Uputstvo za seminarski rad

Primena standrada za upravaljanje informacionom bezbednou

Univerzitet u Beogradu

Fakultet organizacionih nauka

Laboratorija za elektonsko poslovanjePrimena standarda SRPS ISO/IEC 27001:2011 za upravljanje informacionom bezbednouSeminarski rad iz Elektronskog poslovanja Nastavnik: Zorica Bogdanovi

Saradnik: Aleksandar Mili

Student:

Beograd, 2014.SADRAJ1.UVOD42.Sigurnost informacija52.1.Sigurnost informacija52.2.Ocenjivanje rizika po sigurnosti62.3.Polazna taka u sigurnosti informacija72.4.Ktritini faktori uspeha72.5.Izrada sopstvenih smernica i uputstava82.6. Definicije83.Kontrola pristupa113.1.Upravljanje pristupom korisnika113.2.Odgovornost korisnika11Korienje lozinke11Nenadgledana korisnikova oprema12Politika praznog stola i praznog ekrana133.3.Kontrola pristupa na mrei14Politika korienja mrenih usluga14Provera verodostojnosti korisnika za spoljne prikljuke15Indetifikovanje opreme u mreama16Zatita prikljuka za daljinsku dijagnostiku i konfigurisanje16Razdvajanje u mreama17Kontrola povezivanja na mreu18Kontrola preusmeravanja u mrei183.4.Kontrola pristupa operativnom sistemu19Procedure za sigurno prijavljivanje19Indetifikovanje i utvrivanje verodostojnosti korisnika20Sistem za upravljanje lozinkama21Korienje pomonih funkcija sistema22Vremensko ogranienje trajanja sesije22Ogranienje trajanja povezivanja233.5.Kontrola pristupa aplikacijama i informacijama23Ogranienje pristupa informacijama24Izdvajanje osetljivih sistema243.6.Mobilno raunarstvo i rad na udaljenosti25Mobilno raunarstvo i komunikacije25Rad na udaljenosti264.CASE STUDY294.1.Studija sluaja Fredrickson International294.2.Studija sluaja SVM Europe31Zato sertifikacija?32Implementacija32Koristi335.Zakljuak346.Literatura35

1. UVODInformacije predstavljaju jedan od najvanijih poslovnih resursa u savremenom poslovanju. Informacija predstavlja podatak sa odreenim znaenjem, moe biti tampana ili napisana na papiru, memorisana elektronski, prenesena potom ili elektronskim putem, prikazana na korporacijskom web sajtu, verbalna - izgovorena u konverzaciji, ili u vidu znanja - kao vetine zaposlenih. Informacije moraju biti adekvatno zatiene, bez obzira u kom obliku se uvaju.

Sigurnost informacija se ostvaruje uvoenjem pogodnog skupa kontrola, koje mogu biti politika, praksa, procedure, organizacione strukture i softverske funkcije. Sigurnosne mere ukljuuju mehanizme i procedure koje se implementiraju u cilju odvaranja, prevencije, detekcije i opravke od uticaja od incidentnih dogaaja a koji deluju na poverljivost, celovitost i raspoloivost podataka i odgovarajuih servisa i resursa, ukljuujui izvetavanje o sigurnosnim incidentima. Sigurnost informacija je ustvari proces upavljanja rizikom. Upravljanje rizicima treba da bude stalan i kontinuiran proces poto su rizici sami po sebi promenljivi, a sa druge strane stalno se generiu novi kao odraz promenljivog okruenja u kome organizacija ostvaruje svoju misiju. To znai da je neophodno da se periodino preispituju rizici, kao i pretnje i slabosti informacionih resursa. Ovo je upravo ono na emu se bazira menadzment za sigurnost informacija - ISMS.

ISO/IEC 27001 je deo rastue ISO/IEC 27000 serije standarda, a nastao je na osnovu standarda BS 7799 (British Standards). Objavljen je u oktobru 2005. od strane meunarodne organizacije za standardizaciju (ISO) i meunarodne elektrotehnicke komisije (IEC). Pun naziv je ISO/IEC 27001:2005 - Informaciona tehnologija Sigurnosne tehnike - Sistemi upravljanja informacione sigurnosti - Zahtevi, ali je obino poznat kao "ISO 27001". Namenjen je da se koristi zajedno sa ISO/IEC 27002 (Kodeks prakse za informisanje uprave bezbednosti), koji izlistava listu sigurnosnih kontrolnih ciljeva i preporuuje niz specifinih bezbednosnih kontrola. Ovaj standard propisuje zahteve za ustanovljavanje, implementaciju, kontrolu i unapreenje ISMS-a, sistema za upravljanje bezbednou informacija. Standard je primenjiv na sve vrste organizacija (komercijalne, neprofitne, dravne institucije, itd.) i sve veliine organizacija, od malih pa do velikih svetskih organizacija.

Standard ISO/IEC 27001 se sastoji od 5 delova i to od:

1. Sistem za zatitu informacija,

2. Odgovornost rukovodeih ljudi,

3. Unutranje provere sistema za zatitu informacija,

4. Provera valjanosti sistema za zatitu informacija,

5. Poboljanja na sistemu za zatitu informacija.2. InformacijeInformacije predstavljaju odreenu imovinu koja je, kao i druga vana poslovna imovina, od sutinskog znaaja za poslovanje neke organizacije i stoga je potrebno da se ona odgovarajue zatiti. Ovo je posebno vano u rastuem uzajamno povezanom poslovnom okruenju. Kao rezultat ove rastue uzajamne povezanosti, informacije su sada izloene rastuem broju i irem mnotvu pretnji i ranjivosti (videti takoe Smernice OECD-a za sigurnost informacionih sistema i mrea).

Informacije mogu postojati u mnogo oblika. One mogu biti odtampane ili ispisane na papiru, uskladitene u elektronskom obliku, mogu se slati potom ili primenom elektronskih sredstava, prikazati na filmovima ili izrei u razgovoru. Bilo koji oblik da informacije imaju, ili sredstva preko kojih se one zajedniki koriste ili na kojima se uvaju, one uvek treba da budu odgovarajue zatiene.

Sigurnost informacija predstavlja zatitu od irokog opsega pretnji kako bi se osigurao kontinuitet poslovanja, rizik u poslovanju sveo na najmanju moguu meru i uveao prihod od investicija i povoljnih poslovnih prilika.

Sigurnost informacija se postie implementacijom pogodnog skupa i kontrola, ukljuujui politike, procese, procedure, organizacione strukture, kao i softverske i hardverske funkcije. Ove kontrole treba uspostaviti, implementirati, nadgledati, preispitivati i poboljavati onda kada je to neophodno, kako bi se u organizaciji osiguralo ispunjavanje specifinih sigurnosnih i poslovnih ciljeva. Ovo treba raditi u sprezi sa drugim procesima upravljanja poslovanjem.[5]

Slika 1. Informacije u organizaciji2.1. Sigurnost informacija

Informacije i procesi podrke, sistemi i mree predstavljaju vanu poslovnu imovinu. Definisanje, ostvarivanje, odravanje i poboljavanje sigurnosti informacija mogu imati presudni znaaj za odranje na granici konkurentnosti, gotovinskih tokova, isplativosti, pravne usklaenosti i poslovnog ugleda.

Organizacije i njihovi informacioni sistemi i mree suoavaju se sa pretnjama po sigurnost iz irokog opsega izvora, ukljuujui prevare uz korienje raunara, pijuniranje, sabotae, vandalizme, poare ili poplave. Uzroci tete, kao to su maliciozni kod, provaljivanje u raunare i otkaz usluga, postali su ei, ambiciozniji i usavreniji.

Sigurnost informacija podjednako je vana za poslovanje u javnom i u privatnom sektoru, kao i za zatitu kritinih infrastruktura. U oba sektora, sigurnost informacija funkcionie kao mehanizam koji omoguuje npr. da se ostvari elektronska uprava ili elektronsko poslovanje, a da se izbegnu ili umanje odgovarajui rizici. Meusobno povezivanje javnih i privatnih mrea i zajedniko korienje informacionih resursa oteava ostvarivanje kontrole pristupa.

Trend ka distribuiranom radu raunara oslabio je i efikasnost centralne, specijalizovane kontrole.

Mnogi informacioni sistemi nisu projektovani tako da budu sigurni. Sigurnost koja se moe ostvariti tehnikim sredstvima je ograniena i treba da bude podrana odgovarajuim upravljanjem i procedurama. Identifikovanje kontrola koje treba postaviti zahteva paljivo planiranje i obraanje panje na detalje. Za upravljanje sigurnou informacija kao minimum se zahteva uee svih zaposlenih u organizaciji. To moe takoe zahtevati uee deoniara, isporuilaca, treih strana, korisnika ili drugih spoljnih strana. Takoe mogu biti potrebni saveti specijalista eksternih strana. [2]

Slika 2. Sigurnost informacijaUspostavljanje zahteva za sigurnostSutinsko je da organizacija identifikuje svoje zahteve za sigurnost. Postoje tri glavna izvora zahteva za sigurnost.

