politika informacione bezbjednosti
DESCRIPTION
Politika Informacione BezbjednostiTRANSCRIPT
1. UVODNE NAPOMENE
Informacija je podatak sa određenim značenjem,koji ima upotrebnu
vrijednostodnosno saznanje koje se može prenijeti u bilo kojem obliku (pisanom,
audio, vizualnom,elektronskom ili nekom drugom). Da bi se informacijama moglo
kvalitetno upravljati potrebno ih je na adekvatan način klasifikovati, precizno im
odrediti svrhu, vrijednost, dostupnost i ostale atribute. Vlasništvo nad informacijama i
njihova upotreba postali suključni za funkcionisanje države, privrede, javnih službi i
svakodnevni život građana.
Količina i vrijednost informacija u svakodnevnom životu i radu neprekidno
raste.Informacije su danas najvrjednija imovina svakog poslovnog sistema, njegov
intelektualni kapital. Nalaze se u različitim oblicima i na različitim medijima. U
postindustrijskom društvu dominantna vrijednost kompanija nije u njenim finansijskim
sredstvima već u znanju, ljudima i informacijama. Informaciona imovina danas čini
najveći dio vrijednosti organizacije. Kvalitetno upravljanje informacijama zahtijeva
upotrebu savremenih informaciono komunikacionih tehnologija. Brzi razvoj primjene
tih tehnologija uzrokuje i sve većemogućnosti napada na informacione sisteme i
zloupotrebu informacija. Upravo zato, informacije se moraju štititi i mogu ih koristiti
samo ovlašćeni korisnici.
Opasnosti za naše društvo koje proizvode kvarovi, zloupotrebe ili sabotaže
informacionih sistema danas mogu proizvesti mnogo veću štetu nego ikad ranije.
Postoje brojni i uglavnom dostupni izvori koji govore statistički o ovom problemu (FBI
CSI, SANS Institute i dr.). Lako je uočiti da je problem vrlo ozbiljan i da broj
novootkrivenih oblika ranjivosti informacionih sistema raste eksponencijalno. Dejstvo
spoljašnjih i unutrašnjih prijetnji na informacioni sistem može dovesti do neželjenih
posledica koje mogu ugroziticijelu društvenu zajednicu. Činjenica da ICT u današnje
vrijeme utiče na sve vidove života i rada logično proizvodi moguću opasnost
ponacionalnu bezbjednost. Ugrožavanje dolazi od zloupotreba ICT-a, prije svega
računarskih virusa, sajber kriminala, sajber terorizma, sajber špijunaže, zloupotrebe
ličnih podataka i drugih napada na informacije.
Sa porastom broja korisnika informacionih tehnologija nameće se potreba
rješavanja brojnih pitanja vezanih zainformacione bezbjednosti. Taj pojam se ne
odnosi isključivo natehničke mjere zaštite, već podrazumijeva i administrativne mjere
(bezbjednosna politika, pravilnici, procedure) i fizičke mjere (video nadzor, zaštita
prostorija, fizička kontrola pristupa). Kako bi informacioni sistem bio zaštićen na pravi
način, potrebno je uspješno uskladiti, implementirati i nadzirati sve potrebne mjere
zaštite.
Informaciona bezbjednost u savremenim uslovima postala je jedan od ključnih
faktora razvoja, zbog čega se uspostavljaju brojni standardikoji uključuju najbolju
praksu i preporuke o bezbjednom upravljanju informacijama. Standardi predstavljaju
smjernice za izradu bezbjednosne politike. Ponekad imaju uopšten sadržaj pa
samim tim ne odgovaraju specifičnim potrebama organizacija.
Bezbjednost informacionih sistema vrlo je kompleksna i široka tema.
Činjenica je da bez kvalitetnog programa bezbjednosti informacioni sistem nije
moguće u potpunosti zaštiti. Kvalitetan program omogućava uspostavljanje
bezbjednosti na svim kritičnim tačkama sistema, u bilo kojem segmentu
bezbjednosti, a jedan od najboljih programa za postizanje navedenog cilja jeste
kreiranje bezbjednosne politike.
2. PRIJETNJE INFORMACIONIM SISTEMIMA
Prijetnja po bezbjednost nekom informacionom sistemu je svaki događaj koji
može dovesti do narušavanja povjerljivosti, integriteta i raspoloživosti podataka.
Važno je napomenuti da svaka prijetnja i neovlašćeni pristup informacionom
sistemu, imaju različiteposljedice, npr. uništavanje podataka ili narušavanje
ispravnog rada cijelog informacionogsistema.
Postoji nekoliko podjela prijetnji informacionim sistemima. Pitanje je da li
svaka podjela dovoljno detaljno razmatra sve uslove i mogućnost nastanka štete na
informacionom sistemu. Važnost detaljne podjele je u pronalasku primjerenih načina
zaštite i standardizaciji podjele. Prema klasifikaciji NIST-a (NationalInstituteof
Standards andTechnology) prijetnje informacionim sistemima se mogu podijeliti na:
1. Greške i kvarove - ova prijetnja sečesto podcjenjuje, ali može nanijeti
značajnuštetu informacionom sistemu. Najčešći uzrok greškama i kvarovima su
ljudske radnje. Mogu ih prouzrokovati zaposleni, proizvođači programskih paketa ili
administratori informacionih sistema. Procjenjuje se da je gotovo 65% napada
prouzrokovano greškama i kvarovima.
2. Prevare i krađe- zlonamjerna aktivnost kojom napadač pokušava
stećifinansijsku ili neku drugu dobit. Prevare i krađe se mogu dogoditi aktivnostima
unutar (zaposleni) ili izvan (udaljeni napad) organizacije. Međutim, češći suslučajevi
aktivnosti prevare i krađe unutar organizacije. Na primjer, zaposleni ima pristup
određenim finansijskim podacima i lako može upravljati iznosima koje je potrebno
obraditi. Vrlo lako je navesti razloge zbog kojih se prevare i krađedogađaju češće od
strane zaposlenog nego udaljenim napadima:
zaposleni imaju pristup podacima i informacionom sistemu,
zaposleni znaju koje podatke sistem sadrži i koje su bezbjednosne
provjere, i zaposleni znaju koje su prilike za prevaru i krađu, te kolika je
vrijednost mogućeg plijena.
