog diplomskog rada, ali će se
uključiti u GLPI bazu podataka sustava. Testiranje sustava je također moguće i od
nezavisnog analitičara. CARNet svim svojim članicama omogućava, ukoliko
zatraže, testiranje probojnosti i ranjivosti računalne mreže udaljenim putem. Ovaj
način testiranja će se izvršiti tek kada se implementiraju sigurnosna rješenja
proistekla iz sadašnjeg testiranja
Primjer uspostave ISMS-a
43
3.6. Rezultati Analizea) Popis imovine
Kategorija Naziv resursa Vlasnik C I A Maks.(C,I,A)
Vrijednostresursa Opis
Informacija Financijskipodaci Računovodstvo V V M V 4 Podaci
računovodstva
Informacija Popis knjiga Knjižnica M V S V 2 Popis knjiga u objeknjižnice
Informacija Opći dokumenti Tajništvo M S S V 2
Opći dokumenti uškoli, zapisnici sasjednica, odlukeravnatelja itd.
Informacija Vlastitidokumenti Ravnatelj V V V V 4
Dokumenti naračunaluravnatelja škole
Informacija Podaci oučenicima Pedagog V V S V 4 Osobni podaci
učenika
Informacija E-pošta Korisnik V S S V 4
E-pošta svakogkorisnika škole(profesori, učenici,ostalo osoblješkole)
Informacija
Korisničkepostavke idokumenti(windows profile-a)
Korisnik V V V V 2
Svaki korisnik imasvoj skup datotekaunutar windowsokruženja. Tajskup datoteka jeputujući tj. korisnikmože raditi na bilokojem računaluunutar škole
Informacija GLPI – bazapodataka Administrator V V V V 4
Novo ustrojenabaza podataka oimovini škole
Informacija Glavni vatrozid(eng. firewall) Administrator V V V V 4 Vatrozid
(obavijesti - logovi)
InformacijaDokumentacijaISMS-a(OpenDocMan)
Administrator V V V V 4
Novo ustrojenabaza podataka zadokumentacijuISMS-a
Procesi iusluge
DNS - www.nkg-zagreb.hr Administrator V V V V 4 DNS usluga škole
Procesi iusluge
WEB - www.nkg-zagreb.hr Administrator V V V V 4 Web stranice
škole
Primjer uspostave ISMS-a
44
Procesi iusluge
E-pošta(webmail) Administrator V V V V 4 Aplikacija za
pregled e-pošte
Procesi iusluge Forum NKG Administrator M M M M 1
Aplikacija zauslugu forumaškole
Procesi iusluge Active Directory Administrator V V V V 4
Imenički serviswindows platformeza autentifikacijukorisnika
Procesi iusluge DHCP Administrator M M V V 4 DHCP usluga
unutar škole
Procesi iusluge
OCS inventoryNG Administrator S M S S 1
Aplikacija zadetektiranje noveračunalne opremeu školi
Procesi iusluge
Dijeljenjedatoteka (eng.file sharing)
Administrator M V S V 2
Usluga razmjene,pohrane i dijeljenjadatoteka u sklopuwindowsposlužitelja
Programskapodrška
Windows server2003 Administrator M V V V 4 OS koji pokreće 2
poslužitelja
Programskapodrška Linux Debian 4.0 Administrator M V V V 4 OS koji pokreće 3
poslužitelja
Programskapodrška
MS Office 2003+ ostale uredskeaplikacije
Administrator M S M S 2 Skup uredskihaplikacija
Programskapodrška
Windows XPProfessional Administrator M V M V 3
OS koji se nalazina svim uredskimračunalima
Programskapodrška
Windows XPEmbedded
prof.Informatike M S S S 2
OS koji se nalazina svim tankimklijentima
Programskapodrška
Astronomskiprogrami
prof.Astronomije M S S S 2
Skupastronomskihaplikacija(upravljanjeteleskopom,snimanjedigitalnomkamerom)
Programskapodrška MySQL prof.
Informatike M S S S 2Baza podatakakoja služi uedukacijske svrhe
SklopovljeMrežnipreklopnici (eng.switch)
Administrator V V V V 4 Svi preklopnici uračunaloj mreži
Primjer uspostave ISMS-a
45
Sklopovlje Tanki klijenti prof.Informatike M M M M 1
Računala uinformatičkojučionici (projekt E-učionice)
Sklopovlje Poslužitelji Administrator V V V V 4
Računala nakojima se odvijaviše usluga unutarračunalne mreže,pristup imaju samoadministratori
Sklopovlje Stolna računala Administrator S S S S 2Računalo kojesluži za rad bilokojem korisniku
SklopovljeTeleskop +računalo zaupravljanje
prof.Astronomije M S S S 3 Astronomski
instrument
Sklopovlje Wireless AP Administrator V V V V 4
Uređaji bežičnogprijenosapodataka - Internetpromet
Sklopovlje Optički mediji zapohranu, diskete Administrator S V S V 4
Mediji na kojimase u školi vršiariviranje
Sklopovlje DSL modem Administrator M V S V 1Uređaj zauspostavu Internetveze
Sklopovlje UPS Administrator M M V V 1
Neprekidnonapajanje zapotrebeposlužitelja
Ljudi IT Administrator Ravnatelj V V S V 4IT odjel čine(adminsitrator iprof. Informatike)
Ljudi Računovođa Ravnatelj V V S V 3
Osoba kojaizvšavaekonomskeposlove
Ljudi Pedagog Ravnatelj V S S V 3 Osoba koja vodibrigu o učenicima
Ljudi Učenici Ravnatelj M S M S 1 Osobe koje uče islušaju nastavu
Ljudi Profesori Ravnatelj S V S V 2 Osobe koje izvodenastavu
Lokacija Prostorastronomije Administrator M V V V 4 Prostor IT - odjela
+ teleskop
Lokacija Prostorinformatike
prof.Informatike M V S V 3
Informatičkaučionica -izvođenje nastave
Tablica 7 - Popis imovine NKG-a
Primjer uspostave ISMS-a
46
b) Procjena rizika
U postupku procjene rizika pojedine usluge unutar informacijskog sustava
nužno je povezati s dotičnim računalom na kojem se izvode. Na taj način spajaju
se resursi, i dobiva se najbolja spoznaja ranjivosti i prijetnji te imovine. U ovom
informacijskom sustavu bit će grupirani sljedeći resursi koji će se promatrati kao
cjelina:
poslužitelji s OS-om Linux Debian 4.0 (DNS, WEB, Forum, WEB mail
poslužitelj s Windows server 2003 (Active Directory, DHCP, File sharing,
uslugama, interna domena nkg.local)
stolno računalo s Windows XP Professional
E-učionica tj. informatička učionica (Windows XP Embedded + tanki
klijenti + windows poslužitelj)
Ovaj sustav obiluje nedostatkom dokumentacije, zbog tog razloga se neće u
procjeni rizika određivati ova kategorija ranjivosti, osim ako nije nužno za
određenu imovinu navesti tu ranjivost. Jedna od osnovnih ideja ISMS-a je
odrediti koju dokumentaciju sustav treba imati.
Imovina - kategorija Informacija
Imovina Ranjivost ProcjenaRanjivosti Prijetnje Procjena
Prijetnje Rizik
Financijski podaci Arhiviranjepodataka M Gubitak
podataka S 5
Popis knjiga Arhiviranjepodataka M Gubitak
podataka S 3
Opći dokumenti - tajništvo Arhiviranjepodataka M Gubitak
podataka S 3
Vlastiti dokumenti - ravnatelj Arhiviranjepodataka S Gubitak
podataka S 6
Podaci o učenicima – pedagog Arhiviranjepodataka M Gubitak
podataka S 5
E-pošta - svih korisnika Arhiviranjepodataka V Gubitak
podataka S 7
Korisničke postavke i dokumenti– windows profile-a
Arhiviranjepodataka S Gubitak
podataka S 4
GLPI – baza podataka Arhiviranjepodataka M Gubitak
podataka S 5
Primjer uspostave ISMS-a
47
Dokumentacija ISMS-a(OpenDocMan)
Arhiviranjepodataka M Gubitak
podataka S 5
Glavni vatrozid (eng. firewall) Arhiviranjepodataka V
Gubitakpodataka -
dokazaS 7
Tablica 8 - Vrijednost rizika kategorija Informacija
a) Imovina - Programska podrška
Imovina Ranjivost ProcjenaRanjivosti Prijetnje Procjena
Prijetnje Rizik
Nedostatak sigurnosnihnadogradnji V Eksploatacija
poznatih ranjivosti V 8
Nedostatak sigurnosnihnadogradnji V Degradacija usluge V 8
Problemi s korisničkimračunima V Neovlašteni pristup
informacijama V 8
Problemi s korisničkimračunima V Krađa identiteta
učenika V 8
Nedostatakdokumentiranostiradnih postupaka
V Ljudska greška V 8
Nedostatakdokumentiranostiradnih postupaka
V Uskraćivanjeusluge V 8
Windowsposlužitelj_1
Arhiviranjepodataka V Gubitak podataka S 7
Nedostatak sigurnosnihnadogradnji V Eksploatacija
poznatih ranjivosti V 8
Nedostatak sigurnosnihnadogradnji V Degradacija usluge V 8
Problemi s korisničkimračunima V Neovlašteni pristup
informacijama V 8
Arhiviranjepodataka V Gubitak podataka S 7
Nedostatakdokumentiranostiradnih postupaka
V Ljudska greška V 8
Windowsposlužitelj_2
Nedostatakdokumentiranostiradnih postupaka
V Uskraćivanjeusluge V 8
DNS poslužiteljdozvoljava rekurzivneupite
S
DOS (denial ofservice) attacks,DNS cachepoisoning,neautoriziranokorištenje,degradacijaperformansi
S 6Linuxračunalo_1
DNS Cache Snoopingnapad N
Napadač imamogućnostspoznaje zadnjihprepoznatih upita odomenama
N 4
Primjer uspostave ISMS-a
48
Računalo se odazivana ICMP upitvremenske oznake
N
Mogućnostspoznaje točnogvremena naračunalu
N 4
dozvoljeno korištenjeEXPN,VRFY naredbina računalu
N
Nedozvoljenootkrivanjeinformacija na mailposlužitelju
N 4
POP3 poslužitelj možebit ranjiv na remotebuffer overflow napad
V Izvođenjenapadačevog koda N 6
Arhiviranjepodataka V Gubitak podataka S 7
Nedostatakdokumentiranostiradnih postupaka
V Ljudska greška V 8
Nedostatakdokumentiranostiradnih postupaka
V Uskraćivanjeusluge V 8
Funkcije za debug suuključene na HTTPposlužitelju
N
Cross-site-scriptingnapadi uslijed čegapostoji mogućnostkompromitiranjakorisničkihakreditacija (kor.ime i lozinka)
S 5
Exim je ranjiv nakorištenje IPv6 adresai SPA authenticationbuffer overflow
V Izvođenjenapadačevog koda V 8
ProFTPD – višestrukaranjivost S Kompromitiranje
računala V 7
Moguće je otkriti LDAPinformacije N
Otkrivanjeinformacije bezprethodnog znanjao LDAP podacima(LdapMiner alat)
V 6
Trojan Backdoor.Kilo(port 15486) N
Trojanac koji koristinajčešće IRCportove zakontaktiranjenapadača
N 4
Crv ADM (port 37) SKompromitiranjeračunala, izvođenjenapadačeva koda.
N 5
POP3 poslužitelj možebit ranjiv na remotebuffer overflow napad V Izvođenje
napadačevog koda N 6
Arhiviranjepodataka V Gubitak podataka S 7
Linuxračunalo_2
Nedostatakdokumentiranostiradnih postupaka
V Ljudska greška V 8
Primjer uspostave ISMS-a
49
Nedostatakdokumentiranostiradnih postupaka
V Uskraćivanjeusluge V 8
Računalo ima pokrenutiident ('auth') servis N
Izvođaču dajeinformacije oračunalu
N 4
Određeni broj datotekapoziva funkcijuphpinfo()
N Izvođaču dajeinformacije oračunalu
N4
Dozvoljen je prijenosDNS zona
S Omogućuje senapadaču stvaranjeliste mogućih novihnapada
N
5
DNS poslužiteljdozvoljava rekurzivneupite
S DOS (denial ofservice) attacks,DNS cachepoisoning,neautoriziranokorištenje,degradacijaperformansi
S
6
DNS Cache Snoopingnapad
N Napadač imamogućnostspoznaje zadnjihprepoznatih upita odomenama
N
4
Računalo se odazivana ICMP upitvremenske oznake
N Mogućnostspoznaje točnogvremena naračunalu
N
4
Nedostatak backupposlužitelja
V Ukoliko računaloprestane s radomnastaju problemi saautentifikacijomkorisnika,pristupompodacima i sl.
V
8
Nedostatakdokumentiranostiradnih postupaka
V Ljudska greška V 8
Nedostatakdokumentiranostiradnih postupaka
V Uskraćivanjeusluge V 8
Linuxračunalo_3
Arhiviranjepodataka V Gubitak podataka S 7
MS Office2003 + ostaleuredskeaplikacije
Nedostatak sigurnosnihnadogradnji S Eksploatacija
poznatih ranjivosti S 4
Nedostatak sigurnosnihnadogradnji S Eksploatacija
poznatih ranjivosti V 6Windows XPProfessional Izvođenje aplikacija s
prijenosne memorije V Neovlašteni pristupinformacijama V 7
Windows XPEmbedded Autentifikacija korisnika N Neovlašteni pristup
podacima N 2
Primjer uspostave ISMS-a
50
Astronomskiprogrami
Neredovitanadogradnja N
Problemi u raduupravljanjateleskopom
N 2
Autentifikacija korisnika N Neovlašteni pristupinformacijama N 2
MySQLArhiviranjepodataka S Gubitak podataka S 4
Tablica 9 - Vrijednost rizika kategorija Programska podrška
b) Imovina - Sklopovlje
Mrežni preklopnici(eng. switch)
Kvar, neredovitoodržavanje S Degradacija usluge S 6
Mrežni preklopnici(eng. switch)
Autentifikacijakorisnika S Uskraćivanje usluge V 7
Tanki klijenti Kvar, neredovitoodržavanje M Degradacija usluge M 1
Linux poslužitelj_1 Kvar, neredovitoodržavanje V Uskraćivanje usluge V 8
Linux poslužitelj_2 Kvar, neredovitoodržavanje V Uskraćivanje usluge V 8
Linux poslužitelj_3 Kvar, neredovitoodržavanje V Uskraćivanje usluge V 8
Wireless AP Kvar, neredovitoodržavanje V Uskraćivanje usluge V 8
Windowsposlužitelj_1
Kvar, neredovitoodržavanje V Uskraćivanje usluge V 8
Windowsposlužitelj_2
Kvar, neredovitoodržavanje S Degradacija usluge S 6
Stolna računala Kvar, neredovitoodržavanje M Degradacija usluge M 2
Teleskop +računalo zaupravljanje
Sinkronizacija izmeđuteleskopa i računala M Nedostupnost
promatranja M 2
Mediji za pohranu -diskete, optički, usbmemorija
Oštećenje medija S Nedostupnostinformacije S 6
Kvar, neredovitoodržavanje S Uskraćivanje usluge M 2
DSL modemAutentifikacijakorisnika S Uskraćivanje usluge M 2
UPS Izdržljivost baterije S Uskraćivanje usluge S 3
Tablica 10 - Vrijednost rizika kategorija sklopovlje
Primjer uspostave ISMS-a
51
c) Imovina – Ostalo (Ljudi, Lokacija)
Nema pisanih
procedura/politika/standarda V Neovlašteneaktivnosti V 8
Nezadovoljstvo na poslu M Otkrivanje povjerljivihinformacija V 8IT Administrator
Neadekvatna definicija
zaposlenja VZloupotrebaorganizacijskihresursa
V 8
MNeprikladna uporabaorganizacijskihresursa
V
Računovođa Needuciranost djelatnika
M Neovlašteneaktivnosti V 5
MNeprikladna uporabaorganizacijskihresursa
V 5
M Neovlašteneaktivnosti V 5Pedagog Needuciranost djelatnika
M Otkrivanje povjerljivihinformacija V 5
M Neovlašteneaktivnosti V 3
M Korumpiranostpodataka V 3Učenici Needuciranost djelatnika
M Uskraćivanje usluge V 3
MNeprikladna uporabaorganizacijskihresursa
V 4
Profesori Needuciranost djelatnika
M Neovlašteneaktivnosti V 4
prostorAstronomije
Nedostatak protupožarnogaparat S Uskraćivanje usluge V 7
prostorInformatike
Nedostatak protupožarnogaparat S Uskraćivanje usluge V 6
Tablica 11 - Vrijednost rizika kategorija ostalo
3.7. Smanjivanje i evaluacija rizikaIz rezultata procjene rizika, tablice 8, 9, 10, i 11, vidljivo je da su ključni resursi
poslužitelji. Prijetnje su većinom tehničke naravi i to su: nedokumentiranost, sustav
pohrane podataka, sigurnosne nadogradnje i ostali. Međutim kao najveću manu
sustava bih istaknuo nepostojanje DMZ-a. Većina rizika će nestati uspostavom
DMZ-a i nadogradnjama sustava. Rizik koji će ostati će se s vremenom smanjivati,
ali će uvijek biti prisutan. Prvenstveno se misli na ljudski faktor.