1.Prvi izvor se dobija na osnovu ocenjivanja rizika po organizaciju, uzimajui u obzir ukupnu poslovnu strategiju i ciljeve organizacije. Kroz ocenjivanje rizika identifikuju se pretnje po imovinu, vrednuju se ranjivost i verovatnoa njihovog pojavljivanja i predviaju se mogue posledice.2.Drugi izvor ine zakonski, statutarni, propisani i ugovorni zahtevi koje neka organizacija, njeni trgovinski partneri, ugovarai i davaoci usluga moraju da zadovolje, kao i njihovo socijalno-kulturno okruenje. 3.Sledei izvor ini poseban skup principa, ciljeva i poslovnih zahteva za obradu informacija koje je neka organizacija razvila za podrku svom radu.2.2. Ocenjivanje rizika po sigurnostiZahtevi za sigurnost identifikuju se metodikim ocenjivanjem rizika po sigurnost. Trokovi kontrola treba da su u ravnotei sa tetom u poslovanju koja bi mogla nastati kao rezultat otkaza sigurnosti. [2]

Rezultati ocenjivanja rizika pomoi e u voenju i utvrivanju odgovarajue akcije menadmenta i prioritete kod upravljanja rizicima po sigurnost informacija, kao i za implementaciju kontrola izabranih da bi titile od tih rizika.

Ocenjivanje rizika potrebno je ponavljati periodino kako bi se obuhvatile izmene koje bi mogle uticati na rezultate ocenjivanja rizika. Kada su zahtevi za sigurnost i rizici identifikovani, kao i kada su donete odluke o postupanju sa rizicima, treba odabrati i implementirati odgovarajue kontrole kako bi se osiguralo da se rizici smanje na prihvatljiv nivo. Kontrole se mogu odabrati na osnovu ovog standarda ili iz drugih skupova kontrola, ili se mogu projektovati nove kontrole kao odgovarajue da bi se zadovoljile specifine potrebe. Izbor sigurnosnih kontrola zavisi od odluka same organizacije zasnovanim na kriterijumima za prihvatljivost rizika, opcijama postupanja sa rizicima, kao i na optem pristupu upravljanju rizicima koji organizacija primenjuje, a treba takoe da podlee svim odgovarajuim nacionalnim i meunarodnim zakonima ili propisima.Neke od kontrola iz ovog standarda mogu se kod upravljanja zatitom informacija smatrati za vodee principe upravljanja sigurnou i kao primenljive u veini organizacija. One su detaljnije objanjene u daljem tekstu pod naslovom "Polazna taka u sigurnositi informacija".2.3. Polazna taka u sigurnosti informacija

Mnoge od kontrola mogu se smatrati dobrom polaznom takom za implementaciju sigurnosti informacija. One se zasnivaju ili na sutinskim pravnim zahtevima ili se smatraju za ustaljenu praksu u sigurnosti informacija.

Kontrole koje se smatraju sutinskim za neku organizaciju sa zakonske take gledita obuhvataju, u zavisnosti od primenljivih zakona: [2]

a) zatitu podataka i tajnost informacija o linosti;

b) zatitu zapisa organizacije;

c) zatitu prava intelektualne svojine;Kontrole koje se smatraju uobiajenom praksom u sigurnosti informacija obuhvataju:

a) dokument o politici sigurnosti informacija;

b) raspodelu odgovornosti za sigurnost informacija;

c) upoznavanje, obrazovanje i obuku o sigurnosti informacija;

d) ispravnu obradu u aplikacijama;

e) menadment tehnikom ranjivou;

f) upravljanje kontinuitetom poslovanja;

g) upravljanje pri incidentima naruavanja sigurnosti i poboljanjima.

Ove kontrole se odnose na veinu organizacija i na veinu okruenja.

Treba napomenuti da, iako su sve kontrole iz ovog standarda vane i treba ih uzeti u obzir, relevantnost svake kontrole treba utvrditi u svetlu specifinih rizika sa kojima se neka organizacija suoava. Otuda, iako se navedeni pristup smatra za dobru polaznu taku, on ne moe zameniti izbor kontrola zasnovanih na ocenjivanju rizika.2.4. Kritini faktori uspehaIskustvo je pokazalo da su za uspenu implementaciju sigurnosti informacija unutar neke organizacije esto kritini sledei inioci:

a) politika sigurnosti informacija, ciljevi i aktivnosti koje odraavaju poslovne ciljeve;

b) pristup i okvir implementacije, odravanja, nadgledanja i unapreivanja sigurnosti koji je dosledan sa kulturom u organizaciji;

c) vidljiva podrka i obavezivanje na svim nivoima rukovoenja;

d) dobro razumevanje zahteva za sigurnost informacija, ocenjivanje rizika i upravljanje rizicima;

e) efikasna promocija sigurnosti informacija kod svih rukovodilaca, zaposlenih i ostalih uesnika radi adekvatne informisanosti;

f) distribucija smernica politike sigurnosti informacija i standarda svim rukovodiocima, zaposlenima i ostalim uesnicima;

g) obezbeenje sredstava za aktivnosti upravljanja sigurnou informacija;

h) obezbeivanje odgovarajuih poznavanja, kolovanja i obuke;

i) uspostavljanje efikasnog procesa upravljanja pri incidentima naruavanja sigurnosti informacija;

j) implementacija sistema merenja1) koji se koristi za vrednovanje uinka u upravljanju sigurnou informacija i povratni predlozi za poboljanje.2.5. Izrada sopstvenih smernica i uputstavaOva pravila prakse mogu se smatrati polaznom takom za izradu specifinih uputstava za neku organizaciju. Ne moraju sve smernice i kontrole iz ovih pravila prakse biti primenljive. Pored toga, mogu biti potrebne dodatne kontrole koje nisu obuhvaene ovim standardom. Prilikom izrade dokumenata koji sadre dodatne smernice ili kontrole, moe biti korisno da se, onda kada je to potrebno, ukljue uporedne liste taaka iz ovog standarda kako bi se olakala provera usklaenosti koju sprovode proveravai i poslovni partneri.2.6. Definicije [3]Za potrebe ovog dokumenta koriste se odreeni pojmovi i njihove defincije. Ovde su date neke od njih:Imovina (sredstvo)

Sve ono to za odreenu organizaciju ima neku vrednost

[ISO / IEC 13335-1:2004]Raspoloivost (availability)

Svojstvo dostupnosti upotrebljivosti na zahtev ovlaenog entiteta

[IS/IEC 13335-1:2004]

Poverljivost (confidentiality)

Svojstvo da informacija ne biti dostupna ili obelodanjena neovlaenim osobama, entitetima ili procesima

[IS/IEC 13335-1:2004]

Bezbednost informacija (information security)

Ouvanje poverljivosti integriteta i raspoloivosti informacija; osim toga, mogu biti obuhvaena I druga svojstva kao to su verodostojnost, nadlenost, neporecivost i pouzdanost

[IS/IEC 17799:2005]

Dogaaj u vezi sa bezbednou informacija (information security event)

Identifikovana pojava u sistemu, usluzi ili stanju na mrezi koja ukazuje na mogue naruavanja politike bezbednosti informacija ili na otkaz zatite ili situacije koja predhodno nije bila poznata I koja se moe odnositi na bezbednost

[IS/IEC TR 18044:2004]

Incident naruavanja bezbednosti informacija (information security incident)

Jedan ili niz neeljenih ili neoekivanih dogaaja u vezi sad bezbednou informacija za koje postoje znatni izgledi da e kompromitovati poslovne aktivnosti i zapretiti bezbednosti informacija

[IS/IEC TR 18044:2004]

System menadmenta bezbednou informacija (information security management system)

ISMS

Deo ukupnog sistema menadmenta, koji se zasniva na pristup poslovnom riziku, za uspostavljanje,implementiranje, primenjivanje, praenje, preispitivanje, odravanje i poboljavanje bezbednosti informacija.

Integritet (integrity)

Celokupnost svojstvo zatite i kompletnosti imovine.

[IS/IEC 13335-1:2004]

Preostali rizici (residual risk)

Rizik koje ostaje nakon postupanja sa rizikom

[IS/IEC Guide 73:2002]

Prihvatanje rizika (risk acceptance)

Odluka da se prihvati rizik

[IS/IEC Guide 73:2002]

Analiza rizika (risk analysis)

Sistemsko korienje informacija da bi se identifikovali izvori I procenio rizik

[IS/IEC Guide 73:2002]

Ocenjivanje rizika (risk assessment)

Sveobuhvatni process analize I vrednovanje rizika

[IS/IEC Guide 73:2002]

Vrednovanje rizika (risk evaluation)

Process uporeivanja procenjenog rizika u odnosu na kriterijume rizika kako bi se odradio znaaj tog rizika

[IS/IEC Guide 73:2002]

Menadment rizikom (risk management)

Koordisanje aktivnosti usmeravanja I kontrolisanje u nekoj organizaciji u vezi sa rizicima

[IS/IEC Guide 73:2002]

Postupanje sa rizikom (risk treatment)

Process izbora I implementacije mera kako bi se rizik modifikovao

[IS/IEC Guide 73:2002]

Izjava o primenljivosti (statement of applicability)

Dokumentovana izjava koja opisuje ciljeve kontrola I kontrole koje su relevantne I primenjive na ISMS organizacije.3. Kontrola pristupa

3.1. Upravljanje pristupom korisnika

Cilj je osiguranje pristupa ovlaenim korisnicima i spreavanje neovlaenog pristupa informacionim sistemima. [3]

Treba da postoje formalne procedure za kontrolu dodele prava za pristup informacionim sistemima i uslugama.Ove procedure treba da obuhvate sve faze ivotnog ciklusa pristupa korisnika, od polaznog registrovanja novih korisnika do zavrnog brisanja iz registra onih korisnika kojima vie nije potreban pristup informacionim sistemima i uslugama. Posebnu panju treba pokloniti, onda kada to odgovara, potrebi za kontrolisanjem dodele prava na privilegovani (povlaeni) pristup, koja korisnicima omoguuju prevladavanje sistemskih kontrola3.2. Odgovornost korisnika

Cilj je spreiti pristup neovlaenih korisnika i kompromitovanje ili krau informacija i sredstava za obradu informacija. [3]

Za efektivnu sigurnost osnovna je saradnja iz meu ovlaenih korisnika.