3. Sabotaže od strane zaposlenih-što je česta prijetnjabezbjednosti i
podacimainformacionog sistema. Kao što je već naglašeno, zaposleni imaju pristup,
tako da znaju u kojim djelovima sistema je moguće prouzrokovati najveću štetu. Ako
je u pitanju nezadovoljstvo zaposlenog, sabotaža je vrlo čest slučaj, bilo da se radi o
sadašnjem ili bivšem zaposlenom. Najčešći primjeri sabotaže su: fizičko
uništavanje djelova informacionog sistema,
postavljanje logičke bombe (logic bomb), tj. zlonamjernog programskog
koda čija je namjena izbrisati, premjestiti ili izmijeniti podatke,
namjerni unos neispravnih podataka, „rušenje“ informacionih sistema,
brisanje i uništavanje podataka,
krađa podataka i ucjena pod prijetnjom otkrivanja tih podataka široj
javnosti ili konkurenciji, ili namjerno mijenjanje podataka.
4. Gubitak fizičke i infrastrukturne podrške -je vrsta prijetnje koju nije moguće
upotpunosti provjeriti, ponekad ni spriječiti, a može nanijeti veliku štetu sistemima.
Takvi slučajevi mogu biti npr. prekid u napajanju električnom energijom, prekid
komunikacija, poplava, požar, zemljotresi, itd.
5. Napadače (hackers)-namećese kao najopasnija zbog razvoja Interneta
ikomunikacija, poslovanja i drugih aktivnosti putem Interneta. Napadačem se smatra
osoba koja svoj znanje koristi kako bi ugrozila bezbjednost računara ili podataka.
6. Zlonamjerne programe (malware) -vrsta prijetnje koja
narušavabezbjednostinformacionog sistema zlonamjernim programima poput crva,
virusa, trojanskih konja, logičkih bombi i drugih. Među najčešćim i najopasnijim
prijetnjama suvirusi, trojanski konji i crvi.
7. Otkrivanje privatnosti korisnika -postaje vrlo česta prijetnja s obzirom da
sveveći broj informacionih sistema sadrži veliki broj ličnih podataka korisnika.Primjeri
takvih ustanova su banke, državne institucije i sve veći broj kompanija.
Takođe, treba pomenuti i podjelu prema ISO/IEC 17799:2000 standardu
(Code ofPractice for Information Security Management) koji definišeispravne i
bezbjedne načineupravljanja nekim informacionim sistemom. Prijetnje su podijeljene
obzirom na uzroke nastanka:
prirodne katastrofe -sve pojave koje su nepredvidive ili ih je
nemogućeprovjeriti, npr. potresi, poplave, oluje, zagađenja, požari, itd.
tehnički uzroci -tehničke greške, kvarovi, komunikacijske greške,
različiti oblicizračenja, itd.
nenamjerne ljudske radnje -neposlušnost, kršenje pravila,
upotrebaneprimjerenih programa, itd.
Computer Security Institute (CSI) je naveo vrlo jednostavnu podjelu prijetnji,
uzevši poziciju prijetnje u odnosu na poziciju informacionog sistema, tj. prijetnje je
podijelio na unutrašnje ispoljašne. Unutašnjim prijetnjama smatraju se sve
namjerne i nenamjerneradnje korisnika koji imaju direktan pristup informacionom
sistemu. Spoljašnje prijetnje su definišu kao pokušaji nanošenja bilo kakvog oblika
štete udaljenim napadima ili ubacivanjem zlonamjernih programa u informacioni
sistem sa udaljenih lokacija.
3. STANDARDI INFORMACIONE BEZBJEDNOSTI
Uspostavljanje politike informacione bezbjednosti u organizaciji zahtijeva
primjenu standarda za bezbjednost informacionih sistema. Uspostavljanje
bezbjednosne informacione politike prema raspoloživim standardima obezbjeđuje
sve aspekte zaštite nekoginformacionog sistema. Na taj način se obezbjeđuje i
kvalitet uspostavljenih mjera informacione bezbjednosti.
Standardi iz ISO/IEC 27000 serije organizacijama pružaju smjernice za
izradu, primjenu i provjeru bezbjednosti informacionih sistema čime se
obezbjedjujepovjerljivost, integritet i raspoloživost informacionog sadržaja,
sistema i procesa unutar organizacije.
Ovi standardi su proizvod ISO/IEC JTC1 (Joint Technical Committee 1) SC27
(Sub Committee 27), ISO tehničkog tijela, koje preuzima najbolju praksu i standarde
iz oblasti informacione bezbijednosti i donosi ih kao međunarodne standarde.
Za područje bezbjednosti informacionih sistema najčešće se koriste sledeći
ISOstandardi:
ISO/IEC 27001 Information Security Management Systems Requirements
(Bivši standard BS 7799-2). Osnovni standard za ustanovljavanje, implementaciju,
kontrolu i unapređenje ISMS-a u organizaciji bilo koje vrste.
ISO/IEC 27002 Code of practice for Information Security Management (Bivši
standard ISO/IEC 17799). Standard sa smjernicama za sprovođenje bilo koje od 133
preporučane mjerezaštite (kontrole) i koristi se zajedno sa standardom ISO/IEC
27001.
ISO/IEC 27005 Information Security Risk Management (Nastao na bazi
standarda BS 7799-3).Standard koji detaljno opisuje na koji način treba sprovesti
procjenu i ovladati informacionim rizicima u bilo kojoj vrsti organizacije.
ISO/IEC 27006 Guide to the certificaion / registration process. Daje zahtjeve
za akreditaciju za sertifikaciona tijela koja sertifikuju ISMS prema ISO/IEC 27001
zahtjevima, navodi specifične zahtjeve za sertifikaciju i zajedno sa ISO/IEC 17021
predstavlja osnovni standard za akreditaciju.
ISO/IEC 27011 - Information Security Management Guidelines for
thetelecommunications industry (published by ISO/IEC in 2008 and also published
by the ITU as X.1051).U pripremi su sledeći standardi:
ISO/IEC 27003 -ISMS Implementation Guide Obezbeđuje uputstvo za
procesno orijentisani pristup i uspešnu primenu ISMS u skladu sa ISO/IEC 27001.
ISO/IEC 27004 - Information Security Management measurement Daje
uputsva i savete kako sprovesti merenja u cilju ocene efektivnosti ISMS.
ISO/IEC 27007 - A Guideline for Information Security Management
auditing Obezbjediće uputstva za interne i eksterne provjere ISMS i program
provjera u skladu sa standardom ISO/IEC 27001.