Primjer uspostave ISMS-a
52
U smanjivanju tog rizika veliku ulogu će prvenstveno odigrati edukacija
profesora, a kasnije i učenika. Istaknuo bih učenike kao kategoriju korisnika koji će
najčešće iskušavati granice sigurnosti. Kvalitetnim sustavom zapošljavanja
profesora moguće je smanjiti rizik ove grupe korisnika, možda čak i eliminirati.
Dokumentiranost sustava iako izgleda da je veliki problem, u stvarnosti nije tako
strašno. Većina radnji vezanih uz sigurnost je prisutna, ali nije proceduralno
objašnjena. Problem je u izvršenju ostalih radnji koje do sada nisu bile eksplicitno
određene. Radne navike administratora, a može se reći svih ljudi, da ukoliko nešto
nije određeno, najčešće u papirnatoj formi kao ugovor, to se ne izvršava. Upravo
zbog te činjenice nužno je odrediti i narediti izvršavanje takvih radnih akcija.
Upravo zbog toga je nužna podrška uprave, u ovom slučaju ravnatelja škole kao
organa prisile.
Plan zaštitnih mjera je obrađen u narednim poglavljima.
Primjer uspostave ISMS-a
53
3.8. Izjava o primjenjivosti (engl. Statement ofApplicability - SOA)
Dokument o primjeni ISMS-a podrazumijeva:
Kontrolne točke i ciljeve odabrane u izgradnji ISMS-a kao i razlog
odabira
Kontrolne točke i ciljevi koje su već bili implementirani
Izuzeća ili isključenja bilo kojih kontrolnih točki ili ciljeva kao i
opravdanost istih
Dokument Izjave o pripremljenosti je vidljiv iz tablice 12.
Referenca ISO/IEC 27001 kontrola Primijenjeno? Izjava o primjenjivosti – opis kontrole
4.2 Uspostava ISMS-a (PLAN)
4.2.1.a Definirati opseg ISMS-a DA U sklopu dokumenta Inventura određene i
granice i opseg sustava upravljanja
sigurnošću. informacija.4.2.1.b Definirati ISMS politiku DA Dokument preuzet od strane CARNet-a -
Sigurnosna politika NKG-a.
4.2.1.c Određivanje sustavnog
pristupa procjeni rizikaDA Dokument izrađen na temelju ovog diplomskog
rada - Opis pristupa procjenu rizika.
4.2.1.d Identifikacija rizika DA Dokument izrađen na temelju ovog diplomskog
rada - Analiza rizika.
4.2.1.e Analiza i evaluacija rizika DA Analiza i evaluacija je djelomično provedena
4.2.1.f Identificirati i evaluirati opcije
za obradu rizikaDA Opcije za obradu rizika su navedene u
dokumentu Zaštitne mjere ISMS-a.
4.2.1.g Odabrati kontrole i kontrolne
ciljeve za obradu rizikaDA U sklopu dokumenta Zaštitne mjere ISMS-a
nalazi se popis odabranih kontrola.
4.2.1.h Odobrenje ravnatelja za
obradu rizikaDA Ravnatelj je usmeno odobrio plan za obradu
rizika.
4.2.1.i Odobrenje ravnatelja za
implementaciju ISMS-aDA Ravnatelj je usmeno odobrio implementaciju
ISMS-a.
4.2.1.j Pripremiti Izjavu o
primjenjivostiDA Ovaj dokument
A.5 Sigurnosna politika
A.5.1 Informacijska sigurnosna
politika
A.5.1.1 Dokument sigurnosne politike DA Vidjeti dokument - Sigurnosna politika NKG-a.
Primjer uspostave ISMS-a
54
A.5.1.2 Revizija sigurnosne politike DA Sigurnosna politika NKG-a će se ažurirati u
skladu s relevantnim promjenama.
A.6 Organizacija informacijskesigurnosti
A.6.1 Unutarnja organizacija
A.6.1.1Angažiranost uprave na polju
informacijske sigurnostiDA
Ravnatelj će djelovati na području
informacijske sigurnosti. Ravnatelj se na to
obvezao potpisivanjem Sigurnosne politike
NKG-a
A.6.1.2Koordinacija informacijske
sigurnostiDA
Ukoliko dođe do nekih promjena relevantnih za
ISMS, na redovitim mjesečnim sastancima će
se prijaviti te promjene.
A.6.1.3Dodjela sigurnosnih
odgovornostiDA
Odgovornost za pojedine resurse je
dokumentirana u Analizi rizika.
A.6.1.4Autorizacijski proces za
uvođenje novih resursaDA
Ravnatelj potvrđuje, a administrator definira
autorizacijski proces za uvođenje novih
resursa koji će uključivati provjere hardvera i
softvera prije uporabe u procesu. (Dokument u
izradi)
A.6.1.5 Sporazumi o povjerljivosti DA
Svi djelatnici škole trebaju potpisati Sporazum
o povjerljivosti. Trebalo bi također iznaći način
da se i učenici obvežu na poštivanje sigurnosti
Dokument u izradi).
A.6.1.6Suradnja s mjerodavnim
ustanovamaDA
Ravnatelj, tajništvo, pedagog trebaju redovito
kontaktirati predstavnike relevantnih institucija.
A.6.1.7Suradnja s interesnim
skupinamaDA
Administrator treba redovito pratiti relevantne
objave o otkrivenim prijetnjama i ranjivostima,
kao i sve novosti na području razvoja Web.
aplikacija. (Dokument praćenja aktivnosti u
izradi)
A.6.1.8Nezavisni ispitivanje
informacijske sigurnostiDA
Uprava treba inicirati nezavisno ispitivanje
ISMS-a u planiranim intervalima. (Dokument u
izradi)
A.6.2 Vanjski suradnici
A.6.2.1Identifikacija rizika povezanog
s vanjskim suradnicimaNE
Identifikacija rizika povezanog s vanjskim
suradnicima nije uključena jer nije bilo potrebe,
međutim u budućnosti bi trebalo riješit ovo
pitanje (Izraditi dokument u budućnosti)
Primjer uspostave ISMS-a
55
A.6.2.2 Sigurnost u poslovanju s
klijentimaNE Škola nema klijente.
A.6.2.3Sigurnost i usluge vanjskih
suradnikaNE
Sigurnosni uvjeti trebali bi biti sastavni dio
ugovorima sklopljenih s vanjskim suradnicima.
Ovaj dokument čim se ukaže potreba trebalo bi
ga izraditi.
A.7 Upravljanje resursima
A.7.1 Odgovornost za imovinu
A.7.1.1 Inventura imovine DAInventura imovine je obavljena. Vidjeti
dokument Inventura NKG-a
A.7.1.2 Vlasništvo nad resursima DAVlasništvo nad resursima je izvršeno u sklopu
dokumenta Analiza rizika.
A.7.1.3 Prihvatljiva uporaba resursa DA
Potrebno je definirati, dokumentirati i
implementirati pravila za uporabu resursa.
(Dokument u izradi)
A.7.2 Klasifikacija informacija
A.7.2.1 Klasifikacijske smjernice DA
Definirati prikladnu klasifikaciju informacija u
ovisnosti o njihovoj vrijednosti, osjetljivosti i
kritičnosti za organizaciju. Klasifikacija je dio
Analize rizika.
A.7.2.2 Označavanje informacija DA
Definirati prikladno označavanje informacija u
ovisnosti o njihovoj vrijednosti, osjetljivosti i
kritičnosti za školu. Određeno je Pravilnikom o
upravljanju povjerljivim informacijama
A.8 Sigurnost i ljudski resursi
A.8.1 Prije zaposlenja
A.8.1.1 Uloge i odgovornosti DA U sigurnosnoj politici su opisane uloge i
odgovornosti sudionika u procesu.
A.8.1.2 Provjere DAIzvršene su provjere identiteta i kvalifikacija
svih sudionika u procesu.
A.8.1.3 Uvjeti zaposlenja NEOdređivanje uvjeta zaposlenja u skladu sa
sigurnosnom politikom, a ravnatelj brine o
poštivanju navedenih uvjeta.
A.8.2 Tijekom zaposlenja
Primjer uspostave ISMS-a
56
A.8.2.1 Odgovornost uprave DA
Potrebno je dokumentirati odgovornosti za
svaku ulogu u procesu i zatražiti potpisivanje
sukladnosti svih sudionika u procesu.
(Dokument u izradi)
A.8.2.2Edukacija i trening na
području informacijske
sigurnosti
DARavnatelj osigurava edukaciju i sigurnosni
trening svih sudionika u procesu. (Dokument u
izradi)
A.8.2.3 Disciplinski proces DA
Disciplinski proces je određen Zakonom o radu
i Statutom škole. Potrebno je uskladiti statut
škole s novim nepoćudnim radnjama vezanih
uz sigurnost sustava.
A.8.3 Nakon zaposlenja
A.8.3.1Odgovornosti kod prekida
zaposlenjaDA
Ravnatelj odobrava, a tajništvo brine o
sigurnosnim aspektima prekida zaposlenja.
A.8.3.2 Povrat imovine DAU ugovor o zapošljavanju uključiti vraćanje
organizacijske imovine u slučaju prekida
zaposlenja.
A.8.3.3 Uklanjanje pristupnih prava DA Administrator brine o uklanjanju svih pristupnih
prava nakon zaposlenja.
A.9 Fizička sigurnost
A.9.1 Sigurna područja
A.9.1.1 Sigurnosni opseg DA Radne prostorije su odvojene od prostorija
gdje se primaju klijenti. (Dokument u izradi)
A.9.1.2 Kontrola fizičkog pristupa DA Potrebno je organizirati kontrolu pristupa
sigurnosnom opsegu. (Dokument u izradi)
A.9.1.3 Osiguranje ureda, soba i
imovineDA Potrebno je osigurati osjetljive resurse od
neovlaštenog pristupa. (Dokument u izradi)
A.9.1.4 Zaštita od vanjskih prijetnji DA Potrebno je osigurati prikladnu zaštitu od
vanjskih prijetnji. (Dokument u izradi)
A.9.1.5 Rad u sigurnim prostorima DAPristup osjetljivim resursima (npr. file serveru)
je ograničena samo na autorizirane korisnike.
(Dokument u izradi)
A.9.1.6 Javni i dostavni prostor DARadne prostorije su odvojene od prostorija
gdje se primaju klijenti i dostava. (Dokument u
izradi)
A.9.2 Sigurnost opreme
Primjer uspostave ISMS-a
57
A.9.2.1 Smještaj i zaštita opreme DAVrijedni resursi su zaštićeni kako bi se smanji
rizik od neautoriziranih aktivnosti i nenamjernih
fizičkih prijetnji.
A.9.2.2 Pomoćna oprema DASva pomoćna oprema (struja, grijanje,
ventilacija) je prikladna. (Djelomična
usklađenost)
A.9.2.3 Sigurnost kabela DA Gdje je to moguće, naponski i komunikacijski
kabeli su odvojeni.
A.9.2.4 Održavanje opreme DAOprema se prikladno provjerava i održava u
planiranim intervalima, te se vodi zapisnik o
servisiranju i popravcima . (Dokument u izradi)
A.9.2.5Sigurnost opreme izvan
prostorija organizacijeDA
Potrebno je dogovoriti sigurnost opreme škole
koja se nalazi na nekoj drugoj lokaciji ili koja se
iznosi izvan prostorija organizacije.
A.9.2.6 Sigurno odlaganje opreme DAGdje je to moguće, oprema će se odbaciti
prema proceduri koju će donijeti škola.
(Dokument u izradi)
A.9.2.7 Premještanje opreme DA
Potrebno je odrediti način premještanja i voditi
evidenciju premještanja opreme. Postoji
oprema u vlasništvu škole koja se nalazi na
nekoj drugoj lokaciji. (Dokument u izradi)
A.10Upravljanjekomunikacijama ioperacijama
A.10.1 Operativne procedure i
odgovornosti
A.10.1.1Dokumentiranje operativnih
proceduraDA
Potrebna je izrada procedure za proces
uspostavljanja upravljanja dokumentima.
Web aplikacija.
A.10.1.2 Upravljanje promjenama DAPotrebno je dokumentirati sve promjene u
operativnim sustavima, procesima,
aplikacijskim programima i sl.
A.10.1.3 Odvajanje dužnosti DAOdvajanje dužnosti nije moguće potpuno
provesti zbog veličine škole i ograničenog
broja djelatnika određene struke.
A.10.1.4Odvajanje razvojnog, testnog
i operativnog okruženjaDA
Odvajanje okruženja se treba provesti u što
većoj mjeri, a u slučajevima gdje to nije
moguće, povećati nadzor nad aktivnostima.
(Dokument u izradi)
Primjer uspostave ISMS-a
58
A.10.2 Upravljanje uslugama
treće strane
A.10.2.1 Pružanje usluge NEDokumenti će se izraditi u onom trenutku kada
će se odlučiti pružati astronomske usluge ili
neke druge usluge „trećoj osobi“.
A.10.2.2Nadzor nad uslugama treće
straneNE
Prate se performanse usluga i suradnjom s
trećom stranom se rješavaju svi evidentirani
problemi.
A.10.2.3Upravljanje promjenama u
uslugama treće strane.NE
Sve relevantne promjene u uslugama se
identificiraju i vrši se usklađivanje s
promjenama.
A.10.3 Planiranje i prihvaćanje
sustava
A.10.3.1 Upravljanje kapacitetom DAPostoji neformalni proces planiranja kapaciteta
i upravljanja istim. To je dovoljno za sadašnje
aktivnosti.
A.10.3.2 Prihvaćanje sustava DA Potrebno je utemeljiti formalni proces
prihvaćanja novih sustava. (Dokument u izradi)
A.10.4 Zaštita od malicioznog i
mobilnog koda
A.10.4.1 Zaštita od malicioznog koda DAU upotrebi je anti-virusni softver za zaštitu
uredskih i poslužiteljskih računala od
malicioznog koda.
A.10.4.2 Zaštita od mobilnog koda DAZaštita od prenošenja i izvršenja mobilnog
koda tek se treba izraditi u obliku nadzora svih
računala. (Proces u izradi)
A.10.5 Sigurnosne kopije
A.10.5.1 Sigurnosne kopije informacija DA Potrebno je izraditi politiku sigurnosnih kopija.
(Dokument u izradi)
A.10.6 Upravljanje mrežnom
sigurnošću
A.10.6.1 Mrežne kontrole DAVatrozid postavljen. Potrebno je izraditi
proceduru koja opisuje prihvatljive mrežne
servise i protokole. Uspostava DMZ-a.
A.10.6.2 Sigurnost mrežnih usluga DA
Potrebno je implementirati tehnička, kao i
proceduralna rješenja za sigurno korištenje
mrežnih usluga. Uspostava DMZ-a.
(Dokument u izradi)
Primjer uspostave ISMS-a
59
A.10.7 Rukovanje medijima
A.10.7.1Upravljanje uklonjivim
medijimaDA
Potrebno izraditi dokumente o upotrebi,
zamjeni, provjeri informacija na izmjenjivim
medijima .
A.10.7.2 Odlaganje medija DAIzrada dokumenta o odlaganju i čuvanju
medija.
A.10.7.3Procedure za rukovanje
informacijamaDA
Potrebno je izraditi proceduru za rukovanje
osjetljivim informacijama.