Korisnici treba da budu svesni svojih odgovornosti za odravanje efektivnosti kontrola pristupa, posebno u pogledu korienja lozinki i sigurnosti korisnikovih ureaja.

Da bi se smanjio rizik od neovlaenog pristupa, gubljenja ili oteenja papira, medijuma i sredstava za obradu informacija, treba implementirati politiku praznog stola i praznog ekrana.

Korienje lozinkeKontrola Prilikom izbora i korienja lozinki, od korisnika treba zahtevati da se pridravaju dobrih praksi sigurnosti.

Smernice za implementaciju Svim korisnicima treba savetovati da:

a) lozinke dre u tajnosti;

b) izbegavaju uvanje lozinki u pisanom obliku (npr. na papiru, u softverskoj datoteci ili na ureajima koji se nose u ruci), osim ako se ovi mogu skladititi na siguran nain, a metoda skladitenja je odobrena;

c) zamenjuju lozinke uvek kada postoji bilo kakav nagovetaj mogueg kompromitovanja sistema ili lozinke;

d) odaberu pouzdane lozinke dovoljne najmanje duine, koje se:

1) lako pamte;

2) nisu zasnovane na bilo emu to bi neko drugi mogao lako da pogodi ili da dobije

korienjem linih podataka osobe, npr. imena, telefonskih brojeva, datuma roenja itd.;

3) koje nisu ranjive prema napadima pomou renika (tj. ne sastoje se od rei koje su sadrane u renicima);

4) da u sebi ne sadre uzastopne identine iskljuivo brojane ili slovne znakove;

e) zamenjuju lozinke u pravilnim razmacima ili na osnovu broja pristupa (lozinke za povlaene raune treba menjati ee od normalnih lozinki), kao i da izbegavaju ponovno korienje ili ponavljanje starih lozinki;

f) zamenjuju privremene lozinke pri prvom prijavljivanju;

g) da lozinke ne stavljaju u bilo koji automatizovani postupak prijavljivanja, npr. ubacivanjem pod makro ili funkcionu tipku;

h) da ne koriste zajedniki istu lozinku pojedinanog korisnika;

i) da ne koriste istu lozinku za poslovne i neposlovne namene.

Ako je korisnicima potrebno da pristupaju veem broju usluga, sistema ili platformi, pa se od njih zahteva da imaju viestruke zasebne lozinke, treba ih savetovati da mogu da koriste jedinstvenu, pouzdanu lozinku [videti prethodno pod d] za sve usluge za koje je korisnik siguran da je unutar svake usluge, sistema ili platforme uspostavljen razuman nivo zatite za skladitenje lozinke.

Ostale informacije Upravljanje sistemom za pomo u pogledu izgubljenih ili zaboravljenih lozinki zahteva posebnu panju, jer to takoe moe da bude sredstvo za napad na sistem sa lozinkama.

Nenadgledana korisnikova opremaKontrola Korisnici treba da osiguraju da oprema koja je bez nadzora ima odgovarajuu zatitu.

Smernice za implementaciju Svi korisnici treba da budu upoznati sa zahtevima za sigurnost i procedurama za zatitu ureaja koji su bez nadzora, kao i sa svojim odgovornostima za implementaciju takve zatite. Korisnicima treba savetovati:

a) da po zavretku okonaju aktivne sesije (poslove), osim ako se one mogu osigurati odgovarajuim mehanizmom zakljuavanja, npr. automatsko gaenje ekrana zatieno lozinkom; b) da se po zavretku sesije (posla) odjave sa glavnih raunara, servera i kancelarijskih linih (PC) raunara (tj. da nije dovoljno da samo iskljue napajanje ekrana na PC ili terminalskom ureaju); c) da line raunare (PC) ili terminalske ureaje, onda kada nisu u upotrebi, osiguraju od neovlaenog korienja primenom bravice sa kljuem ili nekom ekvivalentnom kontrolom, npr. pristupom pomou lozinke.

Ostale informacije Kada se ureaji instalisani kod korisnika ostavljaju due vreme bez nadzora, npr. radne stanice ili serveri sa datotekama, za njih se moe zahtevati posebna zatita od neovlaenog pristupa.Politika praznog stola i praznog ekranaKontrola Za pokretne medijume za skladitenje i za papire treba usvojiti politiku praznog stola, a za sredstava za obradu informacija politiku praznog ekrana.

Smernice za implementaciju Politika praznog stola i praznog ekrana treba da uzme u obzir klasifikovanje informacija, zakonske i ugovorne zahteve, kao i odgovarajue rizike i kulturne aspekte u organizaciji. Treba uzeti u obzir sledee smernice: a) osetljive ili kritine poslovne informacije, npr. na papiru ili na elektronskim medijumima za skladitenje, onda kada se ne koriste treba zakljuavati (idealno u sefu ili ormanu ili u drugim oblicima pouzdanog nametaja), posebno kada se kancelarije isprazne; b) raunare i terminalske ureaje, onda kada su bez nadzora treba ostavljati odjavljene sa sistema i zatiene pomou mehanizma za zakljuavanja ekrana i tastature koji se pokree pomou lozinke, etona (tokena) ili slinim mehanizmom za proveru verodostojnosti korisnika, a onda kada nisu u upotrebi treba ih zatititi pomou bravica sa kljuem, lozinki ili drugih kontrola; c) treba zatititi mesta dolazne i odlazne pote i ureaje za faksimil koji se ne nadgledaju; d) treba spreiti neovlaeno korienje aparata za fotokopiranje i drugih sredstava za reprodukovanje (npr. skenera, digitalnih kamera); e) dokumente koji sadre osetljive ili klasifikovane informacije, posle tampanja treba odmah ukloniti iz tampaa.

Ostale informacije Politika praznog stola i praznog ekrana umanjuje rizike od neovlaenog pristupa, gubljenja i oteenja informacija u toku i izvan normalnog radnog vremena. Sefovi ili drugi oblici sigurnih sredstava za skladitenje mogu takoe da zatite sadrane informacije od katastrofa, kao to su poar, zemljotres, poplava ili eksplozija.

Treba predvideti korienje tampaa sa funkcijom igliastog kodovanja, tako da izvorni autori budu jedini koji mogu da dobiju odtampane stvari, pritom samo onda kada stoje neposredno uz tampa3.3. Kontrola pristupa na mrei

Cilj je spreiti neovlaeni pristup mrenim uslugama.

Pristup uslugama treba kontrolisati i na internim i na eksternim mreama.

Da pristup korisnika na mreu i mrenim uslugama ne bi naruio sigurnost ovih usluga, neophodno je obezbediti sledee: a) odgovarajue interfejse (prelazne spojeve) izmeu sopstvene mree u organizaciji i mrea iji su vlasnici druge organizacije, ili javnih mrea; b) odgovarajue mehanizme za utvrivanje verodostojnosti korisnika i ureaja; c) sprovoenje kontrole pristupa korisnika informacionim uslugama.Politika korienja mrenih uslugaKontrola Korisnicima treba obezbediti direktan pristup samo onim uslugama za koje imaju specifino ovlaenje za korienje.

Smernice za implementaciju Treba formulisati politiku u pogledu korienja mrea i mrenih usluga. Ovom politikom treba da bude obuhvaeno sledee:

a) mree i mrene usluge kojima je pristup dozvoljen;

b) procedure autorizacije radi utvrivanja kome je odobren pristup, kojoj mrei i kojim uslugama;

c) postupci i procedure upravljanja za zatitu pristupa mrenim prikljucima i uslugama;

d) sredstva koja se koriste za pristup mreama i mrenim uslugama (npr. uslovi za dozvolu pristupa sa biranjem broja ka davaocu usluga na mrei Internet ili ka udaljenom sistemu).

Ova politika korienja mrenih usluga treba da bude dosledna sa politikom kontrole poslovnog pristupa.Ostale informacije Neovlaeni i nezatieni prikljuci na mrene usluge mogu imati posledice na celu organizaciju. Ova kontrola je posebno vana kod mrenih prikljuaka na osetljive ili kritine poslovne aplikacije ili za korisnike na mestima velikog rizika, npr. na javnim ili spoljnim oblastima koje su izvan kontrole i upravljanja sigurnou u organizaciji.Provera verodostojnosti korisnika za spoljne prikljuke Kontrola U sluaju pristupa udaljenih korisnika treba odabrati odgovarajue metode za utvrivanje verodostojnosti korisnika.

Smernice za implementaciju Provera verodostojnosti udaljenih korisnika moe se ostvariti primenom, na primer postupka na kriptografskoj osnovi, hardverskim etonima (tokenima), ili protokolom sa upitom/odgovorom. Mogue implementacije takvih tehnika mogu se nai u raznim reenjima za virtuelne privatne mree (VPN). Da bi se obezbedila sigurnost izvora prikljuaka, mogu se takoe koristiti posebno dodeljeni privatni vodovi.