ISO/IEC 27008 -A Guideline for Information Security Management
auditing(focusing on the security controls)
Daje uputstva za ISMS metode i tehnike upravljanja rizikom kao podrška
ISO/IEC 27001
ISO/IEC 27013 -A Guideline on the integrated implementation of
ISO/IEC20000-1 and ISO/IEC 27001
ISO/IEC 27014 -An information security governance framework
ISO/IEC 27015 -Information security management guidelines for the finance
andinsurance sectors
ISO/IEC 27031 -A specification for ICT readiness for business continuity
ISO/IEC 27032 -A Guideline for cyber security (essentially, 'being a goodneighbor'
on the Internet
ISO/IEC 27033 -IT network security, a multi-part standard based on
ISO/IEC18028:2006
ISO/IEC 27034 -A Guideline for application security
3.1 ISO/IEC 27001
ISO/IEC 27001 standard (ISO/IEC 27001 Informacione tehnologije– Tehnike
zaštite-Specifikacije za sistem upravljanja informacionim sistemom) jeizrađen
2005.godine, a nastaoje na osnovu standarda BS 7799 (British Standards). Sadašnji
standard je pod revizijom, jer su se donošenjem novih standarda iz iste ISO/IEC
27000 serije, neka pravila preklopila. Kako bi se izbjegle zabune, očekuje se da će
ISO i IEC 2010. godine objaviti novu reviziju ovogstandarda.
ISO/IEC 27001 je službena grupa specifikacija na osnovu kojih organizacije
imaju pravo zatražiti postupak sertifikacije, naravno ukoliko su primijenile taj
standard na sistemupravljanja bezbijednosti informacija. Ovaj standard propisuje
zahtjeve za ustanovljavanje, implementaciju, kontrolu i unapređenje ISMS-a, sistema
za upravljanje bezbijednošću informacija. Standard je primjenjiv na sve vrste
organizacija (komercijalne, neprofitne, državne institucije, itd.) i sve veličine
organizacija, od malih pa do velikih svjetskihorganizacija.
Standard se sastoji od 5 dijelova:
1. Sistem za zaštitu informacija,
2. Odgovornost rukovodećih ljudi,
3. Unutrašnje provjere sistema za zaštitu informacija,
4. Provjera valjanosti sistema za zaštitu informacija,
5. Poboljšanja na sistemu za zaštitu informacija.
6. Takođe u standardu su navedeni ciljevi provjere koje je potrebno ostvariti i
provjere koje je potrebno sprovesti kako bi se ostvarili ti isti ciljevi.
Postoje institucije akreditovane za sertifikaciju prema ISO/IEC 27001
standardu, ali isto tako i velik broj organizacija koje su sertifikovale svoje
informacione sisteme prema
ISO/IEC 27001 standardu ili standardima pojedinih država. Sertifikacija je
stvar izbora organizacije, ali vrijedi spomenuti da poslovni partneri ponekad traže da
organizacija s kojom sarađuju ima sertifikat.
3.2 ISO/IEC 27002 (ISO/IEC 17799)
ISO/IEC 27002 standard je nastao na osnovu BS 7799-1 standarda. ISO/IEC
27002 je zvaničan standard, ali bolje ga je protumačiti kao skup smjernica koje je
moguće upotrijebiti. Trenutno ovaj standard je pod revizijom, kako bi se u budućnosti
mogao uskladiti sa izmijenjenim standardom ISO/IEC 27001. Standard sadrži 39
bezbjednosnih odredbi što ga čini vrlo detaljnim i temeljnim.
Suštinski, standard sadrži polazno poglavlje „Procjena i upravljanje ICT
rizikom“ sa 11 djelova u kojima su grupisane bezbjedonosne odredbe:
Struktura ISO/IEC 27002 standarda
Svaki od djelova sadrži određeni broj glavnih bezbjednosnih kategorija, a
podbezbjednosnim kategorijama navodi se cilj provjere koji je potrebno ostvariti i
provjere koje je moguće primijeniti radi ostvarivanja cilja. ISO/IEC 27002 sadrži i
predloge organizacijesistema za zaštitu informacija. U standardu nije naglašeno koje
specifične bezbjednosne provjere je potrebno raditi, već samo kako sistem za
upravljanje mora funkcionisati jer od svake organizacije se očekuje da sprovede
detaljnu procjenu rizika kako bi seodredile specifične potrebe prije izbora sistema
provjere, nemoguće je nabrojati sve moguće provjere u standardu za opštu primjenu.
6. PROCES USPOSTAVLJANJA BEZBJEDNOSNE POLITIKE
Organizacija može svoju politiku informacione bezbjednosti bazirati na
unaprijed izrađenim standardima, čime se uveliko smanjuju operativni troškovi i
vrijeme potrebno za sprovođenje iste. Bezbjednosnu politiku organizacije moguće je
izraditi samostalno, procjenom mogućih prijetnji informacionom sistemu, te
procjenom i zaštitom slabih tačakasistema. Ovaj proces je dugotrajniji i skuplji, ali
obezbjeđuje način zaštite koji potpuno odgovara potrebama organizacije. Iako se na
prvi pogled samostalna izrada bezbjednosne politike čini kao bolje rješenje,
preporučuje se izrada bezbjednosne politike organizacije nabazi standarda kako bi
se obratila pažnja na sve moguće prijetnje koje mogu ugroziti informacioni sistem.
Kao što je u poglavlju o standardima rečeno, bezbjednosna politika
organizacije može se zasnivati na ISO/IEC 27001 standardu. Međutim, potrebno je
pomenuti da ISO/IEC 27001 standard opisuje sve šta je potrebno napraviti, ali ne i
kako. Da bi se odgovorilo na pitanje kako, koristi se standard ISO/IEC 27002 kroz
potrebne smjernice. Upravo na bazi ovogstandarda opisan je proces uspostavljanja
bezbjednosne politike, tj. koraci i postupci koje je potrebno napraviti.
6.1 PROCJENA RIZIKA
Procjena rizika je bitan korak prilikom uspostavljanju bezbjednosti u informacionom
sistemu organizacije. Procjena rizika je usko povezana s definisanjem politike bezbjednosti.
Proces procjene rizika nije nimalo jednostavan, ali najlakše bi se mogao opisati kao
davanje odgovora (za svaku vrijednost koju organizacija posjeduje) na sljedeća četiri pitanja:
šta se može dogoditi (događaj prijetnje)?
ako se dogodi, kolika šteta može nastati (učinak
prijetnje)?koliko često se može dogoditi (frekvencija
prijetnje)? koliko su tačni odgovori na prva tri pitanja?
Odgovori na navedena pitanja mogu biti vrlo opsežni, lista onoga što bi trebalo da se
uradi je vrlo dugačka, zato je navedena četiri pitanja često potrebno proširiti sa još tri:
što se može
učiniti?koliko će učinjeno
koštati?da li je utrošeno
isplativo?
Odgovori na ova pitanja uravnotežuju potrebe i mogućnosti organizacija za
implementacijom bezbjednosnih kontrola. Kako bi se postigla ravnoteža potreba i
mogućnosti neke je rizike čak potrebno i prihvatiti. Rizik je prihvatljiv ukoliko je on vrlo
malen ili ukoliko su posljedice prihvatljive za organizaciju.