A.10.7.4 Sigurnost sustavske
dokumentacijeDA Dokumentacija o postavkama sustava tek se
treba izraditi.
A.10.8 Razmjena informacija
A.10.8.1Politike i procedure razmjene
informacijeDA
Potrebno je utemeljiti proceduru za razmjenu
osjetljivih informacija u procesu.
A.10.8.2Sporazumi o razmjeni
informacijaDA
Prilikom slanja e-pošte, tj. vanjska
komunikacija, potrebno je označiti slanje
osjetljivih informacija.
A.10.8.3 Transport fizičkih medija DA Ne postoji transport fizičkih medija.
A.10.8.4 Elektroničke poruke DAPotrebno je kriptografskim algoritmom zaštititi
obavijesti dobivene automatskim nadzorom
sustava.
A.10.8.5 Poslovni informacijski sustavi NENe postoji sustav razmjene informacija koji je
rizičan.
A.10.9 E-trgovinske usluge
A.10.9.1 E-trgovina NE Škola se ne bavi e-trgovinom.
A.10.9.2 On-Line transakcije DA Škola koristi usluge e-bankarstva. Izrada
dokumentacije tog procesa.
A.10.9.3 Javno dostupne informacije DA Potrebno je zaštititi integritet Web forme za
prijavu učenika.
A.10.10 Nadziranje
A.10.10.1 Kontrola dnevnika DAPotrebno je periodičko pregledavanje zapisa o
pristupu kritičnim resursima (npr. poslužitelji u
sustavu).
Primjer uspostave ISMS-a
60
A.10.10.2 Nadzor uporabe sustava DA Potrebno je nadzirati pristup kritičnim
resursima.
A.10.10.3 Zaštita informacija u
dnevnicimaDA Dnevnici se trebaju arhivirati na zaštićenom
mjestu.
A.10.10.4Administratorski i operativni
dnevniciDA
Potrebno je osigurati automatsko zapisivanje
aktivnosti administratora prilikom rada na
poslužiteljima
A.10.10.5 Dnevnik grešaka DAPotrebno je osigurati automatskog zapisivanja
svih grešaka u radu svih poslužitelja.
A.10.10.6 Vremenska sinkronizacija DAVrijeme se automatski sinkronizira prema UTC
standardu. Svi relevantni mrežni uređaji nužno
moraju biti usklađeni.
A.11 Kontrola pristupa
A.11.1 Poslovni zahtjevi kontrole
pristupa
A.11.1.1 Politika kontrole pristupa DAPotrebno ja izraditi proceduru za kontrolu
pristupa koja će opisati odgovornosti korisnika,
prihvatljivu uporabu resursa i sl.
A.11.2 Upravljanje pristupom
korisnika
A.11.2.1 Prijava korisnika DA Postoji procedura dodjeljivanja i opoziva
korisničkih prava.
A.11.2.2 Upravljanje privilegijama DA Privilegije se dodjeljuju po potrebi i u skladu s
politikom kontrole pristupa.
A.11.2.3 Upravljanje korisničkim
lozinkamaDA Postoje minimalni zahtjevi koje lozinka mora
zadovoljiti.
A.11.2.4Pregled pristupnih prava
korisnikaDA
U slučaju promjene statusa korisnika, revidiraju
se i pristupna prava.
A.11.3 Obveze korisnika
A.11.3.1 Uporaba lozinki DA Korisnici su svjesni svojih odgovornosti.
A.11.3.2 Oprema bez nadzora DA Korisnici su svjesni svojih odgovornosti.
Primjer uspostave ISMS-a
61
A.11.3.3Politika održavanja radnog
stola i ekranaDA
Treba izraditi politiku održavanja radnog stola i
ekrana.
A.11.4 Kontrola pristupa mreži
A.11.4.1 Politika uporabe mrežnih
uslugaDA Postoji neformalna politika korištenja mrežnih
usluga, treba izraditi dokumentaciju iste.
A.11.4.2Autentifikacija za vanjske
konekcijeDA
Potrebna je autentifikacija prije spajanju na
Web poslužitelj i poslužitelj e-mail pošte.
A.11.4.3 Identifikacija opreme u mreži DAU testnom okruženju je uspostava aplikacije i
baze podataka OCS Inventory NG za
prepoznavanje računalne opreme.
A.11.4.4Zaštita dijagnostičkih i
konfiguracijskih priključakaDA
Kontrolira se pristup dijagnostičkim i
konfiguracijskim priključcima.
A.11.4.5 Odvajanje u mrežama NENema potrebe za dijeljenjem mreže i
odvajanjem posebnih cjelina iste.
A.11.4.6 Kontrola mrežnog
povezivanjaDA Kontroliraju se mrežne konekcije u skladu s
politikom kontrole pristupa.
A.11.4.7 Kontrola mrežnog
usmjeravanjaDA Vatrozid obavlja funkciju kontrole mrežnog
usmjeravanja.
A.11.5 Kontrola pristupa
operacijskim sustavima
A.11.5.1 Procedure prijave na sustav DASvi zaposleni se prijavljuju na sustav sigurnim
načinom, ali nedostaje dokumentacija
procedure.
A.11.5.2 Korisnička identifikacija i
autentifikacijaDA Svi korisnici imaju jedinstveno korisničko ime i
lozinku.
A.11.5.3 Sustav za upravljanje
lozinkamaDA Upotrebljava se prikladan sustav upravljanja
lozinkama.
A.11.5.4 Uporaba sustavskih uslužnih
programaNE Nema potrebe za ograničavanjem pristupa
sustavskim uslužnim programima.
A.11.5.5 Vrijeme isteka sjednice DAOdrediti adekvatno vremensko ograničenje
neaktivnosti računala i aplikacije u
informacijskom sustavu.
A.11.5.6Ograničavanje vremena
spajanjaNE
Nema potrebe za ograničavanjem vremena
spajanja.
A.11.6 Aplikacijska i informacijska
kontrola pristupa
Primjer uspostave ISMS-a
62
A.11.6.1 Ograničavanje pristupa
informacijamaDA Ograničen je pristup podacima preko podjele
prava pristupa na windows poslužitelju
A.11.6.2 Izolacija osjetljivih sustava NE U sustavu nema osjetljivih procesa koji
zahtijevaju izolaciju.
A.11.7 Mobilno računarstvo i
udaljeni rad
A.11.7.1Mobilno računarstvo i
komunikacijeDjelomično
Nije uobičajena praksa rada na daljinu. Od
korisnika jedino Administrator povremeno zna
zbog provjere sustava koristiti udaljeni pristup.
A.11.7.2 Udaljeni rad NE Nije uobičajena praksa rada na daljinu.
A.12 Nabava, razvoj i održavanje
informacijskog sustava
A.12.1 Sigurnosni zahtjevi
informacijskih sustava
A.12.1.1 Analiza i specifikacija
sigurnosnih zahtjevaDA Potrebno je dokumentirati sigurnosne zahtjeve
prilikom nabave ili nadogradnje sustava.
A.12.2 Ispravna obrada informacija u
aplikacijama
A.12.2.1 Provjera valjanosti ulaznih
podatakaNE Nema takvih podataka koji iziskuju provjeru.
A.12.2.2 Kontrola obrade podataka NE Nema takvih podataka koji iziskuju provjeru.
A.12.2.3 Cjelovitost poruka NE Nema potrebe za zaštitom cjelovitosti poruka.
A.12.2.4 Provjera valjanosti izlaznih
podatakaNE Nema takvih podataka koji iziskuju provjeru.
A.12.3 Kriptografske kontrole
A.12.3.1Politika uporabe
kriptografskih kontrolaDA
Kriptografija se ne koristi u sustavu. Poželjno
bi bilo razmisliti o njenom uvođenju.
A.12.3.2 Upravljanje ključevima NE Kriptografija nije dio sustava.
A.12.4 Sigurnost sistemskih datoteka
A.12.4.1 Kontrola operativnog softvera DAPostoje kontrole za instalaciju novog softvera
na sustave, instalaciju sigurnosnih zakrpa, te
deinstalaciju softvera.
Primjer uspostave ISMS-a
63
A.12.4.2 Zaštita ispitnih podataka NEIspitne podatke ne treba štititi, jer podaci koji
se koriste u testne svrhe najčešće nisu potpuni
i dostupni su malom broju korisnika.
A.12.4.3Kontrola pristupa izvornom
tekstu programaNE
Pristup izvornom kodu programa ne treba
kontrolirati jer su izrađene aplikacije
edukativne naravi.
A.12.5 Sigurnost i razvoj programske
opreme
A.12.5.1Procedure za kontroliranje
promjenaDA
Potrebno je utemeljiti procedure kroz koje će
se kontrolirati sve promjene u programskoj
opremi.
A.12.5.2Tehnički pregled aplikacija
nakon promjene u
operacijskim sustavima
DAPri promjenama u operacijskim sustavima,
testiraju se aplikacije koje se na njih oslanjaju.
A.12.5.3Ograničenja promjena u
programskim paketimaNE
Izvode se samo nužne i kontrolirane promjene
u programskim paketima.
A.12.5.4 Curenje informacija DA Mogućnost curenja informacija je minimalna.
A.12.5.5Razvoj softvera izvan
organizacijeNE
Škola nema partnera za razvoj programske
opreme.
A.12.6Upravljanje tehničkim
ranjivostima
A.12.6.1 Kontrola tehničkih ranjivosti DA Tehničke ranjivosti se nadzire i rješava
(Dokument u izradi)
A.13 Upravljanje sigurnosnimincidentima
A.13.1 Prijava sigurnosnih incidenata
i ranjivosti
A.13.1.1 Prijava sigurnosnih incidenata DA Svi detektirani sigurnosni incidenti se
prijavljuju. Izrada evidencije prijave.
A.13.1.2 Prijava sigurnosnih ranjivosti DASve detektirane ranjivosti sustava koji su u
uporabi se prijavljuju. Izrada evidencije
ranjivosti.
A.13.2 Upravljanje sigurnosnim
incidentima i poboljšanjima
A.13.2.1 Odgovornosti i procedure DA Potrebno je utemeljiti procedure za brzo i
efikasno reagiranje na sigurnosne incidente.
Primjer uspostave ISMS-a
64
A.13.2.2 Učenje iz incidenata DA O svim incidentima se raspravlja na mjesečnim
sastancima.
A.13.2.3 Skupljanje dokaza DA Sakupljanje dokaza je dužnost svakog
pojedinog zaposlenika.
A.14 Upravljanje poslovnimkontinuitetom
A.14.1 Sigurnosni aspekti upravljanja
poslovnim kontinuitetom
A.14.1.1Uključivanje informacijske
sigurnosti u upravljanje
poslovnim kontinuitetom
DA Plan poslovnog kontinuiteta treba izraditi.
A.14.1.2 Poslovni kontinuitet i procjena
rizikaDA Plan poslovnog kontinuiteta se oslanja na
procjenu rizika.
A.14.1.3 Razvoj i implementacija plana
poslovnog kontinuitetaDA Plan poslovnog kontinuiteta treba izraditi.
A.14.1.4 Okvir za plan poslovnog
kontinuitetaDA Postoji okvir plana poslovnog kontinuiteta koji
osigurava da su sve akcije konzistentne.
A.14.1.5
Testiranje, održavanje i
procjena plana poslovnog
kontinuiteta
DA
Testiranje, održavanje i procjena plana
poslovnog kontinuiteta će se obavljati redovito
u određenim vremenskim intervalima
A.15 Usklađivanje
A.15.1 Usklađivanje sa sigurnosnim
zahtjevima
A.15.1.1 Identifikacija primjenjivih
zakonaDA Svi primjenjivi zakoni su identificirani i uključeni
u ugovore sa zaposlenicima.
A.15.1.2 Intelektualno vlasništvo DA Uvjeti intelektualnog vlasništva su uključeni u
ugovore sa zaposlenicima.
A.15.1.3 Zaštita organizacijskih
dokumenataDA Postoje procedure za zaštitu osjetljivih
organizacijskih dokumenata.
A.15.1.4Zaštita privatnosti osobnih
podatakaDA
Organizacija se ugovorima s zaposlenicima
obvezuje na čuvanje privatnosti zaposlenika.
A.15.1.5 Sprječavanje zlouporabe
resursaDA Zaposlenici su upoznati s odgovornostima
prilikom uporabe resursa.
A.15.1.6Regulacija kriptografskih
kontrolaNE Kriptografija nije dio procesa.
Primjer uspostave ISMS-a
65
A.15.2Usklađivanje sa sigurnosnim
politikama i standardima, te
tehničko usklađivanje
A.15.2.1Usklađivanje sa sigurnosnim
politikama i standardimaDA
Na mjesečnim sastancima se raspravlja o
usklađenosti sa sigurnosnim standardima i
politikama.
A.15.2.2 Provjera tehničke
usklađenostiDA Provjera tehničke usklađenosti se izvodi u
planiranim intervalima. (Dokument u izradi)
A.15.3 Revizija informacijskih
sustava
A.15.3.1 Kontrola revizije
informacijskih sustavaDA Planiraju se nezavisne revizije informacijskih
sustava
A.15.3.2 Zaštita informacijskih sustava
tijekom revizijeDA Kontrolira se pristup nezavisnih revizora.
Tablica 12 - Izjava o primjenjivosti (SOA)
Implementacija i rad ISMS-a
66
4. Implementacija i rad ISMS-a(PDCA model – DO)
Općenito
Puštanje u rad ISMS podrazumijeva sljedeće korake
Formuliranje plana zaštitnih mjera koje podupiru plan uprave, sredstva,
odgovornost i prioritete upravljanja informatičkom sigurnošću.
Implementiranje plana zaštitnih mjera.
Određivanje kontrolnih točaka (mehanizama) u svrhu postizanja
kontrolnih ciljeva.
Određivanje načina mjerenja efikasnosti određenih kontrola, kontrolnih
točaka i kako zaštitne mjere utječu na ocjenu efikasnost tih kontrola.
Uspostavljanje programa obuke i podizanja svijesti o informacijskoj
sigurnosti.
Upravljanje radnim akcijama ISMS-a.
Upravljanje imovinom (resursima) ISMS-a.
Implementiranje procedura i drugih kontrola koje su sposobne u pravo
vrijeme detektirati sigurnosne događaje i promptno odgovoriti na njih
Opažanja
Određene stavke izvršenja ISMS-a neće biti ispunjene. Razlog leži u
neispunjenju svih stavki dokumentiranosti sustava. Upravo zbog toga početak
rada će se prolongirati do trenutka kada će i formalno sustav biti spreman.
Plan zaštitnih mjera u NKG-u:
Imovina Zaštitna mjera
Uspostava DMZ-a, nadgledavanje prometaIzrada plana arhiviranja (bilježenje izrade i kontrolearhiva, određivanje granica arhiviranja i sl.)Uspostava video nadzoraUpisivanje imovine u GLPI bazu, dodjelainventarskog brojaIzrada dokumenta o bilježenju sigurnosnihincidenata
Općenito na područjuškole
Edukacija korisnika
Implementacija i rad ISMS-a
67
Instalacija svih sigurnosnih zakrpaIzrada dokumenta o sigurnosnim postavkamaposlužitelja – (eng.Group policy)Izrada plana arhiviranja (bilježenje izrade i kontrolearhiva, određivanje granica arhiviranja i sl.)Promjena korisničkog imena administrator u nekodrugo, obavezno uključiti i administratora u sustavvremenskog ograničenja trajanja lozinkeIzrada dokumenta koji uključuje stablo dijeljenihdirektorija s pravima korisnikaNadogradnja UPS-aNadgledanje rada učenikaUspostava sustava nadogradnje sigurnosnih zakrpaza stolna računala
Windows poslužitelj_1
Nadgledavanje i određivanje načina rada prijenosneUSB memorijeInstalacija svih sigurnosnih zakrpaIzrada dokumenta o sigurnosnim postavkamaposlužitelja – (eng. Group policy)Izrada plana arhiviranja (bilježenje izrade i kontrolearhiva, određivanje granica arhiviranja i sl.)Podešavanje računala kao rezervnog poslužitelja zauslugu AD-a
Windows poslužitelj_2
Uspostava UPS-aInstalacija svih sigurnosnih zakrpaIzrada dokumenta o sigurnosnim postavkamaposlužiteljaSigurnosne prijetnje ukloniti ili smanjitiNadogradnja UPS-a
Linux poslužitelj_1
Uspostava pričuvne veze prema InternetuInstalacija svih sigurnosnih zakrpaIzrada dokumenta o sigurnosnim postavkamaposlužiteljaSigurnosne prijetnje ukloniti ili smanjiti
Linux poslužitelj_2
Nadogradnja UPS-aInstalacija svih sigurnosnih zakrpaIzrada dokumenta o sigurnosnim postavkamaposlužiteljaSigurnosne prijetnje ukloniti ili smanjiti
Linux poslužitelj_3
Nadogradnja UPS-a
Stolna računala Instalacija svih sigurnosnih zakrpa
Tablica 13 - Popis zaštitnih mjera
Kontrolne točke u ostvarenju ovog popisa nisu definirane. Razlog toga je što se
svako računalo može gledati kao zasebna točka izvršenja plana zaštitnih mjera.