Zatita od neovlaenog i neeljenog prikljuivanja na sredstva za obradu informacija u organizaciji moe da se obezbedi procedurama i kontrolama sa povratnim pozivanjem, npr. korienjem modema sa povratnim biranjem. Ovim tipom kontrole utvruje se verodostojnost korisnika koji pokuavaju da sa udaljenih lokacija uspostave vezu sa mreom neke organizacije. Kada koristi ovu kontrolu, organizacija ne bi trebalo da koristi usluge na mrei koje ukljuuju prosleivanje poziva ili, ako to ine, treba da onemogue primenu takvih funkcija kako bi se izbegla slabljenja zatite koja se vezuju uz prosleivanje poziva. Proces povratnog pozivanja treba da osigura da se sprovede stvarno raskidanje veze na strani organizacije. U suprotnom, udaljeni korisnik bi mogao da zadri vd otvoren, pravei se da je verifikovanje povratnim pozivanjem uspelo. Procedure i kontrole u sluaju povratnog pozivanja treba detaljno proveriti u pogledu ove mogunosti.

Kao alternativno sredstvo za proveru verodostojnosti grupa udaljenih korisnika, onda kada su oni prikljueni na sigurna zajednika raunarska sredstva, moe sluiti provera verodostojnosti u voritima. Za proveru verodostojnosti u voritima mogu se koristiti kriptografske tehnike zasnovane, npr. na mainskim sertifikatima. Ovo je deo nekoliko reenja koja se zasnivaju na virtuelnim privatnim mreama VPN.

Za kontrolu pristupa u beinim mreama treba ugraditi dopunske kontrole za proveru verodostojnosti. Posebno, specijalna panja je potrebna prilikom izbora kontrola za beine mree zbog veih mogunosti za neprimetno prislukivanje i ubacivanje u saobraaj na mrei.

Ostale informacije Spoljni prikljuci pruaju mogunost neovlaenog pristupa poslovnim informacijama, npr. pristup metodom biranja broja. Postoje razni tipovi provere verodostojnosti, pri emu neki od njih daju vei nivo zatite od drugih, npr. metode zasnovane na primeni kriptografskih postupaka mogu da obezbede strogu proveru verodostojnosti. Vano je da se nivo potrebne zatite odredi na osnovu ocenjivanja rizika. To je potrebno radi odgovarajueg izbora metode za proveru verodostojnosti.

Sredstva za automatsko povezivanje sa udaljenim raunarom mogu da otvore put za dobijanje neovlaenog pristupa nekoj poslovnoj aplikaciji. Ovo ima poseban znaaj ako se za povezivanje koristi mrea koja je izvan kontrole upravljanja sigurnou u organizaciji.

Indetifikovanje opreme u mreamaKontrola Automatizovano identifikovanje opreme treba razmotriti kao dodatno sredstvo za utvrivanje verodostojnosti prikljuaka sa posebnih lokacija i opreme.

Smernice za implementaciju Identifikovanje opreme moe se primenjivati onda kada je vano da se komunikacije mogu zapoeti samo sa neke posebne lokacije ili opreme. Da bi se identifikovalo da li je nekoj opremi dozvoljeno da se prikljui na mreu, moe se koristiti identifikator unutar same opreme ili onaj pridodat toj opremi. Ovi identifikatori treba jasno da ukazuju na koju mreu oprema moe da se spoji, ukoliko postoji vie mrea, a posebno ako je osetljivost tih mrea razliita. Da bi se sauvala tajnost identifikatora opreme, moe biti neophodno uzeti u obzir fiziku zatitu te opreme.

Ostale informacije Da bi se utvrdila verodostojnost korisnika ureaja, ova kontrola se moe dopuniti i drugim tehnikama. Pored utvrivanja verodostojnosti korisnika, moe se primeniti i identifikovanje opreme.Zatita prikljuka za daljinsku dijagnostiku i konfigurisanjeKontrola Fiziki i logiki pristup prikljucima za daljinsku dijagnostiku i konfigurisanje treba da budu kontrolisani.

Smernice za implementaciju Mogue kontrole pristupa prikljucima za daljinsku dijagnostiku i konfigurisanje ukljuuju primenu bravice sa kljuem i procedure za podrku kontrole fizikog pristupa prikljucima. Jedan primer takve procedure za podrku je da se osigura da su dijagnostiki i konfiguracijski prikljuci dostupni samo u dogovoru izmeu rukovodioca raunarskih usluga i osoblja za podrku hardvera/softvera kojem je potreban pristup.

Prikljuke, usluge i slina sredstva koji su instalisana na neki raunar ili sredstva na mrei, koja se ne zahtevaju posebno za funkcije poslovanja, treba onemoguiti ili ukloniti.

Ostale informacije Mnogi raunarski sistemi, mreni i komunikacioni sistemi opremljeni su sredstvima za daljinsku dijagnostiku ili konfigurisanje, a koriste ih strunjaci za odravanje. Ako su nezatieni, ovi dijagnostiki prikljuci pruaju sredstvo za neovlaeni pristup.Razdvajanje u mreamaKontrola U mreama, grupe informacionih usluga, korisnika i informacionih sistema treba da budu meusobno razdvojene.

Smernice za implementaciju Jedna od metoda za kontrolu sigurnosti u velikim mreama jeste da se one podele u odvojene logike mrene domene, npr. na domen interne mree organizacije i na domen eksterne mree, pri emu je svaki domen zatien u definisanoj sigurnoj oblasti. Da bi se u raznim logikim mrenim domenima izvrilo dalje razdvajanje sigurnosnih okruenja mree, moe se ugraditi stepenasti skup kontrola, npr. sistemi sa javnim pristupom, unutranje mree i kritina dobra. Domene treba definisati na osnovu ocenjivanja rizika i razliitih zahteva za zatitu unutar svakog domena.

Takva oblast u mrei moe se uvesti instalisanjem sigurnosnog prolaza izmeu dve mree koje meusobno treba povezati, kako bi se kontrolisao pristup i protok informacija izmeu ova dva domena. Ovaj prolaz treba konfigurisati tako da filtrira saobraaj izmeu tih domena , kao i da zaustavlja neovlaeni pristup u skladu sa politikom organizacije za kontrolu pristupa. Primer ovakvog tipa prolaza za pristup se obino navodi kao "protivpoarna pregrada". Druga metoda razdvajanja logikih domena je da se ogranii pristup mrei korienjem virtuelnih privatnih mrea za grupe korisnika unutar organizacije.

Mree je takoe mogue razdvojiti korienjem funkcija mrenih ureaja, npr. IP prespajanje. Razdvojeni domeni se zatim mogu implementirati preko upravljanja tokovima podataka primenom funkcija usmeravanja/prespajanja, kao to su spiskovi za kontrolu pristupa.

Kriterijumi za razdvajanje mrea u domene treba da se zasnivaju na politici kontrole pristupa i zahtevima za pristup, a u obzir treba uzeti i relativne trokove i posledice ugradnje pogodnog mrenog usmeravanja ili samu tehniku prolaza.

.

Pored toga, razdvajanje u mreama treba da se zasniva na vrednosti i klasifikovanosti informacija koje su uskladitene ili se obrauju u mrei, nivoima poverenja, ili vrstama poslovanja, kako bi se smanjile ukupne posledice od nekog poremeaja na uslugama.

Treba razmotriti odvajanje beinih mrea od unutranjih i privatnih mrea. Poto oblasti beinih mrea nisu potpuno definisane, u takvim sluajevima treba sprovesti ocenjivanje rizika da bi se identifikovale kontrole (npr. stroga provera verodostojnosti, kriptografske metode i izbor frekvencija) kako bi se razdvajanje mrea odralo.

Ostale informacije Mree se sve vie proiruju izvan tradicionalnih granica organizacije, jer se formiraju poslovna partnerstva kojima e biti potrebno meusobno povezivanje ili zajedniko korienje sredstava za obradu informacija i povezivanje u mree. Takva proirenja mogu poveati rizik neovlaenog pristupa u ve postojeim informacionim sistemima koji koriste mreu, od kojih nekima moe biti potrebna zatita od drugih korisnika te mree zbog sopstvene osetljivosti ili kritinosti.Kontrola povezivanja na mreuKontrola U sluaju mrea sa zajednikim korienjem, posebno onih koje se proteu izvan granica organizacija, mogunost korisnika za povezivanje na takvu mreu treba da bude ograniena, u skladu sa politikom kontrole pristupa i zahtevima poslovnih aplikacija.Smernice za implementaciju Prava korisnika na pristup treba odravati i aurirati prema zahtevima politike kontrole pristupa.

Mogunosti povezivanja korisnika mogu se ograniiti preko prolaza za pristup na mreu u kojima se saobraaj filtrira pomou prethodno definisanih tabela ili pravila. Primeri aplikacija prema kojima treba primeniti ogranienja su:

a) prenoenje poruka, npr. elektronska pota; b) prenoenje datoteka; c) interaktivni pristup (sa uzajamnim delovanjem); d) pristup aplikacijama.

Treba uzeti u obzir vezivanje prava na pristup mrei za odreena vremena u toku dana ili za datume. Ostale informacije U sluaju mrea sa zajednikim korienjem, politikom kontrole pristupa moe se zahtevati ugradnja kontrola radi ograniavanja mogunosti povezivanja korisnika na mreu, posebno u sluaju onih mrea koje se proteu izvan granica organizacije.

Kontrola preusmeravanja u mreiKontrola Da bi se osiguralo da povezivanje raunara i tokovi informacija u poslovnim aplikacijama ne kre politiku kontrole pristupa, za mree je potrebno implementirati kontrole preusmeravanja.

Smernice za implementaciju Kontrole preusmeravanja treba da se zasnivaju na mehanizmima za pouzdanu proveru adresa izvorita i odredita.