Dakle, pored osnove - upravljanja bezbjdenošću informacija, drugi važan dio sistema
je predstavlja upravljanje rizikom, odnosno uspostavljanje odnosa između ranjivosti,
potencijalnih prijetnji i posljedica, to jest uticaja na informacioni sistem.
Proces upravljanja rizikom sastoji se od sljedećih koraka:
identifikacije
resursa, analize
rizika,
tumačenja rezultata i preduzimanja odgovarajućih protivmjera.
6.1.1 Identifikacija resursa
Jedan od uslova za uspješno upravljanje bezbjednošću informacionog sistema jeste
identifikacija resursa koji su dio tog sistema. Bez precizne identifikacije resursa nije moguće
sprovesti njegovu kvalitetnu zaštitu.
Kroz proces identifikacije resursa potrebno je evidentirati sve resurse unutar
informacionog sistema te procijeniti njihovu relativnu vrijednost za organizaciju. Kako bi se
mogla odrediti vrijednost resursa za organizaciju, potrebno je poznavanje poslovnih procesa
koji se odvijaju u organizaciji. Na osnovu toga je kasnije u procesu upravljanja rizikom,
odnosno prilikom analize rizika moguće ocijeniti potreban nivo zaštite za svaki pojedini
resurs bitan za funkcionisanje poslovnih procesa unutar organizacije.
Kvalitetnom identifikacijom resursa nužno je postići sledeće
zahtjeve:ustanoviti vlasnike poslovnih procesa, odnosno odgovorne
osobe, identifikovati pojedine resurse bitne za funkcionisanje poslovnih
procesa, procijeniti vrijednost resursa,
ustanoviti njihovo fizičko ili logičko mjesto u
sistemu, napraviti odgovarajuću dokumentaciju.
U načelu, vlasnik procesa je taj koji bi morao da zna da procijeni vrijednost
resursabitnih za funkcionisanje poslovnih procesa, no u praksi to često i nije slučaj. To
ukazuje na probleme u organizaciji i u takvim slučajevima uspostvljanje sistema za
upravljanje informacionom bezbjenošću obično je jalov posao.
Podjelu resursa moguće je napraviti prema raznim pravilima. U informacionim
sistemima resurse je moguće podijeliti u sljedeće kategorije:
informacije (baze podataka, dokumentacija, autorska djela
itd.), programska podrška (aplikacije, operativni sisteni, razvojni
alati itd.),
oprema (računarska oprema, mrežno-komunikaciona oprema, mediji za
čuvanje podataka i ostala oprema nužna za rad informacionog sistema),
servisi (računarski i komunikacioni i uopšteno servisi kao što su
klimatizacija, osvjetljenje itd.).
Za svaki od identifikovanih resursa potrebno je napraviti procjenu njegove relativne
vrijednosti unutar sistema bez obzira u koju kategoriju pripada. Često se naglasak prilikom
upravljanja bezbjednošću informacionog sistema polaže na same informacije, dok su, na
primjer servisi zanemareni. Gubitak nekog od tih resursa može dovesti do narušavanja rada
sistema, pa čak i potpunog zastoja poslovnog procesa.
Resurse koji pripadaju različitim kategorijama moguće je klasifikovati na razne
načine. Obzirom na to da je u informacionom sistemu ipak najvažnija sama informacija,
potrebno je uspostaviti odgovarajući sistem podjele.
Unutar sistema su smještene informacije različitih vrijednosti za organizaciju: od
potpuno nevažnih do onih ključnih, pa i kritičnih. Cilj podjele informacija je
obezbjedanjenjihove odgovarajuće zaštite.
Uz procjenu rizika potrebno je odrediti kako postupati s rizicima. Mogući postupci
uključuju:
ugrađivanje odgovarajućih kontrola koje smanjuju rizik,
svjesno i objektivno prihvatanje rizika, udovoljavajući bezbjednosnoj
politici organizacije i kriterijumimama prihvatljivog rizika,
izbjegavanje rizika zabranama, tj. onemogućavanjem akcija koje
prouzrokuju rizik.
Za rizike čiji postupci uključuju implementaciju odgovarajućih kontrola, te kontrole
moraju biti odabrane i implementirane zadovoljavajući zahtjeve definisane procjenom rizika.
Kontrole moraju obezbijediti da su rizici dovedeni na prihvatljiv nivo
uzimajući u
obzir:
ograničenja i zahtjeve definisane nacionalnim i internacionalnim zakonima
i propisima,
ciljeve organizacije,
operativne potrebe i
ograničenja, cijenu
implementacije.
6.1.2 Analiza rizika
Analiza rizika je postupak kojem je cilj da se ustanove ranjivosti sistema, uočiti
potencijalne prijetnje (rizike) te na odgovarajući način kvantifikovati moguće posljedice kako
bi se mogao odabrati najprimjereniji način zaštite, odnosno procijeniti opravdanost uvođenja
dodatnih protivmjera.
Postoje dva osnovna pristupa analizi rizika:
Kvantitativna analiza;
Kvalitativna analiza.
Kvantitativna analiza podrazumijeva iskazivanje rizika u očekivanim novčanim
troškovima na godišnjem nivou, dok rezultat kvalitativne analize iskazuje samo relativan
odnos vrijednosti šteta nastalih djelovanjem neke prijetnje i uvođenja protivmjera.
Pritomvalja imati na umu da je ta procjena subjektivne prirode pa je stogapodložna greškama.
U načelu kombinacija kvantitativne i kvalitativne analize predstavlja pristup
primjeren za većinu organizacija. Čista kvantitativna analiza uglavnom se primjenjuje samo u
finansijskim institucijama poput banaka i osiguravajućih društava.
6.1.3 Tumačenje rezultata
Analizom rizika moraju se utvrditi sljedeće činjenice:
kritični resursi i prijetnje i vjerovatnost njihove
pojave,potencijalni gubici koje uzrokuje ostvarenje
prijetnje,
preporučene protivmjere i njihova vrijednost (relativna ili novčana),
nadzor i zaštita.
Na osnovu dobivenih rezultata potrebno je odlučiti kakve treba preduzeti protivmjere.
Postoje tri mogućnosti djelovanja koje nužno nijesu međusobno isključive:
smanjenj
e rizika, prenos
rizika,
prihvatanje
rizika.
Jedini važan parametar prilikom izbora načina djelovanja je isplativost zaorganizaciju.