Brzina i ostvarenje pojedinih mjera ovisi isključivo o dobivenom novcu.
Implementacija i rad ISMS-a
68
4.1. Troškovi implementacije ISMS-aVećina posla implementacije čini izrada potrebne dokumentacije, a tek manji dio
čini nabava opreme. Najčešće se broj utrošenih sati ne računa pod trošak, ali oni
moraju biti evidentirani. Iz analize sustava vidljiva je oprema koja je nužna za
uspostavu sigurnog i upravljivog sustava. Iz tablice 9. je vidljivo koliki je mogući
trošak uspostave ISMS-a. Naravno ovaj izračun nije uzeo u obzir i troškove samog
certificiranja koji ovisi o agencijama koje vrše tu uslugu.
Nužno:
Za uspostavu DMZ-a potrebno je novo računalo poslužitelj ili gotova
mrežna oprema s funkcionalnošću DMZ-a, nadzora i detekcijom napada.
Nabava UPS-a
Opcionalno:
Uspostava video nadzora
Zamjena magistralnih mrežnih UTP kablova s optičkim vlaknima –
opcijski
Zamjena iz preventivnih razloga windows poslužitelja (starost računala)
Oprema Cijena
DMZ uređaj 11.000,00 kn
UPS – uređaji (4 kom) 8.000,00 kn
Video nadzor (poslužitelj + 4 IP kamere) 14.000,00 kn
Zamjena mrežnih
kablova - magistrala 30.000,00 kn
Zamjena windows poslužitelja 8,000,00 kn
Edukacija korisnika sustava o sigurnosti 4.000,00 kn
Broj utrošenih sati na uspostavu ISMS-a
(procjena na temelju rada dviju osoba)
900 sati
x 50 kn/sat
Ukupno 100.000,00 kn
Tablica 14 - Izračun troškova uspostave ISMS-a
Implementacija i rad ISMS-a
69
4.2. Mjerenje efikasnosti ISMS-a i upravljanje sustavomOpćenito
Ovo područje je jedno od najnezgodnijih u uspostavi i radu ISMS-a. Mjerenje
efikasnosti sustava, određivanje metrike, te na temelju toga određivanje kvalitete
sustava, nezgodna je obveza.
Naime, na temelju izrađenih dokumenta i kontrola treba odrediti jesu li se u
praksi zadane kontrole provodile ili su samo mrtvo slovo na papiru. Upravo zbog
ove činjenice nužna je svaka potvrda uprave organizacije provoditelju
implementacije, kao legitimnog načina prisile, u izvršenju zadanih kontrola
sigurnosti u sustavu.
Sama metrika se najčešće određuje kao numerički iskazani broj kontrola koje
se provode. Rezultati provedbe se prezentiraju tijelu uprave organizacije. Radi što
lakše mjerljivosti efikasnosti sustava, u sustavima se implementiraju automatski
procesi nadgledavanja izvršenja pojedinih sigurnosnih kontrola.
4.3. Upravljanje imovinom (resursima) i dokumentacijomISMS-a
Upravljanje imovinom, dokumentacijom, podrazumijeva stjecanje, korištenje i
raspolaganje tim resursom tj. imovinom.
Opažanja
Nadbiskupska klasična gimnazija tek je stasala u mogućnosti upravljanja
resursima i dokumentacijom. U tu svrhu su i pokrenuti procesi inventure, punjenje
baze podataka i korištenje web aplikacija GLPI i OpenDocMan kao glavni način
raspodijele i pristupa informaciji o resursu.
U daljnjem radu sustava će se očitovati kvaliteta upravljanja.
Nadgledanje i kontrola ISMS-a
70
5. Nadgledanje i kontrola ISMS-a (Check)Općenito
Organizacija treba:
Izvršavati nadgledavanje i izvješća o procedurama i drugim kontrolama:
Obveza izrade kontinuiranog izvještaja o provjeri efikasnosti ISMS-a
Mjerenje efikasnosti kontrola i verifikaciji sigurnosnih potreba
Izrada izvješća o procjeni rizika, izvješća o ostalim nepokrivenim
opasnostima i određivanje razine dozvoljenih opasnosti u planiranim
intervalima
Provođenje internih revizija u planiranim intervalima
Obveza izvještavanja uprave o ISMS-u i kontinuiranog unaprjeđenja
poslovnih procesa
Nadograđivanje sigurnosnih planova vezanih uz nadgledavanje i
izvještavanje
Pohranjivanje događaja i akcija koje mogu utjecati na efikasnost i
performanse ISMS-a
Opažanja
Rad ISMS-a, obveze izrada izvještaja efikasnosti ISMS-a, mjerenje
primijenjenih i uspostavljenih kontrola, provođenje internih i vanjskih revizija,
nadogradnja sigurnosnih planova i pohrana podataka koje je sam sustav proizveo,
je nešto što će tek doći u narednom razdoblju.
Održavanje I unapređivanje ISMS-a
71
6. Održavanje i unapređivanje ISMS-a(eng. Act , Improve)
Općenito
Organizacija treba:
a) Ugrađivati poznate nadogradnje u ISMS
b) Napraviti prihvatljive korektivne i preventivne aktivnosti
c) Objaviti sve akcije i nadogradnje svim interesnim skupinama
d) Osigurati da će se nadogradnjom postići planirani ciljevi
Opažanja
Održavanje ISMS-a i njegovo unaprjeđivanje je dio koji započinje s prvim
danom primjene, bez obzira je li škola ISO/IEC 27001 certificirana ili nije.
Važno je redovito provjeravati i unapređivati upravljački okvir. Zbog činjenice da
je sigurnost područje koje se neprestano mijenja, potrebno je redovito obavljati
inspekcije i ažuriranje sustava. Npr. zastarjeli anti-virusni softver je od vrlo slabe
koristi.
Osnovno o dokumentiranju
72
7. Osnovno o dokumentiranjuDokumentiranje bi trebalo uvrštavati sve dokumente, odluke, radne akcije koje
potkrepljuju odlučivanje o sigurnosnoj politici. Svakako je važno imati mogućnost
demonstracije relacija između kontrolnih točaka i rezultata djelovanja sigurnosnih
zaštitnih mjera.
Dokumenti potrebni za ISMS trebaju biti zaštićeni i kontrolirani. Dokumentirana
procedura trebale bi sadržavati definirane radne akcije. Svaki dokument se mora
potvrditi od strane nadležne osobe, svaka promjena je podložna potvrdi. Provjera
pristupa je također kontrolirana u obliku kontrole zapisa.
Potrebno je osmisliti način čuvanja zapisa o sigurnosnim događajima u svrhu
dokaza i daljnjeg lakšeg planiranja usavršavanja ISMS-a.
Svaki dokument na naslovnoj stranici treba sadržavati ove podatke:
Naziv dokumenta: Diplomski rad
Broj verzije: Verzija 1
Datum izrade: 25.03.2008
Vlasnik Dokumenta: Ivan Poljak
Status
Klasifikacija
Tablica 15 - Zaglavlje svakog dokumenta
Verzija Datum Autor / Vlasnik Opis promjene
0 10.12.2007 Ivan Poljak Početni dokument.
1 25.03.2008 Ivan Poljak Promjena podataka u diplomskom radu
Tablica 16 - Povijest promjena na dokumentu
Osnovno o dokumentiranju
73
Ime i Prezime Odgovornost Datum Status
Tablica 17 - Odobrenje ovlaštene osobe o uporabi dokumenta
ISMS dokumentaciju bi trebali sačinjavati niže pobrojani dokumenti. Pojedini
dokumenti se mogu izostaviti ukoliko je to određeno unutar
Izjave o primjenjivosti sustava.
Dokumenti implementacije:
ISMS – definicija područja
ISO/IEC 27002 Izvješće analize sustava
ISMS Implementacijske preporuke
ISMS Implementacijski Plan
Plan obrade rizika
Izjava o primjenjivosti (eng. Statement of Applicability)
Upravljanje rizikom (metodologija/pristup/strategija)
Uspostavljena ISMS strukture
Dokumenti politike informacijske sigurnosti (referenciraju se na ISO 27002)
Politika kontrole pristupa
Politika praznog stola i prazno ekrana (eng. “Clear Desk” i “Clear
Screen)“
Politika arhiviranja i čuvanja podataka
Klasifikacija podataka i kontrola
Uništavanje podataka / media / opreme / resursa
Sigurnosna politika eCommerce
Politika zaštite i korištenja e-pošte
Politika procjene rizika sigurnosti informacijskog sustava
Politika korištenja “usluga treće strane”
Politika korištenja prijenosnih uređaja
Osnovno o dokumentiranju
74
Politika udaljenog rada i pristupa sustavu
Politika lozinki
Politika testa probojnosti sustava (eng. Penetration Testing Policy)
Politika osobne sigurnosti
Politika fizičke sigurnosti
Politika privatnosti
Politika licenciranja
Politika borbe protiv neželjene pošte
Politika pohrane I vračanja sistemskih podataka
Politika nadzora sistemskog korištenja
Politika pristupa sustavu „treće strane“
Politika zaštite od malicioznih programa
Dokumenti o primjeni osnovnih sigurnosno-tehničkih standarda za
Aplikacijske i ostale poslužitelje
Baze podataka (e.g. Oracle, DB2, Sybase, Access ...)
Uredska računala, prijenosnike, PDAs
Razvojne sustave
DMZ (uređaji u DMZ zoni: Web poslužitelj, poslužitelj e-pošte i ostali
poslužitelji vezani na Internet)
Vatrozid
Glavna računala
Operativne sustave (e.g. Windows XP, Windows 2003, Windows CE,
razni UNIX, MVS itd.)
Usmjerivači i preklopnici
Testni sustav
Sustavi „trećih strana“ koji se nalaze unutar ustanove
Žičana i bežična mreža (LAN, WAN, WiFi, itd..)
Osnovno o dokumentiranju
75
Procedure vezane uz sigurnost dokumenata
Procedura arhiviranja (eng. Backup)
Procedure procjene i analize sustava
Procedure o rješavaju sigurnosnih incidenata
Procedure fizičkog pristupa
Procedure sigurnosnih nadogradnji
Procedure sigurnosnih postavki administratora
Procedure zaštite sustava
Procedure provjere sistemske sigurnosti
Procedure korisničke podrške
Procedure upravljanja sustavom
Procedure korektivno/preventivnih kontrola
Procedura dokumentiranja i izrade zapisa kontrola
Procedura unutarnje ISMS provjere
Napuci vezani uz informacijsko sigurnosne smjernice
Materijali o značaju informacijske sigurnosti i opća informiranost
Postavke informacijske sigurnosti vezane uz radno mjesto
Podaci o vlasniku resursa
Analitičar informacijske sigurnosti
Planer informacijske sigurnosti
Upravitelj informacijske sigurnosti
Djelatnik odjela informacijske sigurnosti
Ispitivač informacijske sigurnosti
IT revizor
Sistem Administrator
Osnovno o dokumentiranju
76
ISMS operativni dokumenti/zapisi
Plan upravljanja kontinuitetom poslovanja
Izvješće i lista procjene utjecaja na pad sustava
Plan vraćanja sustava uslijed nepogode, nesreće
Popis imovine, resursa informacijskog sustava
Izvješće o sigurnosnim incidentima
Ocjena planiranja sustava i popis mjera izgradnje sustava
Popis ranjivosti i prijetnji (izvješća, upitnici, i sl.)
Dnevnik izrade sigurnosnih kopija i smještaja medija
Plan kontinuiteta poslovanja
Popis osnovnih aplikacija za uredska računala
Registar sigurnosnih incidenata u sustavu
Lista pristupa sustavu privilegiranih, administratora i autoriziranih
korisnika
Registar rizika
Registar licenci aplikativnih programa
Nadogradnja sustava i zapisi anti-virus zaštite
Zapisi o pristupu i konekciji „treće strane „ na sustav
Zaključak
77
8. ZaključakNadbiskupska klasična gimnazija kao odabir uspostave ISMS-a djelovao je u
početku kao vrlo jednostavan proces, koji se može odraditi bez velikih problema
Proučavanjem literature, dubinskom analizom školskog sustava, onolikom
koliko je bilo dozvoljeno, sve više se uviđa da vrlo jednostavan informacijski sustav
nije ni približno toliko jednostavan. Upravo suprotno, taj sustav ima odlike bilo
kojeg većeg sustava. Prilikom izrade dokumentacije, analize sustava, uočava se
jedna vrlo zanimljiva osobina sustava. Sustav unatoč sigurnosnim manama,
problemima nedostatka novca, solidno funkcionira. Korištenje sustava se najviše
očituje u nastavi informatike, astronomije. Edukacijom svih korisnika sve više se
iskorištavaju mogućnosti računalne mreže. Porast korištenja će zasigurno
pridonijeti i povećanju informacija. Škola nema puno informacija klasificiranih kao
tajne i još uvijek većinu dokumenata drže u papirnatom obliku, međutim povećanje
korištenja usluga računalne mreže vidljivo je iz dana u dan.
ISMS je trenutno u fazi izrade dokumentacije, uklanjanja nedostataka. Treba
istaknuti da škola ima jednu osobu administratora, kojoj je dužnost uz poslove
izrade ISMS izvršavati i svoje standardne administratorske obaveze. ISMS u NKG
se može opisati kao teretni vlak. Krenuo je sporo, međutim teško ga je zaustaviti.
To je uostalom i poanta ISMS-a. Jedan zatvoreni kružni proces koji se stalno
nadopunjuje i kada je pokrenut nemoguće ga zaustaviti. Gledajući globalno u
svakoj školi bi trebalo razmišljati o uspostavi ISMS-a. Može se istaknuti da bi
izgradnja takvih sustava u školama zahtijevala jako puno novčanih sredstava, ali
prije svega i puno više osposobljenih djelatnika. Zbog toga se u sklopu
Ministarstva znanosti, obrazovanja i športa RH mogu uočiti projekti vezani uz e-
obrazovanje kojima je cilj pružanja usluge preko institucije CARNet umjesto
izgradnje sustava u svakoj školi pojedinačno. Neki projekt kao e-učionica neslavno
završe, dok se drugi projekti, web orijentirani uspješno provode (kao npr. portal za
e-učenje, e-pernica itd.).
Ovom implementacijom htjelo se pokazati da svaka organizacija, čak i
neprofitabilna, ima potrebu za izgradnjom sigurnosnog sustava. Najvažnija
činjenica u izgradnji sustava je educirati korisnika i natjerati ih primjeni znanja o
sigurnosti, tj. izgraditi svijesti o potrebi čuvanja i štićenja podataka.
Literatura
78
9. Literatura[1] ISO/IEC 27001:2005 - Information technology -- Security techniques --
Information security management systems – Requirements
[2] ISO/IEC 27002:2005 Information technology -- Security techniques --
Code of Practice for Information Security Management
[3] Injac, Nenad: Sustavi kvalitete 2000., Velika revizija normi ISO 9000,
Oskar, Zagreb 1999.
[4] Marijanović, Ivana: Upravljanje sigurnošću informacija, Diplomski rad,
FER, Zagreb, prosinac 2006.
[5] Cannon, David L.; Bergmann, Timothy S.; Pamplin, Brady: CISA
Certified Information System Auditor Study Guide, Wiley Publishing Inc.,
Indianapolis, 2006.
[6] Puthuseer, Vinod Kumar: ISMS Implementation Guide, s Interneta,
http://www.infosecwriters.com/text_resources/pdf/ISMS_VKumar.pdf,
25.03.2008.
[7] NIST: Risk Management Guide for Information Technology Systems, s
Interneta, http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf,
25.03.2008.