Za validaciju adresa izvorita i odredita mogu se koristiti sigurnosni prolazi za pristup na unutranjim ili spoljnim kontrolnim takama, ukoliko se primenjuju tehnike prevoenja proksi i/ili mrenih adresa. Oni koji implementiraju treba da poznaju snagu i nedostatke svakog od mehanizama koji se postavljaju. Zahtevi za kontrolu preusmeravanja u mrei treba da se zasnivaju na politici kontrole pristupa.

Ostale informacije U sluaju mrea sa zajednikim korienjem, posebno onih koje se proteu izvan granica organizacije, moda e se zahtevati dodatne kontrole za preusmeravanje. Ovo posebno vai za mree koje se koriste zajedno sa korisnicima treih strana (koji ne pripadaju organizaciji).3.4. Kontrola pristupa operativnom sistemuCilj je spreiti neovlaeni pristup operativnim sistemima.[3]

Za ograniavanje pristupa sistemu na ovlaene korisnike treba da se koriste sredstva za sigurnost. Ova sredstva treba da imaju sposobnosti za:

a) utvrivanje verodostojnosti ovlaenih korisnika, u skladu sa definisanom politikom kontrole pristupa; b) zapisivanje uspenih i neuspenih pokuaja utvrivanja verodostojnosti u sistemu; c) zapisivanje korienja specijalnih sistemskih privilegija; d) davanje alarma onda kada se prekri politika sigurnosti u sistemu; e) pruanje odgovarajuih sredstava za utvrivanje verodostojnosti; f) onda kada to odgovara, ograniavanje trajanja povezivanja korisnika

Procedure za sigurno prijavljivanjeKontrola Pristup operativnim sistemima treba da se kontrolie preko procedure za sigurnosno prijavljivanje.

Smernice za implementaciju Proceduru za prijavljivanje na operativni sistem treba projektovati tako da se na minimum svede mogunost neovlaenog pristupa. Procedura za prijavljivanje zbog toga treba da otkriva samo minimum informacija o sistemu, kako bi se izbeglo da se neovlaenom korisniku nepotrebno prui pomo. Dobra procedura za prijavljivanje treba:

a) da ne prikazuje identifikatore sistema ili aplikacije sve dok se prijavljivanje ne dovri uspeno; b) da prikae optu poruku upozorenja da raunaru treba da pristupaju samo ovlaeni korisnici; c) da u toku procedure za prijavljivanje ne daje poruke za pomo koje bi pomogle neovlaenim korisnicima; d) da validaciju informacija dobijenih radi prijavljivanja izvri tek po zavretku unoenja svih podataka. Ukoliko nastane stanje greke, sistem ne treba da ukae na to koji je deo podataka taan ili netaan; e) da ogranii dozvoljeni broj neuspenih pokuaja prijavljivanja, npr. na tri pokuaja i jo da predvidi:

1) zapisivanje neuspenih i uspenih pokuaja;

2) sprovoenje vremenskog odlaganja pre nego to se dozvole dalji pokuaji prijavljivanja ili odbacivanje svakog daljeg pokuaja bez posebnog odobrenja;

3) raskidanje veza u linku za podatke;

4) slanje poruke upozorenja na sistemsku konzolu ako je dostignut najvei dozvoljen broj pokuaja prijavljivanja;

5) postavljanje broja ponovnih pokuaja unosa lozinke, u vezi sa najmanjom duinom lozinke i vrednosti sistema koji se titi; f) da ogranii maksimalno i minimalno dozvoljeno vreme trajanja procedure prijavljivanja. Ako se ona prekorae, sistem treba da obustavi prijavljivanje; g) da po zavretku uspenog prijavljivanja prikae sledee informacije:

1) datum i vreme prethodnog uspenog prijavljivanja;

2) detalje svakog od neuspelih pokuaja prijavljivanja, u periodu posle zadnjeg uspenog prijavljivanja. h) da ne prikazuje lozinku koja se unosi ili da znakove lozinke sakriva pomou drugih simbola; i) da kroz mreu ne alje lozinke u otvorenom tekstu.Ostale informacije Ako se lozinke u toku sesije prijavljivanja na mreu prenose u otvorenom tekstu, one na mrei mogu biti uhvaene pomou nekog mrenog programa za praenje.

Indetifikovanje i utvrivanje verodostojnosti korisnikaSvi korisnici treba da imaju jedinstveni identifikator (korisniki ID) samo za sopstveno i jedinstveno korienje, a za dokazivanje najavljenog identiteta nekog korisnika treba odabrati pogodan postupak za utvrivanje verodostojnosti.

Smernice za implementaciju Ovu kontrolu treba primenjivati na sve tipove korisnika (ukljuujui osoblje za tehniku podrku, operatere, administratore mrea, sistemske programere i administratore baza podataka).

Korisnike identifikatore (ID) treba primenjivati da bi se aktivnosti mogle ispratiti do odgovornog pojedinca. Redovne korisnike aktivnosti ne treba obavljati sa privilegovanih rauna. U izuzetnim okolnostima, onda kada postoji jasna poslovna korist, moe se primeniti i zajedniki identifikator grupe korisnika ili specifinog posla. Za takve sluajeve treba dobiti dokumentovano odobrenje menadmenta. Za odranje odgovornosti mogu biti potrebne dopunske kontrole.

Generike identifikatore (ID) za individualno korienje treba odobravati samo kada dostupne funkcije ili aktivnosti koje se sprovode nema potrebe pratiti (npr. pristup samo sa itanjem), ili kada postoje postavljene druge kontrole (npr. lozinka za generiki ID koja se samo izdaje jednom po jednom zaposlenom i zapisivanje takvog sluaja).

Kada se zahteva stroga provera verodostojnosti i verifikovanje identiteta, treba koristiti metode alternativne lozinkama, kao to su kriptografska sredstva, kartice sa ipom, etoni ili biometrijska sredstva.

Ostale informacije Lozinke su vrlo uobiajen nain da se obezbedi identifikovanje i utvrdi verodostojnost zasnovano na tajni koju zna samo korisnik. Isto se moe ostvariti i pomou kriptografskih sredstava i protokola za utvrivanje verodostojnosti. Strogost identifikovanja korisnika i utvrivanja verodostojnosti treba da odgovara osetljivosti informacija kojima se pristupa.

Za identifikovanje i utvrivanje verodostojnosti takoe se mogu koristiti objekti koje poseduju korisnici, kao to su memorijski tokeni (etoni) ili kartice sa ipom. Za utvrivanje linog identiteta osobe mogu se koristiti i jedinstvene karakteristike ili biometrijski atributi pojedinca. Kombinacija tehnika i vrsto povezanih mehanizama prua pouzdanije utvrivanje verodostojnosti.Sistem za upravljanje lozinkamaKontrola Sistemi za upravljanje lozinkama treba da budu interaktivni i treba da osiguraju kvalitetne lozinke.

Smernice za implementaciju Sistem za upravljanje lozinkama treba da: a) sprovodi korienje pojedinanih korisnikih identifikatora (ID) i lozinki kako bi se odrala odgovornost; b) omogui korisnicima, onda kada to odgovara, da odabiraju i menjaju sopstvene lozinke, kao i da ukljue proceduru potvrivanja kako bi se u obzir uzele greke prilikom unoenja; c) sprovodi odabiranje pouzdanih lozinki; d) sprovodi promene lozinki; e) sprovodi da korisnici privremenu lozinku zamene prilikom svog prvog prijavljivanja; f) da odrava zapis sa prethodnim korisnikim lozinkama, kao i da sprei njihovo ponovno korienje; g) da prilikom unoenja, lozinke ne prikazuje na ekranu; h) datoteke sa lozinkama skladiti zasebno od sistemskih podataka aplikacije; i) skladiti lozinke i alje ih u zatienom obliku (npr. ifrovane ili sa primenom "ha"-postupka).

Ostale informacije Lozinke su jedno od glavnih sredstava validacije ovlaenja korisnika za pristup nekoj raunarskoj usluzi.

Neke aplikacije zahtevaju da lozinke korisnicima dodeljuje neko nezavisno ovlaeno telo; u takvim sluajevima ne primenjuju se prethodno navedene take b), d) i e). U najveem broju sluajeva lozinke odabiraju i uvaju sami korisnici.Korienje pomonih funkcija sistemaKontrola Korienje pomonih funkcija kojima se mogu prevladati postojee kontrole u sistemu ili aplikaciji mora se ograniiti i vrsto drati pod kontrolom.

Smernice za implementaciju Prilikom korienja pomonih funkcija sistema treba uzeti u obzir sledee smernice: a) primenu procedura za identifikovanje, utvrivanje verodostojnosti i izdavanje odobrenja za korienje sistemskih pomonih funkcija; b) razdvajanje pomonih programa sistema od aplikacijskih softvera; c) ogranienje korienja pomonih funkcija sistema na minimalno ostvarljiv broj poverljivih, ovlaenih korisnika; d) izdavanje ovlaenja za jednokratno korienje pomonih funkcija sistema; e) ograniavanje raspoloivosti pomonih funkcija sistema, npr. samo u toku trajanja unoenja neke autorizovane promene; f) zapisivanje svih korienja pomonih funkcija sistema; g) definisanje i dokumentovanje nivoa autorizacije za pomone programe sistema; h) uklanjanje ili onemoguenje svih nepotrebnih pomonih funkcija zasnovanih na softveru, kao i sistemskih softvera; i) nestavljanje na raspolaganje pomonih funkcija sistema korisnicima koji imaju pristup aplikacijama u sistemima u kojima se zahteva razdvajanje zaduenja.