Smanjenje rizika predstavlja proces u kojem se na temelju provedene analize rizika nastoje
sprovesti odgovarajuće protivmjere i uvesti bezbjednosni nadzor da bi se zaštitili resursi
organizacije. U tom postupku nastoji se smanjiti vjerovatnost prijetnje i(ili)njen uticaj na
organizaciju. Ukoliko se pokaže isplativijim, rizik je moguće prenijeti na treću stranu (na
primjer, osiguravajuće društvo). Isto tako moguće je da implementacija protivmjera ili
prijenos rizika nijesu isplativi. U tom slučaju organizacija može odlučiti da prihvati rizik,
odnosno troškove koji iz toga proizlaze.
Jedini pristup koji u upravljanju rizikom nije prihvatljiv je ignorisanje ili
zanemarivanje rizika. Upravljanje rizikom je stalan proces i odnos vrijednosti resursa,
ranjivosti i prijetnji sa vremenom se mijenja.
6.2 POLITIKA INFORMACIONE BEZBJEDNOSTI ORGANIZACIJE
Politikom informacione bezbjednosti organizacije uspostavlja se niz pravila i
smjernica dobijenih od strane rukovodećih ljudi organizacije kako bi se obezbijedila
povjerljivost, integritet i raspoloživost informacija. Da bi bezbjednosna politika bila efikasna
potrebno je tu politiku primijeniti na svaki dio organizacije.
6.2.1 Dokument bezbjednosne politike
Dokument politike informacione bezbjednosti je službeni dokument organizacije
imoraju ga odobriti vodeći ljudi unutar te organizacije. Dokument je potrebno objaviti i
poslatisvim zaposlenim i korisnicima. Bezbjednosnu politiku potrebno je napisati kako bi bila
razumljiva svim stranama kojih se tiče. Dokument bezbjednosne politike mora sadržati:
definicije bezbjednosti informacija, ciljeve i opseg i važnost bezbjednosti,
stavove rukovodioca kojima se podržavaju ciljevi i principi informacione
bezbjednosti,
okvire uspostavljanja ciljeva i provjera,
objašnjenje bezbjednosne politike, načela i standarda,
saglasnost sa zakonodavnim, nadzornim i ugovornim
zahtjevima, zahtjeve o edukovanju po pitanju bezbjednosti,
posljedice nepridržavanja pravila bezbjednosne politike,
definicije opštih i specifičnih odgovornosti rukovodioca informacione
bezbjednosti i
reference na literaturu koja podržava uvedenu bezbjednosnu politiku.
6.2.2 Provjera bezbjednosne politike
Pojavom novih prijetnji informacionim sistemima, ugradnjom nove opreme u
informacioni sistem, i drugim radnjama mijenjaju se parametri na kojima je uspostavljena
bezbjednosna politika. Kako bi postojeća bezbjednosna politika bila jednako efikasna kao i u
trenutku kada je uvedena, potrebno je uzeti u obzir promjene koje su se dogodile, te
prilagoditi pravila i procedure. Nastale promjene nijesu nužan uslov za poboljšanje
bezbjednosne politike. Bezbjednosnu politiku potrebno je prilagođavati na godišnjoj bazi čaki
ako se ni jedan parametar u okruženju organizacije nije promijenio jer je moguće da uvedena
bezbjednosna politika ne odgovara organizaciji u potpunosti. Provjeru bezbjednosne politike
preporučeno je izvoditi u razmaku od godinu dana, ali u slučaju incidenata, otkrivanja
ranjivosti i ugradnje nove opreme čak i češće. Provjera bezbjednosne politike ne uslovljava
nužno i promjenu, ali je potrebno uzeti nove okolnosti u obzir kako bi informacioni sistem
bio primjereno zaštićen.
Neke od činjenica koje treba uzeti u obzir pri provjeri bezbjednosne politike
su:rezultati nezavisnih ispitivanja,
promjene koje mogu pozitivno uticati na bezbjednost
informacija, promjene vezane uz ranjivosti i prijetnje
informacionim sistemima, izvještaje o bezbjednosnim incidentima
i
preporuke stručnih organizacija.
6.3 ORGANIZACIJA INFORMACIONE BEZBJEDNOSTI
Pri organizaciji informacione bezbjednosti potrebno je jasno odrediti sve
odgovornosti u skladu s bezbjednosnom politikom. Rukovodeći ljudi organizacije treba da
podržavaju efikasno sprovođenje bezbjednosne politike, i na propisan način kažnjavaju one
koji kršepravila. Takođe, bitno je ispravno koordinirati zaposlene kako bi sprovedena
bezbjednosnapolitika bila uspješna. Dalji koraci koji se preduzimaju pri organizaciji
informacione bezbjednosti su:
proces autorizacije - odnosi se na procjenu nivoa bezbjednosti nekog
dijelaopreme, npr. laptop-a.
ugovor o povjerenju - popisivanje vrijednostikoje organizacija posjeduje
na načinda se svako korišćenje dokumentuje sa ciljem zaštite vrijednosti od
kopiranja,uništavanja i zamjene od strane zaposlenih, partnera ili treće strane.
savjeti stručnjaka za informacionu bezbjednost- potrebno je savjetovati se
saorganizacijama koje se bave računarskom bezbjednošću kako bi se u slučaju
bezbjednosnih incidenata dobili primjereni savjeti i smjernice koje upućuju kako
djelovati.
saradnja s drugim organizacijama -održavanje kontakta sa
drugimorganizacijama zbog unapređenja znanja o bezbjednosti informacionih
sistema ili brzih obavještenja u slučaju bezbjednosnog incidenta.
provjera bezbjednosti sistema - potrebno je redovno provjeravati
bezbjednostinformacionog sistema zbog obezbjedjenja u smislu ispravnog
funkcionisanja sistema zaštite.
bezbjednost pristupa treće stane-održati jednaknivo bezbjednosti i
kodinformacija kojima treća strana ima pristup.
identifikacija rizika kod pristupa treće strane -prije dodjele prava pristupa
trećojstrani potrebno je provjeriti moguće rizike kako bi se informacioni sistem
primjereno zaštitio.
zahtjevi bezbjednosti u ugovorima s trećom stranom- ukoliko postoji
dogovor satrećom stranom koja ima pristup informacionom sistemu, potrebno je
formalnimdokumentom odrediti pravila zaštite koja su u skladu sa bezbjednosnom
politikom organizacije.