[8] Trinity information security services: ISO 27001 sample security audit, s
Interneta, http://www.trinitysecurity.com, 25.03.2008.
[9] ISO27k implementers' forum: Generic ISMS Documentation Checklist, s
Interneta,
http://www.iso27001security.com/ISO27k_Generic_ISMS_Documentatio
n_Checklist_2v1.rtf, 25.03.2008.
[10] Canal, Vicente Aceituno: Information Security Management Maturity
Model, s Interneta, http://www.cvib.nl/cvibnew/2006/02/ISM3_v1.20.pdf,
25.03.2008.
[11] Spivey, Mark D.: Practical hacking techniques and countermeasures,
Auerbach publications, New York, 2006.
Literatura
79
[12] Causey, Brad; Rogers Bobby: Ethical Hacking and Penetration Testing
Training, VTC, 2006
[13] Tulloch, Mitch: Windows Server Hacks, O'Reilly Media, Inc., Sebastopol,
2004.
[14] prof. dr. sc. Hadjina, Nikola: Zaštita i sigurnost informacijskih sustava,
nastavni materijal sa zbirkom zadataka, Zagreb, 2004.
[15] ENISA: Risk Management/Risk Assessment in European regulation,
international guidelines and codes of practice, s Interneta,
http://enisa.europa.eu/rmra/files/rmra_regulation.pdf , 25.03.2008.
[16] ENISA: Risk Management:Implementation principles and Inventories for
Risk Management/Risk Assessment methods and tools, s Interneta,
http://www.enisa.europa.eu/rmra/files/D1_Inventory_of_Methods_Risk_
Management_Final.pdf , 25.03.2008.
[17] UNDP: Strategija razvoja informacionog društva u BiH, s Interneta,
www.undp.ba/download.aspx?id=47, 25.03.2008.
[18] Razni dokumenti vezani uz upravljanje sigurnošću informacijskih
sustava, s Interneta, http://www.cert.hr/, 25.03.2008.
[19] Razni dokumenti vezani uz upravljanje sigurnošću informacijskih
sustava, s Interneta, http://www.sigurnost.info/ , 25.03.2008.
[20] ISO 27001 Toolkit Trial, s Interneta, www.itgovernance.co.uk ,
25.03.2008.
[21] Beaver, Kevin; Davis, Peter T: Hacking Wireless Networks For
Dummies, Wiley Publishing Inc., Indianapolis, 2005.
[22] Carpenter, Tom: Windows 2003 Security Implementation, Learnkey,
2004.
Dodatak A: Dokumenti ISMS-a u NKG
80
Dodatak A: Dokumenti ISMS-a u Nadbiskupskoj klasičnojgimnaziji
1) Sigurnosna politika
Sigurnosna politika Nadbiskupske klasične gimnazije temelji se na sigurnosnoj
politici CARNet-a. NKG je kao član CARNet-a dužan pridržavati se te sigurnosne
politike. Dozvoljeno joj je kao članici prilagođavati tu sigurnosnu politiku svojim
potrebama i mogućnostima, ali na način da nikada nije u suprotnosti sa izvornom
politikom. U daljnjem tekstu sigurnosne politike pod školom se smatra
Nadbiskupska klasična gimnazija (NKG).
Na koga se odnosi sigurnosna politika?
Pravila rada i ponašanja koja definira sigurnosna politika vrijede za:
Svu računalnu opremu koja se nalazi u prostorima Ustanove.
Administratore informacijskih sustava
Korisnike, među koje spadaju: zaposlenici, vanjski suradnici, učenici
Vanjske tvrtke koje po ugovoru rade na održavanju opreme ili softvera
Organizacija upravljanja sigurnošću
Ključna stvar pri provođenju sigurnosne politike informacijskog sustava jest da
se u svakom trenutku točno zna što je čiji posao i tko za što odgovara. Stoga je
potrebno raspodijeliti zaduženja i obrazovati korisnike, te oformiti stručna tijela za
upravljanje sigurnošću. Ljudi koji se u radu koriste računalima dijele se na
korisnike i davatelje informacijskih usluga.
Korisnici informatičkih usluga
Korisnici su osobe koje se u svom radu ili učenju služe računalima, proizvode
dokumente ili unose podatke, ali ne odgovaraju za instalaciju i konfiguraciju
softvera, niti za ispravan i neprekidan rad računala i mreže.
Svaki korisnik informacijskog sustava mora znati koja je njegova uloga u
poboljšanju sigurnosti ukupnog sustava.
Dodatak A: Dokumenti ISMS-a u NKG
81
Dužnosti korisnika su:
Pridržavanje pravila prihvatljivog korištenja, što znači da ne smiju koristiti
računala za djelatnosti koje nisu u skladu sa važećim zakonima, etičkim
normama i pravilima lokalne sigurnosne politike.
Izbor kvalitetne zaporke i njezina povremena promjena
Prijavljivanje sigurnosnih incidenata kako bi se što prije riješili problemi
Korisnici koji proizvode podatke i dokumente odgovorni su za njihovo
čuvanje. To znači da, na primjer, moraju od davatelja usluga zatražiti da
uspostave automatsku pohranu (backup) važnih informacija, ili u protivnom
moraju sami izrađivati sigurnosne kopije.
Dokumenti u elektroničkom obliku smatraju se službenim dokumentima na isti
način kao i dokumenti na papiru, pa treba osigurati njihovo čuvanje i ograničiti
pristup samo ovlaštenim osobama.
Glavni korisnik
Ukoliko ustanova koristi aplikacije za obradu podataka, na primjer
računovodstvene programe, radi poboljšanja sigurnosti jedna osoba imenuje se
glavnim korisnikom. U navedenom primjeru voditelj računovodstva bio bi glavni
korisnik.
Dok zaposlenici koji unose podatke odgovaraju za vjerodostojnost tih podataka,
glavni je korisnik odgovaran za provjeru ispravnosti podataka, za provjeru
ispravnosti i sigurnosti aplikacije, za dodjelu dozvola za pristup podacima i za
mjere sprečavanja izmjene podataka od strane neautoriziranih osoba. Glavni
korisnik kontaktira proizvođača aplikacije i dogovara isporuku novih verzija, traži
ugradnju sigurnosnih mehanizama itd.
Davatelji informatičkih usluga
Davateljima usluga smatraju se profesionalci koji brinu o radu računala, mreže i
informacijskih sustava. Na ustanovama članicama CARNeta to su sistem inženjer i
članovi njegova tima. Oni odgovaraju za ispravnost i neprekidnost rada
informacijskog sustava.
Dodatak A: Dokumenti ISMS-a u NKG
82
Specijalisti za sigurnost
Škola može za brigu o sigurnosti i pomoć pri rješavanju incidenata koristiti
pomoć CARNeta. Usprkos tome, preporučuje se imenovanje i obrazovanje
pojedinaca čija je zadaća briga za organizaciju i provođenje sigurnosnih mjera
navedenih u Sigurnosnoj politici.
Osoba čije je prvenstvena briga sigurnost informacijskih sustava je Voditelj
sigurnosti (engl. CSO, Chief Security Officer). Poželjno je da Voditelj sigurnosti
bude stručan, ali da istovremeno posjeduje sposobnost za vođenje ljudi i da je
komunikativan.
Njegova je briga ukupna sigurnost informacijskih sustava. To uključuje fizičku
sigurnost, pri čemu će surađivati sa zaposlenicima poput portira, čuvara i slično.
Voditelj sigurnosti piše pravilnike, nadzire rad mreže i servisa, organizira
obrazovanje korisnika i administratora, komunicira s upravom, sudjeluje u
donošenju odluka o nabavi računala i softvera, te sudjeluje u razvoju softvera,
kako bi osigurao da se poštuju pravila iz sigurnosne politike.
Ako škola zapošljava više stručnjaka za računarstvo, oformiti će Ekipu za hitne
intervencije i obučiti je za postupanje u slučaju incidentnih situacija. Ekipu čine
specijalisti različitih usmjerenja, na primjer za mrežu, Unix, Microsoft Windowse,
baze podataka itd. Ustanova treba u tom slučaju razraditi procedure za postupanje
u incidentnim situacijama, te obučiti članove Ekipe za hitne intervencije kako bi
mogli izvršiti istragu, te informacijski sustav što prije vratiti u redovno stanje.
Ustanova treba izraditi i održavati kontakt listu s imenima, brojevima telefona, e-
mail adresama osoba kojima se prijavljuju incidenti, od kvarova opreme, sporosti ili
nedostupnosti mrežnih usluga i podataka, do povreda pravila sigurnosne politike ili
zakonskih odredbi.
Administriranje računala
Davatelji usluga dužni su administrirati računala i mrežnu opremu u skladu s
pravilima struke, brinući istovremeno o funkcionalnosti i sigurnosti. Svako računalo
mora imati imenovanog administratora, koji odgovara za instalaciju i konfiguraciju
softvera. Ukoliko napredni korisnici žele sami administrirati svoje osobno računalo,
neka potpišu izjavu o tome, nakon čega za njih vrijede sva pravila za
administriranje računala.
Dodatak A: Dokumenti ISMS-a u NKG
83
Računala se moraju konfigurirati na taj način da budu zaštićena od napada
izvana i iznutra, što se osigurava instaliranjem softverskih zakrpi po preporukama
proizvođača, listama pristupa, filtriranjem prometa i drugim sredstvima.
Posebnu pažnju administratori su dužni posvetiti opremi koja obavlja ključne
funkcije ili sadrži vrijedne i povjerljive informacije koje treba štiti od neovlaštenog
pristupa. Administratori računala svakodnevno prate rad sustava, čitaju dnevničke
zapise i provjeravaju rad servisa. Zadaća je administratora i nadgledanje rada
korisnika, kako bi se otkrile nedopuštene aktivnosti.
Administratori su dužni prijaviti incidente specijalistu za sigurnost, te pomoći pri
istrazi i uklanjanju problema. Incidenti se dokumentiraju kako bi se pomoglo u
nastojanju da se izbjegnu slične situacije u budućnosti. Ukoliko je incident ozbiljan
i uključuje kršenje zakona, prijavljuju se CARNetovu CERT-u.
Davatelji usluga dužni su u svome radu poštivati privatnost ostalih korisnika i
povjerljivost informacija s kojima dolaze u dodir pri obavljanju posla. Da bi ih
ustanova obavezala na poštivanje tih pravila, neka potpišu Izjavu o čuvanju
povjerljivih informacija.
Upravljanje mrežom
Škole koje posjeduju razgranatu mrežu i svoje vlastite mrežne i komunikacijske
uređaje dužne su razraditi pravila koja određuju tko upravlja mrežom, konfigurira
mrežne uređaje, dodjeljuje adrese, kreira virtualne LAN-ove itd.
Osim što se odgovornost za rad mreže dodjeljuje određenim ljudima, mogu se
propisati i procedure za priključivanje računala u mrežu, odrediti obrasce kojima se
izdaje odobrenje za priključenje računala na mrežu i dodjeljuje im se adresa.
Djelatnik zadužen za upravljanjem mrežom mora u svakom trenutku imati točan
popis svih mrežnih priključaka i umreženih uređaja, uključujući i prenosiva
računala. Ukoliko je podržan rad na daljinu, na primjer kada se djelatnicima
dopušta da sa kućnog računala ažuriraju podatke, potreban je poseban pravilnik s
kojim moraju biti upoznati svi koji rade na daljinu. Mora se osigurati da udaljeno
računalo ne ugrozi sigurnost mreže ustanove, s obzirom na mogućnost da ga
koriste neautorizirane osobe, članovi obitelji i slično. Povjerljivi podaci na
udaljenom računalu moraju biti jednako sigurni kao da se računalo nalazi u zgradi
ustanove.
Dodatak A: Dokumenti ISMS-a u NKG
84
Ustanova je obavezna razraditi pravila za spajanje na mrežu gostujućih
računala, koja donose sa sobom vanjski suradnici, predavači, poslovni partneri,
serviseri. Ne smije se dozvoliti da oni po svom nahođenju priključuju računala na
mrežu ustanove, radi opasnosti od širenja virusa ili namjernih agresivnih radnji,
poput presretanja mrežnog prometa, prikupljanja informacija itd. Ustanova može
odrediti priključna mjesta, na primjer u predavaonicama, gdje je dozvoljeno
priključiti gostujuća računala, te konfiguracijom mreže spriječiti da se sa tog
segmenta mreže dopre do ostalih računala na ustanovi.
Ukoliko škola koristi bežičnu mrežu, mora osigurati da se ne može bilo tko
priključiti na privatnu mrežu i snimati promet. To se postiže metodama enkripcije i
autentifikacije uređaja i korisnika, koji se moraju propisati u zasebnom dokumentu.
Radi zaštite povjerljivih informacije pri prijenosu mrežom, poželjno je da takav
promet bude kriptiran. Ustanova će u tom slučaju izdati pravilnik u kojem definira
vrstu enkripcije, obvezan softver, procedure za dodjelu i čuvanje kriptografskih
ključeva i slično.
Instalacija i licenciranje softvera
Korištenje ilegalnog softvera predstavlja povredu autorskog prava i
intelektualnog vlasništva. Da bi se zaštitila od moralne i materijalne štete koja time
može nastati, škola zadužuje jednu ili više odgovornih osoba za instaliranje
softvera i njegovo licenciranje. Korisnik koji ima potrebu za nekim programom,
mora se obratiti ovlaštenoj osobi i zatražiti, uz obrazloženje, nabavu i instalaciju.
Sve korisnike treba obavezati na poštivanje autorskih prava, na primjer
potpisivanjem izjave o tome da upoznati s Politikom prihvatljivog korištenja i da je
prihvaćaju. Na taj način škola odgovornost za eventualno kršenje zakona
prebacuje na nesavjesnog korisnika.
Povjerenstvo za sigurnost informacijskih sustava
Kako bi se osiguralo upravljanje sigurnošću, poželjno je oformiti Povjerenstvo
za sigurnost sastavljeno od predstavnika uprave i specijalista tehničara (na primjer
voditelj sigurnosti, CARNet koordinator, prodekan, glavni korisnik baze podataka
koja sadrži povjerljive informacije itd.).
Dodatak A: Dokumenti ISMS-a u NKG
85
Povjerenstvo prima izvještaje o sigurnosnoj situaciji i predlaže mjere za njeno
poboljšanje, uključujući nabavu opreme, organizaciju obrazovanja korisnika i
specijalista. Povjerenstvo daje odobrenje za provođenje istrage u slučaju
incidenata. Povjerenstvo podnosi izvještaj o stanju sigurnosti upravi Ustanove, te
se zalaže za donošenje konkretnih mjera, nabavu potrebne opreme, ulaganje u
obrazovanje specijalista, ali i običnih korisnika.
Fizička sigurnost
Prostor na školi dijeli se na dio koji je otvoren za javnost, prostor u koji imaju
pristup samo zaposleni, te prostore u koje pristup imaju samo grupe zaposlenih,
ovisno o vrsti posla koji obavljaju.
Ustanova je dužna sastaviti popis osoba koje imaju pristup u zaštićena
područja, a porta mora imati popis osoba koje mogu dobiti ključeve određenih
prostorija.
Sigurne zone
Računalna oprema koja obavlja kritične funkcije, neophodne za funkcioniranje
informacijskog sustava, ili sadrži povjerljive informacije, fizički se odvaja u prostor
u koji je ulaz dozvoljen samo ovlaštenim osobama. Ustanova je dužna održavati
popis ovlaštenih osoba koje imaju pristup u sigurne zone.
U pravilu su to samo zaposlenici koji administriraju mrežnu i komunikacijsku
opremu i poslužitelje ključnih servisa. Oni ulaze u sigurne zone samo kada treba
ukloniti zastoje, obaviti servisiranje opreme. Stoga je poželjno je administratorima
osigurati radni prostor odvojeno od prostorija u kojima je smještena kritična
oprema.
Kritična oprema treba biti zaštićena od problema s napajanjem električnom
energijom, što znači da električne instalacije moraju biti izvedene kvalitetno, da se
koriste uređaji za neprekidno napajanje, a po potrebi i generatori električne
energije. Treba predvidjeti i druge moguće probleme, poput poplava, požara i
slično, te poduzeti mjere da se oprema i informacije zaštite i da se osigura što brži
oporavak. U sigurnim zonama i u njihovoj blizini ne smiju se držati zapaljive i
eksplozivne tvari.