Ostale informacije Najvei broj instalisanih raunara sadri po jednu ili vie pomonih funkcija sistema koje mogu imati sposobnost prevladavanja sistemskih ili aplikacijskih kontrola

Vremensko ogranienje trajanja sesijeKontrola Neaktivne (zapoete) sesije treba posle definisanog perioda neaktivnosti okonati.

Smernice za implementaciju Sredstvo za vremensko ogranienje treba da sa ekrana izbrie sve sadraje zapoete sesije, a naknadno, posle definisanog perioda neaktivnosti, moe takoe da prekine sesije sa aplikacijom i mreom. Odlaganje prekida po isteku vremenskog ogranienja treba da odrazi rizike po sigurnost u odreenoj oblasti, klasifikovanosti informacija sa kojima se radi i aplikacija koje se koriste, kao i rizike u odnosu na korisnike opreme.

U nekim sistemima se mogu primeniti uproena sredstva za vremenska ogranienja kojima se brie sadraj ekrana i spreava neovlaeni pristup, ali koja ne prekidaju sesiju sa aplikacijom ili sa mreom.

Ostale informacije Ova kontrola je posebno vana na lokacijama visokog rizika koje ukljuuju javna mesta ili mesta izvan domaaja upravljanja sigurnou u organizaciji. Sesije treba prekidati kako bi se spreio pristup neovlaenim osobama i uskraivanje usluge.Ogranienje trajanja povezivanjaKontrola Ogranienje trajanja povezivanja treba primeniti da bi se pruila dodatna sigurnost u radu sa aplikacijama visokog rizika.

Smernice za implementaciju Kontrole vremenskog trajanja povezivanja treba predvideti za rad sa osetljivim raunarskim aplikacijama, posebno sa onima na lokacijama visokog rizika, npr. u javnim i udaljenim oblastima koje su izvan domaaja upravljanja sigurnou u organizaciji. Primeri takvih ogranienja obuhvataju:

a) korienje unapred utvrenih vremenskih perioda, npr. prilikom prenoenja datoteka u paketima ili prilikom normalnih uzajamno interaktivnih sesija kratkog trajanja; b) ograniavanje trajanja povezivanja na normalno radno vreme ustanove, ukoliko ne postoje potrebe za prekovremenim ili produenim radom; c) ponovno utvrivanje verodostojnosti u odreenim vremenskim intervalima.

Ostale informacije Ograniavanje perioda u toku kojeg su dozvoljena povezivanja na raunarske usluge smanjuje prostor (okvir) povoljnim prilikama za neovlaeni pristup. Ogranienje trajanja aktivnosti sesija spreava korisnike da vezu dre otvorenu kako bi izbegli ponovnu proveru verodostojnosti.3.5. Kontrola pristupa aplikacijama i informacijamaCilje je spreiti neovlaeni pristup informacijama koje su sadrane u aplikacijskim sistemima. [3]

Sredstva sigurnosti treba koristiti za ograniavanje pristupa aplikacijskim sistemima, kao i unutar njih.

Logiki pristup aplikacijskom softveru i informacijama treba ograniiti na ovlaene korisnike.

Aplikacijski sistemi treba:

a) da kontoliu pristup korisnika informacijama i funkcijama aplikacijskih sistema, u skladu sa definisanom politikom kontrole pristupa; b) da pruaju zatitu od neovlaenog pristupa pomou bilo kojeg pomonog programa, operativnog sistemskog softvera i malicioznih softvera koji su sposobni da prevladaju ili zaobiu sistemske ili aplikacijske kontrole; c) da ne kompromituju druge sisteme sa kojima se informacioni resursi zajedniki koriste.

Ogranienje pristupa informacijamaKontrola Pristup informacijama i funkcijama aplikacijskog sistema, ukljuujui korisnike i osoblje za podrku, treba ograniiti u skladu sa definisanom politikom kontrole pristupa.

Smernice za implementaciju Ogranienja pristupa treba da se zasnivaju na pojedinanim zahtevima poslovnih aplikacija. Politika kontrole pristupa treba takoe da bude dosledna sa politikom organizacije prema pristupu.

Da bi se podrali zahtevi za ogranienje pristupa, treba uzeti u obzir sledee smernice: a) obezbeenje menija (opcija) za kontrolu pristupa funkcijama aplikacijskog sistema; b) kontrolu prava korisnika na pristup, npr. na itanje, upisivanje, brisanje ili izvravanje; c) kontrolu prava drugih aplikacija na pristup; d) osiguravanje da podaci na izlazu iz aplikatcijskih sistema u kojima se postupa sa osetljivim informacijama sadre samo informacije koje se odnose na korienje tih izlaznih podataka i da se oni alju samo prema ovlaenim terminalskim ureajima i lokacijama; ovo treba da ukljui periodino preispitivanje takvih izlaznih podataka kako bi se osiguralo da se suvine informacije uklanjaju.

Izdvajanje osetljivih sistemaKontrola Osetljivi sistemi treba da budu smeteni u posebnom (izdvojenom) raunarskom okruenju.

Smernice za implementaciju Prilikom izdvajanja osetljivih sistema treba uzeti u obzir sledee:

a) osetljivost aplikacijskog sistema treba da eksplicitno utvrdi i dokumentuje vlasnik odreene aplikacije; b) kada neku osetljivu aplikaciju treba izvravati u zajednikom okruenju, vlasnik te osetljive aplikacije treba da identifikuje i prihvati aplikacijske sisteme sa kojima e se resursi zajedniki koristiti i snositi odgovarajui rizici.

Ostale informacije Neki aplikacijski sistemi su osetljivi na mogue gubitke dovoljno da zahtevaju posebno postupanje. Ova osetljivost moe ukazivati na to da takav aplikacijski sistem zahteva:

a) izvravanje na nekom odreenom raunaru; b) da resurse zajedniki koristi samo sa proverenim aplikacijskim sistemima.3.6. Mobilno raunarstvo i rad na udaljenosti Cilj je osigurati zatitu informacija prilikom korienja mobilnih raunara i sredstava za rad sa udaljenosti. [3]

Zatita koja se zahteva treba da bude primerena rizicima do kojih dovodi ovakav nain rada. Kada se koristi mobilni raunar, u obzir treba uzeti rizike od rada u nezatienom okruenju i treba primeniti odgovarajuu zatitu. U sluaju rada sa udaljenosti, organizacija treba da primeni zatitu na udaljenom mestu i da osigura da se uspostave odgovarajui uslovi za ovakav nain rada.

Mobilno raunarstvo i komunikacijeKontrola Treba uspostaviti formalnu politiku i usvojiti odgovarajue mere sigurnosti za zatitu od rizika pri radu sa mobilnim raunarima i komunikacionim sredstvima.

Smernice za implementaciju Kada se koriste mobilna raunarska i komunikaciona sredstva, npr. belenice, organizatori, raunari koji se dre na krilu, kartice sa ipom i mobilni telefoni, treba preduzeti posebne mere kako bi se osiguralo da se poslovne informacije ne kompromituju. Politika rada na mobilnim raunarima treba da uzme u obzir rizike pri radu na mobilnoj raunarskoj opremi u nezatienim okruenjima.

Politika mobilnog raunarstva treba da obuhvati zahteve za fiziku zatitu, kontrole pristupa, kriptografske postupke, izradu rezervnih kopija i zatitu od virusa. Ova politika takoe treba da sadri pravila i savete za povezivanje mobilnih sredstava na mree i uputstva za korienje ovih sredstava na javnim mestima.

Treba obratiti panju prilikom korienja sredstava mobilnog raunarstva na javnim mestima, u salama za sastanke i u drugim nezatienim oblastima izvan prostorija organizacije. Zatita treba da bude postavljena tako da se izbegne neovlaeni pristup ili razotkrivanje informacija koje se uvaju i obrauju u tim sredstvima, npr. primenom kriptografskih postupaka.

Kada takva sredstva koriste na javnim mestima, korisnici treba da obrate panju na to da se izbegne rizik od posmatranja neovlaenih osoba. Treba da su ugraene procedure protiv malicioznih softvera koje treba redovno aurirati.

Treba redovno praviti rezervne kopije kritinih poslovnih informacija. Na raspolaganju treba da bude oprema za brzu i laku izradu rezervnih kopija informacija. Za ove rezervne kopije treba da postoji odgovarajua zatita, npr. od krae ili gubitka informacija.

Pogodna zatita treba da se prui prilikom korienja mobilnih sredstava onda kada se ona povezuju na mree. Daljinski pristup poslovnim informacijama preko javnih mrea korienjem mobilnih sredstava treba da se odvija tek posle uspenog identifikovanja i provere njihove verodostojnosti, pomou ugraenih odgovarajuih mehanizama za kontrolu pristupa.

Sredstva mobilnog raunarstva treba i fiziki zatititi protiv krae, posebno onda kada se ona ostavljaju, na primer u automobilu i drugim oblicima transporta, hotelskim sobama, konferencijskim centrima i mestima sastanaka. Treba uspostaviti specifinu proceduru kojom se uzimaju u obzir pravni i zahtevi osiguranja za zatitu u organizaciji, za sluaj krae ili gubitka sredstava mobilnog raunarstva. Opremu koja sadri vane, osetljive i/ili kritine poslovne informacije ne treba ostavljati bez nadzora, a onda kada je to mogue, treba je fiziki zakljuati ili koristiti specijalne bravice za njihovo osiguravanje.

Treba sprovesti obuku osoblja koje primenjuje mobilno raunarstvo da bi se poboljala njegova obavetenost o dodatnim rizicima do kojih dolazi usled ovakvog naina rada i kontrolama koje treba implementirati.