6.4 UPRAVLJANJE IMOVINOM
Kako bi se obezbijedila zaštita imovine organizacije potrebno je sprovesti
sljedeće
korake:
popis imovine - identifikacija imovine organizacije u svrhu procjene
vrijednosti ivažnosti, i shodno tome primjerenog nivoa zaštite.
vlasništvo nad imovinom -kako ne bi došlo do mijenjanja ili otuđivanja
imovine,potrebno je odrediti vlasnika, tj. osobu odgovornu za bezbjednost i zaštitu
imovine.
prihvatljivo korišćenje imovine - definisanje jasnih pravila
ispravnogkorišćenjaimovine kako ne bi došlo do gubitka informacija ili
bezbjednosnog incidenta.
klasifikacija informacija -primjena odgovarajućeg nivoazaštite na
informacije.
smjernice za klasifikaciju - klasifikacija se izvodi na osnovu
vrijednosti,osjetljivosti, važnosti za organizaciju i zakonodavnih okvira.
označavanje i rukovanje informacijama - definisanje procedura za
označavanje irukovanje informacijama, npr. procedure za kopiranje, snimanje,
prenos, itd.
6.5 ZAŠTITA OD ZAPOSLENIH
Zaposleni često rade nesvjesne greške, ali jednako tako i svjesne zlonamjerne radnje.
Kako bi se zaštitile informacije i imovina organizacije potrebno je uzeti u obzir sljedeće:
uloge i odgovornosti - potrebno je definisati uloge i odgovornosti
zaposlenih,radnika pod ugovorom i treće strane.
provjera -provjeravaju se potencijalni zaposleni, ulagači ili poslovni
partneri kakobi se povećala bezbjednost informacionog sistema.
uslovi zaposlenja -prije zapošljavanja ili ugovaranja posla sa ulagačima ili
trećomstranom potrebno je u ugovor uključiti dio koji sve strane obvezuje na
poštovanjebezbjednosne politike organizacije.
odgovornost rukovodioca - informisanje zaposlenih o ulogama i
odgovornostimau sprovođenju bezbjednosti.
edukacija o informacionoj bezbjednosti - zaposlenihili treće strane kako
bi sepostigli zadovoljavajući rezultati, tj. kako bi svi bili svjesni važnosti zaštite
informacionog sistema.
raskid ugovora - potrebno je jasno definisati procedure koje je potrebno
izvršiti poraskidu radnog odnosa, ili ugovora, tj. odrediti pravila o vraćanju
imovine organizacije koja je zaposlenom data na korišćenje, ukidanje prava
pristupa informacionom sistemu, itd.
6.6 FIZIČKA ZAŠTITA I ZAŠTITA OD OKOLINE
Cilj definisanja ovog poglavlja unutar bezbjednosne politike je sprječavanje
nastankafizičke štete od strane zaposlenih ili bilo kojeg pojedinca koji je s organizacijom
potpisaougovornu obavezu.
Potrebno je odrediti sljedeće:
područje fizičke zaštite - djelovi organizacije kojisadrže povjerljive
informacijemoraju biti zaštićeni nekom vrstom fizičke prepreke, npr. zidovima,
vratima,autentifikacijskim uređajima, itd,
fizička provjera ulaska - kako bi se obezbijediloda pravo pristupa
određenimprostorijama unutar organizacije imaju samo ovlašćene osobe, potrebno
je postaviti odgovarajuće metode provjere ulaska,
bezbjednost opreme -kako ne bi došlo do gubitaka, štete ili prekida
poslovnihaktivnosti potrebno je obezbijediti zaštitu primjerenu vrijednostima
organizacije,
smještaj i zaštita opreme -opremu je potrebno smjestiti u skladu sa
uputstvimaproizvođača opreme,
bezbjednost instalacija -kako ne bi došlo do oštećenjainformacionog
sistemapotrebno je voditi računa o ispravnosti instalacija u prostorijama
organizacije,
bezbjednost kod kabliranja - kablovi za napajanjeelektričnom energijom
ilitelekomunikacioni kablovi moraju biti zaštićeni u skladu s propisima, i
održavanje opreme - potrebno je redovnoodržavati opremu prema
uputstvimaproizvođača, a održavanje smiju raditi samo ovlašćene osobe.
6.7 UPRAVLJANJE KOMUNIKACIJAMA I OPERACIJAMA
Komunikacije i operacije (aktivnosti) organizacije su vrlo važni procesi. Stoga je
potrebno jasno definisati pravila upravljanja komunikacijama i operacijama. Područja koja je
potrebno obraditi su:
procedure rada i odgovornosti -potrebno je odrediti procedure i
odgovornosti zaispravno upravljanje i rad jedinica za obradu informacija čime se
smanjuje rizik od namjerne i nenamjerne greške,
dokumentovane procedure rada -operativne procedure moraju
bitidokumentovane, održavane i dostupne svim korisnicima kojima su potrebne,
nadzor promjena u operativnim sistemima i objektima -promjene vezane
uzobjekte i sisteme moraju biti provjerene,
razdvajanje dužnosti-postupak razdvajanja obveza i odgovornosti
zaposlenihkako bi se mogućnosti obavljanja neovlašćenih i neželjenih radnji svele
na minimum,
razdvajanje objekata za razvoj, ispitivanje i operativni rad -potrebno je
odvojitirazvojne i aktivnosti vezane za ispitivanje, isto kao i aktivnosti vezane uz
operativni rad. Npr. program koji se provjerava ili razvija može biti opasan za
ispravno funkcionisanje informacionog sistema, pa je potrebno odvojiti sisteme na
kojima se obavlja razvoj i ispitivanje od onih na kojima se radi,
planiranje i prihvatanje sistema -radi obezbjeđenja dostupnosti
potrebnihkapaciteta i računarskih i drugih resursa,
zaštita od zlonamjernih programa -potrebno je uvesti zaštitu koja će
odgovorneljude u organizaciji upozoriti da je informacioni sistem ugrožen
zlonamjernim programom kako bi se zaštitio integritet podataka,
provjere protiv zlonamjernih programa -ugraditi određene alate i mjere
koji ćeredovno pregledati da li u sistemu postoje zlonamjerni programi,
izrada bezbjednosnih kopija -potrebno je redovno izrađivati bezbjednosne
kopijepodataka radi očuvanja integriteta i raspoloživosti istih,
upravljanje bezbjednošću mrežnog sistema -potrebno je obezbijediti
zaštituinformacija koje mrežni sistem sadrži, te zaštititi sam mrežni sistem,
rukovanje i bezbjednost medija -potrebno je uspostaviti procedure za
zaštitudokumenata, računarskih medija i dokumentacije od krađe, neovlašćenog
pristupa, uništavanja, itd.,
upravljanje prenosnim medijima - uspostavljanje pravila za rukovanje
prenosnimmedijima i podacima koje sadrže,
uklanjanje medija -ukoliko višenijesu potrebni, mediji se moguuništiti, ali
naispravan način kako treća strana ne bi otkrila informacije koje medij sadrži,
procedure za rukovanje informacijama -odrediti pravila za ispravno
rukovanjeinformacijama kako bi se zaštitile od neovlašćenog otkrivanja i
zloupotrebe, razmjena informacija -obezbijediti zaštitu pri razmjeni podataka i
programaunutar organizacije ili izvan nje, i
nadgledanje -kako bi se pravovremeno uočile neovlašćene aktivnosti.