Dodatak A: Dokumenti ISMS-a u NKG
86
Vanjske tvrtke
Povremeno se mora dopustiti pristup osobama iz vanjskih tvrtki ili ustanova,
radi servisiranja, održavanja, podrške, obuke, zajedničkog poslovanja, konzultacija
itd. Ustanova može u ugovore s vanjskim tvrtkama ugraditi odredbe kojima
obavezuje poslovne partnere na poštivanje sigurnosnih pravila.
Ugovorom će se regulirati pristup, čime se podrazumijeva pristup prostorijama,
pristup opremi ili logički pristup povjerljivim informacijama. Treću stranu treba
obavezati na čuvanje povjerljivih informacija s kojima dođu u dodir pri obavljanju
posla. Ustanova može zahtijevati da svaka osoba koja pristupa povjerljivoj opremi,
sigurnoj zoni ili osjetljivim informacijama potpiše Izjavu o čuvanju povjerljivih
informacija. Ako u sigurnu zonu radi potrebe posla ulaze osobe koje nemaju
ovlasti, mora im se osigurati pratnja. Strana osoba može se ostaviti da obavi
posao u zaštićenom prostoru samo ako je osiguran video nadzor.
Ukoliko se vanjskoj tvrtki prepušta održavanje opreme i aplikacija s povjerljivim
podacima, Ustanova može od vanjske tvrtke zatražiti popis osoba koje će dolaziti
u prostorije Ustanove radi obavljanja posla. U slučaju zamjene izvršitelja, vanjska
tvrtka dužna je na vrijeme obavijestiti Ustanovu.
Ustanova zadržava pravo da osobama koje se predstavljaju kao djelatnici
vanjskih tvrtki uskrati pristup ukoliko nisu na popisu ovlaštenih djelatnika.
Sigurnost opreme
Klasifikacija računalne opreme
Ustanova dijeli svu opremu u grupe prema zadaćama:
Zona javnih servisa ( tzv. demilitarizirana zona) – oprema koja obavlja javne
servise (DNS poslužitelj, HTTP poslužitelj, poslužitelj elektroničke pošte
itd.).
Intranet je privatna mreža škole, sačinjavaju je poslužitelji internih servisa,
osobna računala zaposlenih, računalne učionice te komunikacijska oprema
lokalne mreže.
Extranet je proširenje privatne mreže otvoreno mobilnim korisnicima,
poslovnim partnerima ili povezuje izdvojene lokacije. U ovu grupu spadaju
Dodatak A: Dokumenti ISMS-a u NKG
87
na primjer interni modemski ulazi ili veza lokalnih baza podataka s
centralnim poslužiteljima (LDAP,e-pernica).
Poželjno je da škola s vremenom izradi sigurnosnu politiku za svako od
navedenih područja, koje će dati konkretne upute administratorima kako zaštiti
sustav. Posebno je osjetljivo područje koje nazivamo extranet, jer se tu otvara
prolaz u zaštićenu mrežu.
Korisnicima koji su na putu, kod kuće, ili poslovnim partnerima. Potrebno je
izraditi poseban pravilnik za extranet u kojem se reguliraju prava i obaveze, a s
vanjske tvrtke kojima se dopušta pristup računalima i podacima u intranetu treba
ugovorom obavezati na poštivanje sigurnosnih pravila i čuvanje povjerljivosti
informacija.
Podjela opreme prema vlasništvu
U prostorijama škole nalazi se i oprema CARNeta ili Ministarstva znanosti i
tehnologije, koja je dana na korištenje školi.
Škola je obavezna održavati popis sve računalne opreme, s opisom ugrađenih
komponenti, inventarskim brojevima itd.
Škola brine jednako o svoj opremi kojom raspolaže, bez obzira na to tko je
njezin vlasnik. Manirom dobrog gospodara oprema se čuva od oštećivanja,
otuđenja.
Škola je dužna osoblju CARNeta dozvoliti pristup opremi u vlasništvu CARNeta
koja se nalazi na Ustanovi.
Odgovornost za računalnu opremu
Za fizičku sigurnost opreme odgovoran je rukovoditelj ustanove. On
odgovornost za grupe uređaja ili pojedine uređaje prenosi na druge zaposlene, koji
potpisuju dokument kojim potvrđuju da su preuzeli opremu.
Škola je dužna razraditi procedure kojima se nastoji spriječiti otuđenje i
oštećenje računalne opreme. Na porti treba provjeriti da li oprema koja se iznosi
ima potrebne prateće dokumente, izdatnice, radne naloge za popravak itd.
Dodatak A: Dokumenti ISMS-a u NKG
88
Osiguranje neprekidnosti poslovanja
Kako bi se sačuvali podaci u slučaju nezgoda, poput kvarova na sklopovlju,
požara, ili ljudskih grešaka, potrebno je redovito izrađivati rezervne kopije svih
vrijednih informacija, uključujući i konfiguraciju softvera. Preporučuje se izrada više
kopija, koje se čuvaju na različitim mjestima, po mogućnosti u vatrootpornim
ormarima.
Procedure za izradu rezervnih kopija treba razraditi u zasebnom dokumentu.
Potrebno je zadužiti konkretne djelatnike za izradu i čuvanje kopija informacija, te
ih obavezati na čuvanje povjerljivosti informacija.
Radi osiguranja neprekinutosti poslovanja, potrebno je razraditi i procedure za
oporavak kritičnih sustava te ih čuvati u pismenom obliku, kako bi u slučaju
zamjene izvršitelja novozaposleni djelatnici mogli brzo reagirati u slučaju
nesreće.Povremeno se provjerava upotrebljivost rezervnih kopija podataka, te
izvode vježbe oporavka sustava. Vježbe se ne izvode na produkcijskim
računalima, već na rezervnoj opremi, u laboratorijskim uvjetima.
Nadzor nad informacijskim sustavima
Ustanova zadržava pravo nadzora nad instaliranim softverom i podacima koji su
pohranjeni na umreženim računalima, te nad načinom korištenja računala.
Nadzor se smije provoditi radi:
Osiguranja integriteta, povjerljivosti i dostupnosti informacija i resursa.
Provođenja istrage u slučaju sumnje da se dogodio sigurnosni incident.
Provjere da li su informacijski sustavi i njihovo korištenje usklađeni sa
zahtjevima sigurnosne politike.
Nadzor smiju obavljati samo osobe koje je ustanova za to ovlastila.
Pri provođenju nadzora ovlaštene osobe dužne su poštivati privatnost i
osobnost korisnika i njihovih podataka. No u slučaju da je korisnik prekršio pravila
sigurnosne politike, ne može se više osigurati povjerljivost informacija otkrivenih u
istrazi, te se one mogu koristiti u stegovnom ili sudskom postupku.
Dodatak A: Dokumenti ISMS-a u NKG
89
Doseg
Ova se pravila odnose na svu računalnu opremu koja se nalazi u prostorijama
škole i priključena je u mrežu CARNet, na sav instalirani softver, te na sve mrežne
servise. Pravila su dužni poštivati i provoditi svi zaposleni, učenici i vanjski
suradnici koji po ugovoru obavljaju određene poslove.
Provođenje
Korisnici su dužni pomoći osobama zaduženim za nadzor informacijskih
sustava, na taj način što će im pružiti sve potrebne informacije i omogućiti im
pristup prostorijama i opremi radi provođenja nadzora. Isto vrijedi i za
administratore računala i pojedinih servisa, koji su dužni specijalistima za
sigurnost pomagati pri istrazi.
Pristup uključuje:
Pristup na razini korisnika ili sustava svoj računalnoj opremi
Pristup svakoj informaciji, u elektroničkom ili tiskanom obliku, koja je
proizvedena ili spremljena na opremi škole ili oprema škole služi za njezin
prijenos.
Pristup radnom prostoru (uredu, laboratoriju, sigurnoj zoni itd.)
Pravo na interaktivno nadgledanje i bilježenje prometa na mreži škole
Nepridržavanje
Zaposlenika koji se ogluši na pravila o nadzoru može se disciplinski kazniti ili
mu uskratiti prava korištenja CARNetove mreže i njezinih servisa.
Prateći dokumenti
S razvojem informatike na školi i porastom ovisnosti o njezinom ispravnom
funkcioniranju, javiti će se potreba da se generička sigurnosna politika dopuni
pratećim dokumentima, u kojima se definiraju pravila za pojedina područja rada.
Dok bi generička politika trebala biti dovoljno općenita kako se ne bi morala često
mijenjati, prateći pravilnici pisani su kao upute za rješavanje konkretnih problema i
mogu se češće mijenjati.
Dodatak A: Dokumenti ISMS-a u NKG
90
2) Pravilnik o upravljanju povjerljivim informacijama
Klasifikacija informacija
Klasificiranje povjerljivih informacija uređeno je Zakonom o zaštiti tajnosti
podataka objavljenim u Narodnim novinama br. 114/01. Prema vrsti tajnosti
informacije dijele se na vojnu, državnu, službenu, poslovnu i profesionalnu tajnu.
Prema stupnju tajnosti, informacije mogu biti javne, povjerljive, tajne ili vrlo
tajne.
Kategorije službene, državne i vojne tajne pripadaju tijelima državne uprave.
Poslovna tajna su informacije koje imaju komercijalnu vrijednost i čije bi
otkrivanje moglo nanijeti štetne posljedice školi ili njenim poslovnim partnerima
(ugovori, financijski izvještaji, planovi, rezultati istraživanja itd.)
Profesionalna tajna odnosi na zanimanja poput liječnika, svećenika i odvjetnika,
no može se primijeniti i na zaposlene koji u svom radu dolaze u dodir s podacima
o drugim ljudima, poput zaposlenih u referadi, osoba koje unose podatke u baze
podataka o studentima,učenicima ili sistem administratora poslužitelja koji u
nekim situacijama može doći u dodir s podacima koji pripadaju korisnicima
računala.
Dokumenti koji izvana dolaze u školu s nekom od oznaka povjerljivosti određuju
stupanj povjerljivosti svih dokumenata i informacija koje će škola proizvesti kao
odgovor. U tom slučaju može se koristiti neka od kategorija tajnosti koje su
rezervirane za tijela državne uprave (službena, državna ili vojna tajna).
Dokumenti koji se smatraju povjerljivima moraju biti jasno označeni isticanjem
vrste i stupnja tajnosti.
Javnima se smatraju sve informacije koje nisu označene kao povjerljive.
Izuzetak su osobne informacije, za koje se podrazumijeva da su povjerljive i ne
treba ih posebno označavati.
Pravila za čuvanje povjerljivosti odnose se na informacije bez obzira na to u
kom su obliku: na papiru, u elektroničkom obliku, zabilježene ili usmeno
prenesene, ili su objekti poput maketa, slika itd.
Dodatak A: Dokumenti ISMS-a u NKG
91
Raspodjela odgovornosti
Za klasificiranje povjerljivih informacija zadužen je ravnatelj škole, koji će izraditi
listu osoba koje imaju pravo proglasiti podatke tajnima, te listu osoba koje imaju
pristup povjerljivim podacima.
Pravila za čuvanje povjerljivih informacija odnose se na sve zaposlenike škole i
vanjske suradnike koji dolaze u doticaj sa osjetljivim podacima. Obaveza čuvanja
povjerljivosti ne prestaje s prestankom radnog odnosa.
Čuvanje povjerljivih informacija
Povjerljive informacije, tiskane na papiru ili u elektroničkom obliku, snimljene na
neki medij za pohranu podataka, čuvaju se u zaključanim metalnim, vatrootpornim
ormarima, u prostorijama u koje je ograničen pristup.
Pristup povjerljivim informacijama regulira se izradom liste zaposlenika koji
imaju ovlasti, te bilježenjem vremena izdavanja i vraćanja dokumenata, kako bi se
u svakom trenutku znalo gdje se oni nalaze.
Informacije o zaposlenicima
Socijalni inženjering je metoda koju primjenjuju hackeri kako bi prikupili
informacije potrebne za provalu na računala. Ustanova može informacije o
zaposlenima koje se smatraju javnima objaviti na svojim web stranicama. Javnim
informacijama smatraju se:
Ime i Prezime
Posao koji zaposlenik obavlja
Broj telefona na poslu
Službena e-mail adresa
Na upite o zaposlenicima davati će se samo informacije objavljene na internim
web stranicama. Daljnje informacije o zaposlenima ne smiju se davati bez
suglasnosti osobe kojoj podaci pripadaju (na pr. adresa stana, broj privatnog
telefona, podaci o primanjima, porezu, osiguranju itd.)
Povjerljive informacije u načelu se ne daju se telefonom jer se sugovornik može
lažno predstaviti. Ukoliko se sugovornik predstavlja kao službena osoba koja ima
pravo pristupa povjerljivim podacima, zapisuje se ime i prezime te osobe, naziv
Dodatak A: Dokumenti ISMS-a u NKG
92
institucije kojoj pripada i broj telefona s kojeg zove. Nakon provjere istinitosti tih
podataka zaposlenik škole će se posavjetovati s ravnateljom i ukoliko dobije
odobrenje nazvati službenu osobu i odgovoriti na pitanja.
Prenošenje povjerljivih informacija
Informacije koje su klasificirane kao povjerljive zahtijevaju posebne procedure
pri slanju i prenošenju. Povjerljive informacije ne šalju se običnom poštom, već
kurirskom. Na odredištu se predaju u ruke osobi kojoj su upućeni, što se potvrđuje
potpisom.
Ako se povjerljive informacije šalju elektronički, na primjer kao poruke
elektroničke pošte, tada se moraju slati kriptirane.
Kopiranje povjerljivih informacija
Za kopiranje povjerljivih informacija treba zatražiti dozvolu vlasnika informacije.
Povjerljivi dokumenti koji izvana dođu u školu ne smiju se kopirati bez izričite
dozvole pošiljatelja.
Dokumenti koji pripadaju školi smiju se kopirati samo uz dozvolu osobe koja ih
je proglasila povjerljivim, odnosno uprave. Kopija se numerira i o njenom izdavanju
vodi se evidencija kao i za original s kojeg je proizvedena.
Osoblje koje poslužuje uređaje za kopiranje treba obučiti i obavezati da odbiju
kopiranje povjerljivih dokumenata ukoliko nije ispoštovana propisana procedura.
Uništavanje povjerljivih informacija
Mediji koji sadrže povjerljive informacije ne bacaju se, već se uništavaju
metodom koja osigurava da se trajno i pouzdano uništi sadržaj (spaljivanjem,
usitnjavanjem, prešanjem).
Ukoliko se zastarjela i rashodovana računalna oprema daje na korištenje trećoj
strani, obavezno je uništavanje podataka sa diskova posebnim programom koji
nepovratno prebriše sadržaj diska.
Nepridržavanje
Zaposlenici i suradnici koji dolaze u dodir s klasificiranim informacijama
potpisuju izjavu o čuvanju povjerljivosti informacija. Protiv zaposlenika koji ne
poštuju pravila o čuvanju povjerljivih informacija bit će pokrenut stegovni postupa,
Dodatak A: Dokumenti ISMS-a u NKG
93
a može ih premjestiti na drugo radno mjesto na kojem neće dolaziti u dodir s
povjerljivim podacima.
S vanjskim suradnicima za koje se ustanovi da otkrivaju povjerljive informacije
razvrgnuti će se ugovor. Stoga ustanova treba već u ugovor unijeti stavke po
kojima je povreda povjerljivosti podataka dovoljan razlog za prekid ugovora.
3) Opis postupka kreiranja ISMS dokumentacije
Unutar NKG-a postoje 3 razine odlučivanja: administrator, Matematičko,
informatičko, astronomski aktiv (MIA aktiv), ravnatelj
Matematičko, informatičko, astronomski aktiv (MIA aktiv) je odgovorno za:
poticaj, prihvaćanje poticaja i potporu procesu dokumentiranja
sigurnosnih mjera
pribavljanje odobrenja i odluka o primjeni sigurnosnih dokumenata
osiguravanje suradnje tvrtki izvan škole čija je ekspertiza nužna za
kreiranje određenih vrsta dokumenata
odobrenja, procjene, odluke, usmjerenja i sl. nužne za kreiranje,
implementaciju i operativu dokumenata iz svoje poslovne nadležnosti.
Administrator i ostalo informatičko osoblje je obvezno i odgovorno za:
kreiranje prijedloga sigurnosnih dokumenata
iniciranje kreiranja nedostajućih dokumenata ili korekcije postojećih
implementaciju i operativu odobrenih dokumenata
praćenje usuglašenosti prakse i dokumentacije.