Ostale informacije Mobilni beini spojevi na mree slini su drugim tipovima povezivanja na mree, ali postoje vane razlike koje treba uzeti u obzir prilikom identifikovanja kontrola. Tipine razlike su:

a) neki protokoli za sigurnost kod beinog rada su nedovoljno sazreli i imaju poznate

slabosti; b) moe se desiti da se za informacije koje se uvaju u mobilnim raunarima ne prave rezervne kopije zbog ograniene irine opsega u mreama i/ili zato to mobilni ureaj moda nije spojen u trenucima kada je predviena izrada rezervnih kopija.

Rad na udaljenosti Kontrola Treba razviti i implementirati politiku, operativne planove i procedure za aktivnosti pri radu sa udaljenosti.

Smernice za implementaciju Organizacije treba da autorizuju rad sa udaljenosti samo ako su zadovoljne uspostavljenim odgovarajuim sistemima sigurnosti i kontrolama i ako su oni u skladu sa politikom sigurnosti u organizaciji.

Na udaljenoj lokaciji treba da bude postavljena odgovarajua zatita, npr. protiv krae opreme i informacija, neovlaenog razotkrivanja informacija, neovlaenog daljinskog pristupa unutranjim sistemima organizacije ili zloupotrebe sredstava. Menadment treba da autorizuje i kontrolie aktivnosti rada sa udaljenosti, kao i da naprave odgovarajue dogovore za ovakav nain rada.

U obzir treba uzeti sledee:

a) postojeu fiziku sigurnost na mestu rada sa udaljenosti, uzimajui u obzir fiziku sigurnost zgrade i lokalnog okruenja; b) predloeno fiziko okruenje za rad sa udaljenosti; c) zahteve za sigurnost komunikacija, uzimajui u obzir potrebe za daljinski pristup internim sistemima organizacije, osetljivost informacija kojima se pristupa i koje se alju preko komunikacionih veza, kao i osetljivost internih sistema;

d) pretnju da e drugi ljudi koji koriste isti smetaj, npr. rodbina i prijatelji, neovlaeno pristupiti informacijama ili resursima; e) korienje kunih mrea i zahteve ili ogranienja na konfiguraciji usluga u beinoj mrei; f) politike i procedure da bi se spreili sporovi u pogledu prava intelektualne svojine kod ureaja u privatnoj svojini; g) pristup ureajima koji su u privatnom vlasnitvu (da bi se proverila sigurnost maine ili u toku istrage), to zakon moe spreavati; h) sporazumi u vezi sa licencama za softver koji su takvi da organizacija moe da podlee zakonu prilikom davanja licence za softver klijentu na radnoj stranici koja je u privatnom posedu osoblja, isporuilaca ili korisnika tree strane; i) zatita od virusa i zahtevi za "protivpoarne" zatitne pregrade.

Smernice i dogovori koje treba uzeti u obzir:

a) obezbeenje pogodne opreme i nametaja za smetaj prilikom rada sa udaljenosti, onda kada nije dozvoljeno korienje privatne opreme koja nije pod kontrolom organizacije; b) definisanje dozvoljenog rada, radnog vremena, klasifikovanje informacija koje mogu biti sadrane i interni sistemi i usluge za koje je udaljeni radnik ovlaen da im pristupa; c) obezbeenje pogodne komunikacione opreme, ukljuujui metode za osiguranje daljinskog pristupa; d) fiziku sigurnost; e) pravila i uputstva o pristupu roaka i posetilaca opremi i informacijama; f) obezbeivanje i odravanje hardverske i softverske podrke; g) obezbeivanje osiguranja; h) procedure za izradu rezervnih kopija i za kontinuitet poslovanja; i) proveru i nadgledanje sigurnosti; j) ukidanje ovlaenja i prava pristupa i vraanje opreme onda kada se aktivnosti sa udaljenosti zavre.

Ostale informacije Prilikom rada sa udaljenosti primenjuju se komunikacione tehnologije kako bi se osoblju omoguilo da radi sa udaljene lokacije izvan sopstvene organizacije.

4. CASE STUDY [1]4.1.Studija sluaja Fredrickson InternationalFredrickson International je jedna od vodeih intustrijskih agencija za Kolekcije duga, osnovana 1992. u Velikoj Britaniji.

Specijalizovani su za veliki obim potroakih kredita u vie razliitih sektora trita. Posluju u ime mnogih od vodeih finansijskih institucija i korporacija u Velikoj Britaniji.

Tani uslovi i plaanja aranmana su fleksibilni prema potrebama njihovih klijenata i njihova potpuna ovlaenja za kreditna i debitna plaanja im omoguavaju stalno sticanje novih klijenata.

Postoje 3 kamena njihovog poslovanja : Saglasnost

Performanse

InovacijaPojedinano svaki kamen je za divljenje. Kolektivno kombinovanje sva ova tri kamena ine ubedljiv poslovni sluaj za svaku korporaciju ili organizaciju koja eli da postigne maksimalnu generaciju prihoda uz pridravanje svih relevantnih zakona i regulative koja definie aktivnosti prikupljanja duga u Velikoj Britaniji.

Ovo je dinamina industrija i oni su jako svesni konkurencije . Postigli su njihovu poziciju na tritu i nastoje da poboljaju svaki aspekt svog poslovanja. Ovo stalno poboljanje je od fundamentalnog znaaja za njihov dugoroni uspeh i to nije sluajno. Njihovi klijenti ih vide kao najinovativnijeg partera za njihov portfolio.

Zapoljavaju vie od 300 radnika i generiu vie od 100 miliona funti godinje. Njihovi klijenti su mnoge od najveih i najuglednijih kompanija u Velikoj Britaniji. Oni su lanovi Udruenja kreditnih usluga (CSA) i grupe duga kupaca i prodavaca (DBSG).

Oni rade u razliitim sektorima industrije i razvili su njihove sisteme i procese kako bi obezbedili ne samo vodeu industrijsku granu u kojoj posluju,ve i ire.

Njihov fokus je na poveanju (RPC) do nivoa bez presedana. Oni postoje da pomognu svojim klijentima da postignu i prevazdju svoje ciljeve.

Fredrickson International je deo Interlaken grupacije.

Drutvena odgovornost: Fredrickson International se trudi da ima pozitivan uticaj na ire drutvo. Zapoljavaju vie od 300 radnika u lokalnoj oblasti, podravaju veliki broj dobrotvornih organizacija i fondacija, partneri su Duke of Edinburgh nagrada I podravaju njihovu lokalnu zajednicu.

Okruenje je vano za njih. Udruili sa Carbon Trust i obavezali se da e smanjiti emisiju ugljen-dioskida. Koriste reciklirani papir za njihova slova i pokuavaju da smanjie koliinu papira koju e kao organizacija koristiti.Oni su jedini OCA u Velikoj Britaniji koji u svojoj ponudi ima reciklae mobilnih telefona kao nain otplate. www.freds.com/recycleZato sertifikacija?Industrija naplate duga je predmet sve intenzivnijeg regulatornog nadzora irom sveta, a klijenti Fredrickson kompanije dolaze iz velikog broja visoko regulisanih industrijskih sektora, ukljuujui bankarstvo, finansije, komunalno, telekomunikacije, kuna kupovina, centralna vlada.

Kao i veina organizacija, Fredrickson se suoava sa izazovima poveane bezbednosti i zahtevima za upravljanje IT. Sigurnost informacija je od sutinskog znaaja za uspeh Fredrickson poslovanja poto njihovo poslovanje ukljuuje primanje, analiziranje i uvanje osetljivih potroaa i poslovnih kreditnih informacija.

Neophodno je da organizacija ima odgovarajuu kontrolu i da titi svoje sisteme od hakera i sprei da line informacije o svojim sistemima padnu u pogrene ruke poto postoji veliki i realan rizik da to moe biti neki kriminalan koji eli da poini prevaru identiteta. Stoga je imperativ da Fredrickson uveri svoje klijente i javnost da bezbednost njihovih linih informacija shvataju veoma ozbiljno.

Organizacija redovno prolazi reviziju kako od strane klijenata tako i od drugih zainteresovanih strana kako bi videli da li njihovo poslovanje napreduje.Kao takva

Fredrickson ima inspiraciju da se da se usavrava sve dok ne postane najkompatibilnija agencija u svojoj industriji. Prema Simonu Jonesu, upravnom direktoru Radije nego da kaemo da smo kompatibilni, mi smo smatrali da bi bilo bolje obezbediti trite neophodnim poverenjem koje je potrebno, bili smo spremni i da se podvrgnemo nezavisnoj proceni naeg ISO 27001 sistema bezbednosti za upravljanje.Implementacija Za Fredrickson traei potvrdu za ISO 27001 je relativno prihvatljivo poto ve posluju u skladu sa standardom. Organizacija sprovodi analize jaza,kada su indetifikovani propusti u sistemu to je omoguavalo poboljanje pre revizije od strane treeg lica. Dok su mnoge politike i procedure o bezbednosti informacija vec odavno postojale, dokumenti o tome nisu bili dostupni i samo osnovno znanje je bilo dostupno. U nastojanju da popravi ovo Fredrickson, je stvorio odbor za bezbednost sa ciljem podizanja svesti u celoj kompaniji kao i vodjenje celog procesa korak napred. Odbor je koristio kombinaciju treninga i postera kampanje kako bi se obezbedio da osoblje razume znaaj bezbednosti informacija, kao i uloge koje su morali da igraju. Takodje su stvorili shared disk kako bi osoblje organizacije lako moglo da dodje do potrebnih dokumenata i informacija. Ovaj proces pomogao je da se obezbedi ukljuivanje svih zaposlenih, takodje je bio od sutinskog zanaaja da Fredrickson ugradi zahtevane standard i krene napred sa sertifikacijom. Fredrickson je posveen postavljanju standarda i postajanju najkompatibilnije agencije u Velikoj Britaniji. Prema Jan-Michael Lejsiju, Fredrickson Veruje da ce u bliskoj budunosti ISO27001 sertifikat biti preduslov kada nai klijenti biraju spoljne partnere.PrednostiKlijenti i ira javnost sada mogu imati celokupno poverenje u Fredrickson bezbednosne sisteme prakse i naina upravljanja njihovim linim informacijama. Fredrickson je izabrao da radi sa BSI zbog ugleda BSI u industriji. Sa BSI smo realizovali sistem koji nam je obezbedio odgovarajui i pritupaan nivo zatite za nae lijente.Fredricksnu je BSI obezbedio informacije i preporuke neophodne da dobije sertifikat, i pripremio ga za stroge, kontinuirane procene revizije. Kroz svoje redovne posete BSI je bio u stanju da skrene panju Fredricksonu na oblasti u kojima moe da se pobolja, takodje im je pomogao da uvedu novi nain razmiljanja.