6.8 PROVJERA PRISTUPA
Važno je odrediti koji će korisnik imati pristup određenim informacijama. Stoga je
potrebno definisati sljedeće:
provjera pristupa u skladu s poslovnim zahtjevima -pristup informacijama
trebaodgovarati zahtjevima poslovnih dužnosti kako bi se spriječio neovlašćeni
pristup podacima,
politika provjere pristupa -potrebno je uspostaviti niz pravila kojima će
seodrediti nivo pristupa zaposlenih,
upravljanje pristupom korisnika -kako bi se spriječio neovlašćeni
pristupinformacijama,
registracija korisnika -uspostavljanje formalnog postupka registracije
radidobijanja prava pristupa višenamjenskim informacionim sistemima,
upravljanje privilegijama -potrebno je odrediti nivoe privilegija u
informacionomsistemu koje je potrebno obezbijediti zaposlenim,
upravljanje korisničkim lozinkama -potrebno je izraditi formalnu izjavu
kojomse korisnici obavezuju da dobijene lozinke čuvaju tajnim, i zabranu
odavanja lozinke tokom bilo kakvog oblika komunikacije (e-mailom, telefonom,
pismeno),
odgovornost korisnika -potrebno jepodstaćisvijest korisnika o
odgovornostivezanoj uz lozinke i opremu koja im je data na korišćenje radi
smanjenja mogućnosti neovlašćenog pristupa,
provjera pristupa mreži -potrebno je uspostaviti provjeru mrežnih servisa i
uslugakako bi se zaštitio mrežni sistem od nedozvoljenih aktivnosti,
provjera pristupa operativnom sistemu -kako bi se spriječio neovlašćeni
pristupračunarskim resursima potrebno je uspostaviti bezbjednosne mehanizme
unutaroperativnog sistema,
praćenje pristupa sistema-kako bi se pravovremeno uočili
pokušajinedozvoljenih aktivnosti potrebno je dokumentovati i provjeriti pristup
sistema,
bilježenje događaja -u slučaju pojavebezbjednosnog incidenta potrebno
jebilježiti prethodne aktivnosti u sistemu kako bi se moglo odrediti šta se
zapravodogodilo, i
praćenje upotrebe sistema-kako bi se obezbijedilo da korisnici sistema
izvodesamo one aktivnosti za koje su ovlašćeni potrebno je pratiti koliko i kako ga
koriste.
6.9 RAZVOJ I ODRŽAVANJE SISTEMA
Kako bi se obezbijedila dostupnost sistemu i njegovo funkcionisanje, potrebno je
održavati njegovu opremu. Takođe je potrebno definisati sve bezbjednosne zahtjeve koji se
nameću, uključujući niz postupaka za slučaj bezbjednosnih incidenata. Sve zahtjeve
jepotrebno dokumentovati.
Provjerom ulaznih podataka moguće je spriječiti namjerno ili nenamjerno unošenje
netačnih podataka. Provjera se može sprovoditi uzimajući u obzir:
nedozvoljene vrijednosti,
nedopuštene znakove u pojedinim
poljima, nepotpune podatke, ili
prekoračenje količine podataka za unos.
Najvažnija kategorija koju ovo poglavlje obuhvata je svakako provjera i održavanje
operativnog dijela sistema od kojeg se zahtjeva neprekidan i ispravan rad.
6.10 UPRAVLJANJE INCIDENTIMA U INFORMACIONOM SISTEMU
Svrha ovog poglavlja je dati smjernice na koji način u slučaju bezbjednosnog
incidenta brzo i efikasno djelovati. Takođe, potrebno je sve zaposlene edukovati kako bi znali
prepoznati da se radi o nekoj vrsti bezbjednosnog incidenta, te da odmah upozore nadležne.
Definisani su sljedeći koraci:
prijava bezbjednosnih incidenata -bezbjednosni incident potrebno je
prijavitiprema unaprijed određenoj proceduri u što kraćem vremenskom roku,
prijava ranjivosti sistema -po otkrivanju bezbjednosnog propusta
uinformacionom sistemu potrebno je prijaviti ranjivost u što kraćem vremenskom
roku,
upravljanje bezbjednosnim prijavama -potrebno je unaprijed definisati
procedureu slučaju bezbjednosnih incidenata ili ranjivosti kako bi se u što kraćem
vremenskom roku iste mogle riješiti, i
odgovornosti i procedure -potrebno je definisati procedure koje će
obuhvatitirazličite vrste učestalih bezbjednosnih incidenata, postupke koji će
sistem zaštititi od ponavljanja istog bezbjednosnog incidenta, i sačuvati i zaštititi
dokumentaciju o incidentu kako bi se upotrijebila kao dokaz u sudskom postupku.
6.11 UPRAVLJANJE POSLOVNIM KONTINUITETOM
Uslijed prekida rada u informacionom sistemu, organizacija može doživjeti znatne
financijske gubitke. Stoga je vrlo važno odrediti:
proces upravljanja kontinuitetom poslovanja -organizacija se mora
suočiti srizicima poslovanja i biti spremna primjereno reagovati ukoliko se dogodi
incident koji može prouzrokovati zastoj u poslovanju,
kontinuitet poslovanja i analiza učinka -potrebno je identifikovati i
analiziratidogađaje, tj. incidentne situacije, koji mogu prekinuti poslovni proces te
definisatiplan za kontinuirano poslovanje organizacije,
ispitivanje i održavanja -potrebno je kontinuirano sprovoditi ispitivanja
kako bise pravovremeno otkrili propusti uslijed promjena u sistemu,
identifikacija rizika -potrebno je odrediti potencijalne prijetnje
informacionomsistemu organizacije,
analiza rizika -potrebno je odrediti koje je mjere moguće primijeniti kako
bi sesmanjili rizici kojima je izložen informacioni sistem,
prirodne katastrofe -primjena provjera za minimiziranje štete nastale
prirodnimkatastrofama (zemljotresi, poplave, požari, itd.) i
korisnici - potrebno je preduzeti sve mjere zaštite i opreza kako
korisnicisistemane bi mogli prouzrokovati prestanak ispravnog rada
informacionog sistema.