Ravnatelj kao odgovorna osoba u školi je odgovoran
za donošenje svih nužnih sigurnosnih dokumenata relevantnih za sustav.
4) Pravilnik o antivirusnoj zaštiti
Virusi i crvi predstavljaju opasnost za informacijske sustave, ugrožavajući
funkcioniranje mreže i povjerljivost podataka. Nove generacije virusa su izuzetno
složene i opasne, sposobne da prikriju svoju prisutnost, presreću unos podataka
Dodatak A: Dokumenti ISMS-a u NKG
94
na tipkovnici. Informacije poput zaporki ili povjerljivih dokumenata mogu slati
svome tvorcu nekamo na Internet, te otvoriti kriptiran kanal do vašeg računala,
kako bi hackeri preuzeli kontrolu nad njim. Stoga zaštita od virusa ne smije više
biti stvar osobnog izbora, već obaveza ustanove, administratora računala i svakog
korisnika.
Škola propisuje da je zaštita od virusa obavezna i da se provodi na nekoliko
razina:
Na poslužiteljima elektroničke pošte
Na internim poslužiteljima, gdje se stavlja centralna instalacija
Na svakom uredskom računalu korisnika
Administratori su dužni instalirati protuvirusne programe na sva korisnička
računala i konfigurirati ih tako da se izmjene u bazi virusa i u konfiguraciji
automatski propagiraju sa centralne instalacije na korisnička računala u lokalnoj
mreži, bez aktivnog sudjelovanja korisnika. Korisnici ne smiju samovoljno isključiti
protuvirusnu zaštitu na svome računalu. Ukoliko iz nekog razloga moraju
privremeno zaustaviti protuvirusni program, korisnici moraju obavijestiti sistem
inženjera.
Nepridržavanje
Korisnik koji samovoljno isključi protuvirusnu zaštitu na svom računalu, te na taj
način izazove štetu, bit će stegovno kažnjen.
5) Pravilnik o korištenju elektroničke pošte
Elektronička pošta dio je svakodnevne komunikacije, poslovne i privatne.
Komuniciranje e-poštom na školi se zahtijeva razmatranje svih aspektia
elektroničke komunikacije s obzirom na moguće posljedice.
Protokol koji se koristi za prijenos elektroničke pošte, SMTP ili Simple Mail
Transport Protocol, nije od samog početka dizajniran da bude siguran. Dodatne
probleme ponekad izazivaju i korisnici, koji nisu posve svjesni zamki pri korištenju
e-pošte. Stoga je potrebno odrediti moguće probleme koji mogu nastati pri
korištenju elektroničke pošte.
Dodatak A: Dokumenti ISMS-a u NKG
95
A. Nesigurnost protokola
Poruke putuju kao običan tekst, otvorene kao na razglednici, te ih je lako
presresti i pročitati, ili čak izmijeniti sadržaj.
Lako je krivotvoriti adresu pošiljatelja, tako da nikada nismo sigurni tko je
zapravo poslao poruku.
Protokoli za čitanje elektroničke pošte, POP i IMAP, u svom osnovnom
obliku šalju korisničko ime i zaporku kao običan tekst, pa ih je moguće
presresti i pročitati. Stoga je potrebno, kad god je to moguće, koristiti
kriptografiju, na primjer SSL za prijenos i PGP za skrivanje sadržaja.
B. Nezgode
Uvijek je moguće pritisnuti pogrešnu tipku ili kliknuti mišem na susjednu
ikonu. Time može nastati nepopravljiva šteta – ne može se
zaustaviti poruku koja je već otišla. Ako se umjesto Reply pritisne Reply
All, poruka će umjesto jednom primatelju otići na više adresa, a
povjerljive informacije dospjeti do neželjenih primatelja.
Česta je pogreška i odabir pogrešne adrese iz adresara.
Neki mail klijenti sami dovršavaju e-mail adresu koja se unosi. U žurbi se
može prihvatiti pogrešna adresa, slična onoj koja se zapravo želi.
C. Nesporazumi
Ljudi su skloni pisati e-mail poruke na ležerniji, opušteniji način. To može
dovesti do nesporazuma ako druga strana ne shvaća poruku na isti
način. Stoga službeni dopisi se pišu u službenom tonu.
Iza imena u e-mail adresi nalazi se ime škole. Pišući, treba biti svjestan
da netko može shvatiti privatnu prepisku kao službeni dopis, privatno
mišljenje kao službeni stav škole. Stoga u raspravi uvijek jasno treba
naznačiti kada je izneseni stav privatno uvjerenje.
D. Otkrivanje informacija
Poruke namijenjene jednoj osobi, začas se mogu proslijediti drugima, na
primjer na mailing listu. To se može dogoditi (zlo)namjerno, s ciljem da
se naškodi drugoj osobi ili tvrtki nemarom sudionika, koji ne traži dozvolu
Dodatak A: Dokumenti ISMS-a u NKG
96
za prosljeđivanje poruke slučajnom omaškom, na primjer nehotičnim
klikom mišem na pogrešnu ikonu (Reply All umjesto Reply).
Stoga poslovni dopise koji sadrže osjetljive informacije treba označiti kao
povjerljive, kako bismo primatelja obavezali na diskreciju.
U slučaju sigurnosnog incidenta, istraga može dovesti do otkrivanja
sadržaja poruka koje su zamišljene kao privatna komunikacija. Škola se
obavezuje čuvati povjerljivost takvih poruka, ali to ne može garantirati
ako poruke budu tretirane kao dokazni materijal u istrazi ili u mogućem
sudskom procesu.
E. Radna etika
Velika količina poruka koje treba svakodnevno pročitati može oduzeti
znatan dio radnog vremena. Stoga je potrebno ograničiti broj privatnih i
zabavnih poruka.
Lančane poruke koje ljudi šalju poznanicima mogu sadržavati lažne
informacije ili biti dio prijevare, s namjerom da se ljudima izvuče novac
("pomozite nesretniku kojem treba operacija", "otvorite račun kako bi
svrgnuti diktator mogao izvući novac iz nestabilne afričke države"...). Za
provjeru ovakvih poruka (engl. hoax) može se koristiti servis CARNet
CERT-a "Hoax recognizer".
Slanje neželjenih komercijalnih poruka, (eng. Spam) sve više opterećuje
promet na Internetu, te oduzima vrijeme, čak i u slučaju da se takve
poruka brišu bez čitanja. Škola će filtirati spam na poslužitelju
elektroničke pošte, ali je obaveza korisnika da sami ne šalju takve
poruke.
F. Povreda autorskih prava
Svaka poruka elektroničke pošte može se smatrati autorskim djelom,
stoga ona pripada osobi koja ju je poslala. Stoga za prosljeđivanje tuđe
poruke treba tražiti dozvolu njezina autora.
Prilozi koji se šalju uz elektroničke poruke mogu sadržavati autorski
zaštićene informacije, na primjer glazbu, filmove, članke itd. Primajući i
šaljući takve sadržaje korisnik izlaže sebe mogućoj tužbi ali i školu.
Dodatak A: Dokumenti ISMS-a u NKG
97
Zbog svega nabrojanog korištenje elektroničke pošte smatra se rizičnom
djelatnošću, te se korisnici obavezuju na pridržavanje određenih pravila:
Svim korisnicima (profesori, učenici, administrativno osoblje) se otvara
korisnički račun radi obavljanja posla.
Privatne poruke dozvoljene su u umjerenoj količini, ukoliko to ne ometa rad.
Za privatne potrebe mogu se koristiti za to namijenjene HR-F domene.
Pišući poruke, treba biti svjestan da se ne predstavlja samo sebe, već i
školu.
Pridržavajte se netikete (ftp://ftp.rfc-editor.org/in-notes/rfc1855.txt), pravila
pristojnog ponašanja na Internetu, službena e-mail adresa se ne koristiti za
slanje uvredljivih, omalovažavajućih poruka, ili za seksualno uznemiravanje.
Nije dozvoljeno slanje lančanih poruka kojima se opterećuju mrežni resursi i
ljudima oduzima radno vrijeme.
Svaka napisana poruka smatra se dokumentom, te na taj način podliježe
propisima o autorskom pravu i intelektualnom vlasništvu. Nemate pravo
poruke koju su poslane vama osobno proslijediti dalje bez dozvole autora,
odnosno pošiljatelja.
Sve poruke pregledati će automatski aplikacija koja otkriva viruse. Ako
poruka zadrži virus, neće biti isporučena, a pošiljatelj i primatelj će biti o
tome obaviješteni. Poruka će provesti određeno vrijeme u karanteni, odakle
ju je moguće na zahtjev primatelja izvući. Nakon određenog vremena,
obično mjesec dana, poruka se briše iz karantene kako bi se oslobodio
prostor na disku.
Škola zadržava pravo filtriranja poruka s namjerom da se zaustavi spam.
U slučaju istrage uzrokovane mogućim sigurnosnim incidentom, sigurnosni
tim može pregledavati kompletan sadržaj diska, pa time i poruke e-pošte.
Poruke koje su dio poslovnog procesa treba arhivirati i čuvati propisani
vremensko razdoblje kao i dokumente na papiru.
Dodatak A: Dokumenti ISMS-a u NKG
98
Procedura za dodjelu e-mail adrese
Pri zapošljavanju novog djelatnika administratora poslužitelja elektroničke pošte
je dužan u roku od sedam dana otvoriti korisnički račun.
Pri prestanku radnog odnosa, ravnatelj je dužan najkasnije u roku od sedam
dana zatražiti zatvaranje korisničkog računa.
Učenici imaju pravo besplatnog korištenja e-pošte za vrijeme trajanja
školovanja. Nakon odlaska iz škole njihov korisnički račun i dalje je aktivan, sve
dok to sam bivši učenik ne zatraži ili izgubi pravo korištenja.
Na koga se odnose pravila korištenja e-pošte?
Pravila za korištenje e-pošte odnose se na sve zaposlene, vanjske suradnike, i
učenike koji imaju otvoren korisnički račun na poslužitelju Ustanove.
Nepridržavanje
Protiv korisnika koji ne poštuju ova pravila škola može pokrenuti stegovni
postupak. U slučaju ponovljenih težih prekršaja, korisniku se može zatvoriti
korisnički račun i uskratiti pravo korištenja usluge elektroničke pošte.
6) Pravilnik o korištenju školskog foruma
Komuniciranje putem školskog foruma na školi zahtijeva da se razmotre svi
aspekti elektroničke komunikacije s obzirom na moguće posljedice za korisnike ili
školu, jer je forum javni servis.
Procedura za dodjelu korisničkog računa za školski forum
Pri zapošljavanju novog djelatnika administratora poslužitelja školskog foruma
je dužan u roku od sedam dana otvoriti korisnički račun.
Pri prestanku radnog odnosa, ravnatelj je dužan najkasnije u roku od sedam
dana zatražiti zatvaranje korisničkog računa.
Svaki učenik upisom u školu stječe pravo da mu se otvori korisnički račun.
Pravila:
Prije nego što se pomisli otvoriti novu temu treba pogledati po forumu
postoji li već neka slična.
Dodatak A: Dokumenti ISMS-a u NKG
99
Naslov tema treba napisati što podrobnije tako da se iz sadržaja (eng.
subjecta) teme može vidjeti o čemu se ovdje radi.
Linkovi i privici (eng.attachment) na virus i stranice nepočudnog sadržaja
strogo su zabranjeni.
Reklamiranje se dozvoljava samo u potpisu. Svaki post koji ima bilo kakav
sjedinjeni (enf. affiliate) link smatra se reklamom i bit će obrisan.
Reklamiranje putem osobnih poruka (PM-ova) *nije dozvoljeno*. Moderator
i administratori zadržavaju pravo da i neke druge postove ocijene
reklamama.
Treba poštovati sve članove foruma i ne vrijeđati ih. To uključuje širenje
lažnih informacija, izravno vrijeđanje drugih korisnika, korištenje nekulturnih
izraza i riječi ili nekih drugih oblika neetičkog ponašanja .
Ako se želi postaviti pitanje potrebno ga je smjestiti u pravom području
foruma i to SAMO JEDANPUT. Nužno je pročitati opise svakog foruma.
Svaki korisnik ima pravo na jedan korisnički račun. Korištenje više različitih
korisničkih računa nije dozvoljeno.
Davanje svojih korisničkih podataka drugoj osobi nije dozvoljeno i rezultirati
će brisanjem korisničkog računa.
Korištenje uvredljivih avatara (sličica koje predstavljaju članova) i potpisa
(eng. signaturea) nije dozvoljeno. Moderator zadržava pravo odrediti što je
prikladno, a što ne.
Suzdržavanje od odgovora koji se ne tiču teme (tzv. "offtopic" odgovora).
Uz ova OPĆA PRAVILA PONAŠANJA vrijede i dodatna pravila korištenja
pojedinih podforuma.
Kreiranjem korisničkog računa prihvaćaju se sva pravila ovoga foruma.
Prilikom registracije obavezno napisati ispravnu školsku adresu e-pošte (za
druge oblike registriranja potrebna je posebna dozvola administratora
foruma) i ostale podatke koji su obavezni.
Dodatak A: Dokumenti ISMS-a u NKG
100
Na koga se odnose pravila korištenja školskog foruma?
Pravila za korištenje školskog foruma odnose se na sve zaposlene, vanjske
suradnike, vanjske članove foruma, i učenike koji imaju otvoren korisnički račun na
poslužitelju škole.
Nepridržavanje
Korisnici koji se ne pridržavaju pravila školskog foruma prestaju biti anonimni te
škola protiv istih može pokrenuti stegovni postupak. U slučaju ponovljenih težih
prekršaja, korisniku se može zatvoriti korisnički račun i uskratiti pravo korištenja
usluge školskog foruma.
7) Pravilnik o rješavanju sigurnosnih incidenata
Svrha je ovog dokumenta da ustanovi obavezu prijavljivanja sigurnosnih
incidenata, te da razradi procedure za provođenje istrage.
Procedura prijave incidenta
Svaki zaposlenik, student, učenik ili suradnik škole dužan je prijavljivati
sigurnosne incidente, poput usporenog rada servisa, nemogućnosti pristupa,
gubitka ili neovlaštene izmjene podataka, pojave virusa itd.
Škola treba izraditi i održavati kontakt listu osoba kojima se prijavljuju problemi
u radu računala i servisa, te obrazac za prijavu incidenta. Kontakt listu treba
podijeliti svim zaposlenima i objaviti je na internim web stranicama škole.
Svaki incident se dokumentira. Uz obrazac za prijavu incidenta, dokumentacija
sadrži i obrazac s opisom incidenta i poduzetih mjera pri rješavanju problema.
Izvještaji o incidentima smatraju se povjerljivim dokumentima, spremaju se na
sigurno mjesto i čuvaju 10 godina, kako bi mogli poslužiti za statističke obrade
kojima je cilj ustanoviti najčešće propuste radi njihova sprečavanja, ali isto tako i
kao dokazni materijal u eventualnim stegovnim ili sudskim procesima.
Ozbiljniji incidenti prijavljuju se CARNet-ovom CERT-u, preko obrasca na web
stranici www.cert.hr
Procedure za rješavanje incidenata
Administratori smiju pratiti korisničke procese. Ako sumnjaju da se računalo
koristi na nedozvoljen način, mogu izraditi listu sadržaja korisničkog direktorija, ali
Dodatak A: Dokumenti ISMS-a u NKG
101
ne smiju provjeravati sadržaj korisničkih podatkovnih datoteka (na pr. dokumenata
ili e-mail poruka).
Daljnju istraga može se provesti samo ako je prijavljena Povjerenstvu za
sigurnost koje je uspostavljeno sigurnosnom politikom ustanove, uz poštivanje
slijedećih pravila:
Istragu provodi jedna osoba, ali uz nazočnost svjedoka kako bi se
omogućilo svjedočenje o poduzetim radnjama.
Prvo pravilo forenzičke istrage jest da se informacijski sustav sačuva u
zatečenom stanju, odnosno da se ne učine izmjene koje bi otežale ili
onemogućile dijagnosticiranje
Najprije se izrađuje kopija zatečenog stanja (na pr. na traku, CD...), po
mogućnosti na takav način da se ne izmijene atributi datoteka.