Daren Rajt iz Fredricksona objasnio je Da je bilo nekoliko sluaja od visokog znaaja, gde su se igubile neke informacije u naoj agenciji i zbog toga pokazivanjem smanjenje rizika da se ovo dogadja mi dokazujemo da imamo najvii nivo sigurnosti i pokazujemo klijentima da smo mi ba mi sposobni za tu svrhu. Mi smo ponosni da kaemo da smo dobili sertifikat, i to potvrdjuje svaki lan naeg osoblja koji je bio ukljuen u ovom stvaranju.

Fredrickson e na ovom polju stalno kontinuirano da poboljava svoj pristup. Ostvarivi svoje kratkorone ciljeve, Fredrickson sada radi na tome da razvije veu svest o sigurnosti medju osobljem i time jo unapredi svoje poslovanje .

Prednosti koje je Fredrickson stekao uvodjenjem ISO27001 sertifikata su: Vea svest o bezbednosti na svim nivoima organizacije

Vee poverenje klijenata i bolja percepcija organizacije

Uvodjenje ISO27001 standarda samo je uvrstilo poziciju Ferdricksona na tritu i donelo im mnoge pogodnosti. Postali su agencija u koju klijenti mogu da imaju potpuno poverenje jer u industriji u kojoj oni posluju od kjunog znaaja je bezbednost informacija, jer klijenti ele da budu sigurni i zatieni.4.2.Studija sluaja SVM EuropeKompanija SVM Europe je dobar primer kroz koji se mogu videti kljune prednosti uvoenja standarda ISO/IEC 27001, pa ak i neoekivane koristi i rezultati ove standardizacije. Ovo je kompanija koja se suoila sa brzim rastom, potrebom za odreenom formom, sigurnou infomacija, koja je prektino u opisu njihovog posla, zahtevima trita i sve to kroz ouvanje glavnim vrednosti kompanije. Podrku u ovome je videla u standardizaciji.

SVM Europe je kerka kompanije lidera provajdera poklon kartica SVM LP, sa seditem u Engleskoj. Ona obezbeuje kompanijama pripejd mogunost za nagraivanje i motivaciju zaposlenih, kao dela marketing i promocijskih aktivnosti. Njihovi proizvodi obuhvataju poklon kartice, vauere, e-kodove, fleksibilne nagradne kodove...

SVM Europe posluje sa glavnim maloprodajnim brendovima u Engleskoj i Evropi u vidu iste preprodaje ili programima upravljanja u vidu poklon kartica, vauera i e-kodova.

Oni su se jako brzo irili u predhodnim godinama i imali ambicije za proirenje ciljnog trita. Njihovne poslovne vrednosti koje ine: stabilnost, poverenje, potovanje, integritet i strast obezbedile su solidan temelj za ovaj rast.

Zato sertifikacija?Kako je SVM iz malog prerastao u velikog globalnog operatera, bila mu je potrebna formalnija struktura ali su takoe eleli da osnovne vrednosti kompanije ostanu centralne u njihovom poslovanju i da ne izgube poslovnu kuluturu koju je sa sobom nosio mali biznis.

Brajan Dan (Brian Dunne), direktor SVM je izjavio da su smatrali da bi standardizacija pomogla da njihovo poslovanje dobije odgovarajuu strukturu. Pritom je napomenuo da konkretno misli na ISO/IEC 27001 i na standard ISO 9001 koji se odnosi na upravljanje kvalitetom. On je, takoe naglasio, da je standardizacija u oblasti bezbednosti informacija pomogla rast preduzea a pritom omoguila potovanje osnovnih vrednosti kompanije.

Jo jedan kljuni razlog za sertifikaciju je bila zatita novca koji se dodaje na kartice od internih i eksternih prevara.

Pored toga, ustanovili su da je za sve vie dravnih tendera potrebna sertifickacija ISO/IEC 27001, pa je ona postala fundamentalna za osvajanje novih trita i rast.

ImplementacijaImplementacija je kljuna taka standarda ISO/IEC 27001. Postupci i koraci kojim e se ii ka uvoenju standarda e uticati na uspenost i brzinu prihvatanja istog. Kako je kompanija primer dobre prakse bitno je istai nain implementacije u njihovom sluaju.

Uvoenje sistema za upravljanje sigurnosti informacijama u ovu organizaciju je trajalo godinu dana. Poetna analiza jaza preduzeta od strane kompanije je pokazala da postoji ve pola zahteva kompatibilnih sa ISO/IEC 27001, sistem za upravljanje sigurnosti informacijama.

Kako bi se postigla potpuna kompatibilnost, lan vieg rukovodsva, zagovornik ovog projekta, je koordinirao proces po sistemu top-down uz podrku tima za sprovoenje planova.

Najvei izazov tokom implemetacije sa kojim se SVM susreo su bili zahtevi za unapreivanje IT strukture i formalizacije politike za upravljanje podacima. To je zahtevalo izmene u funkcionisanju kompanije, ukljuujui izmene u slanju informacija i elektronske pote, naroito utiui na udaljene korisnike i prodajne timove. Ovi izazovi su bili usmereni za obezbeenje prednosti komunikacije u poslovanju i rano angaovanje releventnih ljudi kroz, istovremenim razvijanjem politike i scenarija stres strestiranja.

Kako bi pomogao u realizaciji, BSI je obuavao kljune lanove SVM tima da budu uspeni interni revizori. Takoe je organizovao dan analze jaza, kada su indetifikovani propusti u sistemu to je omoguavalo poboljanje pre revizije od strane treeg lica.

Svi zaposleni vieg rukovodstva operativnog i pomonog osoblja su uestvovali u obuci i prezentaciji kako bi obezbedili puno razumevanje i angaovanje u poslovanju.

KoristiUvoenje standarda ISO/IEC 27001 je kompaniji donela vee koristi nego to se to prvobitno oekivalo.

Naa percepcija o ovom putovanju bila je da e ovaj standard biti samo o sigurnosti, ono to smo mi shvatili je da je on ivotni stil. On zaista utie na sve to radimo i na to kako to radimo. Sara Vajld (Sarah Wild), operativni menader.Primeeno je da su nakon uvoenja ovog standarda sva odeljenja u Evropi jednaka i da se njima se pravilno upravlja, umesto odprilike. Kao rezultat ove sertifikacije SVM je dobio dobru PR podlogu i mogunost da unapredi svoju reputaciju.

Prednosti koje su oni ostvarili su:

manje zastoja

jaa organizaciona struktura

vee poverenje u bezbednost informacionih procesa

SVM je od stanja gde nema ni registar rizika napredovala do sistema za registrovanje i upravljanje rizikom infomracija u organizaciji.

SVM organizacija je nakon implementacijie poela da radi sa jasnim politikama i procedurama sa jasno definisanim ulogama i odgovornostima. Takoe je poela sa uvoenjem Prince 2 metodologije koja se uklapa u ISO implementaciju. 5. ZakljuakCeo koncept sigurnosti informacija bazira se na konceptu upravljanja rizicima. Ocena rizika definisana je kao ocena pretnji informacijama (pretnje koje dovode do povrede poverljivosti, integriteta i raspoloivosti informacija), njihovog uticaja na informacije i ranjivost informacija, kao i verovatnoe njihove pojave. Upravljanje rizikom je definisano kao proces identifikacije, kontrole i umanjivanja ili eliminacije sigurnosnih rizika koji mogu da utiu na informacije i informacione sisteme.

U vremenu izrazitog rasta koliine informacija i znanja u organizacijama i njihovoj komunikaciji sa korisnicima, za potrebe bezbednosti informacija i za potrebe sticanja korisnikog poverenja, neophodno je koristiti zahteve modela ISO 27001. Time se stvara sistem koji je fokusiran na kontinualna poboljavanja i smanjenje trokova i eliminisanje uzronika greaka u sistemu.6. Literatura[1] BSI gruoup, http://www.bsigroup.com/en-GB/iso-27001-information-security/ (last visited 25.01.2014.)

[2] Broderick S. (2006). ISMS security standards and security regulations, International Security Technical Report.

[3] SRPS ISO 27001:2011

[4] SRPS ISO 27002:2011

[5] Niki P., (2010), Upravljanje kvalitetom