6.12 USKLAĐIVANJE
Važno ja da su bezbjednosna politika i pravila koja se primjenjuju na
informacionisistem neke organizacije usklađena sa zakonskim i ugovornim zahtjevima. Zbog
toga je potrebno uspostaviti pravila vezana uz:
intelektualno vlasništvo, autorska prava -potrebno je definisati
odgovarajućapravila koja će biti u skladu sa zakonskim odredbama koje su vezane
uz ugovore ointelektualnom vlasništvu i autorskim pravima,
čuvanje zapisa organizacije-zapise je potrebo primjereno zaštititi od
gubitka,oštećenja i krivotvorenja,
sprečavanje zlouporabe uređaja za obradu informacija -korišćenje
računarskihresursa u neposlovne ili neovlašćene svrhe potrebno je dokumentovati
kao neprimjereno, i
nadgledanje korisnika -ukoliko zakon tako nalaže, korisnike je
potrebnoobavijestiti o pravilima o nadgledanju.
Politika informacione bezbjednosti
7. ZAKLJUČAK
Usvajanjem Politike informacione bezbjednosti sa mandatom na najširu
društvenuzajednicu, Zakona o informacionoj bezbjednosti,međunarodnih standarda iz serije
ISO/IEC27000, Uredbe o mjerama informacione bezbjednosti i pravilnika o standardima za
pojedine oblasti, uz već usvojeni Program informacione bezbjednosti u Crnoj Gori i zakona
kojima se uređuje tajnost podataka, elektronska trgovina, elektronski potpis, elektronski
dokument, arhivsko poslovanje, krivični postupak, Crna Gora u potpunosti pravno uredjuje
ovu oblast.
Poštujući preporuke i najbolju praksu, utemeljenu na međunarodnim standardima
prilikomizrade navedenih propisa, stvara se ICT platforma neophodna za saradnju sa svim
relevantnim faktorima iz okruženja, u prvom redu sa EU i NATO. Saradnja bazirana na
povjerenju koje je normirano i realizovano u svim segmentima informacionog društva ima
perspektivu kontinuiranog razvoja i dobrobiti i za građane i za državu.
Činjenica da informaciona bezbjednost, kao dio ukupne nacionalne bezbjednosti, sve
više dobija na značaju nameće potrebu njenog daljeg razvoja, kako u teorijskom, tako i u
praktičnom smislu. U Crnoj Gorine postoji dovoljno razvijena svijest o
informacionojbezbjednosti, kao ni organizovana redovna edukacija bilo kojeg nivoa.
Podizanje svijesti opotrebi i neophodnosti uvođenja informacione bezbjednosti, kao i njeno
izučavanje kroz sistem redovnog visokoškolskog obrazovanja ima važnu ulogu u daljem
razvoju informacionog društva. S obzirom na kompleksnost, višeslojnost i
interdisciplinarnost, obučenost u sferi informacione bezbjednosti podrazumijeva određeni
fond tehničkih, upravljačkih i specijalističkih znanja. Sa svakim novim dostignućem u oblasti
informacionih tehnologija javljaju se novi aspekti informacione bezbednosti što mora biti
propraćeno naučno istraživačkim radom.
Ova politika informacione bezbjednosti u sebi sadrži i edukativnu komponentu. Na taj
način se htjelo ukazati da svaka organizacija u Crnoj Gori mora shvatiti neophodnost ipotrebu
realizacije sopstvene politike informacione bezbjednosti. Da bi se te politike mogle
realizovati neophodno je, paralelno sa normativnim uredjivanjem ove oblasti, raditi na
programima koji će u narednom periodu podići ukupnu svijest i kreirati neophodnu
kadrovsku i naučnu infrastrukturu. Planiranjem mjera i aktivnosti, ohrabrivanjem stručnog i
naučnog rada, organizovanjem stručnih debata, sistemskom promocijom novih tehnologija i
metoda informacione bezbjednosti, kao i ažuriranjem propisa, obezbijediće se uslovi za
brzo i kvalitetno priključenje Crne Gore razvijenom svijetu, a time i uslovi za poboljšanje
ukupnogkvaliteta života.
POJMOVI
Skup povezanih informacionih resursa namijenjenih
za
Informaciona
tehnologija (IT)
upravljanje informacijama – skladištenje, obradu,
prenos
i dijeljenje informacija.
Informaciono-
komnikaciona
Savremeni termin koji označava napredne
informacione i
komunikacione resurse za upravljanje i razmjenutehnologija
(ICT)
informacija.
Informaciona
bezbijednost
Zaštita povjerljivosti, integriteta i raspoloživosti
informacije.
Entitet bilo koje veličine ili složenosti koji djeluje
Organizacija samostalno ili kao dio veće organizacione cjeline
(privredni subjekat, državni organ, NVO, ...)
Osmišljeni način – metod da se namjerno iskoristi
neka
Izvor prijetnje
slabost ICT resursa / sistema. Određen je
motivacijom i
drugim karakteristikama.
Prijetnja
Potencijal (mogućnost) izvora prijetnje da ugrozi
ili uništi
integritet, povjerljivost i / ili raspoloživost
informacije.
Slabost, mana ili nedostatak kontrole u ICT sitemu
koji
Ranjivost
omogućava pojavu prijetnje informacijama,
servisima ili
drugim ICT resursima.
Veličina sa kojom se izražava odnos između
vjerovatnoće
Rizik (ICT rizik)
da će neka ranjivost ICT sistema biti uspješno
iskorišćena
od strane prijetnje i odgovarajućeg negativnog
uticaja
(štete) na sistem.
Pozitivni pristup prema potrebi korisnika da ima
pravo
Princip Need-To-Know
pristupa, upoznavanje sa ili posjedovanje
informacija koje
su mu potrebne za vršenje službene dužnosti
odnosno
obavljanje zadataka.
Raspoloživost
informacije
Osobina da je informacija pristupačna i upotrebljiva
na
zahtjev ovlašćenog korisnika ili entiteta.
Integritet informacije
Osobina da informacija nije izmijenjena ili uništena
na
nedozvoljen način.
Povjerljivost
informacije
Osobina da informacija nije dostupna odnosno da se
ne
otkriva neovlašćenim korisnicima ili entitetima.
COMPUSEC Bezbijednost podataka na računarima.
COMSEC Bezbijednost podataka u prenosnim sistemima.
INFOSEC Bezbijednost informacionih sistema.
TEMPEST
Skup standarda kojima se propisuju mjere zaštite od
elektromagnetnog prisluškivanja elektronske
opreme.
Bezbjednost informacione infrastrukture u
posebnim
TECSEC
kategorijama prostora od različitih vrsta pasivnog
ili
aktivnog prisluškivanja