Dokumentira se svaka radnja, tako da se ponavljanjem zabilježenih akcija
može rekonstruirati tijek istrage.
O istrazi se izrađuje izvještaj, kako bi u slučaju potrebe mogli poslužili kao
dokaz u eventualnim stegovnim ili sudskim procesima.
Izvještaji o incidentu smatraju se povjerljivim dokumentima i čuvaju se na
taj način da im pristup imaju samo ovlaštene osobe.
Škola može objavljivati statističke podatke o sigurnosnim incidentima, bez
otkrivanja povjerljivih i osobnih informacija.
Procedure za Sankcije
Svrha je istrage da se odredi uzrok nastanka problema, te da se iz toga izvuku
zaključci o tome kako spriječiti ponavljanje incidenta, ili se barem bolje pripremiti
za slične situacije. Ako je uzrok sigurnosnom incidentu bio ljudski faktor, protiv
odgovornih se mogu poduzeti sankcije.
Škola može osobama odgovornim za sigurnosni incident zabraniti fizički pristup
prostorijama ili logički pristup podacima.
Ukoliko je incident izazvao zaposlenik vanjske tvrtke, škola može zatražiti od
vanjske tvrtke da ga se ukloni sa liste osoba ovlaštenih za obavljanje posla na
Dodatak A: Dokumenti ISMS-a u NKG
102
školi. U slučaju teže povrede pravila sigurnosne politike, škola može raskinuti
ugovor s vanjskom tvrtkom.
8) Pravilnik o rukovanju zaporkama
Prosječan korisnik nerijetko smatra kako ne mora brinuti o sigurnosti jer njegovo
računalo ne sadrži vrijedne informacije. No kompromitiranjem jednog osobnog
računala u lokalnoj mreži ili jednog korisničkog računa na poslužitelju napadač je
probio obrambenu liniju i otvorio prolaz za napade na važnije sustave i informacije.
Lanac puca na najslabijoj karici. Stoga je svaki korisnik dužan izborom zaporke i
njezinom povremenom promjenom doprinositi zaštiti ukupnog sustava.
Dok snaga računala neprestano raste, ljudske sposobnosti stagniraju. Današnja
računala mogu brzo dekriptirati jednostavne zaporke, dok u isto vrijeme većina
ljudi ne može pamtiti složene zaporke dugačke i po osam znakova.
Doseg
Svi zaposlenici škole, suradnici i učenici koji u svome radu koriste računala
dužni su pridržavati se ovih pravila korištenja zaporki, dok su ih administratori
dužni tehnički ugraditi u sve sustave koji to omogućavaju.
Pravila za korištenje zaporki
Minimalna dužina zaporke
Kratku zaporku lakše je probiti. Stoga se određuje da minimalna dužina
zaporke bude šest znakova, ali preporuča se korištenje dužih zaporki.
Ne koristiti riječi iz rječnika
Hackeri posjeduju zbirke rječnika, što im olakšava probijanje ovakvih
zaporki (tzv. dictionary attack).
Izmiješati mala i velika slova s brojevima
Na primjer: h0bo3niCa. Na prvi pogled besmislena i teška za pamćenje,
ova je zaporka izvedena iz riječi hobotnica. Polazište je pojam koji lako
pamtimo, ali onda po nekom algoritmu vršimo zamjenu znakova.
Ne koristiti imena bliskih osoba, ljubimaca, datume
Takve se zaporke lako otkriju socijalnim inženjeringom.
Dodatak A: Dokumenti ISMS-a u NKG
103
Trajanje zaporke
Promjena zaporke smanjuje vjerojatnost njezina otkrivanja. Neki korisnici
naizmjence koriste dvije standardne zaporke. Iako su dvije zaporke bolje
nego jedna, ipak se ovakvim trikovima izigrava osnovna svrha promjene
zaporki.
Tajnost zaporke
Korisnici su odgovorni za svoju zaporku i ni u kom je slučaju ne smiju otkriti,
čak ni administratorima sustava. Hakeri nastoje izmamiti zaporke lažno se
predstavljajući kao administratori. Pravi administratori imaju mogućnost
rješavanja probleme i bez poznavanja korisničkih zaporki.
Čuvanje zaporke
Zaporke se ne ostavljaju na papirićima koji su zalijepljeni na ekran ili
ostavljeni na stolovima, u nezaključanim ladicama itd. Korisnik je odgovoran
za tajnost svoje zaporke, te mora naći način da je sakrije. Ukoliko korisnik
zaboravi zaporku, administrator će mu omogućiti da unese novu.
Administriranje zaporki
Na računalima koja spadaju u zonu visokog rizika administratori su dužni
konfigurirati sustav na taj način da se korisnički račun zaključa nakon tri
neuspjela pokušaja prijave.
Administratori su dužni konfigurirati autentifikaciju tako da zaporke zastare
nakon 90 dana, te onemogućiti korištenje zaporki koje su već potrošene, ako
sustav to dozvoljava.
Prilikom provjere sustava sigurnosni tim može ispitati da li su korisničke
zaporke u skladu s navedenim pravilima.
Nepridržavanje
Korisnici koji se ne pridržavaju navedenih pravila ugrožavaju sigurnost
informacijskog sustava. Škola je obavezna odgojno djelovati i obrazovati korisnike
u kreiranju sigurnih zaporki.
U slučaju ponovljenog ignoriranja ovih pravila škola može stegovno djelovati ili
postaviti zaposlenika na radno mjesto na kojem je manja mogućnost ugrožavanja
integriteta i sigurnosti sustava i podataka.
Dodatak A: Dokumenti ISMS-a u NKG
104
9) Pravilnik o zaštiti od spama
Internetom putuje sve više neželjenih komercijalnih poruka, tzv. spam. Masovne
poruke elektroničke pošte najjeftiniji su način reklamiranja. Cijenu plaćaju korisnici
i tvrtke, jer čitanje i brisanje neželjenih poruka troši radno vrijeme i umanjuje
produktivnost. Dio neželjenih poruka nastoji uvući primatelja u kriminalne
aktivnosti, na primjer otvaranje računa za pranje novca, ili su prijevara, nastoje
pobuditi samilost kako bi se izvukao novac (enlg. hoax). Za prepoznavanje
ovakvih poruka korisnici mogu koristiti uslugu CARNet CERT-a Hoax recognizer.
Pravila za administratore
Administratori poslužitelja elektroničke pošte dužni su konfigurirati računala na
taj način da se što više neželjenih poruka zaustavi.
Prva mogućnost jest da se definira ulazni filtar koji će prilikom primanja poruke
konzultirati baze podataka koje sadrže popise poslužitelja koji su otvoreni za
odašiljanje (eng. open relay), te baza s adresama poznatih spamera. Pošta koja
dolazi s tako pronađenih adresa neće se primati.
Druga razina zaštite je automatska provjera sadržaja. Poslužitelj može poruke
koje su obilježene kao spam spremati na određeno vrijeme u karantenu.
Treću razinu zaštite određuju sami korisnici. Poruke dobivaju bodove koji
ukazuju na vjerojatnost da se radi o spamu. Kako nije uvijek moguće pouzdano
definirati što je spam, ovakva zaštita mora biti uvjetna, odnosno krajnjem korisniku
se prepušta uključivanje bodovanja i konfiguriranje preusmjeravanja označenih
poruka. Informatičar zadužen za sigurnost će obučavati korisnike i pomagati im pri
kreiranju filtara za obilježavanje, odvajanje ili uništavanje neželjenih poruka.
Pravila za korisnike
Korisnici ne smiju slati masovne poruke, bez obzira na njihov sadržaj.
Upozorenja na viruse su često lažna i šire zablude. Korisnici ne smiju radi
stjecanja dobiti odašiljati propagandne poruke koristeći računalnu opremu koja
pripada ustanovi.
Nepridržavanje
Protiv korisnika koji se oglušuju o pravila prihvatljivog korištenja i šalju masovne
neželjene poruke biti će pokrenut stegovni postupak.
Dodatak B: Inventura imovine NKG-a
105
Dodatak B: Inventura imovine NKG-aOrganizacija gdje se planira uvođenje ISMS-a je Nadbiskupska klasična
gimnazija sa sjedištem u Voćarskoj cesti 106.
Područje uvođenja ISMS-a je cijela škola, dok granicama ISMS-a se smatraju
svi procesi na području djelatnosti ove škole i njihova imovina, te dokumenti i
informacije izašle iz tih procesa. Sama granica se određuje uz postupak inventure
imovine i definiranja usluga i procesa preko intervjua.
Pod ISMS imovinom smatra se sva programska i sklopovska podrška, osoblje
unutar škole (profesori, učenici, uredsko osoblje), sve dostupne usluge i procesi,
kao i nastali dokumenti ili
bilo kakva ostala
informacija. (vidi slika 8)
Slika 8 Imovina ISMS-a
Ukoliko ne postoji popis, lista imovine, potrebno ju je preko postupka inventure
izraditi. Postupak inventure je potrebno minimalno jednom godišnje provoditi i
provjeravati točnost prikupljenih podataka.
U inventuru je dakako uključena samo „informatička imovina“ i vrši ju osoblje u
informatičkom timu. Ostala imovina potpada pod provođenje opće inventure za
koju je zadužen domar škole.
Lista „informatičke imovine“ se potvrđuje od strane ravnatelja ustanove.
Radne akcije vezana uz inventuru:
Popisuje se sve osoblje
Popisuju se sva programska podrška
Popisuju se svi procesi i dokumenti
Popisuju se sve dostupne usluge
Informacija
Osoblje
Lokacija
Dodatak B: Inventura imovine NKG-a
106
Popisuje sve sklopovlje koje se ne može preko programske podrške
detektirati
Provjerava se sklopovlje koje je detektirano od strane programske podrške
Uz svaku stavku se vežu datumi inventure, datumi početka primjene u radu.
Postavljaju se naljepnice sa barkod evidencijskim brojem (sklopovlje), vrši se
procjena vrijednosti, kao i detekcija problema (kvarovi, ugroze, itd.)
Uspostava programske podrške
Zbog što lakšeg detektiranja sklopovlja (naročito računala), ali i kasnijeg
nadzora i upravljanja i gledajući na ostale potrebe ISMS-a određena je upotreba
Web orijentiranih aplikacija pod GPL licencom.
U upotrebi su dvije aplikacije GLPI (www.glpi-project.org) za unos sve
„informatičke imovine“, praćenje rada, prijave sigurnosnih incidenata) i OCS
inventory NG (www.ocsinventory-ng.org) za detekciju uređaja u računalnoj mreži
kao i dodatak (eng. plugin) za povezivanje tih aplikacija. (vidi sliku 9)
Slika 9 - GLPI Baza podataka
Radne akcije za instaliranje i rad tih aplikacija su na engleskom jeziku i nalaze
se u sklopu tih web stranica. One se neće za sada prevoditi na hrvatski jezik.
Za OCS inventory NG -
http://prdownloads.sourceforge.net/ocsinventory/OCS_Inventory_NGInstallation
_and_Administration_Guide_1.9_EN.pdf.zip?download
Dodatak B: Inventura imovine NKG-a
107
Za GLPI –
http://www.glpi-project.org/spip.php?article61
1) Popis imovine NKG-a
Lista osoblja u koju se ubrajaju nastavnici, uredsko-administrativno osoblje
(uključujući i održavanje), učenici, zbog svoje veličine i sigurnosti nabrajanje imena
za potrebe ovog rada nije nužno potrebno. Za istaknuti je da profesora ima 52,
učenika ovisno o godini između 380-440, ostalog osoblja 14.
Licenciranje većine programa, (eng. software) je osigurano od strane
Ministarstva znanosti obrazovanja i športa.
Lista programske podrške:
2x MS Windows Server 2003
16x MS Windows XP Embedded (projekt e-učionice)
20x MS Windows XP Professional
3x Linux Debian distribucija (verzija 4.0)
22x MS Office 2003
Symantec Antivirus Corporate Edition 10 (poslužitelj i klijenti)
4x Nero Burning ROM
Ostali programi su najčešće uslužni pod freeware ili shareware licencama ,
poput Adobe Reader, php editora itd. Upotpunjenu listu dozvoljenih aplikacija
Administrator je dužan stalno ažurirati listu aplikacija i pratiti nadogradnje
aplikacija radi sprečavanja potencijalnih mogućih ugroza.
Sklopovska podrška - veći dio sklopovlja (računala) se detektirao preko OCS
Inventory NG, tj. sam program ima agente za Linux, Windows, Unix, Mac OS.
Naravno ostali dio sklopovlja kao što su projektori, pisači, fotokopirni uređaji, faks
uređaji, usmjerivači, preklopnici itd. nužno unose ručno u GLPI bazu.
Prilikom inventure izgrađuje se i shema računalne mreže vidi sliku . Ona će
poslužiti kao temelj analize sadašnjeg sustava, izrade popisa ranjivosti, popisa
prijetnje, odrediti rizik, tj. kod detektiranja rizika.
Dodatak B: Inventura imovine NKG-a
108
Slika 10. Shema računalne mreže
Napomena:
Za potrebe ovog rada shema računalne mreže je dovoljna, ali cjelovitija slika
računalne mreže je nužnost zbog prikupljanja dodatnih informacije kao npr. broj
priključnih mjesta (mrežnih utičnica) po razredima, fizički smještaj sklopovlja i
ostale informacije koje utječu na procjenu rizika.
Lista sklopovlja :
a) Preklopnici (switch)
Layer 2 upravljivi preklopnici
Cisco Catalyst 2950T 24 port 10/100 + 2 GB
3Com SuperStack 3 4200 24 port 10/100 + 2 GB)
Layer 2 neupravljivi preklopnici
24 port 10/100/1000 Asus GigaX1024P
2x 8 port 10/100/1000 Conceptronic
1x 8 port 10/100 Conceptronic
Dodatak B: Inventura imovine NKG-a
109
b) Usmjerivači
1x DSL modem Siemens T-Com
c) Wireless Lan oprema
2x AP Planet WAP 4000
d) Projektor
2x NEC NP4000
e) Pisači
1x Hp LaserJet 6p
1x Hp LaserJet P2015n
1x Samsung Samsung CLP-550N
1x Epson LQ-1170+
f) Računala
26x uredska računala
5x poslužitelj (eng. server) računala
16x tanki klijent
g) Ostali uređaji
1x fotokopirni stroj
1x faks uređaj
3x UPS (neprekidno napajanje)
h) Astronomija
1x teleskop
1x ST-7XMEI (kamera za teleskop)
3x Nagler okulara za teleskop (raznih dimenzija)
razni filtri i dodatna oprema za teleskop
2x uređaji za promatranje sunca
Lista usluga (servisa):
a) Informatičke usluge
DNS za vanjsku domenu www.nkg-zagreb.hr
WEB www.nkg-zagreb.hr
WEB e-pošta (eng. webmail)
AAI – LDAP imenički katalog
Dodatak B: Inventura imovine NKG-a
110
Forum NKG
Vatrozid – središnji na ulaznom usmjerivaču
Active Directory – za nutarnju domenu nkg.local i lokalni imenički
katalog
DHCP – za lokalnu mrežu
b) Ostale usluga unutar škole
Astronomija (promatranje svemira kroz teleskop)
Interaktivna nastava preko računala i projektora (nastava Fizike,
Kemije, Povijest, Biologija, Zemljopis)
Knjižnice (odvojeni prostori za profesore i učenike)
Procesi unutar NKG-a:
Računovodstvo – financijske transakcije, obrade plača i ostali slični
poslovi
Pedagog – pedagoška zapažanja učenika
Tajništvo – opći dokumenti
Ravnatelj – opći dokumenti
Novi procesi potrebni za uspostavu ISMS-a:
Upravljanje dokumentima (OpenDocMan)
Pronalaženje novih računala unutar računalne mreže i detekcija
sklopovlja (OCS inventory NG)
Popis imovine i nadzor iste (GLPI)
Lista incidenata:
problemi kvara sa tvrdim diskovima (eng. HDD)
problem više accounta (AAI, Active Directory, webmail)
problem kvara na bežičnom uređaju (eng. Wireless access point
problem kvara na matičnim pločama unutar računala
problem nestanka struje (slabi UPS uređaji)
problem skidanja nepoćudnog materijala s Interneta
problemi oko nemogućnosti ispisa dokumenta
zaboravljanje lozinki kod korisnika
problemi oko logiranja korisnika (velike korisničke profile-e)